Thegioimang.org-Giai Phap Chong Spam(Ex2007+TMG)
Transcript of Thegioimang.org-Giai Phap Chong Spam(Ex2007+TMG)
Giải pháp chống Spam/Virus toàn diện cho hệ thống thư tín Enterprise với Exchange 2007 + Forefront Security for Exchange.
Vũ Nguyễn Cao Sơn
vncson.wordpress.com
1 TỔNG QUAN VỀ GIẢI PHÁP CHỐNG SPAM VÀ VIRUS VỚI
EXCHANGE SERVER 2007 VÀ FOREFRONT SECURITY FOR
EXCHANGE
Với việc triển khai ứng dụng hai hệ thống thư tín Exchange 2007 cùng như bộ
sản phẩm chống virus/spam Forefront Security for Exchange (FSE), khách
hàng sẽ có một hệ thống kiểm soát an toàn an ninh cũng như chống spam vững
chắc thỏa mãn với các tính năng:
1.1 Được xây dựng theo mô hình phòng thủ theo chiều sâu:
Hệ thống FSE cho phép kết hợp với cấu hình chống spam tại Microsoft
Outlook ở máy trạm cho phép đảm bảo chống lại mọi nguy cơ
virus/malware/Trojan/spam/web bacon từ email nhưng vẫn đảm bảo tính
tùy biến chống spam theo từng cá nhân.
Hệ thống FSE triển khai tại nhóm máy chủ Mailbox Exchange 2007 cho
phép chặn lọc virus/malware/Trojan/spam cho dữ liệu mail lưu trên máy
chủ Mailbox Exchange với 9 bộ lọc khác nhau.
Hệ thống FSE triển khai tại khu vực máy chủ Hub Transport kết hợp với
cấu hình chống spam trên máy chủ Hub Transport cho phép chặn lọc
virus/malware/Trojan/spam cho các luồng thư tín lưu chuyển trong nội
mạng với 9 bộ lọc khác nhau.
Hệ thống FSE triển khai tại khu vực máy chủ internet gateway Edge
Transport kết hợp với cấu hình chống spam trên máy chủ Edge Tranport
cho phép chặn lọc virus/malware/Trojan/spam đôi với luồng thư tín từ
ngoài internet vào hệ thống nội bộ với 9 bộ lọc khác nhau.
1.2 Cho phép triển khai diện rộng nhanh chóng và thuận tiện nhất nhưng vẫn
đảm bảo tính liên tục của hệ thống:
Việc triển khai hệ thống chống virus/spam FSE có thể được cài đặt ngay
trên các máy chủ Exchange 2007 mà không cần tốn thêm máy chủ riêng.
Việc triển khai hệ thống chống virus/spam FSE có thể thực hiện theo
từng giai đoạn từ việc triển khai cần triển khai tại khu vực máy chủ internet
gateway Edge Transport để chặn lọc virus/spam từ internet cho đến triển
khai trên các role Edge/Hub/Mailbox để đảm bảo khả năng phòng chống
theo chiều sâu hoặc lẫn khả năng chặn lọc spam nội mạng.
Việc triển khai hệ thống chống virus/spam tại khu vực máy chủ thư tín
như Mailbox/Hub Transport/Edge Transport có thể triển khai trên một lớp
hoặc tất cả các lớp. Việc cấu hình chống spam/virus cũng có thể được cấu
hình để quét tại mọi điểm với cùng lúc 5 bộ lọc khi có tình trạng spam diễn
ra mạnh cũng như có thể đựoc cấu hình chỉ quét tại một lớp duy nhất như
Hub Transport chẳng hạn với chỉ 2 bộ lọc để giảm tải cho hệ thống máy chủ
mail Exchange.
1.3 Có khả năng chặn lọc và giám sát tập trung cho cả hai loại hình luồng thư
tín nội mạng – với internet:
Spam được gửi trong mạng nội bộ (Local Site) hoặc liên mạng
cục bộ (intranet): Vấn đề chống virus/spam được xử lý theo cả hai hình
thức chủ động lẫn bị động với sự kết hợp của việc triển khai hệ thống xưong
sống AD/Exchange và Forefront Suite từ phía máy đầu cuối cho đến phía
máy chủ Mailbox và Hub Transport. Phân tích chi tiết cho phần được diễn
giải ở phần 3.1 .
Thư rác được gửi từ internet vào hệ thống nội bộ: Vấn đề chống
virus/spam từ phía internet cần được tối ưu tiên cao nhất trong mô hình
thiết chống spam. Mô hình phòng chống spam có thể triển theo theo mô
hình phân lớp và cụm máy chủ chia tải để đảm bảo tải hệ thống lẫn khả năng
phòng chống theo chiều lâu các tấn công do virus/spam gây ra theo. Mô
hình chống virus/spam là sự kết hợp xuyên suốt giữa các hệ thống AD –
Exchange – Forefront Suite – Microsoft Outlook Client.
2 CÁC GIẢI PHÁP CHỐNG SPAM VÀ VIRUS CHO NỘI MẠNG VÀ TỪ
INTERNET CHO HỆ THỐNG THƯ TÍN
2.1 Giải pháp chống spam và virus qua email từ internet vào nội mạng
Hình 1: Mô hình phòng chống virus/spam với AD-Exchange-Forefront Suite
theo nhiều lớp
FSE tích hợp với Exchange 2007 cho phép triển khai giải pháp chống spam
bằng nhiều phương thức:
Chống spam tại Mail internet gateway tại Edge Transport hoặc tại Hub
Transport nếu không triển khai SMTP Gateway như bộ lọc kết nối
(Connection Filtering) với IP Block List/ IP Allow List/ Ip Block List
Providers/ IP Allow List Providers cho phép thiết lập hoặc loại bỏ kết nối
đến Ip hay subnet là nguồn spam cho phép loại trừ đến trên 80% lưu lượng
spam từ internet.
Hình 2: Lọc chặn các nhóm IP phát tán spam với IP Block List.
Để chặn lọc tự động các nhóm IP phát tán spam cũng như những nhóm
IP an toàn, Admin sử dụng tính năng IP Block List Providers và IP Allow
List Providers để cập nhật tự động từ các DNSBL Provider chuyên cung cấp
dịch vụ như Spamhaus.org hoặc từ CSDL Premier-Antispam của Microsoft
được cập nhất nhiều lần trong ngày thông qua FSE.
Hình 3: Tự động chặn lọc các nhóm IP phát tán spam với IP Block List
Providers
Bộ lọc nơi gửi (sender Filtering) có thể là khóa các nguồn spam đến từ
các server nhóm địa chỉ gửi spam, bộ lọc xác thực nơi gửi (Sender ID)
Exchange áp dụng framework mới nhất về Sender ID cho phép chặn lọc
những thư mạo danh (spoofing), bộ lọc chống vét cạn địa chỉ kiểu
DOS/DDOS (recipient lookup) cho phép Mail Gateway chống lại hình thức
spam vét cạn địa chỉ để làm tiêu hao tài nguyên của hệ thống thư tín, bộ lọc
địa chỉ nhận (recipient lookup) giúp chống lại các hình thức spam trực tiếp
vào các device mailbox hay Global distribution group.
Hình 4:
Chống lại hình thức spam nặc danh (spoofing) với Sender ID.
Hình 5:
Bảo vệ danh sách user/nhóm user nội bộ với Recipient Lookup Filtering
Một trong các tính năng lọc spam quan trọng nhất của hệ thống thư tín
Exchange 2007 đó chính là bộ lọc nội dung (content filtering) bằng trí tuệ
nhân tạo IMF v3. Tính năng này có thể được triển khải tại máy chủ Mail
Gateway Edge Transport và Hub Transport cùng với tính năng Premier
AntiSpam của FSE cho phép tự động nhận spam thông minh theo từ
khóa/nhóm công việc/nhóm người dùng/theo luật ngữ cảnh và phân loại
chúng theo chỉ số tin cậy spam SCL từ 0 đến 9. Chỉ số SCL càng thấp sẽ càng
được tin cậy và chỉ số 7,8,9 sẽ được content filtering xác định là spam còn
nếu vào khoảng 5,6 thì sẽ được cho vào Junk Box của người dùng cuối và
người dùng cuối sẽ quyết định xem chúng liệu có phải là spam hay không .
Hình 6: Hành động tương ứng khi Content Filtering xác định SCL của mail.
Hình 7: Lọc nội dung spam theo từ khóa với Content Filtering.
Ngoài cơ chế lọc spam dựa trênnội dụng thì với bộ lọc Sender Reputation
khách hàng lại có thêm một bộ lọc tính điểm SRL từ 0 đến 9 dành cho IP.
Sender Reputation sử dụng một loạt các biện pháp để xác định hành vi của
IP gửi như thực hiện lện HELO/EHLO hoặc kiểm tra Reverse Lookup hay
check xem mail có được gửi thông qua các Open Proxy hay không. Và đặc
biệt Sender Reputation còn tương tác với SCL của Content Filtering để đánh
điểm cho IP gửi tương ứng.
Hình 8: Bộ lọc trí SRL cho IP với Sender Reputation.
Hình 9: Chặn lọc nguồn spam bằng trí tuệ nhân tạo với Sender Reputation.
Với tính năng Premier Antispam của Forefont for Exchange, các cơ chế
chống spam bằng trí tuệ nhân tạo có sẵn trên Exchange 2007 như Content
Filtering hoặc Sender Reputation được FSE bổ sung nguồn CSDL chống
spam khổng lồ Microsoft thu thập được từ hệ thống hotmail khổng lồ trên
toàn thế giới được cập nhật hằng tuần thậm chí nhiều lần trong ngày giúp
cho cơ các cơ chế filtering của Exchange 2007 Gateway tại DMZ hoạt động
hiệu quả mà không cần phải có thêm bổ trợ chống virus/spam nào .
Hình 10: Active Premier-Antispam cho Exchange 2007.
Khả năng chống virus cho Exchange Gateway được thực hiện triệt để
ngay tại lớp này cho phép gạt bỏ các file đính kem độc hai, khóa các email
chứ script độc bằng phương pháp attachment stripping và virus scanning.
Hình 11: Lọc virus ngày từ Gateway Mail với tính năng Antivirus của
Forefront Security for Exchange.
Với cơ chế xác định và nhận dạng theo tiêu chí người dùng dựa trên công
nghệ rating SCL ở Mailbox Server cũng như Blacklist/Whitelist do người
dùng cuối thiết lập trên MS Outlook cho phép Mailserver gửi đúng email
vào inbox hay junkbox tùy theo thiết lập người dùng.
2.2 Giải pháp chống spam và virus qua email trong nội mạng
Hình thức chống spam nội mạng hoặc liên mạng nội bộ (intranet) dù là hình
thức không phổ biến so với spam từ internet vào tuy nhiên vẫn có thể xảy ra do
các nguyên nhân:
Virus/Trojan/malware tự kích hoạt và quét danh bạ và spam cho các
máy khác trong mạng hòng làm tăng mức độ lây nhiễm hoặc nhằm vào mục
đích xấu của kẻ tấn công như phishing ăn cắp dữ liệu chẳng hạn.
Do người dùng vô tình hay cố ý spam vào các Global Distribution Group
hoặc các nhóm người dùng nội mạng hoặc liên mạng nội bộ (intranet).
Hình 12: Chống spam nội bộ tại từng vùng mạng ở mỗi khu vực
Các thức xử lý của Exchange 2007 + Forefront Suite cho vấn đề spam nội mạng
và liên mạng nội bộ (intranet):
Virus/Trojan/malware:
Chặn tại lớp máy đầu cuối: hệ thống Forefront Client Security
sẽ giúp xử lý triệt tại máy trạm.
Chặn tại lớp máy chủ Mailbox Server /Hub Transport:
Trong nội mạng: Trong trường hợp (1) người dùng spam đến
cho những user hoặc group user nằm chung Mailbox Server thì mail
sẽ đi qua Hub Transport và quay chở lại Mailbox Server đó. Trong
trường hợp (2) người dùng spam đến user/group user không thuộc
cùng máy chủ Mailbox thì mail sẽ đi qua Hub Transport Như vậy mail
nội mạng sẽ phải đi qua Mailbox Server/Hub Transport nên
virus/Trojan/malware/spam vì lý do nào đó mà lọt qua lớp bảo vệ của
máy trạm sẽ được Forefront for Exchange kết hợp với khả năng chống
spam sẵn có trên Hub Transport quét lại tại 2 lớp này với thư lưu trú ở
Hub Transport và thư nằm trong Send Box của user thực hiện spam
tại Mailbox chứa user spam.
Trong trường hợp liên mạng nội bộ (intranet): người dùng
spam đến nhóm người dùng nằm ở site khác chẳng hạn từ Hà Nội
spam vào Hồ Chí Minh thì mail sẽ phải đi qua Mailbox nội bộ nơi
chứa user spam và đến Hub Transport thuộc site user spam và đi đến
Hub Transport tại site chứa user/group user nhận spam (3). Như vậy
trong trường hợp liên mạng mail cũng sẽ phải đi qua các lớp Mailbox
và Hubtransport nên virus/Trojan/malware/spam vì lý do nào đó mà
lọt qua lớp bảo vệ của máy trạm sẽ được Forefront for Exchange kết
hợp với khả năng chống spam sẵn có trên các Hub Transport ở các
site quét lại tại khi các thư lưu trú trên đó và thư nằm trong Send Box
của user thực hiện spam tại Mailbox chứa user spam.
Hình 13: Forefront Suite với 9 bộ engine chống virus/trojan/malware
Do người dùng vô tình hay có ý spam. Để xử lý vấn đề này ngoài
CSDL chống spam/virus sẵn có Exchange + Forefront còn cung cấp khả
năng xử lý các tình huống do con người gây ra bằng cách kết hợp giữa giám
sát và bộ lọc nội dung :
Giám sát chủ động bằng Exchange Console và Powershell script:
Với giao diện theo dõi Mail Flow và Message Tracking cộng với viết 1
script powershell để kích hoạt việc gởi mail thông báo hoặc kích hoạt tự
động hệ thống tường lửa “chính sách” để ngăn chặn luồng spam đến từ
user khả nghi theo dạng thực số lượng email/dung lượng trong một thời
gian nhất định.
Hình 14: Cơ chế giám sát Message của Exchange
Bộ lọc nội dung (ethic firewall) hay còn gọi là tường lửa chính sách
tại Mail Gateway Edge Transport và Hub Transport cho phép lọc theo từ
khóa/nhóm công việc/nhóm người dùng/theo luật ngữ cảnh. Với tường
lửa chính sách Exchange cung cấp không chỉ khả năng chặn lọc không
báo lại cho user spam mà còn cho phép hiệu chỉnh rất chi tiết và nội
dung thư như tự BCC / xóa file đính kèm/ thêm dòng cảnh báo thư gửi ra
vào.
Hình 15: Tường lửa chính sách của Exchange