有几个变量会影响垃圾邮件的检测和管理方式。
管理员
了解电子邮件和垃圾邮件
如果您想控制垃圾邮件,则需要全面了解这个问题。了解所涉及的协议、技术和技术。产品文档是构建和增强知识的绝佳资源。
请参阅 Symantec Messaging Gateway 文档。
Symantec Messaging Gateway 设备提供业界领先的反垃圾邮件技术,具有无与伦比的准确性和有效性。以下文档详细说明了如何配置和调整产品以获得最佳结果。它还概述了与 Symantec Messaging Gateway 和其他 Symantec Mail Security 产品相关的反垃圾邮件有效性问题、策略和过程。
请参阅 Messaging Gateway 反垃圾邮件的有效性。
产品
垃圾邮件不应该被保留
误差率不到百万分之一的准确性让 Symantec Messaging Gateway 设备成为反垃圾邮件解决方案的黄金标杆。垃圾邮件可能占您收到的邮件总量的 90% 以上。多项研究表明,在生产力损失方面,删除垃圾邮件的时间成本最高。因此,我们建议您将反垃圾邮件策略设置为自动删除垃圾邮件。除非必要,否则不应隔离垃圾邮件。
让您的软件保持最新状态
保证赛门铁克反垃圾邮件软件处于最新状态,即可运用发挥反垃圾邮件软件中的最新技术。
尽可能为所有域实施收件人验证
大多数垃圾邮件是盲目发送的,不像部分暴力攻击会提及收件人姓名。它还让垃圾邮件发送者通过一种目录收集攻击 (DHA) 技术来发现当前存在或有效的收件人。收件人验证允许您仅接受具有有效收件人的邮件,并在启用“拒绝无效收件人”时拒绝向无效收件人发送邮件。这大大减少了要处理的垃圾邮件量。
对目录收集攻击 (DHA) 启用拒绝操作(您需要为此设置 DDS)
垃圾邮件散播者利用帐号收集攻击查找目标站点上的有效电子邮件地址。帐号收集攻击是通过向某个站点发送大量可能的电子邮件地址实现的。未受保护的邮件服务器拒绝发送到无效地址的邮件,因此垃圾邮件发送者可以通过检查原始列表中被拒绝的邮件来确定哪些电子邮件地址有效。
请参阅管理指南以了解如何配置此功能。
启用发件人身份验证
您可以基于每个域启用 SPF 和发件人 ID 发件人身份验证,并在系统范围内启用 DKIM 验证。
SMG 设备(如 SPF)中包含的发件人身份验证功能还取决于如何创建发件人域 SPF 记录。对于这些,仅对您知道正确配置且经常遭欺骗的域启用发件人身份验证。
对于 DKIM,您可以创建内容过滤策略以根据 DKIM 验证的结果应用操作。
请参见 http://en.wikipedia.org/wiki/Sender_ID
发件人 ID 是通过比较信封和正文发件人来扩展 SPF 功能的尝试。虽然这个行动似乎合理,但实际上在某些情况下会拒绝有效的电子邮件
- 如果发件人已启用 BATV(请参见下文) ,但缺乏正确策略的发件人 ID 记录,则他们的电子邮件将被拒绝
- 如果某些内部收件人订阅了邮件列表
请参见 http://en.wikipedia.org/wiki/Sender_Policy_Framework
SPF 需为所有发送域启用才能生效。赛门铁克建议拥有自己的 SPF 记录,以避免被欺骗。SPF 仅适用于信封。
请参见 http://en.wikipedia.org/wiki/Dkim
如果使用如下政策记录强制执行 DKIM 签名,我们建议您创建自己的 DKIM 记录:
_domainkey.example.com. IN TXT "o=-"
来自自己域的未签名的任何邮件都将遭到拒绝,从而实现全面的防欺骗保护。在这种情况下,代表公司发送电子邮件的任何其他解决方案提供商都必须从单独的子域执行此操作。
尽可能使用“拒绝”操作, 而不是“丢弃”或“延迟”
这背后的理念很简单:拒绝的越多,处理的越少。了解这些天接收的大部分入站 SMTP 通信都是垃圾邮件(占据 75-90%),这极大地有助于采用可用资源来处理有效的邮件。使用 Drop 选项时,SMG 仍然接受该邮件并占用不必要的进一步处理能力。
启用连接类别
要使用此功能,必须在网关上部署 SMG 设备(接收来自原始 IP 地址的 SMTP 连接)。启用后,它将服务质量设为限制来自已知发送垃圾邮件的来源的连接。
使用赛门铁克全局阻止的发件人检测垃圾邮件源
在连接时使用赛门铁克全局阻止的发件人数据,可阻止大部分垃圾邮件。
减少全局允许的发件人(IP 和域)的使用
所用的“允许的发件人”基本上就是白名单,允许发件人跳过网关中的一整套过滤器。赛门铁克建议尽量减少 IP 地址或域列表,甚至完全不用。通过“允许的发件人列表”接受发件人则允许来源发送任何类型的电子邮件,包括垃圾邮件。
启用此选项后,您将静默接受来自列表中指定的来源的更多垃圾邮件。
如果您担心设备阻止了合法电子邮件,则提交误报至赛门铁克安全响应中心。
启用退回攻击防护 (BATV)
退回攻击预防可以保护您的系统抵御退回攻击。BATV 将识别假冒的未投递报告 (NDR),并通过可配置操作阻止反击攻击进入网络,包括拒绝或删除这些邮件,同时仍允许合法退回邮件通知正常投递。
如果已启用 BATV,则如下表单的发件人 ID 应添加到 DNS 以避免邮件因发件人 ID 遭拒:
IN TXT "spf2.0/mfrom
mx
-all"
这避免了由于信封和正文发件人不同而导致上述 BATV 电子邮件遭拒的问题。
同时请参阅:关于抵御退回攻击
启用探查参与
SMG 可让您选择将无效收件人电子邮件地址转换为探查帐户,从而用于赛门铁克探查网络。探查帐户可以帮助赛门铁克跟踪垃圾邮件并了解其背景。赛门铁克从探查帐户获得的信息可用于不断改进控制垃圾邮件过滤器的规则。改进过滤器意味着您的网络发生垃圾邮件入侵的情况将会减少。
运用新闻咨询和市场营销邮件处理
SMG 提供一组新闻通讯、市场营销邮件和可疑的 URL。尽管这些在赛门铁克看来不是垃圾邮件,但这个功能旨在让客户掌握更大的控制力度,拦截不需要的内容。请参阅 Messaging Gateway 中的邮件处理判定。
运用 URI 报告
帮助赛门铁克基于统一资源标识符 (URI) 创建更好的用于阻止邮件的垃圾邮件过滤器。启用 URI 报告后,Symantec Messaging Gateway 会向赛门铁克安全响应中心发送报告。报告包含出现在 Symantec Messaging Gateway 进行垃圾邮件扫描的邮件中的 URI。
赛门铁克使用此信息开发新的基于 URI 的过滤器。这些更新后的过滤器通过 Conduit 服务接收。
运用特定于客户的规则
您可以获取赛门铁克根据管理员和最终用户提交的新威胁邮件专门针对您组织制定的自定义垃圾邮件规则。该功能在如下情况下最有效:Microsoft Exchange 服务器上部署 Symantec Email Submission Client,最终用户可将威胁邮件删除到“报告垃圾邮件”文件夹中,动态拦截新的威胁邮件。
请参阅设置客户特定的垃圾邮件提交
请参阅关于提交客户特定垃圾邮件规则的邮件
使用 URL 信誉过滤
您可启用 URL 信誉过滤来扫描电子邮件中的 URL 并将 DNS 查询发送至赛门铁克进行信誉查询。这样可提高产品检测和抵御垃圾邮件和网络钓鱼攻击的能力。
注意:该功能可显著增加发送至 DNS 服务器的 DNS 请求的数量。在启用此功能前,确保您的 DNS 服务器可以处理上涨的通信量。
请观看视频增强 URL 信誉过滤。
网络与环境
- 确保入站 MTA 能够“看到”入站连接的原始源 IP 地址。
- 在根据 IP 信誉与 SMG 设备建立 SMTP 连接时,可以拒绝大部分垃圾邮件。要利用此功能,SMG 设备需要入站连接以维护任何上游主机未修改的源 IP 地址。
- 将接口设置为可能的最高速度:全双工和非自动协商。
- 在某些网络环境中,自动协商过程不会在设备的 NIC 和交换机之间的链路上设置最佳速度和双工选项。我们建议您为每个以太网接口手动选择最佳速度和双工组合。
- 拒绝边缘(通常是防火墙)的 bogon 连接。
- 如果您愿意,可以连接在到达 SMG 设备之前及时阻止。
- 减少进入网络的垃圾邮件总量。
- 如果需要减少垃圾邮件总量,可以在 SMG 中启用连接分类。
轻松提交漏报的垃圾邮件。
如果您使用的是 Microsoft Exchange,请下载并安装 Symantec Email Submission Client (SESC)。使用您的产品序列号登录 http://fileconnect.symantec.com 并下载安装程序。
其他信息
请观看 Symantec Messaging Gateway 中的发件人身份验证(视频)。
请参见将漏报的垃圾邮件和误报邮件手动提交至赛门铁克安全响应中心
非常感谢您的反馈。如果您还有其他意见,请在下方告诉我们。(需要登录)