我们的 Exchange 服务器每天收到 450,000 到 700,000 封垃圾邮件。我们在同一时间范围内收到大约 1700 条合法消息。
大约 75% 的垃圾邮件是目录收集。我们目前安装了 GFI MailEssentials。值得称赞的是,它做得非常好,但是我们收到的垃圾邮件的绝对数量,以及我们的交换服务器正在建立的连接数量正在阻止及时发送合法电子邮件。
GFI 设置为在 SMTP 级别检查目录收集,我认为它会在邮件到达 Exchange 服务或通过 SMSE 之前拦截邮件。这个“模块”排在列表的顶部,因此(希望)处理收获会消耗最少的服务器资源和带宽。
我的问题是,我能做些什么来防止我们的 Exchange 服务器的连接池被这些垃圾邮件主机吃掉吗?我们不得不限制 Exchange 建立的并发连接数,因为它占用了我们所有的带宽。
提前致谢。
如果您有能力设置额外的主机 [可以是虚拟机] - 我建议您获得可以根据收件人地址过滤邮件的 postfix [或 exim 或任何其他 linux smtp 中继]。
我的情况与您的情况相似,通过以下方式大大减少了交换的负担:
此外,如果您正在寻找完全成熟的 [但开源的] 反垃圾邮件,请查看esva。它已经准备好使用基于 postfix 和几个内容过滤器的 vmware 设备了。在他们的论坛中,您会找到描述如何从 AD 中提取用户白名单。他们的论坛可能看起来半死不活,而作者并不是最活跃的——但整个解决方案非常复杂,并且在几次部署中对我来说非常有用。
我会结合使用收件人过滤和 SMTP Tar-pitting。这里有更详细的解释:
http://www.exchangeinbox.com/article.aspx?i=49
总而言之,Exchange 拒绝与不存在的地址的连接。但是,这允许垃圾邮件收割者根据您的服务器快速检查大量地址。
通过启用 tar-pitting,您可以为服务器提供的响应添加延迟,从而减少收割机与您的服务器建立的连接数量。
您还可以将垃圾邮件过滤卸载到第 3 方,这将在大部分流量和垃圾邮件到达您的网络之前将其过滤掉。这项服务的三个不错的选择是:
http://www.microsoft.com/online/exchange-hosted-services/filtering.mspx
http://www.messagelabs.com/products/email/anti_spam.aspx
http://www.google.com/postini/email.html
除了 smearp 的回答中提到的那些之外,您绝对应该在邮件到达您的服务器之前查看第 3 方来过滤邮件,我对 MX Logic 以及 Google 的 Postini 有很好的经验。我个人更喜欢 MX Logic。额外的好处是您可以将 Exchange Edge 服务器设置为仅接受来自第 3 方的 SMTP 连接,从而大大减少服务器的负载和带宽。
我几乎不再考虑垃圾邮件了。
在我看来,您已经尽一切努力限制邮件到达 Exchange 服务器 - 下一步是尝试在垃圾邮件中找到一个共同因素,让您在它到达 GFI 之前将其阻止盒子。(即将其视为 DDoS 攻击)
如果流量仅来自少数几台主机,那么在边界路由器上避开这些 IP 是否可行?有时 ISP 也愿意帮助解决此类攻击 - 可能值得与他们联系,看看他们是否可以识别并丢弃不良流量。
一种管道胶带解决方案可能是使您的主要 MX 记录无效,并使辅助 MX 记录有效。大多数垃圾邮件程序不会浪费时间尝试替代 MX 记录,而合法邮件仍然会通过......不利的一面是,您会冒着从错误配置的 MTA 丢失邮件的小风险。
我可以想到一些你可能想要考虑的事情。首先是查看您的日志,将垃圾邮件源主机列表放在一起(假设有一个合理的数量通过目录收集进行暴力破解),然后在您的防火墙处阻止它们。
一个更全面但更复杂的解决方案是使用电子邮件网关服务器卸载初始垃圾邮件处理。这就是我们在上一份工作中所做的。我们构建了一个运行 Postfix 的 Linux 机器和一系列附加工具(spamassassin、clamav、灰名单守护程序、amavisd 等)和一些自定义的东西。然后,我们将它放在 Exchange 集群的前面,并通过它路由我们所有的电子邮件(进出网络)。
这可以为您提供更多的灵活性来限制连接速率、阻止垃圾邮件来源以及设置白名单和黑名单。我们能够显着减少用户收到的垃圾邮件数量,并减少 Exchange 邮箱的负载。
更新:忘了提,但也有一些可用的反垃圾邮件网关设备。您购买盒子,从 Web 界面(通常)对其进行配置,然后将其插入您的网络。在 Exchange 和 DNS 中进行一些调整(以便电子邮件通过它),它将为您处理所有反垃圾邮件的繁重工作。
MailEssentials 在 SMTP 中的事件接收器级别工作,因此它确实优雅地断开了不存在的电子邮件地址的连接,而不会让邮件实际接触到您的服务器(只要您已将其推到列表的顶部,就可以了。那里你可以在你的盒子里做的事情不多——这是你看到的大量目录收集活动,我同意你的下一步应该是与你的 isp 合作,看看你是否可以缩小到一些 IP 或 IP 组发送大部分内容并阻止它们。
我支持第三方垃圾邮件过滤的意见。我们真的很喜欢:http : //www.mxlogic.com/ 它比 GFI 更好地删除垃圾邮件,不使用安迪服务器资源,使您的电子邮件服务器更安全(遵循 Leroyclark 的建议),您不会有问题许可问题使您的 Exchange 服务器崩溃。
如果您有备用机器,即使是配置相当低的 PC,您可能会考虑安装MailCleaner,它将为您的入站电子邮件提供反垃圾邮件和防病毒扫描。它基于 Linux,但不需要非常熟悉 Linux 即可设置和运行它。即使没有“训练”反垃圾邮件数据库,过滤结果也非常出色,并且 Web 界面使日常任务变得轻而易举。如果您需要,还有一个支持论坛。
我知道现在距离原来的帖子发布还有一段距离,但我必须同意 John Gardeniers 关于 Mailcleaner 的观点。
我已经使用 Mailcleaner 大约 4 年了。最初的版本修改起来没有那么灵活,但无论如何它都相当可靠。大约一年前,我得到了 Mailcleaner 2010,这是对 Mailcleaner 的完全重写。虽然 2006 版的 Mailcleaner 是基于 Debian v4 的引擎构建的,但如果我没记错的话,较新的 2010 版是基于 Ubuntu Server 的。较旧的版本很容易损坏,但较新的版本非常坚固且功能丰富,我觉得不需要进行任何引擎盖下的修改。
就目前而言,Mailcleaner 2010 是迄今为止我在梭子鱼反垃圾邮件/反病毒防火墙这一面使用过的最可靠、最干净的反垃圾邮件解决方案。在我的工作中,我们使用梭子鱼 M600 设备,设计用于每天处理大约 3000 万封电子邮件。我们平均每天收到大约 300,000 封电子邮件,其中大约 7% 到 10% 是真正的合法电子邮件。在梭子鱼上,我们使用隔离(我讨厌,但我们的管理层坚持)。在我的个人域中,我使用 Mailcleaner 2010 配置为托管在 VMWare ESXi 上的虚拟服务器,我将 Mailcleaner 配置为 LDAP 地址验证并结合标记可疑垃圾邮件。所有标记的垃圾邮件都会自动发送到我的用户在我们的 Exchange Server (2003) 上的“垃圾邮件”文件夹,该文件夹会在 30 天后自动过期标记的邮件。这为我的 Mailcleaner Anti-spam 网关提供了非常非常低的占用空间,并且通过标记电子邮件的自动到期,它可以防止我的 Exchange Server 充满垃圾邮件。误报率非常非常低,而且由于我使用标记,即使邮件收到误报,只要我们负责任地检查我们的电子邮件,我们就不必担心丢失该邮件......我所有的普通用户都这样做。
无论如何,使用梭子鱼反垃圾邮件系统后,我对自己域的替代方案抱有非常挑剔的期望,因为我们没有公司/政府级别的预算来资助购买设备。综合考虑,很难找到比 Mailcleaner 2010 更好的解决方案,因为它似乎受到了梭子鱼的很大影响,但它并不是直接抄袭梭子鱼的固件。同时,它比梭子鱼更容易设置。
当我第一次开始工作时,我的雇主正在使用 GFI 的反垃圾邮件引擎(v10?)。由于 GFI 处理黑名单的方式,我们遇到了严重的问题。我进行了研究,并为我们评分了梭子鱼 M600。Barracuda 是一个很好的解决方案,因为它允许按 CIDR 地址列入黑名单,以及许多其他运行良好的扫描技术。到目前为止,我在使用梭子鱼时遇到的唯一问题是误报,原因是那些在打击垃圾邮件方面经验不足的人输入了错误的规则。我运行的 Mailcleaner 2010 虚拟设备需要非常非常少的交互来实现近乎完美的解决方案。
有机会就去看看。我想你会很高兴你做到了。:)
分享和享受!