反垃圾邮件（邮件网关）解决方案

一句话概述：

云上快速搭建强大、易用、私有的邮件网关系统，过滤精准，日志详尽，运维方便，策略自主，数据可控。

一、面临的挑战

（一）垃圾邮件、钓鱼邮件、病毒邮件泛滥。

（二）拦截策略不透明，不自主，过滤效果差。

（三）没有详细的日志记录，无法对每封邮件进行溯源查询，用户丢失邮件或者收不到邮件也无法进行问题排查。

二、方案概述

在华为云上搭建一套SecurityGateway邮件网关系统，具备防垃圾邮件、防病毒邮件、防钓鱼邮件、防邮件劫持等功能，拦截率高且误判率低，部署便捷。可对接Exchange、Office365、MDaemon等主流邮件系统。本方案邮件系统为Office365国内版。

几个云平台相比，华为云除了上海、北京外，其他区域25端口默认开放，阿里、腾讯全部默认关闭25端口，可以手动解封，但在使用过程中有任何需要支持的，厂商客服会锲而不舍地回避问题，推销自家邮箱服务。华为家没邮箱，25端口封控相对宽松，也能耳根清静。

（一）部署环境

	描述
云平台	华为云
实例规格	通用计算增强型 \| c6.large.2 \| 2vCPUs \| 4GiB
操作系统	Windows Server 2016 数据中心版 64位简体中文
云硬盘	系统盘：40GiB（SSD）数据盘：200GiB（高IO）
带宽	10Mbps
云备份	备份存储库容量：480GiB

建议开启数据保留，保留的邮件、日志等数据可放在数据盘中。另外，推荐购买云服务器备份库，保证服务器在出现问题时能够及时恢复，建议存储库容量大于等于所需要备份资源的容量总和的2倍。如下图，购买备份存储库并绑定云服务器，然后设置备份策略。

建议设置每天备份一次，备份保留一个月。

服务器具体配置可参考下表：

用户数	操作系统要求	CPU（vCPUs）	内存（GiB）
0-100	Windows 8Windows 10Windows Server 2008R2及以上版本	2	8
100-200		4	16
200-500		8	32
500-2000		16	64
超过2000		32	128

实例规格推荐x86的通用计算型和通用计算增强型。

（二）方案架构

支持单机部署和集群部署。

（三）部署实施

只需要简单几步，就可以完成SecurityGateway邮件网关系统的搭建。

1.安装包下载

从 SecurityGateway中文官网（https://www.securitygateway.com.cn）下载最新版本的SecurityGateway安装包。

2.安装过程

在单独服务器上执行安装程序，一直“下一步”到最后即可（安装过程可免费申请30天的试用码）。

需要注意的是：如果是基于活动目录的邮件系统，用户验证源可以选择活动目录，其他邮件系统可以选择“SMTP验证（呼叫转移）”，地址填写域邮件服务器IP地址，端口为25。域邮件服务器地址输入邮件服务器IP，端口为25（如果邮件服务器也在云上，可以填写内网IP，否则填写邮件服务器公网IP）。

3.验证邮件网关服务是否正常

在防火墙和安全组里开放入方向的25端口，在cmd中使用telnet命令查看网关服务器的25端口是否有回显信息（telnet [网关服务器公网IP] 25），如果有回显信息则表示正常。

4.将Office365设置为SecurityGateway中的用户验证源

在Azure Active Directory中

（1）注册邮件网关应用程序

（2）添加“访问用户和组”的权限

（3）设置客户端密码

在SecurityGateway中添加用户验证源：

5.将Office365设置为SecurityGateway中的域邮件服务器

在域邮件服务器里添加Office365提供的MX记录地址。

6.配置Office365通过SecurityGateway路由出站邮件

在Exchange管理中心的邮件流设置中添加连接器，将外发的所有邮件都设置先经过SecurityGateway。

7.账号管理

账号可以提前批量导入，也可以先不创建，等本域用户收到邮件后，经用户验证源验证通过后网关上会自动创建。

8.验证收发是否正常

（1）接收测试

通过外部邮箱给本域用户发送邮件：

最终用户收到邮件：

（2）外发测试

建议邮件系统的外发也接入网关，这样网关可以结合外发邮件信息，将外域收件人加入到本域用户白名单中，他们发过来的邮件则不会因为得分或其他安全检查而被过滤。这里主要展示邮件服务器接入网关后的验证。

内部用户外发后能在网关上看到发件人为本域的邮件，前面图标为蓝色：

最终用户也收到表示外发正常。

至此，我们邮件安全网关的搭建就完成了，后期只需要根据实际邮件情况来进行优化即可。管理员可以后台统一把控邮件过滤情况，操作便捷。

9.优化操作

建议前期开启数据保留，这样能有效防止邮件数据的丢失。管理员可以在控制台手动判断邮件为垃圾邮件为非垃圾邮件，针对误判的邮件，可以学习为非垃圾邮件并且加入白名单。

针对有一定特征并且未成功过滤的邮件，我们可以在内容过滤器里添加规则。

管理员可以点击每一封邮件查看具体的详情（需要开启数据保留）

10.其他

如果管理员开启了向用户发送隔离摘要，用户将会收到网关发送的个人垃圾邮件隔离报告邮件，用户可自行判断并释放非垃圾邮件。

三、方案优势

（一）全面、准确快速地邮件检测

依托于华为云弹性服务器的分布式架构和可弹性扩展的虚拟存储服务，具有高数据可靠性，高I/O吞吐能力。保障邮件安全网关进行快速、稳定地检测，短时间内过滤病毒邮件和垃圾邮件，辨别伪造邮件和钓鱼邮件。

（二）多重安全防护

华为云打造租户隔离的安全平台，并提供完善的安全服务保障业务和数据安全，有效抗击大流量DDOS攻击，为邮件网关保驾护航，提升网关服务器的稳定性。

（三）详细的日志记录和报告

邮件安全网关SecurityGateway提供详细的日志以识别邮件数据流模式和可能存在的问题，所有报告都支持即点即到与深入式地获取目标文件，允许执行进一步分析。

（四）灵活的备份策略和快速恢复

邮件安全网关SecurityGateway支持数据库和配置文件的自动备份和还原。同时，华为云也支持云服务器和云硬盘的备份和恢复，避免因为其他原因导致的软件不可用和业务不连续性。

四、SecurityGateway邮件网关系统介绍

MDaemon Technologies 多年来一直致力于发展邮件安全防火墙，用于任何 SMTP 邮件服务器的用户。SecurityGateway for Email Servers 合并多个防御层，为您的网络边缘提供全面的保护，以阻止垃圾邮件、网络钓鱼、病毒以及其他对您邮件通信产生的威胁。SecurityGateway for Email Servers 邮件安全防火墙在管理接收与外发的邮件数据流方面具有极高的性能与极强的灵活性。

SecurityGateway 邮件安全防火墙提供许多优势：

（一）准确检测

SecurityGateway 具有多种分析工具，可以将合法邮件与各种威胁隔离，它使用了最好的反垃圾邮件, 反病毒, 反诈骗, 以及反滥用技术以达到 99% 的垃圾邮件阻止率与近零的误报率。

支持SPF、DKIM、DMARC、中继控制、黑白名单、反病毒检测、附件过滤等。

（二）简单管理

一个直观的且具有任务导向特色的界面为 SecurityGateway 的每个主要部分提供了一个登陆界面。这些登录页面包含了常见任务的列表，并提供了通往各个页面的链接，您可以在这些页面上执行任务。这个方法可以帮助管理员最省力地执行常规操作。此外，可以指派域管理员具有管理权限，允许该管理员管理一个或多个由全局管理员指定的域。不仅如此，授权终端用户可以不必联系管理员直接对邮件进行各种处理。

（三）防止数据丢失

除了过滤接收的邮件数据流，SecurityGateway 还能过滤外发的邮件。界面简单易用，允许您创建策略以检测与阻止来自您网络外部那些敏感信息未经认证的传输。针对邮件数据，网关还能做到数据保留。