Security 拦截和分析网络中的所有电子邮件流量

我们正在为大型组织的电子邮件保护构建一个网络安全解决方案

我们的最终目标是：

拦截所有进入组织的电子邮件，扫描电子邮件附件，如果一切正常，让电子邮件继续发送到目的地，否则阻止电子邮件

我们专门扫描电子邮件，目前还不确定截取所有电子邮件的最佳解决方案是什么

我们非常乐意收到关于这个问题的信息（关键词？开源项目？）

我们相信我们的解决方案有点类似于IDS/IPS，但仍然不知道如何进行电子邮件拦截

像Wireshark这样的现有解决方案能够截获电子邮件，但正如我所说，我们需要截获一个组织的所有传入电子邮件，Wireshark是否可用于此类任务

非常感谢，

---

Michael。

如果您希望能够阻止电子邮件，唯一可靠的方法是部署一个应用程序级代理（而不是TCP或IP代理）向外部世界发送SMTP。如果您以较低的抽象级别阻止电子邮件，则外部的MTA（邮件传输代理）将重试，并且可能不会重试到同一邮件服务器，具体取决于邮件的配置方式。STMP包含一个“永久拒绝”响应代码，该代码允许您想要的行为

---

搜索“开源smtp代理”会带来很多下一步要去的地方。

Wireshark只监听网络中正在发生的事情，它不会帮助您阻止上述流量。Wireshark不适合全天候抓捕。这是一个调试工具，它用来帮助管理员了解为什么有些东西不起作用

有更好的解决方案可以重定向流量副本以进行分析，但仍然无法阻止当前流量。假设你发现了一个病毒，事实上，你有一个流量副本，这意味着病毒已经进入了客户端机器。这是一种IDS方式

你必须站在中间做预防工作，成为IPS。您的软件应该在客户端中显示为有效的服务器，并且了解他们想要去哪里，然后在该服务器中显示为有效的客户端

所以，当你们的路由器看到143端口（IMAP）连接到互联网时，它会将数据包重定向到你们的过滤盒。该框将回答“*OK ready”，即假装它是一个IMAP服务器，同时连接到客户端打算连接的真实服务器（您必须从路由器知道原始目标IP）。然后，您来回传递一些IMAP命令和回复，可能会扫描出现在那里的电子邮件正文和附件。您可以阻止，用“抱歉，这里有病毒，我们禁用了传递”等替换一些附件。请做好准备，IMAP是一个非常复杂的协议，并且非常流行，您必须实现透明的IMAP代理

你可以很好地拦截和干扰未加密的流量，但今天每个人都使用TLS，所以你很幸运能够拦截到一些有意义的内容，并看到这是一封电子邮件。要避免这种情况，您必须能够执行SSL/TLS MitM代理，这很难做到。SSL MitM代理是一件非常讨厌的事情，它意味着您必须运行内部证书颁发机构，使其受到所有内部客户端的信任，使您的拦截盒自动动态生成由此特殊CA签名的证书，以便在客户端看来是有效的服务器

如果您未能在某些客户机上安装CA证书（例如，CEO将有一位客人使用笔记本电脑或平板电脑），他们的电子邮件软件将抱怨不受信任的服务，如果它抱怨一些众所周知的东西（例如gmail），您将面临非常可疑的情况

但这并不是完全防弹的，因为有人可以从你的网络中构建一个VPN隧道并通过它进行通信，绕过你的过滤器

市场上有现成的解决方案可以做到这一点，而且成本也相应提高。他们通常能够插入几个反病毒扫描仪。尽管如此，即使使用这种昂贵的解决方案，您也必须解决安装CA证书的问题。如果你能控制所有的客户机，可能会更容易（比如，你会决定在你的周边从未遇到过客户笔记本电脑，会创建一个客户网络，而根本不会对其进行过滤），但如果你能将扫描器集成到客户机电子邮件软件中，可能会更容易

它可以将所有检查发送到某个扫描服务器，或本地扫描，但这将确保TLS问题不会影响您-客户端软件是加密通道的一方，因此它总是以明文形式提供有效负载

---

如果您处于企业环境中，企业很可能拥有企业电子邮件服务。您可以将扫描仪集成到此服务中。不同的电子邮件服务设置做的事情不同，但都能够使用“smtp代理”进行操作，该代理将为通过它的每条邮件调用扫描程序。这有一个明显的缺点，即只检查通过此服务器的电子邮件，即只检查公司电子邮件，而不检查来自外部电子邮件服务（gmail等）的邮件最有效的方法之一是创建/设置您自己的邮件服务器/托管解决方案，并让组织将其mx记录指向您。这样，你们就完全控制了电子邮件，你们可以在邮件进来时扫描邮件，对邮件进行加密，这样它就只能被组织软件查看，转发到最终目的地，等等

需要注意的是邮件来源、带有html或“图片”的邮件，当然还有外部链接。有一些有用的解决方案，如和，可以帮助您构建UI

如果您不想让组织的电子邮件通过您的服务器，那么您肯定会看到电子邮件API。你