我知道这是一个菜鸟问题,但是我还无法找到我正在寻找的答案。
我的邮件服务器最近因感染 cutwail 而被列入黑名单。除名指令的一部分是阻止端口 25,具体如下:
“阻止这种情况的最简单、最有效的方法是配置您的 NAT,以禁止除真实邮件服务器之外的端口 25 上的互联网连接。这不仅可以阻止所有这些病毒和垃圾邮件的传播,而且 NAT 日志还会立即告诉您受感染机器的 LAN 地址。”
查看我们的 ISA 规则(我继承了此设置,因此对其中的所有内容并不熟悉),我们有两个与 SMTP 相关的规则:一个允许从本地主机到外部的所有内容,另一个允许从外部到本地主机的所有内容。我想这不是我想要的。
因此,为了符合规定,我想阻止 SBS 2003 上的端口 25。我们只有这台服务器,它为我们提供 NAT 并充当我们的 Exchange 服务器。
我该如何按照他们的要求,“阻止除真实邮件服务器以外的 25 端口”而不干扰我们的电子邮件功能?
答案1
您无法关闭 SBS 服务器的 25 端口,因为正如其他人提到的,这会关闭来自 Exchange 的外发邮件。
听起来你为 SMTP 设置的 2 条 ISA 规则已经涵盖了这一点。如果我没记错的话(这要追溯到很久以前),ISA 默认以拒绝所有的方式运行,你必须打开你需要打开的内容。从这个角度来看,你使用这些规则配置是正确的。
如果您的 Exchange 服务器被感染,那么除了使用好的 A/V 软件使其保持更新之外,您没有其他办法。
除此之外,我建议联系您的 ISP 并与他们讨论如何对黑名单提出上诉。您需要证明您没有漏洞,或者至少尽可能安全。即便如此,这也取决于他们的条款和条件。
答案2
我的客户也遇到过类似的情况,通常 SBS 服务器本身并不是真正的感染源。它要么是客户端计算机直接通过端口 25 发送,要么是使用 Exchange 服务器作为中继来发送。
通常,您希望在防火墙内阻止所有端口 25(最好阻止从 wan 到 lan 的所有端口),然后根据需要设置从防火墙到 sbs 服务器的特定端口转发。然后,您还可以阻止任何未指定为您的电子邮件服务器的设备在端口 25 上的出站流量。由于您的服务器也用作防火墙,因此“允许从本地主机到外部的所有 smtp”规则实际上符合他们的要求。但由于所有互联网访问都已通过服务器,因此它不会产生他们想要的效果。您可以尝试添加一条规则,阻止从本地网络范围到本地主机的 smtp,但这仍然会使您的服务器容易受到攻击。
降低 SBS 2003 机顶盒暴露风险的正确方法是购买或配置路由器作为防火墙而非服务器。然后使用防火墙而非服务器作为网络网关。