垃圾邮件设备是否必须位于“防火墙设备”(如ASA思科设备)的后面。 事实上,它是一个垃圾邮件/防火墙,它会导致防火墙后面的问题,并需要公开面对,因为它是防火墙的IP地址?
我正在考虑将Barracuda迁移到另一个IP范围,并让它们面向公众,来自“未知收件人”的反弹消息正在报告Cisco ASA NAT IP地址。
这使我相信这是一种反散射的forms,我是正确的吗?
任何帮助或build议将是伟大的。
梭子鱼只是名义上的“防火墙”。 这实际上只是一个过滤设备。 只要您允许正确的端口打开,身在ASA之后的应该不会影响其可操作性。
例如,在防火墙后面通常是最好的,因为你不希望有人从外部连接到web界面。
你的后续问题:
This leads me to believe this would be a form of backscatter am I correct? 对我没有意义。 梭子鱼将发送一个“未知的收件人”的答复,无论你是否支持NAT。 我相信这是可configuration的,可以禁用。
我在思科ASA防火墙后面运行梭子鱼垃圾邮件filter。 梭子鱼只是一个设备; 一个坐在私人IP上的服务器,在防火墙后面NAT。
我给了梭子鱼设备自己的公共IP,并指出该域的MXlogging。 如spam.domain.com 。
根据思科ASA的NAT设置,您最终可能会显示来自梭子鱼的出站stream量的PAT地址。 解决这个问题。
编辑:
大多数梭子鱼垃圾邮件filter模型(300及以上)可以利用Active Directory或LDAP来validation电子邮件地址,然后交付给邮件服务器。 根据我的理解,这是您的问题的真正解决scheme。
我会开始说我不是一个思科家伙,就像ewwhite关于PAT的build议看起来不错,我不能说是或否。
接下来,如果垃圾邮件filter在防火墙后面,我可以看到两个选项。 一个是使用公共IP的垃圾邮件filter。 另一种方法是将stream量从防火墙端口转发到垃圾邮件filter。 垃圾邮件filter高度依赖于查看每个电子邮件的正确发件人IP以使DNSBL能够正常工作,但是这两种情况都可以正常工作。
有一件事不要做的是在防火墙上运行任何forms的邮件服务器来存储和转发邮件,因为垃圾邮件filter会将邮件的发件人IP看作防火墙的内部IP,严重阻碍反垃圾邮件function。 (可能与思科不相关,但包括完整性)
现在,当您的梭子鱼(或任何其他能够存储和转发电子邮件的设备)将接受无效的收件人的电子邮件时,会创build反向散射。 当它试图转发这些说你的Exchange服务器,只接受电子邮件的有效recipients如果configuration正确。 然后,NDR将发送给发送给无效承包商的所有电子邮件。 事情是狡猾的人已经意识到,如果他们伪造从头(例如,如果我把我的个人电子邮件地址作为欺骗的地址),那么NDR的将被发送给该人(例如我的个人电子邮件地址),而不是实际的垃圾邮件发送者
反向散射通常表示何时诸如梭子鱼(或MTA)的设备被设置为接收针对特定域的所有电子邮件而没有实际的有效用户列表。 在禁用NDR之前,请检查RFC2821中说这不是要做的。