邮件系统的安全运维

２０１０年第１期 ＳＣＩＥＮＣＥ＆ＴＥＣＨＮＯＬＯＧＹ ＩＮＦＯＲＭＡＴＩＯＮ Ｏ ＩＴ论坛０ 科技信ＪＩ

邮件系统的安全运维

田建荣王舂永

（中国海洋大学信息科学与工程学院 山东 青岛 ２６６００３）

Ｉ摘要】２１世纪的因特网世界里，网络威胁无处不在，其中电子邮件系统所带来的安全隐患巨大却往往被忽视，最新的信息安全现状报

告指出，通过垃圾邮件和病毒邮件感染的比重已经超过ｗｅｂ威胁，成为新型感染的最主要途径。本文主要介绍当前邮件系统的主流架构、实施

技巧及针对各种垃圾邮件技术所出现的反垃圾邮件技术并通过实例来介绍企业邮件系统的安全运维。

【关键词】电子邮件；病毒邮件；垃圾邮件；反垃圾邮件系统 ．

０引言

安全，采用了内部专业网全省互联和分支结构独立的方式接人因特

网，且这两个网络通过两台防火墙实行内外网完全物理隔离，所以首

电子邮件在随互联网产生至今的３０多年里，改变了人类的生活

先要看一下企业Ａ的ＤＭＺ区的网络拓扑结构，如下图所示：

与工作方式，但是随之而来的垃圾邮件从来没停止过对人类的干扰，

无论是使用网站运营商的免费电子邮件，还是使用公司自己的电邮，

只要在因特网上使用．用户或多或少都收到过垃圾邮件甚至是病毒邮

件。

随着过滤垃圾邮件技术的发展以及人们对发送垃圾邮件者的谴

责，垃圾邮件的制造者不得不采取更为隐蔽的技术，目前被利用最多

的垃圾邮件发送技巧有：

１）盗取身份，来自“好人”的身份欺骗；

２）图片垃圾邮件及多层图片垃圾邮件；

３）躲避全球ＩＰ监控及信誉评分；

４）躲避内容过滤，夹带ＵＲＬ或者电话号码。

垃圾邮件被认为是最有效和最廉价的广告形式，传统的控制方法

业内

网络

图一

已经无法有效过滤垃圾邮件。目前被使用最多的反垃圾邮件的技巧

２．１拓扑解析

有：

ＤＭＺ区前后都有ｃｉｓｃｏ防火墙，ｄｍｚ区向外的地址网段是

１）发件人特征识别技术Ｐｒｅｄｉｃｔｉｖｅ Ｓｅｎｄｅｒ Ｐｒｏ＇ｉｆｌｉｎｇ；

１９２．０．０．０／２４，ｄｍｚ区向内的地址网段为１９２．Ｉ．１．０／２４，需要向外提供服

２）信誉评分技术ＩＰ Ｒｅｐｕｔｍｉｏｎ；

务的服务器在防火墙上做地址映射。服务器本身的网卡使用虚地址。

３）多重图片识别技术ＯＣＲ；

４）意图分析技术Ｉｎｔｅｎｔｉｏｎ Ａｎａｌｙｓｉｓ。

我们在部署邮件系统和反垃圾邮件网关时规划使用的地址为：

１９２．０．０．１０和１９２．０．０．２０．因为在互联网上使用．还需要向网络运营商

随着垃圾邮件的泛滥，反垃圾邮件网关的作用日益重要，上述反

申请公网ＩＰ，并申请做邮件域名解析，假设申请到的公网ＩＰ为

垃圾邮件技术可以通过在邮件服务器上安装相应的反垃圾软件来拦

２２０．０．１０．１０．要使用的域名为ａａａ．ｃｏｍ．ｃｎ。因为不需要被内网计算机访

截垃圾邮件，也可以通过在邮件服务器前端部署硬件网关的方式实

问，所以向内的虚拟ＩＰ地址不用设。也不需要连接下面的交换设备。

现。下面我们通过讲解邮件服务器实施方案和在邮件服务器之前部署

邮件服务器和反垃圾网关在物理位置上并列在ＤＭＺ区交换机下，并

硬件反垃圾邮件网关为例，解析邮件系统的安全运维。

连接着外部防火墙。通过外部防火墙的地址映射，把邮件域名所对应

的公网ＩＰ的２５号端口指向反垃圾网关设备，这样进入到企业邮箱的

１ 邮件系统需求方案

邮件就会先经过反垃圾网关设备的过滤，只有安全的邮件才会投递给

个组织要想拥有自己的能在因特网上运行的邮件系统，通常有

邮件服务器。所以从逻辑位置上看。反垃圾网关在邮件服务器的前方，

两种方案：一是向邮件服务提供商直接申请购买基于自己域名的企业

起保护作用。当然在物理上反垃圾也可以串在邮件服务器之前，而不

邮箱；二是自己部署一套邮件系统。再向网络服务运营商申请一公网

选择将其串在邮件服务器之前的原因是防止反垃圾服务器的损坏时

ＩＰ地址并做邮箱域名解析和Ｍｘ解析即可。

邮件服务器接收不到邮件，在这种旁路方式的连接中，当反垃圾硬件

一

首先，我们简单介绍第一种方案，企业只需向邮件服务提供商直

无法使用时，只需找相同位置的其它一服务器（事先装好反垃圾过滤

接购买邮箱，往后每年续费即可。但是这也带来了几个弊端：（１）邮件

软件）．把ＩＰ地址改成反垃圾的使用地址１９２．０．０．２０即可。

管理员权限在供应商那里，无法保证对组织内帐户的有效管理；（２）安

２．２邮件服务器设置

全性无法保障，可能会造成企业账号信息的泄密；（３）如果邮箱出了问

设置ＩＰ地址．一般为ＤＭＺ区地址。此处设一块网卡的地址为：

题，就只有等待提供商去处理，可能会影响正常的办公。像Ｇｏｏｇｌｅ公

１９２．０．０．１０．另一块网卡禁用。

司提供的Ｇｍａｉｌ邮箱，在２００９年２月和４月份就出现过大规模的故

安装邮件服务器软件，一般通过安装向导需要做一定的设置。不

障，～度使用户无法访问．后来又发生了故障造成部分帐户邮件内容

需要变动的话默认即可完成安装。

丢失的问题。

启动服务设置：把邮件服务器所需要启动的服务项添加到操作系

在我们了解了第一种方案的弊端后，再来了解下第二种方案。当

统的的自动启动列表。

企业实施这一方案时．只需购买一套邮件系统和一台硬件服务器。在

反垃圾网关内网ＩＰ识别：一般在邮件设置文件中改写，因软件系

服务器上安装邮件系统，然后去运营商那里做一下域名解析，邮件系

统而异。

统就可以在互联网上使用了，而且只要制定好备份策略即可保证数据

２．３制定全局邮件备份的计划任务

的安全。这样做免去了第一种方案的诸多弊端，因而在各企事业单位

完全备份和增量备份搭配使用，如在每个周末做一次完全备份，

中被广泛使用

而在每个工作日服务器空闲时间做一次增量备份，完全备份选择覆盖

２邮件系统具体部署

上一次的完全备份文档，而增量备份选择附件到完全备份和已有的增

量备份文档中。当出现问题时，只需先把完全备份文档进行还原，在此

下面我们具体探讨如何通过第二种方案在企业中部署一套基于

基础上在依次还原各增量备份文件就可。

因特网的邮件系统并利用硬件反垃圾邮件网关加以保护。 ２．４反垃圾邮件网关的设置

假设大型企业Ａ要部署一套邮件系统，由于该单位比较注重信息

反垃圾邮件网关第一次配置时无法通过本身的管理口进行远程

加