截取和分析网络中的所有电子邮件流量

Question

我们正在为大型组织中的电子邮件保护建立一个网络安全解决方案。

我们的最终目标是：

拦截所有进入组织的电子邮件，扫描电子邮件的附件，以防一切正常，让邮件继续发送到其目的地，否则阻止电子邮件。

我们专门扫描电子邮件，我们目前不确定什么是最好的解决方案，以拦截所有电子邮件。

我们会非常乐意收到有关这个问题的信息(关键词？)开源项目?)。

我们相信我们的解决方案有点类似于IDS/IPS，但仍然不明白如何拦截电子邮件。

像Wireshark这样的现有解决方案能够截取电子邮件，但是就像我说过的，我们需要拦截一个组织所有收到的电子邮件，Wireshark对于这样的任务是否具有可伸缩性？

非常感谢迈克尔。

Answer 1

Wireshark现在只听网络中正在发生的事情，它不会帮助您阻塞所述流量。Wireshark doen不适合每周7天24小时捕捉好。这是调试工具，它用于帮助管理员了解为什么某些东西不能工作。

有更好的解决方案来重定向一个流量副本来分析事物，但是仍然不能阻止当前的流量。假设你发现了一种病毒，而且，嗯，事实上你有一个通信量的副本，这意味着病毒已经进入了客户端机器。这是一种IDS方式。

你必须处于中间地位才能做好预防和预防工作。您的软件应该显示为客户端的有效服务器，并了解他们想去哪里，然后作为有效客户端出现在该服务器上。

因此，当您的路由器看到连接到端口143 (IMAP)到互联网，它将重定向数据包到您的过滤盒。该框将回复"* OK就绪“，即假装它是IMAP服务器，同时连接到客户端想要连接的真正服务器(您必须从路由器知道原始的目标IP )。然后，您传递一些IMAP命令和答复前后，可能扫描电子邮件正文和附件出现在那里。您可以阻止，将一些附件替换为“对不起，这里有病毒，我们禁用了传递”等等。准备好了，IMAP是相当复杂的协议，它非常流行，您必须实现透明的IMAP代理。

你完全可以拦截和干扰未经加密的通信，但是今天每个人都使用TLS，所以你很幸运能够截获一些有意义的东西，并看到它是一封电子邮件。要避免这种情况，您必须能够进行SSL/TLS MitM代理，这是很难做到的。SSL MitM代理是一件相当麻烦的事情，它意味着您必须运行内部证书颁发机构，使其受到所有内部客户端的信任，使您的拦截框自动生成由此特殊CA签名的证书，从而使客户端显示为有效的服务器。

如果你没有在某个客户端安装CA证书(比如说，首席执行官会有一位带笔记本电脑或平板电脑的客人)，他们的电子邮件软件就会抱怨不可信的服务，如果它抱怨一些众所周知的事情(例如gmail)，你就会有非常可疑的情况。

尽管如此，这并不是完全防弹的，因为有人可以从您的网络构建一个VPN隧道，并通过它进行通信，绕过您的过滤器。

有现成的解决方案在市场上这样做，并相应的成本。他们通常能够插入几个防病毒扫描器.尽管如此，即使有了昂贵的解决方案，您也必须解决安装CA证书的问题。如果您能够控制所有客户端计算机(例如，您将确定您从未在您的外围遇到客户笔记本电脑，将创建一个来宾网络，而根本不过滤它)，这可能会更容易，但这样做可能更容易将扫描仪集成到客户端电子邮件软件中。

它可以发送所有的检查到某个扫描服务器，或本地扫描，但这将确保TLS问题不会影响您-客户端软件是加密隧道的一方，所以它总是有明文的有效负载。

如果您是在企业环境中，企业很可能有公司的电子邮件服务。你可以把扫描仪整合到这个服务中。不同的电子邮件服务设置所做的事情不同，但它们都可以使用一个“smtp-代理”来操作，这将调用扫描程序对每一条消息通过它。这有一个明显的缺点，就是只检查通过该服务器的电子邮件，即只检查公司电子邮件，而不检查来自外部电子邮件服务(gmail等)的邮件。

Answer 2

如果您想阻止电子邮件，唯一可靠的方法是部署应用程序级代理(而不是TCP或IP代理)，以便向外界说SMTP。如果您在较低的抽象级别阻止电子邮件，则外部的MTA (邮件传输代理)将简单地重试一次，根据邮件的配置方式，它可能不会再次尝试到同一邮件服务器。STMP包含一个“永久拒绝”响应代码，允许您想要的行为。

搜索“开放源码smtp代理”将带来许多下一步的去处。

Answer 3

最有效的方法之一是创建/安装您自己的邮件服务器/主机解决方案，并让组织将他们的mx记录指向您。这样，你就可以完全控制电子邮件了，你可以在邮件进来的时候扫描邮件，加密邮件，这样只能通过组织软件查看，转发到最终的目的地，等等。

要注意的是邮件来源，带有html或“图片”的邮件，当然还有外部链接。有一些有用的解决方案，比如摩托巴和hMailServer，它们可以帮助您构建UI。

如果你不想让组织的电子邮件通过你的服务器，那么你肯定是在查看电子邮件API。你可以用Admin为谷歌应用程序做这件事，但我不确定其他电子邮件服务器。对于防病毒部分，这是一个困难的问题，因为组织也希望他们的电子邮件快速。如果您对这方面的替代解决方案持开放态度，请随时访问联系我。