兩個虛擬SMTP伺服器防止垃圾郵件中轉的總結

來源:互聯網
上載者:User
smtp|伺服器 在論壇上看到了很多高手的發言,結合自己在實踐中的體會,終於有了一些比較成型的經驗:

首先要說的是,想要徹底防止垃圾郵件製造者利用你的Exchange伺服器進行中轉,以及其他非法利用你的SMTP服務的現象,兩個虛擬SMTP伺服器是必不可少的。

這看起來是很基礎的結論,卻是我的“血淚”之言。因為我以前一直依靠一個虛擬伺服器和一個SMTP連接器,進行SMTP限制,並且一直自信很有成效,結果前些日子被ISP警告:我的伺服器成為垃圾郵件代理服務器!

現在具體說說我之前的設定,供大家對照。如果你的設定和我相同,請務必當心!那一點也不安全!

我以前的設定:defaultserver上,啟用三種認證模式(匿名、基本和整合),允許所有通過認證的電腦進行Relay;然後建一個SMTPConnector,在DeliveryRestrictions當中,選擇rejected,然後將所有合法的使用者,添加到後面的允許清單中。

我原先以為,有了這個SMTPConnector,那麼只有合法的使用者才能將郵件發送出去,而所有其他使用者的資訊,將被截留。可事實證明,垃圾郵件製造者仍然成功的利用我的伺服器中轉了郵件。也就是說,虛擬SMTP伺服器的Relay可以突破這個SMTPRestriction限制。

於是,我參考了一些文章和微軟的KB,總結出以下方法,實踐中證明是有效:

第一步,在你的Exchange伺服器上,安裝兩塊網卡;

第二步,設定網卡。一塊網卡是接收內部使用者SMTP請求的,稱為內部NIC,一塊網卡是接收外部使用者SMTP請求的,稱為外部NIC。每塊網卡,各綁定一個固定IP(兩塊網卡均為內部虛擬IP即可,不必是一個外部IP,一個內部IP。因為我的內部網路是處於ISAserver之後的,所以只能是兩個內部虛擬IP)

第三步,設定Exchange服務,讓它區分內外網卡。因為我是利用ISAserver發布Exchange伺服器,包括POP3、SMTP、IMAP4、NNTP等等,所以,我把除SMTP以外的服務,均綁定到外部NIC的IP上。

第四步,建立兩個虛擬SMTP伺服器,一個綁定到外部NIC的IP地址,簡稱為SMTP1;一個綁定到內部NIC的IP地址,簡稱為SMTP2。SMTP1(綁定到外部NIC的虛擬SMTP伺服器),啟用三種認證方式(匿名、基本和整合),但不啟用Relay(也就是在Relay中選擇“Onlybelow”,但不加入任何列表。下面的“Allcomputers...”也不選),並且不啟用外部DNS伺服器;SMTP2(綁定到內部NIC的虛擬SMTP伺服器),只啟用基本和整合兩種認證方式,然後啟用Relay,並且啟用外部DNS伺服器(方法是到DeliveryConfigure當中,選擇外部的DNS伺服器)。

第五步,建立一個SMTPConnector,串連到SMTP2(也就是綁定到內部NIC的虛擬SMTP伺服器),然後進行必要的設定(一般是增加一個Addressspace,也就是添加一個SMTP空間*,並且建議按照以前的介紹,設定DeliveryRestrictions,選擇rejected,然後將所有合法的使用者,添加到後面的允許清單中。這樣也是為了增加安全性。)

好了,現在可以到ISAserver中,發布你的Exchange伺服器了。注意發布的時候,內網IP要選擇Exchange伺服器上的那個外部NIC的IP地址,而千萬不要指到那個內部NIC的IP上去,否則上面的辛苦工作,等於白費。

讓我們來大致看一下郵件的流程:

來自外網的郵件,是由SMTP1來監聽的(因為它綁定到了外部NIC的IP上)。如果是發給內網使用者的,那麼它查詢AD,然後將郵件送達;如果不是發給內網使用者,而是企圖利用Exchange的SMTP服務,進行轉寄,那麼對不起,SMTP1上不啟用Relay服務,無法轉寄。再說,它也沒有啟用外部的DNS伺服器,根本無法解析外網的網域名稱。

來自內網使用者的郵件,是由SMTP2來監聽的(因為它綁定到了內部NIC的IP上)。如果是發給內網使用者自己的,那麼仍然是直接查詢AD,然後將郵件送達;如果是發到外網的,那麼SMTP2啟用了外網DNS伺服器,所以可以順利的解析到外網網域名稱,然後通過串連到SMTP2的SMTPConnector,將郵件Relay到外網。

那麼,你的合法使用者,如何使用呢?

如果使用者在內部網路中使用,那麼他可以使用express或者Foxmail等POP3郵件程式,進行收發郵件(注意POP3伺服器要設定為外部NIC的IP,SMTP伺服器要設定為內部NIC的IP,分別對應Exchange伺服器的設定);
如果使用者是在外網中使用,那麼他只能使用express或者Foxmail等POP3郵件程式,進行郵件的接收,但不能用它們發送郵件。原因很簡單,監聽外網SMTP請求的那個虛擬SMTP伺服器SMTP1,不支援Relay。不過,這時候就可以請出著名的OWA了。使用者可以利用瀏覽器,通過OWA的方式,發送郵件。

另外,如果你不是通過ISAServer發布Exchange伺服器,而是直接將Exchange伺服器發布在Internet上,那麼原理是相同的,只是具體的設定有些細微的不同,請自己體會和調整。

以上就是我的一點粗淺認識,如果能對大家有所協助,不勝高興。

相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。