反向散射
“反向散射” 表示用户接收到他们从未发出过的邮件的响应邮件。当病毒发送的垃圾邮件或邮件中包含伪造的“返回路径”地址时会发生反向散射。因此,当其中一封邮件被收件人服务器拒收时,或如果收件人使用自动应答程序或“外出”/假期邮件与其帐户关联,响应邮件随之将指向伪造的地址。这会导致海量的伪造投递状态通知 (DSN) 或自动应答邮件撑爆用户的邮件箱。另外,垃圾邮件发送者和病毒编写者会经常利用该现象,有时使用它对邮件服务器启动拒绝服务 (Denial of Service, DoS) 攻击,造成从世界各地的邮件服务器接收大量无效的邮件。
反向散射保护
为了与反向散射对抗,SecurityGateway 的反向散射保护(BP)功能使用了私钥散列法生成并插入一个特殊的时间敏感代码至用户外发邮件的“返回路径”地址中,从而可以帮助确保您的域仅收到合法的投递状态通知和自动应答邮件。然后,当其中一封邮件遇到投递问题被弹回,或收到带有mailer-daemon@..."或者 NULL 反向路径的自动回复时,MDaemon 将检测到特殊代码并知道这是由您的联系人所发邮件的真实自动回复。若邮件不包含特殊代码或者代码已过期,将会被记录下来并且可拒收。
配置
启用反向散射保护
欲启用反向散射保护,请点击该选择框。SecurityGateway 随之将开始生成并插入一个特殊的代码至所有出站邮件的返回路径,并且它将在所有已返回的邮件中搜索该代码。根据默认,反向散射保护已禁用。
|
如果禁用该选项,SecurityGateway 将不会在外发邮件中插入特殊的反向散射保护代码。不过,它仍将继续检查入站的 DSN 及自动应答邮件以确保不会错误地拒收任何带有正确代码的接收邮件。 |
拒收验证反向散射保护失败的邮件
如果要拒收 BP 验证失败的 DSN 或其他自动应答邮件,可以点击此选择框。带有“mailer-daemon@...”或“NULL”反向路径的邮件如果不包含特殊代码或超过代码的七天有效期,则无法通过 BP 验证。由于反向散射保护坚实的可靠性,不存在误报或“灰色区域”——邮件要么有效,要么无效。因此配置 SecurityGateway 拒收无效邮件非常安全,只要确保所有联系人的外发邮件中都包含特殊的 BP 代码。即使您选择不拒收验证失败的邮件,但在所有情况中,BP 验证的结果都会被记录到日志文件中。
|
启用反向散射保护后,将其设置为拒收未通过 BP 验证的自动应答邮件前应等待一周左右时间。因为在此期间,您仍可能在激活 BP 前接收到发出邮件的 DSN 或自动应答。如果在此期间将 BP 配置为拒绝无效邮件,则这些合法的应答邮件将被错误地拒收。大约一周后开始拒收未通过验证的邮件会比较安全。当您创建一个新的 BP 密钥而没有选择使用保留先前的反向散射保护加密密钥[xx] 天 选项时,相同的警告同样适用。 |
点击此处将立即生成一个新的反向散射保护加密密钥
点击此选项将手动地生成新的反向散射保护密钥。如果启用了下方的“保留先前的反向散射保护加密密钥 [xx] 天”这个选项,那么在该选项的指定的天数里,包含由先前密钥所生成的代码的邮件会保持有效。
例外
排除来自全局白名单中所列 IP 地址和主机的邮件
根据默认,若启用了反向散射保护,所有来自于全局列入白名单的 IP 地址和主机都不受反向散射保护的限制。如果您希望这些已列入白名单的 IP 和主机也要遵守这些限制的话,请清除此选择框。
排除来自经身份验证会话的邮件
如果一封入站邮件来自于一个已验证的会话,那么根据默认,它将排出于反向散射保护的限制之外。如果您希望这些限制同样应用于已验证的会话,请不要勾选此框。
排除来自域邮件服务器的邮件
根据默认,如果启用反向散射保护,来自于其中一个域邮件服务器的入站邮件不受反向散射保护的限制。如果您不希望将域邮件服务器排除在反向散射保护检查的范围之外,请清除该选择框。
邮件返回路径签名
每隔 [xx] 天创建一个新的反向散射保护加密密钥
根据默认,每七天生成一个新的反向散射保护加密密钥。该密钥将用来给所有新的出站邮件生成 BP 代码。
保留先前的反向散射保护加密密钥 [xx] 天
根据默认,在生成新的加密密钥后,SecurityGateway 将继续验证含有先前加密密钥所生成的反向散射代码的邮件,这个验证过程将持续七天。从而确保有效邮件不会因为生成新的密钥而被不小心拒收。不推荐禁用此选项(请查看位于 上述拒收未通过反向散射保护验证的邮件 选项底下的警告)。
不将返回路径签名邮件发送到下方列出的 IP 地址或域
使用此选项可以指定任何 IP 地址和域名来免于“反向散射保护”的返回路径签名。
