iT邦幫忙

0

Mail主機與SPAM主機該如何架, 垃圾信才不會溜進來?

lionab 2012-02-22 11:08:0919863 瀏覽

現在的網路架構如下:
FTTB進來, 先是有一台頻寬管理器, 頻寬管理器內建對外DNS Server,
然後接防火牆, DMZ裡有Mail主機及SPAM主機, 郵件備份主機.

設定如下:

  1. 對外DNS設了MX設定指向SPAM主機,
  2. 防火牆有打開Mail Server及SPAM Server的Port 25 及Mail Server 的Port 110
  3. SPAM Server裡的SMTP Routes List設了Mail Server的內部IP
  4. Mail Server裡設定轉寄主機為 SPAM Server,
  5. 郵件備份主機只備份經過Mail Server的郵件.
  6. 使用者Outlook 的 POP3 及 SMTP 主機都是設為 Mail Server
  7. 使用者Outlook 都設定 收信及寄信都要驗證

理論上, 運作如下:
外面寄進來的信, 因為MX設在SPAM Server, 所以會先經過SPAM過濾垃圾郵件, 安全的信會因為SPAM Server設了SMTP Routes List而轉寄給Mail Server, Mail Server收到信後, 郵件備份主機會自動備份此信, 然後使用者透過 POP3協定將信從Mail 主機收到Outlook裡.
使用者要寄信出去時(無論人在公司內或公司外), 信會從Outlook透過SMTP協定, 將信傳給Mail Server, 郵件備份主機會自動備份此信, 然後Mail Server因為設了轉信主機為SPAM Server, 因此信會傳給SPAM Server, SPAM Server再把信寄出去.

現在問題是, 我們仍然會收到部份垃圾郵件, 經查發現, 垃圾信是直接從外面透過 Port 25 直接把信傳給 Mail Server, 使用者就從Mail Server 直接收到垃圾信.
曾經想過方法如下:

  1. 用防火牆將Mail Server 的 Port 25 擋住, 但是造成的問題是, 使用者出差時, 就不能用Mail Server 寄信, 信會被防火牆擋住!
  2. Outlook 的SMTP設為 SPAM Server, 但是造成的問題是, Mail 因為不經過Mail Server, 郵件備份主機就無法備份這封信.如果也備份SPAM主機的信, 就會連大量不需備份的垃圾信都備份起來.

請問大家都是如何解決此問題?

12
slime
iT邦大師 1 級 ‧ 2012-02-22 12:48:14
最佳解答

建議調整架構.

  1. 設定外部只能連到 SPAM 主機, 無法直接連到 Mail 主機.
  2. 同事從外部需要的話, 建議:
    a. 用 VPN 連到 DMZ 區, 再由 DMZ 區連 Mail 主機.
    b. 在 SPAM 主機架 WebMail 處理.
看更多先前的回應...收起先前的回應...
vino1 iT邦大師 1 級 ‧ 2012-02-22 13:19:57 檢舉

Anti SPAM 是那一款型號?!

lionab iT邦新手 2 級 ‧ 2012-02-22 13:56:09 檢舉

Anti SPAM 是 IronPort C160

CalvinKuo iT邦大師 7 級 ‧ 2012-02-22 14:29:13 檢舉

就算沒MX,郵件伺服器在DMZ有可能被Port scan找到有SMTP與POP3服務,垃圾信還是有機會進來或帳號破解被當轉寄跳板。
請問有經驗的大大,這個環境下將 POP3 & SMTP 設定TLS或SSL加密方式會不會就不須用到VPN? (雖然可能比設VPN還複雜)

vino1 iT邦大師 1 級 ‧ 2012-02-22 15:04:50 檢舉

小弟看官網該機的技術文件, 並沒有特別說這款機器有何種部屬模式...
請問...您有試過, 在公司外部時候, 如果 smtp server 設定成那台 spam 這樣可以正常寄信嗎?!

lionab iT邦新手 2 級 ‧ 2012-02-22 15:22:17 檢舉

有試過在Outlook 裡將 SPAM 設成 SMTP, 寄信時, SMTP會回覆錯誤訊息, 意思是說非法的網域, 不能寄信.
這個SPAM寄信有錯誤訊息的問題, 問題不大, 是這款 C160的設定問題, 只要問廠商就能解決, 不過寄出去的信就沒有備份, 不符合公司內稽內控的規範.

vino1 iT邦大師 1 級 ‧ 2012-02-22 15:44:04 檢舉

所以...貴司目前是用何種機制備份郵件?! 用 exchange 內建的寄到某個帳戶做 archive 嗎?!

lionab iT邦新手 2 級 ‧ 2012-02-23 11:25:17 檢舉

我們是用網擎的 MailBase, 我覺得效果不錯, 功能算滿強的.唯一小小缺點, 搜尋郵件地址時, 無法全文檢索.@前的字要一字不缺.

10
wiseguy
iT邦超人 1 級 ‧ 2012-02-22 14:44:05

內網沒問題,問題出在外網:連到 mail 主機的人,分不清是 spam 還是員工,所以不知道該擋還是該收
這兩個其實還是可以分別的:
因為 spam 直接塞信到 mail 主機時,主要是因為收信人 email 的 domain 就是你們公司,所以不需要 relay,mail 主機也就不會要他認證。
而在外的員工,除非是寄給上司、同事,要不然收信人 email 的 domain 一定不是你們公司。
因此,只要 mail 主機設定:連線來自外網 IP 而且是寄給你們公司的 email 就擋掉,那就沒 spam 了。不過這規則會把外面員工要寄給上司、同事的信也一起濾掉,於是就要再多一個規則,就是:認證過的帳號就不用濾。

lionab iT邦新手 2 級 ‧ 2012-02-22 15:33:49 檢舉

謝謝您的回覆, 您的建議的確是個辦法,
不過, 剛剛找了一下Mail Server的設定, 順道一提, 我們用的是網擎資訊的Mail2000, 裡面沒辦法作到下面二條規則..
#連線來自外網 IP 而且是寄給你們公司的 email 就擋掉
#認證過的帳號就不用濾
仍然謝謝您的幫忙!

lionab iT邦新手 2 級 ‧ 2012-02-23 13:35:05 檢舉

其實, 廠商是可以在Mail Server裡直接下語法設定過濾規則, 在標準設定畫面上是沒這種設的, 方法是什麼不太清楚, 還在詢問中, 應該跟您說的方式是同樣道理.
廠商設定好後, 就能作到讓Mail Server擋掉外來的SMTP信件, 但又可以讓公司外面同事寄信.
我只是很好奇, 別的公司應該也是一樣的網路架構吧, 怎麼沒遇到同樣問題?

wiseguy iT邦超人 1 級 ‧ 2012-02-23 21:46:28 檢舉

中小企業應該都只會用一台 mail server,附帶有 spam 過濾器,不會額外再多加一台專門做過濾用的。因為就如同樓下的 yyliu 所言,誤判的情況不是沒有,萬一有一封重要的信被誤判而永遠到不了 mail 主機,那事情就大條了。
所以 MIS 不會拿石頭砸自己腳,幫收信人決定什麼信是 SPAM,最多就是標題加個 SPAM 記號,要砍要刪由收信人自己決定。這樣才不會『做到流汗』,卻被『嫌到流涎』。
既然只有一台,那就沒有你所說的這種問題。

14
tombo
iT邦研究生 1 級 ‧ 2012-02-22 18:42:46

lionab提到:
機為SPAM Server, 因此信會傳給SPAM Server, SPAM Server再把信寄出去.

現在問題是, 我們仍然會收到部份垃圾郵件, 經查發現, 垃圾信是直接從外面透過 Port 25 直接把信傳給 Mail Server, 使用者就從Mail Server 直...(恕刪)

所以你最好找一個可以驗證身份然後 Relay Mail 的 AntiSPAM Server,要不然是沒有什麼好解決方法的...
1.Spammer 都是直接透過 25 Port 寄信到貴公司網域,Mail Server一定會收下(不是 Relay)
2.一天到晚都有 Cracker 在 try SMTP/POP3 密碼, 所以光靠驗證帳密是不夠的,密碼被 Try 出來更慘,還會被當成 SPAM Relay

所以外部寄信也經過 AntiSPAM Server,就可以濾掉廣告信,也避免公司發信都被當成廣告信

lionab iT邦新手 2 級 ‧ 2012-02-23 11:08:50 檢舉

tombo提到:
找一個可以驗證身份然後 Relay Mail 的 AntiSPAM Server

謝謝您的回覆, 我們是用 IronPort C160 , IronPort的AntiSPAM 是真的很強, 但真的很貴的貴, 目前初步來看, 找不到可以驗證身份然後 Relay Mail 的功能.
請問市面上有哪一家的 AntiSPAM Server有這功能?
另外, 我們公司這樣的架構 ,應該很普通, 大家都一樣吧, 大家都沒遇到同樣問題嗎?

lionab iT邦新手 2 級 ‧ 2012-02-24 11:30:14 檢舉

HiNet 郵件守門員如果是 200個帳號*12個月*55元=13萬多, 比我們用IronPort的年維護費用高很多.

tombo iT邦研究生 1 級 ‧ 2012-02-26 08:54:54 檢舉

CISCO IronPort 真的很不錯...我以前的公司用過....
當然,如果公司規模大,我不會建議用郵件守門員,我會建議自己採購建置 AntiSPAM
我公司目前規模很小,使用資安艦隊服務,就有免費提供 50 Accounts AntiSPAM

12
yyliu
iT邦研究生 2 級 ‧ 2012-02-23 09:27:05

先不管架構,單講"垃圾郵件"
每一個人對"垃圾郵件"的認不同,男同事對賣 A 片的廣告信認為是正常郵件,女同事對網拍或網購的廣告信認為正常信,當然站在公司的立場,只要與公事無關的信就叫 SPAM 垃圾郵件.

IT 會很公正無私去處理嗎? 不太可能!

廣告信業者也知道所寄出的信會有很大部份被濾除,為了提高成功率,只好想辦法假裝跟正常的郵件一般,騙過抗 SPAM 主機.正常往來的信件也可能被誤判打入 SPAM .

IT 下猛藥去對付 SPAM 垃圾郵件.這個就跟人生病一樣,藥下的猛,真有效!但可能傷身或副作用一堆.

藥太溫和,使用者無感覺,反倒認為 IT 花錢無成效,做白工, e04 ! 兩光大夫.

IT 花了時間與 $$ 去對抗垃圾郵件,得到什麼? 一定會有同事會問,為什麼客戶寄的信我沒收到?

IT 幫公司檔了 10000 封的垃圾信,誤判了 1 封重要信,正確率 99.99%,此抗垃圾郵件的機制保證是世界上最棒的,但是這一封被過濾掉的信卻可能賠上 IT 人的人際關係或飯碗.

抗 SPAM 玩了5年,到最後妥協了,變成只過濾時間異常的信(例無時間或時間差異過大)與病毒信,可疑的信只對主旨加標題作提醒,至於要不要開啟郵件就讓使用者自行去判斷,風險讓使用者自行去承擔,反正最多重灌 OS,系統太穩 IT 也沒事做,IT 人還是保命保工作要緊.

lionab iT邦新手 2 級 ‧ 2012-02-23 11:20:55 檢舉

呵, 您好像受到重大打擊的樣子, AntiSPAM沒辦法百分之百不犯錯(漏信或誤擋), 同仁跟老板都知道這條鐵律, 因此從來不會怪罪IT 誤擋或還是讓垃圾郵件跑進來(多寡的問題).
IronPort的AntiSPAM 是真的很強, 如果外來的信百分之百經過它的話, 幾乎不會誤擋信(啟用四年多來沒聽說過有誤擋情況), 很少看到垃圾信(大多數時間,信箱裡不會有垃圾信, 有時會看到一兩封)
但真的很貴的貴,最便宜的要價二十幾萬, 貴的上百萬.因為IronPort每年維護花太多錢, 一直想要找個便宜一點的, 效能不要差它太多的, 但還找不到.

yyliu iT邦研究生 2 級 ‧ 2012-02-23 11:57:45 檢舉

Anti SPAM 當然不是聖人產品,也會犯錯,只能恭喜您公司的員工與老闆使用電腦的修養夠好,不會無理取鬧或要硬ㄠ,人在著急的時後,什麼話都說得出來,只差沒有 e04 自己的媽媽或老師而已,老闆再怎麼支持你,也許會對自己的印象與獎金有影響,年過 40 了,也找不到好工作了,拼勁已經沒了,只求安定渡日子,公司不要倒!

tombo iT邦研究生 1 級 ‧ 2012-02-26 09:19:18 檢舉

我想 yyliu 第一個要做的是,讓公司宣告 IT Policy,強調公司郵件只允許使用在公務上
第二個要做的事,選用一個夠強的 AntiSPAM Service or Device or Software
很多服務跟設備都可以讓 User 取回被誤過濾的信件,也同時會自我學習,自動更新過濾機制。
這樣就可以兼顧 IT Service 與 人際關係。

6
tsaiyunan
iT邦新手 4 級 ‧ 2012-02-23 12:15:35

建議購買有Bridge模式的Spam設備,把Mail Server接在Spam的Bridge後面,這樣垃圾信件就無法穿透Spam而直接進入Mail Server!!

看更多先前的回應...收起先前的回應...
lionab iT邦新手 2 級 ‧ 2012-02-23 13:23:23 檢舉

您好, 請問哪一家的AntiSpam設備有Bridge Mode, 我問了Google大叔,只有UTM,防火牆有Bridge Mode, 尚未看到Antispam廠商作唷.

給您參考
UTM有些也含AntiSpam,我知道的是NUSOFT的MAF也可以做

lionab iT邦新手 2 級 ‧ 2012-02-23 17:30:29 檢舉

剛上網查了一下新軟的資料, 他們的MAF系列的確有Bridge Mode, 雖然我們沒有用他們的產品, 但是先收下來了, 謝謝!

Welcome

4
ktweng
iT邦新手 2 級 ‧ 2012-02-23 14:40:20

在防火牆上阻擋外部對mail server的smtp,將mail server的 smtp port只開放給spam,外部要發信時透過smtp over ssl與認証机制連線至mail server發信
這樣就能避免垃圾郵件,直接透過smtp發給使用者

lionab iT邦新手 2 級 ‧ 2012-02-23 17:21:14 檢舉

這個方法會不會有個問題,
外部發信時, SMTP over ssl只是封包加密, 仍要走Port 25, Mail 走SMTP Port 25 經過防火牆時, 可能還是會被防火牆擋住了!

4
dscwferp
iT邦好手 1 級 ‧ 2012-02-23 21:37:05

您需求的架構 我 10年前就自己架過
內外信進出都先過 mail Bridge
mail Bridge 功能齊全 spam antivirus backup 您需要的都有
mail Bridge 後面的 內部mail server 還分 兩岸
讓各分公司 POP3 收信都很快 不用跨internet or vpn
自己架隨您搞
但買外面的mail box 就...
綁手綁腳啊!
有一好沒兩好!
您慢慢找吧!

我要發表回答

立即登入回答