基于校園網的郵件系統有效部署的探討

洪新華

師范大學信息化辦公室 浙江 321004

0 引言

隨著E-mail應用的普及，政府機構、企業和教育機構都競相部署了郵件系統作為內外交流的平臺。很多資料的傳送、學術交流、日常辦公等都轉向了電子郵件平臺，其重要性不言而喻，與此同時，垃圾郵件泛濫、頻繁被列入垃圾郵件Ip黑名單、黑客攻擊等問題也與日劇增。本文電子郵件系統應用現狀出發，闡明電子郵件系統面臨的問題與挑戰，詳細闡明郵件服務器安全有效部署方案，確保郵件系統的安全性和有效性。

1 電子郵件系統應用的現狀與威脅

在教育行業幾乎所有的高校的都部署了教師電子郵件平臺，供教師使用，也有相當一部分學校部署了學生電子郵件平臺，也有一部分高校還部署了校友電子郵件系統平臺。電子郵件應用已經融入到了高校教學和科研的方方面面。郵件系統的健壯性、穩定性和可用性，越來越重要。同時，垃圾郵件、病毒郵件也與日增加，甚至泛濫，一個 3000賬戶左右高校郵件系統，每日收到的垃圾郵件竟有3萬多封。在原有的郵件系統基礎之上部署一個反垃圾郵件系統，也成必然的選擇。借助反垃圾郵件系統能夠過濾掉垃圾郵件和病毒郵件。

但隨著反垃圾郵件系統的應用，發出的正常郵件，被對方郵件服務器拒收。大部分原因是因為發郵件服務器被列入了垃圾郵件服務器黑名單。國內的實時黑名單服務(RBL)做的最大的就是 anti-spam. 它的官方網站是: www.anti-spam.org.cn，它提的實時黑名單服務(RBL)主要包括四個部分：CBL、CDL和CBL+、CBL-。CBL包含近期中國國內的主要垃圾郵件發送源。CDL包含中國國內動態分配地址。CBL+為CBL和CDL的合集。CBL-是CBL+中去除了中國郵件服務運營商白名單服務(CML)的內容后的黑名單。國外垃圾郵件黑名單中最厲害，影響最大的要數 Spamhaus項目組，網址 http://www.spamhaus.org。只要被它列入黑名單，該郵件服務器就算癱瘓了，因為據說全球80%以上的服務器會拒收從你的郵件服務器發去的郵件。它有三種類型：XBL，SBL，ROKSO。影響排第二是Spamcop，網站 http://www.spamcop.net。國內做郵件服務的，幾乎都會撞到它槍口上。它封堵那些不符合國際的標準的郵件服務 IP地址，每次封堵數小時到數日。它影響至少40%的郵件。

另外，隨著用戶數量的增加和用戶對空間要求的增長，郵件系統的存儲容量也日益增長，總量巨大。這么大數據量一旦硬件故障，恢復起來相當困難。這方面的安全威脅也不容忽視，需要合理規劃，做好備份數據備份。

如何在校園網有效部署郵件系統，使郵件系統既能將垃圾郵件攔在門外，又能使本系統發出的正常郵件能正常到達對方郵件服務器，是必須解決的問題，也是本文探討的重點。

2 基于校園網郵件系統部署的幾個重要問題

（1）部署在內網還是部署在公網

郵件服務器部署在校園網內網，可以減少來自互聯網的安全危險。但要正常收發郵件，必須為郵件服務器打開通往互聯網的通道。通過IP地址轉換(nat)，實現郵件系統的發送郵件，通過端口映射，實現郵件系統接收外來郵件。但要注意的是要為郵件服務器單獨做地址轉換，不要同其他內網IP共用一個IP。因為如果共用一個公網IP做nat，就很有可能被列入垃圾郵件黑名單。因為校園網的很多電腦都缺乏有效的安全防范措施，容易感染木馬成為垃圾郵件發送僵尸。一旦感染木馬發送垃圾郵件或病毒郵件，該公網IP就會被列入黑名單，郵件服務器發送的信件就被拒收。

郵件服務器部署在校園網公網IP上，直接與外部網絡連接，能正常收發郵件，但外部安全威脅增加，如端口掃描、退信攻擊、DDoS攻擊等等。當郵件服務器和反垃圾郵件系統不是在集成在一個系統上的時候，還不能有效的攔截垃圾郵件。我們往往將MX記錄指向反垃圾郵件系統，使外部郵件先到達反垃圾郵件系統，然后通過反垃圾郵件系統過濾攔截垃圾郵件和病毒郵件。但是一些垃圾郵件發送者不走MX記錄發送郵件，而是直接連接我們的smtp端口來發送垃圾郵件，這個時候垃圾郵件就直接進入到用戶的郵箱。如果我們通過防火墻只允許反垃圾郵件系統連接郵件服務器的 smtp端口，另一個問題又出現了。有種反垃圾郵件規則，先檢查郵件系統域名的反向解析記錄，驗證通過，進一步telnet其smtp端口，如果不能telnet就判定其為垃圾郵件發送者，并將其列入黑名單。這時發送的郵件又被拒收了。因此，直接使用公網IP還是存在很多難以解決的問題。

所以，將郵件系統部署在內網，通過nat轉換成單獨的公網IP，同時將郵件系統域名指向該公網IP，MX記錄指向反垃圾郵件系統的IP，實現發送郵件，發送郵件不經過反垃圾郵件系統(若經過，用戶難以接受)。進來的郵件先經過反垃圾郵件系統(部署在公網)，再由反垃圾郵件系統將信件直接發送到郵件服務器上。另外，開放郵件系統nat后的公網IP的25端口，允許telnet，這樣以免因不能telnet smtp端口而被列入黑名單。

（2）郵件域名反向解析

國外的郵件服務器會拒收我們的郵件，有相當一部分原因是因為我們沒做郵件系統的域名反向解析。國外郵件服務通過查詢域名反向解析記錄，來判定郵件的來源IP是不是對應于郵件所聲明的真實郵件服務器。如果查詢不到，就判定為該郵件非法，并將其攔截。為此，一定要為郵件系統做好域名反向解析記錄。域名反向解析記錄(ptr記錄)不同于域名正向記錄(A記錄)。只有當擁有整個C類地址的時，運行商才可能授權。而我們往往只有某個C中的某個段的IP，此時只能通過提供IP的運營商來做域名反向解析記錄。Linux下的dig工具很有用，通過dig -x 郵件服務器IP+trace能跟蹤反向解析情況。

（3）郵件服務器使用的IP可信度問題

由于國外反垃圾郵件組織會將某個段 IP地址全部列入到黑名單中，而該段IP地址中某些IP是無辜的，我們不能讓郵件系統成為無辜的受害者，就需要選擇一個可信度好的IP。通過反垃圾郵件組織網站查詢統計來看，總體而論，電信IP可信度優于網通IP，而教科網IP的可信度則更高。擁有教科網、電信等多出口的高校，應選用可信度高的教科網IP。

（4）郵件系統的雙備份

隨著用戶數量的增加，以及用戶對空間要求的增長，郵件系統的存儲容量也日益增長，總量巨大，3000的用戶量，每用1G空間，至少要有1T以上的實際容量，而實際數據量在600G以上。這么大數據量一旦硬件故障，恢復起來相當困難。這方面的安全威脅也不容忽視，做好備份數據備份。由于郵件系統的重要性和備份過程的風險性，需要兩個備份才能有效保證郵件系統數據的安全性。一個手工定時增量備份，一個自動定時增量備份，且兩個備份不能同時進行。考慮到備份數據對郵件系統性能的影響，備份的時間應該放在用戶使用少的時候。一個可用的開源備份軟件 rsync可以實現郵件系統的數據備份，并保持文件的原有屬性，如時間等，加上linux系統下crond或windows系統下的任務工具就能實現每天或每周定時備份。首次同步600G左右的數據，100M網路帶寬(已經足夠)，15小時左右能完成同步。對于 3000左右用戶的每日增量同步，1個小時左右可以完成。

（5）郵件系統的管理

再健壯、穩定的系統離開了人的管理將變得脆弱且不堪一擊。郵件系統也一樣離不開人的管理。郵件系統管理員應當定時檢查郵件系統運行情況、反垃圾郵件系統運行情況和郵件數據備份情況，每天登錄反垃圾郵件組織網站檢查IP 是否被列入黑名單等，只有這樣才能及時發現問題并解決問題。

3 總結

隨著高校信息化水平的提高，郵件系統越來越重要，而安全危險并未減少反而增加，規劃部署位置與方式，做好郵件域名解析，選擇可信IP，做好郵件數據雙備份并實施有效的管理，這樣才能保證郵件系統有效穩定地運行。

[1] 反垃圾郵件技術發展.[EB/OL] http://mail.cstnet.cn/cstnet/help/security.html.

[2] 常用的RBL服務器列表、介紹及Postfix配置. http://blog.chinaunix.net/u2/73230/showart_1120259.html.

[3] 第 25次中國互聯網絡發展狀況統計報告.[EB/OL]http://www.cnnic.cn/html/Dir/2010/01/15/5767.htm.

[4] 王波,黃迪明.反垃圾郵件技術網絡部署研究[J].計算機應用.2004.

[5] 孔慶大.垃圾郵件及其防范技術[J].甘肅農業.2005.