所谓垃圾邮件绕发是指安装反垃圾邮件网关设备,设置邮件域的mx记录优先级指向反垃圾邮件设备,但是仍然有邮件特别是垃圾邮件不按优先级发送邮件,不经过反垃圾邮件网关设备而直接发到邮件服务器上。
一 、梭子鱼反垃圾邮件网关的安装方式:
1 、端口转发安装模式不会产生绕发问题。
梭子鱼反垃圾邮件网关安装在防火墙内,如下图:
只有一个公网IP,因此需要用PAT将公网IP (202.1.1.1)的25端口映射到梭子鱼反垃圾邮件网关(192.168.1.2)之上。这种安装方式不会产生绕发的问题。
2 、MX转发安装模式可能产生绕发问题。
反垃圾邮件网关与邮件系统服务器均有公网IP,通过test.com的MX记录指向梭子鱼反垃圾邮件网关(202.1.1.2)达到过滤邮件的目的但是这种情况下会产生绕发现象。
二、 产生这种现象原因有如下几种:
1、IP地址暴露
垃圾邮件发送者通过各种方式获得邮件账号,其中采用自动收集是一种主要方式,垃圾邮件发送者通过程序解析后可能将用户的IP地址缓存。这样垃圾邮件发送者就可以直接向邮件服务器发送邮件。
在这种情况下更换邮件服务器的IP地址是一个好的解决办法。
因为IP地址相对域名而言是可以经常更换的,垃圾邮件发送者可能不会经常更新其缓存。
但垃圾邮件发送者可能定向的对邮件服务器进行垃圾发送。通过人工分析及端口扫描可以定位邮件服务器。从而对邮件服务器进行定向的攻击。例如进行字典式攻击等,或者仅仅是大量发送垃圾邮件。
2 、多mx记录同时发送
有时垃圾邮件发送者会向所有的mx记录发送邮件。
这种情况下,只需要将指向邮件服务器的mx记录删除即可。
3 、邮件主机名(FQDN)与邮件域名相同。
邮件的发送原理:一般而言邮件服务器发送邮件首先寻找DNS MX记录,如果查找MX记录失败,则直接利用A记录收发信。――这称之为邮件“递送规则”。不同的邮件发送程序其递送规则不同。
以下是用nslookup模拟邮件发送查找IP地址的递送规则。
如上图:如果set type=all.那么邮件发送程序将得到两条记录。主机记录及mx记录。
注意:主机的FQDN与 邮件域同名!
在这样的时候许多邮件发送程序将直接发送到A记录中。
解决办法:更改邮件系统服务器的主机名比如mail1.xz.gov.cn. 使之不与邮件域同名。或者将域的A记录放在mx记录之后。
总之:只要邮件系统服务器存在公网IP,垃圾邮件发送者就可能直接向该IP发送垃圾邮件。因此彻底的办法是采用端口转发安装模式,使邮件无法直接发到邮件服务器上。
三、 各种解决的办法小结:
下面方法可改善绕发现象,但不能杜绝。
1、更改邮件系统服务器的公网IP地址。
2、删除指向邮件服务器的mx记录。
3、更改邮件服务器的主机名比如mail1.xz.gov.cn.。使之不与邮件域同名。或者将域的A记录放在mx记录之后。
杜绝垃圾邮件绕发现象的方法:
方法一 将梭子鱼反垃圾邮件网关设置为邮件系统服务器的IP地址,邮件服务器另设地址。
方法二 在邮件系统服务器上设置ip限制,只允许梭子鱼发送的邮件。
方法三 采用端口转发的安装模式,不要采用MX转.
只有一个公网IP,因此需要用PAT将公网IP (202.1.1.1)的25端口映射到梭子鱼反垃圾邮件网关(192.168.1.2)之上。这种安装方式不会产生绕发的问题。
更多邮件系统、反垃圾邮件网关、邮件归档、负载均衡、web应用防火墙、上网行为管理等产品的介绍请登录公司产品中心了解详情。
本文由:知识园地于(2011-09-09)发表了关于垃圾邮件绕发问题的解决的文章 。如转载请注明出处:http://www.cdcy-mail.com如果您对此感兴趣,可以通过以下联系方式与我们联系: