從防禦架構下手，擺脫垃圾郵件

企業防護架構，決定垃圾郵件命運

檢視政策、評估流量與維護人力，再決定架構與防堵方式

在龐大的商業利益下，多年來垃圾郵件持續不斷的增加，一方面是病毒散布與感染的主要途徑，另一方面，垃圾郵件仍然是網路攻擊主要的目標，不管是網路釣魚 (Phishing)、傀儡程式攻擊（Botnets）或阻斷服務式攻擊（DoS），企業要處理郵件問題越來越多。

企業一定要使用電子郵件的情況下，從防毒、垃圾郵件防堵、木馬與間諜程式過濾、網路釣魚、大量郵件及傀儡程式攻擊等防範工作就缺一不可，再加上郵件備分、備援與流量管控及稽核管理等需求增加，郵件收發、過濾、備分的架構方式，對於郵件安全具有關鍵性的影響。

產品形式多元，軟硬體左右郵件架構

企業應該如何選擇垃圾郵件產品?在此之前應先檢視本身的郵件系統與郵件使用量。如果是沒有自己郵件伺服器的企業，可以選擇「服務型」的垃圾郵件過濾機制，像是中華電信、臺灣固網、數位聯合、東森寬頻、亞太線上等固網業者及IBM、宏碁等資安委外業者，都有推出與郵件代管整合的郵件安全服務方案。此外，賽門鐵克也提供中型企業「純服務」的郵件安全方案。

微軟持續強化在Exchange Server的垃圾郵件防禦功能，沒有郵件伺服器的企業，也可以選擇整合垃圾郵件的郵件系統，像是網擎Mail 2000加Mailgate。垃圾郵件過濾軟體產品則有賽門鐵克Brightmail、CA eTrust Secure Content Manager、Cloudmark、Sophos PureMessage、趨勢科技ScanMail及中華數位 Spam SQR等等，軟體產品的彈性較高，整合與管理功能較強，但需要考慮到管理、設定與維護等成本。

企業因為IT人力資源的侷限，具有垃圾郵件過濾功能的硬體閘道器成為市場主流，產品也由過去的單一功能轉而整合防火牆、郵件或備分伺服器，功能上多整合防毒、入侵防禦、內容過濾、稽核與流量管理，包括8e6、Barracuda、CipherTrust、Fortinet、IronPort、McAfee、中華數位、金揚、桓基、基點、碩琦、寬華、賽門鐵克等等都有這類硬體產品。

另外，所謂的多功能整合裝置（UTM），結合防火牆、防毒、入侵偵測／防禦、內容過濾、垃圾郵件過濾、間諜軟體過濾、VPN、負載平衡，也開始喊出分別防守網路、SMTP與HTTP等不同「路線」，放哪裡就守哪裡，以拓展多功能產品的可能性，對於預算有限的中小企業來說，購買這類多功能產品做為閘道端郵件防護頗為划算，在配置上也比較靈活。

機制導入前預先評估郵件架構

企業選擇適合解決方案的同時，端看是否會影響或破壞原有郵件系統架構，再決定將防堵架構，不管是直接透過主機進行過濾，透過代理伺服器（Proxy）先行過濾再轉信進來，或是透過閘道端防堵，再進一步評估是否加入備援、備分等機制。

中華數位產品應用部產品經理高銘鍾表示，基於企業的郵件使用量及垃圾郵件政策，管理人員應著手蒐集企業電子郵件相關的使用資訊，像是被攻擊的頻率與類型、垃圾郵件攻擊來源、經常郵件往來的廠商名單、內部郵件使用習慣等等，都影響著過濾機制的效能。

使用人數只有百人規模的中小企業，許多只擁有1臺郵件伺服器，在郵件伺服器與防火牆間架設1個垃圾郵件過濾閘道，做不做郵件備分？則視公司政策而定。不容許郵件伺服器一刻停擺的企業，則可能採用雙主機的模式做為備援，或是將SMTP與POP3的信件收發分開。

大型跨國企業可以採分散式架構，調節郵件流量的同時也增一家安全性。只要是擁有多臺郵件伺服器的大型企業，架構更是十分重要。

網護科技工程部經理蕭朝文則是指出，大型企業通常在前端會以Layer 4的Switch分散流量，同時後端的每一部伺服器都會以 Cluster 架構互相備援。包括最重要的使用者資料庫，也會以 LDAP 方式做獨立備援及郵件負載平衡，這樣網管人員就不必擔心某臺主機出狀況掛點，或是過度集中負荷在某一臺，以確保郵件能保持暢通。

透過MX設定，做到便宜簡易的郵件負載平衡

如果因為預算考量，DNS 選擇加入郵件交換程式(MX)的基礎設定，2個不同的閘道器可以透過MX設定流量大小，或是將流量平分，就可以形成簡易的負載平衡機制。

網擎資深研發工程師暨產品經理李孟秋表示，也就是說，企業利用郵件閘道與郵件伺服器與相互支援，不需要複雜的結構，就可以形成簡易的郵件負載平衡與備援機制，也就是所謂的「窮人版的郵件負載平衡」。

當一方發生問題，另一方就可以自動接管收發信的任務，讓郵件閘道負責7成～9成流量，這樣郵件伺服器只負責1成～3成流量，減低郵件伺服器的負荷。不過，這個架構還是有些缺憾，可能讓一些廣告信進到郵件伺服器，也就是可能有10％的垃圾郵件會進到郵件伺服器中。

閘道與郵件伺服器的過濾規則必須同步設定

現在的企業很可能設置太多個閘道安全關卡，防火牆、垃圾郵件過濾、郵件紀錄、郵件伺收發等太多層的架構，一旦發生掉信的狀況，負責郵件伺服器的人就得一層層的找，必須耗費很多時間才能找出信究竟卡在哪邊，所幸閘道端的郵件安全走向整合，多個模組逐漸整合在同一個硬體上。

李孟秋指出，當網管人員在郵件伺服器前設下過濾關卡時，要記得閘道與郵件伺服器的過濾規則必須同步，不管是收件人數或檔案大小限制，把關的閘道必須與郵件伺服器相同或更嚴格，不然兩者間可能會互相把信傳來傳去，除了損耗系統資源，也會增加網管人員的工作量。另外，就是兩邊的黑白名單也必須同步。文⊙高雅欣

相關文章
．建置過濾機制前，企業應確立一套垃圾郵件政策

．企業該不該開放個人黑白名單，見仁見智

．郵件特徵更新速度，決定垃圾郵件學習時間差

．企業防護架構，決定垃圾郵件命運－案例篇

．企業被列入黑名單怎麼辦？