網擎資訊以Mail2000、MailGates等套裝軟體,搭配MailBase專案,來因應電周公司的需求。第一階段建置具防毒能力的郵件伺服器與垃圾郵件過濾伺服器,費用為98萬元;第二階段建置郵件備份伺服器,由於專案費用並無套裝價,含硬體的費用為23萬元以上。

相較於目前專屬精簡伺服器(Appliance)當道,這套方案特別之處在於改用Mail2000取代企業原有的郵件伺服器,提供防毒、單一帳號登入整合與信件監看等功能,再由MailGates過濾郵件內容與處理延遲寄送,MailBase則負責信件備份、調閱與全文檢索。

因為在設備硬體上需投入不少費用,假如企業原本就擁有這些硬體設備,自然可以省下不少費用。另外,由於需要將既有的郵件伺服器替換成Mail2000,MIS人員的接受度將是癥結所在,但對於原本使用Mail2000的用戶來說,自然是方便不過。

如果用戶選擇保留既有的郵件伺服器(qmail),還是可以在MailGates啟用防毒,但是稽核功能就比較不完整,而且無法掃毒。從整體來看郵件防護,其實也不能遺漏郵件伺服器這個因素,為郵件伺服器強化登入管理與安全性,能更進一步提升郵件服務的可靠度。

換成有多功能防護郵件伺服器
由於案電周公司人數有200人,分散在各據點,為了管理方便,網擎認為只要在臺北總公司建立郵件伺服器即可,其他分公司不建置郵件伺服器。由於在工廠或分公司辦公室裡面,電腦會有共用的情況,或是為了差旅員工的方便,有可能只讓員工用Webmail連回公司取信,單純處理SMTP與POP3收發信的郵件伺服器會有需要加裝Webmail套件。公司還是可以適度開放Webmail和企業郵件伺服器的POP3連線,搭配防火牆限制特定IP或網段電腦的取信方式,方便無固定個人電腦的員工。

Mail2000除了擁有Webmail的便利性,還可以利用核心內嵌Sophos防毒的機制,攔截使用者端透過公司郵件伺服器對外濫發的病毒信。郵件伺服器內嵌防毒模組,能同時搞定病毒防護和郵件處理,簡化郵件伺服器前端的閘道設備處理,在郵件進出經由過濾或稽核設備時,減少重複掃毒或掉信。

以Mail2000做單一登入整合
MailGates和MailBase皆可與Mail2000一起置放在DMZ區,以達到現有網路架構的要求。由於MailBase負責後稽核,不屬於閘道必經之路,因此可以視需要移到內部網路。

假如郵件帳號、Active Directory(AD)或LDAP之間的認證可以同步,將可以提升各系統的登入帳號有效性。由於企業經常利用目錄服務認證內部使用者,而且是單一網域和單一伺服器的認證,因此網擎選擇用Mail2000 SDSS版(Single Domain Single Server),搭配他們開發的可抽換式認證模組(Pluggable Authentication Module,PAM),處理單一登入整合的需求。PAM提供介面標準化溝通處理和功能客製化,不需要調整底層的系統認證架構,即可輕易完成調整。

Mail2000的整合認證,當系統要管理帳號時呼叫都會透過帳號管理的CGI,然後用認證模組與AD認證,通過認證後,Mail2000內也有一個認證專用的Daemon,可以讓MailGates和MailBase的登入,全部集中由Mail2000同步認證,統一各郵件相關系統的帳號密碼。

由多個郵件防護系統分別稽核
由於電周希望廠商的解決方案,能同時包含垃圾郵件過濾與郵件稽核功能,網擎本身並沒有一套專門處理郵件稽核的產品,目前需透過Mail2000、MailGates、MailBase等三套軟體才能滿足稽核要求,以便管理使用者寄收發信件,及後續信件調閱。

使用郵件稽核功能之前,網擎估計本案例用戶的資料量,每天每人100封信,200人每天約有2萬封信,以企業平均電子郵件大小為 250kB計算,每天要準備5GB,一年至少要準備2TB的空間,來備份每天進出郵件。為了查詢方便性,他們目前建議先使用硬碟備份,日後可以搭配磁帶和磁帶機。

員工的信件都從Mail2000郵件伺服器寄出,因此可以趁機記錄郵件的主旨,系統能針對可能傳送內容較敏感的文件附檔格式,設定直接刪除附檔,避免機密外洩。Mail2000還可以監看特定使用者的信件進出,直接轉寄一份給指定帳號,以提供特殊稽核使用。

MailGates的主要功能是過濾垃圾郵件,也有一臺分稽核功能。系統會關鍵字比對信件標頭,如主旨、寄件人、收件人等,符合條件的信件會搬移到系統隔離區,作為後續稽核之用。系統可以進行「前稽核」功能比對信件內容關鍵字,在系統隔離區中管理者可以完整讀信,待檢視確認後,再行決定是否寄出隔離信。

因為MailGates與垃圾郵件過濾相關,所以結合了「前稽核」功能,而MailBase則管理「後稽核」-備份所有進出的信件,提供全文檢索服務。MailBase可供查詢的郵件範圍除了郵件本身,也包括Office文件,ZIP、PDF等電子郵件常用附檔格式。在MailBase系統內,就像MailGates隔離區,同樣可以讀取完整郵件資訊,寄收件人、標題、內文、附檔。

可從郵件伺服器直接備份郵件
郵件防護第一個階段強化郵件伺服器的功能與安全性,並加入郵件過濾與前稽核功能,第二階段目標是建置郵件備份專案MailBase。
與其他閘道型郵件備份的方案相比,MailBase採用側錄的備份方式,較不易影響郵件伺服器的運作、風險低,然而MailBase的信件側錄透過客製化,直接沿用SMTP連線,複製Mail2000郵件伺服器資料,而非透過網路Sniffer監錄,或經由其他線路傳輸,這些都有可能因經過其他設備而導致信件遺失。

也許有人會認為備份所有往來郵件,企業將背負很高的儲存成本,但假如藉由條件過濾,只備份特定郵件,這樣可能會造成漏洞。如果使用者知道哪些發信行為不會被記錄而刻意逃避,系統備份存查的效果就會打折扣。網擎認為完整備份才能真正做到安全,因為透過公司郵件伺服器收發信件,使用者的信件往來的行為就可能會影響公司。MailBase直接複製Mail2000上的信件,以達到備份的效果。這樣,並不代表滴水不漏,透過外部免費/付費郵件信箱發信是這個備份機制的罩門,企業需透過防火牆嚴格限制,才能使MailBase達到充分的備份效果。文⊙李宗翰


Advertisement

更多 iThome相關內容