安全分析:避免外發郵件被誤判為垃圾郵件

【賽迪網-IT技術報道】從2006年開始，垃圾郵件的流量顯著增長，據統計，2007年底一個季度的垃圾郵件流量比較去年同期顯著增長了44%。各個郵件系統也紛紛增加了反垃圾郵件的軟硬體設備，過濾措施日趨嚴格，以保護郵件系統的穩定性。但是，垃圾郵件的定義並沒有客觀標準，所以誤判不可避免要發生的，反垃圾系統部署越多越廣，"誤判"的發生就越頻繁。

"誤判"是非常惱人的，你發出的郵件會被直接退回，被投入接收方的垃圾文件夾甚至被直接丟棄掉。而一般的企業系統的郵件管理員對反垃圾技術並不是非常瞭解，所以可以採取的應對措施不多。以下，我們根據反垃圾技術的特點，列舉幾項優化郵件系統和操作系統配置的措施，以降低外發郵件被誤判的機會。

1. 設置一個有A記錄的Hostname

郵件系統一般使用操作系統的Hostname作為SMTP會話中HELO指令後面的內容，而某些比較嚴格的過濾系統會要求HELO內容是有A記錄的域名，且與來源IP匹配。所以將Hostname設置為一個有A記錄的域名，而且A記錄就指向郵件伺服器所在的IP，這將會減少在HELO階段就被接收方拒絕的機會。

2. 檢查你的IP地址的信譽度，如果有可能盡量購買整個C段的IP地址

檢查你的郵件伺服器所在IP地址是否在國外的RBL組織的黑名單中，到http://www.dnsstuff.com/網站，可以一次性查詢某個IP是否在各個主要的RBL組織的黑名單中。如果，你的IP被列入了黑名單，則應該檢查下面所說的3和4點，即時採取措施，如果你是因為同一個C段的其他IP被牽連進入黑名單，則應該把這個問題向你的ISP（IDC機房）反映，要求他們採取行動清理垃圾源並且及時與RBL組織交涉。

對於有能力的公司，應該採購整一個C段的IP地址，盡量避免與別的郵件伺服器混用同一個C段的IP。

3. 禁止Open Relay

Open Relay（第三方轉發）就是說允許發件人和收件人都不是本系統用戶的信件轉發。禁止Open Relay是一個最基本的要求，目前大部分郵件伺服器都已經關閉了Open Relay功能，但是值得注意的是，某些開源的郵件系統，如Postfix，Qmail默認是允許本機IP(127.0.0.1) Open Relay的，這是一個隱患，因為垃圾郵件已經可以偽造來源IP為127.0.0.1，所以筆者強烈建議調整郵件系統配置，設置本機IP也不允許Open Relay。

4. 對本地用戶要求密碼認證

對本地用戶應該要求密碼認證(AUTH LOGIN)以發送郵件，否則垃圾郵件很容易偽造本地用戶外發垃圾郵件，從而大大影響了本地用戶的聲譽，經常會被列入RBL組織的黑名單中。

5. 到各個ESP登記你的IP地址

為了提供你的IP聲譽，你還可以主動去各個郵件服務商的網站登記你的IP地址和郵件系統情況，這樣將大大減少這些運營商攔截從你的郵件系統發出的郵件的機會。

你可以發送郵件給中國互聯網協會反垃圾郵件中心的管理信箱 [email protected] 登記你的郵件伺服器IP和域名的對應關係。

6. 設置SPF記錄

SPF是為了防範垃圾郵件而提出來的一種DNS記錄類型，它是一種TXT類型的記錄，它用於登記某個域名擁有的用來外發郵件的所有IP地址。

dig TXT 21cn.com21cn.com.      27970   IN      TXT     "v=spf1 ip4:202.105.45.0/24  ip4:61.140.60.0/24 ip4:202.123.79.206 ip4:220.232.167.218 ip4:221.192.129.0/24ip4:59.36.102.0/24 -all"

按照SPF的格式在DNS記錄中增加一條TXT類型的記錄，將提高該域名的信譽度，同時可以防止垃圾郵件偽造該域的發件人發送垃圾郵件。

7. MX設置問題

有一些的比較苛刻的垃圾郵件過濾系統會檢查發件人域名的MX記錄。首先，MX記錄應該設置為有A記錄的CNAME。其次，MX記錄的刷新時間(TTL)應該設置不少於7200秒（2小時）。如果，你的郵件伺服器的外發IP和接收的IP是不同的，那麼最好要求你的接入服務商將外發的IP做一個反向的DNS解釋，解釋的域名後MX的域名一樣。

(