梭子鱼认证管理员高级手册.docVIP

梭子鱼认证管理员高级手册 垃圾邮件防火墙 v1.0 Johnny Jiang 2007/10/30 目录第一章 梭子鱼垃圾邮件防火墙安装模式解析 5 梭子鱼的安装拓扑模式 5 梭子鱼安装过程中可能遇到的问题 6 第二章 梭子鱼垃圾邮件防火墙过滤功能 10 外部黑名单 10 梭子鱼过滤设置 14 过滤系统的优先级 17 第三章 梭子鱼垃圾邮件防火墙分用户功能设置 21 什么是用户 21 梭子鱼用户管理和策略 21 梭子鱼分用户管理 26 第四章 梭子鱼垃圾邮件防火墙分域功能设置 30 梭子鱼分域设置 30 梭子鱼LDAP设置 31 第五章 梭子鱼垃圾邮件高级设置 35 邮件协议高级设置 35 备份的原理和设置 37 速率控制的原理和设置 38 信任转发的原理和设置 39 梭子鱼SSL设置 41 系统日志使用方法 43 梭子鱼journaling功能介绍 43 梭子鱼API的使用 44 第六章 梭子鱼垃圾邮件防火墙集群设置 46 梭子鱼集群概念 46 梭子鱼集群拓扑 47 梭子鱼集群设置 48 梭子鱼集群诊断 49 附录A SMTP 返回代码表 50   梭子鱼垃圾邮件防火墙安装模式解析 梭子鱼的安装拓扑模式 DNS转发 拥有DNS服务器的修改权限（或者可以通过服务商来修改） 梭子鱼垃圾邮件防火墙拥有外部IP地址 防火墙映射 梭子鱼安装过程中可能遇到的问题 垃圾邮件绕发现象 垃圾邮件绕发的问题主要出现在MX记录转发（DNS转发）的拓扑模式中。产生此问题主要有以下几点造成： IP地址暴露 垃圾邮件发送者通过各种方式获得邮件账号，其中采用自动收集是一种主要方式，垃圾邮件发送者通过程序解析后可能将用户的IP地址缓存。这样垃圾邮件发送者就可以直接向邮件服务器发送邮件。 垃圾邮件发送者可能定向的对邮件服务器进行垃圾发送。通过人工分析及端口扫描可以定位邮件服务器。从而对邮件服务器进行定向的攻击。例如进行字典式攻击等，或者仅仅是大量发送垃圾邮件。 解决方法：更换服务器IP地址 多条MX记录 多条MX记录的存在是为了提供一定程度的高可用性，当第一条MX记录所对应的邮件服务器主机宕机或者出现问题的时候，可以通过其他MX记录的主机来提供服务。 不过，垃圾邮件发送者可以利用同时想所有的MX主机进行发送垃圾邮件，如果其中一条MX记录是直接指想服务器的，那么就产生了绕发问题。 解决方法：将指向邮件服务器的MX记录删除 邮件域名同邮件主机名（FQDN） 一般而言邮件服务器发送邮件首先寻找DNS ＭＸ记录，如果查找ＭＸ记录失败（超时），则直接利用Ａ记录收发信。当然，不同的邮件发送程序其递送规则不同。 如下图： 解决方法：将邮件域名和邮件主机名分离开，使用不同的名称。 最根本的解决方法：如果条件允许，可以直接使用端口转发的模式，将企业所有的设备部署于防火墙之后，这样能有效地保护所有设备，避免绕发的问题。 防火墙需要开放的端口 端口 方向 协议 使用 22 进 TCP 远程检查及服务 * 25 进/出 TCP/UDP 邮件及邮件弹回 * 53 进/出 TCP/UDP 域名服务器(DNS) * 80 出 TCP/UDP 123 进/出 UDP 网络时间协议(NTP) 2703 进/出 TCP/UDP 收到的邮件指纹 6277 进/出 TCP/UDP 收到的邮件指纹 * 必需项 部署于防火墙之后，由于梭子鱼垃圾邮件防火墙需要和梭子鱼中心取得通信，以满足升级，提交以及同步等动作，在防火墙的设置过程中，需要打开以上的端口来满足这些需求。 如果梭子鱼在进行系统版本升级和规则库升级的过程中出现问题，无法完成。请同时打开80，8000，8080这几个端口，以保证梭子鱼能够同时和多台升级服务器取得联系。 梭子鱼垃圾邮件防火墙的端口转发功能 从系统版本3.5开始，梭子鱼垃圾邮件防火墙支持端口转发功能。在实现端口转发功能过程中需要注意以下几点，以避免出现不必要的问题： 在梭子鱼上使用的端口不能进行端口转发 （比如25，8000），如果需要转发此类端口，请在梭子鱼上先进行相关调整后，在设置端口转发 我们不推荐在梭子鱼上进行端口转发，因为端口转发是底层防火墙的工作，梭子鱼是邮件应用防火墙，系统为维护底层连接表需要额外的资源付出，所以整个负载会有相应的提高。 第二章 梭子鱼垃圾邮件防火墙过滤功能 外部黑名单 什么是外部黑名单 S S是国际上最著名的国际黑名单组织，全球有424,081,541个用户采用了该组织的黑名单服务。S包括两份清单：sbl，xbl和pbl。Spamhaus阻挡列表（SBL）是实时的对垃圾邮件来源和垃圾邮件服务进行封锁的列表。拓展阻挡列表（XBL）是实时的对非法第三方（代理服务器/蠕虫/特洛伊病毒等）进行封锁的列表。S