對兩個虛擬SMTP服務器防止垃圾郵件中轉的總結:
在論壇上看到了很多高手的發言,結合自己在實踐中的體會,終于有了一些比較成型的經驗:
首先要說的是,想要徹底防止垃圾郵件制造者利用你的Exchange 服務器進行中轉,以及其他非法利用你的SMTP服務的現象,兩個虛擬SMTP服務器是必不可少的。 這看起來是很基礎的結論,卻是我的“血淚”之言。因為我以前一直依靠一個虛擬服務器和一個SMTP連接器,進行SMTP限制,并且一直自信很有成效,結果前些日子被ISP警告:我的服務器成為垃圾郵件中轉服務器! 現在具體說說我之前的設置,供大家對照。如果你的設置和我相同,請務必當心!那一點也不安全!
我以前的設置:default Virtual SMTP server上,啟用三種認證模式(匿名、基本和集成),允許所有通過認證的計算機進行Relay;然后建一個SMTP Connector,在Delivery Restrictions當中,選擇 By default, messages from everyone are rejected,然后將所有合法的用戶,添加到后面的允許列表中。 我原先以為,有了這個SMTP Connector,那么只有合法的用戶才能將郵件發送出去,而所有其他用戶的信息,將被截留。可事實證明,垃圾郵件制造者仍然成功的利用我的服務器中轉了郵件。也就是說,虛擬SMTP服務器的Relay可以突破這個SMTP Connector中的Delivery Restriction限制。
于是,我參考了一些帖子和微軟的KB,總結出以下方法,實踐中證明是有效的:
第一步,在你的Exchange 服務器上,安裝兩塊網卡;
第二步,設置網卡。一塊網卡是接收內部用戶SMTP請求的,稱為內部NIC,一塊網卡是接收外部用戶SMTP請求的,稱為外部NIC。每塊網卡,各綁定一個固定IP(兩塊網卡均為內部虛擬IP即可,不必是一個外部IP,一個內部IP。因為我的內部網絡是處于ISA server之后的,所以只能是兩個內部虛擬IP)
第三步,設置Exchange 服務,讓它區分內外網卡。因為我是利用ISA server發布Exchange服務器,包括POP3、SMTP、IMAP4、NNTP等等,所以,我把除SMTP以外的服務,均綁定到外部NIC的IP上。
第四步,建立兩個虛擬SMTP 服務器,一個綁定到外部NIC的IP地址,簡稱為SMTP1;一個綁定到內部NIC的IP地址,簡稱為SMTP2。SMTP1(綁定到外部NIC的虛擬SMTP服務器),啟用三種認證方式(匿名、基本和集成),但不啟用Relay(也就是在Relay中選擇“Only the list below”,但不加入任何列表。下面的“All computers...”也不選),并且不啟用外部DNS服務器;SMTP2(綁定到內部NIC的虛擬SMTP服務器),只啟用基本和集成兩種認證方式,然后啟用Relay,并且啟用外部DNS服務器(方法是到Delivery --> Advanced --> Configure當中,選擇外部的DNS服務器)。
第五步,建立一個SMTP Connector,連接到SMTP2(也就是綁定到內部NIC的虛擬SMTP服務器),然后進行必要的設置(一般是增加一個Address space,也就是添加一個SMTP空間*,并且建議按照以前的介紹,設置Delivery Restrictions,選擇 By default, messages from everyone are rejected,然后將所有合法的用戶,添加到后面的允許列表中。這樣也是為了增加安全性。) 好了,現在可以到ISA server中,發布你的Exchange 服務器了。注意發布的時候,內網IP要選擇 Exchange服務器上的那個外部NIC的IP地址,而千萬不要指到那個內部NIC的IP上去,否則上面的辛苦工作,等于白費。
讓我們來大致看一下郵件的流程:
來自外網的郵件,是由SMTP1來監聽的(因為它綁定到了外部NIC的IP上)。如果是發給內網用戶的,那么它查詢AD,然后將郵件送達;如果不是發給內網用戶,而是企圖利用 Exchange的SMTP服務,進行轉發,那么對不起,SMTP1上不啟用Relay服務,無法轉發。再說,它也沒有啟用外部的DNS服務器,根本無法解析外網的域名。
來自內網用戶的郵件,是由SMTP2來監聽的(因為它綁定到了內部NIC的IP上)。如果是發給內網用戶自己的,那么仍然是直接查詢AD,然后將郵件送達;如果是發到外網的,那么SMTP2啟用了外網DNS服務器,所以可以順利的解析到外網域名,然后通過連接到SMTP2的SMTP Connector,將郵件Relay到外網。 那么,你的合法用戶,如何使用呢?
如果用戶在內部網絡中使用,那么他可以使用 outlook express或者Foxmail等POP3郵件程序,進行收發郵件(注意POP3服務器要設置為外部NIC的IP,SMTP服務器要設置為內部NIC的IP,分別對應Exchange 服務器的設置); 如果用戶是在外網中使用,那么他只能使用 outlook express或者Foxmail等POP3郵件程序,進行郵件的接收,但不能用它們發送郵件。原因很簡單,監聽外網SMTP請求的那個虛擬SMTP服務器SMTP1,不支持Relay。不過,這時候就可以請出著名的OWA了。用戶可以利用瀏覽器,通過OWA的方式,發送郵件。
另外,如果你不是通過ISA Server發布Exchange服務器,而是直接將Exchange服務器發布在Internet上,那么原理是相同的,只是具體的設置有些細微的不同,請自己體會和調整。 以上就是我的一點粗淺認識,如果能對大家有所幫助,不勝高興。
