GB/T 28516-2012 反垃圾电子邮件网关技术要求

　　ICS 33. 040. 40 M 32

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 28516—2012

　　反垃圾电子邮件网关技术要求

　　Technicalrequirementforanti-spam Emailgateway

　　2012-06-29发布 2012-10-01实施

　　中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会

　　

　　发

　　

　　布

　　GB/T 28516—2012

　　前 言

　　本标准按照 GB/T 1. 1—2009给出的规则起草 。

　　本标准由中华人民共和国工业和信息化部提出 。

　　本标准由中国通信标准化协会归 口 。

　　本标准起草单位 :工业和信息化部电信研究院 、中国互联网协会 。

　　本标准主要起草人 : 陈凯 、李红 、陈勇 、杨崑 、张德华 、吴英桦 、王建超 。

　　Ⅰ

　　GB/T 28516—2012

　　反垃圾电子邮件网关技术要求

　　1 范围

　　本标准规定了反垃圾电子邮件网关的功能要求 、管理要求 、性能指标和环境要求 。

　　本标准适用于反垃圾电子邮件网关设备 。

　　2 规范性引用文件

　　下列文件对于本文件的应用是必不可少的 。凡是注 日期的引用文件 ,仅注 日期的版本适用于本文件 。凡是不注日期的引用文件 ,其最新版本(包括所有的修改单)使用于本文件 。

　　YD/T 1096—2009 路由器设备技术要求 边缘路由器

　　3 缩略语

　　下列缩略语适用于本文件 。

　　DNS

　　Domain Name Server

　　域名服务器

　　LDAP

　　LightweightDirectory Access Protocol

　　轻量级目录访问协议

　　RBL

　　Realtime Blackhole List

　　实时黑名单

　　SMTP

　　Simple MailTransferProtocol

　　简单邮件传输协议

　　SNMP

　　Simple Network ManagementProtocol

　　简单网络管理协议

　　SNMPv1

　　SNMP version 1

　　SNMP版本 1

　　SNMPv2c

　　SNMP version2c

　　SNMP版本 2c

　　SNMPv3

　　SNMP version3

　　SNMP版本 3

　　4 设备描述

　　反垃圾电子邮件网关是针对电子邮件系统和通过电子邮件系统的邮件的安全保护 , 主要用于阻止所有非正常电子邮件通过电子邮件服务器或到达电子邮件用户端 ,包括使用垃圾电子邮件发送器或手工发送的垃圾电子邮件 、被病毒侵染的电子邮件服务器或电子邮件客户端自动发出的病毒传播邮件 、无需认证的邮件列表发出的电子邮件等 , 同时邮件安全还要保证自身的管理和应用安全 , 防止自身被入侵 、防止自身成为垃圾邮件发送工具 。

　　反垃圾电子邮件网关通常部署在电子邮件服务器的前端 ,所有的电子邮件经过反垃圾电子邮件网关的处理后 ,转发到电子邮件服务器 。反垃圾电子邮件网关的框架图如图 1所示 :

　　图 1 反垃圾电子邮件网关的框架图

　　1

　　GB/T 28516—2012

　　5 功能要求

　　5. 1 动态限制

　　反垃圾电子邮件网关应该能够限制同一个 IP 的最大 TCP 和 SMTP 同时连接数 。 当超过该连接数目时 ,系统能够自动阻止新的连接 。

　　反垃圾电子邮件网关应该能够限制同一个 IP 的最大 SMTP连接频率 ,一旦超过该阀值 , 系统将自动禁止对方的连接 。

　　反垃圾电子邮件网关应该能够限制同一主题的邮件的最大发送数 ,一旦超过该阀值 ,系统将自动禁止该邮件的传输 。

　　反垃圾电子邮件网关应该能够限制发件账号的在单位时间内的最大邮件发送数 ,一旦超过该阀值 ,系统将自动禁止该邮件的传输 。

　　5. 2 病毒识别

　　反垃圾电子邮件网关宜支持邮件防病毒功能 ,应对邮件 、附件 、压缩附件中所包含的病毒进行识别 。

　　5. 3 静态黑白名单

　　反垃圾电子邮件网关应提供静态黑名单功能 。凡在黑名单中的地址,系统可直接拒绝连接而无需进行垃圾邮件等判断工作 。 系统可提供白名单的功能 。凡在白名单中的地址,系统可允许其正常通过而无需进行垃圾邮件检测 。

　　5. 4 源头认证

　　反垃圾电子邮件网关宜支持源头认证技术 ,具有虚假路由识别功能 , 以确保用户的 IP地址和域名相符 。如果不符 ,则阻止用户进行发送 。

　　5. 5 实时黑名单

　　反垃圾电子邮件网关应支持 RBL黑名单列表功能 。实时黑名单是通过 DNS查询方式来查询黑名单列表 。至今 , 已经衍生了很多增强和扩展的黑名单服务 ,系统中应有国家主管部门提供的实时黑名单服务 。

　　5. 6 分布协作的指纹分析

　　反垃圾电子邮件网关宜支持分布协作的邮件指纹分析功能 。分布协作的邮件指纹分析是基于从邮件中提取出可以代表内容的指纹数据 ,不同的内容会产生不同的指纹 ,用这些指纹代表邮件 ,全球的兼容用户会提交邮件的指纹 ,从服务器得到响应知道有多少封相同的邮件在全球传播 ,识别邮件是否为垃圾邮件 。

　　5. 7 内容过滤

　　反垃圾电子邮件网关应能够提供对邮件全方位的过滤机制 。支持邮件信头 、信体 、附件 、主题 、发件人 、收件人 、抄送人 、暗送人(只针对外发邮件) 、邮件正文 、邮件附件中包含的关键字进行过滤 ;系统应该能够提供对邮件大小或附件大小及文件格式的限制 。

　　5. 8 隔离区管理

　　反垃圾电子邮件网关应支持隔离区管理 。被认为是垃圾邮件或病毒邮件的 ,应可以先放入隔离区

　　2

　　GB/T 28516—2012

　　由用户人工判别 。 隔离帐号可采用帐号导入 、共用 LDAP服务器 、自动测试激活等方式取得邮件服务器合法用户的帐号以建立对应的隔离区 。 隔离区应由邮件用户 自行维护 ,不应由管理员维护 。

　　5. 9 审计

　　反垃圾电子邮件网关宜支持审计功能 。针对垃圾识别 、内容过滤等方式匹配的邮件甚至全部邮件 ,可以审计保存以备企业信息安全查询或公安部门查询 ,但不应能够让邮件管理员 自行访问查阅 。

　　5. 10 处理动作

　　当判别垃圾邮件以后 ,反垃圾电子邮件网关可当支持以下动作 :

　　a) 通过 ;

　　b) 标记通过 ;

　　c) 拒绝 ;

　　d) 隔离 ;

　　e) 直接丢弃 。

　　6 管理要求

　　6. 1 网络参数配置

　　反垃圾电子邮件网关应能配置 IP地址 、子网掩码 、网关地址 、DNS地址及设备名称 。

　　6. 2 SMTP协议参数配置

　　反垃圾电子邮件网关应能配置提供 SMTP协议参数 。

　　6. 3 软件升级管理

　　为了尽可能避免升级给服务带来影响 ,升级过程应快速而简单 ,升级过程中以及升级之后宜不需要重新启动系统 。

　　6. 4 设备状态监测

　　为保证系统的安全 ,管理员宜能够通过 web 管理界面远程监控硬件的健康状况 , 而无需利用操作系统管理权限远程登陆到服务器直接进行操作 。 系统宜能够监测到以下几个关键信息 :

　　—CPU使用情况 ;

　　— 内存使用状态 ;

　　—TCP/SMTP连接数 ;

　　— 硬盘空间和运行状况 ;

　　— 网络流量状况 ;

　　— 邮件流量分布 。

　　6. 5 SNMP 网络管理协议

　　SNMP是一种应用非常广泛的网络管理协议 , 主要用于设备的监控和配置的更改等 , 目前使用的SNMP协议有 3个版本 ,分别是 SNMPv1、SNMPv2c和 SNMPv3。反垃圾电子邮件网关宜支持安全性较好的 SNMPv3协议 。

　　3

　　GB/T 28516—2012

　　6. 6 日志统计

　　为了方便管理员进行邮件故障诊断 ,系统应提供详细的所有邮件日志以及详细的垃圾邮件防护 日志和统计信息 。为方便管理员掌握垃圾邮件状况 , 以便及时采取防护措施 , 系统宜提供相应的 TOP 10排名分析功能 。

　　6. 7 设备安全

　　设备除了管理端口(转发端口)应配置有效的 IP地址以外 ,其他端口都不宜设 IP地址 。 系统除了必须的服务外不应开启其他任何服务端 口 。

　　6. 8 管理员操作安全

　　应支持远程 web管理,并且管理过程应使用 https安全协议进行通讯。管理员管理应支持角色管理 。多次错误登录后应支持对错误登录者的封禁 。应具备管理员登陆日志信息 ,详细记录管理员的登陆管理台的使用情况 。

　　7 性能指标

　　7. 1 准确性指标

　　准确性指标在很大程度上取决于测试时采用的样本集和测试环境 。样本集和测试环境不同 ,准确性也不相同 。 因此 ,本标准对误报率和漏报率的准确性数值不作统一规范 , 只作为重要的性能指标供比较 。

　　7. 1. 1 漏报率

　　漏报率是指被保护的邮件服务器受到垃圾邮件攻击时 ,设备不能正确报警的概率 。

　　本标准(漏报率)议漏报率不大于(不能报警的数量)1(/)0(垃)%(圾)。邮件的数量 。

　　7. 1. 2 误报率

　　误报率是指系统把正常邮件判断为垃圾邮件攻击而错误报警的概率 。

　　本标准(误报率)议误报率不大于 2(错误报警数量/正)%(常)邮。件的数量 。

　　7. 2 效率指标

　　效率指标根据用户系统的实际需求 , 以保证检测质量为准 。 这里不做强制性的量化规定或建议 。同准确性指标一样 ,只作为重要的性能指标供比较 。

　　7. 2. 1 SMTP最大并发连接数

　　SMTP最大并发连接数是指整个测试过程中 , 反垃圾电子邮件网关同时成功接收邮件的最大值 ,其结果表示为最大建立会话的连接数 。这里不做强制性的量化规定或建议 。 同准确性指标一样 , 只作为重要的性能指标供比较 。

　　7. 2. 2 SMTP每秒新建连接数

　　SMTP每秒新建连接数是指整个测试过程中 , 反垃圾电子邮件网关成功接收邮件的瞬间最大值 ,

　　4

　　GB/T 28516—2012

　　其结果表示为每秒新建会话的连接数 。这里不做强制性的量化规定或建议 。 同准确性指标一样 , 只作为重要的性能指标供比较 。

　　7. 2. 3 SMTP平均响应时间

　　SMTP平均响应时间是指从性能测试仪发送 SMTP连接请求开始 ,到反垃圾电子邮件网关成功接受到邮件第一位数据时的时间间隔 。这里不做强制性的量化规定或建议 。 同准确性指标一样 , 只作为重要的性能指标供比较 。

　　8 环境要求

　　环境测试方法参见 YD/T 1096—2009。

　　9 电源与接地

　　电源与接地测试方法参见 YD/T 1096—2009。

　　5

　　GB/T 28516—2012

　　附 录 A

　　(资料性附录)

　　名词、术语英汉对照表

　　Anti-Spam EmailGateway

　　反垃圾电子邮件网关

　　Fake Mail

　　邮件假冒

　　Fake Route

　　虚假路由

　　Fingerprintanalysis base on distributed cooperation

　　分布协作的指纹分析

　　Spam Email

　　垃圾电子邮件

　　Source Authentication

　　源头认证

　　6