基于服务器的反垃圾邮件过滤
基于服务器的垃圾邮件过滤仅支持基于 IP 的垃圾邮件阻止列表查找。基于服务器的反垃圾邮件过滤需要与垃圾邮件阻止列表 (SBL) 服务器连接互联网。有关更多信息,请参阅以下主题:
了解基于服务器的反垃圾邮件过滤
基于服务器的反垃圾邮件过滤需要与垃圾邮件阻止列表 (SBL) 服务器连接互联网。访问 SBL 服务器需要域名服务 (DNS)。防火墙通过 DNS 协议执行 SBL 查找。查找针对电子邮件发件人(或中继代理)的 IP 地址,将 SBL 服务器的名称添加为权威域。然后,DNS 服务器将每个请求转发到 SBL 服务器,后者向设备返回 DNS 响应。然后,设备会解读 DNS 响应,以确定电子邮件发件人是否是垃圾邮件发送者。
阻止列表中包括的 IP 地址通常被视为邮件服务器的无效地址或容易遭到入侵的地址。在 SBL 上将 IP 地址列为垃圾邮件发送者的标准可能包括:
运行 SMTP 开放式中继服务
运行开放式虚拟服务器(各种)
作为可能受到病毒、蠕虫、特洛伊木马或间谍软件破坏的僵尸主机
使用动态 IP 范围
是已确认的垃圾邮件源,具有已知 IP 地址
默认情况下,设备首先根据本地允许列表和阻止列表检查传入的电子邮件。如果没有本地列表,或者在本地列表上找不到发件人,设备将继续通过互联网查询 SBL 服务器。启用基于服务器的垃圾邮件过滤和本地列表垃圾邮件过滤后,将按以下顺序进行检查:
本地允许列表已检查。如果有匹配项,则无需进一步检查。如果没有匹配...
检查本地阻止列表。如果有匹配项,则无需进一步检查。如果没有匹配...
检查 SBL 服务器列表。
反垃圾邮件许可证密钥过期时,SBL 服务器匹配将停止。
基于服务器的垃圾邮件过滤仅支持基于 IP 的垃圾邮件阻止列表查找。Sophos 更新和维护基于 IP 的垃圾邮件阻止列表。基于服务器的反垃圾邮件过滤是一种单独许可的订阅服务。反垃圾邮件许可证密钥到期后,您可以继续使用本地定义的阻止列表和允许列表。
删除或停用为 SBL 服务器基于服务器的反垃圾邮件过滤创建的功能配置文件时,会自动应用默认 SBL 服务器配置。应用默认 SBL 服务器配置时,将启用默认 SBL 服务器查找。如果要禁用默认 SBL 服务器查找,即希望将
no-sbl-default-server选项配置为默认值,则必须使用set security utm default-configuration anti-spam sbl no-sbl-default-server命令。
另请参阅
基于服务器的反垃圾邮件过滤配置概述
对于每个内容安全功能,按以下顺序配置功能参数:
示例:配置基于服务器的反垃圾邮件过滤
此示例说明如何配置基于服务器的反垃圾邮件过滤。
要求
开始之前,查看如何为每个内容安全功能配置功能参数。请参阅 基于服务器的反垃圾邮件过滤配置概述。
概述
基于服务器的反垃圾邮件过滤需要与垃圾邮件阻止列表 (SBL) 服务器连接互联网。访问 SBL 服务器需要域名服务 (DNS)。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set security utm feature-profile anti-spam sbl profile sblprofile1 sbl-default-server set security utm feature-profile anti-spam sbl profile sblprofile1 sbl-default-server spam-action block set security utm feature-profile anti-spam sbl profile sblprofile1 sbl-default-server custom-tag-string ***spam*** set security utm utm-policy spampolicy1 anti-spam smtp-profile sblprofile1 set security policies from-zone trust to-zone untrust policy utmsecuritypolicy1 match source-address any set security policies from-zone trust to-zone untrust policy utmsecuritypolicy1 match destination-address any set security policies from-zone trust to-zone untrust policy utmsecuritypolicy1 match application junos-smtp set security policies from-zone trust to-zone untrust policy utmsecuritypolicy1 then permit application-services utm-policy spampolicy1
GUI 快速配置
逐步过程
要配置基于服务器的反垃圾邮件过滤:
配置配置文件并启用/禁用 SBL 服务器查找。选择 配置>安全性>UTM>反垃圾邮件。
逐步过程
在反垃圾邮件配置文件配置窗口中,单击 Add 以配置 SBL 服务器的配置文件,或者单击 编辑 以修改现有项目。
在“配置文件名称”框中,为要创建的反垃圾邮件配置文件输入唯一名称。
如果使用默认服务器,请选择默认 SBL 服务器旁边的 “是 ”。如果未使用默认服务器,请选择“ 否”。
设备上已预定义 SBL 服务器。设备预配置了 SBL 服务器的名称和地址。如果未选择“是”,则禁用基于服务器的垃圾邮件过滤。仅当您仅使用本地列表或没有基于服务器的垃圾邮件过滤许可证时,才应禁用它。
在自定义标记字符串框中,输入用于将消息识别为垃圾邮件的自定义字符串。默认情况下,设备使用 ***垃圾邮件***。
从反垃圾邮件操作列表中选择设备检测到垃圾邮件时应采取的操作。选项包括标记主题、阻止电子邮件和标记标题。
-
为将反垃圾邮件配置文件附加至的 SMTP 配置内容安全策略。
逐步过程
-
选择 配置>安全>策略>UTM 策略。
-
在内容安全策略配置窗口中,单击 Add。
-
在策略配置窗口中,选择 “主 ”选项卡。
-
在“策略名称”框中,键入内容安全策略的唯一名称。
-
在“每客户端会话限制”框中,键入每个客户端的会话限制。有效值的范围从 0 到 2000。
-
从“每个客户端的会话超过限制”列表中,选择当超过此内容安全策略的会话数限制时,设备应采取的操作。选项包括日志、允许和阻止。
-
选择弹出窗口中的 反垃圾邮件配置文件 选项卡。
-
从 SMTP 配置文件列表中选择要连接到此内容安全策略的反垃圾邮件配置文件。
-
-
将内容安全策略附加到安全策略。
逐步过程
-
选择 配置>安全>策略>FW 策略。
-
在安全策略窗口中,单击 Add 以使用内容安全配置安全策略,或者单击 编辑 以修改现有策略。
-
在“策略”选项卡中,在 “策略名称 ”框中键入名称。
-
在“从区域”旁边,从列表中选择一个区域。
-
在“区域”旁边,从列表中选择一个区域。
-
选择源地址。
-
选择目标地址。
-
通过在“应用程序集”框中选择 junos-smtp (反垃圾邮件),并将其移动到“匹配”框中,选择应用程序。
-
在“策略操作”旁边,选择以下一项: “允许”、“ 拒绝”或 “拒绝”。
选择“允许策略操作”时,“应用程序服务”选项卡中会提供几个附加字段,包括内容安全策略。
-
选择 应用程序服务 选项卡。
-
在“内容安全策略”旁边,从列表中选择相应的策略。这会将您的内容安全策略附加到安全策略。
-
单击 OK 检查您的配置,并将其保存为候选配置。
-
如果成功保存策略,您将收到一份确认信,并且必须再次单击 OK 。如果配置文件未成功保存,请单击弹出窗口中的 “详细信息 ”,了解原因。
注意:-
您必须激活新策略才能应用。
-
在 SRX 系列防火墙中,通知您成功保存策略的确认窗口会自动消失。
-
-
完成设备配置后,请单击“ 提交选项>Commit”。
-
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要配置基于服务器的反垃圾邮件过滤:
创建个人资料。
[edit security] user@host# set utm feature-profile anti-spam sbl profile sblprofile1
启用或禁用默认 SBL 服务器查找。
[edit security] user@host# set utm feature-profile anti-spam sbl profile sblprofile1 sbl-default-server
如果使用基于服务器的反垃圾邮件过滤,应键入
sbl-default-server以启用默认 SBL 服务器。(设备上预定义了 SBL 服务器。设备预配置了 SBL 服务器的名称和地址。)只有在仅使用本地列表或没有基于服务器的垃圾邮件过滤许可证时,no-sbl-default-server才应使用选项禁用基于服务器的反垃圾邮件过滤。配置检测到垃圾邮件时设备要采取的操作(阻止、标记标头或标记主题)。
[edit security] user@host# set utm feature-profile anti-spam sbl profile sblprofile1sbl-default-server spam-action block
配置用于将邮件识别为垃圾邮件的自定义字符串。
[edit security] user@host# set utm feature-profile anti-spam sbl profile sblprofile1 sbl-default-server custom-tag-string ***spam***
-
将垃圾邮件功能配置文件附加到内容安全策略。
[edit security] user@host# set utm utm-policy spampolicy1 anti-spam smtp-profile sblprofile1
-
为内容安全配置要附加内容安全策略的安全策略。
[edit] user@host# set security policies from-zone trust to-zone untrust policy utmsecuritypolicy1 match source-address any user@host# set security policies from-zone trust to-zone untrust policy utmsecuritypolicy1 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy utmsecuritypolicy1 match application junos-smtp user@host# set security policies from-zone trust to-zone untrust policy utmsecuritypolicy1 then permit application-services utm-policy spampolicy1
注意:设备预配置了默认反垃圾邮件策略。该策略称为 junos-as-defaults。它包含以下配置参数:
anti-spam { sbl { profile junos-as-defaults { sbl-default-server; spam-action block; custom-tag-string "***SPAM***"; } } }
结果
在配置模式下,输入和 show security policies 命令以确认show security utm您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show security utm
feature-profile {
anti-spam {
sbl {
profile sblprofile1 {
sbl-default-server;
spam-action block;
custom-tag-string ***spam***;
}
}
}
utm-policy spampolicy1 {
anti-spam {
smtp-profile sblprofile1;
}
}
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy utmsecuritypolicy1 {
match {
source-address any;
destination-address any;
application junos-smtp;
}
then {
permit {
application-services {
utm-policy spampolicy1;
}
}
}
}
}
完成设备配置后,请从配置模式进入 commit 。
验证
验证反垃圾邮件统计信息
目的
验证反垃圾邮件统计信息。
行动
在操作模式下,输入 show security utm anti-spam status 和 show security utm anti-spam statistics 命令。
将显示以下信息:
SBL Whitelist Server: SBL Blacklist Server: msgsecurity.example.net DNS Server: Primary : 1.2.3.4, Src Interface: ge-0/0/0 Secondary: 2.3.4.5, Src Interface: ge-0/0/1 Ternary : 0.0.0.0, Src Interface: fe-0/0/2
Total connections: # Denied connections: # Total greetings: # Denied greetings: # Total e-mail scanned: # White list hit: # Black list hit: # Spam total: # Spam tagged: # Spam dropped: # DNS errors: # Timeout errors: # Return errors: # Invalid parameter errors: # Statistics start time: Statistics for the last 10 days.