EXWOLF討論區 » Mail伺服器 » 兩個虛擬SMTP服務器防止垃圾郵件中轉的總結

wolf 發表於 2008-6-29 16:54

兩個虛擬SMTP服務器防止垃圾郵件中轉的總結

我對兩個虛擬SMTP服務器防止垃圾郵件中轉的總結：
i.?)p'oS;F-g Nnb 在論壇上看到了很多高手的發言，結合自己在實踐中的體會，終於有了一些比較成型的經驗：
f:AU]5mw 首先要說的是，想要徹底防止垃圾郵件製造者利用你的Exchange 服務器進行中轉，以及其他非法利用你的SMTP服務的現象，兩個虛擬SMTP服務器是必不可少的。m4D.}QOZ_
這看起來是很基礎的結論，卻是我的「血淚」之言。因為我以前一直依靠一個虛擬服務器和一個SMTP連接器，進行SMTP限制，並且一直自信很有成效，結果前些日子被ISP警告：我的服務器成為垃圾郵件中轉服務器！
#Z.UQ_ M 現在具體說說我之前的設置，供大家對照。如果你的設置和我相同，請務必當心！那一點也不安全！}_
Te^
我以前的設置：default Virtual SMTP server上，啟用三種認證模式（匿名、基本和集成），允許所有通過認證的計算機進行Relay；然後建一個SMTP Connector，在Delivery Restrictions當中，選擇 By default, messages from everyone are rejected，然後將所有合法的用戶，添加到後面的允許列表中。sT5[#T$R
我原先以為，有了這個SMTP Connector，那麼只有合法的用戶才能將郵件發送出去，而所有其他用戶的信息，將被截留。可事實證明，垃圾郵件製造者仍然成功的利用我的服務器中轉了郵件。也就是說，虛擬SMTP服務器的Relay可以突破這個SMTP Connector中的Delivery Restriction限制。A;]g2xFhQ M)j c
於是，我參考了一些帖子和微軟的KB，總結出以下方法，實踐中證明是有效的：rb n?Nm?0@
[b]第一步，在你的Exchange 服務器上，安裝兩塊網卡；[/b]
D
M My~:b'@&B [b]第二步，設置網卡。[/b]一塊網卡是接收內部用戶SMTP請求的，稱為內部NIC，一塊網卡是接收外部用戶SMTP請求的，稱為外部NIC。每塊網卡，各綁定一個固定IP（兩塊網卡均為內部虛擬IP即可，不必是一個外部IP，一個內部IP。因為我的內部網絡是處於ISA server之後的，所以只能是兩個內部虛擬IP）Ml$GR'}"I
[b]第三步，設置Exchange 服務[/b]，讓它區分內外網卡。因為我是利用ISA server發佈Exchange服務器，包括POP3、SMTP、IMAP4、NNTP等等，所以，我把除SMTP以外的服務，均綁定到外部NIC的IP上。*q7yzd(B0Wi5} {
[b]第四步，建立兩個虛擬SMTP 服務器，[/b]一個綁定到外部NIC的IP地址，簡稱為SMTP1；一個綁定到內部 NIC的IP地址，簡稱為SMTP2。SMTP1（綁定到外部NIC的虛擬SMTP服務器），啟用三種認證方式（匿名、基本和集成），但不啟用Relay （也就是在Relay中選擇「Only the list below」，但不加入任何列表。下面的「All computers...」也不選），並且不啟用外部DNS服務器；SMTP2（綁定到內部NIC的虛擬SMTP服務器），只啟用基本和集成兩種認證方式，然後啟用Relay，並且啟用外部DNS服務器（方法是到Delivery --> Advanced --> Configure當中，選擇外部的DNS服務器）。w.]I4F ]8OP]
[b]第五步，建立一個SMTP Connector，連接到SMTP2（也就是綁定到內部NIC的虛擬SMTP服務器），[/b]然後進行必要的設置（一般是增加一個Address space，也就是添加一個SMTP空間*，並且建議按照以前的介紹，設置Delivery Restrictions，選擇 By default, messages from everyone are rejected，然後將所有合法的用戶，添加到後面的允許列表中。這樣也是為了增加安全性。）M^xa#n*Q,Hw
好了，現在可以到ISA server中，發佈你的Exchange 服務器了。注意發佈的時候，內網IP要選擇 Exchange服務器上的那個外部NIC的IP地址，而千萬不要指到那個內部NIC的IP上去，否則上面的辛苦工作，等於白費。
I2t*y:_d`8u\#^;V [b]讓我們來大致看一下郵件的流程：[/b]
9j-L7p:FJ;p;j$DH C7m 來自外網的郵件，是由SMTP1來監聽的（因為它綁定到了外部NIC的IP上）。如果是發給內網用戶的，那麼它查詢AD，然後將郵件送達；如果不是發給內網用戶，而是企圖利用 Exchange的SMTP服務，進行轉發，那麼對不起，SMTP1上不啟用Relay服務，無法轉發。再說，它也沒有啟用外部的DNS服務器，根本無法解析外網的域名。
J
d3px'CW1oI_ 來自內網用戶的郵件，是由SMTP2來監聽的（因為它綁定到了內部NIC的IP上）。如果是發給內網用戶自己的，那麼仍然是直接查詢AD，然後將郵件送達；如果是發到外網的，那麼SMTP2啟用了外網DNS服務器，所以可以順利的解析到外網域名，然後通過連接到SMTP2的SMTP Connector，將郵件Relay到外網。,ML4h%h b
那麼，你的合法用戶，如何使用呢？
] _jN"Z2Rp%uEL 如果用戶在內部網絡中使用，那麼他可以使用 outlook express或者Foxmail等POP3郵件程序，進行收發郵件（注意POP3服務器要設置為外部NIC的IP，SMTP服務器要設置為內部NIC的IP，分別對應Exchange 服務器的設置）；ZF IcWY!x
如果用戶是在外網中使用，那麼他只能使用 outlook express或者Foxmail等POP3郵件程序，進行郵件的接收，但不能用它們發送郵件。原因很簡單，監聽外網SMTP請求的那個虛擬SMTP服務器SMTP1，不支持Relay。不過，這時候就可以請出著名的OWA了。用戶可以利用瀏覽器，通過OWA的方式，發送郵件。4dMs:[&b&\
另外，如果你不是通過ISA Server發佈Exchange服務器，而是直接將Exchange服務器發佈在Internet上，那麼原理是相同的，只是具體的設置有些細微的不同，請自己體會和調整。

查看完整版本: 兩個虛擬SMTP服務器防止垃圾郵件中轉的總結