两个虚拟SMTP服务器防止垃圾邮件中转的总结
来源:新云 发布时间:2008-05-04 15:18:00
对两个虚拟SMTP服务器防止垃圾邮件中转的总结
我对两个虚拟SMTP服务器防止垃圾邮件中转的总结:
在论坛上看到了很多高手的发言,结合自己在实践中的体会,终于有了一些比较成型的经验:
首先要说的是,想要彻底防止垃圾邮件制造者利用你的Exchange 服务器进行中转,以及其他非法利用你的SMTP服务的现象,两个虚拟SMTP服务器是必不可少的。
这看起来是很基础的结论,却是我的“血泪”之言。因为我以前一直依靠一个虚拟服务器和一个SMTP连接器,进行SMTP限制,并且一直自信很有成效,结果前些日子被ISP警告:我的服务器成为垃圾邮件中转服务器!
现在具体说说我之前的设置,供大家对照。如果你的设置和我相同,请务必当心!那一点也不安全!
我以前的设置:default Virtual SMTP server上,启用三种认证模式(匿名、基本和集成),允许所有通过认证的计算机进行Relay;然后建一个SMTP Connector,在Delivery Restrictions当中,选择 By default, messages from everyone are rejected,然后将所有合法的用户,添加到后面的允许列表中。
我原先以为,有了这个SMTP Connector,那么只有合法的用户才能将邮件发送出去,而所有其他用户的信息,将被截留。可事实证明,垃圾邮件制造者仍然成功的利用我的服务器中转了邮件。也就是说,虚拟SMTP服务器的Relay可以突破这个SMTP Connector中的Delivery Restriction限制。
于是,我参考了一些帖子和微软的KB,总结出以下方法,实践中证明是有效的:
第一步,在你的Exchange 服务器上,安装两块网卡;
第二步,设置网卡。一块网卡是接收内部用户SMTP请求的,称为内部NIC,一块网卡是接收外部用户SMTP请求的,称为外部NIC。每块网卡,各绑定一个固定IP(两块网卡均为内部虚拟IP即可,不必是一个外部IP,一个内部IP。因为我的内部网络是处于ISA server之后的,所以只能是两个内部虚拟IP)
第三步,设置Exchange 服务,让它区分内外网卡。因为我是利用ISA server发布Exchange服务器,包括POP3、SMTP、IMAP4、NNTP等等,所以,我把除SMTP以外的服务,均绑定到外部NIC的IP上。
第四步,建立两个虚拟SMTP 服务器,一个绑定到外部NIC的IP地址,简称为SMTP1;一个绑定到内部NIC的IP地址,简称为SMTP2。SMTP1(绑定到外部NIC的虚拟SMTP服务器),启用三种认证方式(匿名、基本和集成),但不启用Relay(也就是在Relay中选择“Only the list below”,但不加入任何列表。下面的“All computers...”也不选),并且不启用外部DNS服务器;SMTP2(绑定到内部NIC的虚拟SMTP服务器),只启用基本和集成两种认证方式,然后启用Relay,并且启用外部DNS服务器(方法是到Delivery --> Advanced --> Configure当中,选择外部的DNS服务器)。
第五步,建立一个SMTP Connector,连接到SMTP2(也就是绑定到内部NIC的虚拟SMTP服务器),然后进行必要的设置(一般是增加一个Address space,也就是添加一个SMTP空间*,并且建议按照以前的介绍,设置Delivery Restrictions,选择 By default, messages from everyone are rejected,然后将所有合法的用户,添加到后面的允许列表中。这样也是为了增加安全性。)
好了,现在可以到ISA server中,发布你的Exchange 服务器了。注意发布的时候,内网IP要选择 Exchange服务器上的那个外部NIC的IP地址,而千万不要指到那个内部NIC的IP上去,否则上面的辛苦工作,等于白费。
让我们来大致看一下邮件的流程:
来自外网的邮件,是由SMTP1来监听的(因为它绑定到了外部NIC的IP上)。如果是发给内网用户的,那么它查询AD,然后将邮件送达;如果不是发给内网用户,而是企图利用 Exchange的SMTP服务,进行转发,那么对不起,SMTP1上不启用Relay服务,无法转发。再说,它也没有启用外部的DNS服务器,根本无法解析外网的域名。
来自内网用户的邮件,是由SMTP2来监听的(因为它绑定到了内部NIC的IP上)。如果是发给内网用户自己的,那么仍然是直接查询AD,然后将邮件送达;如果是发到外网的,那么SMTP2启用了外网DNS服务器,所以可以顺利的解析到外网域名,然后通过连接到SMTP2的SMTP Connector,将邮件Relay到外网。
那么,你的合法用户,如何使用呢?
如果用户在内部网络中使用,那么他可以使用 outlook express或者Foxmail等POP3邮件程序,进行收发邮件(注意POP3服务器要设置为外部NIC的IP,SMTP服务器要设置为内部NIC的IP,分别对应Exchange 服务器的设置);
如果用户是在外网中使用,那么他只能使用 outlook express或者Foxmail等POP3邮件程序,进行邮件的接收,但不能用它们发送邮件。原因很简单,监听外网SMTP请求的那个虚拟SMTP服务器SMTP1,不支持Relay。不过,这时候就可以请出著名的OWA了。用户可以利用浏览器,通过OWA的方式,发送邮件。
另外,如果你不是通过ISA Server发布Exchange服务器,而是直接将Exchange服务器发布在Internet上,那么原理是相同的,只是具体的设置有些细微的不同,请自己体会和调整。
0
投稿猜你喜欢
- 相信读者都知道,Google对域名信任度要求越来越高,甚至高到了过分的地步。不过抱怨是没有用的,必须面对现实。从总体上来说,提高域名信任度的
- 开设个人博客的朋友使用WordPress不在少数,那么也难免不了更换空间和域名的情况,由于笔者亲历了一次更换空间和域名的情况,将博客从AAA
- 据国外媒体报道,微软XboxLive首席程序设计师拉里·海博(LarryHyrb)周四表示,微软无意为Xbox 360
- 我以前曾经介绍过将Z-Blog数据库转换到WordPress的SQL语句,做为反例,还会有从WordPress系统转换到Z-Blog系统的S
本文版权归学IT网(www.xueit.com)所有,任何单位与个人转载必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律- 微软 Bing 的出现让新一轮搜索引擎大战一触即发。Bing 提供了许多实用的新功能,Google 则始终以高质量搜索结果坚守阵地,而 Ya
- 目前比较流行的ASP木马主要通过三种技术来进行对服务器的相关操作。一、使用FileSystemObject组件FileSystemObjec
- 广东的今天在初冬的季节里也略有凉意,起风了我站在7楼的窗台上观望!望着马路上为生活奔波的人们.感觉到眼前很模糊,因为此时的心情无法用语言来形
- B2B电子商务网站优化已经成为B2B网站网络营销策略中最基本的内容,一个整体优化状况不好的B2B电子商务平台,不仅用户发布的供求信息难为潜在
- Exchange 2007是一款与过去版本有所不同的产品,其中可能有一些限制需要根据企业环境进行修改。邮箱可接收的最大邮件上限就是需要修改的
- 欧盟批评甲骨文在其对甲骨文收购Sun微系统公司展开的调查中缺乏合作。欧盟竞争专员尼莉·克洛斯在布鲁塞尔会见甲骨文总裁SafraCatz时说,
- 输入字母验证码,俺觉得特烦,特别还要输入大写字母。于是找到文件并修改成数字验证码。修改文件 验证码文件位置include\validatei
- 苍蝇不是贬低站长,更不是歧视站长,如果你抱着这样的心态来阅读本篇,建议你直接去泡MM,做你应该做的事情去。苍蝇历来被形容或比喻不好的事物,因
- 素有“中国博客之父”之誉的方兴东最近放言“单纯写作的博客已经落伍”,而他也承认随着业务调整,他的博客网将重心摆在社区交友上,也就是国内外现在
- 前言Samba是在Linux系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成。 SMB(Server Messages Bloc
- 索引是以表列为基础的数据库对象。索引中保存着表中排序的索引列,并且纪录了索引列在数据库表中的物理存储位置,实现了表中数据的逻辑排序。通过索引
- 本人文采不好,才小学文化,接触做网站已经快两个年头了,曾经也算月收入过万,现在ADS联盟在国内已经快不行了 所以收入也就上班族那么点了。写的
- 我认为关键词应该分为网站关键词和页面关键字,不知道别人有没有这种叫法。网站关键词是一个网站的内容的总结,告诉别人你这个网站是做什么的。页面关
- 刚才在AJJ看到一篇文章(网站标题在SEO优化中的重要性分析),很熟悉,突然发现本人的名字(元创)也在其中,兴奋,这是本人的文章,之前只在元
- 做站长已经有好几年了,每次都在失望中结束。经过一番冷静思考以后,才知道经营网站不是想象的那么容易,一是需要下功夫,二是需要坚持。下功夫是要懂
