iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 9
2

https://ithelp.ithome.com.tw/upload/images/20190921/201188481aUhCeTBfJ.png

電子郵件是現今網路上使用廣泛且歷史悠久的通訊管道之一,尤其是企業間的往來書信甚至電子郵件的數量要高過實體郵件。

然而在這樣海量的郵件傳遞之中,伴隨著不懷好意而來的各種惡意郵件或者垃圾郵件層出不窮,嚴重者甚至讓企業蒙受重大損失,做為企業 IT 必須有所因應。


方案介紹

在開源的陣營裡,過去所知的大都是難以架設及上手的套件,但這個情況已經改變。在歐洲的 Proxmox 公司有一款郵件閘道商業產品,在去年初的時候將整個產品介面重寫,並且轉為完全的自由與開源軟體,開放給大家使用。

這個專案全名為 Proxmox Mail Gateway,通常會簡稱為 Proxmox MG 或 PMG,功能強大:

  • 全 Web 化操作介面
  • 防垃圾郵件
  • 防病毒郵件
  • IPRBL 機制
  • DNSRBL 機制
  • SURBL 機制
  • SMTP 收件者檢測
  • SPF 記錄檢測
  • 自動學習篩選機制
  • 追蹤記錄中心
  • 高可用性叢集
  • 繁體中文介面 (嘿嘿)

在郵件閘道的部署方面,其實與一般的郵件閘道器沒有兩樣,一樣是先由 Proxmox MG 接收來自外部的信件進來,經過種種篩選檢測程序,再後送給真正的郵件伺服器。

https://ithelp.ithome.com.tw/upload/images/20190921/201188481gTChjE4uA.png
部署架構圖 (圖片取自官方網站)


安裝方式

它可以支援以下的平台:

  • Proxmox VE (VM/CT)
  • VMware ESXi
  • Hyper-V
  • KVM
  • Virtual Box
  • Citrix XenServer
  • 任何一種基於 Debian Linux 的 Guest OS

我把 Proxmox VE 放在最前面的順位,因為他們是同一家的產品啦...哈哈。

在安裝程序方面,它已經打包好 ISO 檔,照著介面一步一步即可安裝完成。

https://ithelp.ithome.com.tw/upload/images/20190921/20118848vuVDRjnrsS.png
安裝程序啟始畫面

當安裝完成以後,使用瀏覽器輸入 https://ip:8006/ 即可登入管理介面。


主要功能

由於我已經為 Proxmox MG 製作了絕大多數的繁體中文語系,因此登入後所看到的資訊都可以看到親切的中文。

https://ithelp.ithome.com.tw/upload/images/20190921/20118848BBCLrh1AUI.png
登入系統畫面

基本設定

在基本設定上,主要都集中在 [設定] -> [郵件 Proxy] 這裡,其中較為重要的設定項如下:

  • 轉送 \ SMTP 連接埠
  • 轉送網域 \ 建立 (要收進來的網域信件)
  • 選項 \ 使用灰名單 (建議取消)
  • 傳輸 \ 建立 (信件要送進的郵件主機)

https://ithelp.ithome.com.tw/upload/images/20190921/20118848vfOAldtAnf.png
郵件 Proxy 設定畫面

帳號整合

在帳號部份,可以透過 LDAP 機制整合外部 AD/LDAP,即可以此帳號來源設定為對象物件,搭配篩選器可用來判斷收件者是否為存在的帳號,做為處理的條件。同時,在使用者每日的垃圾郵件報告信中,可以點選連接登入 Proxmox MG 的追蹤中心,自行查閱是否有被誤擋的郵件,或是要從隔離區中把信件撈回去。

https://ithelp.ithome.com.tw/upload/images/20190921/20118848j12fqQ2y8q.png
LDAP 設定畫面

郵件篩選

Proxmox MG 提供了多樣化的篩選物件與規則可以設定,也可以多種搭配組合、優先權設定等等,例如對於附件類型的判斷與處理方式,可以擋下許多不想要的郵件附檔類型。不過也因為設定功能很詳細,上手需要花較多時間研究。

https://ithelp.ithome.com.tw/upload/images/20190921/20118848OYLmYtTicu.png
郵件篩選器畫面

SURBL 機制

在 Proxmox MG 提供的多種 RBL 機制中,SURBL 是我較為重視的一項功能。

SURBL (Spam Uri Realtime BlockLists) 與一般 RBL 阻擋發信來源的作法不同,它是依據收到郵件內文中的 Uri (網址/網站) 來做判斷,如果這些網站在 SURBL 清單上被列入,就會被阻擋下來,這種機制對於現今越來越盛行的郵件詐騙可以起到一定的作用。

SURBL 所列的對象主要有四類:

  • ABUSE:垃圾或濫用廣告郵件網站
  • PH:網路釣魚網站
  • MW:惡意軟體網站
  • CR:被入侵的合法網站

結論

在郵件服務相當重要的今日,郵件安全已經不能忽視。就在今年也有多起利用偽造郵件騙取鉅額資金的成功案例,所以除了郵件伺服器本身的防護能力,多加一套郵件閘道器就多了一道關卡,而且 Proxmox MG 不僅開源更是功能完整,更值得一試。

順帶一提,開源領域的企業郵件系統建置組合包,我的建議是採用 Proxmox MG + Zimbra OSE + Z-Push + Z-Push Zimbra Backend,一次搞定功能強大的郵件閘道器、郵件伺服器、行動裝置推播。


參考資料


上一篇
開源行動裝置管理系統:WSO2 IoT
下一篇
開源網路儲存伺服器:FreeNAS (一)
系列文
突破困境:資安開源工具應用33
0
Hank
iT邦新手 5 級 ‧ 2019-09-29 11:44:12

請問SURBL 機制要到那裡設定??
我只有找到 Sapm detect -> Options -> Use RBL Checks
謝謝...

就我看他是跟 DNSBL 功能放在一起的

0
as900
iT邦新手 2 級 ‧ 2019-09-30 09:22:16

请问,第一次登陆提升“没有有效订阅” 这个会影响使用吗?

不會的,它只是提醒與建議,功能不影響。

1
Ken(Bigcandy)
iT邦大師 1 級 ‧ 2019-10-08 09:03:14

優秀好文,非推不可!!

我要留言

立即登入留言