4.2. Các tính n ng nâng cao c a MDaemon
4.2.5. Các gi i pháp an toàn cho mail server
Spam Blocker s d ng đ ng n h u h t spam th đ n server c a b n. Tính n ng này cho phép b n s d ng ORDB và MAPS RBL host (là các host trên th gi i mà nó l u gi danh sách các mail server có kh n ng open-relay, và th t các host trong danh sách c a ORDB và MAPS RBL có kh n ng là spam ) đ ki m tra m i khi có th g i đ n server. N u đ a ch g i đ n thu c đa ch IP trong blacklist c a các host trên thì s b t ch i ho c thi t l p c c nh báo.
Thông tin v ORDB và MAPS RBL b n có th xem t i các trang web sau : http:// www.ordb.org
http:// www.mail-abuse.com/rbl
a. Spam Blocker Engine
Hình 4.40 Spam Blocker Engine
Enable Spam Blocker engine: B t ch c n ng ng n ch n spam (Spam Blocker)
Spam Blocker Options
Flag messages from blacklisted sites but go ahead and accept them: Khi l a ch n này cho phép, MDaemon s không t ch i nh n các th t các đ a ch có trong blacklist, nh ng các th đó s đ c đi n thêm c nh báo "X-RBL- Warning:" vào ph n header c a th . Và có th dùng Content Filter đ tìm các th có ph n header đó và x lý.
Automatically filter spam message into user's IMAP spam folder: L a ch n cho phép các account m i t o s đ c t o m t th m c "Inbox/Spam".
MDaemon s c ng t o m t quy t c cho IMAP mail cho phép MDaemon t đ ng tìm ki m trong ph n đ u c a th c nh báo "X-RBL-Warning" n u th y nó s đ c chuy n vào th m c spam. Khi l a ch n đi u khi n này c ng s h i b n có t o th m c spam và quy t c cho các account đã t n t i hay không?
Auto-generating a Spam Folder and Rule for Each Account: MDaemon có th t đ ng t o th m c "Inbox\Spam" cho IMAP mail c a các account và đi n quy đnh đ chuy n th sang th m c đó khi tìm th y c nh báo "X-RBL- Waring" trong header. V i l a ch n trên c ng cho phép t o th m c và gán quy t c cho t t c ng i dùng m t cách đ n gi n. M c d u không ph i là hoàn toàn nh ng nó c ng là m t cách đ n gi n và d dàng đ giúp b n nhanh chóng xác đ nh các spam và c ng r t hi u qu đ ng n ch n spam. Nó ch c n th nh tho ng ng i dùng ki m tra th m c spam đ ch c ch n r ng không có b c th quan tr ng nào đó b g i nh m ra đây. Khi t o th m c ch ng spam và gán quy t c cho account mà MDaemon ki m tra th y r ng quy t c đã đi n c nh báo "X-
RBL-Warning" trong ph n header c a th thì nó s không th c hi n l i. Và n u b n mu n th m c ch a spam th có tên khác "Spam," thì b n có th vào file MDaemon.ini đ ch a giá tr m c đnh trong đó.
[Special]
DefaultSpamFolder=Spam (Thay th “Spam” v i m t tên khác - t i đa là 20 ký t )
Check ‘Received’ headers within SMTP collected messages: Cho phép b t ki m tra Spam Blocker đ ki m tra đa ch IP đ c đi n trong ph n "Received"
c a th khi g i qua SMTP.
Check only this many ‘Received’ headers (0 = all): S l ng c a
"Received" headers mà mu n Spam Blocker ki m tra b t đ u v i đa ch đ u.
Giá tr "0" ngh a là t t c "Received" s đ c ki m tra.
Skip this many of the oldest ‘Received’ headers (0 =none): S d ng l a ch n này n u mu n Spam Blocker b qua m t ho c m t vài "Received" header khi ki m tra th . Nó th ng b qua nh ng đa ch cu i. Giá tr m c đnh là 1
Check ‘Received’ headers within POP collected messages: Cho phép Spam Blocker ki m tra đa ch IP đính kèm v i ph n “Received” c a th đ c l y qua DomainPOP và MultiPOP.
Check only this many ‘Received’ headers (0 = all): S l ng c a
"Received" headers mà mu n Spam Blocker ki m tra b t đ u v i đa ch đ u tiên. Giá tr "0" ngh a là t t c "Received" s đ c ki m tra.
Skip this many of the oldest ‘Received’ headers (0 =none): S d ng l a ch n này n u mu n Spam Blocker b qua m t ho c m t vài "Received" headers khi ki m tra th l y b ng DomainPOP và MultiPOP. Nó th ng b qua nh ng đa ch cu i. Giá tr m c đnh là 1
Skip "Received" headers within messages from exempted Ips: L a ch n khi mu n Spam Blocker s không ki m tra "Received" trong nh ng th mà t các đa ch IP xác đnh. B m nút "Exception" đ xác đ nh đ a ch IP.
Add blacklisted sites to the IP Screen (under All Domains): Khi Spam Blocker xác đnh đ a ch IP c a th đ n trong danh sách blacklist, MDaemon s t đ ng đi n nó vào danh sách IP Screen n u l a ch n này đ c ch n. Thêm đa ch vào IP Screen đ không cho nó có các k t n i vào MDaemon trong t ng lai. N u l a ch n này đ c ch n MDaemon s ch thêm đa ch IP c a backlist t i khi IP Screen có đ l n 20KB. i u đó đ tránh cho IP Screen tr nên quá l n và nó nh h ng đ n ho t đ ng c a server. Khi IP Screen đ t đ n đ l n đó nó s không t đ ng đi n n a nh ng v n có th đi n thêm b ng tay (vào Setup→ Security settings→ Address suppression/IP screening/Host screening...)
Authenticated sessions are exempt from Spam Blocker lookups: L a ch n cho phép các đ a ch mà các k t n i đ c s d ng xác th c (AUTH) s không ph i ki m tra qua Spam Blocker.
Always exempt Trusted IPs from Spam Blocker lookups: L a ch n cho phép các đa ch trong danh sách Trusted Host c a b n Relay Setting thì không ph i ki m tra qua Spam Blocker.
Exceptions: B m vào nút này đ m Spam Blocker Exception đ xem ho c đi n đa ch IP ho c email mà không mu n đ c ki m tra b i Spam Blocker.
Nên luôn luôn có đa ch IP c a chính server MDaemon đ tránh ki m tra chính nó. a ch 127.0.0.1 không b ki m tra nên không c n đi n vào danh sách.
b. Spam Blocker Hosts
Hình 4.41 Spam Blocker Hosts
MDaemon s s d ng Spam Blocker truy v n các hosts trong danh sách đ ki m tra đa ch IP. N u host tr l i đa ch IP có trong danh sách blacklist, MDaemon s t ch i ch p nh n các th t đ a ch đó và g i m t th tr l i r ng đa ch đó có trong blacklist.
Remove: L a ch n m t đ a ch trong Spam Blocker Host và b m nút này đ xóa kh i danh sách.
New host: i n vào đây host s d ng đ ki m tra đa ch IP c a các th . Message: Th c nh báo s g i đ n n u đa ch IP có trong backlist t ng ng v i host đi n trong New host.
Add: Sau khi đi n vào New Host và Message, b m vào nút này đ đi u vào Spam Blocker Host.
c. Spam Blocker Caching
Hình 4.42 Spam Blocker Caching Engine
Automatically cache Spam Blocker result: L a ch n này cho phép l u vào b nh cache c a server các đa ch IP n m trong blacklist mà Spam Blocker xác đnh đ c.
Enter New Cached Entry
IP address: i n đa ch mà b n mu n đi n th công vào Spam Blocker cache
Default time to live (in minutes): ây là kho ng th i gian cho phép m t đa ch đ c l u trong Spam Blocker cache. i n 9999 vào đây cho phép các đa ch trong cache không b gi i h n th i gian (không nên dùng)
Automatically cached entries use default time to live also: L a ch n cho phép t đ ng đi n các b n ghi vào cache và s d ng Default time to live trên đ thi t l p th i gian l u trong cache.
Maximum cached entries: S l ng b n ghi cho phép ghi vào cache.
Add: Sau khi đi n vào IP Address và Default Time To Live và b m vào nút này đ đi n vào danh sách l u trong cache.
Currently cached entries: Danh sách các đa ch đang đ c l u trong cache. MDaemon s không truy v n cho các đa ch l u trong này và nó đ c x lý nh đ a ch trong blacklist.
Remove: L a ch n m t b n ghi và b m nút này đ xóa kh i danh sách đa ch l u trong b nh cache.
Clear: B m nút này đ xóa toàn b danh sách đa ch IP đ c l u trong cache
4.2.5.2. Spam Filter
Spam Filter giúp MDaemon t ng kh n ng ch ng spam. Spam Filter k t h p v i các k thu t m i đ ki m tra các th đ tính toán có ph i là spam trên m t k thu t ph c t p t đó đ a ra các quy t đnh nh lo i b th ho c đi n các c nh báo.
B ng cách ki m tra hàng nghìn các spam th đ đ a ra các quy lu t c a spam và t đó thi t l p các quy t c cho spam filter đ ch ng spam.
Hình 4.43 Spam Filter Options
If a message is determined to be spam then...: Spam Filter s ho t đ ng theo các l a ch n d i n u s th là spam l n h n s xác đnh trong ph n Heuristics
...bounce the message back to sender: L a ch n này cho phép g i th tr l i ng i g i. Nh ng spam th ng là đánh l a đa ch g i đi do đó các th th ng là không chuy n đi đ c.
...just delete the message completely: L a ch n này đ n gi n là xóa các th mà s l ng l n h n cho phép.
...flag the message but let it continue down the delivery path: L a ch n này cho phép g i th đ n n i d đnh nh n và thi t l p c c nh báo spam và đi n vào ph n header (xem ph n Heuristics).
Don't filter messages sent from local sources: L a ch n cho phép ng i dùng c a chính h th ng s không b ki m tra b i spam filtering.
Don't filter messages from trusted or authenticated sources: L a ch n cho phép các th g i t các domain tin t ng (trusted domain) ho c ng i g i đã xác th c s không ph i qua spam filtering.
Don't filter messages larger than XX kb (0=filter all messages): Th ng là ng i mu n spam th thì ph i g i th t nhi u th có đ l n nh trong m t kho ng th i gian ng n. Do đó l a ch n này cho phép nh ng th có đ l n h n m t s xác đnh thì s không ph i qua ki m tra spam. i n "0" thì t t c các th l n nh đ u ph i qua spam filtering.
Automatically filter spam messages into user's IMAP spam folder: L a ch n này cho phép MDaemon s t đ ng chuy n các th mà spam filtering xác đnh là spam vào th m c "Spam" IMAP. Nó s t đ ng t o th m c "Spam"
cho các account m i t o.
Khi l a ch n thì MDaemon c ng s yêu c u có mu n MDaemon t o th m c "Spam" cho các ng i dùng đã t n t i hay không. N u ch n "Yes" thì th m c này s t o cho t t c ng i dùng. N u ch n "No" thì th m c s không đ c t o và ch các account m i thì m i đ c t o.
4.2.5.3. Address Suppression
Hình 4.44
Vào Setup→ Security Settings→ Address Suppression... đ thi t l p danh sách ng n ch n (suppression list). ây là danh sách các đ a ch IP không đ c phép g i th đi n t t i server. N u m t th đ n t m t đ a ch trong danh sách này thì nó có th đ c ch p nh n và chuy n vào danh sách th l i ho c là b t ch i ngay khi k t n i SMTP tùy thu c vào thi t l p. Nó r t h u d ng cho vi c ch n các đa ch có nghi v n.
Currently Suppressed Addresses
C a s hi n danh sách các đa ch b ch n.
New Suppression Entry
Domain Name: Ch n domain name s đ c đi n vào danh sách ki m tra Email Address: i n đa ch th mu n ng n ch n ng v i domain đi n trên. Các ký t t t đ c phép s d ng. Ví d "@badmail.com" s ng n t t c
các đa ch th t domain "badmail.com". "Frank@" s ng n t t c các đa ch th có tên "Frank" và domain b t k .
Remove: Xóa b n ghi mà b n ch n Add: Thêm vào danh sách ng n ch n Options
Refuse to accept mail during SMTP session: L a ch n cho phép các th t đa ch ng n ch n g i đ n đ a ch domain không cho phép s b t ch i trong khi thi t l p SMTP. Không th nào có th đ n domain đ c t các đa ch không cho phép đ n server. N u không l a ch n thì th s đ c ch p nh n nh ng s đ c chuy n t i bad message queue. Thi t l p này ch thi t l p cho t ng domain. Nó không thi t l p cho toàn b domain "All Domains"
Inform sender when their mail is rejected: N u l a ch n, s có m t th l ch s g i t i đa ch ng i g i r ng th g i đ n đã b xóa b i vì không cho phép. Thi t l p này trên t ng domain.
4.2.5.4. IP Screening
Vào Setup→ Security Settings→ Address Suppression/IP Screening... cho phép thi t l p IP Screening. IP Screen là danh sách các đa ch IP đ c thi t l p cho phép ho c không cho phép g i th t i server. K t n i t m t đ a ch IP trong danh sách t i server tùy thu c vào thi t l p có th cho phép k t n i ho c lo i b k t n i. Các ký t t t đ c phép s d ng
*.*.*.* T t c đ a ch IP
203.*.*.* T t c các đa ch b t đ u v i 203
203.162.*.0 T t c các đa ch t 203.162.0.0 đ n 203.162.255.0
Hình 4.45 Current IP Screen Entries
C a s hi n danh sách các đ a ch IP thi t l p b i MDaemon. Chúng có th thi t l p cho toàn b ho c ch là đa ch IP c a server tùy thu c vào thi t l p.
New IP Screen Entry
Local IP: T c a s drop-down đ ch n t t c các IP ("All IP's") ho c m t đa ch IP mà MDaemon qu n lý.
Remote IP: i n đ a ch IP mu n cho vào danh sách IP screen
This remote IP can connect: L a ch n cho phép ch nh ng đ a ch t ng ng v i domain trong danh sách m i đ c phép k t n i và chuy n th . Nh ng đa ch không có trong danh sách s b t ch i và ngay l p t c b qua. L a ch n này r t phù h p đ thi t l p h th ng th n i b .
This remote IP can not connect: L a ch n s cho phép t t c các đa ch IP đi n theo danh sách thì không đ c phép k t n i và g i th t i. Nh ng k t n i t đa ch đó s b t ch i và lo i b ngay l p t c. Nó r t phù h p đ lo i b các IP có th gây l i cho h th ng th đi n t .
Add: B m nút này đ đi n các đ a ch trong IP Address vào danh sách Current IP Screen Settings
Remove: B m nút này đ h y l a ch n trong danh sách Current IP Screen Settings
Default for Undefined IP's
Undefined IPs can connect to this local IP: L a ch n này cho phép t t c các đa ch IP không có trong danh sách IP Screen s đ c phép k t n i.
Undefined IPs cannot connect to this local IP: L a ch n này cho phép ch nh ng đa ch IP trong danh sách IP Screen đ c phép k t n i.
4.2.5.5. Host Screening
Hình 4.46 Current Host Screen Entries
C a s hi n th t t c các host ng n b i MDaemon. Danh sách cho toàn b ho c cho t ng đ a ch IP mà server qu n lý.
New Host Screen Entry
Local IP: T c a s drop-down đ ch n t t c các IP ("All IP's") ho c m t đa ch IP mà MDaemon qu n lý.
Remote host: i n host vào danh sách đ c phép ho c không đ c phép k t n i đ n (wildcard đ c phép s d ng do đó "*.example.com" cho phép
ho c không cho phép k t n i t i v i t t c các domain con c a example.com ho c "example.*" s đi n vào danh sách cho phép ho c không cho phép các domain b t đ u v i "example.")
This remote host can connect: L a ch n s ch cho phép các host t ng ng v i domain m i đ c phép k t n i và chuy n th . Còn các k t n i không t ng ng v i danh sách s b t ch i và ngay l p t c lo i b . L a ch n này r t h u ích cho h th ng th n i b .
This remote host can not connect: L a ch n cho phép các host không có trong danh sách đ c phép k t n i và chuy n th . Nh ng host có trong danh sách s b t ch i ngay l p t c. L a ch n h u ích cho vi c ng n ch n các host có th gây l i đ n h th ng th .
Add: B m nút này đ đi n host vào danh sách.
Remove: B m nút này đ xóa l a ch n trong danh sách.
Default for Undefined Hosts
Undefined hosts can connect to this local IP: L a ch n cho phép t t c các host không có trong danh sách s đ c phép k t n i t i.
Undefined hosts cannot connect to this local IP: L a ch n cho phép ch nh ng host đ c gán quy n trong danh sách s đ c phép k t n i.
4.2.5.6. IP Shielding
Hình 4.47
Vào Setup→ Security Settings→ IP Shielding... đ c u hình cho IP Shielding. IP Shield là danh sách các domain name và các đa ch IP t ng ng s đ c ki m tra trong l nh "SMTP MAIL FROM:". M t phiên SMTP đòi h i ph i t m t n i trong danh sách xác đnh, nó t m t n i có đ a ch IP đ c xác đnh. Ví d nh domain name là mdaemon.com ng v i đa ch IP là 192.168.0.*. Do đó khi m t SMTP v i "MAIL FROM
<someone@mdaemon.com>", thì phiên giao d ch SMTP s ti p t c n u t host g i đ n có đa ch IP trong kho ng t 192.168.0.0 đ n 192.168.0.255
Currently Defined Domain/IP Pairs
Là danh sách domain và các đ a ch t ng ng c a nó mà s đ c dùng đ so sánh khi m t ai đó mu n k t n i t i MDaemon đ g i th .
Messages to valid local users are exempt from domain/IP matching: L a ch n này cho phép không ki m tra v i các th g i n i b mà ch ki m tra domain và IP t ng ng v i các đa ch t n i khác đ n. Nó cho phép tránh đ c vi c trung chuy n th và ti t ki m tài nguyên c a h th ng b ng cách không ki m tra các th g i n i b cho nhau.
IP Shield honors aliases: L a ch n cho phép IP Shield xác đ nh đa ch alias khi ki m tra t ng ng gi a domain/IP address. L a ch n đ c ch n thì IP Shield s chuy n đ i alias sang đúng account mà nó ch đ n và s d ng account đó đ ki m tra IP Shield. N u không ch n thì IP Shield s coi alias nh m t account đ c l p. Và do đó n u alias không đúng nh trong danh sách IP Shield thì th s b h y b .
Domain name: i n domain mà b n mu n xác đnh t ng ng v i đa ch IP.
IP address: i n đa ch IP mà b n mu n t ng ng v i domain name đi n trên.
Add: B m nút này đ đi n đ a ch IP và domain name vào danh sách.
Remove: B m nút này đ xóa l a ch n kh i danh sách.
4.2.5.7. SMTP Authentication
Hình 4.48 SMTP Authentication
Authenticated senders are valid regardless of the IP they are using: L a ch n cho phép IP shield s không đ c s d ng v i ng i dùng đã s d ng xác th c. Nh ng th t ng i dùng này s đ c ch p nh n mà không c n quan tâm đ n đa ch IP mà nó s d ng.
Authenticated users are exempt from the POP before SMTP requirement:
L a ch n cho phép nh ng ng i dùng s d ng POP tr c khi s d ng SMTP đ g i th s không c n ki m tra tr c khi g i th .
Authentication is always required when mail is from local account: L a ch n b t bu c khi m t ng i g i th mà th đó t m t trong các domain mà MDaemon đang qu n lý thì account c a ng i dùng ph i đ c xác th c tr c khi g i ho c là MDaemon s t ch i chuy n th .
MAIL FROM "Postmaster" requires an authenticated session: L a ch n yêu c u postmaster account ph i xác th c tr c khi MDaemon ch p nh n g i th c a "Postmaster". Spammers và hacker bi t r ng postmaster t n t i nó s c g ng s d ng account đó đ g i th qua h th ng. L a ch n này ng n ng i dùng không có quy n s d ng postmaster.
Authentication credentials must match those of the email sender: L a ch n này n u b n mu n nh ng ng i dùng đã xác th c g i th thì ch s d ng quy n xác th c c a chính h đ g i th c a h , b ng cách s d ng account và m t kh u ph i đi kèm trong SMTP MAIL. Nó tránh cho vi c ng i dùng c a h th ng g i th s d ng đa ch khác c ng cùng trong h th ng.
Global AUTH password: M t s tr ng h p thì s d ng Global AUTH password đ xác th c g i th thì t t h n.
4.2.5.8. POP Before SMTP
Hình 4.49 POP Before SMTP
Local sender must have accessed mailbox within last [XX] minutes: L a ch n này xác đnh r ng ng i dùng mà server qu n lý ph i truy nh p vào h p th đ ki m tra th trong vòng m t s phút xác đnh thì m i đ c phép g i th . Messages collected via ATRN are exempt from this requirement: L a ch n cho phép nh ng th l y qua ARTN s không c n s d ng POP before SMTP
Messages sent to local recipient are exempt from this requirement: L a ch n này cho phép nh ng th g i t m t ng i dùng c a h th ng đ n m t ng i dùng khác c ng thu c h th ng thì không ph i ki m tra POP before SMTP
Messages sent from trusted IPs are exempt from this requirement: L a ch n cho phép th trong danh sách "Currently defined domain/IP pairs" s không ph i ki m tra h p th tr c khi g i th .
4.2.5.9. Site Policy
Hình 4.50 Creating an SMTP Session Policy Statement
C a s hi n th Text file policy.dat trong th m c \app\ đ c s d ng đ g i khi b t đ u m t phiên làm vi c c a SMTP. Ví d "This server does not relay"
đ thông báo:
220-Alt-N Technologies ESMTP MDaemon v6.8 220-This site does relay unauthorized email.
220-If you are not an authorized user of our server 220-then you must not relay mail through this site.
220
HELO domain.com…
File POLICY.DAT ph i d ng ASCII không ch a h n 512 ký t m t dòng và dung l ng l n nh t là 5000 bytes
4.2.5.10. Relay Settings
Vào Setup→ Security Setting→ Relay Control... đ thi t l p các hành đ ng c a server th v i vi c trung chuy n th (relay mail). Khi m t th đ n mail server mà th đó không đ n m t ng i dùng nào c a h th ng, thì server s đ c yêu c u chuy n th đó và g i đi. N u không mu n làm trung gian đ chuy n th thì có th thi t l p đây.
Hình 4.51 Mail Relay Control
This server does not relay mail for foreign domains: L a ch n cho phép MDaemon t ch i nh n chuy n các th mà c FROM và TO không có ng i dùng c a h th ng.
Refuse to accept mail for unknown local users: L a ch n cho phép MDaemon s t ch i ch p nh n th g i đ n cho domain mà nó qu n lý nh đa ch ng i dùng không t n t i.
Sender's address must be valid if it claims to be from a local domain: L a ch n cho phép khi g i th t m t trong MDaemon domain thì account g i đi s đ c ki m tra trong c s d li u v account và nó ph i t n t i. N u không MDaemon s t ch i ch p nh n g i th đi
Mail addressed to know aliases can always be relayed: L a ch n cho phép MDaemon trung chuy n th c a các đ a ch Aliases mà không c n bi t các thi t l p trung chuy n.
Mail sent via authenticated SMTP sesions can always be relayed: Khi l a ch n MDaemon s cho phép trung chuy n các th đi n t đ c g i thông qua xác th c SMTP.
Mail can always be relayed through domain gateways: L a ch n n u mu n MDaemon cho phép trung chuy n th thông qua m t domain gateway mà không c n bi t các thi t l p cài đ t trung chuy n. Theo m c đ nh l a ch n này không đ c ch n và khuy n cáo không nên s d ng.