電子郵件是現今網路上使用廣泛且歷史悠久的通訊管道之一,尤其是企業間的往來書信甚至電子郵件的數量要高過實體郵件。
然而在這樣海量的郵件傳遞之中,伴隨著不懷好意而來的各種惡意郵件或者垃圾郵件層出不窮,嚴重者甚至讓企業蒙受重大損失,做為企業 IT 必須有所因應。
方案介紹
在開源的陣營裡,過去所知的大都是難以架設及上手的套件,但這個情況已經改變。在歐洲的 Proxmox 公司有一款郵件閘道商業產品,在去年初的時候將整個產品介面重寫,並且轉為完全的自由與開源軟體,開放給大家使用。
這個專案全名為 Proxmox Mail Gateway,通常會簡稱為 Proxmox MG 或 PMG,功能強大:
- 全 Web 化操作介面
- 防垃圾郵件
- 防病毒郵件
- IPRBL 機制
- DNSRBL 機制
- SURBL 機制
- SMTP 收件者檢測
- SPF 記錄檢測
- 自動學習篩選機制
- 追蹤記錄中心
- 高可用性叢集
- 繁體中文介面 (嘿嘿)
在郵件閘道的部署方面,其實與一般的郵件閘道器沒有兩樣,一樣是先由 Proxmox MG 接收來自外部的信件進來,經過種種篩選檢測程序,再後送給真正的郵件伺服器。
部署架構圖 (圖片取自官方網站)
安裝方式
它可以支援以下的平台:
- Proxmox VE (VM/CT)
- VMware ESXi
- Hyper-V
- KVM
- Virtual Box
- Citrix XenServer
- 任何一種基於 Debian Linux 的 Guest OS
我把 Proxmox VE 放在最前面的順位,因為他們是同一家的產品啦...哈哈。
在安裝程序方面,它已經打包好 ISO 檔,照著介面一步一步即可安裝完成。
安裝程序啟始畫面
當安裝完成以後,使用瀏覽器輸入 https://ip:8006/,即可登入管理介面。
主要功能
由於我已經為 Proxmox MG 製作了絕大多數的繁體中文語系,因此登入後所看到的資訊都可以看到親切的中文。
登入系統畫面
基本設定
在基本設定上,主要都集中在 [設定] -> [郵件 Proxy] 這裡,其中較為重要的設定項如下:- 轉送 \ SMTP 連接埠
- 轉送網域 \ 建立 (要收進來的網域信件)
- 選項 \ 使用灰名單 (建議取消)
- 傳輸 \ 建立 (信件要送進的郵件主機)
郵件 Proxy 設定畫面
帳號整合
在帳號部份,可以透過 LDAP 機制整合外部 AD/LDAP,即可以此帳號來源設定為對象物件,搭配篩選器可用來判斷收件者是否為存在的帳號,做為處理的條件。同時,在使用者每日的垃圾郵件報告信中,可以點選連接登入 Proxmox MG 的追蹤中心,自行查閱是否有被誤擋的郵件,或是要從隔離區中把信件撈回去。
LDAP 設定畫面
郵件篩選
Proxmox MG 提供了多樣化的篩選物件與規則可以設定,也可以多種搭配組合、優先權設定等等,例如對於附件類型的判斷與處理方式,可以擋下許多不想要的郵件附檔類型。不過也因為設定功能很詳細,上手需要花較多時間研究。
郵件篩選器畫面
SURBL 機制
在 Proxmox MG 提供的多種 RBL 機制中,SURBL 是我較為重視的一項功能。SURBL (Spam Uri Realtime BlockLists) 與一般 RBL 阻擋發信來源的作法不同,它是依據收到郵件內文中的 Uri (網址/網站) 來做判斷,如果這些網站在 SURBL 清單上被列入,就會被阻擋下來,這種機制對於現今越來越盛行的郵件詐騙可以起到一定的作用。
SURBL 所列的對象主要有四類:
- ABUSE:垃圾或濫用廣告郵件網站
- PH:網路釣魚網站
- MW:惡意軟體網站
- CR:被入侵的合法網站
結論
在郵件服務相當重要的今日,郵件安全已經不能忽視。就在今年也有多起利用偽造郵件騙取鉅額資金的成功案例,所以除了郵件伺服器本身的防護能力,多加一套郵件閘道器就多了一道關卡,而且 Proxmox MG 不僅開源更是功能完整,更值得一試。
順帶一提,開源領域的企業郵件系統建置組合包,我的建議是採用 Proxmox MG + Zimbra OSE + Z-Push + Z-Push Zimbra Backend,一次搞定功能強大的郵件閘道器、郵件伺服器、行動裝置推播。
參考資料
- Proxmox Mail Gateway
https://www.proxmox.com/en/proxmox-mail-gateway
- SURBL
http://www.surbl.org/