洪新华
师范大学信息化办公室 浙江 321004
随着E-mail应用的普及,政府机构、企业和教育机构都竞相部署了邮件系统作为内外交流的平台。很多资料的传送、学术交流、日常办公等都转向了电子邮件平台,其重要性不言而喻,与此同时,垃圾邮件泛滥、频繁被列入垃圾邮件Ip黑名单、黑客攻击等问题也与日剧增。本文电子邮件系统应用现状出发,阐明电子邮件系统面临的问题与挑战,详细阐明邮件服务器安全有效部署方案,确保邮件系统的安全性和有效性。
在教育行业几乎所有的高校的都部署了教师电子邮件平台,供教师使用,也有相当一部分学校部署了学生电子邮件平台,也有一部分高校还部署了校友电子邮件系统平台。电子邮件应用已经融入到了高校教学和科研的方方面面。邮件系统的健壮性、稳定性和可用性,越来越重要。同时,垃圾邮件、病毒邮件也与日增加,甚至泛滥,一个 3000账户左右高校邮件系统,每日收到的垃圾邮件竟有3万多封。在原有的邮件系统基础之上部署一个反垃圾邮件系统,也成必然的选择。借助反垃圾邮件系统能够过滤掉垃圾邮件和病毒邮件。
但随着反垃圾邮件系统的应用,发出的正常邮件,被对方邮件服务器拒收。大部分原因是因为发邮件服务器被列入了垃圾邮件服务器黑名单。国内的实时黑名单服务(RBL)做的最大的就是 anti-spam. 它的官方网站是: www.anti-spam.org.cn,它提的实时黑名单服务(RBL)主要包括四个部分:CBL、CDL和CBL+、CBL-。CBL包含近期中国国内的主要垃圾邮件发送源。CDL包含中国国内动态分配地址。CBL+为CBL和CDL的合集。CBL-是CBL+中去除了中国邮件服务运营商白名单服务(CML)的内容后的黑名单。国外垃圾邮件黑名单中最厉害,影响最大的要数 Spamhaus项目组,网址 http://www.spamhaus.org。只要被它列入黑名单,该邮件服务器就算瘫痪了,因为据说全球80%以上的服务器会拒收从你的邮件服务器发去的邮件。它有三种类型:XBL,SBL,ROKSO。影响排第二是Spamcop,网站 http://www.spamcop.net。国内做邮件服务的,几乎都会撞到它枪口上。它封堵那些不符合国际的标准的邮件服务 IP地址,每次封堵数小时到数日。它影响至少40%的邮件。
另外,随着用户数量的增加和用户对空间要求的增长,邮件系统的存储容量也日益增长,总量巨大。这么大数据量一旦硬件故障,恢复起来相当困难。这方面的安全威胁也不容忽视,需要合理规划,做好备份数据备份。
如何在校园网有效部署邮件系统,使邮件系统既能将垃圾邮件拦在门外,又能使本系统发出的正常邮件能正常到达对方邮件服务器,是必须解决的问题,也是本文探讨的重点。
(1)部署在内网还是部署在公网
邮件服务器部署在校园网内网,可以减少来自互联网的安全危险。但要正常收发邮件,必须为邮件服务器打开通往互联网的通道。通过IP地址转换(nat),实现邮件系统的发送邮件,通过端口映射,实现邮件系统接收外来邮件。但要注意的是要为邮件服务器单独做地址转换,不要同其他内网IP共用一个IP。因为如果共用一个公网IP做nat,就很有可能被列入垃圾邮件黑名单。因为校园网的很多电脑都缺乏有效的安全防范措施,容易感染木马成为垃圾邮件发送僵尸。一旦感染木马发送垃圾邮件或病毒邮件,该公网IP就会被列入黑名单,邮件服务器发送的信件就被拒收。
邮件服务器部署在校园网公网IP上,直接与外部网络连接,能正常收发邮件,但外部安全威胁增加,如端口扫描、退信攻击、DDoS攻击等等。当邮件服务器和反垃圾邮件系统不是在集成在一个系统上的时候,还不能有效的拦截垃圾邮件。我们往往将MX记录指向反垃圾邮件系统,使外部邮件先到达反垃圾邮件系统,然后通过反垃圾邮件系统过滤拦截垃圾邮件和病毒邮件。但是一些垃圾邮件发送者不走MX记录发送邮件,而是直接连接我们的smtp端口来发送垃圾邮件,这个时候垃圾邮件就直接进入到用户的邮箱。如果我们通过防火墙只允许反垃圾邮件系统连接邮件服务器的 smtp端口,另一个问题又出现了。有种反垃圾邮件规则,先检查邮件系统域名的反向解析记录,验证通过,进一步telnet其smtp端口,如果不能telnet就判定其为垃圾邮件发送者,并将其列入黑名单。这时发送的邮件又被拒收了。因此,直接使用公网IP还是存在很多难以解决的问题。
所以,将邮件系统部署在内网,通过nat转换成单独的公网IP,同时将邮件系统域名指向该公网IP,MX记录指向反垃圾邮件系统的IP,实现发送邮件,发送邮件不经过反垃圾邮件系统(若经过,用户难以接受)。进来的邮件先经过反垃圾邮件系统(部署在公网),再由反垃圾邮件系统将信件直接发送到邮件服务器上。另外,开放邮件系统nat后的公网IP的25端口,允许telnet,这样以免因不能telnet smtp端口而被列入黑名单。
(2)邮件域名反向解析
国外的邮件服务器会拒收我们的邮件,有相当一部分原因是因为我们没做邮件系统的域名反向解析。国外邮件服务通过查询域名反向解析记录,来判定邮件的来源IP是不是对应于邮件所声明的真实邮件服务器。如果查询不到,就判定为该邮件非法,并将其拦截。为此,一定要为邮件系统做好域名反向解析记录。域名反向解析记录(ptr记录)不同于域名正向记录(A记录)。只有当拥有整个C类地址的时,运行商才可能授权。而我们往往只有某个C中的某个段的IP,此时只能通过提供IP的运营商来做域名反向解析记录。Linux下的dig工具很有用,通过dig -x 邮件服务器IP+trace能跟踪反向解析情况。
(3)邮件服务器使用的IP可信度问题
由于国外反垃圾邮件组织会将某个段 IP地址全部列入到黑名单中,而该段IP地址中某些IP是无辜的,我们不能让邮件系统成为无辜的受害者,就需要选择一个可信度好的IP。通过反垃圾邮件组织网站查询统计来看,总体而论,电信IP可信度优于网通IP,而教科网IP的可信度则更高。拥有教科网、电信等多出口的高校,应选用可信度高的教科网IP。
(4)邮件系统的双备份
随着用户数量的增加,以及用户对空间要求的增长,邮件系统的存储容量也日益增长,总量巨大,3000的用户量,每用1G空间,至少要有1T以上的实际容量,而实际数据量在600G以上。这么大数据量一旦硬件故障,恢复起来相当困难。这方面的安全威胁也不容忽视,做好备份数据备份。由于邮件系统的重要性和备份过程的风险性,需要两个备份才能有效保证邮件系统数据的安全性。一个手工定时增量备份,一个自动定时增量备份,且两个备份不能同时进行。考虑到备份数据对邮件系统性能的影响,备份的时间应该放在用户使用少的时候。一个可用的开源备份软件 rsync可以实现邮件系统的数据备份,并保持文件的原有属性,如时间等,加上linux系统下crond或windows系统下的任务工具就能实现每天或每周定时备份。首次同步600G左右的数据,100M网路带宽(已经足够),15小时左右能完成同步。对于 3000左右用户的每日增量同步,1个小时左右可以完成。
(5)邮件系统的管理
再健壮、稳定的系统离开了人的管理将变得脆弱且不堪一击。邮件系统也一样离不开人的管理。邮件系统管理员应当定时检查邮件系统运行情况、反垃圾邮件系统运行情况和邮件数据备份情况,每天登录反垃圾邮件组织网站检查IP 是否被列入黑名单等,只有这样才能及时发现问题并解决问题。
随着高校信息化水平的提高,邮件系统越来越重要,而安全危险并未减少反而增加,规划部署位置与方式,做好邮件域名解析,选择可信IP,做好邮件数据双备份并实施有效的管理,这样才能保证邮件系统有效稳定地运行。
[1] 反垃圾邮件技术发展.[EB/OL] http://mail.cstnet.cn/cstnet/help/security.html.
[2] 常用的RBL服务器列表、介绍及Postfix配置. http://blog.chinaunix.net/u2/73230/showart_1120259.html.
[3] 第 25次中国互联网络发展状况统计报告.[EB/OL]http://www.cnnic.cn/html/Dir/2010/01/15/5767.htm.
[4] 王波,黄迪明.反垃圾邮件技术网络部署研究[J].计算机应用.2004.
[5] 孔庆大.垃圾邮件及其防范技术[J].甘肃农业.2005.