DSCA:邮件服务器的审计与认证

  通过对邮件服务器的审计,可以让您对您的邮件服务器的安全状况有一个全面而专业的了解。

  审计之后会出具审计报告。审计内容包括两大方面:

  • 邮件服务器的安全性
    邮件服务器如果存在安全性问题,会被利用发送大量垃圾邮件。发送垃圾邮件的结果是一方面浪费了大量的服务器带宽和CPU处理能力;另外一方面服务器的地址和域名会被加入黑名单中,从而造成整个邮件服务器的邮件投递困难。
    • 邮件账户安全
      • 弱口令账户
        如果邮件服务器上存在弱口令账户——如口令和用户名一样、口令过于简单(数字、英文单字等)、口令过于短等——这种邮件账户有很大的可能被垃圾邮件发送者扫描到,并利用这些账户发送大量的垃圾邮件。
    • 滥用防护
      如果邮件服务器由于配置漏洞,导致邮件服务器存在开放转发(Open Relay)或开放代理(Open Proxy),那么这些漏洞会被垃圾邮件发送者利用来发送大量的垃圾邮件。
      • 开放转发
        如果邮件服务器的发信不需要认证,那么任何人都可以通过该邮件服务器发送(垃圾)邮件。通常经过正确配置的邮件服务器都会对邮件发送进行限制或认证。
      • 开放代理
        开放代理是服务器上存在无限制的代理服务(Proxy),垃圾邮件发送者可以通过该代理服务连接到其它邮件服务器而递交垃圾邮件。这种开放代理通常出现在配置错误的Squid服务器或未限制的Apache的mod_proxy模块。
    • 发送检查
      如果邮件服务器不对经本服务器发送的邮件进行检查,也有可能造成邮件服务器发送垃圾邮件。
      • 发信内容检查
        如果邮件服务器的用户中存在恶意用户,利用本来用作正常商业邮件的服务器发送垃圾邮件。通过对发信内容的检查,可以有效拦截这些垃圾邮件。
      • 蠕虫病毒检查
        如果邮件服务器的用户感染了邮件蠕虫病毒,会在用户不知情的情况下,疯狂发送垃圾邮件和蠕虫病毒。对发信进行蠕虫病毒检查不但可以拦截这些垃圾邮件,而且也避免了进一步扩大蠕虫病毒的蔓延。
      • 发信频率检查
        垃圾邮件通常都是在短时间内高频率的大批量发送。正常的邮件(除许可邮件列表和用户确认的大宗邮件发送外)通常都是较低的发送频率。
  • 邮件服务器的可靠性
    • 邮件投递可靠
      邮件是否能够可靠的投递到收信人,不仅仅取决于对方的服务器的状况,还取决于以下几个方面之一或全部:
      • 服务器的IP地址状况
        • 是否被列入了黑名单
        • 是否有正确的反向解析
      • 服务器的发信人/发信域状况
        • 是否被列入了黑名单
        • 是否有正确的解析
      • 服务器的通讯协议是否标准
        • HELO/EHLO的名称是否合理(FQDN)和是否存在
        • 支持的特性是否一致(如PIPELINING)
        • MAIL FROM是名称是否合理(FQDN)和是否存在
    • 邮件接收可靠
      邮件服务器是否能可靠的接收邮件,主要取决于以下几个方面之一或全部:
      • 反垃圾邮件配置
        • 反垃圾邮件的设置可能过于严厉,拒收过多的正常信件
        • 反垃圾邮件可能悄悄丢弃了部分认定的垃圾邮件
        • 使用了过于武断或缺乏维护的黑名单
      • 并发处理能力
        • 接入带宽不足,不能快速处理发来的邮件
        • 服务器处理能力不足,不能快速处理发来的邮件
        • 并发连接的限制过小,不能同时处理多封邮件

  通过邮件服务器的审计和对邮件服务器的用途及历史情况的分析,我们对邮件服务器进行可信级别的认证。

  对邮件服务器认证后,我们会颁发认证证书,称之为DSCA。DSCA包括五个级别的证书:

  • DSCA-1
    经审计合格后,颁发给单IP或单服务器或单出口的普通企业级
  • DSCA-2A
    经审计合格后,颁发给单IP或单服务器或单出口的政府、事业、教育单位级
  • DSCA-3A
    经审计合格后,颁发给不超过10个IP或服务器的中小型运营商或中小企业
  • DSCA-4A
    经审计合格后,颁发给不超过50个IP或服务器的中型运营商或中型企业
  • DSCA-5A
    经审计合格后,颁发给不限制IP或服务器的大型运营商或跨国大企业

  DSCA的认证主要参考以下数据,并经过我们的数据模型进行运算生成:

  • 邮件服务器的安全性
  • 邮件服务器的可靠性
  • 邮件服务器的用途
  • 邮件服务器的历史发信情况
  • 邮件服务器的使用程度、使用时间

  通过可信级别的认证,可以让支持Dr.SMTP的DSCA的反垃圾邮件设备/软件能够更好的接收来自被认证的邮件服务器的邮件。目前,支持Dr.SMTP的DSCA的反垃圾邮件组织有CASA(中国反垃圾邮件联盟),其发布的各种黑白名单中都会参考Dr.SMTP的DSCA;此外,还有很多反垃圾邮件产品及组织也通过使用CASA的数据而间接参考了Dr.SMTP的DSCA。

  可以说,经过了Dr.SMTP的认证,能有效提高邮件的顺利递交比例。