第10章 郵件管理

不論郵件伺服器是架設在內部或是外部,NG-UTM 可以對所有通過介面的郵件進行管理,
在郵件管理章節中,以「 近端 」代表郵件伺服器是架設在 NG-UTM 的內部,網際網路上的寄件者利用 NG-UTM WAN 類型的線路,將郵件寄到內部郵件伺服器中;
相反地,「 遠端 」代表郵件伺服器是架設在網際網路上,當內部使用者透過 WAN 類型的網路去寄信,不僅是寄信的郵件可以被管理,
內部的使用者用 POP3 協定到網路上收信,也可以被 NG-UTM 攔截跟管理。
NG-UTM 在郵件處理上的角色扮演有點像是郵件閘道器,可以對進、出的郵件執行下列功能:
1. 郵件掃毒: 對進、出的郵件進行掃毒。
2. 垃圾郵件過濾: 對進、出的郵件進行垃圾郵件過濾。
3. 郵件稽核: 對進、出的郵件進行郵件稽核,經郵件管理者放行後郵件才會寄出。
4. 郵件備份: 對進、出的郵件進行備份,方便日後查詢。
5. 郵件通聯記錄查詢: 詳細記錄郵件伺服器對郵件伺服器的 SMTP 對話紀錄,方便管理者找出無法收、送郵件的問題點。
典型的應用範例如下圖所示:
一般企業郵件伺服器規劃架構

圖 258. 圖10-1 一般企業郵件伺服器規劃架構

10-1、郵件過濾與記錄

可以在此設定 NG-UTM 對進、出的郵件要啟用掃毒、垃圾郵件過濾、郵件稽核跟備份中的哪些功能。
除了郵件的基本進、出的郵件管理外,如果有駭客攻擊郵件伺服器,NG-UTM 也可以提供保護。
例如:某個來源 IP 位址對郵件伺服器傳送垃圾郵件超過預先設定的流量後,NG-UTM 就會拒絕這個來源 IP 位址的寄信要求。

10-1-1、郵件過濾及記錄

NG-UTM 具有郵件閘道器功能,所謂郵件閘道器就是利用郵件代理的技巧,將所有的信件攔到 NG-UTM 中,
經過垃圾郵件、病毒、稽核、記錄等機制後,再將原來的郵件轉給原來的郵件伺服器,補足原來郵件伺服器功能不足的地方。
因為 NG-UTM 本身不是郵件伺服器,對於要將垃圾郵件通知的信件寄給收信者,需要借重原來的郵件伺服器提供有效帳號。
以 NG-UTM 的觀點,郵件的進、出共有 3 個主要動作,
1. 外部對內部(近端)的郵件伺服器 寄信
2. 內部對外部(遠端)的郵件伺服器 寄信
3. 內部到外部的郵件伺服器 收信
每一個動作可以獨立選擇要執行的功能。(圖10-2)
內部(近端) 郵件伺服器是指郵件伺服器在 NG-UTM 的內部,通常需要做 IP 對應或是虛擬伺服器。
外部(遠端) 郵件伺服器是指郵件伺服器架設在網際網路上,例如承租在 ISP 的機房。
郵件過濾功能啟用

圖 259. 圖10-2 郵件過濾功能啟用

• SMTP 近端的郵件掃毒、郵件稽核、垃圾信過濾、備份
【啟用功能】:是否要啟用外部對近端郵件伺服器的掃毒、郵件稽核、垃圾郵件過濾跟郵件備份功能。
• SMTP 遠端的郵件掃毒、郵件稽核、垃圾信過濾、備份
【啟用功能】:是否要啟用內部對遠端郵件伺服器的掃毒、郵件稽核跟郵件備份功能。
• 收信的郵件掃毒、郵件稽核、垃圾信過濾、備份
【啟用功能】:是否要啟用外部對近端郵件伺服器的掃毒、郵件稽核、垃圾郵件過濾跟郵件備份功能。
• SMTP 記錄設定
NG-UTM 能夠詳細記錄每一封信的 SMTP 通聯紀錄,包含郵件伺服器對郵件伺服器的溝通。
可用於找出某封郵件無法成功寄出的原因等等,此項功能可以由管理者決定要不要啟用或是部分啟用。
【近端】:有 3 個選項,關閉、接受跟全部,預設是關閉。
選擇「接受」表示只記錄允許跟對方溝通且成功的 SMTP 紀錄,其他被 SMTP 阻擋掉的就不會記錄下來,這樣可省去一些不必要的紀錄。
【遠端】:有 3 個選項,關閉、失敗跟全部,預設是關閉。
選擇「失敗」表示只記錄跟對方傳遞失敗的 SMTP 紀錄,其他正常寄出的信不會記錄下來,這樣可省去一些不必要的紀錄。
【記錄類型】:可記錄簡單或詳細版,要找出寄信問題時可以選擇詳細版。
此設定會影響 10-6-2、SMTP 通聯紀錄查詢結果
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
郵件過濾進階項目設定

圖 260. 圖10-3 郵件過濾進階項目設定

• 郵件記錄相關設定
對於通過 NG-UTM 的郵件,系統可以將它備份,執行備份的相關設定可在這邊設定,
備份功能限於:
1. 外部對內部(近端)的郵件伺服器 寄信
2. 內部對外部的郵件伺服器(遠端) 寄信
3. 內部到外部的郵件伺服器 收信
這 3 個功能且 啟用郵件備份時 才會生效。
【郵件檔案備份】:郵件檔案大於設定值時,郵件中的附件不會被記錄下來。預設值為 0,代表不限制。
【收信】:郵件檔案大於設定值時,不做掃毒、垃圾郵件過濾,只會進行黑白名單處理。預設值為 640KB。
• 更換來源 IP 位址為設備 IP
這個功能在 外部對內部(近端)的郵件伺服器寄信時有效 ,此時 NG-UTM 執行郵件閘道器的功能,
代理接收郵件並處理掃毒、垃圾郵件過濾,並將處理後的郵件傳給原來的郵件伺服器。
此處可設定當處理後的郵件要傳送給原來郵件伺服器時,使用的來源 IP 位址。
【SMTP 近端寄信】:啟動代表會用 NG-UTM 的 IP 位址為來源 IP 位址傳送給郵件伺服器;
關閉則表示會用原始寄件的郵件伺服器的 IP 位址當作來源 IP 位址。
• 放行攜帶主旨
這個功能限制在 郵件稽核啟用下 ,當郵件經由管理者放行,是否要在被放行的郵件主旨前插入文字。
【加入主旨】:啟動代表會在被放行的郵件主旨前插入文字,預設為關閉。
【主旨內容】:可輸入文字也可插入一個時間戳記,輸入「$Y-$m-$d $H:$i:$s」即會在被放行郵件主旨前面插入放行當下的時間,例如: 2021-5-31 12:12:30。
• 垃圾郵件清單、稽核通知信的連線設定
這個功能限制在 啟用垃圾郵件過濾跟郵件稽核 這 2 項功能後。
當使用者收到 NG-UTM 寄出的垃圾郵件清單或是稽核管理者收到要稽核放行郵件清單,
在點選放行郵件時使用的 IP 位址或是網域名稱(一般都是 NG-UTM 的 IP 位址或是網域)。
【IP 位址或 Domain】:可設 NG-UTM 介面的 IP 位址或是網域名稱。
【通訊埠】:預設為 443,管理者可以按下變更後更改。

10-1-2、有效帳號設定

NG-UTM 當郵件閘道器過濾郵件時,因為本身沒有郵件帳號,如果沒有跟後面「近端」的郵件伺服器的帳號整合,
會收下非「近端」郵件伺服器中沒有帳號的郵件並存在佇列中,這些在佇列中的郵件並沒有辦法送出,
而當佇列中的郵件數量多時,會造成 NG-UTM 的負擔。
為了減少這些非本機的郵件,NG-UTM 有 2 種做法,一種是把郵件帳號匯入,另一種是即時登入郵件伺服器檢查帳號是否存在,
即時的檢查機制適用於後端的郵件伺服器是 Microsoft Exchange 伺服器且帳號是跟 AD 伺服器整合的情況。
郵件帳號匯入有自動增加跟手動匯入 2 種方式,NG-UTM 也可以啟用自動學習帳號機制,自動加入。
SMTP 寄信需要驗證/不需要驗證
使用者使用 SMTP 寄信時,郵件伺服器會要求使用者認證,確保不會被當成寄垃圾郵件的跳板。
目前大部分的郵件主機設定都需要認證,但有一些只對內部服務的郵件主機或是已經建立 Mail Relay 關係的郵件主機,就不一定會啟用 SMTP 認證。
所以管理者必須知道 NG-UTM 郵件閘道器所代理的網域是否需要 SMTP 驗證寄信,並根據這樣的屬性,在不同的地方輸入有效帳號驗證。
• 有效郵件設定 (需驗證)
若後端的郵件主機進行 SMTP 寄信時需要驗證,則在這裡加入代理的網域跟帳號。
只要填入網域名稱,所有經過閘道器且成功到後端郵件主機的帳號就會自動新增至有效帳號的名單中。
手動加入有效帳號

圖 261. 圖10-4 手動加入有效帳號

【啟用】:是否要啟用有效帳號的新增功能。
【學習啟用】:NG-UTM 會自動學習合法、有效的帳號並加到郵件帳號中。
例如:NG-UTM 的郵件閘道器收到一封寄給 jean@abc.com 的郵件,把它轉送給後端的郵件伺服器,如果後端的郵件主機接受這一封郵件,
jean@abc.com 這個帳號就會自動加入有效帳號中,下次寄給此帳號的郵件就不需要進行驗證。
【網域清單】:填入後端郵件伺服器的網域即可,例如:abc.com,如果有多網域可換行新增。
當 NG-UTM 收到要求寄信給 def.com,但是 def.com 不在網域清單中,則 NG-UTM 會拒絕此郵件。
【郵件帳號】:填入合法的郵件帳號,一筆帳號為一行。
【匯入】:管理者可以將郵件主機的郵件帳號匯出後,一次性的匯入系統中。
• 有效郵件設定 (不需驗證)
若後端的郵件主機進行 SMTP 寄信時不需驗證,則在這裡加入代理的網域跟帳號。
只要填入網域名稱,所有經過閘道器且成功到後端郵件主機的帳號就會自動到有效帳號的名單中。
【啟用】:是否要啟用有效帳號的新增功能。
【網域清單】:填入後端郵件伺服器的網域即可,例如:abc.com,如果有多網域可換行新增。
當 NG-UTM 收到要求寄信給 def.com,但是 def.com 沒在網域清單中,則 NG-UTM 會拒絕這封郵件。
【郵件帳號】:填入合法的郵件帳號,一筆帳號為一行。
【匯入】:管理者可以將郵件主機的郵件帳號匯出後,一次性的匯入系統中。
• 有效郵件設定 (Exchange Server)
後端的郵件主機如果是 Microsoft 的 Exchange Server,在進行 SMTP 寄信驗證時,一定需要 SMTP 驗證。
帳號的驗證有 2 種方式,手動匯入(同步啟用關閉)及自動跟 AD 伺服器同步。
手動匯入是 Exchange Server 單獨運作,並沒有跟 Microsoft AD 伺服器進行帳號的整合,
在這個情況下,管理者需要在這裡加入代理的網域跟帳號,只要填入網域名稱,所有經過閘道器且成功到後端郵件主機的帳號就會自動到有效帳號的名單中。
在自動跟 AD 伺服器同步選項下,藉由 NG-UTM 去 AD 伺服器同步取得使用者帳號,並加入有效帳號中。
AD 跟有效帳號

圖 262. 圖10-5 AD 跟有效帳號

【啟用】:是否要啟用有效帳號的新增功能。
【同步啟用】:以下分別說明關閉與啟動的設定方式。
· 【同步啟用】關閉
【網域清單】:填入後端郵件伺服器的網域即可,例如:abc.com,如果有多網域可換行新增。
當 NG-UTM 收到要求寄信給 def.com,但是 def.com 沒在網域清單中,則 NG-UTM 會拒絕這一個郵件。
【郵件帳號】:填入合法的郵件帳號,一筆帳號為一行。
【匯入】:管理者可以將郵件主機的郵件帳號匯出後,一次性的匯入系統中。
· 【同步啟用】啟動
【新增 Exchanger Server】:在設定視窗輸入 AD 伺服器的 IP 位址、網域名稱、管理者帳號密碼,並選擇要加入的群組,
點選 image341image342 可以驗證設定的資料或查看 Ms Exchange 伺服器連線測試紀錄。
也可以設定同步週期,每幾分鐘到 AD 伺服器取得最新的帳號資料。
• 有效清單設定
【允許非有效清單網域通過】:是否允許沒設在有效網域清單中的郵件通過,預設為關閉,啟動後表示任何網域都可以寄送。
【阻擋日誌】:點選image344會開啟新視窗顯示哪些寄件者嘗試利用 SMTP 協定,經過 NG-UTM 的郵件過濾機制後被阻擋的紀錄。
阻擋紀錄

圖 263. 圖10-6 阻擋紀錄

note

註1:當啟動有效帳號功能後,凡是未建置在【郵件帳號】欄位的帳號都會被系統直接隔離刪除。因此,當啟用此功能時需特別注意有效帳號名單的建立。
註2:帳號名單除了可單筆建立外,NG-UTM 亦提供快速匯入方式,可將檔案存為 .txt 或 .csv 檔。

10-1-3、灰名單與 IP 反解設定

灰名單過濾功能主要是過濾垃圾郵件行為,通常廣告業者在第一次發送廣告信件時,如果收件者拒收,就不會再發送第二次,
而灰名單過濾是依據這個特點,對於第一次寄送的陌生帳號都拒收。
正常的郵件主機,在信件第一次發送失敗時,會再傳送第二次、第三次,所以灰名單過濾機制在郵件第二次寄送時就會收下信件,
日後此寄件者的來信都不會阻擋,除非使用者將它列入黑名單或其他判別條件中。
灰名單判斷原理
灰名單原理非常簡單,它僅專注於郵件傳遞的三項條件:寄件者來源 IP 位址、寄件者及收件者。
若灰名單系統從未見過這三項條件時,就會在一定阻隔時間(預設值為 15 秒) 內「暫時」拒絕這封信件傳遞,
且寄件方將會收到錯誤訊息如下:
450 <收件者>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/ShareTech.com.tw.html
對於正常郵件伺服器而言,錯誤訊息 450 表示暫時拒絕接收,因此會在稍後嘗試再次遞送;
而對於垃圾郵件發送系統,通常是採用:發後不管、偽造寄件者、變換 IP 的方法,這些正是灰名單機制可以有效攔阻的。
反過來說,只要見過這三項條件,且達到一定阻隔時間後和重試時間(預設值 2 天)內,
信件就會享有一段有效期限(預設值 35 天)內被正常收下,而且在此期間內收到信件後,此期限會再被延長。
由於灰名單機制在初次收信時會阻隔一段時間,導致正常信件實際收到時效將稍被延遲,延遲時間將視寄件方的郵件伺服器的重送機制而定;
同時因為這樣的關係,可能造成後寄信件比前面信件早到的特殊情況,不過這都僅限於初次通信時發生。
灰名單處理流程如下圖:
郵件處理程序

圖 264. 圖10-7 郵件處理程序

參考資料:http://projects.puremagic.com/greylisting/whitepaper.html
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
• 灰名單設定
灰名單跟 IP 反解

圖 265. 圖10-8 灰名單跟 IP 反解

【灰名單啟用】:是否啟用灰名單的功能,預設為關閉。
【收信延遲時間】:拒絕第一次 SMTP 連線後間隔多久可接受第 2 次 SMTP 寄信,預設為 15 秒,設定範圍 1~1000。
【阻擋日誌】:查看灰名單阻擋的紀錄,包含時間、寄件者 IP 位址、寄件者跟收件者。
當紀錄檔的容量大於 100K bytes 後,NG-UTM 會自動清除舊的資料。
• IP 反解設定
灰名單跟 IP 反解

圖 266. 圖10-9 灰名單跟 IP 反解

網域名稱對於 IP 位址有 2 個 DNS 專有名稱:正解和反解,
正解就是把網域名稱解析成 IP 位址,例如:www.yourdomain.com,DNS 就會解析成 211.22.160.28;
反解是把 IP 位址轉成網域名稱,例如:211.22.160.28 反解成 www.yourdomain.com。
【IP 反解驗證功能】:預設是關閉,表示不執行 IP 反解驗證。
【未驗證通過處理方式】:當 NG-UTM 無法透過 IP 反解機制找到相對應的網域名稱,此寄件者很有可能是濫發垃圾郵件
或是他的網域伺服器未設定 IP 反解(通常發 EDM 的郵件主機沒有做 IP 反解),管理者可以選擇下列 3 種方法之一來處理這類型的郵件。
1. 直接刪除:視作垃圾郵件並刪除。
2. 直接隔離:可能是垃圾郵件,先放在隔離區。
3. 增加垃圾郵件分數:增加垃圾郵件的分數,再由總分決定是不是垃圾郵件,預設增加 5 分,設定範圍是 1~20 分。
• 共同設定
灰名單跟 IP 反解

圖 267. 圖10-10 灰名單跟 IP 反解

為了避免客戶發送的信件遭到灰名單的阻擋,可以先將企業用戶網域或 IP 加入信任名單。
設定 IP 位址或區段,這些區段的寄件者,都不會進入灰名單或是要求 IP 反解。
設定時可以藉由匯入/匯出的機制保留或還原資料,格式如下,每一筆為一行:
192.168.0.0/16
192.168.1.22
trust.domain

10-1-4、流量封鎖防禦設定

隨著垃圾郵件的發送技術越來越進步,郵件伺服器/使用者往往在未察覺到的情況下,帳號、密碼已外洩或系統被破解,
進而變成垃圾郵件業者的跳板。發現時,已經有太多郵件無法寄出而卡在佇列中,造成正常的郵件寄不出去。
傳統的 Firewall、UTM 甚至 IPS 並沒有辦法阻擋這樣的行為,因為從網路的觀點,這是管理者允許的網路行為。
一般是 ISP 業者發現並封鎖對外 IP 或是郵件伺服器運作遲鈍時,才會前往查詢 LOG 紀錄,分析哪一個設備是跳板。
NG-UTM 的異常發送郵件偵測及阻擋功能將這一方面的技術發揮到極致,一旦發現被當跳板,可以立刻阻擋。
• 認證異常
如果短時間內收到同一個來源 IP 位址的錯誤帳號、密碼,可以合理懷疑這是有電腦在嘗試密碼並可判定為異常。
流量封鎖防禦設定

圖 268. 圖10-11 流量封鎖防禦設定

【使用者認證異常情形】:是否啟用認證異常的封鎖,預設為關閉。
【認證異常規則設定】:設定如何判定為異常的條件。預設值是 120 秒內,同一來源 IP 位址認證失敗 10 次。
當符合此設定值,NG-UTM 就會認為這一個寄件者或是寄件 IP 位址正在嘗試攻擊或是猜測使用者密碼,並會依據設定的防禦動作處理。
• 流量封鎖防禦
當寄件者觸發封鎖條件後,NG-UTM 有 2 種封鎖機制,可以依據寄件者帳號或寄件者的 IP 位址封鎖。
異常寄件者封鎖

圖 269. 圖10-12 異常寄件者封鎖

1、 依據寄件者封鎖
【依據寄件者封鎖】:啟用寄件者異常流量的封鎖,預設是關閉。
【此 IP 範圍才檢查寄件者】:啟用【依據寄件者封鎖】後,在這裡輸入要檢查的寄件者來源 IP 位址,一行為一筆。
【寄件者例外清單】:啟用【依據寄件者封鎖】後,不會對此欄位的寄件者執行寄件者檢查,其他的寄件者仍會檢查,可視同寄件者白名單。
【寄件者網域例外清單】:啟用【依據寄件者封鎖】後,不會對此欄位的網域執行寄件者檢查,其他的網域仍會檢查,可視同網域白名單。
2、 依據 IP 位址封鎖
【依據 IP 封鎖】:啟用寄件者異常流量的 IP 位址封鎖,預設是關閉。
【寄件者 與 IP 規則設定】:啟用【依據 IP 封鎖】後,若超過此設定值,系統就會阻擋這個來源 IP 位址繼續寄信。
預設值是 100 秒內,同一來源 IP 位址寄信數量超過 10 封,NG-UTM 就會認為此寄件 IP 位址非正常操作寄信,並會依據設定的防禦動作處理。
• 共用設定
對於符合系統異常偵測規則之來源,設定封鎖的時間、例外 IP 清單與封鎖防禦紀錄,並可以針對例外清單匯入/匯出。
流量封鎖共用設定

圖 270. 圖10-13 流量封鎖共用設定

【每次封鎖時間】:觸發認證或流量異常封鎖時,封鎖 IP 位址或是寄件者的時間,預設值為 600 秒。
【IP 例外清單】:IP 位址白名單,這些來源 IP 位址都不會被封鎖。
【匯入】:IP 位址的例外清單可以執行匯入/匯出。
點選image342可查看詳細的封鎖紀錄及狀態,包含日期時間、寄件者 IP 位址、寄件者跟封鎖類型。
IP 封鎖防禦紀錄

圖 271. 圖10-14 IP 封鎖防禦紀錄

10-1-5、SMTP 封鎖 IP

SMTP 封鎖 IP 跟流量封鎖 IP 防禦是不一樣的防護機制。
流量封鎖 IP 防禦最主要防止寄件者帳號被盜用後大量的寄信,此時的 SMTP 溝通已經完成並且進入傳送郵件階段;
但是在 SMTP 溝通之前,
駭客利用大量的 SMTP 請求給郵件伺服器,並且送後不理,目的是癱瘓郵件伺服器,這樣的防護機制就由 SMTP 封鎖 IP 來處理。
【啟用】:是否啟用異常 SMTP 封鎖機制,預設是啟用。
【封鎖中 IP】:被封鎖的異常 IP 位址會被封鎖 600 秒,這裡會顯示封鎖中的 IP 位址及剩餘的封鎖時間。

10-2、郵件掃毒

郵件病毒肆虐,讓人防不勝防,對於熟悉病毒運作原理的網管人員,接收到有問題的郵件時,例如特殊的圖片,網址超連結,*.exe 等檔案,
通常不會貿然點選,避免感染病毒。
但是對於大部分的使用者而言,常無法分辨出有問題的電腦執行檔、網址超連結,點選或執行後才發現問題,
這時候只能仰賴本身電腦的防毒軟體,但是如果也無法抵擋病毒,就只能求助於網管人員了。
NG-UTM 的防毒功能,就是避免上述的情況發生,有問題的郵件一進入 NG-UTM 設備後,藉由內部病毒過濾引擎,
將有問題的郵件隔離或是刪除,不必送至使用者的郵箱,當然就降低被病毒侵入的機會。
啟動郵件掃毒時會比較耗費硬體資源,如 CPU、RAM 等,若整個網路環境已經建立類似防毒牆的郵件閘道器專責掃毒,則此項功能可以關閉。
目前 NG-UTM 內建 ClamAV 掃毒引擎跟選購 Kaspersky 掃毒引擎,針對中毒的郵件,會被歸類在「病毒信件隔離區」中,
管理者可以在病毒隔離區查看被隔離的信件,也可以依條件搜尋特定郵件。

10-2-1、郵件掃毒

當掃毒引擎發現中毒郵件,NG-UTM 可以更改它的檔案名稱跟郵件主旨,提醒收信者小心處理此封郵件。
設定中毒郵件處理方式

圖 272. 圖10-15 設定中毒郵件處理方式

• 基本設定
【Sandstorm 服務】:依據在 6-6、SandStorm 是否啟動。
系統檢查出郵件內文中有釣魚網址或是夾帶惡意的釣魚檔案時,會根據 10-3-6、郵件內文過濾 的設定處理此封郵件。
【啟動郵件掃毒】:是否啟動郵件掃毒功能。
【使用掃毒引擎】:選擇使用的掃毒引擎。
6-5、病毒引擎 中未啟用 Kaspersky 引擎,這邊就只會有 ClamAV。
【不掃描的檔案】:建立不掃描的檔案名稱(jpg、gif 等),增加郵件處理的速度,輸入時每個副檔名為一行。
NG-UTM 解析接收的郵件時,如果夾帶檔案的副檔名與此處設定相符,掃毒系統就會跳過這個病毒檢查程序,進入下一個郵件處理程序。
【最大掃描檔案大小 (KB)】:當郵件的附件超過此設定的檔案大小後,掃毒引擎就不會掃描此郵件。
• 中毒郵件處理方式
針對中毒郵件,NG-UTM 的處理方式:
【隔離中毒信件】:勾選後,收信者不會收到此封郵件且系統會將該郵件歸到「病毒信件隔離區」。
預設為關閉,表示此郵件收信者會收到一封中毒郵件通知信,通知信的附件檔名跟主旨可自行設定。
【中毒郵件儲存副檔名為】:將中毒郵件的夾帶檔案檔名改為此設定的名稱,避免收信者誤執行該檔案,例如:virus。
【中毒郵件通知信主旨】:將中毒郵件的主旨改掉來提醒收件者,例如將主旨改為:郵件中毒。

10-2-2、病毒信件隔離區

被隔離的中毒信件可以依收件日期、寄件者、寄件者 IP、收件者、郵件主旨、郵件大小條件進行搜尋。

10-3、垃圾郵件過濾

垃圾郵件的氾濫,不僅造成工作效率低落,病毒、木馬郵件也會導致網路安全的疑慮,所以防範垃圾郵件已成為郵件系統必備的功能。
NG-UTM 內建垃圾郵件的過濾功能,使用者不會收到堆積如山的垃圾信,不必從一堆無用的信件中,挑出需要接收的訊息,
或在刪除這些信件時,誤刪重要的郵件。達到提升工作效率,且不錯失任何業務往來溝通的訊息。
判斷垃圾郵件的機制,最不希望的就是誤判原本正常的信件為垃圾信,所以可以設定取回此信件的方法,並可設定是由管理者還是個別的使用者執行此動作。
NG-UTM 會在設定的時間內,寄一封個人的垃圾郵件通知信給使用者,如果使用者認為信件被誤判,可直接下載該檔案。
• 垃圾郵件分數範例
NG-UTM 會用整封郵件行為轉換成綜合判斷分數,一般垃圾郵件評分如下所示:
0.1 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
0.0 HTML_MESSAGE BODY: HTML included in message
2.2 HTML_IMAGE_ONLY_02 BODY: HTML: images with 0-200 bytes of words
0.7 MIME_HTML_NO_CHARSET RAW: Message text in HTML without chareset
1.9 MIME_HEADER_CTYPE_ONLY ‘Content-Type found without required MIME headers
1.6 FORGED_MUA_OUTLOOK Forged mail pretending to be from MS Outlook
1.00:ET_361_BAD_IP_PROXY
X-Spam-Status: Yes,hits=6.5 required=6.0 tests=FORGED_MUA_OUTLO
在垃圾信特徵值中 ET_XXX 為 ShareTech 獨特的特徵值,例如上述的 ET_361_BAD_IP_PROXY,經由這些獨有的特徵值提高辨識率。
針對信件的行為給予不同的分數,例如:某個收件者收到一封信,在信件的本文中只有網址超連結,沒有其他的文字說明。
一般來說,它很可能是要誘使收信者點選某一個特定網站,有相當程度的可能性是垃圾郵件,所以以上述的例子,給予 0.1 分。
將這些行為的判斷分數全部加總起來,就是這封郵件的垃圾郵件分數。分數越高,是垃圾郵件的可能性越高。
以上面的範例來說,加總為 0.1+0.0+2.2+0.7+1.9+1.6+1=7.5,會再根據管理者的設定判斷 7.5 分是否為垃圾郵件。

10-3-1、基本設定

管理者可以在這裡詳細設定垃圾郵件的過濾機制,一開始若不知道如何調整,可以先使用預設值,再根據使用者的回饋訊息,調整細項功能。

垃圾郵件過濾的基本設定

垃圾信辨識引擎的基本設定

圖 273. 圖10-16 垃圾信辨識引擎的基本設定

【目前垃圾郵件過濾狀態】:目前 NG-UTM 的垃圾郵件過濾機制的運作狀態,是「正常運作中..」或是「停止運作」。
因為有些垃圾郵件的判斷機制會使用網路去檢查最新的 IP 位址狀況,網路不通的情況下,此處會顯示停止運作的狀態。
【垃圾郵件過濾】:垃圾郵件過濾這項功能目前是設定為啟動或是關閉。
【通過 SMTP 認證使用者所發出信件的垃圾郵件過濾】:啟動後,郵件伺服器對於使用 SMTP 認證成功的寄件者傳送的郵件,不會再進入垃圾郵件的過濾程序。
主要因為一旦通過 SMTP 認證,確認這個使用者是由正常郵件伺服器寄出的郵件,寄出垃圾郵件的機率相對較低。

Note

假設選擇關閉,但是郵件帳號的 SMTP 帳號密碼被猜中,則可能寄出大量的垃圾郵件,所以管理者必須要評估郵件伺服器的密碼強度,決定這一項功能要關閉或啟動。

【最大掃描檔案大小】:預設值為 512 Kbytes,當郵件超過這個大小,垃圾郵件過濾機制將不會掃描整封郵件。
【垃圾郵件學習共享】:啟用這項功能時,會把介於正常跟垃圾郵件的灰色地帶郵件轉到雲端的垃圾郵件學習機制,
藉由大數據學習的方式,讓學習後的特徵值自動下載到 NG-UTM 中,下次再比對時,就能讓正常郵件分數更低,垃圾郵件的分數更高。

垃圾信辨識引擎的設定及狀態

垃圾信辨識引擎的設定

圖 274. 圖10-17 垃圾信辨識引擎的設定

對於垃圾郵件的過濾引擎,NG-UTM 總共提供 3 種辨識機制,由管理者決定要啟用哪幾種。
其中 ST-IP 網路信評的機制,需要透過網路跟提供 SPAM-IP 位址過濾的網站進行更新,當網路斷線時則無法啟用。
如果寄件者使用的郵件伺服器 IP 位址是動態的,垃圾郵件的比率相當高。
掃描引擎需要網路暢通才能使用,所以選擇啟動時要注意,NG-UTM 對外的網路是否正常,預設值是啟動。
【ST-IP 網路信評】:針對寄信郵件伺服器使用的 IP 位址查詢黑名單資料庫。若來自黑名單資料庫,垃圾郵件分數會提高。
【貝氏過濾法】:將信件內文以貝氏資料庫的規則來評分,分數越高者其越有可能是垃圾信件。
一般來說「貝氏過濾法」會有個資料庫,當一封信件進入系統的時候會把信件分解成單詞,比對目前「貝氏過濾法資料庫」,
分析以往的經驗,來判別此封信件為垃圾信件的機率,預設為啟動。
【貝氏過濾自動學習機制】:啟動垃圾郵件過濾機制中貝氏過濾法的自動學習機制。藉由使用者的回饋,讓學習的準確度提高,預設值是啟動。

垃圾郵件處理方式

NG-UTM 是用垃圾郵件分數決定如何處理被判斷成垃圾郵件的信,管理者可以依據本身的需求設定判斷分數,
原則上分數設得高,代表使用者必須容許較多的垃圾郵件。一開始設定可以將它的分數稍微調高一點,例如 7~8分,
管理者再根據使用者的回饋,或是實際自己郵箱的運作情況調整,漸漸調整到適合公司運作的垃圾郵件判斷分數。
對於垃圾郵件的處理方法共有 4 種,這 4 個動作的垃圾郵件分數可以分別設定,管理者可以依需求選擇是否啟動:
垃圾郵件的處理方式

圖 275. 圖10-18 垃圾郵件的處理方式

1、僅作資料分析
NG-UTM 執行完垃圾郵件分析後,完封不動的將郵件傳遞給後端的郵件伺服器,不會改變郵件標題或是把它放入隔離區。
因為 NG-UTM 具有郵件防火牆的功能,所以此項功能除了能提供郵件的統計資料給 Dashboard 外,也可以保護後端的防火牆免於垃圾郵件業者的攻擊或是測試。
【垃圾郵件分數大於】:當垃圾郵件分數大於幾分以上會被判定為垃圾郵件,此分數單純給統計報表統計垃圾郵件的數量。
2、主旨加入提示文字後傳給使用者
當 NG-UTM 判斷為垃圾信後,在信件主旨上加入提示文字後再傳給收件者。
【垃圾郵件分數大於】:當垃圾郵件分數大於幾分以上會被判定為垃圾郵件,並會執行【主旨加入文字後傳給收件者】的動作。
【垃圾郵件主旨提示文字】:設定垃圾郵件主旨提示文字,預設為「Spam-Mail」,可以輸入任何文字,也可以是空白。

note

垃圾郵件主旨提示文字設為空白時,雖不會影響使用者的收信內容,但由於被判斷成垃圾信件的信會顯示在「流量統計」的日誌中,
管理者可以藉由日誌分析誤判的比率及實際應該設定的垃圾郵件分數為何?讓整體的判斷機制更準確。
3、垃圾郵件在隔離區並發送清單
當 NG-UTM 判斷為垃圾信後,不會將此郵件送到郵件伺服器,而是把這封郵件放在隔離區中,並定時的發送垃圾郵件通知清單給使用者,
讓使用者知道目前有哪些郵件已被隔離,並列在清單中,使用者可以直接按下取回的按鈕,將此封郵件取回。
垃圾郵件在隔離區保留天數為 7 天 ,垃圾郵件超過此天數未被取回則會被刪除。
【垃圾郵件分數大於】:當垃圾郵件分數大於幾分以上會被判定為垃圾郵件,並會執行【垃圾郵件在隔離區並發送清單】的動作。
4、直接刪除
當 NG-UTM 判斷為垃圾信後,不會將此郵件送到郵件伺服器,而是把這封郵件放在刪除區中,
刪除區的郵件並不會通知使用者有郵件被放在此區,只有管理者可以進入刪除區並執行取回郵件。
垃圾郵件在刪除區保留天數為 7 天 ,垃圾郵件超過此天數未被取回則會被刪除。
【垃圾郵件分數大於】:當垃圾郵件分數大於幾分以上會被判定為垃圾郵件,並會執行【直接刪除】的動作。

Client 垃圾信搜尋 Web 介面

被過濾到刪除區的垃圾信件,要重新取回需要由管理者操作,而在隔離區的信件雖有垃圾郵件清單的協助,
但是使用者若想要查詢數天前的垃圾郵件,可能又需要尋求管理者。
為了省去這些麻煩,管理者可設定允許使用者自行透過 Web 介面,登入垃圾郵件搜尋系統搜尋自己的郵件。
只要在 NG-UTM 管理介面 IP 位址後面加上 /spam.php ,就可以用郵件帳號及密碼登入個人的隔離區,搜尋並取回郵件。
例如:NG-UTM 管理介面位址為 https://192.168.1.1 ,則進入 Client 垃圾信搜尋介面需前往 https://192.168.1.1/spam.php ,並登入後就可以使用。
使用者登入垃圾郵件搜尋設定

圖 276. 圖10-20 使用者登入垃圾郵件搜尋設定

【允許 Client 使用信件搜尋介面】:是否要讓使用者可以登入這個垃圾郵件搜尋系統,預設為關閉。
啟用後需要在下方的【Client 信件搜尋 Web 介面 - 登入伺服器設定】中設定認證機制,使用者通過認證後方可使用。
【登入帳號需包含網域】:使用者登入的帳號是否可以省略網域名稱,例如:使用者帳號為 jean@abc.com
勾選表示啟用,使用者需要輸入完整的郵件帳號;不啟用此功能則輸入 jean 就可以,系統會自動帶入第一個網域名稱。
【登入失敗次數超過多少暫時封鎖】:使用者登入垃圾郵件搜尋系統時,輸入帳號密碼失敗超過多少次,管理介面就會封鎖這個 IP 位址。
【多久解除被暫時封鎖的 IP】:當 IP 位址因超過登入失敗次數被封鎖後,隔多久才可以再登入,預設為 0,代表不封鎖所有的 IP 位址。
【解除 IP 封鎖】:當 IP 位址因超過登入失敗次數被封鎖後,會把 IP 位址列在這裡,管理者可以執行解除封鎖。

Client 信件搜尋 Web 介面 - 登入伺服器設定

因為 NG-UTM 本身沒有郵件伺服器的帳號密碼,所以使用者登入時需要一組帳號密碼,這組帳號密碼可以設定為跟原本的郵件伺服器相同。
點選 image20 前往新增一組登入伺服器設定:
Client 登入郵件伺服器認證

圖 277. 圖10-21 Client 登入郵件伺服器認證

【網域】:郵件伺服器的網域名稱。
【伺服器位址】:郵件伺服器的 IP 位址。
【登入帳號附加網域】:是否要幫使用者自動添加網域名稱,例如:郵件帳號為 jean@abc.com
啟用這項功能後,使用者登入時只需要輸入 jean 及密碼;如果這項功能是關閉,則需輸入 jean@abc.com 及密碼。
【通訊協定】:選擇用 POP3 或 IMAP 通訊協定跟後端的郵件伺服器溝通。
【安全性】:在安全性上,NG-UTM 用一般、TLS 或 SSL 哪一種協議跟後端的郵件伺服器溝通。
【通訊埠】:TCP 埠號,POP3 是 110,IMAP 是 143,如果選擇是 TLS / SSL,則 POPS 是 995,IMAPS 是 993,IMAP 的 TLS 也是使用 143,
選擇不同的通訊協定使用的 port 號就不一樣。
【憑證】:是否忽略憑證的警示,因為溝通時使用的 SSL 憑證都不是正常憑證機構簽發的憑證,所以會有警示訊息,建議忽略。
設定完成後可以按下【連線測試】按鈕驗證設定值是否正常運作。
• 進入 Client 垃圾信搜尋 Web 介面
在 NG-UTM 管理介面 IP 位址後面加上 /spam.php ,例如:NG-UTM 管理介面位址為 https://192.168.1.1
則進入 Client 垃圾信搜尋介面需前往 https://192.168.1.1/spam.php ,並登入後就可以使用。
進入使用者端垃圾信搜尋介面

圖 278. 圖10-22 進入使用者端垃圾信搜尋介面

登入後,使用者可藉由 NG-UTM 提供的搜尋條件快速搜尋被誤判的垃圾郵件。
使用者亦可透過【個人設定】,建立個人黑、白名單帳號。
並可針對黑名單帳號寄來的郵件再設定處理方式,可在主旨加入文字後傳送給收件者或直接刪除。
新增個人帳號的黑名單及處理方式

圖 279. 圖10-23 新增個人帳號的黑名單及處理方式

垃圾郵件隔離區/刪除區

啟動「郵件管理 > 垃圾郵件過濾 > 基本設定 > 垃圾郵件處理方式」的【垃圾郵件在隔離區並發送清單】或【直接刪除】後,
進入隔離區或刪除區的信件可以在 image481image482 裡面查看。
在【隔離區】可以搜尋被判斷為垃圾郵件的郵件,搜尋的條件如下:
【收件日期】:垃圾郵件進入隔離區的時間,可以指定時間區間。
【寄件者IP】:寄件者 IP 位址。
【寄件者】:是誰寄出垃圾郵件。
【郵件大小 KB】:垃圾郵件的檔案大小。
【收件者】:垃圾郵件的收件者。
【垃圾郵件分數】:垃圾郵件分數的區間。
【病毒】:垃圾郵件是否含有病毒。
【郵件主旨】:垃圾郵件的主旨。
被 NG-UTM 判斷成垃圾郵件的郵件,如果管理者選擇放在隔離區並啟用垃圾郵件通知,則郵件收件者會定時收到垃圾郵件清單,如下範例。
郵件收件者可以點選右端的按鈕取回被誤判的垃圾郵件或是將這封信的寄件者加入個人的黑白名單中。
垃圾郵件清單

圖 280. 圖10-24 垃圾郵件清單

被 NG-UTM 判斷成垃圾郵件的郵件,如果管理者選擇放在刪除區,則郵件收件者不會收到垃圾郵件通知。
只有管理者可以進入刪除區,當管理者在刪除區中搜尋到被誤判斷的郵件時,可以直接放行給原來郵件的收件者,在刪除區的搜尋條件如下:
【收件日期】:垃圾郵件進入刪除區的時間,可以指定時間區間。
【寄件者 IP】:寄件者 IP 位址。
【寄件者】:是誰寄出垃圾郵件。
【郵件大小 KB】:垃圾郵件的檔案大小。
【收件者】:垃圾郵件的收件者。
【垃圾郵件分數】:垃圾郵件分數的區間。
【病毒】:垃圾郵件是否含有病毒。
【郵件主旨】:垃圾郵件的主旨。

10-3-2、垃圾郵件通知

被 NG-UTM 判斷成垃圾郵件的郵件,如果管理者選擇放在隔離區,可以再決定是否要寄送垃圾郵件清單給使用者,
若啟用此功能,NG-UTM 就會依據在【傳送時間】的設定,定時地寄發垃圾郵件通知信給該郵件收件者,使用者若認為不是垃圾郵件可自行取回。
如果不啟用,被歸類在隔離區的垃圾郵件就只能靠管理者幫使用者搜尋、下載。
• 使用者垃圾郵件清單傳送設定
在建立垃圾郵件清單傳送之前需至「系統設定 > 訊息通知 > 2-6-3、SMTP 伺服器設定 」完成相關設定,讓 NG-UTM 能夠寄信給郵件伺服器的帳號。
針對使用者垃圾郵件清單傳送設定項目如下:
使用者垃圾郵件清單傳送設定

圖 281. 圖10-25 使用者垃圾郵件清單傳送設定

【使用者垃圾郵件清單傳送】:是否開啟這項功能。
【傳送時間】:選取垃圾郵件清單傳送時間,1~24 小時每個小時都可選擇。
也可以按下【立即傳送】按鈕,將目前已經在隔離區的垃圾郵件,以清單的方式將它馬上寄出。
【垃圾郵件清單主旨】:設定垃圾郵件清單主旨,例如:垃圾郵件通知。
【不接收垃圾郵件清單者】:輸入不接收垃圾郵件清單者的完整帳號,每一行為一筆。
也可以切換為【接收垃圾郵件清單者】,表示這些帳號才會接收到清單。

note

註1. 使用者收到的垃圾郵件清單是由系統自動產生,寄件者帳號為 root,但是寄件者的 IP 位址管理者可以在 2-6-3、SMTP 伺服器設定 中自行定義,
通常會設為這台郵件伺服器的外部 IP 位址或是網域名稱(mail.yourdomain.com)。
註2. 如果使用者帳號很多,每個帳號可能也會有大量在隔離區的垃圾郵件,它會導致在製作、寄發垃圾郵件清單時郵件伺服器的忙碌,
所以可以縮短清單寄發的間隔時間,把負載平均分配。
• 管理者垃圾郵件清單傳送設定
在建立垃圾郵件清單傳送之前需至「系統設定 > 訊息通知 > 2-6-3、SMTP 伺服器設定 」完成相關設定,讓 NG-UTM 能夠寄信給郵件伺服器的帳號。
【管理者垃圾郵件清單傳送】:是否要開啟這項功能。
【傳送時間】:選取垃圾郵件清單傳送時間,1~24 小時每個小時都可選擇。
也可以按下【立即傳送】按鈕,將目前已經在隔離區的垃圾郵件,以清單的方式將它馬上寄出。
【接收垃圾郵件清單的帳號】:輸入要接收垃圾郵件清單者的完整帳號,每一行為一筆。
【垃圾郵件清單主旨】:設定垃圾郵件清單主旨,例如:垃圾郵件通知。

10-3-3、垃圾郵件自動學習

垃圾信的學習機制啟動後,郵件伺服器就會定時地將黑名單學習帳號、白名單學習帳號的信件匯入垃圾信學習資料庫中,
下次收到同樣的郵件時,就會根據學習機制自動判斷。
垃圾郵件自動學習

圖 282. 圖10-26 垃圾郵件自動學習

【定時自動學習】:是否開啟垃圾信自動學習這項功能。
【垃圾信多久學習一次】:預設為 12 個小時,設定範圍 1~24 小時。
也可以按下【立即學習】,將黑白名單學習帳號的信件匯入垃圾信學習資料庫中。
【黑名單學習】:所有寄到這個信箱而被歸類為黑名單的信件,資料庫會學習這封信的內容特徵,下次 NG-UTM 收到同個寄件者寄的信就會直接被歸類為垃圾信件。
可選擇檔案後按下匯入,上傳黑名單學習帳號檔,檔案大小不要超過 64 MB。
按下【學習紀錄】,會顯示黑名單學習帳號的信件匯入垃圾信學習資料庫中的所有學習紀錄,包含學習的總筆數、日期等資料。
【白名單學習】:所有寄到這個信箱而被歸類為白名單的信件,資料庫會學習這封信的內容特徵,下次 NG-UTM 收到這個寄件者寄的信就不會被歸類為垃圾信件。
可選擇檔案後按下匯入,上傳白名單學習帳號檔,檔案大小不要超過 64 MB。
按下【學習紀錄】,會顯示白名單學習帳號的信件匯入垃圾信學習資料庫中的所有學習紀錄,包含學習的總筆數、日期等資料。
【清除垃圾信學習資料庫】:清空所有的學習紀錄。
【垃圾信學習資料庫】:可匯入/匯出垃圾信學習資料庫,檔案大小不要超過 64 MB。

10-3-4、個人黑白名單

NG-UTM 可以建立 2 種黑、白名單,個人跟系統。在優先權上,個人的黑白名單會比系統的黑白名單更優先。
不論哪一種類型的黑白名單資料庫,管理者都可以匯出跟匯入這一些黑、白名單。
• 個人黑白名單匯入/匯出
以文字檔的方式上傳,格式為「郵件帳號,黑名單,白名單」換行新增下一筆資料,以下列範例說明:
Ruser,Black,White
jean@abcd.com,bbb@pp.com,ppp@ll.com
jean@abcd.com,,ccc@ll.com
apple@abcd.com,ooo@pp.com,
第一行輸入 Ruser,Black,White,資料從第二行後開始計算,
帳號 jean@abcd.com 有 1 筆黑名單 bbb@pp.com 跟 2 筆白名單分別是 ppp@ll.comccc@ll.com
帳號 apple@abcd.com 則只有一筆黑名單 ooo@pp.com,沒有白名單。
管理者可以定期將個人黑白名單匯出,隨時建立備份。
• 新增個人的黑白名單
在個人黑白名單列表下方點選 image20
新增個人的黑白名單

圖 283. 圖10-27 新增個人的黑白名單

【帳號】:輸入完整帳號。
【黑名單】:輸入黑名單帳號,一行一筆。
【自訂個人黑名單處理方式 (此功能僅限 收信)】:可針對黑名單帳號寄來的郵件設定其處理方式。
· 主旨加入文字後傳送給收件者:可設定跟系統的垃圾信判斷機制的主旨文字不同,這樣使用者就知道是根據哪個規則判斷為垃圾信。
· 直接刪除。
【白名單】:輸入白名單帳號,一行一筆。
【註解】:可新增註解文字,方便在列表中辨識。
每一筆黑白名單建立完成後,管理者可以在個人黑白名單列表看到詳細的資料,並可操作編輯或刪除。
個人黑白名單列表

圖 284. 圖10-28 個人黑白名單列表

10-3-5、系統黑白名單

NG-UTM 的系統黑、白名單,又可再細分成 2 個來源,分別是寄件者跟收件者的黑、白名單。
• 系統黑白名單設定 (寄件者)
系統黑白名單設定

圖 285. 圖10-29 系統黑白名單設定

設定的方式與個人黑白名單相同,其中僅針對差異部分說明:
【自訂系統黑名單處理方式】:可針對黑名單帳號寄來的郵件設定其處理方式。
· 主旨加入文字後傳給收件者:在垃圾郵件主旨上加入提示文字,在這裡直接輸入文字。
例如:系統黑名單,當使用者收到後就可以根據主旨知道此寄件者被列入系統黑名單中。
· 直接隔離:符合的寄件者郵件,立刻送入隔離區。
· 直接刪除:符合的寄件者郵件,立刻送入刪除區。
【信任的 IP 位址】:系統的白名單部分,除了可以用帳號管理外,也可以列出白名單 IP 位址。
在這邊輸入的 IP 位址寄出的郵件,通通列為白名單,不會再進入垃圾郵件過濾。
例如:192.168.100 代表 192.168.100.0/24 這個區段的寄件者 IP 所寄的信件,都不會被列入垃圾郵件。
• 垃圾郵件過濾例外設定 (收件者)
以收件者為判斷依據,特定收件網域或收件者的郵件,通通不進入垃圾過濾機制。
垃圾郵件過濾例外設定

圖 286. 圖10-30 垃圾郵件過濾例外設定

note

註1. 【黑名單】設定 *@abcd.com,表示所有從 abcd.com 網域寄出的信件都會被列入垃圾信件。
註2. 【白名單】設定 *@xyz.com,表示所有從 xyz.com 網域寄出的信件不會被列入垃圾信件。

10-3-6、郵件內文過濾

NG-UTM 除了一般特徵值比對外,也可以針對郵件內文中如果有惡意的網址,跟內建的「內文連結過濾資料庫」進行比對,
若比對出惡意網址,管理者可以設定針對這類型的郵件進行處置。
比對資料來源有 3 個,分別是自訂的黑、白名單,URL 資料庫跟 Sandstorm 資料庫,
自訂黑、白名單跟 URL 資料庫都只能比對郵件內文中是否有不正當的網址,
Sandstorm 除了比對網址外還會比對夾帶的附件檔案是否含有惡意的木馬程式。
郵件內文比對設定

圖 287. 圖10-31 郵件內文比對設定

【更新時間】:內建惡意網址的資料庫最近更新時間,按下【立即更新】就可以馬上更新。
【版本資訊】:目前內文連結過濾資料庫的版本。
【內文連結過濾機制】:是否啟用內文連結過濾機制功能。
【內文連結過濾自訂白名單】:輸入網域或 IP 位址。
【內文連結過濾自訂黑名單】:輸入網域或 IP 位址。
【內文連結過濾項目】:URL 資料庫目前共有 16 項 ,括弧數字為這個分類內的筆數。
【內文連結過濾測試】:點選後系統會開啟新的頁面,輸入 URL 網址,確認是否存在系統的內文連結過濾資料庫中。
【Sandstorm 服務】:是否要在郵件內文比對中加入 Sandstorm 惡意木馬程式比對,預設針對中、高風險的 URL 跟附檔辨識。
在後面的【URL 測試】中可以輸入網址,比對是否已經在資料庫中。
【內文連結過濾處理方式】:比對到後,郵件該如何處理。
注意:「內部郵件伺服器到外部 收信 」的郵件,只能增加垃圾郵件分數而不能直接刪除或是放在隔離區。
· 直接刪除:直接將此封郵件刪除。
· 轉到垃圾郵件隔離區:直接放在隔離區,也不下放給使用者。
· 增加垃圾郵件分數:增加垃圾郵件分數,再由垃圾郵件總分來區分如何處理。

10-4、郵件稽核

電子郵件在網路運用上所衍生的安全性漏洞為企業不容忽視的一環。
眾至資訊提供了網路及電子郵件稽核的解決方法,可以針對企業聯外電子郵件,進行即時完整紀錄(包含外寄郵件),
同時提供高效率、警示、分析,產生管理稽核報表,可以讓企業快速導入,使主管迅速掌握企業員工電子郵件各種誤殺、濫用、洩密等使用行為。
藉由有效的「管理」取得在「效率」與「安全」間的平衡點。

10-4-1、稽核過濾設定

透過 NG-UTM,依其郵件特性做稽核的動作,有效控管郵件的進出。
郵件稽核功能是 NG-UTM 跟其他 UTM 不一樣的地方,針對通過 NG-UTM 的郵件進行內容的稽核過濾,並按照事先設定的處理方式執行下一步驟。
在稽核過濾器列表下方點選 image20

新增稽核過濾器

【過濾器名稱】:設定此郵件稽核過濾器的名稱。
【啟動】:是否啟動此過濾器。可以預先將過濾器功能設定完成,等到要執行時再啟用。
【備註】:備註說明文字,使管理者不需要查看過濾器的內容,就可以瞭解這個過濾條件的功能。

過濾器條件

設定這個過濾器要依據哪些條件進行稽核。如果過濾條件是空白,代表這項條件就不列入邏輯判斷的依據。
過濾器條件設定

圖 288. 圖10-32 過濾器條件設定

【條件組合方式】:選擇此過濾器要「所有有設定的欄位皆須符合 (AND)」或「只要有一項欄位符合即可 (OR)」。
【寄件者包含】:設定要過濾的寄件者帳號,這裡所指的寄件者不光是內部網域的互寄帳號,也包含外部郵箱寄給內部網域的信。
【收件者包含】:設定要過濾的收件者帳號,這裡所指的收件者不光是內部網域的互寄帳號,也包含內部網域寄給外部郵箱的信。
【寄件來源 IP 包含】:填入 IP 位址,所有從這些 IP 位址寄的信件都符合過濾器設定條件。
例如:輸入「192.168.1」代表 192.168.1.0~192.168.1.255 的 IP 位址。
【郵件表頭包含】:填入要過濾的郵件表頭內容。
【郵件主旨包含】:填入要過濾的郵件主旨,所有外寄、內送的郵件主旨只要包含此設定的文字就符合過濾規則。
例如:輸入「報價單」,不論信件的主旨是「新聞報價單據」或「報價單提供」,都會是符合的。
【郵件內容包含】:填入要過濾的郵件內容,如果本文的內容有含這些文字就符合過濾器設定條件。郵件內容是郵件的本文,不包含郵件所夾帶的檔案。
【郵件容量大於】:郵件容量大於多少 Bytes(包含所夾帶的檔案),就符合過濾器設定條件,通常郵件的容量大小是指整封信件原始格式的大小。
【郵件附件檔名包含】:填入要過濾的郵件附件檔名,只要附件檔案的檔名含有此設定文字就符合過濾器設定條件。
例如:輸入「報價單」,若郵件附件檔名為「2008最新報價單.DOC」即符合過濾條件。
【個資過濾】:可選擇在郵件主旨/內容/附件檔名中比對各項個資內容,並可針對各項目設定權重。
• 相關設定說明:
1、標示「*」的條件可以輸入特殊定義字:
「!」表示「非」的意思,「null」表示「沒有」,並支援萬用字元「?,*」。
同欄位要輸入多個條件可以用「,」逗號隔開,它代表「OR」;若要欄位內全部符合,則在該欄位後面勾選【所有條件皆須符合(AND)】。
比對模式預測為 模糊比對 ,若在開頭輸入「*」表示為 完整比對
例如:
在主旨輸入「null」,表示當信件沒有主旨文字時。
在來源 IP 輸入「!192.168.1.」表示寄件者來源 IP 不是介於 192.168.1.0~192.168.1.255 之間。
2、【條件組合方式】選擇為 AND
當所有設定的條件都符合時,過濾器才會生效。例如:
在過濾條件【寄件者包含】中設定「@yourdomain.com」,【郵件主旨包含】中設定「報價單」,其他項目為空白;
代表 yourdomain.com 的任何一個帳號寄信時,只要信件的主旨有包含「報價單」這 3 個字,就符合過濾條件。
3、【條件組合方式】選擇為 OR
只需符合其中一個過濾條件,過濾器即會生效。例如:
在過濾條件【寄件者包含】中設定「@yourdomain.com」,【郵件主旨包含】中設定「報價單」,其他項目為空白;
代表 yourdomain.com 的任何一個帳號寄信,或是從任何帳號傳送、接收的郵件主旨有「報價單」這 3 個字,就符合過濾條件。
4、反向
代表跟設定值相反的意義。例如:在【寄件者包含】填入 jean@abcd.com,並選擇反向,代表只要是寄件者不是 jean@abcd.com 就符合條件。

處理方式

針對符合過濾條件的郵件設定處理方式。
依不同的需求設定過濾條件及處置,例如:當寄件者是 jean@abcd.com 時,郵件直接刪除;
當收件者是 jordan@abcd.com 時,把該郵件抄送副本給 admin@abcd.com
過濾處理方式

圖 289. 圖10-33 過濾處理方式

【垃圾郵件過濾】:符合過濾條件的郵件,有兩種垃圾郵件過濾處理動作,增減垃圾郵件分數跟不做垃圾信過濾。
· 增減垃圾郵件分數:
NG-UTM 會用整封郵件行為轉換成綜合判斷分數,分數越高者越有可能是垃圾信件。可參考 10-3、垃圾郵件過濾 章節前面關於垃圾郵件分數的說明。
而針對符合過濾器條件的郵件,可再另調整其垃圾郵件分數。
例如:針對內文包含「色情」要增加其過濾分數 50 分,可直接輸入 50。如要降低過濾分數 50 分則輸入「-50」即可。
· 不做垃圾信過濾:
若有內部網域的特定收件者不希望郵件伺服器替他執行垃圾信件的過濾,可以在【收件者包含】中填入該帳號,並勾選此項。
【直接隔離】:依過濾器所定條件,符合的郵件直接隔離至「稽核過濾隔離區」。
管理者可以在過濾條件設定所列管標題、文字內容,例如:「報價單」,則內部使用者寄送到外部,只要有涵蓋報價單的內容都會被直接隔離。
寄信者不會收到隔離的清單,只有管理者可由稽核過濾隔離區掌握這些直接隔離的信件。
【直接刪除】:直接刪除符合過濾條件的郵件。
【IP 封鎖】:直接封鎖寄件者 IP 位址。於 10-4-2、稽核進階設定 有詳細 IP 封鎖設定。
【移除符合條件的附件】:勾選後,凡是符合此過濾器條件的郵件,系統會自動刪除其附件檔。
【抄送副本】:針對符合過濾條件的信件,將這封信轉寄給特定的帳號,不論是外部寄給內部、內部互寄、內部寄給外部的信件,與其夾帶的檔案也會一併轉寄。
【通知功能】:若有符合過濾條件的信件,會寄一封通知信給特定的收件者(不會轉寄該符合過濾條件的信件)。
管理者可以在這裡設定通知信的主旨、通知信的收件者及是否要通知寄件者。
【停止處理更多規則】:由於郵件伺服器的過濾器是依照順序向下執行,在沒有勾選此選項下,郵件會經過每條有設定的過濾規則。
若設有 10 條規則,在第 5 條過濾規則符合並有勾選【停止處理更多規則】,則此封郵件只會比對到這,不會再往下比對其他 5 條規則。
如果稽核過濾條件筆數過多,也可以利用整批快速匯入方式,以 csv 檔建立,匯入名稱依序為:
serial_id、filter_title、match_header、match_sender、match_receiver、match_sender_ip、match_subject、match_body、match_attachment_name、action_to_carbon_copy、note、advise_subject、advise_receiver、audit_auditor、audit_agent、audit_subject、action_to_separate、is_need_all_conditions_hold、is_sender_match_local_domain、is_receiver_match_local_domain、is_check_fake_sender、size_over、action_to_delete、action_to_ignore_spam、action_to_adjust_spam_score、action_to_ip_block、action_to_remove_attachment、is_ignore_other_filter、is_not_match_sender、is_not_match_receiver、is_not_match_header、is_not_match_subject、is_not_match_body、is_not_match_sender_ip、is_not_match_attachment_name、advise_sender、action_to_audit、is_need_all_receiver_hold、is_need_all_subject_hold、is_need_all_body_hold、is_need_all_attachment_name_hold

10-4-2、稽核進階設定

在稽核過濾設定中的過濾條件觸發且管理者選擇 IP 封鎖這個處理動作,NG-UTM 才會執行封鎖,
管理者可以在這裡設定例外 IP 位址、例外寄件者等。
• IP 封鎖設定
IP 封鎖設定

圖 290. 圖10-34 IP 封鎖設定

【每次阻隔時間(秒)】:當比對出符合過濾條件的郵件,且處理動作是 IP 封鎖,
NG-UTM 會暫時把這一個 IP 位址列入黑名單中,拒絕此連線,預設值是 600 秒。
【永久阻隔次數】:當觸發阻擋次數超過設定值時,這個 IP 位址將會被 NG-UTM 永久拒絕連線,預設值是 3 次。
【IP 例外清單】:稽核過濾的白名單 IP 位址,IPV4/IPV6 皆可,一行為一筆,格式如下:
10.1.1.0/16
fe80::1e6f:65ff:fe28:9d47/64
【寄件者例外清單】:稽核過濾的白名單寄件者帳號,一行為一筆。
【解除 IP 封鎖】:列出被拒絕連線的 IP 位址,管理者可以在這邊將這個 IP 位址解除封鎖。
【IP 封鎖紀錄】:每個被稽核過濾機制封鎖的紀錄,不論是 IP 位址或是寄件者帳號都會記錄下來,當此紀錄檔案大於 100K 時會自動清空紀錄。

10-4-3、稽核過濾隔離區

任何經過 NG-UTM 郵件稽核過濾而被隔離機制觸發的事件,都可以在稽核過濾隔離區中依條件查詢。

10-5、郵件紀錄查詢

NG-UTM 可將所有經過它傳送、接收的信件都記錄下來,被記錄下來的郵件(包含內容、附檔等)會放在本機的硬碟中,
管理者進入郵件查詢系統後,根據搜尋的條件找到目標郵件後,可以放行給郵件收件者或是把它下載到管理者的電腦。
除了搜尋郵件的功能外,若郵件是被 NG-UTM 本身的防禦機制如:垃圾郵件過濾、病毒跟稽核過濾等阻擋,這裡也可以找到被哪種機制阻擋掉。

10-5-1、今日郵件紀錄

NG-UTM 會把今天進出的郵件列出,按照時間排序,讓管理者查看,列表項目的詳細說明如下:
今日郵件紀錄列表

圖 291. 圖10-35 今日郵件紀錄列表

【日期】:郵件進入 NG-UTM 的日期及時間。
【寄件者 IP】:寄件者的 IP 位址。
【收件者 IP】:收件者的 IP 位址。
【方向】:郵件進出方向。 image370:外部進入內部郵件伺服器(近端)、image371:內部到外部郵件伺服器寄信(遠端)、image372:內部到外部郵件伺服器收信。
【寄件者】:寄件者的郵件帳號。
【收件者】:郵件的收件者帳號。
【主旨】:此封郵件的主旨。
【郵件大小】:郵件的大小容量。
【遞送狀態】:傳送是否成功還是被對方的郵件伺服器拒絕,狀態分別有成功、拒絕、接受、失敗跟加密 5 種。
【病毒】:郵件是否含有病毒。
【分數】:郵件被垃圾郵件過濾機制判斷的分數。
【處理】:郵件的處理方式是「主旨加入文字」、「隔離」或是「刪除」,正常郵件則會是空白。
image373】:此封郵件是否有包含附件。
【詳細】:此封郵件在 NG-UTM 的郵件處理程序的詳細資料。例如:垃圾信的過濾、病毒信過濾、稽核過濾器的處理方式等(如下圖)。
郵件的詳細處理過程

圖 292. 圖10-36 郵件的詳細處理過程

【下載】:此封郵件是否曾經被管理者下載到管理者的電腦中。
【放行】:將此封郵件是否曾經被管理者放行給收件者。
【郵件】:是否要將此封郵件的寄件者加入系統的白名單中。
• 處理行為
管理者可以點選列表中的幾封或全部郵件,再點選列表上方的按鍵 image470
執行以下動作:
【下載】:將選擇的郵件下載到管理者的電腦中。
【刪除】:將選擇的郵件從 NG-UTM 的紀錄中刪除。
【放行】:將此封郵件放行給收件者。
【加入系統白名單】:將選擇郵件的寄件者加入系統的白名單,下次就不會被判斷成垃圾郵件。
【加入黑名單學習】:將選擇郵件的寄件者加入系統的黑名單,下次就會直接拒絕並被判斷成垃圾郵件。
【匯出】:將選擇的郵件紀錄匯出到管理者的電腦中。

10-5-2、郵件紀錄查詢

在「郵件紀錄查詢」功能中,管理者可以搜尋經過 UTM 設備的所有郵件,不論是內部寄出還是外面寄進來的郵件,搜尋條件詳細說明如下。
郵件紀錄查詢

圖 293. 圖10-37 郵件紀錄查詢

【收件日期】:填入要查詢的日期區間。
【寄件者 IP】:寄件者的 IP 位址。
【收件者 IP】:收件者的 IP 位址。
【傳遞方向】:可選擇全部/SMTP 近端/SMTP 遠端/收信。
【寄件者】:寄件者的電子郵件帳號。
【郵件大小 (KB)】:郵件的檔案大小區間。
【收件者】:這一封郵件的收件者電子郵件帳號。
【垃圾郵件處理方式】:可選擇全部/正常/刪除/隔離/更名/沒有掃描/資料分析。
【垃圾郵件分數】:垃圾郵件分數的區間。
【病毒】:垃圾郵件是否含有病毒。可選擇全部/含有病毒/不含病毒/隔離/沒有掃描。
【過濾器】:是否有啟發過濾器。
【遞送狀態】:郵件的傳遞情況,可選擇全部/成功/拒絕/接受/失敗/加密。
【郵件主旨】:郵件的主旨文字。
依條件輸入後按下【搜尋】,結果會顯示於下一頁籤的列表中。
列表的解讀與處理動作與 10-5-1、今日郵件紀錄 的列表相同。
郵件紀錄查詢結果

圖 294. 圖10-38 郵件紀錄查詢結果

10-6、SMTP 紀錄查詢

10-6-1、SMTP 通聯紀錄查詢

管理者可以搜尋每一封信詳細的 SMTP 通聯記錄,作為判斷寄信不成功原因的依據。
SMTP 通聯記錄搜尋

圖 295. 圖10-39 SMTP 通聯記錄搜尋

【收件日期】:填入要查詢的日期區間。
【寄件者】:寄件者的電子郵件帳號。
【郵件大小 (KB)】:郵件的檔案大小區間。
【收件者】:這一封郵件的收件者電子郵件帳號。
【傳送狀態】:可選擇全部/成功/拒絕/接受/失敗/加密。

10-6-2、SMTP 通聯紀錄查詢結果

• 簡單版 SMTP 紀錄
NG-UTM 預設的紀錄類型就是簡單版的 SMTP 記錄,搜尋後的列表如下,會把無法傳送的原因列在傳送訊息中。
搜尋郵件

圖 296. 圖10-40 搜尋郵件

【遞送訊息】:顯示傳送不成功的原因。
• 詳細版 SMTP 紀錄
如果在「郵件管理 > 10-1-1、郵件過濾及記錄 > SMTP 記錄設定 > 記錄類型」選擇「詳細」,
則在 SMTP 通聯紀錄查詢結果列表的【詳細】欄位中就可以讓管理者點選進入詳細版的紀錄,一封郵件的 SMTP 連線詳細紀錄範例如下:
詳細的 SMTP 紀錄

圖 297. 圖10-41 詳細的 SMTP 紀錄