洪新華

師范大學(xué)信息化辦公室 浙江 321004

0 引言

隨著E-mail應(yīng)用的普及，政府機(jī)構(gòu)、企業(yè)和教育機(jī)構(gòu)都競(jìng)相部署了郵件系統(tǒng)作為內(nèi)外交流的平臺(tái)。很多資料的傳送、學(xué)術(shù)交流、日常辦公等都轉(zhuǎn)向了電子郵件平臺(tái)，其重要性不言而喻，與此同時(shí)，垃圾郵件泛濫、頻繁被列入垃圾郵件Ip黑名單、黑客攻擊等問(wèn)題也與日劇增。本文電子郵件系統(tǒng)應(yīng)用現(xiàn)狀出發(fā)，闡明電子郵件系統(tǒng)面臨的問(wèn)題與挑戰(zhàn)，詳細(xì)闡明郵件服務(wù)器安全有效部署方案，確保郵件系統(tǒng)的安全性和有效性。

1 電子郵件系統(tǒng)應(yīng)用的現(xiàn)狀與威脅

在教育行業(yè)幾乎所有的高校的都部署了教師電子郵件平臺(tái)，供教師使用，也有相當(dāng)一部分學(xué)校部署了學(xué)生電子郵件平臺(tái)，也有一部分高校還部署了校友電子郵件系統(tǒng)平臺(tái)。電子郵件應(yīng)用已經(jīng)融入到了高校教學(xué)和科研的方方面面。郵件系統(tǒng)的健壯性、穩(wěn)定性和可用性，越來(lái)越重要。同時(shí)，垃圾郵件、病毒郵件也與日增加，甚至泛濫，一個(gè) 3000賬戶左右高校郵件系統(tǒng)，每日收到的垃圾郵件竟有3萬(wàn)多封。在原有的郵件系統(tǒng)基礎(chǔ)之上部署一個(gè)反垃圾郵件系統(tǒng)，也成必然的選擇。借助反垃圾郵件系統(tǒng)能夠過(guò)濾掉垃圾郵件和病毒郵件。

但隨著反垃圾郵件系統(tǒng)的應(yīng)用，發(fā)出的正常郵件，被對(duì)方郵件服務(wù)器拒收。大部分原因是因?yàn)榘l(fā)郵件服務(wù)器被列入了垃圾郵件服務(wù)器黑名單。國(guó)內(nèi)的實(shí)時(shí)黑名單服務(wù)(RBL)做的最大的就是 anti-spam. 它的官方網(wǎng)站是: www.anti-spam.org.cn，它提的實(shí)時(shí)黑名單服務(wù)(RBL)主要包括四個(gè)部分：CBL、CDL和CBL+、CBL-。CBL包含近期中國(guó)國(guó)內(nèi)的主要垃圾郵件發(fā)送源。CDL包含中國(guó)國(guó)內(nèi)動(dòng)態(tài)分配地址。CBL+為CBL和CDL的合集。CBL-是CBL+中去除了中國(guó)郵件服務(wù)運(yùn)營(yíng)商白名單服務(wù)(CML)的內(nèi)容后的黑名單。國(guó)外垃圾郵件黑名單中最厲害，影響最大的要數(shù) Spamhaus項(xiàng)目組，網(wǎng)址 http://www.spamhaus.org。只要被它列入黑名單，該郵件服務(wù)器就算癱瘓了，因?yàn)閾?jù)說(shuō)全球80%以上的服務(wù)器會(huì)拒收從你的郵件服務(wù)器發(fā)去的郵件。它有三種類型：XBL，SBL，ROKSO。影響排第二是Spamcop，網(wǎng)站 http://www.spamcop.net。國(guó)內(nèi)做郵件服務(wù)的，幾乎都會(huì)撞到它槍口上。它封堵那些不符合國(guó)際的標(biāo)準(zhǔn)的郵件服務(wù) IP地址，每次封堵數(shù)小時(shí)到數(shù)日。它影響至少40%的郵件。

另外，隨著用戶數(shù)量的增加和用戶對(duì)空間要求的增長(zhǎng)，郵件系統(tǒng)的存儲(chǔ)容量也日益增長(zhǎng)，總量巨大。這么大數(shù)據(jù)量一旦硬件故障，恢復(fù)起來(lái)相當(dāng)困難。這方面的安全威脅也不容忽視，需要合理規(guī)劃，做好備份數(shù)據(jù)備份。

如何在校園網(wǎng)有效部署郵件系統(tǒng)，使郵件系統(tǒng)既能將垃圾郵件攔在門外，又能使本系統(tǒng)發(fā)出的正常郵件能正常到達(dá)對(duì)方郵件服務(wù)器，是必須解決的問(wèn)題，也是本文探討的重點(diǎn)。

2 基于校園網(wǎng)郵件系統(tǒng)部署的幾個(gè)重要問(wèn)題

（1）部署在內(nèi)網(wǎng)還是部署在公網(wǎng)

郵件服務(wù)器部署在校園網(wǎng)內(nèi)網(wǎng)，可以減少來(lái)自互聯(lián)網(wǎng)的安全危險(xiǎn)。但要正常收發(fā)郵件，必須為郵件服務(wù)器打開(kāi)通往互聯(lián)網(wǎng)的通道。通過(guò)IP地址轉(zhuǎn)換(nat)，實(shí)現(xiàn)郵件系統(tǒng)的發(fā)送郵件，通過(guò)端口映射，實(shí)現(xiàn)郵件系統(tǒng)接收外來(lái)郵件。但要注意的是要為郵件服務(wù)器單獨(dú)做地址轉(zhuǎn)換，不要同其他內(nèi)網(wǎng)IP共用一個(gè)IP。因?yàn)槿绻灿靡粋€(gè)公網(wǎng)IP做nat，就很有可能被列入垃圾郵件黑名單。因?yàn)樾@網(wǎng)的很多電腦都缺乏有效的安全防范措施，容易感染木馬成為垃圾郵件發(fā)送僵尸。一旦感染木馬發(fā)送垃圾郵件或病毒郵件，該公網(wǎng)IP就會(huì)被列入黑名單，郵件服務(wù)器發(fā)送的信件就被拒收。

郵件服務(wù)器部署在校園網(wǎng)公網(wǎng)IP上，直接與外部網(wǎng)絡(luò)連接，能正常收發(fā)郵件，但外部安全威脅增加，如端口掃描、退信攻擊、DDoS攻擊等等。當(dāng)郵件服務(wù)器和反垃圾郵件系統(tǒng)不是在集成在一個(gè)系統(tǒng)上的時(shí)候，還不能有效的攔截垃圾郵件。我們往往將MX記錄指向反垃圾郵件系統(tǒng)，使外部郵件先到達(dá)反垃圾郵件系統(tǒng)，然后通過(guò)反垃圾郵件系統(tǒng)過(guò)濾攔截垃圾郵件和病毒郵件。但是一些垃圾郵件發(fā)送者不走M(jìn)X記錄發(fā)送郵件，而是直接連接我們的smtp端口來(lái)發(fā)送垃圾郵件，這個(gè)時(shí)候垃圾郵件就直接進(jìn)入到用戶的郵箱。如果我們通過(guò)防火墻只允許反垃圾郵件系統(tǒng)連接郵件服務(wù)器的 smtp端口，另一個(gè)問(wèn)題又出現(xiàn)了。有種反垃圾郵件規(guī)則，先檢查郵件系統(tǒng)域名的反向解析記錄，驗(yàn)證通過(guò)，進(jìn)一步telnet其smtp端口，如果不能telnet就判定其為垃圾郵件發(fā)送者，并將其列入黑名單。這時(shí)發(fā)送的郵件又被拒收了。因此，直接使用公網(wǎng)IP還是存在很多難以解決的問(wèn)題。

所以，將郵件系統(tǒng)部署在內(nèi)網(wǎng)，通過(guò)nat轉(zhuǎn)換成單獨(dú)的公網(wǎng)IP，同時(shí)將郵件系統(tǒng)域名指向該公網(wǎng)IP，MX記錄指向反垃圾郵件系統(tǒng)的IP，實(shí)現(xiàn)發(fā)送郵件，發(fā)送郵件不經(jīng)過(guò)反垃圾郵件系統(tǒng)(若經(jīng)過(guò)，用戶難以接受)。進(jìn)來(lái)的郵件先經(jīng)過(guò)反垃圾郵件系統(tǒng)(部署在公網(wǎng))，再由反垃圾郵件系統(tǒng)將信件直接發(fā)送到郵件服務(wù)器上。另外，開(kāi)放郵件系統(tǒng)nat后的公網(wǎng)IP的25端口，允許telnet，這樣以免因不能telnet smtp端口而被列入黑名單。

（2）郵件域名反向解析

國(guó)外的郵件服務(wù)器會(huì)拒收我們的郵件，有相當(dāng)一部分原因是因?yàn)槲覀儧](méi)做郵件系統(tǒng)的域名反向解析。國(guó)外郵件服務(wù)通過(guò)查詢域名反向解析記錄，來(lái)判定郵件的來(lái)源IP是不是對(duì)應(yīng)于郵件所聲明的真實(shí)郵件服務(wù)器。如果查詢不到，就判定為該郵件非法，并將其攔截。為此，一定要為郵件系統(tǒng)做好域名反向解析記錄。域名反向解析記錄(ptr記錄)不同于域名正向記錄(A記錄)。只有當(dāng)擁有整個(gè)C類地址的時(shí)，運(yùn)行商才可能授權(quán)。而我們往往只有某個(gè)C中的某個(gè)段的IP，此時(shí)只能通過(guò)提供IP的運(yùn)營(yíng)商來(lái)做域名反向解析記錄。Linux下的dig工具很有用，通過(guò)dig -x 郵件服務(wù)器IP+trace能跟蹤反向解析情況。

（3）郵件服務(wù)器使用的IP可信度問(wèn)題

由于國(guó)外反垃圾郵件組織會(huì)將某個(gè)段 IP地址全部列入到黑名單中，而該段IP地址中某些IP是無(wú)辜的，我們不能讓郵件系統(tǒng)成為無(wú)辜的受害者，就需要選擇一個(gè)可信度好的IP。通過(guò)反垃圾郵件組織網(wǎng)站查詢統(tǒng)計(jì)來(lái)看，總體而論，電信IP可信度優(yōu)于網(wǎng)通IP，而教科網(wǎng)IP的可信度則更高。擁有教科網(wǎng)、電信等多出口的高校，應(yīng)選用可信度高的教科網(wǎng)IP。

（4）郵件系統(tǒng)的雙備份

隨著用戶數(shù)量的增加，以及用戶對(duì)空間要求的增長(zhǎng)，郵件系統(tǒng)的存儲(chǔ)容量也日益增長(zhǎng)，總量巨大，3000的用戶量，每用1G空間，至少要有1T以上的實(shí)際容量，而實(shí)際數(shù)據(jù)量在600G以上。這么大數(shù)據(jù)量一旦硬件故障，恢復(fù)起來(lái)相當(dāng)困難。這方面的安全威脅也不容忽視，做好備份數(shù)據(jù)備份。由于郵件系統(tǒng)的重要性和備份過(guò)程的風(fēng)險(xiǎn)性，需要兩個(gè)備份才能有效保證郵件系統(tǒng)數(shù)據(jù)的安全性。一個(gè)手工定時(shí)增量備份，一個(gè)自動(dòng)定時(shí)增量備份，且兩個(gè)備份不能同時(shí)進(jìn)行?？紤]到備份數(shù)據(jù)對(duì)郵件系統(tǒng)性能的影響，備份的時(shí)間應(yīng)該放在用戶使用少的時(shí)候。一個(gè)可用的開(kāi)源備份軟件 rsync可以實(shí)現(xiàn)郵件系統(tǒng)的數(shù)據(jù)備份，并保持文件的原有屬性，如時(shí)間等，加上linux系統(tǒng)下crond或windows系統(tǒng)下的任務(wù)工具就能實(shí)現(xiàn)每天或每周定時(shí)備份。首次同步600G左右的數(shù)據(jù)，100M網(wǎng)路帶寬(已經(jīng)足夠)，15小時(shí)左右能完成同步。對(duì)于 3000左右用戶的每日增量同步，1個(gè)小時(shí)左右可以完成。

（5）郵件系統(tǒng)的管理

再健壯、穩(wěn)定的系統(tǒng)離開(kāi)了人的管理將變得脆弱且不堪一擊。郵件系統(tǒng)也一樣離不開(kāi)人的管理。郵件系統(tǒng)管理員應(yīng)當(dāng)定時(shí)檢查郵件系統(tǒng)運(yùn)行情況、反垃圾郵件系統(tǒng)運(yùn)行情況和郵件數(shù)據(jù)備份情況，每天登錄反垃圾郵件組織網(wǎng)站檢查IP 是否被列入黑名單等，只有這樣才能及時(shí)發(fā)現(xiàn)問(wèn)題并解決問(wèn)題。

3 總結(jié)

隨著高校信息化水平的提高，郵件系統(tǒng)越來(lái)越重要，而安全危險(xiǎn)并未減少反而增加，規(guī)劃部署位置與方式，做好郵件域名解析，選擇可信IP，做好郵件數(shù)據(jù)雙備份并實(shí)施有效的管理，這樣才能保證郵件系統(tǒng)有效穩(wěn)定地運(yùn)行。

[1] 反垃圾郵件技術(shù)發(fā)展.[EB/OL] http://mail.cstnet.cn/cstnet/help/security.html.

[2] 常用的RBL服務(wù)器列表、介紹及Postfix配置. http://blog.chinaunix.net/u2/73230/showart_1120259.html.

[3] 第 25次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告.[EB/OL]http://www.cnnic.cn/html/Dir/2010/01/15/5767.htm.

[4] 王波,黃迪明.反垃圾郵件技術(shù)網(wǎng)絡(luò)部署研究[J].計(jì)算機(jī)應(yīng)用.2004.

[5] 孔慶大.垃圾郵件及其防范技術(shù)[J].甘肅農(nóng)業(yè).2005.