一、电子邮件，企业外网与内网之间的合法通道

    当我们登陆外部的邮箱服务器，如ISP服务器提供的一些邮箱服务器，此时，这些邮箱中的信件会受到企业企业邮件安全策略的控制吗？答案是否定的。也就是说，企业内部员工打开外部邮箱服务器的邮件的时候，就在企业内外网之间打开了一条通道，而这条通道是不受企业邮件安全策略的控制。换句话说，企业辛辛苦苦建立起来的一套邮件安全体系，很可能因为外部邮箱服务器的存在，而功亏一篑。

    如企业不顾员工的阻力，在内部邮箱服务器上部署了邮件监控功能，对用户发送的邮件进行实施的跟踪，看其是否利用邮件发送公司的机密信息。这个安全策略，若员工采用公司内部的邮箱发送，则很明显受到这个策略的控制，我们安全管理人员可以在必要的时候查询这个员工发送邮件的内容。但是，其若不是采用公司的邮件地址发送，而是采用外部的邮箱服务器发送，如163邮箱服务器，那么我们就哪他们没办法。

    如企业出于邮件安全的考虑，禁止一些JPG或者EXE为后缀名的附件在企业内部邮箱服务器中进行转发，因为这些格式的附件携带病毒的几率比较大。或者说，这些格式的文件是病毒良好的载体。为了企业整个网络安全考虑出发，我们限制这些格式附件的邮件进入到企业内部网络。但是，员工若直接使用外部的邮箱服务器，如163，其仍然可以畅通无阻的下载任何格式的附件。这就使得我们辛苦建立起来的安全防线落空了。

    如我们在内部邮箱服务器进行设置的时候，出于某些方面的考虑，我们会让某些员工，他们的邮箱只能够跟内部员工之间进行邮件的发送与接收，而不能够接受或者发送外部的邮件。但是，此时，若用户可以访问外部的邮件服务器的话，则他们可以采用外部的邮箱服务器帐号随意的发送邮件，而突破了内部邮箱服务器的这一些限制。

    通过以上的这几个例子，我们可以清楚的看到，针对内部邮箱服务器的这些安全策略，在外部邮箱服务器面前，变得苍白无力。

    而经过一些权威部门的调查，一半以上的企业，虽然在企业的内部服务器上部署了一些安全管理的策略，但是，确没有切断外部邮箱服务器跟企业内部网络之间的通道，使得外部邮箱服务器的邮件可以畅通无阻的到达员工的桌面，从而让针对内部邮箱服务器的安全策略变得一无用处。

    二、关闭外部邮箱服务器与企业内部网络之间的联络通道

    企业若对于安全需求比较高，在内部邮箱服务器上部署了比较严格的安全策略，那么接下去要做的一件事情，就是需要禁止用户访问外部邮箱服务器，在公司内部统一采用企业自己的邮箱服务器，从而防止外部邮箱服务器的邮件直接到达员工的桌面。要实现这个需求，方法比较多，下面笔者摘录一些必要典型的实现方法，供大家参考。

    1、通过端口号进行限制。一般常规的邮箱服务器，都需要采用SMTP等协议，而这些协议又对应一定的端口号。若我们能够在企业防火墙或者路由器那边，禁止这些端口的流量，那么就可以防止企业内部用户跟外部的邮箱服务器进行通信。不过，这个前提就是企业自己的邮箱服务器需要设置特殊的端口号。不然的话，不仅员工不能够接受外部的邮件，企业自己的邮箱服务器也不能像外部发送邮件，这就有一点得不偿失了。

    2、限制某些员工访问外部网页。现在员工访问外部的邮箱服务器，大部分是直接通过网页访问的。对于一些不需要上网的员工，如仓库或者生产部门员工，可以限制他们访问网页，从而让他们无法访问外部邮箱服务器的进口，从而实现限制员工访问外部邮箱服务器的目的。

    3、利用路由器的访问控制列表实现内容的过滤。若你路由器支持访问控制列表功能的话，则其控制起来就更加的灵活。如可以通过访问控制列表，按照端口、协议等条件进行过滤，从而让用户无法访问外部的邮箱服务器。

    总之笔者认为，若企业在内部邮箱服务器上部署了安全策略，则就有必要断开用户跟外部邮箱服务器的联系。否则的话，企业员工就可以绕开内部邮箱服务器上的安全策略。上面的一些方法，企业可以根据自己的实际情况，选择一种或者几种结合使用。

    三、中庸之道：对邮件实施监控

    从邮件的出现至道现在，对于邮件的安全讨论一直持续不断。从最初的放任，到禁止，到现在的监控，其经历了多个发展的阶段。不过笔者认为，无论是放任还是禁止，都不是一个很好的措施。相对而言，在这个两个极端措施之间取得一个平衡，或者说，中庸之道“监控”，可能是一个更加好的处理方法。

    企业若担心员工利用邮件泄露公司机密，因而把邮件全部禁止的话，则让人有一种因噎废食的感觉。而且，电子邮件毕竟给我们的工作带来了非常大的方便。如员工之间通过电子邮件，可以省去很多书面资料。而且，电子邮件的优势，电话等手段又无法代替。所以，电子邮件的存在还是非常有必要的。企业若出于安全方面的考虑，而全面禁止电子邮件，就显得有点得不偿失了。但是，若对邮件采取放任不管的态度，那也是不行的，会让企业的信息化安全处在悬崖的边上。

    为此，后来很多邮件服务器厂商以及一些软件企业，都开发出了一些工具实现对邮件的实时监控，这让企业管理者与邮箱服务器管理员能够清楚的知道，企业员工到底在利用邮件做一些什么样的工作，是否在做一些损害企业利益的行为。监控使得用户可以使用电子邮件，并且我们可以知道他们详细的使用情况。

    若对企业的内部邮箱使用监控，这是一个很容易实现的工作。现在难就难在，如何对企业用户采用外部邮箱服务器的动作进行监控呢。从原理上来说，是比较简单的，只需要从网络基层对数据进行窃窥就可以实现了。现在很多网络行为管理工具，基本上就可以实现这个目的。不过企业需要为此花费一些额外的支出，不想内部邮箱服务器监控那样，可以通过内部邮箱服务器本身提供的工具进行追踪。

    四、企业在邮件安全策略上的误区

    不少企业虽然都采用了邮件安全策略，但是，笔者发现或多或少存在一些误区。其实，这笔者在刚开始工作的时候，也遇到过这些问题。主要是经验不足所造成的。

    1、太过于高估员工的素质。如我们在管理制度上，要求员工对于带附件的邮件要小心接收，除非对方是你熟悉的人，否则的话，不能够随便打开附件。但是，规定是规定，却很好员工会遵守。所以，有时候除了制度来约束之外，我们还需要采用一些技术上的限制，来促使他们更加好的按规则来做事情。如通过技术限制，不能再邮箱服务器上直接打开带附件的邮件，而必须先下载到本机上，并且，在下载之前需要先进行病毒扫描。这都可以通过技术手段来控制。

    2、网络邮件确切说起来，更像即时信息。而很多企业在对邮件采取安全策略的时候，往往利用WEB方式等的过滤方式来管理邮箱，如此的话，效果比较不明显。或者说，很多漏洞没有堵住。所以，管理邮件要向管理即时通信工具那么严格。