如发现有乱码，请点击下面链接浏览原文
正文摘录:

畅雄杰等：一种邮件防火墙部署模型的研究P()P3代理服务和端口代理等服务，使Internet外部只能看到邮件防火墙，而看不到内部真正的邮件服务器，甚至从外面无法知道内部邮件服务器采用哪种软件系统、什么版本、状态、IP地址、端口号等，因此大大降低了邮件服务器因为暴露在外而潜伏的安全隐患。如图1所示。外部网络端LJ25Mailserverhack“.▲’’图1邮件防火墙(2)过滤不安全的邮件协议尽管SMTP协议中的V.Rt}Y和EXPN等协议的设计初衷很好，但是黑客和垃圾邮件发送者却可以利用这些命令从警惕性不高和缺乏经验的邮件系统管理员的工作漏洞中获取系统账户等信息，从而带来潜在的安全隐患。有了邮件防火墙作为邮件收发的协议翻译机，就能将这些不安全的协议屏蔽掉，杜绝此类安全漏洞。(3)过滤垃圾邮件可以在邮件防火墙内加入邮件过滤器，从而可以过滤掉带有非法信息的邮件以及邮件病毒和邮件炸弹。邮件过滤器技术主要是利用了垃圾邮件的一些特点，如信头收件人不存在或与实际接收者不符，信头发件人不真实，主题词与正文总是把他们所说的内容描述得激动人心等等，总之垃圾邮件要达到的目的就是让你相信他们所说的内容，同时他要做必要的伪装以逃避打击。这样，我们就可以利用人工智能、数据挖掘技术、启发式算法以及贝叶斯过滤器自学习机制，在邮件内容的分析过滤中达到相当高的准确率。而且市场上也有较成熟的算法、模块可供选择购买，故不在本文讨论范围之内。(4)擦除邮件路由痕迹防止黑客了解邮件服务器所在网络的内部结构。(5)防止开放式转发通过在邮件防火墙中设定严格的中继规则，可以防止开放式转发(’)penRelay带来的垃圾邮件隐患。3常见的邮件防火墙的部署邮件防火墙是一台专用的邮件服务器。经过配置邮件防火墙接收发往所在域中的邮件，将他们直接发给在内部网络中真正受保护的邮件服务器。同样，邮件防火墙也转发从内部邮件服务器发往互联网的邮件。因此，邮件防火墙可以看作是一台内部域的中继转发邮件服务器，只是该服务器增加了邮件过滤、防止黑客攻击的功能，对外屏62蔽了内部域的邮件服务器。依据邮件防火墙在网络中3种可能的位置可以将其分为如下几类：(1)位于网络防火墙内这是一种最简单的方法，他是将邮件防火墙同网络防火墙安装在一台服务器上，当然这必需要求所使用的网络防火墙的Unix服务器必须支持MTA程序。同其他方法比较起来这种方法的优点在于使用的服务器少。因为一台服务器既充当网络防火墙又充当邮件防火墙。在许多商业化的网络防火墙产品中一般都包括一个邮件防火墙。选项经过配置可以对流向内部邮件服务器的数据包进行检查，但是在使用标准的unix服务器既提供网络防火墙功能又提供邮件防火墙功能时，应该确信他有足够高的配置来处理数据包的过滤及分发邮件，因此这需要防火墙具有很高的配置，从而具有较高的处理能力。(2)位于【)MZ中为了解决第一种方案中的两个防火墙共处一台服务器所带来的问题，所采取的折衷方案是把邮件服务器放置在停火区(【)emilitarizedZone，【)MZ)中。【)MZ是配置在防火墙中的一个隔离于外网和正常内网间的网络，进出【)MZ的网络流量由防火墙负责，防火墙通常的配置是允许从外网对I)MZ区域中的主机进行访问，但是不允许对内网中的主机进行访问，适合于较大型网络。需要被外部频繁访问的主机，例如Web服务器、FTP服务器和邮件服务器经常被放置在【)MZ区域中。尽管这种方法更严密地保障了邮件服务器的安全，但是防火墙的配置却较复杂，【)MZ必须被严密监视，以确保来自互联网的访问不会破坏本地网络。(3)作为一台内部的邮件服务器最后一种方法是作为一台独立的内部邮件转发服务器，然后和邮件服务器一起放在内部网络中。配置网络防火墙时必须允许那些同邮件防火墙连接的网络流量，能通过网络防火墙进入内网，同时禁止所有对邮件服务器的访问。采用该方法时，防火墙必须仔细配置来自互联网的SMTP，P()P3和IMAP流量，只允许到达邮件防火墙，不允许到达内网中的其他主机。4位于DMZ中的邮件防火墙系统的部署实施该邮件防火墙在网络中的部署，相当于一个中转邮件服务器，不仅转发由互联网发向内部邮件服务器的邮件，同时也转发内部邮件服务器发往互联网的邮件，从而达到过滤邮件和保障邮件服务器安全的目的。采用这种方案部署增强了其通用性，可以支持任意的SMTP协议的邮件系统，同时该邮件防火墙的配置必须注意以下两点：(1)必须截获所有外部系统发给内部邮件服务器的邮件。