两个虚拟SMTP服务器防止垃圾邮件中转的总结
来源:新云 发布时间:2008-05-04 15:18:00
对两个虚拟SMTP服务器防止垃圾邮件中转的总结
我对两个虚拟SMTP服务器防止垃圾邮件中转的总结:
在论坛上看到了很多高手的发言,结合自己在实践中的体会,终于有了一些比较成型的经验:
首先要说的是,想要彻底防止垃圾邮件制造者利用你的Exchange 服务器进行中转,以及其他非法利用你的SMTP服务的现象,两个虚拟SMTP服务器是必不可少的。
这看起来是很基础的结论,却是我的“血泪”之言。因为我以前一直依靠一个虚拟服务器和一个SMTP连接器,进行SMTP限制,并且一直自信很有成效,结果前些日子被ISP警告:我的服务器成为垃圾邮件中转服务器!
现在具体说说我之前的设置,供大家对照。如果你的设置和我相同,请务必当心!那一点也不安全!
我以前的设置:default Virtual SMTP server上,启用三种认证模式(匿名、基本和集成),允许所有通过认证的计算机进行Relay;然后建一个SMTP Connector,在Delivery Restrictions当中,选择 By default, messages from everyone are rejected,然后将所有合法的用户,添加到后面的允许列表中。
我原先以为,有了这个SMTP Connector,那么只有合法的用户才能将邮件发送出去,而所有其他用户的信息,将被截留。可事实证明,垃圾邮件制造者仍然成功的利用我的服务器中转了邮件。也就是说,虚拟SMTP服务器的Relay可以突破这个SMTP Connector中的Delivery Restriction限制。
于是,我参考了一些帖子和微软的KB,总结出以下方法,实践中证明是有效的:
第一步,在你的Exchange 服务器上,安装两块网卡;
第二步,设置网卡。一块网卡是接收内部用户SMTP请求的,称为内部NIC,一块网卡是接收外部用户SMTP请求的,称为外部NIC。每块网卡,各绑定一个固定IP(两块网卡均为内部虚拟IP即可,不必是一个外部IP,一个内部IP。因为我的内部网络是处于ISA server之后的,所以只能是两个内部虚拟IP)
第三步,设置Exchange 服务,让它区分内外网卡。因为我是利用ISA server发布Exchange服务器,包括POP3、SMTP、IMAP4、NNTP等等,所以,我把除SMTP以外的服务,均绑定到外部NIC的IP上。
第四步,建立两个虚拟SMTP 服务器,一个绑定到外部NIC的IP地址,简称为SMTP1;一个绑定到内部NIC的IP地址,简称为SMTP2。SMTP1(绑定到外部NIC的虚拟SMTP服务器),启用三种认证方式(匿名、基本和集成),但不启用Relay(也就是在Relay中选择“Only the list below”,但不加入任何列表。下面的“All computers...”也不选),并且不启用外部DNS服务器;SMTP2(绑定到内部NIC的虚拟SMTP服务器),只启用基本和集成两种认证方式,然后启用Relay,并且启用外部DNS服务器(方法是到Delivery --> Advanced --> Configure当中,选择外部的DNS服务器)。
第五步,建立一个SMTP Connector,连接到SMTP2(也就是绑定到内部NIC的虚拟SMTP服务器),然后进行必要的设置(一般是增加一个Address space,也就是添加一个SMTP空间*,并且建议按照以前的介绍,设置Delivery Restrictions,选择 By default, messages from everyone are rejected,然后将所有合法的用户,添加到后面的允许列表中。这样也是为了增加安全性。)
好了,现在可以到ISA server中,发布你的Exchange 服务器了。注意发布的时候,内网IP要选择 Exchange服务器上的那个外部NIC的IP地址,而千万不要指到那个内部NIC的IP上去,否则上面的辛苦工作,等于白费。
让我们来大致看一下邮件的流程:
来自外网的邮件,是由SMTP1来监听的(因为它绑定到了外部NIC的IP上)。如果是发给内网用户的,那么它查询AD,然后将邮件送达;如果不是发给内网用户,而是企图利用 Exchange的SMTP服务,进行转发,那么对不起,SMTP1上不启用Relay服务,无法转发。再说,它也没有启用外部的DNS服务器,根本无法解析外网的域名。
来自内网用户的邮件,是由SMTP2来监听的(因为它绑定到了内部NIC的IP上)。如果是发给内网用户自己的,那么仍然是直接查询AD,然后将邮件送达;如果是发到外网的,那么SMTP2启用了外网DNS服务器,所以可以顺利的解析到外网域名,然后通过连接到SMTP2的SMTP Connector,将邮件Relay到外网。
那么,你的合法用户,如何使用呢?
如果用户在内部网络中使用,那么他可以使用 outlook express或者Foxmail等POP3邮件程序,进行收发邮件(注意POP3服务器要设置为外部NIC的IP,SMTP服务器要设置为内部NIC的IP,分别对应Exchange 服务器的设置);
如果用户是在外网中使用,那么他只能使用 outlook express或者Foxmail等POP3邮件程序,进行邮件的接收,但不能用它们发送邮件。原因很简单,监听外网SMTP请求的那个虚拟SMTP服务器SMTP1,不支持Relay。不过,这时候就可以请出著名的OWA了。用户可以利用浏览器,通过OWA的方式,发送邮件。
另外,如果你不是通过ISA Server发布Exchange服务器,而是直接将Exchange服务器发布在Internet上,那么原理是相同的,只是具体的设置有些细微的不同,请自己体会和调整。
0
投稿猜你喜欢
- 对于绝大部份的网站来说,一个合理点击率就只在乎0.1-1%,我跟其他水帖不同,他们所说的是去优化你的广告位置,从而增加更多的点击。但对于我的
- 首先说说现在的个人电影站,市场上流行的主要是马克斯电影程序和搜一次电影程序,至于两者的区别,大家有兴趣的可以到他们的官网看看就知道了,不过现
- 一直一来,我觉得在百度搜索框里输入link:你的域名,这样得出的反链数能很大影响网站的排名。但经过一段时间的努力,我觉得这个想法不够准确。我
在地方网站中比较成功的往往是一些分类信息站点,例如新疆地区的乌鲁木齐网、内蒙古地区的找查发网站,都是以发布各种信息为主,极大的丰富和方便了当- 我是一个农村的90后站长,搞网站4年了,对于网站宣传有一些研究。网站做好了肯定是想让更多的人看到,毕竟是咱的心血,没有人看怎么行。那么我们就
- 打个比方我删除了id是41的栏目,生成HTML时,生成到这个栏目时就出错,很不爽!!现在我们调整一下栏目id,把后面的提上来弥补41,也就是
- 不知道大家在google上面搜索的时候,在看到标题下面有段“该网站可能含有恶意软件,有可能会危害您的电脑。”有何反应?如图:500){thi
- 重视SEO的站长们应该对keyword的设置都不会陌生!如果你是“老站长”,那么你看到这里的时候可以点击“返回”跳过本篇了!因为这篇文章是写
- “把竞争者都吃掉”,没错,这就是采用鳄鱼为标志的美国主机Hostgator的口号,成立于2002年的美国主机商Hostgator已经成为全球
- UCenter Home 提供了方便的日志导入功能,您可以将自己在其他站点发表的日志导入到 UCenter Home 的日志中。该功能需要您
- Serv-u Ftp server(以下简称Serv-u)是一个应用比较广泛的Ftp Server,功能强大,使用方便,Serv-u>
- 3月3日消息,今年的两会将于今天下午拉开序幕,经向出席两会的电信、IT、家电业两会人大代表、政协委员咨询,除个别人员外,绝大多数上述行业人大
- 中纪委监察部开通举报网站后广受关注,昨日下午网站登陆一直不顺畅,热线电话也一直忙音;到了晚上,相关服务才恢复正常,网民估计是太多人登陆所致。
- 10月20日下午消息,瑞星今日宣布正式推出瑞星全功能安全软件2010三年版(以下简称瑞星2010版)。瑞星方面表示,这一基于云安全系统的产品
- 像PR劫持一样,对一些比较难以预防的黑帽陷害手法,本来不太想积极讨论,因为有很多时候会对无辜的站长造成很大的伤害。在前两天的SEO案例中,提
- 鬼鬼我最先开始接触的是网上的免费建站系统,从最先的免费二级域名到现在的可以绑定域名5d6d,领地,鬼鬼我都使用,都后来买了主机,于是开 始自
- FEED是WEB 2.0时代一种重要的网站阅读手段。通过FEED订阅,用户不需要登录网站就可以了解到该网站上最新的更新。而且随着鲜果、Goo
- 说到百度贴吧推广中国亚龙是最熟悉不过了,07年有两个月专职做这个,虽然现在没有以前在百度帖吧推广那么疯狂,但到现在也从未间断过。现在就和大家
- DHCP是用于动态分配IP地址的服务,当一个局域网中计算机比较多的时候,我们需要为每个客户端手动设置IP地址,子网掩码,DNS及网关等地址,
- 网络管理阶层的工作就是保证网络的正常工作,从而使得职工们的工作不被打断。可问题在于事物并非总是按照理想状况发展,事实上经常会出现平地起风波的
