校园网络邮件系统故障处理及策略
2012-02-18王艳
王艳
【摘 要】电子邮件的普遍应用给人们工作生活带来了很大的便利,电子邮件服务是校园网络最常用的服务之一,网络邮件邮件系统的故障给校内科研及教学工作带来了极大的麻烦,如何应对校园网邮件系统故障及提出相应的处理解决策略至关重要。本文针对校园网邮件系统遇到的问题从技术和管理两个角度来阐述邮件系统故障的解决方案。
【关键词】校园网;邮件系统;故障;策略
电子邮件是互联网上最重要的服务之一,近10年来在高校中逐步普及,目前大多高校都拥有自己的电子邮件系统。但是,许多高校在维护校园网电子邮件服务方面都会遇到各种问题,常常受到病毒、木马,网络钓鱼,垃圾邮件多方面的威胁,破坏计算机及欺诈收件人,损害人们对邮件系统的信任。例如,大多数校园网邮箱用户不断受到垃圾邮件的侵扰,不但浪费带宽,还影响用户的工作效率,有时候还会因为病毒的入侵使计算机系统瘫痪;有时候,本地邮箱对外发信会被某些邮箱当做垃圾邮件,使得对联络受到阻碍。因此,如何处理这些问题,保障邮件服务可靠、通畅,是高校维护自己的邮件系统面临的非常现实的问题。
我们从可能出现的问题来谈谈高校如何解决邮件服务的可靠、安全性问题。
1 校园网用户不断受到垃圾邮件的侵扰
根据2012年二季度中国网民每周收到垃圾邮件封数为15.3封,环比(比上季度调查相比)下降了1.4封,同比上涨2.5封。中国网民平均每周收到垃圾邮件比例为34.7%,环比下降了0.9个百分点,同比上涨1.5个百分点。可见,垃圾邮件泛滥还是很严重的。应对用户受到大面积的垃圾邮件侵扰,首先应当检查防垃圾邮件网关是否正常工作。高校在架设邮件系统时,会在其前端架设反防垃圾邮件网关,在DNS里设置MX记录时,会将防垃圾网关优先级别设置得更高,通常反垃圾邮件网关和邮件服务器分属两台独立的设备上,当网管工作人员做校园网服务器组防火墙规划策略时,需要留意对外网的反垃圾网关服务器的POP3协议端口是否正常打开,因为当有信件到达时,按照DNS里MX记录的优先级别,首先会到达反垃圾邮件网关,如果POP3协议的常规端口110被防火墙屏蔽,信件会绕过网关,直接到达邮件服务器,用户郵箱中就会被充斥大量的垃圾邮件。
2 校园网用户对外发送的邮件会被某些邮件系统当做垃圾邮件处理
遇到这样的问题,首先检查是否正确设置反向DNS解析。某些邮件服务系统通过查询对方服务器的PTR记录中域名和IP是否对应来验证邮件是否是由真实域名发送,而垃圾邮件发送者往往利用虚假域名来发送邮件,采用阻断非法域名的方法来防止垃圾邮件是一种可行的方法。当邮件服务器接收到邮件后,根据邮件发送者的IP地址,邮件服务器会对该IP进行反向DNS查询,来确定发信者是否有固定的域名。基于此种原因,校园网邮件服务器时,为了防止被其他邮件服务器拒收,也应当正确配置DNS里的反向解析文件里的PTR记录。
某些高校或机构的邮件系统防垃圾网关常引用如中国反垃圾邮件联盟此类机构提供的黑名单(CBL),也会造成正常邮件被拒收。黑名单是一种被广泛应用的垃圾邮件过滤技术,它采用列表方式,将邮件服务器的IP地址、域名或者E-mail地址列入其中,通常把这种列表称为“黑名单”,当网络中的服务器收到邮件后,先到“黑名单”上去查找,如果发件人在名单中,就拒绝接受。黑名单基于用户投诉和采样积累而建立的数据库。这些数据库保存了频繁发送垃圾邮件的主机名或者IP地址,供邮件服务器进行查询,最后就可以决定是否拒收邮件。黑名单通常由一些非营利性的反垃圾邮件机构来提供的,如中国反垃圾邮件联盟(http://www.anti-spam.org.cn/)。他们采集并分析整理目前的垃圾邮件源,该地址属于恶意或无意的垃圾邮件来源,来自它的邮件属于垃圾邮件的可能性极大。所以也需要常常关注,此类网站还提供给正常邮件供应商及自建邮件系统管理员遭遇黑名单时的申诉流程,并提供合法的邮件系统如何加入白名单的步骤及方法。
3 现有的反垃圾邮件网关会发生误判,阻断部分正常邮件
针对垃圾邮件泛滥,目前比较好的解决方式就是采用反垃圾邮件产品,大多邮件系统的反垃圾邮件策略均采用贝叶斯过滤算法(Bayes)。贝叶斯算法的基本思想是收集大量的正常邮件和来及邮件作为样本,然后使用贝叶斯分类器对样本进行有指导的学习以自动获得垃圾邮件的特征,对到达防垃圾邮件网关的服务器的邮件进行分类。我们在选定一个防垃圾邮件网关产品时,应该对反垃圾邮件策略做全面的了解,目前比较流行的技术:关键字、IP黑/白名单、实时黑名单列表(RBL),贝叶斯算法、防止拒绝式服务攻击等多种反垃圾邮件技术,只有将多种反垃圾邮件的技术有效结合才能实现不同技术之间互补,真正的最大程度上的解决问题。
针对误拦截的情况,我们也应当实时开启的垃圾邮件拦截队列,这样既能最大限度的阻断垃圾邮件的泛滥,又能削弱误判给我们带来的损失。
4 目前的邮件协议可能带来的网络攻击
现在的邮件服务器用的大多数为SMTP协议,被人们普遍接受。根据SMTP的协议规定,当邮件发送到一个无效的邮件地址时,邮件服务器会返回一个标准的错误信息;当发送到一个有效的信箱时,服务器会返回一个正确的回复。电子邮件目录收割攻击(DHA)是专门测试邮件地址是否有效的一种暴力攻击模式,攻击者正是根据回复内容来判断有邮件地址是否有效,攻击者最终收割到有效的地址,贩卖给广告商从中获取经济效益。邮件服务器的安全可靠应用还依赖于更高级的邮件认证协议。如果要更换成带有认证的ESMTP邮件协议,需要花费更多的资金,这个可以作为未来架设邮件系统需关注的问题。
架设更安全可靠的邮件系统,不仅仅靠网管员的技术能力,还需要依托校园网用户的积极配合,下面我们推荐几种校园网邮件用户可以采取的保护邮件系统的方法:
4.1 减少弱口令,不要使用默认密码
近期在与与各大邮件运营商的沟通中,我们了解到,目前垃圾邮件发送者利用个人邮箱弱口令的缺陷,猜测邮箱密码,通过互联网现有的正规邮件服务器大量发送垃圾邮件的现象日渐严重,出现此类问题的主要原因是由于用户邮箱的密码过于简单,极易被垃圾邮件发送者猜中,使得邮箱账户被盗用,被其利用大量向外发送垃圾邮件。在中国互联网协会反垃圾邮件中心的报告中,也反映出此类问题的投诉在逐渐增多,利用弱口令缺陷发送垃圾邮件的行为已经成为垃圾邮件发送者的主要手段。
弱口令极易被破解,利用破解的密码登陆信箱发送垃圾邮件、窃取个人邮箱的相关资料、邮件内容泄露等。邮件系统的域名和IP地址被列入垃圾邮件黑名单中,其他邮件系统拒收我们的邮件。系统出现大量的投递队列和退信,而导致系统队列频繁出现异常,情况严重的就导致邮件系统队列服务停止工作不法正常收发邮件,更严重的就导致服务器死机。
4.2 尽量不要使用自动回复功能
通过通信双方都开启了自动回复邮件功能,那么双方有可能永不停止的互相发送回复邮件,只至整个邮件空间被占完用尽。这不仅浪费了网络带宽,还会引起邮件炸弹,因此自动回复功能应慎重使用。特别是有些垃圾邮件发送者就是想通过回信确认你的地址是否真实存在,只要回信,就会收到更多的垃圾邮件。
4.3 不要随意将自己的邮箱对外公布
如果需要公布,尽量避免明文公布,因为这样很容易被垃圾邮件处理程序搜到。常用的方法有:将邮件中的“@”符号替换成“#”,或者将明文格式的邮件地址转成图片。
电子邮件的安全性、可靠性是全球性的问题,针对校园网电子邮件系统,应该采用管理和技术相结合的方式,以先进的技术手段为基础,同时以完善的管理规范为依据,建立健全邮件服务安全体系,提高电子邮件的安全性。
【参考文献】
[1]中国反垃圾邮件调查报告. 2012年6月http://www.doc88.com/p-6671574618 23.html[OL].
[2]张俊丽.改进KNN算法在垃圾邮件过滤中的应用[J].现代图书情报技术,2009,149(4):75-79.
[3]时红梅,高茂庭.垃圾邮件过滤技术及发展[J].计算机与数字工程,2008(6).
[责任编辑:汤静]