四招抵御“非法邮件”入侵

NETSCAPE MESSAGING SERVER是NETSCAPE公司提供的的邮件服务器软件， 本文针对该系统，列举一些抵御非法邮件入侵的几种方法：
1   拒绝非法用户的SMTP应用
在这里，将带病毒的邮件、进攻类的邮件等列为非法邮件，相应的用户列为“非法用户”。
若某用户频繁发带毒邮件，扰乱系统的正常运行，可通过SMTP设置，阻止该用户的转发。
设置作好后，用‘SAVE’存盘，然后重新启动SMTP服务，即阻止了上述IP的用户邮件转发，查看SMTP日志如下：
[25/Aug/2001:16:19:57 +0800] mail smtpd[2676]: General Notice: Denied TCP access
 to 45.2.2.2 [45.2.2.2]
[25/Aug/2001:16:19:57 +0800] mail smtpd[2676]: General Notice: SMTP-ProtocolPlug
in: Antirelay: refusing delivery to recpient [zq820827@163.]
[25/Aug/2001:16:19:57 +0800] mail smtpd[2676]: General Notice: SMTP-ProtocolPlug
in: Antirelay: refusing delivery to recpient [virus@trendmicro.com.cn]
[25/Aug/2001:16:19:58 +0800] mail smtpd[2676]: General Notice: Denied TCP access
to 201.1.1.1 [201.1.1.1]
[25/Aug/2001:16:19:58 +0800] mail smtpd[2676]: General Notice: SMTP-ProtocolPlug
in: Antirelay: refusing delivery to recpient [znzjlb005@21cn.com]
[25/Aug/2001:16:19:59 +0800] mail smtpd[2676]: General Notice: SMTP-ProtocolPlug
in: Antirelay: refusing delivery to recpient [webadmin@trendmicro.com.cn]
[25/Aug/2001:16:20:00 +0800] mail smtpd[2676]: General Warning: SMTP-Accept: 500
[61.150.164.131] Command unknown:    
2   用Antirelay限制邮件转发
NETSCAPE MESSAGING SERVER用Antirelay限制邮件转发，是较理想的邮件过滤工具。如设置有效地址或有效域名：submission:127.0.0.1, submission:202.110.201.* , submission:202.110.202.*，delivery:*@company.com等。Antirelay是一个非常有效的控制插件,它可以有效地阻止邮件病毒攻击，减轻系统负载,提高系统处理能力和优化系统性能。
Antirelay的功能只对smtp服务有效,所以此功能只在提供smtp服务的的主机上使用,设置Antirelay的方法如下：
假定安装MESSAGING SERVER原文件路径是: /home1/netscape/server4/plugins/antirelay
原文件名:antirelay.so
复制此文件到邮件服务器的库目录中：
#cp /home1/netscape/server4/plugins/antirelay/antirelay.so /home1/netscape/server4/bin/msg/lib/.
改变此文件的属性，使其为可执行文件：
#chmod +x antirelay.so
将此文件的用户和组的权限改为 mailsrv：sys
#chown mailsrv:sys antirelay.so
设置命令路径为:/home1/netscape/server4/bin/msg/admin/bin
以户mailsrv登录：
#su mailsrv
$./configutil -l -o service.smtp.protplugmodules -v 'antirelay.so'
配置antirelay
配置文件:/home1/netscape/server4/msg-smtp/config/antirelay.conf
文件格式:
# comments smtp.company.com
resolvehostnames:0            是否使用DNS（1是/0否）
useauthinfo:1                 是否对用户认证（1是/0否）
advertiseauthinfo:0           是否显示用户认证信息（1是/0否）
delivery:*@company.com        允许用户发送邮件的后缀（1是/0否）
delivery:*@  ......
submission:127.0.0.1
submission 202.110.201.* 
submission: 202.110.202.*
 ......
如果用户不提交口令,用IP地址控制，就要设置具体的IP地址段，如：
submission:202.110.201.*       
submission:192.168.1.*      
submission:127.0.0.1
此功能对用户进行了三次认证,它们分别是用户发送邮件时提交用户名和口令、允许用户发送邮件的限制、用户主机的IP地址认证，通过这三个条件做或运算后，判断出“非法”的邮件，进行阻挡过滤。可以通过SMTP日志查看过滤信息，剪切部分信息如下：
[20/Aug/2001:17:33:51 +0800] mail smtpd[21013]: General Notice: SMTP-ProtocolPlugin: Antirelay: refusing delivery to recpient [zq820827@163.][20/Aug/2001:17:33:52 +0800] mail smtpd[21013]: General Notice: SMTP-Accept:GID18B02.71U:<003901c1295b$422a0f60$4f50b43d@j0c2b7>:[202.108.36.140]:202.108.36.140::509234:1:geming@company.com
标下划线的部分解释如下：
Antirelay：拒绝转发的邮件信息。
Accept：正常转发的邮件信息。
3   用UBE（Unsolicited Bulk Email）过滤掉垃圾邮件
 UBE 过滤方法如下：
启动NETSCAPE CONSOLE，激活UBE plug-in
由于UBE plug-in 是一个SMTP plug-in，主要是用来扩展Netscape Messaging Server的功能。在我们进行系统安装时，UBE plug-in已经被安装，但未被激活。要想用UBE来过滤掉垃圾邮件，就必须激活UBE plug-in，可用两种方法实现：
使用Netscape Console（集成的NETSCAPE组件管理工具）
* 启动Netscape Console
* 选择Messaging Server管理器（双击Netscape Messaging Server）
* 在Netscape Messaging Server窗口中选择 Configuration

选中并打开SMTP，单击Plug-ins，如上图所示。
在Plug-in Configuration中选中Active，表示要激活UBE Plug-in，并按下Save键。
为了将所修改的配置生效，必须重起Netscape Messaging Server的SMTP服务：
cd  /home1/netscape/server4/msg-mail
./stop-msg  smtp
./start-msg  smtp
手工激活UBE Plug-in
UBE Plug-in 的配置文件都保存在：
/home1/netscape/server4/msg-mail/smtp-bin/ plugins 目录下。在该目录中有四个文件，即UBEfilter.cfg、UBEfilter.usr、libUBEfilter.so、plugins.cf，UBE Plug-in 是否被激活的控制文件是plugins.cfg。
当UBE Plug-in 没有被激活时，plugins.cfg文件第一行的第一个字符是一个#号， 当UBE Plug-in 需要被激活时，只需将#号去掉并保存文件，然后重启Netscape Messaging Server的SMTP服务即可，启动方法同上。
为了检查UBE Plug-in是否安装成功，我们需要检查SMTP log 文件。
#cd  /home1/netscape/server4/msg-mail/log/smtp
#vi  smtp
或
#tail -f smtp
如果成功，我们将在SMTP log 文件发现如下记录：
[20/Oct/2000:13:04:13 +0800] pub smtpd[14721]: General Notice: Plugin loaded : Function name(/home1/directory/msg-pub/smtp-in/plugins/libUBEfilter.so:filter_msg_plugin())
[20/Oct/2000:13:04:13 +0800] pub smtpd[14721]: General Notice: Plugin loaded : Function name (/home1/directory/msg-pub/smtp-bin/plugins/libUBEfilter.so:filter_msg_init())
Messaging Server ESMTP 4.05(built May 2 2000) starting up
[20/Oct/2000:13:04:29 +0800] pub smtpd[14721]: General Warning: Dispatch: listening on all interfaces port 25
如果不成功，我们将在SMTP log 文件发现如下记录：
[20/Oct/2000:11:07:59 +0800] mail smtpd[5999]: General Error: plugin_ParseConfigLine: Could  not  load  shared  object  /home1/netscape/server4/msg-mail/smtp-in/plugins/libUBEfilter.so
[20/Oct/2000:11:08:00 +0800] mail smtpd[5999]: General Warning: Dispatch: Netscape Messaging Server ESMTP 4.05 (built May 2 2000) starting up
[20/Oct/2000:11:08:03 +0800] mail smtpd[5999]: General Warning: Dispatch: listening on all interfaces port 25
可以再进行设置。
设置UBE Plug-in 过滤规则
当 UBE Plug-in安装成功后，我们就可以设置UBE Plug-in过滤规则。
* 用图形化界面，启动Netscape Console
* 选择Messaging Server管理器（双击Netscape Messaging Server）
* 在Netscape Messaging Server窗口中选择 Configure Unsolicited Bulk E-mail filters）
* 将弹出界面：
单击Add ,将弹出一个规则定义界面。
在这里，我们定义了如下一条规则：在系统进行邮件的处理时，将对进出的邮件进行检测，如果发现来自someoner@who.net的邮件将被拒绝，并给someoner@who.net发出一封警告信，包含如下内容：reject!
按下OK即可完成设置。
当完成设置后，通过图形化界面所设置的规则将反映到配置文件（UBEfilter.cfg）中去。
配置UBE filters时既可通过图形化界面也可直接修改配置文件(UBEfilter.cfg)来进行。以下是UBE filters，UBEfilter.cfg配置的例子：
:"1" User-From "worse@.*" REJECT "Don't send !"
:"2" Channel-To "worst@.*" REJECT "You don't sent!"
:"3" User-From "bad@who.net" REJECT "Don't send !"
在本配置中，第一条和第三条规则的解释同上，第二条规则的解释如下：
在Mail System 进行邮件的处理时，将对进出的邮件进行检测，如果发现进入系统的邮件地址中包含有worst字符串，该邮件将被系统拒绝。
通过规则的执行，“垃圾邮件”即可得到相应的控制。UBE可以对特定的邮件进行过滤和抵挡，对有规律的邮件地址可以用ANTIRELAY进行抵御，这样效率更高一些。
4  安装前端的防病毒软件，抵挡或删除邮件病毒 
Norton AntiVirus软件能够有效地放置于邮件系统前端，进行病毒检测，可以安装Norton Antivirus for FireWalls 软件，它能够扫描HTTP、FTP、SMTP和其它用户可配，支持防火墙协议；扫描ZIP，自抽取ZIP和MIME编码文件 ，只扫描可疑的信息流，确保了最高的吞吐效率 ，可以进行远程配置与内容过滤，并通过扩展配置扫描 。
也可以安装Norton Antivirus for Internet Email Gateways产品，它能够检测并清除SMTP EMAIL网关上的病毒，自动扫描所有邮件并提供定制保护 ，截获并自动清除隐藏在EMAIL设施中的进入与输出病毒，安装此软件前要将该软件的SMTP端口设置为25，邮件系统的SMTP端口设置为其它值，如88等，使得邮件在出入时，先经过GATEWAY过滤，一般是先将邮件所带的附件进行“安检”后，再进行发送。NETSCAPE MESSAGING SERVER是NETSCAPE公司提供的的邮件服务器软件， 本文针对该系统，列举一些抵御非法邮件入侵的几种方法：
1   拒绝非法用户的SMTP应用
在这里，将带病毒的邮件、进攻类的邮件等列为非法邮件，相应的用户列为“非法用户”。
若某用户频繁发带毒邮件，扰乱系统的正常运行，可通过SMTP设置，阻止该用户的转发。
设置作好后，用‘SAVE’存盘，然后重新启动SMTP服务，即阻止了上述IP的用户邮件转发，查看SMTP日志如下：
[25/Aug/2001:16:19:57 +0800] mail smtpd[2676]: General Notice: Denied TCP access
 to 45.2.2.2 [45.2.2.2]
[25/Aug/2001:16:19:57 +0800] mail smtpd[2676]: General Notice: SMTP-ProtocolPlug
in: Antirelay: refusing delivery to recpient [zq820827@163.]
[25/Aug/2001:16:19:57 +0800] mail smtpd[2676]: General Notice: SMTP-ProtocolPlug
in: Antirelay: refusing delivery to recpient [virus@trendmicro.com.cn]
[25/Aug/2001:16:19:58 +0800] mail smtpd[2676]: General Notice: Denied TCP access
to 201.1.1.1 [201.1.1.1]
[25/Aug/2001:16:19:58 +0800] mail smtpd[2676]: General Notice: SMTP-ProtocolPlug
in: Antirelay: refusing delivery to recpient [znzjlb005@21cn.com]
[25/Aug/2001:16:19:59 +0800] mail smtpd[2676]: General Notice: SMTP-ProtocolPlug
in: Antirelay: refusing delivery to recpient [webadmin@trendmicro.com.cn]
[25/Aug/2001:16:20:00 +0800] mail smtpd[2676]: General Warning: SMTP-Accept: 500
[61.150.164.131] Command unknown:    
2   用Antirelay限制邮件转发
NETSCAPE MESSAGING SERVER用Antirelay限制邮件转发，是较理想的邮件过滤工具。如设置有效地址或有效域名：submission:127.0.0.1, submission:202.110.201.* , submission:202.110.202.*，delivery:*@company.com等。Antirelay是一个非常有效的控制插件,它可以有效地阻止邮件病毒攻击，减轻系统负载,提高系统处理能力和优化系统性能。
Antirelay的功能只对smtp服务有效,所以此功能只在提供smtp服务的的主机上使用,设置Antirelay的方法如下：
假定安装MESSAGING SERVER原文件路径是: /home1/netscape/server4/plugins/antirelay
原文件名:antirelay.so
复制此文件到邮件服务器的库目录中：
#cp /home1/netscape/server4/plugins/antirelay/antirelay.so /home1/netscape/server4/bin/msg/lib/.
改变此文件的属性，使其为可执行文件：
#chmod +x antirelay.so
将此文件的用户和组的权限改为 mailsrv：sys
#chown mailsrv:sys antirelay.so
设置命令路径为:/home1/netscape/server4/bin/msg/admin/bin
以户mailsrv登录：
#su mailsrv
$./configutil -l -o service.smtp.protplugmodules -v 'antirelay.so'
配置antirelay
配置文件:/home1/netscape/server4/msg-smtp/config/antirelay.conf
文件格式:
# comments smtp.company.com
resolvehostnames:0            是否使用DNS（1是/0否）
useauthinfo:1                 是否对用户认证（1是/0否）
advertiseauthinfo:0           是否显示用户认证信息（1是/0否）
delivery:*@company.com        允许用户发送邮件的后缀（1是/0否）
delivery:*@  ......
submission:127.0.0.1
submission 202.110.201.* 
submission: 202.110.202.*
 ......
如果用户不提交口令,用IP地址控制，就要设置具体的IP地址段，如：
submission:202.110.201.*       
submission:192.168.1.*      
submission:127.0.0.1
此功能对用户进行了三次认证,它们分别是用户发送邮件时提交用户名和口令、允许用户发送邮件的限制、用户主机的IP地址认证，通过这三个条件做或运算后，判断出“非法”的邮件，进行阻挡过滤。可以通过SMTP日志查看过滤信息，剪切部分信息如下：
[20/Aug/2001:17:33:51 +0800] mail smtpd[21013]: General Notice: SMTP-ProtocolPlugin: Antirelay: refusing delivery to recpient [zq820827@163.][20/Aug/2001:17:33:52 +0800] mail smtpd[21013]: General Notice: SMTP-Accept:GID18B02.71U:<003901c1295b$422a0f60$4f50b43d@j0c2b7>:[202.108.36.140]:202.108.36.140::509234:1:geming@company.com
标下划线的部分解释如下：
Antirelay：拒绝转发的邮件信息。
Accept：正常转发的邮件信息。
3   用UBE（Unsolicited Bulk Email）过滤掉垃圾邮件
 UBE 过滤方法如下：
启动NETSCAPE CONSOLE，激活UBE plug-in
由于UBE plug-in 是一个SMTP plug-in，主要是用来扩展Netscape Messaging Server的功能。在我们进行系统安装时，UBE plug-in已经被安装，但未被激活。要想用UBE来过滤掉垃圾邮件，就必须激活UBE plug-in，可用两种方法实现：
使用Netscape Console（集成的NETSCAPE组件管理工具）
* 启动Netscape Console
* 选择Messaging Server管理器（双击Netscape Messaging Server）
* 在Netscape Messaging Server窗口中选择 Configuration

选中并打开SMTP，单击Plug-ins，如上图所示。
在Plug-in Configuration中选中Active，表示要激活UBE Plug-in，并按下Save键。
为了将所修改的配置生效，必须重起Netscape Messaging Server的SMTP服务：
cd  /home1/netscape/server4/msg-mail
./stop-msg  smtp
./start-msg  smtp
手工激活UBE Plug-in
UBE Plug-in 的配置文件都保存在：
/home1/netscape/server4/msg-mail/smtp-bin/ plugins 目录下。在该目录中有四个文件，即UBEfilter.cfg、UBEfilter.usr、libUBEfilter.so、plugins.cf，UBE Plug-in 是否被激活的控制文件是plugins.cfg。
当UBE Plug-in 没有被激活时，plugins.cfg文件第一行的第一个字符是一个#号， 当UBE Plug-in 需要被激活时，只需将#号去掉并保存文件，然后重启Netscape Messaging Server的SMTP服务即可，启动方法同上。
为了检查UBE Plug-in是否安装成功，我们需要检查SMTP log 文件。
#cd  /home1/netscape/server4/msg-mail/log/smtp
#vi  smtp
或
#tail -f smtp
如果成功，我们将在SMTP log 文件发现如下记录：
[20/Oct/2000:13:04:13 +0800] pub smtpd[14721]: General Notice: Plugin loaded : Function name(/home1/directory/msg-pub/smtp-in/plugins/libUBEfilter.so:filter_msg_plugin())
[20/Oct/2000:13:04:13 +0800] pub smtpd[14721]: General Notice: Plugin loaded : Function name (/home1/directory/msg-pub/smtp-bin/plugins/libUBEfilter.so:filter_msg_init())
Messaging Server ESMTP 4.05(built May 2 2000) starting up
[20/Oct/2000:13:04:29 +0800] pub smtpd[14721]: General Warning: Dispatch: listening on all interfaces port 25
如果不成功，我们将在SMTP log 文件发现如下记录：
[20/Oct/2000:11:07:59 +0800] mail smtpd[5999]: General Error: plugin_ParseConfigLine: Could  not  load  shared  object  /home1/netscape/server4/msg-mail/smtp-in/plugins/libUBEfilter.so
[20/Oct/2000:11:08:00 +0800] mail smtpd[5999]: General Warning: Dispatch: Netscape Messaging Server ESMTP 4.05 (built May 2 2000) starting up
[20/Oct/2000:11:08:03 +0800] mail smtpd[5999]: General Warning: Dispatch: listening on all interfaces port 25
可以再进行设置。
设置UBE Plug-in 过滤规则
当 UBE Plug-in安装成功后，我们就可以设置UBE Plug-in过滤规则。
* 用图形化界面，启动Netscape Console
* 选择Messaging Server管理器（双击Netscape Messaging Server）
* 在Netscape Messaging Server窗口中选择 Configure Unsolicited Bulk E-mail filters）
* 将弹出界面：
单击Add ,将弹出一个规则定义界面。
在这里，我们定义了如下一条规则：在系统进行邮件的处理时，将对进出的邮件进行检测，如果发现来自someoner@who.net的邮件将被拒绝，并给someoner@who.net发出一封警告信，包含如下内容：reject!
按下OK即可完成设置。
当完成设置后，通过图形化界面所设置的规则将反映到配置文件（UBEfilter.cfg）中去。
配置UBE filters时既可通过图形化界面也可直接修改配置文件(UBEfilter.cfg)来进行。以下是UBE filters，UBEfilter.cfg配置的例子：
:"1" User-From "worse@.*" REJECT "Don't send !"
:"2" Channel-To "worst@.*" REJECT "You don't sent!"
:"3" User-From "bad@who.net" REJECT "Don't send !"
在本配置中，第一条和第三条规则的解释同上，第二条规则的解释如下：
在Mail System 进行邮件的处理时，将对进出的邮件进行检测，如果发现进入系统的邮件地址中包含有worst字符串，该邮件将被系统拒绝。
通过规则的执行，“垃圾邮件”即可得到相应的控制。UBE可以对特定的邮件进行过滤和抵挡，对有规律的邮件地址可以用ANTIRELAY进行抵御，这样效率更高一些。
4  安装前端的防病毒软件，抵挡或删除邮件病毒 
Norton AntiVirus软件能够有效地放置于邮件系统前端，进行病毒检测，可以安装Norton Antivirus for FireWalls 软件，它能够扫描HTTP、FTP、SMTP和其它用户可配，支持防火墙协议；扫描ZIP，自抽取ZIP和MIME编码文件 ，只扫描可疑的信息流，确保了最高的吞吐效率 ，可以进行远程配置与内容过滤，并通过扩展配置扫描 。
也可以安装Norton Antivirus for Internet Email Gateways产品，它能够检测并清除SMTP EMAIL网关上的病毒，自动扫描所有邮件并提供定制保护 ，截获并自动清除隐藏在EMAIL设施中的进入与输出病毒，安装此软件前要将该软件的SMTP端口设置为25，邮件系统的SMTP端口设置为其它值，如88等，使得邮件在出入时，先经过GATEWAY过滤，一般是先将邮件所带的附件进行“安检”后，再进行发送。

作者:阿波