这个问题的目的是了解过滤外发邮件的利弊。
我是一家 ISP 的管理员。通常,拥有动态 IP 的用户只能通过 ISP 的 SMTP 服务器发送邮件。如今,用户可以在网络内部无需授权即可发送邮件,但将邮件发送到互联网则需要在 SMTP 服务器上授权。这样我就可以保护我的网络不因垃圾邮件而被禁止。
但我发现,有些提供商允许未经授权使用其 SMTP 服务器向互联网发送邮件。这样好吗?他们不怕出现在 DNSBL 中吗?
那么,您如何看待过滤外发邮件?使用内容过滤器?拒绝还是允许未经授权的用户发送邮件?您的产品中如何配置它?
答案1
我不确定我是否完全理解了提供商允许未经授权向互联网发送邮件这一问题。如果你指的是互联网用户使用服务器向其他互联网用户发送邮件,那就不好了。这将被视为开放中继,是的,你很可能会被其他 ISP 过滤。
如果您指的是内部用户将邮件发送到互联网,这不一定是坏事,这只是一个政策决定。您可以通过确保服务器只转发您 IP 范围内的邮件来实现这一点。
我们不是 ISP,但我曾与他们合作过。在那里,我们只允许从我们自己的 IP 范围发送,如果您在网络之外,则必须授权邮件服务器发送消息和/或使用 Web 界面使用电子邮件。
邮件服务器对每封邮件的发送量受到限制,因此人们无法发送大型附件。
监控邮件服务器是否存在异常流量高峰……家庭用户不应该发送连续不断的邮件。
路由器锁定了任何未指定为邮件服务器的服务器的 25 端口,因此家庭用户无法运行自己的邮件服务器。
使用贝叶斯过滤之类的方法过滤外发邮件可能会很麻烦,因为误报会造成糟糕的用户体验。用户不喜欢他们的 webbertubes 像魔术一样起作用,而这种魔术对他们不起作用,尤其是当它似乎随机失败时。您的技术支持也不会喜欢这些愤怒的电话。或者您可能会失去那些对“就是不起作用”的东西有不好体验而感到厌烦的用户(除非这些人是您想要离开您的网络的人,我不知道)。
通常,您希望防止未经授权的访问您的服务器。SMTP 授权能对用户来说设置起来有点烦人,但通常不会太糟糕。除此之外,将其锁定为白名单以进行中继并限制消息大小应该没问题。您可能也想或不想添加发送可执行附件的阻止(bat、pif、exe、com...),但这是一个政策决定。
无论哪种方式,您都需要在自己的网站和家庭用户说明中清楚地说明您的邮件服务器允许的操作方式和操作内容。您仍然会接到电话询问某些操作为何无法正常工作或退回邮件意味着什么,因为用户通常无法阅读写有“附件太大”的邮件,但技术稍微精通一点的人会喜欢无需拨打帮助热线即可查找您的政策和错误信息的功能。
答案2
我为一家相当大的 ISP 工作,我们设置了 Spamassasin 来过滤出站中继上的邮件,并制定了策略来限制用户在一定时间内可以发送的邮件数量。我们对这些中继使用的 Spamassasin 阈值和策略远不如入站服务器那么严格,在入站服务器上我们仍然可以将邮件发送到用户的垃圾邮件文件夹,因此它们只会捕获最坏的邮件。
我们会定期抽查被拒绝的情况,在使用的几年里,除了垃圾邮件被拒绝外,从未发现任何其他情况,也没有收到任何用户投诉。
这些限制是为了解决我们遇到的三个问题而制定的,这些问题导致我们的邮件服务器被列入黑名单和灰名单。正如您提到的,第一个问题是滥用网络邮件服务。第二个问题很明显,电脑被感染的用户在不知情的情况下发送垃圾邮件。这些政策的副作用是,我们可以联系用户并提醒他们可能被感染。
第三个原因涉及用户的邮件通过我们转发到外部邮箱。这在托管域中尤其成问题,因为用户会将他们的邮箱设置为转发到各种外部位置。即使我们无法控制发件人并且不想限制客户可以转发邮件的位置,这些转发的邮件也会让我们被列入黑名单。
至于身份验证问题,如果我们可以简单地要求用户使用身份验证,那就太好了,但现实情况是,您很可能有一些用户没有使用身份验证。根据我们用户群的规模,这可能值得付出努力,但如果您处于与我相同的位置,联系数十万名用户可能不可行。
您提到了为客户提供动态 IP 空间,如果该 IP 空间仅供您的用户使用,而您保留了谁通过了哪个 IP 的身份验证的记录,我认为对电子邮件中继的身份验证检查不值得付出努力。相反,如果您的用户使用的是来自第三方提供商的共享 IP 空间,或者您没有 IP 记录,则身份验证检查是值得的。
如果您将访问身份验证系统绑定到邮件中继,并且只允许中继客户主动登录的 IP,则可以解决共享 IP 空间问题。据我所知,没有预构建的系统可以做到这一点,所以你可能必须自己动手。
答案3
- 发送时需要身份验证。不要进行 SMTP 前弹出、IP 注册或其他任何操作。只需 SMTP 身份验证。
- 对发送的邮件进行一些简单的垃圾邮件检查。如果发现垃圾邮件,请人工查看,看看用户是否被感染(或被感染)。
- 对每个用户每次可以发送的垃圾邮件数量设置一些合理的限制。
- 查看人们发送邮件数量的趋势。我的祖母每天发送约 10 封电子邮件,但将来可能不会发送 1000 封。如果她这样做了,那么让人类看看并说“哦,不是垃圾邮件机器人”可能就没问题了。
答案4
我认为 ISP 需要做和应该做的事情与其他实体需要做和应该做的事情有很大不同。就我个人而言,我不会允许任何未经身份验证的电子邮件通过我的服务器。其次,对您的服务器进行身份验证并不能阻止用户发送垃圾邮件,也不能保证您不会被列入阻止名单。我建议您对通过您的服务器的所有电子邮件(包括传入和传出)执行某种类型的过滤。