本期首页 | 过往期刊 | 公司主页
2010.04 - 第四十五期
JDMail V3.10 安全管理简介
 

    JDMail V3.10安全管理JDMail V3.10邮件系统安全主要涉及这几方面:
    1、SMTP访问许可、中继许可及并发连接限制。
    2、SMTP 邮件审批。
    3、POP访问许可限制。
    4、系统管理员访问许可限制。
    5、病毒过滤。
    6、邮件附件批量处理。

    邮件最重要的服务就是SMTP和POP3,管理好这2服务,就能保证服务器稳定运行。

    下面详细介绍一下JDMail的安全管理。JDMail邮件系统安全性包括SMTP/POP3访问许可、SMTP中继许可、SMTP并发连接数、病毒过滤、白名单等。

    安全管理

SMTP白名单管理(基于IP)

添加/删除完全不受「SMTP 访问许可」「垃圾邮件发送者管理」的访问限制的 SMTP 客户的 IP 地址。

选项 [SSL/TLS 不需要连接 (EaseTLS=1)],如果你没有SSL客户端证书,必须在连接时选中此项。

选项 [不进行客户域的检查 (SenderDomainCheck=0)] 如果选中,那么[环境设置]-[JDMail 环境设置] 的 [检查客户域 (CheckMailerDomain)] 是有效的情况也不进行域名检查。

选项 [SMTP 不用认证 (NoAuth=1)] 选中,SMTP 允许未经过认证的连接。

SMTP白名单管理(基于域名)

当使用SMTP服务器时,登记的域名的SMTP客户不进行基于「SMTP访问许可」和 [反垃圾邮件]-[垃圾邮件发送者管理] 的访问限制。

基于域名的白名单,根据客户端的IP地址进行DNS反向解析查询(PTR资源查询)结果如果在白名单列表内,jdmail将跳过基于IP的安全性检查。

基于域名的白名单処理需要做DNS查询,会导致SMTP会话延迟。请设计尽量减少登记数。

域名可以以点[.]开始。在这种情况下,您指定了该域的所有子域。

选项 [SSL/TLS 不需要连接 (EaseTLS=1)],如果你没有SSL客户端证书,必须在连接时选中此项。

选项 [不进行客户域的检查 (SenderDomainCheck=0)] 如果选中,那么[环境设置]-[JDMail 环境设置] 的 [检查客户域 (CheckMailerDomain)] 是有效的情况也不进行域名检查。

选项 [SMTP 不用认证 (NoAuth=1)] 选中,SMTP 允许未经过认证的连接。

SMTP访问许可

允许使用SMTP服务的IP地址段。

在正常运作没有什么特别需要限制。进行限制的情况,如果有SMTP中继和SMTP认证等受到限制。
特别说明:[SMTP 白名单的管理]定义的内容不受本定义的制约。

如果[环境配置]-[jdmail环境配置]中对[访问非许可用户的对应方法]设为[立刻切断],在[SMTP 中继许可][SMTP 认证帐号的管理]的定义在本定义的范围内有效。
如果[访问非许可用户的对应方法]不设为[立刻切断],被准许中继的客户端和在SMTP认证成功的客户端不管是否在本定义内,都被准许访问。

默认的定义 0.0.0.0 0.0.0.0 ALLOW 1 允许所有用户访问。一般的邮件服务就这样没有问题,不过,特别重视安全性的网络请删掉默认,重新进行定义。

如果删掉默认,进行新的定义,是拒绝全部的访问,对此后必要的IP准许访问。通常强调安全第一的,可以定义如下:
0.0.0.0 0.0.0.0 DENY 1
127.0.0.0 255.255.255.0 ALLOW 2

对网络上特定的主机添加对 SMTP 服务器的访问许可。例如,对局域网内的主机和互联网上特定的1台的主机许可访问设置如下。
0.0.0.0 0.0.0.0 DENY 1
127.0.0.0 255.255.255.0 ALLOW 2
192.168.1.0 255.255.255.0 ALLOW 3
210.196.149.170 255.255.255.255 ALLOW 4


SMTP中继许可

SMTP 中继(外发邮件时用到)主机许可定义,指定是不是再进行本地用户检查。如果您在互联网上使用邮件服务,请务必限制中继。

JDMail允许非本地用户使用邮件服务器。如果应用于互联网环境,请进行严格的SMTP中继限制。

如果[环境配置]-[jdmail环境配置]中对[访问非许可用户的对应方法]成为[立刻切断],但在SMTP中继的定义[安全设置]-[SMTP访问许可]有定义的情况下,只根据[SMTP访问许可]定义的主机被准许中继。另一方面,如果[对访问非许可用户的对应方法]成为[立刻切断]以外关于中继许可,只有通过本设定方可。

SMTP身份验证如果使用R选项,即使所有的SMTP中继禁止,您也可以使用SMTP服务器。在这种情况下,SMTP中继不需要指定任何东西。

WEBMAIL的使用环境,如果 [SMTP白名单管理] 本地loop back地址没做登记,SMTP 认证的设定有必要在这里进行登记(127.0.0.1 的许可)。

如果设置了基于IP地址的限制,[发件人(From地址的中继许可]通常选择[允许中继]。如果不进行基于IP地址的限制,请选择除[允许中继]以外的安全性对策。

示例 1
如果局域网所有主机和互联网IP 210.251.88.59 许可中继。
127.0.0.0 255.255.255.0
192.168.0.0 255.255.0.0
210.251.88.59   255.255.255.255

示例 2
来自 210.251.88.56 网段的8个地址许可中继。
127.0.0.0 255.255.255.0
210.251.88.56   255.255.255.248


SMTP认证帐户的管理

设置SMTP可以使用的非本地用户的验证方式。本地用户即使不进行登记也能使用 SMTP认证。

添加SMTP服务器的登录认证帐户。但是,不创建本地用户。
详细说明,请参考SMTP认证

验证ID如果已存在,就会更新密码和许可属性。

jdmail用户本地帐户注册不管此页面您可以使用SMTP身份验证服务,只要邮件选项选中。在这种情况下,验证ID,它指定了POP访问的密码。然而,身份验证的域的名称标识不能省略。

如果[环境配置]-[jdmail环境配置]中对 [访问非许可用户的对应方法]设置为[立刻切断], SMTP认证,受到[安全设置]-[SMTP访问限制]的定义的限制。最终,根据SMTP访问限制被jdmail的SMTP服务器准许了访问的客户端能使用认证的SMTP服务。

为了减轻服务器的负荷,登记帐号数请尽可能少。

SMTP连接数限制

为了应对大量垃圾邮件连续性的接收和发送,限制同一IP地址的单位时间的连接数。但是,设置单位时间和连接数请慎重,不要对正常服务产生影响。

断开时SMTP应答的编码和消息,"451 Pease try again later" 可以变更。

IP地址的排除清单可以指定为如下:

 192.168.1.10      # 个别指定

 10.1.0.0/24      # 网段指定

 10.1.1.1-10.1.1.100  # 范围指定

每行的末尾能为(#) 后面可以写注释。

SMTP送信保留(保留邮件一览)

SMTP送信保留是一种延迟发信策略,待管理者审批或发信者本人确认之后,信才会真正发出。

SMTP送信保留(环境设置)

发送保留,暂时保留从本地网络和 JDMail 本地用户发送到外部的邮件。

(*1) 所谓在JDWA的SMTP发送保留,是在特定的地方暂时保存从JDMail的本地用户(或本地网络)发送到外部网络的邮件,发送者自己或由管理者最终确认的实际外发动作。

从JDMail向外部发送邮件之前,用 JDWA 的出站过滤器检查发送者 IP 地址和 From: 地址,是保留对象邮件的情况,保存在 spool2\out 文件夹内,中止发送处理。

被保留了的邮件由管理者或发送者自己最终决定邮件发送或中止发送。

本功能在企业等的组织中用于解决由于邮件的不正当发送和误发送造成的损失。不过,目的不只限于此。例如,也可以用于测试JDMail服务的收发操作。

使用发送保留功能的时候请使用本页的环境配置 [对象帐号]页指定保留对象帐号。此外,请适当设定除外列表。
不设定除外列表,各种的错误通知消息和告警消息,邮件列表送信消息等被保留。

此外,尽管是选择设定从 JDWA 的过滤器被发送的消息不被保留。关于使用JDWA的过滤器功能请看[过滤器的管理]-[帮助]。

送信保留在 "SMTP session开始预处理用过滤器(出站处理,离线) " 的最后阶段实行。以下的出站处理的最后保留处理被实行。

Recievied:Header标记的加工

病毒扫描

垃圾邮件内容过滤

送信者(FromSMTP中继许可

附件删除

请注意,JDMail从实行入站处理到出站处理 "SMTP RCPT后处理","SMTP DATA预处理","SMTP DATA后处理"等的过滤器处理,有邮件不被保留的可能性。

(*2) 实行SMTP发送保留时,邮件的发送时间(message header的 Date:字段)与实际的发送时间变得不一致。想解决这个问题请选中。更新时间为 JDMail 主机的本地时间,需要主机时间准确。

(*3) 使用通知处理,会增加服务器的处理负担。

默认通知邮件的主题(Subject的字符串###_Auth_### ,是为了识别保留邮件的宏字符串,在通知邮件发送时被实际的个别 ID 替换。如果受理由于发送者自己的处理的同意 ID 也利用。请参照关于宏字符串 [通知消息编辑]页。

不指定主题的情况,作为系统预设值的主题,保留的通知 "[###_Auth_###] 送信保留通知",发送的通知 "[###_Auth_###] 送信执行的通知",发送不许可的通知 "[###_Auth_###] 送信不许的通知"。

请运行[环境设置]-[JDWA环境设置] 。

JDWA 自带的脚本confirm.cgi(setup文件夹内)请放置在从Web服务器能访问的地方。运行confirm.cgi需要修改[JDWA环境配置]。

(*5) 由发送者自己决定最终的发送和发送中止,需要指定等待天数。零或空格情况,不进行天数限制。

(*7) 保留来自邮件列表的发送,同样内容的保留邮件大量发生,规模大的邮件列表会增大系统负荷。

管理送信保留的目标帐户

管理成为保留处理对象的本地 IP 和本地帐号(小组,域,用户) 。

IP 地址能象以下一样地指定。

 192.168.1.10      # 个别指定

 10.1.0.0/24      # 网段指定

 10.1.1.1-10.1.1.100  # 范围指定

行的末尾井号(#)后可以写评语。

如果指定了小组,组的全部的直属成员将延迟发送邮件。小组内小组的成员和小组内域的用户不适用。

如果指定了域,将延迟发送从属于那个域的全部的用户的邮件。

如果在这里指定的邮件地址和发送消息的 From: 字段相符,保留那个邮件。

请别把邮件地址以外的字符串(名字等)作为发送者地址。同时,通配符文字(*?)不能使用。

1行的末尾能在井号(#)后边写评语。

使用延迟发送功能的时候请适当设定除外名单。

IP 地址,小组,域,发送者地址的指定成为延迟发送对象。但是,在除外名单内的不延迟发送。

帐号信息保存在 spool2\accounts 。

SMTP送信保留-通知邮件编辑

创建·编辑向发送者通知的邮件模板。

邮件模板可以使用以下的宏字符串。宏字符串邮件实际发送时被目的字符串替换(不区分大小写)。

###_CDate_### 通知日期(本地时间)。格式yyyy/mm/dd hh:mm (以下同)。

###_DDate_### 邮件的延迟发送日期。

###_EDate_### 截止日期。

###_Attachments_### 附件个数。

###_Auth_### 发送者ID。

###_Date_### Date: 字段。

###_From_### From: 字段。

###_MailFrom_### SMTP Session时的 MAIL FROM 字段。

###_Postmaster_### [环境设置]-[通知者的邮件地址]
###_RcptTo_### SMTP Session时的 RCPT TO 地址。

###_Size_### 邮件大小。

###_Subject_### 主题。

###_To_### To: 字段。

###_URL_### 发送者自己处理的Web地址。

通知邮件模板保存在 spool2\out\template 。

冻结邮件一览

冻结邮件(保留后发送被取消,就那样被保存的邮件)管理。
冻结邮件可以由管理员删除或恢复。

单击[Subject:/授权ID] 显示邮件详细内容。

"授权ID" 是邮件放行的认证字符串。

冻结邮件保存在 spool2\out\frozen 。

送信保留日志

查看送信保留处理相关操作记录。

病毒扫描设置

设置杀毒软件路径和运行模式。

杀毒软件路径一定要设为绝对路径。

发现病毒邮件,可以分别给收件人、发件人、管理员发送通知邮件。

[运行病毒扫描程序]是包括该程序的扩展名在内的完整路径,如C:\avscan\scanner.exe 。为了安全起见,请安装在www服务器无法访问的位置。

JDMail目前已经支持的杀毒软件和运行程序名如下。除了F-Prot Antivirus for DOS 以外, 32位操作系统都能使用。为了快速、稳定,请尽可能使用支持32位的scanning版本。

产品名称 程序名

备注

AVG Anti-Virus avgscan.exe
avgscanx.exe(V8)
收费,个人使用免费版
不可安装在Windows服务器上
a-squared Command Line Scanner a2cmd.exe
免费
ClamWin
ClamAV for Windows
clamscan.exe
clamdscan.exe
免费
ESET NOD32 Antivirus V2 nod32.exe 收费
ESET NOD32 Antivirus V3/V4
ESET Smart Security
ecls.exe
收费
F-Prot Antivirus for DOS f-prot.exe 开发终止
F-Prot Antivirus for Windows fpcmd.exe 收费
F-Secure Anti-Virus Client Security fsav.exe 收费、不支持Windows服务器版
F-Secure Windows 服务器版 fsav.exe 收费
SOFTWIN BitDefender Free Edition bdc.exe 收费、不支持Windows服务器版
Trendmicro Client/Server Security vscanwin32.com 收费
Trend Micro 2008 tvscan32.com 收费、不支持Windows服务器版
McAfee VirusScan scan.exe 收费、不支持Windows服务器版

要实现病毒扫描需要安装相应的杀毒软件。安装后需要根据 JDMail 的运行环境进行恰当的环境配置。除了病毒库文件自动下载功能,请停止杀毒软件的全部的驻留程序和应用程序,由邮件系统实现杀毒软件调用。这样稳定性好。

在线扫描,扫描在JDMail 的 SMTP session中进行。这个情况,不仅仅扫描给本地帐号的邮件,外发的邮件也全部扫描。

离线扫描,扫描在 JDMail 的 SMTP session结束后保存到本地帐号的邮箱之前,或外发邮件的 SMTP session开始前运行。

发信病毒后如果选择不通知,包含病毒的邮件将直接删掉。

为防止邮件服务器负载过大,请指定邮件扫描的上限尺寸。普通带病毒附件的邮件尺寸一般在10KB以内。

不指定通知邮件的内容,将使用系统默认设置。想使用原创的通知内容请指定。JDWA示例scanrep*.sample.cgi也能使用。邮件内容可以使用中文。如果使用###_Date_### 和 ###_From_### 等特定字符串(宏),发送时自动被替换如下。(不区分大小写)。

###_Date_###

通知邮件发送的时候的被替换为本地时间。在通知邮件中可能包含两个字节的字符表示的中文。

###_From_###

替换为感染邮件的 From: 地址。From: 地址空白的情况为 (n/a) 。

###_Header_###

替换为感染邮件的header, 被 Base64 和 quoted-printable 编码的部分被解码。

###_MailFrom_###

替换为SMTP Session时的 MAIL FROM: 地址。

###_RcptTo_###

替换为SMTP Session时的 RCPT TO: 地址。

###_RemoteAddress_###

替换为感染邮件的发信、中继主机的 IP 地址。

###_Subject_###

替换为感染邮件的 Subject: 的内容。主题为空的情况替换为 (n/a) 。

###_To_###

替换为感染邮件的 To: 地址。To: 地址空白的情况替换为 (n/a) 。

###_Virus_###

替换为感染的病毒信息(扫描程序的病毒名)。

批量删除附件

JDMail可以批量删除指定扩展名的附件。

在线处理是在 SMTP Session 中被执行,给本地帐号邮件和外发邮件全部成为处理对象。离线处理是在邮件接收SMTP Session结束后,或者外发邮件之前被执行。

要想实现给本地帐号邮件中的附件实际被删除:

本页的批量删除功能设为有效,请选择[在线删除] 或

本页的批量删除功能设为有效,请选择[离线删除]-[入站邮件] 或

本页的批量删除功能设为无效,[用户的管理]-[附件删除] 删除功能设为开。

要想实现外发邮件附件删除:

本页批量删除功能设为有效,选择[在线删除] 或

本页批量删除功能设为有效,选择[离线删除]-[处理出站邮件] 。

如果选择保存删除文件,保存位置是否有足够的空间请持续观察。如果删掉文件已保存,会出现"删除完毕附件一览"的子菜单,可以实现文件的下载和删除。

IP 地址能象以下一样地指定。

 192.168.1.10      # 个别指定

 10.1.0.0/24      # 网段指定

 10.1.1.1-10.1.1.100  # 范围指定
1行的末尾字符(#)后可以写评语。

发件人地址和收件人地址可以使用通配符(能指定为?*)(不能使用正则表达式),请不要写邮件地址以外的字符串。邮件地址不区分大小写。

 name@domain.com

 info@*

 *@domain.com

不实行批量删除的情况可以通过 [用户的管理],[邮件列表的管理]实现个别删除控制。

[参考] 某公司的邮件服务器能选择性地删掉以下的扩展名的文件。
ade adp app bas bat chm cmd com cpl crt csh exe fxp hlp hta inf ins isp js jse ksh lnk mda mdb mde mdt mdw mdz msc msi msp mst ops pcd pif prf prg reg scf scr sct shb shs url vb vbe vbs wsc wsf wsh xsl

记录所有入站邮件

JDMail可以将所有入站邮件分域记录到邮箱,或者记录到指定的本地文件夹内。

如果实行记录所有邮件,需要持续地监控磁盘剩余空间。
空闲空间不足对 JDMail 的服务的营运产生较大的影响。最坏的情况,停止收发服务。

记录所有邮件会增大服务器负载,请尽可能使用高性能的计算机。

(*1) 域接收到的邮件放入到指定的本地帐号的邮箱。

abc.com (空格或逗号) catch_all@my.domain.com #
xyz.com (空格或逗号) postmaster@his.domain.com # 测试

与域对应的本地帐号没指定的情况,或被指定了的本地帐号找不到的情况,如果有全部邮件保存帐号则保存到那里,如果全部邮件保存帐号也找不到的情况,不进行记录。

(*2) 如果每个域指定不同文件夹,选择此项。

(*3) 为防止文件夹里文件增长过快,请选择 "_outbound" 文件夹存储退信。

(*4) 如果把JDWA的病毒扫描功能和垃圾邮件扫描功能设为开,在那些处理完成之后进行记录。如果在进行那些处理之前进行记录,危险邮件有被保存且使用量有急剧增加的可能性。

[用户的管理]、[邮件列表的管理] 可以单独记录个别帐户收到的邮件。

JDMail控制服务访问许可

定义访问JDMail控制服务的许可IP地址或地址段。

默认的定义 0.0.0.0 0.0.0.0 ALLOW 1 允许来自Internet / Intranet任何IP地址访问邮件服务器。如果邮件服务器放置于外网(Internet),请做适当调整。

如果删掉默认,进行新的定义,是拒绝全部的访问,对此后必要的IP准许访问。通常强调安全第一的,可以定义如下:
0.0.0.0 0.0.0.0 DENY 1
127.0.0.0 255.255.255.0 ALLOW 2

上面的定义安全性最高。如果想从JDMail以外的主机访问,请添加定义。

JDWA 如果您想使用JDMail控制命令,示例如下。
0.0.0.0 0.0.0.0 DENY 1
127.0.0.0 255.255.255.0 ALLOW 2
210.196.149.170 255.255.255.255 ALLOW 3

优先级顺序,数字越小的优先级越高。

管理帐号的管理

浏览/删除准许对jdmail的控制服务的访问的帐号。管理帐号的添加请通过 [环境配置]-[jdmail 环境配置]完成。

为安全性,帐号的登记要最小限度。如果使用JDWA管理JDMail,只需登记一个帐号,其它应删除。

管理帐号不一定是 JDMail 的本地用户。

设置信息保存在 ctrlaccounts.tab

Finger访问许可

允许访问JDMail Finger服务的IP地址和地址段。

默认的定义 0.0.0.0 0.0.0.0 ALLOW 1 允许所有用户访问。一般的邮件服务就这样没有问题,不过,特别重视安全性的网络请删掉默认,重新进行定义。

如果删掉默认,进行新的定义,是拒绝全部的访问,对此后必要的IP准许访问。通常强调安全第一的,可以定义如下:
0.0.0.0 0.0.0.0 DENY 1
127.0.0.0 255.255.255.0 ALLOW 2

对网络上特定的主机追加对 FINGER 服务器的访问许可。例如,对局域网内的主机许可如下。
0.0.0.0 0.0.0.0 DENY 1
127.0.0.0 255.255.255.0 ALLOW 2
192.168.1.0 255.255.255.0 ALLOW 3

JDWA的[用户的管理]通过 FINGER 服务器获取相关信息。 0.0.0.0. 0.0.0.0. DENY 1

优先级顺序,数字越小的优先级越高。

POP访问许可

定义允许访问POP服务的IP地址和地址段。

默认的定义 0.0.0.0 0.0.0.0 ALLOW 1 允许所有用户访问。一般的邮件服务就这样没有问题,不过,特别重视安全性的网络请删掉默认,重新进行定义。

如果删掉默认,进行新的定义,是拒绝全部的访问,对此后必要的IP准许访问。通常强调安全第一的,可以定义如下:
0.0.0.0 0.0.0.0 DENY 1
127.0.0.0 255.255.255.0 ALLOW 2

对网络上特定的IP追加对 POP 服务器的访问许可。例如,如果对局域网内的主机和互联网上特定的 1台的主机许可:
0.0.0.0 0.0.0.0 DENY 1
127.0.0.0 255.255.255.0 ALLOW 2
192.168.1.0 255.255.255.0 ALLOW 3
210.196.149.170 255.255.255.255 ALLOW 4

优先级顺序,数字越小的优先级越高。

Copyright 1997-2017 北京春笛信息技术有限公司 地址:北京海淀区知春路23号863软件园量子银座九层