通用保护设置
2024年12月12日
ID 203003
KSMG 保护进出组织的电子邮件。您可以配置以下常规保护设置:
- 反病毒保护
- 链接扫描
- 反垃圾邮件保护
- 反钓鱼保护
- 邮件内容筛选
- 邮件发件人身份验证
扫描所有邮件时应用常规保护设置。您可以使用邮件处理规则来配置扫描后对邮件采取的操作和其它设置。
KSMG 会对邮件执行反病毒保护:使用当前(最新)版本的反病毒数据库对电子邮件进行病毒和其他威胁程序扫描并清除已感染对象。
邮件由反病毒模块扫描是否含有病毒和其它威胁。反病毒模块使用反病毒数据库扫描邮件正文以及任何格式的附件。反病毒模块会检测并阻止意欲发往有限数量的收件人且构成用作利用软件漏洞的目标性攻击的电子邮件附件。
您可以配置反病毒模块的以下设置:
- 启发式分析
- 邮件扫描最大时长
- 存档分析最大深度
- 排除扫描某些可能被黑客利用的合法程序。
根据扫描结果,反病毒模块将把以下状态之一分配给邮件:
- 未检测到意指邮件未感染。
- 已感染 意指对象已感染;无法清除,或尚未尝试清除。
- 已清除 意指邮件被清除。
- 已加密 意指邮件因为已加密而无法扫描。
- 错误 意指扫描邮件时发生错误。
- 库错误 意指邮件因为在应用程序数据库时出错而无法扫描。
- 入侵威胁 意指对象可被黑客利用来侵入局域网。
- 未扫描 意指邮件没有根据应用程序设置进行扫描。
- 疑似感染 意指对象包含恶意软件迹象。
默认下启用反病毒模块。若有需要,您可以禁用反病毒模块,或其中任意一条扫描规则。
KSMG 检查邮件正文中的链接是否为恶意、广告或与可能给计算机带来危害的合法应用程序相关。
您可以修改以下链接扫描设置:
- 邮件扫描最大时长。
- 扫描排除项。
您可以禁用检测广告链接和与某些合法程序相关的链接。
基于链接扫描结果,应用程序将分配以下状态之一给邮件:
- 库错误 意指邮件因为应用程序数据库错误无法得到扫描。
- 未检测到意指邮件不包含任何根据应用程序设置可检测的链接。
- 错误 意指扫描返回错误。
- 已检测到意指邮件包含恶意链接、广告链接或与合法程序相关的链接。
- 未扫描 意指邮件没有根据应用程序设置进行扫描。
KSMG 筛选通过邮件服务器的邮件以删除垃圾邮件。
邮件用反垃圾邮件模块进行反垃圾邮件扫描。反垃圾邮件模块扫描每一个邮件是否为垃圾邮件。首先,反垃圾邮件模块扫描邮件属性,如发件人和收件人、大小、标头(包括发件人和收件人区域)。其次,反垃圾邮件模块分析邮件内容(包括主题标头)和附件。
如果在邮件中检测到了垃圾邮件或疑似垃圾邮件,将根据垃圾邮件评级给它分配某种状态。邮件的垃圾邮件评级是一个从 0 到 100 的整数,是每次处理邮件时反垃圾邮件模块被触发而给与邮件的点数之和。垃圾邮件评级会考虑 SPF 扫描的结果和邮件的信誉过滤。
启用反垃圾邮件模块后,对 BEC 攻击的防护会自动启用。该保护有助于识别来自试图破坏商业通信的黑客的欺骗邮件。
您可以配置反垃圾邮件模块的以下设置:
- Moebius 服务。
Moebius 服务将应用程序当前使用的反垃圾邮件数据库与 Moebius 服务器上的数据库进行比较,并确定差异。缺失的条目然后被通过 HTTPS 发送给控制节点。要使所传输数据的大小保持合理并且确保 Moebius 服务器正常工作,必须定期更新反垃圾邮件数据库。
- 对 Active Directory欺骗的防护。
反垃圾邮件模块有助于防止欺骗攻击,在这些攻击中,黑客在
FromMIME 标头中使用虚假名称(显示名),并且发送邮件的域与特定组织的域不匹配。您可以指示一个 Active Directory 组,其中包含最多 10000 个将受到保护以免遭欺骗的用户。 - 检查 IP 地址和域的信誉。
此选项允许您根据反垃圾邮件模块数据库中阻止的 IP 地址和域的记录来检查 SMTP 会话数据。
- 反垃圾邮件隔离区。
反垃圾邮件隔离区只有在启用参与 KSN 后才可使用。
邮件被放置在反垃圾邮件隔离区后,应用程序会联系 KSN 服务器进一步扫描邮件。KSN 云服务可改进垃圾邮件检测的准确度,因为 KSN 数据库比应用程序使用的反垃圾邮件数据库包含更新的信息。
- 邮件扫描最大时长。
- 反垃圾邮件隔离区中邮件的最大存储时长。
- 反垃圾邮件隔离区中邮件的最大数量。
- 反垃圾邮件隔离区的最大大小。
根据反垃圾邮件扫描结果,反垃圾邮件模块会为邮件分配一个以下状态:
- 未检测到意指邮件不含垃圾信息。
- 垃圾邮件 意指邮件被确定诊断为垃圾邮件。
- 疑似垃圾邮件 意指邮件是疑似垃圾邮件。
- 群发邮件 意指邮件来自于邮件群发活动。
- 错误 意指扫描返回错误。
- 库错误 意指邮件因为应用程序数据库错误无法得到扫描。
- 正式邮件 意指应用程序将邮件作为自动生成的正式通知来对待(例如,用户自动回应或者超出邮箱大小通知)。
- 未扫描 意指邮件没有根据应用程序设置进行扫描。
- 受信任 表示该邮件的发件人的域位于反垃圾邮件模块数据库的允许域列表中,并且该邮件通过了 DMARC 发件人身份验证。
根据扫描结果,X-MS-Exchange-Organization-SCL X 标头被添加到邮件中。该标头的值包含 SCL 等级。您可以配置此标头以添加邮件处理设置。
默认启用反垃圾邮件模块。如有需要,您可以禁用反垃圾邮件模块或者任意的反垃圾邮件扫描规则。
KSMG 筛选通过邮件服务器的邮件以删除网络钓鱼。
邮件用反钓鱼模块进行钓鱼邮件扫描。反钓鱼模块会分析邮件内容(包括主题标头)和附件。
您可以配置反钓鱼扫描的最大时长。
根据扫描结果,反钓鱼模块将把以下状态之一分配给邮件:
- 未检测到意指邮件不包含可能诱骗用户向黑客透露机密数据的钓鱼网址、图像或文本,或指向恶意软件的网站链接。
- 钓鱼 意指发现邮件包含可能诱骗用户向黑客透露机密数据的链接、图像或文本。
- 错误 意指扫描返回错误。
- 库错误 意指邮件因为应用程序数据库错误无法得到扫描。
- 未扫描 意指邮件没有根据应用程序设置进行扫描。
默认启用反钓鱼模块。如有需要,您可以禁用反钓鱼模块或者任意的邮件反钓鱼扫描规则。
KSMG 可对通过邮件服务器的邮件执行内容过滤。您可以限制邮件服务器传输具有特定参数的邮件。
您可以配置“内容筛选”的以下设置:
- 邮件扫描最大时长
- 存档分析最大深度
由于内容过滤,“扫描逻辑”邮件扫描控制模块为邮件分配一个以下内容过滤状态:
- 未检测到表示在邮件中未检测到违反内容过滤设置中指定的任何限制。
- 匹配的内容表示邮件符合内容过滤设置中指定的条件。
- 错误 意指邮件扫描返回错误。
- 未扫描 意指邮件没有根据应用程序设置进行扫描。
默认情况下,启用邮件的内容筛选。必要的话,您可以在常规保护设置中或按规则启用内容筛选。
邮件发件人身份验证设计用于为企业邮件基础结构提供免受垃圾邮件和钓鱼侵害的额外保护。
KSMG 使用以下邮件发件人身份验证技术:
- SPF 身份验证(发件人策略框架)。
SPF 邮件发件人身份验证 – 将邮件发件人的 IP 地址与邮件服务器管理员已创建的可能的邮件来源列表进行比较。
KSMG 从 DNS 服务器接收可能的邮件来源的列表。
如果 KSMG 直接从互联网接收消息,则应启用 SPF 身份验证。如果 KSMG 从内部中间服务器接收消息,您可以禁用 SPF 身份验证。
- DKIM 身份验证 (DomainKeys Identified Mail)。
DKIM 邮件发件人身份验证 – 验证邮件的数字签名验证。
与组织的域名关联的数字签名被添加到邮件。KSMG 验证该数字签名。
当邮件通过 SPF 和 DKIM 身份验证后,程序将验证包含发件人地址(在邮件标头的“发件人”字段中)的域是否与 SPF 和 DKIM ID 相匹配。
- DMARC 身份验证(基于域的邮件身份验证、报告和一致性)。
DMARC 邮件发件人验证 – 基于 SPF 和 DKIM 邮件发件人身份验证结果决定对邮件采取的策略和操作的验证。
必须启用 SPF 和 DKIM 身份验证才能执行 DMARC 身份验证。如果 SPF 或 DKIM 身份验证被禁用,则 DMARC 身份验证也将被禁用。
- 发件人域对齐。
发件人域对齐检查 SMTP 会话中指定的邮件发件人域(MAIL FROM 命令的值)和邮件中指定的邮件发件人域(
FromMIME 标头的值)是否匹配。
要启用 SPF、DKIM 和 DMARC 邮件发件人身份验证,您必须允许 KSMG 连接到 DNS 服务器。如果禁止连接到 DNS 服务器,则会禁用 SPF、DKIM 和 DMARC 邮件发件人身份验证。
根据邮件发件人身份验证结果,以下状态之一将被分配给邮件:
- 错误 意指身份验证期间发生错误。
- 库错误 意指无法执行身份验证。
- 未扫描 意指邮件没有根据应用程序设置进行扫描。
- 发现违规 意指违反了至少一项身份验证。
- 未发现违规 意指未检测到邮件身份验证违规。
默认启用邮件发件人身份验证检查。必要的话,您可以在常规保护设置中或按规则禁用邮件发件人身份验证。
要让远程邮件服务器对发出的邮件执行邮件发件人身份验证(当邮件发件人是 KSMG 时),您必须采取步骤将 SPF 和 DMARC 记录添加到 DNS 服务器的设置。