基于校园网的邮件系统有效部署的探讨

2010-03-21洪新华

网络安全技术与应用 2010年7期

洪新华

师范大学信息化办公室浙江 321004

0 引言

随着E-mail应用的普及，政府机构、企业和教育机构都竞相部署了邮件系统作为内外交流的平台。很多资料的传送、学术交流、日常办公等都转向了电子邮件平台，其重要性不言而喻，与此同时，垃圾邮件泛滥、频繁被列入垃圾邮件Ip黑名单、黑客攻击等问题也与日剧增。本文电子邮件系统应用现状出发，阐明电子邮件系统面临的问题与挑战，详细阐明邮件服务器安全有效部署方案，确保邮件系统的安全性和有效性。

1 电子邮件系统应用的现状与威胁

在教育行业几乎所有的高校的都部署了教师电子邮件平台，供教师使用，也有相当一部分学校部署了学生电子邮件平台，也有一部分高校还部署了校友电子邮件系统平台。电子邮件应用已经融入到了高校教学和科研的方方面面。邮件系统的健壮性、稳定性和可用性，越来越重要。同时，垃圾邮件、病毒邮件也与日增加，甚至泛滥，一个 3000账户左右高校邮件系统，每日收到的垃圾邮件竟有3万多封。在原有的邮件系统基础之上部署一个反垃圾邮件系统，也成必然的选择。借助反垃圾邮件系统能够过滤掉垃圾邮件和病毒邮件。

但随着反垃圾邮件系统的应用，发出的正常邮件，被对方邮件服务器拒收。大部分原因是因为发邮件服务器被列入了垃圾邮件服务器黑名单。国内的实时黑名单服务(RBL)做的最大的就是 anti-spam. 它的官方网站是: www.anti-spam.org.cn，它提的实时黑名单服务(RBL)主要包括四个部分：CBL、CDL和CBL+、CBL-。CBL包含近期中国国内的主要垃圾邮件发送源。CDL包含中国国内动态分配地址。CBL+为CBL和CDL的合集。CBL-是CBL+中去除了中国邮件服务运营商白名单服务(CML)的内容后的黑名单。国外垃圾邮件黑名单中最厉害，影响最大的要数 Spamhaus项目组，网址 http://www.spamhaus.org。只要被它列入黑名单，该邮件服务器就算瘫痪了，因为据说全球80%以上的服务器会拒收从你的邮件服务器发去的邮件。它有三种类型：XBL，SBL，ROKSO。影响排第二是Spamcop，网站 http://www.spamcop.net。国内做邮件服务的，几乎都会撞到它枪口上。它封堵那些不符合国际的标准的邮件服务 IP地址，每次封堵数小时到数日。它影响至少40%的邮件。

另外，随着用户数量的增加和用户对空间要求的增长，邮件系统的存储容量也日益增长，总量巨大。这么大数据量一旦硬件故障，恢复起来相当困难。这方面的安全威胁也不容忽视，需要合理规划，做好备份数据备份。

如何在校园网有效部署邮件系统，使邮件系统既能将垃圾邮件拦在门外，又能使本系统发出的正常邮件能正常到达对方邮件服务器，是必须解决的问题，也是本文探讨的重点。

2 基于校园网邮件系统部署的几个重要问题

（1）部署在内网还是部署在公网

邮件服务器部署在校园网内网，可以减少来自互联网的安全危险。但要正常收发邮件，必须为邮件服务器打开通往互联网的通道。通过IP地址转换(nat)，实现邮件系统的发送邮件，通过端口映射，实现邮件系统接收外来邮件。但要注意的是要为邮件服务器单独做地址转换，不要同其他内网IP共用一个IP。因为如果共用一个公网IP做nat，就很有可能被列入垃圾邮件黑名单。因为校园网的很多电脑都缺乏有效的安全防范措施，容易感染木马成为垃圾邮件发送僵尸。一旦感染木马发送垃圾邮件或病毒邮件，该公网IP就会被列入黑名单，邮件服务器发送的信件就被拒收。

邮件服务器部署在校园网公网IP上，直接与外部网络连接，能正常收发邮件，但外部安全威胁增加，如端口扫描、退信攻击、DDoS攻击等等。当邮件服务器和反垃圾邮件系统不是在集成在一个系统上的时候，还不能有效的拦截垃圾邮件。我们往往将MX记录指向反垃圾邮件系统，使外部邮件先到达反垃圾邮件系统，然后通过反垃圾邮件系统过滤拦截垃圾邮件和病毒邮件。但是一些垃圾邮件发送者不走MX记录发送邮件，而是直接连接我们的smtp端口来发送垃圾邮件，这个时候垃圾邮件就直接进入到用户的邮箱。如果我们通过防火墙只允许反垃圾邮件系统连接邮件服务器的 smtp端口，另一个问题又出现了。有种反垃圾邮件规则，先检查邮件系统域名的反向解析记录，验证通过，进一步telnet其smtp端口，如果不能telnet就判定其为垃圾邮件发送者，并将其列入黑名单。这时发送的邮件又被拒收了。因此，直接使用公网IP还是存在很多难以解决的问题。

所以，将邮件系统部署在内网，通过nat转换成单独的公网IP，同时将邮件系统域名指向该公网IP，MX记录指向反垃圾邮件系统的IP，实现发送邮件，发送邮件不经过反垃圾邮件系统(若经过，用户难以接受)。进来的邮件先经过反垃圾邮件系统(部署在公网)，再由反垃圾邮件系统将信件直接发送到邮件服务器上。另外，开放邮件系统nat后的公网IP的25端口，允许telnet，这样以免因不能telnet smtp端口而被列入黑名单。

（2）邮件域名反向解析

国外的邮件服务器会拒收我们的邮件，有相当一部分原因是因为我们没做邮件系统的域名反向解析。国外邮件服务通过查询域名反向解析记录，来判定邮件的来源IP是不是对应于邮件所声明的真实邮件服务器。如果查询不到，就判定为该邮件非法，并将其拦截。为此，一定要为邮件系统做好域名反向解析记录。域名反向解析记录(ptr记录)不同于域名正向记录(A记录)。只有当拥有整个C类地址的时，运行商才可能授权。而我们往往只有某个C中的某个段的IP，此时只能通过提供IP的运营商来做域名反向解析记录。Linux下的dig工具很有用，通过dig -x 邮件服务器IP+trace能跟踪反向解析情况。

（3）邮件服务器使用的IP可信度问题

由于国外反垃圾邮件组织会将某个段 IP地址全部列入到黑名单中，而该段IP地址中某些IP是无辜的，我们不能让邮件系统成为无辜的受害者，就需要选择一个可信度好的IP。通过反垃圾邮件组织网站查询统计来看，总体而论，电信IP可信度优于网通IP，而教科网IP的可信度则更高。拥有教科网、电信等多出口的高校，应选用可信度高的教科网IP。

（4）邮件系统的双备份

随着用户数量的增加，以及用户对空间要求的增长，邮件系统的存储容量也日益增长，总量巨大，3000的用户量，每用1G空间，至少要有1T以上的实际容量，而实际数据量在600G以上。这么大数据量一旦硬件故障，恢复起来相当困难。这方面的安全威胁也不容忽视，做好备份数据备份。由于邮件系统的重要性和备份过程的风险性，需要两个备份才能有效保证邮件系统数据的安全性。一个手工定时增量备份，一个自动定时增量备份，且两个备份不能同时进行。考虑到备份数据对邮件系统性能的影响，备份的时间应该放在用户使用少的时候。一个可用的开源备份软件 rsync可以实现邮件系统的数据备份，并保持文件的原有属性，如时间等，加上linux系统下crond或windows系统下的任务工具就能实现每天或每周定时备份。首次同步600G左右的数据，100M网路带宽(已经足够)，15小时左右能完成同步。对于 3000左右用户的每日增量同步，1个小时左右可以完成。

（5）邮件系统的管理

再健壮、稳定的系统离开了人的管理将变得脆弱且不堪一击。邮件系统也一样离不开人的管理。邮件系统管理员应当定时检查邮件系统运行情况、反垃圾邮件系统运行情况和邮件数据备份情况，每天登录反垃圾邮件组织网站检查IP 是否被列入黑名单等，只有这样才能及时发现问题并解决问题。