2019年9月21日 星期六

開源郵件閘道伺服器:Proxmox MG



電子郵件是現今網路上使用廣泛且歷史悠久的通訊管道之一,尤其是企業間的往來書信甚至電子郵件的數量要高過實體郵件。

然而在這樣海量的郵件傳遞之中,伴隨著不懷好意而來的各種惡意郵件或者垃圾郵件層出不窮,嚴重者甚至讓企業蒙受重大損失,做為企業 IT 必須有所因應。





方案介紹

在開源的陣營裡,過去所知的大都是難以架設及上手的套件,但這個情況已經改變。在歐洲的 Proxmox 公司有一款郵件閘道商業產品,在去年初的時候將整個產品介面重寫,並且轉為完全的自由與開源軟體,開放給大家使用。

這個專案全名為 Proxmox Mail Gateway,通常會簡稱為 Proxmox MG 或 PMG,功能強大:
  • 全 Web 化操作介面
  • 防垃圾郵件
  • 防病毒郵件
  • IPRBL 機制
  • DNSRBL 機制
  • SURBL 機制
  • SMTP 收件者檢測
  • SPF 記錄檢測
  • 自動學習篩選機制
  • 追蹤記錄中心
  • 高可用性叢集
  • 繁體中文介面 (嘿嘿)


在郵件閘道的部署方面,其實與一般的郵件閘道器沒有兩樣,一樣是先由 Proxmox MG 接收來自外部的信件進來,經過種種篩選檢測程序,再後送給真正的郵件伺服器。



部署架構圖 (圖片取自官方網站)






安裝方式

它可以支援以下的平台:
  • Proxmox VE (VM/CT)
  • VMware ESXi
  • Hyper-V
  • KVM
  • Virtual Box
  • Citrix XenServer
  • 任何一種基於 Debian Linux 的 Guest OS


我把 Proxmox VE 放在最前面的順位,因為他們是同一家的產品啦...哈哈。

在安裝程序方面,它已經打包好 ISO 檔,照著介面一步一步即可安裝完成。



安裝程序啟始畫面


當安裝完成以後,使用瀏覽器輸入 https://ip:8006/,即可登入管理介面。






主要功能

由於我已經為 Proxmox MG 製作了絕大多數的繁體中文語系,因此登入後所看到的資訊都可以看到親切的中文。



登入系統畫面


基本設定

在基本設定上,主要都集中在 [設定] -> [郵件 Proxy] 這裡,其中較為重要的設定項如下:
  • 轉送 \ SMTP 連接埠
  • 轉送網域 \ 建立 (要收進來的網域信件)
  • 選項 \ 使用灰名單 (建議取消)
  • 傳輸 \ 建立 (信件要送進的郵件主機)



郵件 Proxy 設定畫面



帳號整合

在帳號部份,可以透過 LDAP 機制整合外部 AD/LDAP,即可以此帳號來源設定為對象物件,搭配篩選器可用來判斷收件者是否為存在的帳號,做為處理的條件。同時,在使用者每日的垃圾郵件報告信中,可以點選連接登入 Proxmox MG 的追蹤中心,自行查閱是否有被誤擋的郵件,或是要從隔離區中把信件撈回去。



LDAP 設定畫面


郵件篩選

Proxmox MG 提供了多樣化的篩選物件與規則可以設定,也可以多種搭配組合、優先權設定等等,例如對於附件類型的判斷與處理方式,可以擋下許多不想要的郵件附檔類型。不過也因為設定功能很詳細,上手需要花較多時間研究。



郵件篩選器畫面


SURBL 機制

在 Proxmox MG 提供的多種 RBL 機制中,SURBL 是我較為重視的一項功能。

SURBL (Spam Uri Realtime BlockLists) 與一般 RBL 阻擋發信來源的作法不同,它是依據收到郵件內文中的 Uri (網址/網站) 來做判斷,如果這些網站在 SURBL 清單上被列入,就會被阻擋下來,這種機制對於現今越來越盛行的郵件詐騙可以起到一定的作用。

SURBL 所列的對象主要有四類:
  • ABUSE:垃圾或濫用廣告郵件網站
  • PH:網路釣魚網站
  • MW:惡意軟體網站
  • CR:被入侵的合法網站







結論

在郵件服務相當重要的今日,郵件安全已經不能忽視。就在今年也有多起利用偽造郵件騙取鉅額資金的成功案例,所以除了郵件伺服器本身的防護能力,多加一套郵件閘道器就多了一道關卡,而且 Proxmox MG 不僅開源更是功能完整,更值得一試。

順帶一提,開源領域的企業郵件系統建置組合包,我的建議是採用 Proxmox MG + Zimbra OSE + Z-Push + Z-Push Zimbra Backend,一次搞定功能強大的郵件閘道器、郵件伺服器、行動裝置推播。






參考資料