一 反垃圾邮件网络拓朴图:
二 普利司通邮件系统应用现状
1 普利司通邮件系统概述:
普利司通中国总部在天津,全国有若干分公司和办事处,多数分公司通过专线接入到总部网络。每个分公司都有各自的邮件域名,例如天津总部的邮件域为bridgestonetj.com。但邮件服务由同一台邮件系统提供。上图中192.168.9.40。邮件服务器的域名是
mail. bridgestonetj.com.
2普利司通邮件用户如何使用邮件系统
绝大多数员工使用邮件客户端工具(如outlook)收发邮件,也有部分用户使用webmail方式收发邮件。Outlook中邮箱设置的smtp及pop服务器均填写邮件服务器的域名。
如天津总部填写mail.bridgestonetj.com。邮件服务器要求需要SMTP认证。
3 普利司通邮件流分析
来自internat的外部邮件经过解析最终发送到邮件服务器的外部IP上即:218.104.19.8。
该IP上的服务smtp、pop、https均通过防火墙映射到邮件服务器上。内部用户及专线接入的分公司用户则由内部dns解析到邮件服务器的内部IP上,即192.168.9.40。
三 普利司通对反垃圾邮件网关实施的要求。
普利司通公司要求:
1应过滤所有邮件包括:所有外部发来的邮件及由内往外发的邮件,且内部之间的邮件也要进行过滤。
2 方案实施后不应改动邮件客户端的设置。
四 方案实施说明:
拓朴图如上。
1 公网218.104.19.8的25端口的流量原本PAT到邮件服务器的,现在转到梭子鱼上。
这样所有来自internat的邮件全部经过梭子鱼,梭子鱼将对其进行垃圾及病毒过滤。
(非专线分公司用户通过公网发送邮件时,邮件也会被首先发送到梭子鱼上)。
2在普利司通内部的DNS上,将邮件服务器的主机记录改到梭子鱼上,例如:天津公司的mail服务器的记录:
mail.bridgestonetj.com---原记录为192.168.9.40,现改为192.168.9.41。这样内部用户发送的邮件将全部发送到梭子鱼上。由于普利司通要求发送邮件需要进行SMTP验证,因此在梭子鱼的高级设置-允许转发中启用了SMTP验证功能。
3 在梭子鱼中设置了端口转发,将110端口、80端口的数据流转发到邮件服务器上。这使得梭子鱼可以代理邮件服务器上的pop、及https服务。为避免https的冲突,将梭子鱼的https的访问端口改为444。
方法如下:登录梭子鱼后,撰写脚本。
[root@192.168.1.160] # cat >/etc/rc3.d/S51port_forward
#!/bin/sh
# port forwarding commands
PORT_FW=/home/emailswitch/code/firmware/current/bin/port_forward.pl
$PORT_FW -F
$PORT_FW -A '*' 110 TCP 192.168.9.40 110
$PORT_FW -A '*' 443 TCP 192.168.9.40 443
[root@192.168.1.160]# chmod +x /etc/rc3.d/S51port_forward
[root@192.168.1.160]# /etc/rc3.d/S51port_forward
这样所有的邮件都得到了过滤,且不影响邮件客户端用户。