在互聯(lián)網(wǎng)垃圾信越來越多,如果設(shè)置好你的MailServer的

1、在互聯(lián)網(wǎng)垃圾信越來越多，如果設(shè)置好你的MailServer的安全設(shè)置是一個重要的問題。現(xiàn)在以最流行的MDaemon Mail Server為例，我們來討論一下MDaemon的安全設(shè)置。 MDaemon的安全設(shè)置在Setup菜單下面的“Security Settings”。其中有以下幾個選項：Address Suppression（地址抑制）：列出不允許通過你的MailServer發(fā)信的地址。如果收到這個列表中的地址發(fā)來的郵件，可以選擇接受并放到“壞信隊列”，或者在SMTP的進程中拒絕而從不接收（甚至不儲存在你Server的臨時目錄）。這個功能用

2、來控制一些有問題的用戶，例如總是惡性發(fā)大量郵件。這里支持通配符，例如"*"和"baduser"?？梢栽O(shè)置所有域和某個域有效。IP Screening（IP掩蔽）：給你希望允許或者禁止的Server指定IP地址。如果不允許連接，從列表的IP地址來的嘗試連接將會被拒絕和馬上取消。當(dāng)你的機器具備多個IP地址，在這里設(shè)置很方便。支持設(shè)置"206.*.*.*"或者"206.101.*.130"。Host Screening（站點掩蔽）：給你希望允許或者禁止的Server指定站點（域名）。和IP掩蔽一樣，不

3、過這個是讓你指定站點名字。支持設(shè)置"*"或者"sample.*"。IP Shielding（IP掩護盾）：如果List中指定的域名嘗試連接你的服務(wù)器，IP地址必須和你在這里的地址匹配。這里有另外一個選項："給合法的本地用戶的郵件例外"。例如總是很多用戶使用"54fg56ff"或者"tg7hj47r6"等假的名字來發(fā)信給你的時候，你可以在這里設(shè)置和的真正IP地址匹配。但是互聯(lián)網(wǎng)上的站點太多，有時實在設(shè)不及，還得和其他方法并用。SMTP Authentication（SMTP認證

4、）：當(dāng)用戶發(fā)信到MDaemon Server，如果沒有先認證身份，用幾種選項來指示MDaemon的行為。（MDaemon支持從Windows NT導(dǎo)入已經(jīng)認證的用戶） 1. Authenticated senders are valid regardless of the IP they are using 已認證的用戶免除IP Shielding（IP掩護盾）限制，無論使用什么IP都可以。 2. Authentic

5、ated users are exempt from the POP before SMTP requirement 如果以下有使用"SMTP前先POP"的安全功能，這能使已認證的用戶免除這個限制。 3. Authentication is always required when mail is from local accounts 任何聲稱來自本地用戶

6、的信件都要求先被認證 4. MAIL FROM "Postmaster" requires an authenticated session 從"Postmaster"發(fā)來的信也需要一個認證的進程。發(fā)垃圾信的人和黑客知道有"Postmaster"的存在，他們可能通過這個帳號來向你的服務(wù)器發(fā)郵件。你可以選擇這個設(shè)置以防止他們這么做。 5. Authentication credentials must

7、0;match those of the email sender 認證證書必須和發(fā)信人擁有的匹配。這防止本地用戶使用本系統(tǒng)其他用戶地址發(fā)信。 6. Global AUTH password 使用通用的AUTH密碼。如果使用了上面”已認證用戶可以免除IP限制"，MDaemon給動態(tài)NT認證的用戶帳號配置必須使用這個通用的密碼來代替他們的普通的NT密碼。POP Before SMTP（SMTP前先POP）：用于每個MDaemon用戶先存取他的Mailbox，

8、然后才允許通過MDaemon發(fā)信，這樣就驗證了用戶有一個合法的用戶帳號，允許使用這個Email系統(tǒng)。這個是減少非法用戶使用你的Mail Server的最簡單方便的方法，就是現(xiàn)在各大ISP常用的方法。但是同時要注意要求用戶在客戶端做相應(yīng)的設(shè)置。Spam Blocker（拒絕垃圾信）：允許指定幾個ORDB和MAPS RBL類型的站點，每次當(dāng)用戶要發(fā)信到你的Server的時候，這些站點都會被檢查。如果連接的IP地址是在站點黑名單中，這些信息就會被拒絕或者被做上標(biāo)記。要注意的是有些站點是被錯誤地記錄進黑名單的。 如果要查詢垃圾信信息和如何使用ORDB或者MAPS

9、 RBL來控制和中止垃圾信，可以參考：和http:/www.mail-這個Spam Blocker有幾個選項： 1. Flag messages from blacklisted sites but go ahead and accept them 設(shè)置這個，MDaemon將不會拒收來自黑名單站點的信件，但是這些信件會被加上一個"X-RBL-Warning"的告誡信頭。你也可以使用內(nèi)容過濾功

10、能來搜索有這些信頭的信件，而對這些信件做出相應(yīng)的舉動。MDaemon還會給每個用戶自動建立一個"垃圾郵件"的IMAP目錄，并生成相應(yīng)的IMAP郵件規(guī)則，把它發(fā)現(xiàn)的有這些"X-RBL-Warning"信頭的信件放到該目錄下。雖然并不一定準(zhǔn)確安全，但是這也是一個簡單的方便幫助用戶快速鑒別垃圾郵件。這樣用戶只需要不定期的檢查這個"垃圾郵件"的目錄，確認有些重要的信件沒有意外的被放到該目錄（有時會發(fā)生這種情況）。關(guān)于這個，大家可以參考一下的網(wǎng)頁，他們就是這樣做的。 2. Check "Received&

11、quot; headers within SMTP collected messages 檢查SMTP收到的信件中標(biāo)記在"Received"信頭中的IP地址。這個對已經(jīng)收到的信件的策略用處不大，如果上面已經(jīng)設(shè)置了"SMTP之前先POP"，這里就不需要了。 3. Check "Received" headers within POP collected messages 檢查DomainP

12、OP或者MultiPOP收到的信件中標(biāo)記在"Received"信頭中的IP地址。 4. Add blacklisted sites to the IP Screen(under All Domains) 把黑名單中的站點加到上面的IP Screen（IP掩蔽）功能里面（在所有域下面）。這個選項很重要，防止這些站點將來嘗試連接你的服務(wù)器。自動把黑名單的站點加到IP Screen的文件大概是20KB（大概500個項），之后不會自動添加（可以手動）。這

13、樣防止IP Screen里面的地址太多爾影響了服務(wù)器的性能。 5. 其他幾個選項講的是幾種例外情況，和上面的大同小異，這里就不多說了。在Spam Blocker Hosts頁中，你可以手動添加和刪除站點列表。在Spam Blocker Caching頁中，你可以設(shè)置緩存阻擋垃圾信的查詢。這里設(shè)置為自動即可。Relay Settings（轉(zhuǎn)發(fā)設(shè)置）：用來控制MDaemon當(dāng)你的MailServer收到一封不是本地地址的來信如何處理。 1. This server does

14、60;not relay mail for foreign domains 設(shè)置這個選項，MDaemon將拒絕接受FROM和TO都不包含本地用戶的信件。就是說，不為外部郵件轉(zhuǎn)信。 2. Refuse to accept mail for unknown local users 設(shè)置這個選項，MDaemon接受給本地未知用戶的郵件。 3. Sender's address must 

15、;be valid if it claims to be from a local domain 如果信件聲稱它是來自一個本地Domain，這個本地用戶必須存在，否則MDaemon將拒絕發(fā)送這個信件。 4. Mail sent via authenticated SMTP sessions can always be relayed 通過已認證進程發(fā)出的信件總是被轉(zhuǎn)發(fā)

16、。 5. Mail can always be relayed through domain gateways 信件總是能通過域的網(wǎng)關(guān)轉(zhuǎn)發(fā)，而不管轉(zhuǎn)發(fā)控制如何。這個功能默認是禁止的，而且不推薦。Trusted Hosts（信任的站點）：指定對Relay Settings中的Relay規(guī)則例外的域名或者IP地址。Trapit Settings（故意延時）：Trapitting是指在SMTP處理時故意插入延時，來阻礙發(fā)送服務(wù)器不停地嘗試發(fā)送。Reverse L

17、ookup（反查詢）：MDaemon能查詢DNS Server來檢查來信的域名和IP地址的合法性。能用于拒絕可疑的信件或者在信頭有一個特別的信頭。DNS反查數(shù)據(jù)同樣會記錄在MDaemon日志文件中。 1. Perform reverse PTR record lookup on inbound SMTP connections MDaemon會對所有進來的SMTP進程執(zhí)行反標(biāo)記記錄查詢。 2. . send 501 and&#

18、160;shutdown connection if no PTR record match 如果沒有發(fā)現(xiàn)PTR記錄，發(fā)送501錯誤代碼，并中止連接。 3. Perform lookup on HELO/EHLO domain HELO/EHLO是發(fā)信客戶端用來確認它連接到Server的身份。設(shè)置這個選項，將對在進程中使用HELO/EHLO命令時報告的域名進行反查詢。 4. Perform lookup on

19、0;value passed in the MAIL command 設(shè)置這個選項，將對在進程中使用MAIL命令時報告的域名進行反查詢。例如你可以在日志中看到"MAIL FROM abced"。這個時候就會對這個域名進行反查詢。而這個地址通常是信件的返回路徑，也是信件的原始發(fā)起地址。但是要注意有時這里被錯誤的地址代替。 5. Refuse to accept mail if a lookup returns "domain not found" 如果反查詢的結(jié)果是"沒有找到該域名"，設(shè)置這個選項就會拒收該信件，并給予451錯誤代碼（請求的操作被中止），然后該進程