梭子鱼认证管理员高级手册

梭子鱼认证管理员高级手册 垃圾邮件防火墙v1.1此文档由浅入深的介绍了梭子鱼垃圾邮件防火墙过滤系统的工作原理，梭子鱼垃圾邮件防火墙的高级功能，以及管理技巧。JohnnyJiang2007/10/30梭子鱼认证管理员高级手册2目录 第一章梭子鱼垃圾邮件防火墙安装模式解析_______________________5梭子鱼的安装拓扑模式________________________________________________5梭子鱼安装过程中可能遇到的问题______________________________________7第二章梭子鱼垃圾邮件防火墙过滤功能____________________________11外部黑名单_________________________________________________________11梭子鱼过滤设置_____________________________________________________15过滤系统的优先级___________________________________________________19第三章梭子鱼垃圾邮件防火墙分用户功能设置______________________23什么是用户_________________________________________________________23梭子鱼用户管理和策略_______________________________________________23梭子鱼分用户管理___________________________________________________28第四章梭子鱼垃圾邮件防火墙分域功能设置________________________32梭子鱼分域设置_____________________________________________________32梭子鱼LDAP设置___________________________________________________33第五章梭子鱼垃圾邮件高级设置__________________________________37邮件协议高级设置___________________________________________________37备份的原理和设置___________________________________________________39速率控制的原理和设置_______________________________________________40信任转发的原理和设置_______________________________________________41梭子鱼SSL设置____________________________________________________43系统日志使用方法___________________________________________________45梭子鱼journaling功能介绍___________________________________________45梭子鱼API的使用___________________________________________________46第六章梭子鱼垃圾邮件防火墙集群设置____________________________47梭子鱼集群概念_____________________________________________________48梭子鱼集群拓扑_____________________________________________________48梭子鱼集群设置_____________________________________________________50梭子鱼集群诊断_____________________________________________________51梭子鱼认证管理员高级手册3附录ASMTP返回代码表_________________________________________51附录B梭子鱼垃圾邮件3.5.11版本新功能___________________________53                   版本说明 梭子鱼认证管理员高级手册‐ 垃圾邮件防火墙V1.0    2007年11月21日编写   Johnny Jiang 梭子鱼认证管理员高级手册‐ 垃圾邮件防火墙V1.1    2008年01月12日修订   Patrick Yang 梭子鱼认证管理员高级手册4              梭子鱼垃圾邮件防火墙安装模式解析„梭子鱼的安装拓扑模式„梭子鱼安装过程中可能遇到的问题梭子鱼认证管理员高级手册5 第一章梭子鱼垃圾邮件防火墙安装模式解析 梭子鱼的安装拓扑模式 zDNS转发DNS转发模式是一种依托于DNS服务的拓扑模式。要实现DNS需要满足下列条件：1．拥有DNS服务器的修改权限（或者可以通过服务商来修改）2．梭子鱼垃圾邮件防火墙拥有外部IP地址梭子鱼认证管理员高级手册6z防火墙映射如果客户无法通过使用DNS转发模式来安装，或者客户将所有的内部网络建设在一个防火墙之后，那么我们可以通过在防火墙上设置NAT或者（PAT）端口映射来做邮件流量的导向。梭子鱼认证管理员高级手册7梭子鱼安装过程中可能遇到的问题 1．垃圾邮件绕发现象所谓垃圾邮件绕发是指安装反垃圾邮件网关设备，设置邮件域的mx记录优先级指向反垃圾邮件设备，但是仍然有邮件特别是垃圾邮件不按优先级发送邮件，不经过邮件网关设备而直接发到邮件服务器上。垃圾邮件绕发的问题主要出现在MX记录转发（DNS转发）的拓扑模式中。产生此问题主要有以下几点造成：IP地址暴露垃圾邮件发送者通过各种方式获得邮件账号，其中采用自动收集是一种主要方式，垃圾邮件发送者通过程序解析后可能将用户的IP地址缓存。这样垃圾邮件发送者就可以直接向邮件服务器发送邮件。垃圾邮件发送者可能定向的对邮件服务器进行垃圾发送。通过人工分析及端口扫描可以定位邮件服务器。从而对邮件服务器进行定向的攻击。例如进行字典式攻击等，或者仅仅是大量发送垃圾邮件。解决方法：更换服务器IP地址多条MX记录梭子鱼认证管理员高级手册8多条MX记录的存在是为了提供一定程度的高可用性，当第一条MX记录所对应的邮件服务器主机宕机或者出现问题的时候，可以通过其他MX记录的主机来提供服务。不过，垃圾邮件发送者可以利用同时想所有的MX主机进行发送垃圾邮件，如果其中一条MX记录是直接指想服务器的，那么就产生了绕发问题。解决方法：将指向邮件服务器的MX记录删除邮件域名同邮件主机名（FQDN）一般而言邮件服务器发送邮件首先寻找DNSＭＸ记录，如果查找ＭＸ记录失败（超时），则直接利用Ａ记录收发信。当然，不同的邮件发送程序其递送规则不同。如下图：其中mail.xz.gov.cn即是邮件主机名，同时也是邮件域名。因此，某些垃圾邮件发送着可以直接利用A记录来发送垃圾邮件到邮件服务器。解决方法：将邮件域名和邮件主机名分离开，使用不同的名称。最根本的解决方法：如果条件允许，可以直接使用端口转发的模式，将企业所有的设备部署于防火墙之后，这样能有效地保护所有设备，避免绕发的问题。2．防火墙需要开放的端口端口方向协议使用22进TCP远程检查及服务*25进/出TCP/UDP邮件及邮件弹回*53进/出TCP/UDP域名服务器(DNS)*80出TCP/UDP病毒、固件、垃圾邮件规则库升级123进/出UDP网络时间协议(NTP)2703进/出TCP/UDP收到的邮件指纹梭子鱼认证管理员高级手册96277进/出TCP/UDP收到的邮件指纹*必需项部署于防火墙之后，由于梭子鱼垃圾邮件防火墙需要和梭子鱼中心取得通信，以满足升级，提交以及同步等动作，在防火墙的设置过程中，需要打开以上的端口来满足这些需求。如果梭子鱼在进行系统版本升级和规则库升级的过程中出现问题，无法完成。请同时打开80，8000，8080这几个端口，以保证梭子鱼能够同时和多台升级服务器取得联系。3．梭子鱼垃圾邮件防火墙的端口转发功能从系统版本3.5开始，梭子鱼垃圾邮件防火墙支持端口转发功能。在实现端口转发功能过程中需要注意以下几点，以避免出现不必要的问题：‹在梭子鱼上使用的端口不能进行端口转发（比如25，8000，443），如果需要转发此类端口，请在梭子鱼上先进行相关调整后，在设置端口转发‹我们不推荐在梭子鱼上进行端口转发，因为端口转发是底层防火墙的工作，梭子鱼是邮件应用防火墙，系统为维护底层连接表需要额外的资源付出，所以整个负载会有相应的提高。梭子鱼认证管理员高级手册10梭子鱼垃圾邮件防火墙过滤功能 梭子鱼垃圾邮件防火墙过滤功能设置„外部黑名单„梭子鱼过滤设置详解„过滤系统的优先级梭子鱼认证管理员高级手册11第二章 梭子鱼垃圾邮件防火墙过滤功能 外部黑名单 1.什么是外部黑名单外部黑名单,有时称为DNSBLs或者RBLs，或者实时黑名单，是垃圾邮件发送者的IP列表，用该列表可以阻断潜在的垃圾邮件进入你的网络。该清单不包括域名或垃圾发件人清单。Spamhaus.orgSpamhaus.org是国际上最著名的国际黑名单组织，全球有424,081,541个用户采用了该组织的黑名单服务。Spamhaus.org包括两份清单：sbl，xbl和pbl。Spamhaus阻挡列表（SBL）是实时的对垃圾邮件来源和垃圾邮件服务进行封锁的列表。拓展阻挡列表（XBL）是实时的对非法第三方（代理服务器/蠕虫/特洛伊病毒等）进行封锁的列表。Spamhaus在全球十二个国家设有32个服务器组。ardb.org该黑名单组织专注于收集哪些openrelay的服务器的IP地址。spamcop.net该组织的主要职责是收集报告垃圾邮件给互联网服务商，也收集IP黑名单。anti-spam.org.cn中国反垃圾邮件联盟维护的黑名单，负责收集维护国内的垃圾邮件黑名单。目前已经收集到10万个IP黑名单地址，每日查询量超过600万。您的IP为什么会被列在外部黑名单内？梭子鱼认证管理员高级手册12黑名单组织通过遍布的服务器网络收集垃圾邮件发送者的IP地址，也接受其使用用户的举报，一旦您的邮件服务器发送垃圾邮件被侦测到，将被列入到这些黑名单中。所以如果您的邮件服务器因为不当设置，或者被攻陷导致成为openrelay，那么您的IP地址很有可能已经被列入某个黑名单中。如何将您的IP从黑名单中移除i.如果您的邮件服务器IP地址被列入到黑名单组织中，您首先需要确认您被列入到哪些黑名单组织中。通常被列入后，发出的邮件将获得黑名单组织发出的弹回信息，指出您被列入了那个黑名单组织。您也可以到进行快速查询。ii.邮件服务器可能因为被当作代理服务器，或者因为蠕虫/特洛伊病毒等大量发送垃圾邮件；也可能是主观发送大量垃圾邮件而被列入。因此应该加强管理，排除上述因素。iii.被列入黑名单的IP地址通常会在清单中保存一段时间，例如Spamhaus中为48小时至六个月不等。个别大量发送垃圾邮件的“恶棍”发送者可能被列入的时间长达2年。如果不在发送垃圾邮件，超过该黑名单时间后，一般将被自动撤除出清单。用户也可以进行申诉。（关于如何申诉，请参考相关的黑名单组织网站）iv.由于邮件系统的脆弱性，极有可能因为发送垃圾邮件再次被列入某些黑名单，邮件系统管理员将疲于应付上述的各种申诉事务，并且由于多次被列入黑名单，相应的组织可能拒绝您的申诉请求。因此根本的解决之道在于建构安全的邮件系统。2.外部黑名单的原理目前实时黑名单技术通常是通过DNS方式（查询和区域传输）实现的。实际上也是一个可供查询的IP地址列表，通过DNS的查询方式来查找一个IP地址的A记录是否存在来判断其是