拦截和分析网络中的所有电子邮件流量
Intercepting and analyzing all email traffic in a network
我们正在为大型组织的电子邮件保护构建网络安全解决方案。
我们的最终目标是:
拦截所有进入组织的电子邮件,扫描电子邮件的附件,如果一切正常让电子邮件继续到达目的地,否则阻止电子邮件。
我们专门扫描电子邮件,目前我们不确定截获所有电子邮件的最佳解决方案是什么。
我们很高兴收到有关此问题的信息(关键字?开源项目?)。
我们认为我们的解决方案有点类似于 IDS/IPS,但仍然不明白如何拦截电子邮件。
像 Wireshark 这样的现有解决方案能够拦截电子邮件,但就像我说的,我们需要拦截组织的所有传入电子邮件,Wireshark 是否可以针对此类任务进行扩展?
非常感谢,
迈克尔.
如果您希望能够阻止电子邮件,唯一可靠的方法是部署应用程序级代理(而不是 TCP 或 IP 代理)以与外界进行 SMTP 通信。如果您在较低的抽象级别阻止电子邮件,外部的 MTA(邮件传输代理)将简单地重试,并且它可能不会重试到同一邮件服务器,具体取决于邮件的配置方式。 STMP 包含允许您想要的行为的 "permanent reject" 响应代码。
搜索 "open source smtp proxy" 会显示接下来要去的地方。
Wireshark 现在只监听网络中发生的事情,它不会帮助您阻止所述流量。 Wireshark 不适合做 24/7 捕获。这是调试工具,用于帮助管理员查看为什么某些东西不工作。
有更好的解决方案来重定向流量副本以进行分析,但您仍然无法阻止当前流量。假设您发现了病毒,并且您拥有流量副本这一事实意味着病毒已经进入客户端计算机。这是一种IDS方式。
你必须是中间人才能进行预防和成为 IPS。您的软件应该作为客户端的有效服务器出现,并了解他们想去哪里,去那里并作为该服务器的有效客户端出现。
因此,当您的路由器发现端口 143 (IMAP) 连接到互联网时,它会将数据包重定向到您的过滤框。该框将回复“* OK ready”,即假装它是一个 IMAP 服务器,同时连接到客户端打算连接的真实服务器(您必须以某种方式知道来自路由器的原始目标 IP)。然后你传递一些 IMAP 命令并来回回复,可能会扫描出现在那里的电子邮件正文和附件。您可以阻止,将某些附件替换为 "sorry, here was virus and we disabled delivery" 等。做好准备,IMAP 是一个相当复杂的协议,而且它很受欢迎,你必须实现透明的 IMAP 代理。
你能够很好地拦截和干扰通过未加密的流量,但今天每个人都使用 TLS,所以你很幸运能够拦截一些有意义的东西并看到它是一封电子邮件.要避免这种情况,您必须能够执行 SSL/TLS MitM 代理,这很难做到。 SSL MitM 代理是一件非常讨厌的事情,这意味着你必须 运行 内部证书颁发机构,让它受到所有内部客户端的信任,让你的拦截器自动即时生成由这个特殊 CA 签名的证书, 只是为了向客户端显示为有效服务器。
如果您无法在某些客户端上安装您的 CA 证书(例如,CEO 将有一位使用笔记本电脑或平板电脑的客人),他们的电子邮件软件将抱怨不受信任的服务,如果它抱怨一些众所周知的事情(例如,gmail)你会有一个非常可疑的情况。
这仍然不是完全可靠的,因为有人可以从您的网络构建 VPN 隧道并通过它进行通信,从而绕过您的过滤器。
市场上有现成的解决方案可以做到这一点,而且它们的成本也相应。他们通常能够插入多个反病毒扫描程序。尽管如此,即使使用昂贵的解决方案,您也必须解决安装 CA 证书的问题。如果您可以控制所有客户端计算机,这可能会更容易(例如,您将决定永远不会在您的周边遇到访客笔记本电脑,将创建一个访客网络并且根本不过滤它),但是集成可能会更容易扫描仪进入客户端电子邮件软件。
它可以将所有内容发送到某个扫描服务器进行检查,或者在本地进行扫描,但这将确保 TLS 问题不会触及您 - 客户端软件是加密隧道的一侧,因此它始终清楚地显示有效负载文字.
如果您在企业环境中,企业很可能拥有企业电子邮件服务。您可以将扫描仪集成到此服务中。不同的电子邮件服务设置做事不同,但都能够使用 "smtp-proxy" 进行操作,这将为通过它的每封邮件调用扫描程序。这有一个明显的缺点,即只检查通过该服务器的电子邮件,即只检查公司电子邮件,而不检查来自外部电子邮件服务(gmail 等)的邮件
解决此问题的最有效方法之一是 create/setup 您自己的邮件 server/hosting 解决方案,并让组织将他们的 mx 记录指向您。这样,您就可以完全控制电子邮件,并且可以在邮件进入时对其进行扫描、对其进行加密以使其只能由组织软件查看、转发至最终目的地等。
需要注意的是邮件来源、带有 html 或 'pictures' 的邮件,当然还有外部链接。 Modoba and hMailServer 等有用的解决方案可以帮助构建您的 UI.
如果您不想让组织电子邮件通过您的服务器,那么您肯定会查看电子邮件 API。您可以使用 Admin SDK 为 google 应用程序执行此操作,但我不确定是否适用于其他电子邮件服务器。对于防病毒部分,这本身就是一个难题,因为组织也希望他们的电子邮件速度更快。如果您愿意接受其他解决方案,请随时 contact me。
我们正在为大型组织的电子邮件保护构建网络安全解决方案。
我们的最终目标是:
拦截所有进入组织的电子邮件,扫描电子邮件的附件,如果一切正常让电子邮件继续到达目的地,否则阻止电子邮件。
我们专门扫描电子邮件,目前我们不确定截获所有电子邮件的最佳解决方案是什么。
我们很高兴收到有关此问题的信息(关键字?开源项目?)。
我们认为我们的解决方案有点类似于 IDS/IPS,但仍然不明白如何拦截电子邮件。
像 Wireshark 这样的现有解决方案能够拦截电子邮件,但就像我说的,我们需要拦截组织的所有传入电子邮件,Wireshark 是否可以针对此类任务进行扩展?
非常感谢, 迈克尔.
如果您希望能够阻止电子邮件,唯一可靠的方法是部署应用程序级代理(而不是 TCP 或 IP 代理)以与外界进行 SMTP 通信。如果您在较低的抽象级别阻止电子邮件,外部的 MTA(邮件传输代理)将简单地重试,并且它可能不会重试到同一邮件服务器,具体取决于邮件的配置方式。 STMP 包含允许您想要的行为的 "permanent reject" 响应代码。
搜索 "open source smtp proxy" 会显示接下来要去的地方。
Wireshark 现在只监听网络中发生的事情,它不会帮助您阻止所述流量。 Wireshark 不适合做 24/7 捕获。这是调试工具,用于帮助管理员查看为什么某些东西不工作。
有更好的解决方案来重定向流量副本以进行分析,但您仍然无法阻止当前流量。假设您发现了病毒,并且您拥有流量副本这一事实意味着病毒已经进入客户端计算机。这是一种IDS方式。
你必须是中间人才能进行预防和成为 IPS。您的软件应该作为客户端的有效服务器出现,并了解他们想去哪里,去那里并作为该服务器的有效客户端出现。
因此,当您的路由器发现端口 143 (IMAP) 连接到互联网时,它会将数据包重定向到您的过滤框。该框将回复“* OK ready”,即假装它是一个 IMAP 服务器,同时连接到客户端打算连接的真实服务器(您必须以某种方式知道来自路由器的原始目标 IP)。然后你传递一些 IMAP 命令并来回回复,可能会扫描出现在那里的电子邮件正文和附件。您可以阻止,将某些附件替换为 "sorry, here was virus and we disabled delivery" 等。做好准备,IMAP 是一个相当复杂的协议,而且它很受欢迎,你必须实现透明的 IMAP 代理。
你能够很好地拦截和干扰通过未加密的流量,但今天每个人都使用 TLS,所以你很幸运能够拦截一些有意义的东西并看到它是一封电子邮件.要避免这种情况,您必须能够执行 SSL/TLS MitM 代理,这很难做到。 SSL MitM 代理是一件非常讨厌的事情,这意味着你必须 运行 内部证书颁发机构,让它受到所有内部客户端的信任,让你的拦截器自动即时生成由这个特殊 CA 签名的证书, 只是为了向客户端显示为有效服务器。
如果您无法在某些客户端上安装您的 CA 证书(例如,CEO 将有一位使用笔记本电脑或平板电脑的客人),他们的电子邮件软件将抱怨不受信任的服务,如果它抱怨一些众所周知的事情(例如,gmail)你会有一个非常可疑的情况。
这仍然不是完全可靠的,因为有人可以从您的网络构建 VPN 隧道并通过它进行通信,从而绕过您的过滤器。
市场上有现成的解决方案可以做到这一点,而且它们的成本也相应。他们通常能够插入多个反病毒扫描程序。尽管如此,即使使用昂贵的解决方案,您也必须解决安装 CA 证书的问题。如果您可以控制所有客户端计算机,这可能会更容易(例如,您将决定永远不会在您的周边遇到访客笔记本电脑,将创建一个访客网络并且根本不过滤它),但是集成可能会更容易扫描仪进入客户端电子邮件软件。
它可以将所有内容发送到某个扫描服务器进行检查,或者在本地进行扫描,但这将确保 TLS 问题不会触及您 - 客户端软件是加密隧道的一侧,因此它始终清楚地显示有效负载文字.
如果您在企业环境中,企业很可能拥有企业电子邮件服务。您可以将扫描仪集成到此服务中。不同的电子邮件服务设置做事不同,但都能够使用 "smtp-proxy" 进行操作,这将为通过它的每封邮件调用扫描程序。这有一个明显的缺点,即只检查通过该服务器的电子邮件,即只检查公司电子邮件,而不检查来自外部电子邮件服务(gmail 等)的邮件
解决此问题的最有效方法之一是 create/setup 您自己的邮件 server/hosting 解决方案,并让组织将他们的 mx 记录指向您。这样,您就可以完全控制电子邮件,并且可以在邮件进入时对其进行扫描、对其进行加密以使其只能由组织软件查看、转发至最终目的地等。
需要注意的是邮件来源、带有 html 或 'pictures' 的邮件,当然还有外部链接。 Modoba and hMailServer 等有用的解决方案可以帮助构建您的 UI.
如果您不想让组织电子邮件通过您的服务器,那么您肯定会查看电子邮件 API。您可以使用 Admin SDK 为 google 应用程序执行此操作,但我不确定是否适用于其他电子邮件服务器。对于防病毒部分,这本身就是一个难题,因为组织也希望他们的电子邮件速度更快。如果您愿意接受其他解决方案,请随时 contact me。