垃圾邮件设备是否必须位于“防火墙设备”后面,例如 ASA Cisco 设备。由于它是垃圾邮件/防火墙,它会在防火墙后面引起问题吗?由于它会被网络地址转换到防火墙的 IP 地址,因此需要面向公众?
我正在考虑将 Barracuda 移到另一个 IP 范围并让它们面向公众,来自“未知收件人”的退回消息报告了 Cisco ASA nat IP 地址。
这使我相信这是一种背散射的形式,对吗?
任何帮助或建议都将非常有帮助。
答案1
Barracuda 只是名义上的“防火墙”。它实际上只是一台过滤设备。只要您允许打开正确的端口,位于 ASA 后面就不会影响其可操作性。
通常,最好位于防火墙后面,因为例如,您不希望有人从外部连接到 Web 界面。
您的后续问题:
This leads me to believe this would be a form of backscatter am I correct?
对我来说没有意义。无论您是否在 NAT 后面,Barracuda 都会发送“未知收件人”回复。我相信这是可配置的,并且可以禁用。
答案2
我在 Cisco ASA 防火墙后面运行 Barracuda 垃圾邮件过滤器。Barracuda 只是一个设备;一个位于私有 IP 上的服务器,在防火墙后面进行 NAT。
我为 Barracuda 设备提供了自己的公共 IP,并将域的 MX 记录指向它。例如spam.domain.com
。
根据 Cisco ASA 的 NAT 设置方式,您最终可能会在来自 Barracuda 的出站流量上显示 PAT 地址。修复此问题。
编辑:
大多数 Barracuda 垃圾邮件过滤器型号(300 及以上)都可以利用 Active Directory 或 LDAP 来验证电子邮件地址,然后再将其发送到邮件服务器。据我所知,这是解决您问题的真正方法。
答案3
首先我要说的是,我不是思科用户,因此,尽管 ewwhite 关于 PAT 的建议看起来不错,但我对此真的无法给出肯定或否定的回答。
接下来,如果垃圾邮件过滤器位于防火墙后面,我可以看到两个选项。一个是使用公共 IP 作为垃圾邮件过滤器。另一个是将流量从防火墙端口转发到垃圾邮件过滤器。垃圾邮件过滤器高度依赖于查看每封电子邮件的正确发件人 IP 以使 DNSBL 能够正常工作,但这两种情况都可以正常工作。
有一件事千万不要做,那就是在防火墙上运行任何形式的邮件服务器来存储和转发邮件,因为这样垃圾邮件过滤器就会将电子邮件的发件人 IP 视为防火墙的内部 IP,这将严重妨碍反垃圾邮件功能。(可能与思科无关,但为了完整性而包括在内)
现在,当您的 Barracuda(或任何其他能够存储和转发电子邮件的设备)接受无效收件人的电子邮件时,就会产生反向散射。当它尝试将这些电子邮件转发到您的 Exchange 服务器时,如果配置正确,它将只接受有效收件人的电子邮件。然后,将向所有发送给无效收件人的电子邮件发送 NDR。狡猾的人已经意识到,如果他们伪造发件人标题(例如,如果我将我的个人电子邮件地址作为欺骗的发件人地址),那么所有的 NDR 都将发送给该人(例如我的个人电子邮件地址),而不是实际的垃圾邮件发送者/发件人。
反向散射通常出现在 Barracuda(或 MTA)等设备设置为接受特定域的所有电子邮件而没有实际有效用户列表时。在禁用 NDR 之前,请检查 RFC2821,其中规定不要这样做。