作者:陈登锋
图1 未部署垃圾邮件防火墙前的邮件系统架构
图2 部署垃圾邮件防火墙之后的邮件系统架构
随着企业信息化建设的推进,目前电子邮件已经成为白领一族在业务活动中必用的信息工具。在日常工作中,无论使用专用企业邮箱的大中型公司,还是集中使用免费邮箱的小公司,都需要面对日益严重的垃圾邮件问题。
现有的防垃圾邮件解决方案大致可分为如下四种类型:
第一,邮件接收工具的垃圾邮件过滤:此类工具,如Foxmail,是在用户通过POP3或IMAP方式进行邮件接收的时候,由邮件接收工具进行邮件分类。由于没有对规则库进行升级,所以对垃圾邮件的过滤效果不理想,同时这种方式没有对邮件服务器进行保护,容易造成服务器的资源浪费。
第二,集成于邮件系统本身的反垃圾邮件功能:由系统管理员或邮件用户设定相关过滤条件,在邮件接收过程中对相关信息进行判断,如邮件发送地址、邮件发送来源或邮件标题等,符合条件的则直接由邮件服务器进行拒收操作。这种方式对于邮件系统的开发者要求较高,日常维护工作量较大。
第三,独立的反垃圾邮件软件:在服务器(独立服务器或邮件服务器)上安装。这种方式的缺点在于系统的安全性与操作系统相关联,当操作系统受到病毒感染或黑客攻击时,很容易导致防垃圾邮件系统无法正常工作。
第四,独立的硬件防垃圾邮件系统:封闭式的硬件架构,在经过安全加固的专用操作系统上安装防垃圾邮件软件,此类产品如梭子鱼、美讯智等。这种方式是目前防垃圾邮件领域的主流技术。
这里介绍的是反垃圾邮件专用设备——垃圾邮件防火墙在A公司的安装实施过程,希望能给已经拥有企业邮箱的企业在部署反垃圾邮件方案时提供一定的帮助。
部署前的系统架构
A公司的邮件系统由放置在企业防火墙DMZ的两台Lotus Domino服务器构成。其中一台服务器作为前端SMTP服务器,专门负责互联网邮件的收发工作;另一台POP3服务器接收来自SMTP服务器的互联网邮件并负责系统内部邮件的处理。
以两台Lotus Domino服务器搭建的邮件系统具备了一定的反垃圾邮件功能,因为Lotus Domino服务器之间具有相同的系统用户信息,只有合法的邮件地址接收对象(即系统用户),才能由SMTP服务器转发到POP3服务器;而不合法的接收对象则由SMTP服务器直接将邮件丢弃,从而避免浪费POP3服务器的资源。
由于只有SMTP服务器在通过防火墙之后直接与互联网连接,存放邮件数据且提供用户访问的POP3服务器并不直接与互联网有物理连接,所以这样的网络结构能最大程度地保证邮件系统的系统安全和信息安全。
公司在互联网上注册了单独的域名,其中WWW主机分配给了SMTP服务器的IP,企业域名的MX记录也指向SMTP服务器的互联网IP。在企业防火墙上开放了SMTP端口25,允许SMTP服务器接收和发送互联网邮件。
在部署反垃圾邮件系统之前,A公司的邮件系统每天接收到的垃圾邮件占邮件数量的80%,服务器CPU负载经常保持在50%以上。据统计,在引入防垃圾邮件系统之前,A公司的邮件系统平均每天收到近5万封垃圾邮件。由于员工每天都接收到大量的垃圾邮件,每人每天平均需要花费15分钟来处理垃圾邮件,严重影响了工作效率,给工作带来不少麻烦。加上垃圾邮件中携带病毒或木马程序,企业的防病毒系统也时常受到侵扰,由病毒引起的网络堵塞现象时有发生。
部署过程
部署过程共分为两部分。首先是网络基础的部署。
首先,在企业防火墙的DMZ区内安装垃圾邮件防火墙,同时进行NAT转换工作,设定其网络地址(互联网IP和内网IP),使其同时能连接互联网和企业邮件系统服务器。
其次,修改企业域名在互联网域名解析系统(DNS)中的相关记录,修改企业域名的MX指向为垃圾邮件防火墙的互联网IP。
第三,在防火墙上开放系统互联网IP的25端口,使互联网邮件能经过垃圾邮件防火墙进行转发。
第四,在防火墙上开放系统互联网IP的80端口,使系统管理员能在互联网上对系统进行相关操作。
第五,单向关闭Lotus Domino的SMTP服务器互联网IP的25端口,使所有互联网邮件仅通过垃圾邮件防火墙进行转发工作。保留SMTP服务器向外的25端口开放,确保互联网邮件能正常发送。
经过网络基础的调整,现在系统的安全性较原先的结构更高,因为SMTP服务器只有向外的SMTP端口25是开放的,从互联网无法直接连接到内部的邮件服务器。
其次是系统部署。这里面包含四个步骤。
第一步,启动垃圾邮件防火墙,输入用户名和密码后查看并修改系统的网络参数,保存相关设置后重启垃圾邮件防火墙。
第二步,通过浏览器输入垃圾邮件防火墙的内网IP,以Web方式进入系统控制台。
第三步,选择“基本设置”—“IP设置”,输入相关的网络参数、相关测试信息(有效邮件用户),保存后进行系统测试工作。
第四步,选择“域设置”,将企业电子邮件系统的域名以及SMTP服务器的内网IP添加到系统中。如果企业中存在多个域名的电子邮件系统,则需要依次添加相关内容。
至此,增加垃圾邮件防火墙之后的企业电子邮件系统即可开始正常工作。
重视日常维护
日常维护要注意四个关键因素。
第一,配置备份和恢复:可以将“系统配置文件”、“贝叶斯数据”等内容以手工或自动的方式进行保存。自动备份方式必须有FTP服务器提供支持。
第二,固件升级:当系统有最新的固件版本可供升级的时候,Web控制台的首页将出现显著提示,系统管理员必须以手工方式进行系统升级和重启操作。若系统升级固件后工作不正常,可以由系统管理员将固件恢复到上一个正常工作的版本。
第三,贝叶斯:系统支持以贝叶斯算法进行邮件分析,被分类为“正常邮件”的邮件越多垃圾邮件分类越有效。因此,系统管理员必须经常检查系统过滤日志,手工将邮件进行分类,从而有效提高系统的拦截效率和准确性。
第四,误拦截邮件:在“邮件日志”界面可以以各种条件进行查询,可针对误拦截的邮件进行再次发送的操作,确保邮件数据不会丢失。
部署垃圾邮件防火墙之后,邮件系统服务器的性能得以大幅提升,内存及网络带宽占用等关键性能指标也有明显改善。
