梭子鱼认证管理员高级手册.docx
- 文档编号:5335712
- 上传时间:2022-12-15
- 格式:DOCX
- 页数:42
- 大小:1.80MB
梭子鱼认证管理员高级手册.docx
《梭子鱼认证管理员高级手册.docx》由会员分享,可在线阅读,更多相关《梭子鱼认证管理员高级手册.docx(42页珍藏版)》请在冰豆网上搜索。
梭子鱼认证管理员高级手册
梭子鱼认证管理员高级手册
垃圾邮件防火墙v1.0
此文档由浅入深的介绍了梭子鱼垃圾邮件防火墙过滤系统的工作原理,梭子鱼垃圾邮件防火墙的高级功能,以及管理技巧。
JohnnyJiang
2007/10/30
⏹梭子鱼的安装拓扑模式
⏹梭子鱼安装过程中可能遇到的问题
第一章梭子鱼垃圾邮件防火墙安装模式解析
梭子鱼的安装拓扑模式
●DNS转发
DNS转发模式是一种依托于DNS服务的拓扑模式。
要实现DNS需要满足下列条件:
1.拥有DNS服务器的修改权限(或者可以通过服务商来修改)
2.梭子鱼垃圾邮件防火墙拥有外部IP地址
●防火墙映射
如果客户无法通过使用DNS转发模式来安装,或者客户将所有的内部网络建设在一个防火墙之后,那么我们可以通过在防火墙上设置NAT或者端口映射来做邮件流量的导向。
梭子鱼安装过程中可能遇到的问题
1.垃圾邮件绕发现象
所谓垃圾邮件绕发是指安装反垃圾邮件网关设备,设置邮件域的mx记录优先级指向反垃圾邮件设备,但是仍然有邮件特别是垃圾邮件不按优先级发送邮件,不经过邮件网关设备而直接发到邮件服务器上。
垃圾邮件绕发的问题主要出现在MX记录转发(DNS转发)的拓扑模式中。
产生此问题主要有以下几点造成:
IP地址暴露
垃圾邮件发送者通过各种方式获得邮件账号,其中采用自动收集是一种主要方式,垃圾邮件发送者通过程序解析后可能将用户的IP地址缓存。
这样垃圾邮件发送者就可以直接向邮件服务器发送邮件。
垃圾邮件发送者可能定向的对邮件服务器进行垃圾发送。
通过人工分析及端口扫描可以定位邮件服务器。
从而对邮件服务器进行定向的攻击。
例如进行字典式攻击等,或者仅仅是大量发送垃圾邮件。
解决方法:
更换服务器IP地址
多条MX记录
多条MX记录的存在是为了提供一定程度的高可用性,当第一条MX记录所对应的邮件服务器主机宕机或者出现问题的时候,可以通过其他MX记录的主机来提供服务。
不过,垃圾邮件发送者可以利用同时想所有的MX主机进行发送垃圾邮件,如果其中一条MX记录是直接指想服务器的,那么就产生了绕发问题。
解决方法:
将指向邮件服务器的MX记录删除
邮件域名同邮件主机名(FQDN)
一般而言邮件服务器发送邮件首先寻找DNSMX记录,如果查找MX记录失败(超时),则直接利用A记录收发信。
当然,不同的邮件发送程序其递送规则不同。
如下图:
其中即是邮件主机名,同时也是邮件域名。
因此,某些垃圾邮件发送着可以直接利用A记录来发送垃圾邮件到邮件服务器。
解决方法:
将邮件域名和邮件主机名分离开,使用不同的名称。
最根本的解决方法:
如果条件允许,可以直接使用端口转发的模式,将企业所有的设备部署于防火墙之后,这样能有效地保护所有设备,避免绕发的问题。
2.防火墙需要开放的端口
端口
方向
协议
使用
22
进
TCP
远程检查及服务
*25
进/出
TCP/UDP
邮件及邮件弹回
*53
进/出
TCP/UDP
域名服务器(DNS)
*80
出
TCP/UDP
病毒、固件、垃圾邮件规则库升级
123
进/出
UDP
网络时间协议(NTP)
2703
进/出
TCP/UDP
收到的邮件指纹
6277
进/出
TCP/UDP
收到的邮件指纹
*必需项
部署于防火墙之后,由于梭子鱼垃圾邮件防火墙需要和梭子鱼中心取得通信,以满足升级,提交以及同步等动作,在防火墙的设置过程中,需要打开以上的端口来满足这些需求。
如果梭子鱼在进行系统版本升级和规则库升级的过程中出现问题,无法完成。
请同时打开80,8000,8080这几个端口,以保证梭子鱼能够同时和多台升级服务器取得联系。
3.梭子鱼垃圾邮件防火墙的端口转发功能
从系统版本3.5开始,梭子鱼垃圾邮件防火墙支持端口转发功能。
在实现端口转发功能过程中需要注意以下几点,以避免出现不必要的问题:
◆在梭子鱼上使用的端口不能进行端口转发(比如25,8000),如果需要转发此类端口,请在梭子鱼上先进行相关调整后,在设置端口转发
◆我们不推荐在梭子鱼上进行端口转发,因为端口转发是底层防火墙的工作,梭子鱼是邮件应用防火墙,系统为维护底层连接表需要额外的资源付出,所以整个负载会有相应的提高。
⏹外部黑名单
⏹梭子鱼过滤设置详解
⏹过滤系统的优先级
第二章梭子鱼垃圾邮件防火墙过滤功能
外部黑名单
1.什么是外部黑名单
外部黑名单,有时称为DNSBLs或者RBLs,或者实时黑名单,是垃圾邮件发送者的IP列表,用该列表可以阻断潜在的垃圾邮件进入你的网络。
该清单不包括域名或垃圾发件人清单。
Spamhaus.org
Spamhaus.org是国际上最著名的国际黑名单组织,全球有424,081,541个用户采用了该组织的黑名单服务。
Spamhaus.org包括两份清单:
sbl,xbl和pbl。
Spamhaus阻挡列表(SBL)是实时的对垃圾邮件来源和垃圾邮件服务进行封锁的列表。
拓展阻挡列表(XBL)是实时的对非法第三方(代理服务器/蠕虫/特洛伊病毒等)进行封锁的列表。
Spamhaus在全球十二个国家设有32个服务器组。
ardb.org
该黑名单组织专注于收集哪些openrelay的服务器的IP地址。
该组织的主要职责是收集报告垃圾邮件给互联网服务商,也收集IP黑名单。
anti-
中国反垃圾邮件联盟维护的黑名单,负责收集维护国内的垃圾邮件黑名单。
目前已经收集到10万个IP黑名单地址,每日查询量超过600万。
您的IP为什么会被列在外部黑名单内?
黑名单组织通过遍布的服务器网络收集垃圾邮件发送者的IP地址,也接受其使用用户的举报,一旦您的邮件服务器发送垃圾邮件被侦测到,将被列入到这些黑名单中。
所以如果您的邮件服务器因为不当设置,或者被攻陷导致成为openrelay,那么您的IP地址很有可能已经被列入某个黑名单中。
如何将您的IP从黑名单中移除
i.如果您的邮件服务器IP地址被列入到黑名单组织中,您首先需要确认您被列入到哪些黑名单组织中。
通常被列入后,发出的邮件将获得黑名单组织发出的弹回信息,指出您被列入了那个黑名单组织。
您也可以到http:
//www.anti-进行快速查询。
ii.邮件服务器可能因为被当作代理服务器,或者因为蠕虫/特洛伊病毒等大量发送垃圾邮件;也可能是主观发送大量垃圾邮件而被列入。
因此应该加强管理,排除上述因素。
iii.被列入黑名单的IP地址通常会在清单中保存一段时间,例如Spamhaus中为48小时至六个月不等。
个别大量发送垃圾邮件的“恶棍”发送者可能被列入的时间长达2年。
如果不在发送垃圾邮件,超过该黑名单时间后,一般将被自动撤除出清单。
用户也可以进行申诉。
(关于如何申诉,请参考相关的黑名单组织网站)
iv.由于邮件系统的脆弱性,极有可能因为发送垃圾邮件再次被列入某些黑名单,邮件系统管理员将疲于应付上述的各种申诉事务,并且由于多次被列入黑名单,相应的组织可能拒绝您的申诉请求。
因此根本的解决之道在于建构安全的邮件系统。
2.外部黑名单的原理
目前实时黑名单技术通常是通过DNS方式(查询和区域传输)实现的。
实际上也是一个可供查询的IP地址列表,通过DNS的查询方式来查找一个IP地址的A记录是否存在来判断其是否被列入了该实时黑名单中。
举例:
黑名单服务器:
cbl.anti-
需要查询的IP:
33.44.55.66
那么查询的过程是查询域名66.55.44.33.cbl.anti-是否会有A记录。
按照正常的DNS查询机制,如果本地DNS上没有对这个域名的缓存,那么通过根服务器,最终这个查询会被送到黑名单服务器来进行检查,如果有记录,则返回127.0.0.0/8地址段中的一个IP地址(比如127.0.0.2,127.0.0.1是回环地址,所以不被使用),表示此IP地址已经被列入了黑名单。
如果没有,则返回一个NXDOMAIN,说明此IP地址是合法的。
3.外部黑名单的设置
梭子鱼拥有自己的一组黑名单服务器,由梭子鱼中心的专业团队24×7,全年无休的来进行维护。
同时,由于全球高达50000用户的基础,梭子鱼能够更全面,更迅速的获得全球垃圾邮件的趋势,实时进行跟踪,来不断地更新黑名单服务器。
当然,用户还可以根据自身企业的情况,或者地区的特点,来选择使用其他三方的黑名单服务器。
过滤设置->外部黑名单->梭子鱼黑名单
选择任何梭子鱼黑名单服务的执行动作(阻断,隔离和标记)将开启梭子鱼黑名单服务,选择“启用”来开启白名单服务。
选择“关闭”来关闭梭子鱼黑白名单服务。
过滤设置->外部黑名单->常用外部黑名单/自定义外部黑名单
梭子鱼定义了一些知名的常用黑名单服务器
Sbl.spamhaus.org
Xbl.spamhaus.org
同时,还可以添加自定义的黑名单服务器。
过滤设置->外部黑名单->黑名单选项
RBL检查延迟:
在接收到RCPTTO命令后,在执行黑名单的查询。
正常情况,黑名单的查询会在收到IP的同时进行查询,这样做的好处,是避免不必要的系统扫描耗费过多资源。
使用全信头的黑名单:
将会针对包含在信头中的所有IP地址进行黑名单检查。
此项检查将只会梭子鱼黑白名单服务和常用黑名单服务进行检查,自定义黑名单服务不被使用。
Note:
我们不推荐使用全信头黑名单检查,因为这将消耗过多的系统资源,DNS的延迟也将造成邮件队列的阻塞。
4.外部黑名单可能遇到的问题
DNS劫持
什么是DNS劫持?
在浏览网站时莫名其妙地输入网址后转向了114查询的页面,此类事件就是我们平日所称的DNS劫持。
DNS劫持是网络安全界常见的一个名词,意思是通过某些手段取得某一目标域名的解析记录控制权,进而修改此域名的解析结果,通过此修改将对此域名的访问由原先的IP地址转入到自己指定的IP,从而实现窃取资料或者破坏原有正常服务的目的。
结合RBL的原理,不难看出,当本地DNS不存在66.55.44.33.cbl.anti-对用的A记录时,它将不会查询根服务器,而直接返回本地值(可以由DNS来设定)。
因为对某些非黑名单的IP,有可能被误判而导致被阻断。
解决方法:
目前为止,我们只能通过更换DNS来防止DNS劫持。
梭子鱼过滤设置
梭子鱼垃圾邮件防火墙的特点之一就是过滤设置的多样化,个性化。
在初级培训中所涉及到的IP地址黑白名单,发件人域黑白名单,发件人地址黑白名单,收件人域黑白名单,以及前面所提到的外部黑名单等方法,都是在SMTP信封命令传递过程中,或者传递之前来进行判断,我们称之为行为层过滤,没有完全的涉及到邮件的实体内容。
所以下面我们所要看的就是如何利用信封内的信头,主题或者信体等实体内容来判断邮件的真伪性。
注意:
邮件实体内容的扫描由于涉及到了应用层的内容,势必会加大系统的资源消耗,所以我们更加推荐利用外部黑名单,IP地址等行为层的控制来阻挡垃圾邮件。
1.主题过滤设置
主题过滤是指通过设置需要匹配的字符串或者正则表达式,来定义被扫描的邮件是否是垃圾邮件,执行相应的策略动作。
梭子鱼的正则表达式支持PCRE(perlcompatibleregularexpression),所以在使用正则表达式的过程中,注意要和符合POSIX规范的正则表达式进行区分。
过滤设置->主题过滤
主题过滤设置中需要注意:
i.不要在两个不同的策略动作区域设置相同的,或者具有焦急的匹配字符串或者正则表达式
ii.在设置匹配字符串的过程中,需要注意空格的使用,空格也是一个有效的字符串
iii.请不要使用乱码,这样会造成系统的不稳定。
2.信头过滤设置
信头过滤和主题过滤类似。
利用设定的匹配字符串或者正则表达式来定义被扫描的邮件是否为垃圾邮件,并执行相应的策略动作。
过滤设置->信头过滤
信头过滤设置需要注意:
i.邮件主题也是信头的一部分,所以如果主题匹配所设定的字符串或者正则表达式,那么邮件也会被作相应的处理。
ii.梭子鱼在处理邮件的过程中会添加相关的梭子鱼信头(X-Barracuda*),这些信头不会被信头过滤所处理
3.信体过滤设置
信体过滤,顾名思义,通过设定的字符串和正则表达式,对邮件的信体进行匹配,如果匹配成功,使用预定义的策略动作对邮件进行相应的处理。
过滤设置->信体过滤
信体过滤设置需要注意:
i.图形文件中的字符是无法通过字符串匹配来进行过滤的,将会有梭子鱼的ORC引擎专门处理。
ii.贝页斯培训必须是针对有信体的邮件进行相关的培训,并且信体必须包含文本字符串。
4.附件过滤设置
垃圾邮件能够携带病毒,木马等具有破坏性的文件,使接收者在不知不觉中被垃圾邮件发送着控制。
大多数的情况下,这些恶意软件都会被以附件的形式内嵌到垃圾邮件中。
所以梭子鱼垃圾邮件防火墙对附件不仅进行病毒的扫描,也提供用户自定义的过滤设置来更好的控制附件的传播。
过滤设置->附件过滤
附件过滤功能:
i.通过设定附件扩展名来对附件进行过滤
ii.阻断/隔离带有密码保护的压缩文档
iii.阻断/隔离包含扩展名文件的压缩文件
iv.通知发件人/收件人
过滤系统的优先级
梭子鱼提供给客户12层的分层过滤技术来全面地扫描邮件,那么对于这12层过滤技术,哪一层会有较高的优先级,哪一层会有较低的优先级呢?
在这一节中,我们会详细的来描述所有过滤系统的过滤优先级,帮助客户在策略的设定上理清头绪。
需要注意的是:
i.白名单的优先级总是大于黑名单的
ii.如果实时黑名单开启了全信头扫描,那么扫描将会被推迟到分用户黑白名单之后进行
iii.最后一个阶段的测试具体实现过程如下:
评分/贝页斯评分,得出分值
判断是否有主题/信头/信体/附件的隔离匹配
判断是否有主题/信头/信体的标记匹配
根据隔离>标记>允许的优先级来对邮件进行处理
举例:
From:
xxxx@
To:
yyyy@
Subject:
Thisisatestmail,ignoreit!
<--blanklinebetweenmessageheadersandmessagebody-->
Hey,you…
第三章梭子鱼垃圾邮件防火墙分用户功能设置
什么是用户
什么是用户?
看似简单的一个问题,其实还是值得我们去花一点时间来深入的了解。
不同的应用对于用户的定义是不同的,用户在不同的应用中所起的作用和目的性也是不尽相同的。
不过大致可以归纳为
用户就是被提供服务的最小度量单位。
这个只是一个简单的描述,那让我们来看看梭子鱼的用户是怎么样一个概念。
梭子鱼的用户是指在可信任的接收域中的实际存在的一个邮件用户。
梭子鱼的定义中,有两点需要注意:
i.用户是属于可信任的接收域的,任何非可信任域的用户是不属于梭子鱼用户的。
ii.用户必须是实际存在于可信任域中的一个用户。
用户的存在,最终是为了提供终端用户能够拥有自己的隔离邮箱并且根据客户自身的喜好来自定义策略。
用户可以通过自动和手动的方法来创建,在创建之初,用户会收到一封初始化信件通知客户初始的用户名和管理密码。
当然我们也可以使用单点登陆的功能来通过POP3,LDAP,RADIUS等系统来实现用户的认证机制。
启用分用户的功能是取决于您是否希望开启分用户的隔离功能。
关于如何开启分用户隔离功能已经在初级培训中介绍,这里就不在赘述。
梭子鱼用户管理和策略
1.用户管理
用户管理功能主要分布在“账号管理”,“用户选项”,“添加/更新用户”,“邮件策略”这四个选项页中,我们将会在下面的部分一一详细介绍。
用户设置->账号管理
搜索条件
用户(邮件地址):
*************->匹配*************
用户(模式*):
user->匹配user,usera,userb...
用户(*模式):
user->匹配user,auser,abuser...
启用隔离:
匹配启用隔离的用户
禁用隔离:
匹配禁用隔离的用户
启用垃圾邮件扫描:
匹配启用垃圾邮件扫描的用户
禁用垃圾邮件扫描:
匹配禁用垃圾邮件扫描的用户
大小(KB)<:
128->匹配隔离邮箱小于128KB的用户
大小(KB)>:
128->匹配隔离邮箱大于128KB的用户
隔离邮件数>:
10->匹配隔离邮件数大于10封的用户
隔离邮件数<:
10->匹配隔离邮件数小于10封的用户
隔离邮件数=:
10->匹配隔离邮件数等于10封的用户
用户编辑和删除
在此页面中,您可以点选相关用户,通过点击删除按钮来删除用户。
其中有一个比较特别的按钮就是“删除所有的无效账号”。
使用此按钮能够快速的删除系统中存在的非法的(也就是不存在的)用户,帮助您释放因为被这些非法用户所占用的磁盘和系统资源。
非法用户的产生和收件人验证的正常运作密切相关,如果邮件系统无法对收件人进行合法验证,那么虚假的用户也会被建立隔离邮箱。
接收者验证有两种途径,梭子鱼默认的是通过RCPTTO命令来进行验证的。
当然,梭子鱼更推荐使用LDAP来进行验证,关于如何设置LDAP,我们将会在下面一章中做详细的描述。
如果收件人验证的功能没有正常运作,那么“删除无效帐号”的功能也将不能正常运行。
用户设置->用户选项
隔离功能:
是否允许用户启用/禁用自己的隔离邮箱
垃圾邮件扫描功能:
是否允许用户启用/禁用垃圾邮件扫描功能
可修改通知时间:
是否允许用户自定义发送隔离通知信的时间
黑/白名单:
是否启用分用户黑白名单功能
使用贝页斯:
是否允许用户启用自定义的贝页斯数据库
自定义用户选项中,管理员可以针对特别的用户对上述的一些功能进行调整。
关于如何开启和关闭用户的自定义功能,将会在下一章中详细描述。
用户设置->添加/更新用户
此页面可以添加新用户或者对现有的用户进行更新。
用户账号:
输入您需要更新的账号
启用用户隔离:
是否允许用户使用分用户隔离功能
给新建用户发送邮件:
是否给新建立的用户发送密码通知信。
2.用户隔离邮箱配额设置
用户设置->邮件策略
隔离区大小限制:
设定用户的磁盘配额,大于此数据后,会尊许FIFO的原则,删除最老的隔离邮件。
邮件有效期限制:
设定用户的隔离邮件的有效期,单位为天。
超过有效期的邮件将被移除。
梭子鱼分用户管理
1.隔离邮箱
用户设置->账号管理->隔离邮件箱
开启隔离功能的用户将会拥有自己的隔离邮箱,并且通过web来登陆自己的隔离邮箱进行相关的操作。
发送
用户可以选择隔离邮件,对隔离邮件进行在发送。
发送后的隔离邮件将从隔离邮箱中删除。
白名单
将发件人地址加入白名单。
Whitelist/NotSpam
将发件人加入白名单,并且对邮件进行贝页斯培训。
分类为垃圾邮件
对邮件进行贝页斯培训,将其评为垃圾邮件。
分类为正常邮件
对邮件进行贝页斯培训,将其评为正常邮件。
2.分用户黑白名单
用户设置->账号管理->选项->黑/白名单
允许的邮件地址及域
在此加入你希望列入白名单的发件人。
这个发件人列表将不被阻断,尽管它可能匹配了某些垃圾邮件规则。
是否进行病毒扫描和附件阻断将基于管理员的设置。
白名单可以采用完全email地址("***************"),域(""),或者域后缀("com")。
阻断的邮件地址及域
此处加入你希望列入黑名单的发件人。
位于这个列表中的发件人不管邮件内容都将被阻断,除非加入了白名单。
黑名单可以采用完全Email地址("***************"),域(""),或者域后缀("com")。
⏹梭子鱼分域设置
⏹梭子鱼LDAP设置
第四章梭子鱼垃圾邮件防火墙分域功能设置
梭子鱼分域设置
梭子鱼不仅能够很好的支持分用户功能,并且能够同时支持多域邮件系统。
对于不同的域,梭子鱼可以有不同的邮件服务器,不同的评分设置,不同的隔离设置。
分域设置具有弹性化的设置满足了企业对邮件系统个性化的需求。
域设置->域管理
在此页面上,我们可以很清晰地看到如何添加域名,以及已经存在的域名。
这些被添加的域都必须是后端邮件服务器真是存在的,提供服务的域。
用户的都是基于这些域来进行验证,隔离,扫描的。
这些域也被梭子鱼认为是本地域。
点击“编辑域”,我们可以打开分域控制窗口。
通过这个页面,我们可以进行域范围的设置,其中有1个参数需要注意
使用MX记录
当邮件服务器有多台,我们可以启用这个参数,并且在目的邮件服务器中填写相应的域。
当梭子鱼需要将邮件转发给后台服务器时,会对域进行MX记录查询,并对后台邮件服务器实现负载均衡。
梭子鱼LDAP设置
前面一章中,我们已经提高了关于收件人验证的问题。
当接收者的邮件地址是属于梭子鱼的本地域,那么梭子鱼会对收件人地址进行验证。
收件人验证的方法包括:
i.SMTPRCPTTOcommand(bydefault)
ii.LDAP
默认情况下,梭子鱼使用RCPTTO的验证方式,但是由于此种方式需要后端邮件服务器的配合,并且存在验证机制上的不安全,验证速度不够快等诸多不利因素,我们推荐使用LDAP的验证方式来加快验证速度,有效减少因为扫描邮件而带来的延迟。
LDAP验证需要满足下列条件:
1.LDAP需要一个绑定用户名和密码来绑定相关的验证数据库。
2.绑定后能够对数据库中所有的条目(节点)进行读取操作。
因为LDAP的设置和后台LDAP服务器关系密切,所以在这里我们只提供一些比较常见邮件服务器的LDAP设置,具体设置可以参考相关的文档。
至于什么是LDAP,可以参考:
http:
//www.ldapman.org/articles/intro_to_ldap.html
LDAPworkingwithKerioMailServer
Port:
389(636iftheyareusingsecureLDAP)
TLSisnotsupported.
BindDN:
***************(kerioLDAPservermustusingfullemailaddreessforquery)
Filter:
LDAPFilter:
(|(mail=${recipient_email}))
LDAPSearchBase:
cn=***************,fn=ContactRoot
Ifyouwanttoaccessallpublic,sharedandyourownfiles,leavethisentryblankorinsertfn=ContactRoot/cn=***************,fn=ContactRoot
LDAPUID:
cn
LDAPPrimaryEmai
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 梭子鱼 认证 管理员 高级 手册