梭子魚病毒及垃圾郵件防火墻—4月培訓梭子魚中國.2014年3月概要

產品簡要介紹

過濾技術講解梭子魚的安裝

郵件傳輸的原理

案例及其他需求分析:垃圾郵件成為網絡安全的最大威脅惡意垃圾郵件內容包括色情、暴力、安全威脅等電子郵件廣告性質的垃圾郵件由合法組織大量寄送的廣告郵件（例如Yahoo購物、A等）來自朋友的垃圾郵件

認識的使用者寄送內容包含笑話、網站鏈接甚至色情圖片，無企業價值的信息需求分析:垃圾郵件帶來很多不安全因素病毒和木馬80%以上病毒通過郵件傳播,其中70%通過垃圾郵件傳播。后門程序后門程序占到惡意代碼的21.7%,傀儡程序BOT四處流竄。間諜軟件權威人士估計，間諜軟件已經占到了與Internet連接電腦的80%。釣魚攻擊釣魚攻擊成為成長最快的非暴力犯罪。需求分析:垃圾郵件對企業的不利因素影響正常業務開展影響企業生產效率丟失業務機會信息泄密信任詐騙………………需求分析:垃圾郵件趨勢（2010-2011）如何選擇反垃圾郵件解決方案功能全面準確度辯識率(垃圾郵件辯識的百分比)誤判率(被刪除或隔離的正常郵件百分比)漏判率(被當成正常郵件的垃圾郵件百分比)高效率快捷部署，易用和可管理產品的可靠性，持續的服務梭子魚病毒及垃圾郵件防火墻基本功能垃圾及病毒郵件過濾全局及分用戶隔離功能反退信攻擊SMTP/TLS加密傳輸外發郵件過濾功能策略遵從阻止欺詐、釣魚及惡意軟件郵件多層次、圖表化、可視化報告郵件日志查詢自定義郵件處理策略支持多域，多郵件服務器梭子魚病毒及反垃圾郵件解決方案的特點沒有一種垃圾郵件技術可以100%解決垃圾郵件問題分層過濾的“雞尾酒”療法是唯一有效方法；梭子魚是分層過濾的代表多達12層過濾機制，過濾率高達98%

十分鐘就可完成部署確保本地郵件的收發方便可控，郵件敏感信息的傳輸安全可靠不按用戶許可收費，無附加模塊費，節約資金公司的可持續發展能力是選擇廠家核心問題，技術的可持續發展是產品質量的唯一保障只有少數廠家才能生存發展；大廠家才能支撐足夠技術隊伍；梭子魚監控互聯網最新型垃圾及病毒郵件，實時更新，保護用戶免受各種最新型垃圾及病毒郵件的騷擾。梭子魚病毒及垃圾郵件防火墻的主要優勢硬件家族產品，無需添置服務器不按許可收費，無許可限制支持17種語言的管理界面，易于安裝維護管理采用十二層過濾，十二大技術，技術全面，過濾率高達98%功能豐富，給用戶靈活的設置選項網絡IP層過濾，內容過濾機制，系統效率高梭子魚病毒及垃圾郵件防火墻的部署結構*外部郵件通過MX記錄或者更改防火墻SMTP端口映射引導給梭子魚，梭子魚過濾后，把正常郵件發送給郵件服務器基本部署多服務器部署*可以簡單插入多域及多郵件服務器環境梭子魚病毒及垃圾郵件防火墻的部署結構多臺梭子魚堆疊部署多服務器本地部署*簡單地將多臺梭子魚病毒及垃圾郵件防火墻堆疊在一起使用,可以實現自動拓展、冗余及容錯。*多臺梭子魚設備可以通過梭子魚控制中心進行統一集中管理。梭子魚病毒及垃圾郵件防火墻的過濾原理提供了最為全面的垃圾郵件過濾功能，各過濾層采用不同的反垃圾郵件技術對郵件進行掃描，即包括對垃圾郵件行為的識別，也包括多種高級內容過濾技術，因而能達到最佳的過濾效果辨識率高達98%十二層過濾：前五層網絡過濾DDos防護有效阻斷電子郵件服務器DoS及DDoS攻擊速率控制對單一IP地址單位時間內SMTP連接數做限制IP信譽庫通過實時黑名單資料庫及使用者自定義黑白名單阻斷常規垃圾郵件發件人認證通過DNS反向解析，SPF,DomainKeys，查詢發件IP地址的合法性收件人驗證通過LDAP或者SMTPVRFY查詢內部收件人的合法性十二層過濾：后七層內容過濾三層病毒防護開源，梭子魚安全中心自定義病毒庫庫，實時病毒防護用戶自定義策略用戶自定義規則，郵件域黑白名單，IP黑白名單，關鍵字黑白名單，Email地址黑白名單等垃圾郵件指紋分析基于先前內容阻斷的垃圾郵件生成指紋，節省系統資源意圖分析對郵件中的電話號碼，URL鏈接進行提取分析圖像識別通過OCR光學識別，識別垃圾郵件圖片貝葉斯分析通過貝葉斯算法對郵件進行分析（一種智能統計算法）垃圾郵件的規則評分通過梭子魚內置的垃圾郵件規則給郵件評分，分值越高越傾向垃圾郵件過濾技術講解梭子魚12層過濾技術及其操作介紹梭子魚反垃圾郵件防火墻是如何處理圖像垃圾郵件的梭子魚的實時防護是如何工作的如何更有效的利用貝葉斯庫如何使梭子魚反垃圾郵件防火墻的過濾效果更加精確

優化客戶策略12層過濾

梭子魚是垃圾郵件分層過濾技術的代表、垃圾郵件雞尾酒療法

的倡導者梭子魚中心7*24小時更新各類過濾庫，使得梭子魚始終具備最佳過濾效果。

這是梭子魚的核心競爭力。DoS攻擊防護堅固的操作系統健壯的MTA速率控制---防止洪水式垃圾郵件攻擊速率控制50是比較保守的設置一些客戶可以適當的降低這個安全級別警告–誤判難以診斷一般性設置為20-30每30分鐘大容量的接收者可能需要調到50以上或者速率控制排除列表IP分析IP分析梭子魚IP信譽庫梭子魚IP白名單客戶自定義的外部黑名單允許的IP地址（白）阻斷的IP地址（黑）IP分析可以使用梭子魚的RBL，也可以使用其他組織的。發件人驗證發件人驗證偽造發件人域檢查發件人欺騙保護發送方策略框架

(SPF)DomainKeys(系統版本3.5.11)垃圾發件人特征Usingnewdomainsthatsharenameserversofexistingspamdomains在域名注冊的第一天發送大量的郵件發件人認證可以在nslookup選擇txt類型查詢某個域的SPF記錄。防退信攻擊互聯網共享密鑰:test通過梭子魚郵件防火墻回復所有的外發郵件并且設置彈回抑制的共享密鑰。梭子魚垃圾郵件防火墻把共享密鑰附加在信封上。如果有效的彈回發生，梭子魚垃圾郵件防火墻會驗證在信封上的共享密鑰，然后允許彈回信息通過。在無效彈回信息的情況下，梭子魚垃圾郵件防火墻會拒絕彈回信息，因為信封上的共享密鑰不匹配。當這個特性開啟的時候，所有的在外發郵件上包含的共享密鑰會幫助梭子魚垃圾郵件防火墻決定合法的彈回信息和非法的彈回信息。

無效彈回抑制的兩種配置/BATV混合型–一臺梭子魚同時收發郵件服務器梭子魚垃圾郵件防火墻–混合型外發郵件

接收郵件用梭子魚垃圾郵件防火墻發送所有的外發郵件-外發模式郵件服務器BSF-外發模式互聯網共享密鑰:testBSF共享密鑰:test所有的外發郵件通過梭子魚垃圾郵件防火墻發送-外發模式在無效彈回抑制/BATV這個特性上，梭子魚垃圾郵件防火墻-外發模式是沒有區別的，但是彈回抑制共享密鑰需要同時匹配梭子魚垃圾郵件防火墻的接收模式和外發模式下的共享密鑰。外發郵件接收郵件發送行為防御方式從同一個地址發送大量垃圾郵件速率控制發送大量垃圾郵件到存在的用戶收件人驗證Usingnewdomainsthatsharenameserversofexistingspamdomains實時意圖分析郵件中好的URL里面內嵌垃圾多層意圖分析新注冊域名后即發送大量各種垃圾郵件預測意圖分析不同發件行為的防御方式DomainKeysDomainKeys能夠提供:發件人確認確認郵件沒有被篡改郵件中在DomainKey-Signature下的包頭和正文部分是被簽名的下圖是gmail郵件中信頭中這部分內容。DomainKeys的優點和缺點優點驗證郵件發件人驗證郵件正文通過DNS驗證和郵件轉發功能一起配合，效果更好缺點加密和解密密鑰需要更多的CPUDomainKeys工作機制何時用到DomainKeys打開:業務合作伙伴對他們的郵件進行簽名關閉:梭子魚反垃圾郵件防火墻性能快處理不過來的時候。收件人驗證收件人驗證的三種方法匹配列表(系統版本3.5.11)SMTP驗證LDAP驗證收件人驗證的三種方法匹配列表(系統版本3.5.11)SMTP驗證LDAP驗證BarracudaSpamFirewallModels100and200病毒掃描病毒防護的三層掃描

開源的病毒特征私有的病毒特征梭子魚零時病毒防御用戶自定義策略用戶自定義策略需要考慮的方面優點管理員可以隨時管理修改的配置立即生效策略選擇不能有從俄羅斯IP過來的郵件不能有粗魯的語言過濾掉包含不能退訂的郵件缺點垃圾郵件樣式改變的非常快配置錯誤的話可能發生誤判過多的規則會影響系統性能配置不當的規則會影響性能指紋分析指紋分析阻斷指紋匹配的郵件實時檢測已知附件檢測已知圖像檢測(更快的分析)意圖分析意圖分析梭子魚中心維護一個郵件正文里面的垃圾域名信譽庫意圖分析數據庫里包含的垃圾域名會半個小時更新一次在梭子魚的影響下，很多廠商都開始采用此項技術。連接到已知垃圾網站鏈接多層意圖分析阻攔垃圾郵件發送者的最新攻擊分析到受信任網站的鏈接

阻斷匹配意圖分析的郵件圖像分析梭子魚垃圾郵件圖像處理技術:

光學字符識別(OCR)把圖像轉變為文本進行分析定義專門的圖像垃圾規則From:"LelaTorres"<tkyqdapdoiljhhaqifq@>

Subject:fw:getinwhilethepriceisstilllow

梭子魚垃圾郵件圖像處理技術:

光學字符識別(OCR)垃圾郵件圖像的不斷發展使得OCR變得越來越難處理梭子魚公司在這方面會持續不斷的加強梭子魚垃圾郵件圖像處理技術:

指紋分析From:"JuanaGardner"<jicontact@>

Subject:getcheapvalium

在梭子魚中心每天分析數百萬的垃圾郵件圖像為每個圖片創建指紋阻斷郵件中包含已知指紋的郵件貝葉斯分析梭子魚貝葉斯引擎貝葉斯發現了可能性推論理論：根據經驗數據推算未來某件事發生的概率。垃圾郵件和正常郵件中詞匯出現的頻率不同。根據垃圾郵件和正常郵件中詞匯頻率推算一封新的郵件是垃圾郵件的可能信。對垃圾郵件貝葉斯評分加分；對正常郵件，貝葉斯評分減分。從而大幅度提高過濾精度。貝葉斯可以實現個性化過濾郵件評分設置郵件評分默認值是非常保守的根據過濾效果調整評分標準標準評分2–3.5標記3.5–5隔離5–9.9阻斷了解自己企業的郵件特點不同的企業郵件具有不同的特點，特別是不同的公司有正常郵件明顯區別。學會在郵件日志中快速的發現垃圾郵件改進過濾條件快速的發現誤判撤銷錯誤的配置兩種類型的垃圾郵件海量發送的垃圾郵件很多的郵件是從黑名單里的IP發送過來的尺寸更小、數量更大。更滑頭的垃圾郵件采用僵尸網絡通過垃圾郵件發送機發送自定義的圖像PDF附件海量垃圾郵件防御三種方法速率控制收件人驗證LDAP集成實時黑名單性能與精確度對比兼具性能和精確度速率控制RateControl實時黑名單梭子魚IP信譽庫收件人驗證意圖分析實時意圖分析郵件指紋僅具備精確度多層意圖分析圖片分析意圖分析垃圾郵件評分BarracudaC–

梭子魚病毒庫更新能力BarracudaC–TotalVirusesBlocked61全球反垃圾及病毒郵件的領導廠商62總結：五層連接檢查、七層內容檢查64基本安裝郵件傳輸原理梭子魚的安裝方式硬件安裝1.

將梭子魚垃圾郵件防火墻固定在一個標準的19英寸機架或者其他類似地點。注意：請勿遮擋住機器上方的冷卻通風口。2.將一根CAT5網線插到梭子魚垃圾郵件防火墻背面網絡接口中。梭子魚垃圾郵件防火墻支持10兆或100兆網卡，我們推薦使用100兆網絡連接。接上標準VGA顯示器及PS2鍵盤。3.插上電源線，連通電源。（風扇通電自檢旋轉約3秒）4.按下機器面板上的電源按鈕。機器前方電源指示燈將點亮。66指示燈名顏色說明阻斷郵件紅垃圾郵件或者病毒郵件被阻斷時閃爍警告郵件黃標記為垃圾郵件或者隔離時閃爍郵件綠設備收到郵件時閃爍硬盤綠硬盤工作時閃爍電源綠系統接通電源時持續綠燈前面板指示燈5梭子魚垃圾郵件防火墻前面板上有5個指示燈。含義如下：

注意：啟動時，左邊三個等同時亮，直到啟動結束。676RESET按鈕有兩個功能：

1、重啟動機器

2、重設IP地址（不推薦）--會導致密碼恢復到上一次的密碼：按RESET按鈕重啟動機器。按住RESET按鈕5秒鐘將把梭子魚IP地址設置為00。按住RESET按鈕8秒鐘將把梭子魚IP地址設置為00。按住RESET按鈕12秒鐘將把梭子魚IP地址設置為00。Web管理界面登陸密碼丟失？梭子魚工程師通過22端口遠程登陸到系統查找密碼。通過建立與梭子魚服務中心的連接獲得梭子魚工程師的遠程幫助

:8000/cgi-bin/support-tunnel.cgi

Recovery---恢復系統到出廠設置.Recovery啟動的時候出現菜單：1barracuda2recovery3hardware_test

選擇Recovery后，出現菜單:1.PerformFilesystemRepair(willnotcausedataloss)2.PerformFullSystemRe-image3.Enableremoteadministration(enablereversetunnel)4.Rundiagnosticmemorytest5.Exitrecoverymodeandreboot

設置IP地址（推薦）：接好顯示器和鍵盤。打開開關啟動梭子魚。機器啟動好后，“BarracudaLogin:”提示顯示在顯示器上。輸入登錄名admin、密碼admin(此密碼不同于web界面的密碼，用不改變)。屏幕將顯示目前的系統IP配置。使用Tab鍵，輸入新的IP地址，網絡掩碼及缺省網關后選擇。如果需要保存新的IP請選擇YES，不保存則選擇NO。

71

WEB基本設置8、設定系統IP地址后，您可以從管理界面配置梭子魚垃圾郵件防火墻。

檢查訪問的機器與梭子魚垃圾郵件防火墻連接在同一個網絡中，

可以通過WEB瀏覽器直接連接到系統IP地址。

9、打開一個WEB瀏覽器，輸入梭子魚垃圾郵件防火墻的IP地址，端

口為8000。舉例：50:8000

10、進入登陸界面，輸入用戶名admin，密碼admin。

11、到基本IP設置頁，輸入所需信息。72梭子魚的web管理界面73A設置IP地址、子網掩碼及缺省網關。B輸入目標郵件服務器的名稱或地址，輸入一個有效的郵件賬號測試一下梭子魚與郵件服務器的連接。C輸入所在網絡的DNS服務器名稱。D輸入梭子魚垃圾郵件防火墻的主機名和域名（在彈回郵件中使用，主機名不要與郵件服務器的主機名相同）。E添加許可的收件人域，除添加的域之外，梭子魚將拒絕所有其他域的郵件。（如需要添加多域多服務器，請到域設置中進行完整的設置）F設置完畢請按保存鍵。注意，如果您修改了IP地址，將與梭子魚垃圾郵件防火墻斷開，需要用新的IP地址登陸。74ABCD不可以與郵件服務器主機同名，否則郵件無法發送到郵件服務器上75E*在WEB管理界面中基礎—>管理頁中進行遠程關機或重啟動，不要直接按電源開關關機。多次非正常關機可能造成系統無法啟動。7612到基本管理頁面進行以下操作：A給梭子魚垃圾郵件防火墻指定一個新的管理員密碼（可選）B確定當地的時區選擇正確，確定默認編碼選擇為UTF-8編碼。C點擊保存修改梭子魚垃圾郵件防火墻現在配置完成，準備過濾所有收到的郵件，并將合法郵件轉發到你的郵件服務器上。

77郵件傳輸的基本原理用telnet發送郵件郵件的傳輸原理DNS與防火墻78SMTP命令telnet25模擬郵件發送79郵件的發送原理80郵件路由MUAMUA路由（用戶端到郵件服務器）－－A記錄此處填寫的是郵件服務器的A記錄或者IP地址A(Address)記錄是用來指定主機名（或域名）對應的IP地址記錄。S----A記錄是1381郵件服務器直接的SMTP傳輸，需要解析MX記錄。MX（MailExchanger）是郵件交換記錄，它指向一個郵件服務器，用于電子郵件系統發郵件時根據收信人的地址后綴來定位郵件服務器.zkxiao@126.-----MX記錄是35郵件路由MTA82圖解郵件傳輸83發送服務器查詢DNS找到目標郵件服務器地址84獲取地址后，采用SMTP傳輸郵件。85nslookupsettype＝asettype＝mxserver命令exit練習，試用nslookup工具搜索您公司的www主機記錄和郵件記錄。如何查詢DNS記錄-nslookup命令簡介86防火墻的作用防火墻通過NAT或PAT將內部的郵件服務器發部到Internet上。PAT地址映射舉例88梭子魚的安裝模式1.MX記錄轉發安裝方式2.端口轉發安裝模式89典型的MX轉安裝方案

MX

A未過濾郵件原網絡拓撲90典型的MX轉發安裝方案

MX10MX5A

安裝要點：在域名服務器（DNS）上為梭子魚垃圾郵件防火墻創建一個優先級更高的MXrecord:INMX591有防火墻的MX轉發安裝方案安裝要點：在域名服務器（DNS）上為梭子魚垃圾郵件防火墻創建一個優先級更高的MXrecord:INMX5Mailservers05MX9MX10AABarracuda400525692只保留一條MX記錄的安裝方案93端口轉發安裝模式原網絡拓撲94安裝梭子魚后的網絡拓撲95端口方向協議使用22進TCP遠程檢查及服務25進/出TCP/UDP郵件及郵件彈回53進/出TCP/UDP域名服務器(DNS)80出TCP/UDP病毒、固件、垃圾郵件規則庫升級123進/出UDP網絡時間協議(NTP)2703進/出TCP/UDP收到的郵件指紋6277進/出TCP/UDP收到的郵件指紋梭子魚需要開放的端口96網絡路由分析問題：內網用戶采用outlook發送、接收郵件；126.Com發送給該用戶一封郵件，經過了哪些設備？該用戶發送郵件到126.com經過了哪些網絡設備？97網絡路由分析該用戶為漫游用戶，采用outlook發送、接收郵件；126.Com發送給該用戶一封郵件，經過了哪些設備？該用戶發送郵件到126.com經過了哪些網絡設備？轉發設置—信任轉發如需要通過梭子魚外發郵件，必須設置轉發許可問題：如果信任轉發IP區間填寫的是，掩碼是表示什么含義？轉發設置—認證轉發如果客戶端直接連接到梭子魚外發郵件，宜設置認證轉發端口轉發方式變體1port25未過濾郵件port110pop3port80webmail已過濾郵件port110pop3port80webmail安裝要點：1防火墻將原郵件服務器的公網IP映射到梭子魚上。2在梭子魚高級設置/IP高級設置中設置端口重定向將110、80等端口映射到郵件服務器上。3在梭子魚高級設置/信任轉發中設置信任轉發或認證。port25未過濾郵件port110pop3port80webmail已過濾郵件port110pop3port80webmail安裝要點：1梭子魚使用郵件服務器的IP，郵件服務器更換其他IP。2在梭子魚高級設置/IP高級設置中設置端口重定向將110、80等端口映射到郵件服務器上。3在梭子魚高級設置/信任轉發中設置信任轉發或認證。端口轉發方式變體2外發過濾T安裝要點：1在郵件系統中設置將所有外發的郵件指定發送到梭子魚上。2在梭子魚高級設置/允許轉發中設置允許郵件服務器轉發。案例普利司通郵件系統概述：1普利司通中國總部在天津，全國有若干分公司和辦事處，多數分公司通過專線接入到總部網絡。每個分公司都有各自的郵件域名，例如天津總部的郵件域為。但郵件服務由同一臺郵件系統提供。上圖中0。郵件服務器的域名是mail..2exchange郵件系統普利司通郵件用戶如何使用郵件系統絕大多數員工使用郵件客戶端工具（如outlook）收發郵件，也有部分用戶使用webmail方式收發郵件。Outlook中郵箱設置的smtp及pop服務器均填寫郵件服務器的域名。如天津總部填寫。郵件服務器要求需要SMTP認證。普利司通郵件流分析來自internat的外部郵件經過解析最終發送到郵件服務器的外部IP上即：。該IP上的服務smtp、pop、https均通過防火墻映射到郵件服務器上。內部用戶及專線接入的分公司用戶則由內部dns解析到郵件服務器的內部IP上，即0。案例分享-中山大學反垃圾郵件解決方案需求：1、對所有外部發來的郵件進行過濾，外發郵件過濾。2、雙機熱備，保證郵件服務的可用性。產品界面系統狀態和郵件日志梭子魚郵件安全解決方案之虛擬化特點：1、和梭子魚硬件產品一樣的功能和技術。2、安裝十分簡單方便。3、和梭子魚硬件產品兼容。4、即插即用部署。5、總體擁有成本低。梭子魚郵件安全解決方案之云服務基于云的郵件安全和數據防丟失方案特點：1、不需要購買軟硬件，只需購買服務。2、節省