打开端口 25 和/或 587 进行电子邮件传送时，主要的安全考虑因素有哪些？

Question

我即将在 Windows 2008 服务器 (IIS7) 上安装 SmarterMail v9.0，首先想知道打开端口 25 和/或 587 时的一些安全注意事项 - 即如何防止中继等。

谢谢。

Answer 1

您不得接受来自不受信任的用户/来源（未绑定到您控制的域）的电子邮件。

开放中继是一种邮件服务器，允许互联网上的任何人向其他人发送电子邮件，而无需验证源或目的地是否已知 - 因此，中继。

您可以通过查找受信任的 IP 子网来检查来源是否已知，或者在发送邮件之前要求进行身份验证（通过 TLS 登录、GSSAPI [称为“集成 Windows 身份验证”或其他]、X.509 客户端证书或之类的）。

您可以通过将目标与您的邮件服务器将作为“最后一站”（或您控制的另一个域的中继）的域列表进行比较来检查目标是否已知。

已知来源或已知目的地就足够了，但您可能还想确保您的域的入站邮件至少是边界有效的（例如，来自具有 MX 服务器的域）。

另外，您必须注意 DoS 问题（限制入站邮件的速率），以及使用您的服务器发送反向散射垃圾邮件的能力。反向散射是指当我连接到您的邮件服务器并说：“为什么是的，我是 unsuspecting_target@not_my_domain.com，请将此邮件排队以等待 [电子邮件受保护]”。然后，您的邮件服务器会向毫无戒心的目标发送“退回”消息。为了缓解这种情况，您可以在接受邮件之前验证收件人是否已知，或者限制从一台主机接受邮件的速率，或者尝试检查传递邮件的主机是否有权使用该信封发件人。

这些都是很好解决的问题。