如何規畫郵件主機，才能有效阻擋垃圾信？

如何規畫郵件主機，才能有效阻擋垃圾信？
到iT邦幫忙

lionab（iT邦初學者9級）發問：
外面寄進來的信，因為MX設在Anti-SPAM主機，所以會先經過Anti-SPAM過濾垃圾郵件，再轉寄給郵件主機。問題我們仍然會收到部分垃圾郵件，檢查後發現，垃圾信是直接從外面透過25埠，把信傳給郵件主機。曾想過擋住25埠，不過外用者外出時就無法使用。也有想過將SMTP設為Anti-SPAM主機，但是這樣郵件主機就無法備份信件。請問該如何解決？

slime（iT邦初學者7級）：
建議調整架構：
1. 設定外部只能連到Anti-SPAM主機，無法直接連到郵件主機。

2. 同事從外部需要，建議用VPN連到DMZ區，再由DMZ區連郵件主機，或是在Anti-SPAM主機架WebMail處理。

wiseguy（iT邦高手4級）：
內網沒問題，問題出在外網──一連到郵件主機的人，系統無法辨識是SPAM還是員工，所以不知道該擋還是該收。SPAM直接塞信到郵件主機時，主要是因為收信人信箱的網域名稱就是你們公司，所以不需要Relay，郵件主機也就不會要他認證。

而在外的員工，除非是寄給上司、同事，要不然收信人信件的網域名稱一定不是你們公司。因此，只要郵件主機設定：連線來自外網IP而且是寄給你們公司的信件就擋掉，那就沒SPAM了。不過這規則會把外面員工要寄給上司、同事的信也一起濾掉，於是就要再多一個規則，認證過的帳號就不用過濾。

tombo（iT邦初學者1級）：
所以你最好找一個可以驗證身分，然後Relay Mail的Anti-SPAM Server，要不然是沒有什麼好解決方法的，因為：

1. Spammer都是直接透過25埠寄信到公司網域，Mail Server一定會收下（不是 Relay）。

2. 一天到晚都有Cracker在試SMTP/POP3密碼，所以光靠驗證帳密是不夠的，密碼被試出來更慘，還會被當成SPAM Relay。

所以外部寄信也經過Anti-SPAM Server，就可以濾掉廣告信，也避免公司發信都被當成廣告信。

我公司的做法是過濾郵件廣告交由HiNet郵件守門員，所以Mail Server只接受郵件守門員來的SMTP連線，員工要寄信，一律用其他協定，再不然就用VPN。

ktweng（iT邦初學者8級）：
在防火牆上阻擋外部對Mail Server的SMTP，將Mail Server的SMTP Port只開放給Anti-SPAM，外部要發信時透過SMTP over SSL與認證機制連線到Mail Server發信，這樣就能避免垃圾郵件，直接透過SMTP發給使用者。