邮箱数据防泄漏系统建设

邮件数据防泄漏主要用于明文协议解析、加密协议解析和MTA部署解决方案，而邮件采用HTTP、SMTP/S邮件协议传输。邮件数据防泄漏要达到的目标和任务是，对所有包含敏感信息的邮件进行监听、识别和管控，避免邮件通过网络传输泄漏的风险。本期内容重点讲述邮件数据防泄漏的三种方式，可实现对所有包含敏感信息的邮件在传输时，达到监听、识别、阻断和警告的效果。

邮件数据防泄漏系统的核心技术是互联网邮件协议的解析和敏感内容识别。通过对互联网邮件协议的解析，按业务进行还原，根据制定的策略进行敏感数据匹配，一旦触发策略，根据策略的规则处理并上报策略服务器供后续的事件分类查询与统计，及时发现违规邮件及时处理，从而实现对所保护范围内的邮件数据进行防护。

邮件防泄漏系统部署方式分为旁路部署和串联部署，旁路部署包括明文协议解析方式和加密协议解析方式，串联部署包括MTA方式，旁路部署不影响客户的现网业务运行，串联部署不影响客户的非邮件业务运行。

邮件数据防泄漏系统的核心价值：

1、敏感数据分布、分类和数据追踪；

2、保护客户隐私与知识产权、追溯和取证；

3、合规遵从、风险评估。

邮件数据防泄漏系统的应用场景是根据客户的实际需求，对邮件进行监控，掌握数据交换的情况并及时发现敏感数据的流向。可以推荐客户部署明文邮件DLP，通过对邮件数据流量的监测及时发现数据泄漏情况，支持SMTP/IMAP，支持对收发件人、邮件主题、邮件内容和附件检查。一旦发现违反策略的信息，会通过记录或者邮件告警的方式进行处理。记录信息上传到管理平台，管理员可在统一管理平台对邮件违规情况进行分析和查看。

事中控制：对所有敏感数据的邮件协议解析和敏感内容进行监视，根据策略管控要求进行放行并记录、邮件告警、阻断及警告等。

事后追溯：基于内容关键字快速检索的数据追踪技术，为快速定责和优化改进提供数据支撑。

邮件系统数据防泄漏技术架构

1、明文协议解析技术架构由3部分组成，包括：协议解析服务器、内容识别服务器、策略服务器（包含数据库），图形化显示如下：

图：明文协议解析技术架构图

2、密文协议技术架构由4部分组成，包括：协议解析服务器、密文协议解析服务器、内容识别服务器、策略服务器（包含数据库），图形化显示如下：

图：密文协议解析技术架构图

3、MTA技术架构由3部分组成，包括：MTA服务器、内容识别服务器、策略服务器（包含数据库），图形化显示如下：

图：MTA部署方式技术架构图

邮件系统数据防泄漏系统部署方式

图：旁路明文协议还原部署

旁路部署在所监视网络的边界，对通过网络边界的数据进行分析和检测。主要针对上行的明文邮件数据进行还原和检测。检测结果如存在违反策略情况则进行记录，最终由管理员对公司所有安全事件进行审计，从而达到确保公司所发的邮件的安全审计。

旁路模块不提供阻断功能，因此对实时性要求比阻断模块要低，其支持协议范围很广，基本覆盖常用网络应用协议，包括：HTTP、SMTP等多数基于TCP的协议上行业务进行还原。邮件DLP负责对所监视的单位网络出口邮件内容安全进行审计。

它对发往企业外以及企业内部之间所有邮件进行检测并审计，确保能及时发现携带敏感内容的邮件。邮件DLP可透明部署，对客户现网拓扑和业务没有影响，专注对企业邮件的安全管理，适应于比较高程度依赖邮件进行信息交互的企业和单位。

图：MDLP-加密邮件还原部署

与明文邮件协议相比，加密邮件的协议还原需要先对加密协议进行破解，再把明文数据送给协议解析服务器进行业务还原。该部署方式不仅支持基本的网络应用协议，比如：HTTP、SMTP等，此外，还对加密协议的业务进行还原，比如：SMTPS（端口：465）的加密邮件等。实现加密协议的还原，需要把加密协议的业务数据流强制引入加密协议破解服务器，由破解服务器对加密协议进行解密，把解密后的明文数据送给协议解析服务器进行业务还原，供后续的内容识别与处理。

图：MDLP-MTA部署

MTA部署方式是针对客户公司内部有自己的邮件服务器情况下的邮件数据防泄漏方案。从网络效率角度考虑，建议把邮件代理服务器部署在靠近客户邮件服务器侧，通过在邮件服务器设置发邮件的下一跳地址实现发送邮件的监管。相对旁路方式部署模式，MTA部署模式在满足旁路邮件DLP功能的基础上，增加对发送邮件的阻断功能，并给触发阻断策略的邮件发送人回复通知邮件。MTA部署模式还能够根据客户的应用需要，实现对触发策略的邮件发起审批功能，根据审批结果对邮件进行阻断或者发送，同时把审批的结果反馈给发送者。审批流程可在MTA上实现，也可结合客户既有审批系统实现。

- END -