1、ICS 33.040.40 岛1:32 道昌中华人民共和国国家标准G/T 26267-2010 反垃圾电子邮件设备技术要求Technical requirement for anti-spam email equipment 2011-01-14发布2011-06-01实施数码防伪中华人民共和国国家质量监督检验检茂总局中国国家标准化管理委员会发布GB/T 26267-2010 目IJ1=1 本标准是反垃圾电子邮件设备系列标准之一。本系列的标准结构和名称预计如下:-一反垃圾电子邮件设备技术要求:反垃圾电子邮件设备测试方法;一-反垃圾电子邮件网关技术要求。本标准的附录A为资料性附录。本标准由中华人
2、民共和国工业和信息化部提出。本标准由中国通信标准化协会归口。本标准起草单位:工业和信息化部电信研究院、中国互联网协会、上海贝尔阿尔卡特股份有限公司。本标准主要起草人:陈凯、李红、陈勇、杨崖、张德华、吴英桦、王建超。I G/T 26267-2010 反垃圾电子邮件设备技术要求1 范围本标准规定了反垃圾电子邮件设备的功能要求、管理要求、性能指标和环境要求。本标准造用于反垃圾电子邮件设备。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的
3、最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/T 1096-2001 路由器设备技术规范低端路由器3 缩略语下列缩略语适用于本标准。DNS Domain Name Server 域名服务器LDAP Lightweight Directory Access Protocol 轻量级目录访问协议RBL Realtime Blackhole List 实时黑名单SMTP SimpleMail Transfer Protocol 简单邮件传输协议SNMP Simple Network Management Protocol 简单网络管理协议SNMPv 1 SNMP version 1
4、 SNMP版本1SNMPv2c SNMP version 2c SNMP版本2cSNMPv3 SNMP version 3 SNMP版本34 设备描述反垃圾电子邮件设备是针对电子邮件系统和通过电子邮件系统的邮件的安全保护,主要用于阻止所有非正常电子邮件通过电子邮件服务器或到达电子邮件用户端,包括使用垃圾电子邮件发送器或手工发送的垃圾电子邮件、被病毒侵染的电子邮件服务器或电子邮件客户端自动发出的病毒传播邮件、无需认证的邮件列表发出的电子邮件等,同时邮件安全还要保证自身的管理和应用安全,防止自身被入侵、防止自身成为垃圾邮件发送工具。反垃圾电子邮件设备主要包括反垃圾电子邮件网关和反垃圾电子邮件服务器
5、。反垃圾电子邮件网关通常部署在电子邮件服务器的前端,所有的电子邮件经过反垃圾电子邮件网关的处理后,转发到电子邮件服务器。反垃圾电子邮件服务器具备反垃圾电子邮件功能,通常直接对垃圾电子邮件进行处理。反垃圾电子邮件设备的框架图如图1和图2所示。反垃圾电子邮件网关图1反垃圾电子邮件罔关的框架图电子邮件服务器1 G/T 26267-2010 5 功能要求5. 1 动态限制反垃圾电子邮件服务器图2反垃圾电子邮件服务器的框架图反垃圾电子邮件设备应该能够限制同一个IP的最大TCP和SMTP同时连接数。当超过该连接数目时,系统能够自动阻止新的连接。反垃圾电子邮件设备应该能够限制同一个IP的最大SMTP连接频率
6、,一旦超过该阀值,系统将自动禁止对方的连接。反垃圾电子邮件设备应该能够限制同一主题的邮件的最大发送数,一旦超过该阅值,系统将自动禁止该邮件的传输。反垃圾电子邮件设备应该能够限制发件账号的在单位时间内的最大邮件发送数,一旦超过该阅值,系统将自动禁止该邮件的传输。5.2 病毒识别反垃圾电子邮件设备宜支持邮件防病毒功能,应对邮件、附件、压缩附件中所包含的病毒进行识别。5.3 静态黑白名单反垃圾电子邮件设备应提供静态黑名单功能。凡在黑名单中的地址,系统可直接拒绝连接而无需进行垃圾邮件等判断工作。系统可提供白名单的功能。凡在白名单中的地址,系统可允许其正常通过而无需进行垃圾邮件检测。5.4 源头认证反垃
7、圾电子邮件设备宜支持源头认证技术,具有虚假路由识别功能,以确保用户的IP地址和域名相符。如果不符,则阻止用户进行发送。5.5 实时黑名单反垃圾电子邮件设备应支持RBL黑名单列表功能。实时黑名单是通过DNS查询方式来查询黑名单列表。至今,已经衍生了很多增强和扩展的黑名单服务,系统中应有国家主管部门提供的实时黑名单服务。5.6 分布协作的指纹分析反垃圾电子邮件设备宜支持分布协作的邮件指纹分析功能。分布协作的邮件指纹分析是基于从邮件中提取出可以代表内容的指纹数据,不同的内容会产生不同的指纹,用这些指纹代表邮件,全球的兼容用户会提交邮件的指纹,从服务器得到响应知道有多少封相同的邮件在全球传播,识别邮件
8、是否为垃圾邮件。5. 7 内容过滤反垃圾电子邮件设备应能够提供对邮件全方位的过滤机制。支持邮件信头、信体、附件、主题、发件人、收件人、抄送人、暗送人(只针对外发邮件)、邮件正文、邮件附件中包含的关键字进行过滤;系统应该能够提供对邮件大小或附件大小及文件格式的限制。5.8 隔离区管理反垃圾电子邮件设备应支持隔离区管理。被认为是垃圾邮件或病毒邮件的,应可以先放人隔离区由用户人工判别。隔离账号可采用账号导人、共用LDAP服务器、自动测试激活等方式取得邮件服务器合法用户的账号以建立对应的隔离区。隔离区应由邮件用户自行维护,不应由管理员维护。5.9 审计反垃圾电子邮件设备宜支持审计功能。针对垃圾识别、内
9、容过滤等方式匹配的邮件甚至全部邮件,2 GB/T 26267-2010 可以审计保存以备企业信息安全查询或公安部门查询,但不应能够让邮件管理员自行访问查阅。5. 10 处理动作当判别垃圾邮件以后,反垃圾电子邮件设备可当支持以下动作:a) 通过;b) 标记通过;c) 拒绝;d) 隔离ze) 直接丢弃。6 管理要求6. 1 网络参数配置反垃圾电子邮件设备应能配置IP地址、子网掩码、网关地址、DNS地址及设备名称。6.2 SMTP协议参数配置反垃圾电子邮件设备应能配置提供SMTP协议参数。6.3 软件升级管理为了尽可能避免升级给服务带来影响,升级过程应快速而简单,升级过程中以及升级之后宜不需要重新启
10、动系统。6.4 设备状态监测为保证系统的安全,管理员宜能够通过web管理界面远程监控硬件的健康状况,而无需利用操作系统管理权限远程登陆到服务器直接进行操作。系统宜能够监测到以下几个关键信息: CPU使用情况; 内存使用状态; TCP/SMTP连接数; 硬盘空间和运行状况; 网络流量状况; 邮件流量分布。6.5 SNMP网络管理协议SNMP是一种应用非常广泛的网络管理协议,主要用于设备的监控和配置的更改等,目前使用的SNMP协议有3个版本,分别是SNMPv1、SNMPv2c和SNMPv3。反垃圾电子邮件设备宜支持安全性较好的SNMPv3协议。6.6 日志统计为了方便管理员进行邮件故障诊断,系统应
11、提供详细的所有邮件日志以及详细的垃圾邮件防护日志和统计信息。为方便管理员掌握垃圾邮件状况,以便及时采取防护措施,系统宜提供相应的TOP 10排名分析功能。6. 7 设备安全设备除了管理端口(转发端口)应配置有效的IP地址以外,其他端口都不宜设IP地址。系统除了必须的服务外不应开启其他任何服务端口。6.8 管理员操作安全应支持远程web管理,并且管理过程应使用https安全协议进行通讯。管理员管理应支持角色管理。多次错误登录后应支持对错误登录者的封禁。应具备管理员登陆日志信息,详细记录管理员的登陆管理台的使用情况。3 G/T 26267-2010 7 性能指标7. 1 准确性指标准确性指标在很大
12、程度上取决于测试时采用的样本集和测试环境。样本集和测试环境不同,准确性也不相同。因此,本标准对误报率和漏报率的准确性数值不作统一规范,只作为重要的性能指标供比较。7. 1. 1 漏报率漏报率是指被保护的邮件服务器受到垃圾邮件攻击时,设备不能正确报警的概率。漏报率=不能报警的数量/垃圾邮件的数量。本标准建议漏报率不大于10%。7.1.2 误报率误报率是指系统把正常邮件判断为垃圾邮件攻击而错误报警的概率。误报率=错误报警数量/正常邮件的数量。本标准建议误报率不大于2%。7.2 效率指标效率指标根据用户系统的实际需求,以保证检测质量为准。这里不做强制性的量化规定或建议。同准确性指标一样,只作为重要的
13、性能指标供比较。7.2.1 SMTP最大并发连接鼓指整个测试过程中,反垃圾电子邮件设备同时成功接收邮件的最大值,其结果表示为最大建立会话的连接数。这里不做强制性的量化规定或建议。同准确性指标一样,只作为重要的性能指标供比较。7.2.2 SMTP每秒新建连接数指整个测试过程中,反垃圾电子邮件设备成功接收邮件的瞬间最大值,其结果表示为每秒新建会话的连接数。这里不做强制性的量化规定或建议。同准确性指标一样,只作为重要的性能指标供比较。7.2.3 SMTP平均晌应时间指从性能测试仪发送SMTP连接请求开始,到反垃圾电子邮件设备成功接受到邮件第一位数据时的时间间隔。这里不做强制性的量化规定或建议。同准确
14、性指标一样,只作为重要的性能指标供比较。8 环境要求环境要求见YD/T1096-2001。9 电源与接地电源与接地要求见YD/T1096-20010 4 , Anti-Spam Email Gateway Anti-Spam Email Server Fake Mail Fake Route 附录A(资料性附录)名词、术语英汉对照表Fingerprint analysis base on distributed cooperation Source Authentication Spam Email GB/T 26267-2010 反垃圾电子邮件网关反垃圾邮件电子服务器邮件假冒虚假路由分布协作
15、的指纹分析源头认证垃圾电子邮件5 OFONlhNNH阁。华人民共和国家标准反垃圾电子邮件设备技术要求国申GB/T 26267-2010 中国标准出版社出版发行北京复兴门外三里河北街16号邮政编码:100045 晤网址电话:6852394668517548 中国标准出版社秦皇岛印刷厂印刷各地新华书店经销晤印张O.75 字数10千字2011年5月第一次印刷开本880X12301/16 2011年5月第一版导16.00元如有印装差错由本社发行中心调换版权专有侵权必究举报电话:(010)68533533书号:155066. 1-42373定价GB/T 26267-2010 打印日期:2011年5月19日F002A
