Astaro 反垃圾邮件的应用

一、 网络拓扑结构

二、 反垃圾邮件网关的部署

在用户的内部网络中，部署2台德国Astaro公司的反垃圾邮件网关——ASG 525，用于保护内部邮件服务器，拦截来自Internet的垃圾邮件和病毒邮件。

如上图所示，ASG 525采用双机热备份方式运行。因为考虑到用户对邮件系统和Web系统的依赖度较高，因此添加反垃圾邮件网关不能造成网络单点故障。所以我们设计了2台ASG 525作双机热备份运行，一旦主设备出现故障，所有任务都会切换到从设备上继续处理。保证不会丢失用户的邮件与Web通讯会话。

邮件服务器通过交换机独立连接在ASG 525的一个DMZ区域，按业务功能将邮件服务器与其他业务应用隔离开，确保某业务服务器出现网络入侵，而不会影响到其他的业务服务器。

Web服务器通过交换机独立连接在ASG 525的另一个DMZ区域，这也是按照业务区域对服务器进行独立划分。

三、 ASG 525的作用

1. 垃圾邮件的拦截

ASG 525采用业界*********的RPD技术，对来自Internet的邮件进行垃圾邮件的分析，可以实现高达98%的准确识别率。同时，作为专业的反垃圾邮件产品，ASG 525还支持RBL查询、RDNS、BATV、SPF、防字典攻击等10余种反垃圾邮件的技术。将这些技术融合在一起，可以极大程度地提高邮件服务器的安全性。

一旦识别出垃圾邮件，ASG会将这些垃圾邮件存储在隔离区中等待管理员或用户处理。

2. 病毒邮件的拦截

ASG 525采用独立的双防病毒引擎，用于对进入企业内部的邮件进行病毒扫描检测，一旦发现病毒、恶意软件、或者禁止传递的附件，ASG都会将这些邮件拦截并隔离起来。

3. 邮件加密

ASG 525支持对收发邮件进行加密和数字签名，这是利用S/MIME和OpenPGP技术实现的。用户可以在网关上设定，哪些发件人在外发邮件的时候要对其邮件进行加密或数字签名。在网关出进行加密和数字签名的好处是无需对内网的每个客户端软件进行配置，减轻了管理员的工作量；并且使得对邮件安全的管理工作变得集中化。

4. 提供用户隔离区

ASG 525为每个邮件用户提供一个可以自助管理的邮件隔离区。用户可以通过浏览器登录到ASG 525的用户自助管理界面，查询所有的被隔离邮件，然后用户自己来处理这些邮件，比如放行、删除、设立自己的黑白发件人名单等等。这样，ASG 525就成为每个邮件用户的私人反垃圾邮件工具，可以更好地帮助邮件用户处理邮件事务。

5. 负载均衡

ASG 525具有负载均衡的功能。如上图所示，我们将2台Web服务器连接在一台交换机上。ASG 525可以将访问一个域名的Web通讯，以轮询方式发送给内部的Web服务器，达到提升整体网站处理会话能力的作用。

四、 关于邮件加密的简述

ASG 525在实现反垃圾邮件处理时，需要为每个用户创建一个帐号。这个帐号可以存储在ASG 525上，也可以是来自用户的活动目录环境，如AD或LDAP环境。

在创建用户帐号的同时，要求包含此用户的邮件地址，ASG 525会作为CA根服务器为每个用户帐号签发一份数字证书，及一对公钥和私钥，并保存在ASG 525设备上。

因为发送需要加密或数字签名的邮件一定是有明确的已知收件人的，因此管理员需要事先将已知收件人的数字证书导入到ASG 525，此数字证书应为收件人所在网络环境中的CA签发，并包含收件人的公钥。

同时，已知收件人应通过管理员从ASG 525上获取发件人的数字证书，此数字证书包含发件人的公钥。收件人可以将数字证书导入自己的邮件客户端，其所使用的邮件客户端应该能很好地支持S/MIME或OpenPGP。

当设定对好的发件人呢发送邮件给收件人时，ASG 525会自动调用该收件人的公钥对邮件进行加密，或使用发件人的私钥对邮件进行数字签名。当收件人接收到邮件后，会使用自己的私钥解密邮件，或使用发件人的公钥校验数字签名。