【强叔侃墙第二季】10 邮件虽小需治理,双管齐下解难题---邮件过滤特性配置

digest [复制链接]
发表于 : 2015-9-28 09:54:07 最新回复:2019-08-16 09:27:52
7848 8
强叔侃墙
强叔侃墙 官方号

上一篇我们介绍了邮件过滤特性的实现原理,邮件过滤特性包括垃圾邮件过滤和邮件内容过滤两大功能,既可以解决垃圾邮件泛滥的问题,又能够实现多样化的邮件管控需求。
在NGFW上,垃圾邮件过滤和邮件内容过滤在配置上相对比较独立,设置好各自的参数后,统一归并到邮件过滤配置文件中。

邮件过滤与周边特性逻辑关系

与前面我们介绍过的AV、IPS、URL过滤特性相似,邮件过滤特性的配置也涉及多个功能模块,需要这些模块之间相互配合协作,如下图所示。

【强叔侃墙第二季】10 邮件虽小需治理,双管齐下解难题---邮件过滤特性配置-1295393-1

 

邮件过滤特性的主体配置是邮件过滤配置文件和安全策略。邮件过滤配置文件中定义了垃圾邮件过滤和邮件内容过滤两大功能;安全策略中定义了匹配条件(对哪些流量进行邮件过滤)、动作(必须为允许),然后引用邮件过滤配置文件。其它几个功能模块的作用如下:

A 设置邮件地址组,定义邮箱地址的匹配方式和字符串,供邮箱地址检查功能使用。

B 查看邮件过滤日志,检查是否存在将正常邮件误报为垃圾邮件的情况。如果存在误报,从日志中获取到被误阻断的邮件服务器的IP地址,添加到白名单中。

Web配置界面展示

下面给出了邮件过滤配置文件的Web配置界面(以USG6000 V100R001C30SPC100版本为例),并对界面上的配置项进行简要解释。

首先是垃圾邮件过滤的Web配置界面,界面中包括DNS服务器设置、白名单设置、黑名单设置以及RBL查询设置,如下图所示。RBL查询设置中可以配置多个RBL服务器,但同一时间只能启用一个RBL服务器。

【强叔侃墙第二季】10 邮件虽小需治理,双管齐下解难题---邮件过滤特性配置-1295393-2

 

然后是邮件过滤配置文件的Web配置界面,如下图所示。

【强叔侃墙第二季】10 邮件虽小需治理,双管齐下解难题---邮件过滤特性配置-1295393-3

 

在邮件过滤配置文件的Web配置界面中,1是基本信息配置区域;2是开启垃圾邮件过滤区域,开启后,将按照垃圾邮件过滤的Web配置界面中设置的参数对垃圾邮件进行过滤;3是匿名邮件检测配置区域;4是邮箱地址检查配置区域;5是邮件附件控制配置区域。

邮件过滤配置实例

下面我们进入实战部分,来看几个具体的配置实例。

举例1:检查发邮件邮箱地址,阻止外网恶意用户向企业内网发送邮件

如下图所示,某企业内网部署了邮件服务器,企业用户通过该服务器收发邮件。为了阻止外网恶意用户向内网用户发送邮件,企业管理员在NGFW上部署了邮件过滤特性,使用邮箱地址检查功能来过滤掉特定邮箱发送到企业内网的邮件。

【强叔侃墙第二季】10 邮件虽小需治理,双管齐下解难题---邮件过滤特性配置-1295393-4

 

首先,创建邮件地址组,添加恶意用户的邮箱地址(这里以“attacker@qiangshu.com”为例),指定匹配方式为精确匹配。创建好的邮件地址组供邮件过滤配置文件引用。

【强叔侃墙第二季】10 邮件虽小需治理,双管齐下解难题---邮件过滤特性配置-1295393-5

 

接下来,配置邮件过滤配置文件,对发送方向上的邮件的发件人邮箱地址进行检查,如果发件人的邮箱地址匹配邮件地址组中定义的邮箱地址,则阻断该邮件。

【强叔侃墙第二季】10 邮件虽小需治理,双管齐下解难题---邮件过滤特性配置-1295393-6

 

邮件过滤配置文件创建或修改后,必须在Web界面上执行“提交”操作才能生效。提交过程所需时间较长,请耐心等待,建议完成所有邮件过滤配置文件的配置后再统一进行提交。
最后,在安全策略中引用该配置文件。
完成上述配置后,恶意用户attacker@qiangshu.com向user1@huawei.com发送邮件时,邮件将被NGFW阻断,同时NGFW上会生成邮件过滤日志。而其他用户如user1@qiangshu.com则可以正常向user1@huawei.com发送邮件。
上述配置的命令行脚本如下:

#

mail-address-group name email_address

 pattern exact attacker@qiangshu.com

#

profile type mail-filter name email_filter_example1

 send-mail sender group name email_address

#

security-policy

 rule name policy_email_filter_example1

  source-zone untrust

  destination-zone dmz

  destination-address 192.168.1.0 mask 255.255.255.0

  profile mail-filter email_filter_example1

  action permit

#

举例2:实施邮件附件控制,阻止企业内网用户向外发送携带附件的邮件

如下图所示,某企业内网部署了邮件服务器,企业用户通过该服务器收发邮件。为了避免信息泄露,保证企业知识产权,企业安规要求内网用户发送邮件时不能带有附件。企业管理员在NGFW上部署了邮件过滤特性,使用邮件附件控制功能过滤掉企业用户发出的带有附件的邮件。

【强叔侃墙第二季】10 邮件虽小需治理,双管齐下解难题---邮件过滤特性配置-1295393-7

 

首先,配置邮件过滤配置文件,设置邮件附件控制功能中附件个数最大值为0,即不能发送带有附件的邮件。

【强叔侃墙第二季】10 邮件虽小需治理,双管齐下解难题---邮件过滤特性配置-1295393-8

 

配置完成后,执行“提交”操作,并在安全策略中引用该配置文件。
完成上述配置后,企业内网用户向外发送带有附件的邮件时,邮件将被NGFW阻断,同时NGFW上会生成邮件过滤日志。而企业内网用户向外发送不带有附件的邮件时,则可以正常发送。
上述配置的命令行脚本如下:

#

profile type mail-filter name email_filter_example2

 send-mail attachment max-amount 0 action block

#

security-policy

 rule name policy_email_filter_example2

  source-zone trust

  destination-zone dmz

  source-address 192.168.0.0 mask 255.255.255.0

  profile mail-filter email_filter_example2

  action permit

#

举例3:配置应用识别+URL过滤,禁止企业内网用户通过Web邮箱发送邮件

如下图所示,某企业没有部署自己的邮件服务器,而是使用Internet上的知名Web邮箱服务(如网易邮箱)来收发邮件。出于信息安全考虑,企业安规要求特定部门的员工只能通过Web邮箱接收邮件,不能向外发送邮件。

【强叔侃墙第二季】10 邮件虽小需治理,双管齐下解难题---邮件过滤特性配置-1295393-9

 

NGFW上的邮件过滤特性只支持SMTP、POP3和IMAP协议,不支持HTTP协议(Web邮箱),所以使用邮件过滤特性无法过滤Web邮箱的邮件。此时管理员可以综合运用应用识别+URL过滤功能,准确识别出Web邮箱的应用,然后基于URL过滤特性来阻断发送邮件的行为,实现上述需求。

首先,管理员需要分析员工使用网易Web邮箱收发邮件时的URL。管理员对员工与Web服务器之间交互的HTTP报文进行抓包,从HTTP POST报文中获取员工收发邮件时的URI信息。如下是员工发送邮件和回复邮件时使用的URI信息:

【强叔侃墙第二季】10 邮件虽小需治理,双管齐下解难题---邮件过滤特性配置-1295393-10

 

【强叔侃墙第二季】10 邮件虽小需治理,双管齐下解难题---邮件过滤特性配置-1295393-11

 

如下是员工接收邮件时使用的URI信息:

【强叔侃墙第二季】10 邮件虽小需治理,双管齐下解难题---邮件过滤特性配置-1295393-12

 

由报文中的URI信息可知,员工在发送或回复邮件时,使用的URL中都包含“action=deliver”字段;员工在接收邮件时,使用的URL中包含“action=read”字段。由此推断,“action”关键字表示的就是发送或接收邮件的动作,“action=deliver”即代表发送邮件动作。

这里为了保证过滤效果,还可以将“l=compose”字段也考虑进来,过滤掉包含这两个信息的URL,就可以阻断员工发送邮件的行为。

然后,创建URL自定义分类,使用关键字匹配方式,添加如下的URL条目:

【强叔侃墙第二季】10 邮件虽小需治理,双管齐下解难题---邮件过滤特性配置-1295393-13

 

然后,配置URL过滤配置文件,将自定义分类的动作设置成阻断。配置完成后,执行“提交”操作,并在安全策略中引用该配置文件。配置安全策略时一定要精确定义匹配条件,指定受控部门员工的IP地址,并指定应用为Netease_Webmail和HTTP,以免影响非受控部门员工的正常收发邮件行为。
完成上述配置后,企业内***定部门的员工只能通过网易Web邮箱接收邮件,不能发送邮件。这里仅以网易Web邮箱为例来说明配置思路,如果使用的是其他的Web邮箱,也需要仔细分析URL信息,精确定义URL条目。
上述配置的命令行脚本如下:

#

url-filter category user-defined name webmail_163_send

 add url *l=compose*

 add url *action=deliver*

#

profile type url-filter name profile_url_filter_163_send

 category user-defined name webmail_163_send action block

#

security-policy

 rule name policy_email_filter_example3

  source-zone trust

  destination-zone untrust

  source-address 192.168.0.0 mask 255.255.255.0

  application app Netease_Webmail

  application app HTTP

  profile url-filter profile_url_filter_163_send

  action permit

#

 

 

返回至汇总贴

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
saiyaren
saiyaren   发表于 2015-10-19 15:30:22 已赞(0) 赞(0)

强叔,像USG使用预定义的RBL服务器,是否还需要新建垃圾邮件配置文件,还是只需要填写DNS就可以?看之前USG的产品手册上只填写了DNS,没有新建垃圾邮件配置文件,NGFW是怎么整的?

  • x
  • 常规:

点评 回复

强叔侃墙
强叔侃墙 官方号 发表于 2015-10-19 15:59:52 已赞(0) 赞(0)

回复 5 楼

NGFW上的具体配置方式是这样:先定义反垃圾邮件的各个参数,如DNS服务器、黑白名单、RBL服务器、动作以及应答码等,其中RBL服务器、动作和应答码这几个参数属于垃圾邮件配置文件。

然后是在邮件内容过滤配置文件中勾选上垃圾邮件过滤的框,这样就能使用上面定义的那些参数了。

  • x
  • 常规:

点评 回复

员Lemon
员Lemon  专家 发表于 2015-9-28 11:49:37 已赞(0) 赞(0)

 好资料,多谢分享。
  • x
  • 常规:

点评 回复

zhiqianger
zhiqianger   发表于 2015-9-28 15:29:06 已赞(0) 赞(0)

谢谢分享。

 

  • x
  • 常规:

点评 回复

visa
visa   发表于 2015-9-28 21:14:18 已赞(0) 赞(0)

好资料多谢分享。

  • x
  • 常规:

点评 回复

黄诗海
黄诗海   发表于 2016-4-11 17:06:33 已赞(0) 赞(0)

篇篇收下。

  • x
  • 常规:

点评 回复

技术强者
技术强者   发表于 2016-4-11 21:40:34 已赞(0) 赞(0)

学习了,非常好
  • x
  • 常规:

点评 回复

GhostBoy
GhostBoy   发表于 2019-8-16 09:27:52 已赞(0) 赞(0)

学习。【强叔侃墙第二季】10 邮件虽小需治理,双管齐下解难题---邮件过滤特性配置-3035743-1【强叔侃墙第二季】10 邮件虽小需治理,双管齐下解难题---邮件过滤特性配置-3035743-2【强叔侃墙第二季】10 邮件虽小需治理,双管齐下解难题---邮件过滤特性配置-3035743-3【强叔侃墙第二季】10 邮件虽小需治理,双管齐下解难题---邮件过滤特性配置-3035743-4【强叔侃墙第二季】10 邮件虽小需治理,双管齐下解难题---邮件过滤特性配置-3035743-5
  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录