Q：应采取什么样的策略来确保电子邮件系统安全？

A：由于企业邮箱的广泛应用，电子邮件现在已经成为网络黑客的主要攻击对象。导致众多企业倍受病毒、木马程序乃至间谍软件的威胁，纷纷求助有效的全面防御策略。在此推荐一些常用的分层防御手段，有包过滤防火墙、电子邮件防火墙和非军事区（DMZ）邮件服务器。

第一层防御——包过滤防火墙：是能够保护底层网络的佳防护层，并且对基于网络的应用程序提供了关键性的防护。这种类型的防火墙可以配置为只允许特 定类型的入站数据包发送到防火墙保护下的内部主机的指定端口上。例如，在防火墙上可能会配置允许TCP端口25上的入站数据包到DMZ邮件服务器，以及 TCP端口80和443上的入站数据包到DMZ Web邮件服务器上。

第二层防御——电子邮件防火墙，它是应用程序级的防火墙。这种类型的防火墙工作在协议栈的更高级别。它不仅了解SMTP传输，而且还可以通过扫描每 封邮件的表面和内容来检测垃圾邮件、钓鱼式攻击和病毒的威胁。电子邮件防火墙通常能够非常牢固地防御基于SMTP的攻击（例如缓冲区溢出攻击），所以 DMZ邮件服务器对于此类攻击不容易受到威胁。电子邮件防火墙会保护电子邮件系统（也就是提供邮件服务的计算机系统），使内部用户免受信箱中有害邮件的威 胁。

要注意的是电子邮件防火墙必须提供更加全面的反病毒能力，这样才能对已知或未知病毒提供有效的防护。许多反病毒软件都是被动式的，然而，由于目前病 毒的传播过于迅猛并且许多病毒都具有多种形态，被动式的防御已经不能满足需要了。反病毒软件还必须能够提供启发式扫描，这也就意味着它能够根据关键性特征 来识别出病毒而不需要知道确切的特征。虽然被动式扫描还在病毒防御中占据着一席之地，但是在实时防御与零天威胁（zero-day threats）的对抗中要求反病毒软件具有启发式的扫描功能。

第三层的防御——正确配置的DMZ邮件服务器。这台服务器应该只接受目标为它所拥有的域——也就是发给内部用户的邮件。此法可以防止垃圾邮件发送者 利用邮件服务器为垃圾邮件进行中继。DMZ邮件服务器应该非常坚固，这样才能够使那些越过电子邮件防火墙的邮件攻击（例如那些电子邮件防火墙接受并传递到 DMZ邮件服务器上的无效邮件）无法得逞。

后，来自其它层次的防御也会对防护有所帮助，例如入侵检测系统和独立的DMZ Web邮件服务器，因为Web 邮件服务器通常会运行复杂的Web应用程序，它们经常会提供一个可保全内部系统的攻击路线。