现在互联网垃圾信越来越多,如果设置好你的MailServer的安全设置是一个重要的问题。现在以最流行的MDaemon Mail Server为例,我们来讨论一下MDaemon的安全设置。
MDaemon的安全设置在Setup菜单下面的“Security Settings”。其中有以下几个选项:
-Address Suppression(地址抑制):列出不允许通过你的MailServer发信的地址。如果收到这个列表中的地址发来的邮件,可以选择接受并放到“坏信队列”,或者在SMTP的进程中拒绝而从不接收(甚至不储存在你Server的临时目录)。这个功能用来控制一些有问题的用户,例如总是恶性发大量邮件。这里支持通配符,例如"*@hotmail.com"和"baduser@"。可以设置所有域和某个域有效。
-IP Screening(IP掩蔽):给你希望允许或者禁止的Server指定IP地址。如果不允许连接,从列表的IP地址来的尝试连接将会被拒绝和马上取消。当你的机器具备多个IP地址,在这里设置很方便。支持设置"206.*.*.*"或者"206.101.*.130"。
-Host Screening(站点掩蔽):给你希望允许或者禁止的Server指定站点(域名)。和IP掩蔽一样,不过这个是让你指定站点名字。支持设置"*.sample.com"或者"sample.*"。
-IP Shielding(IP掩护盾):如果List中指定的域名尝试连接你的服务器,IP地址必须和你在这里的地址匹配。这里有另外一个选项:"给合法的本地用户的邮件例外"。例如总是很多用户使用"54fg56ff@yahoo.com"或者"tg7hj47r6@hotmail.com"等假的名字来发信给你的时候,你可以在这里设置yahoo.com和hotmail.com的真正IP地址匹配。但是互联网上的站点太多,有时实在设不及,还得和其他方法并用。
-SMTP Authentication(SMTP认证):当用户发信到MDaemon Server,如果没有先认证身份,用几种选项来指示MDaemon的行为。(MDaemon支持从Windows NT导入已经认证的用户)
1. Authenticated senders are valid regardless of the IP they are using
已认证的用户免除IP Shielding(IP掩护盾)限制,无论使用什么IP都可以。
2. Authenticated users are exempt from the POP before SMTP requirement
如果以下有使用"SMTP前先POP"的安全功能,这能使已认证的用户免除这个限制。
3. Authentication is always required when mail is from local accounts
任何声称来自本地用户的信件都要求先被认证
4. MAIL FROM "Postmaster" requires an authenticated session
从"Postmaster"发来的信也需要一个认证的进程。发垃圾信的人和黑客知道有"Postmaster"的存在,他们可能通过这个帐号来向你的服务器发邮件。你可以选择这个设置以防止他们这么做。
5. Authentication credentials must match those of the email sender
认证证书必须和发信人拥有的匹配。这防止本地用户使用本系统其他用户地址发信。
6. Global AUTH password
使用通用的AUTH密码。如果使用了上面”已认证用户可以免除IP限制",MDaemon给动态NT认证的用户帐号配置必须使用这个通用的密码来代替他们的普通的NT密码。
-POP Before SMTP(SMTP前先POP):用于每个MDaemon用户先存取他的Mailbox,然后才允许通过MDaemon发信,这样就验证了用户有一个合法的用户帐号,允许使用这个Email系统。这个是减少非法用户使用你的Mail Server的最简单方便的方法,就是现在各大ISP常用的方法。但是同时要注意要求用户在客户端做相应的设置。
-Spam Blocker(拒绝垃圾信):允许指定几个ORDB和MAPS RBL类型的站点,每次当用户要发信到你的Server的时候,这些站点都会被检查。如果连接的IP地址是在站点黑名单中,这些信息就会被拒绝或者被做上标记。要注意的是有些站点是被错误地记录进黑名单的。
如果要查询垃圾信信息和如何使用ORDB或者MAPS RBL来控制和中止垃圾信,可以参考:http://www.ordb.org和http://www.mail-abuse.com/rbl/。
这个Spam Blocker有几个选项:
1. Flag messages from blacklisted sites but go ahead and accept them
设置这个,MDaemon将不会拒收来自黑名单站点的信件,但是这些信件会被加上一个"X-RBL-Warning"的告诫信头。你也可以使用内容过滤功能来搜索有这些信头的信件,而对这些信件做出相应的举动。MDaemon还会给每个用户自动建立一个"垃圾邮件"的IMAP目录,并生成相应的IMAP邮件规则,把它发现的有这些"X-RBL-Warning"信头的信件放到该目录下。虽然并不一定准确安全,但是这也是一个简单的方便帮助用户快速鉴别垃圾邮件。这样用户只需要不定期的检查这个"垃圾邮件"的目录,确认有些重要的信件没有意外的被放到该目录(有时会发生这种情况)。关于这个,大家可以参考一下http://www.hotmail.com的网页,他们就是这样做的。
2. Check "Received" headers within SMTP collected messages
检查SMTP收到的信件中标记在"Received"信头中的IP地址。这个对已经收到的信件的策略用处不大,如果上面已经设置了"SMTP之前先POP",这里就不需要了。
3. Check "Received" headers within POP collected messages
检查DomainPOP或者MultiPOP收到的信件中标记在"Received"信头中的IP地址。
