Giải pháp chống Spam/Virus toàn diện cho hệ thống thư tín Enterprise với Exchange 2007 + Forefront Security for Exchange.

Vũ Nguyễn Cao Sơn

vncson.wordpress.com

1 TỔNG QUAN VỀ GIẢI PHÁP CHỐNG SPAM VÀ VIRUS VỚI

EXCHANGE SERVER 2007 VÀ FOREFRONT SECURITY FOR

EXCHANGE

Với việc triển khai ứng dụng hai hệ thống thư tín Exchange 2007 cùng như bộ

sản phẩm chống virus/spam Forefront Security for Exchange (FSE), khách

hàng sẽ có một hệ thống kiểm soát an toàn an ninh cũng như chống spam vững

chắc thỏa mãn với các tính năng:

1.1 Được xây dựng theo mô hình phòng thủ theo chiều sâu:

Hệ thống FSE cho phép kết hợp với cấu hình chống spam tại Microsoft

Outlook ở máy trạm cho phép đảm bảo chống lại mọi nguy cơ

virus/malware/Trojan/spam/web bacon từ email nhưng vẫn đảm bảo tính

tùy biến chống spam theo từng cá nhân.

Hệ thống FSE triển khai tại nhóm máy chủ Mailbox Exchange 2007 cho

phép chặn lọc virus/malware/Trojan/spam cho dữ liệu mail lưu trên máy

chủ Mailbox Exchange với 9 bộ lọc khác nhau.

Hệ thống FSE triển khai tại khu vực máy chủ Hub Transport kết hợp với

cấu hình chống spam trên máy chủ Hub Transport cho phép chặn lọc

virus/malware/Trojan/spam cho các luồng thư tín lưu chuyển trong nội

mạng với 9 bộ lọc khác nhau.

Hệ thống FSE triển khai tại khu vực máy chủ internet gateway Edge

Transport kết hợp với cấu hình chống spam trên máy chủ Edge Tranport

cho phép chặn lọc virus/malware/Trojan/spam đôi với luồng thư tín từ

ngoài internet vào hệ thống nội bộ với 9 bộ lọc khác nhau.

1.2 Cho phép triển khai diện rộng nhanh chóng và thuận tiện nhất nhưng vẫn

đảm bảo tính liên tục của hệ thống:

Việc triển khai hệ thống chống virus/spam FSE có thể được cài đặt ngay

trên các máy chủ Exchange 2007 mà không cần tốn thêm máy chủ riêng.

Việc triển khai hệ thống chống virus/spam FSE có thể thực hiện theo

từng giai đoạn từ việc triển khai cần triển khai tại khu vực máy chủ internet

gateway Edge Transport để chặn lọc virus/spam từ internet cho đến triển

khai trên các role Edge/Hub/Mailbox để đảm bảo khả năng phòng chống

theo chiều sâu hoặc lẫn khả năng chặn lọc spam nội mạng.

Việc triển khai hệ thống chống virus/spam tại khu vực máy chủ thư tín

như Mailbox/Hub Transport/Edge Transport có thể triển khai trên một lớp

hoặc tất cả các lớp. Việc cấu hình chống spam/virus cũng có thể được cấu

hình để quét tại mọi điểm với cùng lúc 5 bộ lọc khi có tình trạng spam diễn

ra mạnh cũng như có thể đựoc cấu hình chỉ quét tại một lớp duy nhất như

Hub Transport chẳng hạn với chỉ 2 bộ lọc để giảm tải cho hệ thống máy chủ

mail Exchange.

1.3 Có khả năng chặn lọc và giám sát tập trung cho cả hai loại hình luồng thư

tín nội mạng – với internet:

Spam được gửi trong mạng nội bộ (Local Site) hoặc liên mạng

cục bộ (intranet): Vấn đề chống virus/spam được xử lý theo cả hai hình

thức chủ động lẫn bị động với sự kết hợp của việc triển khai hệ thống xưong

sống AD/Exchange và Forefront Suite từ phía máy đầu cuối cho đến phía

máy chủ Mailbox và Hub Transport. Phân tích chi tiết cho phần được diễn

giải ở phần 3.1 .

Thư rác được gửi từ internet vào hệ thống nội bộ: Vấn đề chống

virus/spam từ phía internet cần được tối ưu tiên cao nhất trong mô hình

thiết chống spam. Mô hình phòng chống spam có thể triển theo theo mô

hình phân lớp và cụm máy chủ chia tải để đảm bảo tải hệ thống lẫn khả năng

phòng chống theo chiều lâu các tấn công do virus/spam gây ra theo. Mô

hình chống virus/spam là sự kết hợp xuyên suốt giữa các hệ thống AD –

Exchange – Forefront Suite – Microsoft Outlook Client.

2 CÁC GIẢI PHÁP CHỐNG SPAM VÀ VIRUS CHO NỘI MẠNG VÀ TỪ

INTERNET CHO HỆ THỐNG THƯ TÍN

2.1 Giải pháp chống spam và virus qua email từ internet vào nội mạng

Hình 1: Mô hình phòng chống virus/spam với AD-Exchange-Forefront Suite

theo nhiều lớp

FSE tích hợp với Exchange 2007 cho phép triển khai giải pháp chống spam

bằng nhiều phương thức:

Chống spam tại Mail internet gateway tại Edge Transport hoặc tại Hub

Transport nếu không triển khai SMTP Gateway như bộ lọc kết nối

(Connection Filtering) với IP Block List/ IP Allow List/ Ip Block List

Providers/ IP Allow List Providers cho phép thiết lập hoặc loại bỏ kết nối

đến Ip hay subnet là nguồn spam cho phép loại trừ đến trên 80% lưu lượng

spam từ internet.

Hình 2: Lọc chặn các nhóm IP phát tán spam với IP Block List.

Để chặn lọc tự động các nhóm IP phát tán spam cũng như những nhóm

IP an toàn, Admin sử dụng tính năng IP Block List Providers và IP Allow

List Providers để cập nhật tự động từ các DNSBL Provider chuyên cung cấp

dịch vụ như Spamhaus.org hoặc từ CSDL Premier-Antispam của Microsoft

được cập nhất nhiều lần trong ngày thông qua FSE.

Hình 3: Tự động chặn lọc các nhóm IP phát tán spam với IP Block List

Providers

Bộ lọc nơi gửi (sender Filtering) có thể là khóa các nguồn spam đến từ

các server nhóm địa chỉ gửi spam, bộ lọc xác thực nơi gửi (Sender ID)

Exchange áp dụng framework mới nhất về Sender ID cho phép chặn lọc

những thư mạo danh (spoofing), bộ lọc chống vét cạn địa chỉ kiểu

DOS/DDOS (recipient lookup) cho phép Mail Gateway chống lại hình thức

spam vét cạn địa chỉ để làm tiêu hao tài nguyên của hệ thống thư tín, bộ lọc

địa chỉ nhận (recipient lookup) giúp chống lại các hình thức spam trực tiếp

vào các device mailbox hay Global distribution group.

Hình 4:

Chống lại hình thức spam nặc danh (spoofing) với Sender ID.

Hình 5:

Bảo vệ danh sách user/nhóm user nội bộ với Recipient Lookup Filtering

Một trong các tính năng lọc spam quan trọng nhất của hệ thống thư tín

Exchange 2007 đó chính là bộ lọc nội dung (content filtering) bằng trí tuệ

nhân tạo IMF v3. Tính năng này có thể được triển khải tại máy chủ Mail

Gateway Edge Transport và Hub Transport cùng với tính năng Premier

AntiSpam của FSE cho phép tự động nhận spam thông minh theo từ

khóa/nhóm công việc/nhóm người dùng/theo luật ngữ cảnh và phân loại

chúng theo chỉ số tin cậy spam SCL từ 0 đến 9. Chỉ số SCL càng thấp sẽ càng

được tin cậy và chỉ số 7,8,9 sẽ được content filtering xác định là spam còn

nếu vào khoảng 5,6 thì sẽ được cho vào Junk Box của người dùng cuối và

người dùng cuối sẽ quyết định xem chúng liệu có phải là spam hay không .

Hình 6: Hành động tương ứng khi Content Filtering xác định SCL của mail.

Hình 7: Lọc nội dung spam theo từ khóa với Content Filtering.

Ngoài cơ chế lọc spam dựa trênnội dụng thì với bộ lọc Sender Reputation

khách hàng lại có thêm một bộ lọc tính điểm SRL từ 0 đến 9 dành cho IP.

Sender Reputation sử dụng một loạt các biện pháp để xác định hành vi của

IP gửi như thực hiện lện HELO/EHLO hoặc kiểm tra Reverse Lookup hay

check xem mail có được gửi thông qua các Open Proxy hay không. Và đặc

biệt Sender Reputation còn tương tác với SCL của Content Filtering để đánh

điểm cho IP gửi tương ứng.

Hình 8: Bộ lọc trí SRL cho IP với Sender Reputation.

Hình 9: Chặn lọc nguồn spam bằng trí tuệ nhân tạo với Sender Reputation.

Với tính năng Premier Antispam của Forefont for Exchange, các cơ chế

chống spam bằng trí tuệ nhân tạo có sẵn trên Exchange 2007 như Content

Filtering hoặc Sender Reputation được FSE bổ sung nguồn CSDL chống

spam khổng lồ Microsoft thu thập được từ hệ thống hotmail khổng lồ trên

toàn thế giới được cập nhật hằng tuần thậm chí nhiều lần trong ngày giúp

cho cơ các cơ chế filtering của Exchange 2007 Gateway tại DMZ hoạt động

hiệu quả mà không cần phải có thêm bổ trợ chống virus/spam nào .

Hình 10: Active Premier-Antispam cho Exchange 2007.

Khả năng chống virus cho Exchange Gateway được thực hiện triệt để

ngay tại lớp này cho phép gạt bỏ các file đính kem độc hai, khóa các email

chứ script độc bằng phương pháp attachment stripping và virus scanning.

Hình 11: Lọc virus ngày từ Gateway Mail với tính năng Antivirus của

Forefront Security for Exchange.

Với cơ chế xác định và nhận dạng theo tiêu chí người dùng dựa trên công

nghệ rating SCL ở Mailbox Server cũng như Blacklist/Whitelist do người

dùng cuối thiết lập trên MS Outlook cho phép Mailserver gửi đúng email

vào inbox hay junkbox tùy theo thiết lập người dùng.

2.2 Giải pháp chống spam và virus qua email trong nội mạng

Hình thức chống spam nội mạng hoặc liên mạng nội bộ (intranet) dù là hình

thức không phổ biến so với spam từ internet vào tuy nhiên vẫn có thể xảy ra do

các nguyên nhân:

Virus/Trojan/malware tự kích hoạt và quét danh bạ và spam cho các

máy khác trong mạng hòng làm tăng mức độ lây nhiễm hoặc nhằm vào mục

đích xấu của kẻ tấn công như phishing ăn cắp dữ liệu chẳng hạn.

Do người dùng vô tình hay cố ý spam vào các Global Distribution Group

hoặc các nhóm người dùng nội mạng hoặc liên mạng nội bộ (intranet).

Hình 12: Chống spam nội bộ tại từng vùng mạng ở mỗi khu vực

Các thức xử lý của Exchange 2007 + Forefront Suite cho vấn đề spam nội mạng

và liên mạng nội bộ (intranet):

Virus/Trojan/malware:

Chặn tại lớp máy đầu cuối: hệ thống Forefront Client Security

sẽ giúp xử lý triệt tại máy trạm.

Chặn tại lớp máy chủ Mailbox Server /Hub Transport:

Trong nội mạng: Trong trường hợp (1) người dùng spam đến

cho những user hoặc group user nằm chung Mailbox Server thì mail

sẽ đi qua Hub Transport và quay chở lại Mailbox Server đó. Trong

trường hợp (2) người dùng spam đến user/group user không thuộc

cùng máy chủ Mailbox thì mail sẽ đi qua Hub Transport Như vậy mail

nội mạng sẽ phải đi qua Mailbox Server/Hub Transport nên

virus/Trojan/malware/spam vì lý do nào đó mà lọt qua lớp bảo vệ của

máy trạm sẽ được Forefront for Exchange kết hợp với khả năng chống

spam sẵn có trên Hub Transport quét lại tại 2 lớp này với thư lưu trú ở

Hub Transport và thư nằm trong Send Box của user thực hiện spam

tại Mailbox chứa user spam.

Trong trường hợp liên mạng nội bộ (intranet): người dùng

spam đến nhóm người dùng nằm ở site khác chẳng hạn từ Hà Nội

spam vào Hồ Chí Minh thì mail sẽ phải đi qua Mailbox nội bộ nơi

chứa user spam và đến Hub Transport thuộc site user spam và đi đến

Hub Transport tại site chứa user/group user nhận spam (3). Như vậy

trong trường hợp liên mạng mail cũng sẽ phải đi qua các lớp Mailbox

và Hubtransport nên virus/Trojan/malware/spam vì lý do nào đó mà

lọt qua lớp bảo vệ của máy trạm sẽ được Forefront for Exchange kết

hợp với khả năng chống spam sẵn có trên các Hub Transport ở các

site quét lại tại khi các thư lưu trú trên đó và thư nằm trong Send Box

của user thực hiện spam tại Mailbox chứa user spam.

Hình 13: Forefront Suite với 9 bộ engine chống virus/trojan/malware

Do người dùng vô tình hay có ý spam. Để xử lý vấn đề này ngoài

CSDL chống spam/virus sẵn có Exchange + Forefront còn cung cấp khả

năng xử lý các tình huống do con người gây ra bằng cách kết hợp giữa giám

sát và bộ lọc nội dung :

Giám sát chủ động bằng Exchange Console và Powershell script:

Với giao diện theo dõi Mail Flow và Message Tracking cộng với viết 1

script powershell để kích hoạt việc gởi mail thông báo hoặc kích hoạt tự

động hệ thống tường lửa “chính sách” để ngăn chặn luồng spam đến từ

user khả nghi theo dạng thực số lượng email/dung lượng trong một thời

gian nhất định.

Hình 14: Cơ chế giám sát Message của Exchange

Bộ lọc nội dung (ethic firewall) hay còn gọi là tường lửa chính sách

tại Mail Gateway Edge Transport và Hub Transport cho phép lọc theo từ

khóa/nhóm công việc/nhóm người dùng/theo luật ngữ cảnh. Với tường

lửa chính sách Exchange cung cấp không chỉ khả năng chặn lọc không

báo lại cho user spam mà còn cho phép hiệu chỉnh rất chi tiết và nội

dung thư như tự BCC / xóa file đính kèm/ thêm dòng cảnh báo thư gửi ra

vào.

Hình 15: Tường lửa chính sách của Exchange