現(xiàn)在互聯(lián)網(wǎng)垃圾信越來越多，如果設(shè)置好你的MailServer的安全設(shè)置是一個重要的問題。現(xiàn)在以最流行的MDaemon Mail Server為例，我們來討論一下MDaemon的安全設(shè)置。  MDaemon的安全設(shè)置在Setup菜單下面的“Security Settings”。其中有以下幾個選項(xiàng)： －Address Suppression（地址抑制）：列出不允許通過你的MailServer發(fā)信的地址。如果收到這個列表中的地址發(fā)來的郵件，可以選擇接受并放到“壞信隊(duì)列”，或者在SMTP的進(jìn)程中拒絕而從不接收（甚至不儲存在你Server的臨時目錄）。這個功能用來控制一些有問題的用戶，例如總是惡性發(fā)大量郵件。這里支持通配符，例如"*@hotmail.com"和"baduser@"。可以設(shè)置所有域和某個域有效。 －IP Screening（IP掩蔽）：給你希望允許或者禁止的Server指定IP地址。如果不允許連接，從列表的IP地址來的嘗試連接將會被拒絕和馬上取消。當(dāng)你的機(jī)器具備多個IP地址，在這里設(shè)置很方便。支持設(shè)置"206.*.*.*"或者"206.101.*.130"。 －Host Screening（站點(diǎn)掩蔽）：給你希望允許或者禁止的Server指定站點(diǎn)（域名）。和IP掩蔽一樣，不過這個是讓你指定站點(diǎn)名字。支持設(shè)置"*.sample.com"或者"sample.*"。 －IP Shielding（IP掩護(hù)盾）：如果List中指定的域名嘗試連接你的服務(wù)器，IP地址必須和你在這里的地址匹配。這里有另外一個選項(xiàng)："給合法的本地用戶的郵件例外"。例如總是很多用戶使用"54fg56ff@yahoo.com"或者"tg7hj47r6@hotmail.com"等假的名字來發(fā)信給你的時候，你可以在這里設(shè)置yahoo.com和hotmail.com的真正IP地址匹配。但是互聯(lián)網(wǎng)上的站點(diǎn)太多，有時實(shí)在設(shè)不及，還得和其他方法并用。 －SMTP Authentication（SMTP認(rèn)證）：當(dāng)用戶發(fā)信到MDaemon Server，如果沒有先認(rèn)證身份，用幾種選項(xiàng)來指示MDaemon的行為。（MDaemon支持從Windows NT導(dǎo)入已經(jīng)認(rèn)證的用戶）  1. Authenticated senders are valid regardless of the IP they are using  已認(rèn)證的用戶免除IP Shielding（IP掩護(hù)盾）限制，無論使用什么IP都可以。  2. Authenticated users are exempt from the POP before SMTP requirement  如果以下有使用"SMTP前先POP"的安全功能，這能使已認(rèn)證的用戶免除這個限制。  3. Authentication is always required when mail is from local accounts  任何聲稱來自本地用戶的信件都要求先被認(rèn)證  4. MAIL FROM "Postmaster" requires an authenticated session  從"Postmaster"發(fā)來的信也需要一個認(rèn)證的進(jìn)程。發(fā)垃圾信的人和黑客知道有"Postmaster"的存在，他們可能通過這個帳號來向你的服務(wù)器發(fā)郵件。你可以選擇這個設(shè)置以防止他們這么做。  5. Authentication credentials must match those of the email sender  認(rèn)證證書必須和發(fā)信人擁有的匹配。這防止本地用戶使用本系統(tǒng)其他用戶地址發(fā)信。  6. Global AUTH password  使用通用的AUTH密碼。如果使用了上面”已認(rèn)證用戶可以免除IP限制"，MDaemon給動態(tài)NT認(rèn)證的用戶帳號配置必須使用這個通用的密碼來代替他們的普通的NT密碼。 －POP Before SMTP（SMTP前先POP）：用于每個MDaemon用戶先存取他的Mailbox，然后才允許通過MDaemon發(fā)信，這樣就驗(yàn)證了用戶有一個合法的用戶帳號，允許使用這個Email系統(tǒng)。這個是減少非法用戶使用你的Mail Server的最簡單方便的方法，就是現(xiàn)在各大ISP常用的方法。但是同時要注意要求用戶在客戶端做相應(yīng)的設(shè)置。 －Spam Blocker（拒絕垃圾信）：允許指定幾個ORDB和MAPS RBL類型的站點(diǎn)，每次當(dāng)用戶要發(fā)信到你的Server的時候，這些站點(diǎn)都會被檢查。如果連接的IP地址是在站點(diǎn)黑名單中，這些信息就會被拒絕或者被做上標(biāo)記。要注意的是有些站點(diǎn)是被錯誤地記錄進(jìn)黑名單的。  如果要查詢垃圾信信息和如何使用ORDB或者M(jìn)APS RBL來控制和中止垃圾信，可以參考：http://www.ordb.org和http://www.mail-abuse.com/rbl/。  這個Spam Blocker有幾個選項(xiàng)：  1. Flag messages from blacklisted sites but go ahead and accept them  設(shè)置這個，MDaemon將不會拒收來自黑名單站點(diǎn)的信件，但是這些信件會被加上一個"X-RBL-Warning"的告誡信頭。你也可以使用內(nèi)容過濾功能來搜索有這些信頭的信件，而對這些信件做出相應(yīng)的舉動。MDaemon還會給每個用戶自動建立一個"垃圾郵件"的IMAP目錄，并生成相應(yīng)的IMAP郵件規(guī)則，把它發(fā)現(xiàn)的有這些"X-RBL-Warning"信頭的信件放到該目錄下。雖然并不一定準(zhǔn)確安全，但是這也是一個簡單的方便幫助用戶快速鑒別垃圾郵件。這樣用戶只需要不定期的檢查這個"垃圾郵件"的目錄，確認(rèn)有些重要的信件沒有意外的被放到該目錄（有時會發(fā)生這種情況）。關(guān)于這個，大家可以參考一下http://www.hotmail.com的網(wǎng)頁，他們就是這樣做的。  2. Check "Received" headers within SMTP collected messages  檢查SMTP收到的信件中標(biāo)記在"Received"信頭中的IP地址。這個對已經(jīng)收到的信件的策略用處不大，如果上面已經(jīng)設(shè)置了"SMTP之前先POP"，這里就不需要了。  3. Check "Received" headers within POP collected messages  檢查DomainPOP或者M(jìn)ultiPOP收到的信件中標(biāo)記在"Received"信頭中的IP地址。  4. Add blacklisted sites to the IP Screen(under All Domains)  把黑名單中的站點(diǎn)加到上面的IP Screen（IP掩蔽）功能里面（在所有域下面）。這個選項(xiàng)很重要，防止這些站點(diǎn)將來嘗試連接你的服務(wù)器。自動把黑名單的站點(diǎn)加到IP Screen的文件大概是20KB（大概500個項(xiàng)），之后不會自動添加（可以手動）。這樣防止IP Screen里面的地址太多爾影響了服務(wù)器的性能。  5. 其他幾個選項(xiàng)講的是幾種例外情況，和上面的大同小異，這里就不多說了。 在Spam Blocker Hosts頁中，你可以手動添加和刪除站點(diǎn)列表。 在Spam Blocker Caching頁中，你可以設(shè)置緩存阻擋垃圾信的查詢。這里設(shè)置為自動即可。 －Relay Settings（轉(zhuǎn)發(fā)設(shè)置）：用來控制MDaemon當(dāng)你的MailServer收到一封不是本地地址的來信如何處理。  1. This server does not relay mail for foreign domains  設(shè)置這個選項(xiàng)，MDaemon將拒絕接受FROM和TO都不包含本地用戶的信件。就是說，不為外部郵件轉(zhuǎn)信。  2. Refuse to accept mail for unknown local users  設(shè)置這個選項(xiàng)，MDaemon接受給本地未知用戶的郵件。  3. Sender's address must be valid if it claims to be from a local domain  如果信件聲稱它是來自一個本地Domain，這個本地用戶必須存在，否則MDaemon將拒絕發(fā)送這個信件。  4. Mail sent via authenticated SMTP sessions can always be relayed  通過已認(rèn)證進(jìn)程發(fā)出的信件總是被轉(zhuǎn)發(fā)。  5. Mail can always be relayed through domain gateways  信件總是能通過域的網(wǎng)關(guān)轉(zhuǎn)發(fā)，而不管轉(zhuǎn)發(fā)控制如何。這個功能默認(rèn)是禁止的，而且不推薦。 －Trusted Hosts（信任的站點(diǎn)）：指定對Relay Settings中的Relay規(guī)則例外的域名或者IP地址。 －Trapit Settings（故意延時）：Trapitting是指在SMTP處理時故意插入延時，來阻礙發(fā)送服務(wù)器不停地嘗試發(fā)送。 －Reverse Lookup（反查詢）：MDaemon能查詢DNS Server來檢查來信的域名和IP地址的合法性。能用于拒絕可疑的信件或者在信頭有一個特別的信頭。DNS反查數(shù)據(jù)同樣會記錄在MDaemon日志文件中。  1. Perform reverse PTR record lookup on inbound SMTP connections  MDaemon會對所有進(jìn)來的SMTP進(jìn)程執(zhí)行反標(biāo)記記錄查詢。  2. ... send 501 and shutdown connection if no PTR record match  如果沒有發(fā)現(xiàn)PTR記錄，發(fā)送501錯誤代碼，并中止連接。  3. Perform lookup on HELO/EHLO domain  HELO/EHLO是發(fā)信客戶端用來確認(rèn)它連接到Server的身份。設(shè)置這個選項(xiàng)，將對在進(jìn)程中使用HELO/EHLO命令時報告的域名進(jìn)行反查詢。  4. Perform lookup on value passed in the MAIL command  設(shè)置這個選項(xiàng)，將對在進(jìn)程中使用MAIL命令時報告的域名進(jìn)行反查詢。例如你可以在日志中看到"MAIL FROM abced@yahoo.com.cn"。這個時候就會對這個域名yahoo.com.cn進(jìn)行反查詢。而這個地址通常是信件的返回路徑，也是信件的原始發(fā)起地址。但是要注意有時這里被錯誤的地址代替。  5. Refuse to accept mail if a lookup returns "domain not found"  如果反查詢的結(jié)果是"沒有找到該域名"，設(shè)置這個選項(xiàng)就會拒收該信件，并給予451錯誤代碼（請求的操作被中止），然后該進(jìn)程會被允許正常執(zhí)行。  6. ...send 501 error code (normally sends 451 error code)  設(shè)置這個選項(xiàng)，當(dāng)出現(xiàn)上面的"沒有找到該域名"錯誤，用501錯誤代碼代替451錯誤代碼。  7. ...and then shutdown the socket connection  設(shè)置這個選項(xiàng)，當(dāng)出現(xiàn)上面的"沒有找到該域名"錯誤，中止該連接。  8. Insert "X-Lookup-Warning" header into suspicious messages  如果反查詢的時候發(fā)現(xiàn)是可疑的信件，給信件插入"X-Lookup-Warning"信頭。 綜上所述，大家可以看到，現(xiàn)在流行的郵件服務(wù)器已經(jīng)可以使用多種手段來實(shí)現(xiàn)郵件安全和垃圾郵件問題。但是現(xiàn)實(shí)使用中我們還需要不斷參考日志文件隨時針對性地做出修改。例如163.com被國外組織認(rèn)為是垃圾郵件服務(wù)器（確實(shí)很多垃圾郵件從那里發(fā)出），如果使用Spam Blocker，你就有可能不能收到從163.com發(fā)來的郵件。因此，具體情況就要給予具體設(shè)置。這個考慮在大家自己，就見仁見智了