这一期我打算介绍一个垃圾邮件过滤方面的案例,方便大家日后在过滤策略优化方面能有所帮助。
下面就步入正题,给大家介绍一下这一期所要分析的案例――垃圾邮件过滤效果。
问题描述:某某用户致电梭子鱼技术服务热线反映,最近一段时间内部邮箱收到许多垃圾邮件,并且原先设置的一些白名单基本不起作用,需要一个一个的去将这类白名单的邮件手动放行。工程师电话中做了一些简单问题询问,得知用户之前过滤效果一直都很好,最近忽然才发生的。
用户开放了设备端口让工程师登陆进行检查,工程师通过查看梭子鱼邮件日志当中邮件情况,随便打开了一封邮件如下图所示:
问题分析:
(思考一下:大家在看到这封日志的时候,如果不看下面分析的内容能发现有哪里不正常吗?)
A:从点开的这封邮件日志中我们可以看到,这里的发件人地址是‘wolf@163.com’,这里并没有什么问题,因为对于收件人来说,任何邮箱都有可能会给他发送邮件。也就是说收件人并不知道今天或明天有哪个邮箱要给他发邮件哪个邮箱不给他发送邮件。
B:收件人的邮箱地址。这里为了保护用户的信息,我随便写了一个地址,方面介绍此次案例。如有雷同纯属巧合。
C:这一项就是关键的问题所在了,前面让大家思考的,不知道大家有没有人已经看出来了。我们来看一下,这封邮件日志当中,我们看到的来源IP地址为‘192.168.1.3’,奇怪为什么来源IP地址会是内部的地址呢?因为该封邮件是从163发往用户邮箱的,那么这里的来源IP至少也应该是163 NAT出来的公网地址。绝不会是一个私网IP。
问题解决:通过以上分析,工程师联系了用户,电话中跟用户沟通得知,192.168.1.3这个IP地址为其防火墙内部接口IP,也就是梭子鱼的网关。这样一来,梭子鱼就没有办法看到真实邮件的来源IP,此时即便是垃圾邮件发送者往用户发送垃圾邮件经过梭子鱼,梭子鱼也不会阻断这些邮件。因为梭子鱼认为其网关为白名单。除非用户有添加此地址为IP黑名单。另外,在这种情况下,梭子鱼的外部黑名单就不起作用了。这一点大家需要注意一下。通过沟通,用户调整了其防火墙双重NAT设置。问题很快解决。
总结:来源IP对梭子鱼来说非常重要,因为网络通信都是靠IP进行协商的。在解决这一类问题时需要大家细心。