邮件变形：强大性能与严格控制的代表

邮件安全领域，从诞生之出，就处在不停的“动荡”之中。从最早的反垃圾邮件设备、网络防毒墙彼此独立，到慢慢融合成为邮件安全网关，再到进一步整合进入UTM，经历了至少五年的过程。但眼下这个整合过程，也似乎进入了“震荡调整”期。

震荡的直接原因是性能。SurfControl的安全产品经理张勇在接受采访时表示，UTM设备一般处理能力都是按CPU和内存进行衡量。但是目前的垃圾邮件会大量牵扯到对邮件内容的扫描和判断，特别是对图片、PDF和最新的Excel垃圾邮件的扫描。这就造成了大部分配置不够高的UTM处理能力跟不上扫描的性能开销，换句话说，普通的UTM处理垃圾邮件的并发数量会比较少。

事实上，UTM的设计思路始终把安全放在第一位，只有在安全特性之上，才能谈性能。对此深州数码网络的安全产品经理王景辉解释说，当前不少UTM厂商都提供可选的反垃圾邮件模块，主要目的还是为了满足邮件量不是很大的中小企业的需求。

与独立的邮件安全网关相比，UTM的优势在于能够对多种安全威胁进行集中处理，降低用户的管理成本，同时降低了应用的复杂性和冗长的操作过程，并减少了后期的维护量。这样一来，UTM可以促使企业进行统一的安全策略定义，从而保证了安全规则的一致性。

另一个促使这种分立主义倾向的因素，就是反垃圾邮件技术的复杂性。在2004年IDC抛出UTM的概念时，曾对反垃圾邮件进行过注解，强调其必要性，但也指出了它在技术上过于复杂，因此不能简单地进行集成。

目前在反垃圾技术上，分为两个功能部分：阻止垃圾邮件和查杀邮件病毒。阻止垃圾邮件的技术有很多，如：关键字、IP黑/白名单、贝叶斯算法、垃圾邮件信誉评分、指纹识别、实时黑名单列表、意图检测、DNS反向查找、防止字典攻击、垃圾邮件防火墙、邮件域名过滤。不同的反垃圾邮件产品采用的技术有所不同，而网络上的开放源代码软件也有不少。

据IronPort华东区区域经理刘源介绍，当前垃圾邮件发展变化比较快，垃圾邮件的发送者越来越专业，动态域名、动态IP地址、各种发送过程，都已经智能化了，邮件接收方很难用传统的技术来防御，比如UTM中集成的黑白名单的方式，它们所起的拦截功效不大。

其实很多专业邮件安全厂商的优势在于完整的安全数据库。像IronPort的信誉IP数据库，通过对全球30%的邮件流量监测，分析邮件的来源、IP、内容，并进行评分同时标记发送方的信誉记录。这样用户日后收到的邮件都会在数据库中进行对比，那些信誉不高的发送方就会被阻挡。

此外，一些厂商也具有本地化支持的安全数字指纹库。他们将垃圾邮件中的图片、PDF、Excel等信息进行分析，采用一种模糊算法（包括利用OCR识别技术），排除其中的干扰信息，从而提出共性的样本。当用户收到其他的垃圾邮件的时候，邮件安全网关都会进行内容扫描，只要发现类似的数字指纹，就可以阻止邮件的传播。据悉，这种技术对于依靠肉鸡、傀儡网络发送的盈利性垃圾邮件有比较好的效果。

另外，对于邮件病毒的拦截，也是消耗性能的大户。据王景辉介绍，接收一封邮件的时候，一般厂商都会采用代理技术。但因为代理技术需要完全接管链接的整个过程，然后才能再抛给客户端，会使性能非常慢，而采用了基于安全的流检测技术则可以获得性能的提高。

流检测技术一开始就把数据包陆续转发到客户端上，但传到最后几个数据包则暂时不发给客户端，而是先利用拷贝技术将数据包拷贝过来，组合起来查毒。如果发现其是病毒则拒绝推给用户，若不是病毒则再将最后几个数据包发到客户端上。因为所有的病毒只有完全收下来之后才是病毒，所以即便邮件携带病毒，只要没有最后几个数据包也就不会造成危险，而安全邮件的处理速度将会大大提高。

启明星辰安全网关产品部经理陈胜权在接受采访时表示，为了确保UTM中集成的凡垃圾邮件模块能够正常运行，可行的技术主要是将各类检测引擎和特征库进行一体化设计，对任何报文的深层检测均只需通过一次引擎，从而确保开启各项高级安全功能后，设备性能不出现大的下降。

不过他表示，无论对于UTM还是独立的邮件安全网关，最有效的技术还是要从协议层面入手。单纯依赖内容分析，不可能彻底解决问题。最新的相关技术包括采用数字签名来验证是否合法等，不过这些技术需要广泛采用后，才能很好的解决垃圾邮件的发送问题。

作为邮件安全的长期关注者，中石油信息安全部门的工程师在接受采访时表示，他们在采购邮件安全产品的时候已经发现，无论是过滤还是反毒，邮件安全网关的性能开销都是惊人的，而且这还不算频繁更新带来的维护量。因此他们觉得，如果用户希望选择此类产品，需要根据自身的情况评估。

他们的建议是，用户如果自身的邮件数量不大，对垃圾邮件的防御要求也比较简单，这时候UTM的设备就比较合适，而且具有管理方便、高性价比的优势。但是如果用户企业拥有几千人到上万人，邮件系统也比较重要，流量也很大，甚至将邮件系统和小型机做在一起，那么这就不仅仅涉及到过滤垃圾邮件和病毒邮件的问题，还需要去审计邮件里面的内容，防止敏感信息外泻，换句话说，这要求对邮件有加密、归档、备份的能力，而这些都是专业邮件安全网关的强项。