金杜律师事物所防垃圾邮件成功方案

一． 客户需求分析
客户是一个大型的律师事物所，有500人左右。在北京是公司的总部，同时在深圳，上海，广州，美国都有分部。整个公司和客户，分公司之间通过电子邮件联系。每天公司的每个员工都能收到大量垃圾邮件，影响了公司的正常工作。降低了工作效率。同时，每天还有大量的病毒邮件，虽然被symantec webseacrity能拦掉大部分，但有少量的病毒也会流入网内。所以，鉴于以上的情况，客户要求彻底清除网内的垃圾邮件和病毒邮件
客户的网络基本情况是邮件服务器被远程托管，邮件服务器是microsft exchange server.并且装有symantec webseacrity.客户本地通过本地大厦的10M的专线上internet.

客户要求在基本上不改变现有网络状况的前提下,能够达到对垃圾邮件的清除.第一次我做售前时候,根据客户的具体需求,主要是对垃圾邮件的防护,病毒防护已经有symantec.所以我给客户推荐了趋势科技的智能垃圾邮件防护软件SPS.我给客户讲了SPS的工作原理, SPS运用先进的智能垃圾邮件扫描引擎及已有垃圾邮件数据库匹配，能有效判别并阻止各类已知或未知的垃圾邮件进出企业. 而且他不需要对现有的网络进行大的改动,实施和测试都很方便,所以客户对这个产品表示出了极大的兴趣.在售前的第一天,我就给客户安装了imss+sps for windows,安装过程还是十分顺利,没有什么大的问题.但是,要想让imss+sps正常工作起来,还需要加入一条优先级高于现有邮件服务器的mx记录.在第二天,客户的工程师就加入了一条高优先级的mx记录.同时我对imss和sps做了相应的设置.主要是anti-controlh和delivery,这两个是很简单的,基本没有什么大的问题.这两个配好了之后,imss就可以正常的工作了.然后就可以对sps做进一步的设置.因为SPS的核心技术就是一组详细计算架构出的演算式，依据email的标头、内容、格式等特征去进行计算与判断。当一封email通过SPS的启发式引擎时，会有许多组演算式同时被启动进行运算。然后得出一组垃圾邮件机率值。如果这封email的垃圾邮件机率值分数超过了使用者设定的界线，那么就会被视为垃圾邮件加以处理。

二． 实施过程

当email经过SPS的垃圾邮件引擎(Anti-Spam Engine)时，会经过底下六个步骤，完成运算、判断及处理动作。
1. 检查email是否属于黑名单(Blocked senders)或是例外清单(Approved senders)之中。
如果列在黑名单中则加以拦截，属于例外清单的寄件者则允许通过不需要再经过垃圾邮件引擎。

2. 接着检查email的标头及内文是否符合特别例外清单(Text exemption Rules)内的条件式。符合特别例外清单条件的email可以直接寄送。

3. 除了列在上述特别名单中的email以外，第三步骤则是经过SPS的垃圾邮件引擎来帮经过的email打分数。给定垃圾邮件机率值。主要有下列两种分数
I. Baseline(基准线): 根据邮件的各项特征来判断是否为垃圾邮件。
II. 然后进一步的判断可能为下列四种广告类型的可能机率值:
商业广告、赚钱广告、色情广告、种族歧视广告

4. 当有了垃圾邮件引擎所计算出来的垃圾邮件机率值和四种广告类型的可能机率值之后。再根据使用者的侦测率及敏感度设定来标示这封信件是否为垃圾邮件。

5. 接下来便是根据SPS的分数和判断结果，在email中加入SPS的标头讯息(X-Header: x-imss-???? )。

因为IMSS可以弹性的设定过滤器处理动作(Filter Action)，所以可以针对这些email经过垃圾邮件引擎处理过后的结果加以执行不同的动作。

我让客户在黑白名单里添入了一些邮箱和地址.然后设置了基准线值为6,也就是最敏感的一级.然后,把商业广告、赚钱广告、色情广告、种族歧视广告四种广告类型的可能机率值设置为最高.最后, 根据SPS的分数和判断结果.在过滤结果里,分别在四种广告类型的处理结果中,把最确定的和非常确定的,过滤结果设置为隔离.把确定的和最不确定的,过滤结果设置为打标记传输.

经过一段时间的测试后,客户发现在隔离文件夹中,最确信的和非常确信的两种过滤结果的邮件中有客户需要的邮件.这种情况也是我们比较不好解决的问题.因为通过黑白名单的过滤后,再通过一些文本的例外规则后,仍然会有客户需要的邮件被隔离掉.这样,又增加了管理员的工作量.但是,管理员可以把这个工作专门交给一个人来完成.也就是把所有被隔离掉的垃圾邮件都传给一个固定的邮箱里,然后让这个人去挑选有用的邮件.

客户提出的这个要求,让我不知道怎么来实现.后来专门咨询了趋势的资深售前工程师徐学龙工程师,得到了解决的办法.具体的解决方法就是在过滤动作中定义一个新的动作.然后选择归档.最后把它归档到指定的邮箱中.这时候,又出现了一个新问题.归档的同时原始的邮件还会发送到原始的收件人手中.现在的问题就是怎样才能不让邮件传输到原始的收件人的邮箱中.经过徐工的帮助,我们在设置为归档这个步骤后,再紧接着设置一个删除原始邮件的步骤后,这样两个步骤加到一起,形成了一个新的动作.这样就可以解决问题,达到用户的要求.经过测试,达到了客户的要求.

经过了一段时间的测试后,防护垃圾邮件的效果还是很明显的.但是,还是会出现一些垃圾邮件没有经过imss+sps的过滤,直接又投入到了客户的邮箱中.我们是通过在客户收到outlook中的邮件,在邮件中点击右键的属性中看到的.这些邮件没有经过imss+sps,而是直接发到了邮件服务器上.但是,我们已经加了mx记录,为什么还会绕过imss呢?原来现在的垃圾邮件不再遵循dns的传输规则,而是直接在internet中探询25端口,所以就会出现绕过imss+sps的情况的发生.解决这个问题的办法只有把发布到internet上的邮件服务器的mx记录去掉.当客户的管理员去掉邮件服务器的mx记录后,上边的问题马上就解决了.
经过上面的所有工作后,客户处的垃圾邮件已经基本上得到了解决.客户测试了有3个多月,发现效果还是很明显的.所以,客户相当满意.项目验收后，客户对趋势科技的智能防护垃圾邮件软件给予了极高的评价.

责任编辑 赵毅 zhaoyi@51cto.com TEL:（010）68476636-8001