自建郵件伺服器需要注意的幾個重點!

重點一:伺服器的安全

企業若是要自行建置、管理郵件伺服器時,首要任務就是要維護郵件伺服器的基本安全,包括系統和郵件本身的資料安全。

自建郵件伺服器時需要注意的幾個防護重點:

  • 要避免被駭客入侵,從系統的防護先做起
  • 要避免被當成Relay,郵件服務的設定要做好
  • 要避免用戶信箱被當成濫發信件的信箱,密碼要有一定強度

由於電子郵件服務是仿造傳統信件的收發流程而誕生的,因此會有很多漏洞存在,例如傳統信件在寄信件時,寄件人的聯絡資訊不一定是寄信的本人,因為郵局不會要求檢查寄信人的身份(除非有特定情況);而在電子郵件的服務中也是如此,寄件人的聯絡資訊是可以任意填寫的,只要收發雙方的郵件伺服器願意接收就行!

所以我們經常可以收到自己寄給自己的電子郵件、但自己卻沒發信給自己(只有查看郵件原始內容才會發現原來是從別人的郵件主機寄來的)等奇怪的信件,原因就是因為電子郵件服務先天的設計不良!

現在由Google、微軟等國際大廠提出的驗證機制(SPF、DKIM、DMARC等等)主要是在用郵件伺服器端的身份驗證,透過DNS和金鑰等方式來做驗證,然而這依然無法阻止大量的垃圾郵件和惡意郵件!

因為有很多企業的郵件伺服器是被駭客入侵後盜發郵件,或是有些企業本身就是靠發送大量廣告郵件做為公司主要營運服務!

此外,現在更常看到的方式是:利用電子郵件的退件機制來發送垃圾郵件~

重點二:資料的備份與還原

有重視資安的企業應該就會很重視數位資料的備份與還原!尤其電子郵件有時還會成為法律事件判決的重要依據,因此會需要進行妥善的備份規劃,當然備份的資料也要能夠還原才行。

電子郵件的資料主要會包含兩個部份:

  • 郵件本身內容
  • 郵件的附加檔案

至於郵件的收發日誌是否要全部完整保留,得視企業本身的規劃而定,大多數來說是不會保留的,因為收發日誌主要是記錄郵件的往來細節,而不會有郵件本身和附件檔案的內容,日誌是用來追查問題時比較方便。(就像傳統郵局一樣,只會記錄信件在何地、何時寄給誰…)

郵件資料的備份還原要視使用的軟體套件而定,有些用戶端軟體(例如Outlook)使用的是POP3協定收信時,信件就會下載保存在用戶端的電腦裡,而不會在郵件伺服器裡(除非用戶端有特別設定要保留信件在伺服器),此時信件的備份就要在用戶端的電腦中進行。

現在新版的用戶端軟體大都採用IMAP協定來收信,用戶端看到的信件內容事實上還是存在郵件伺服器中,此時就可以在郵件伺服器進行資料的備份,但是要注意使用IMAP協定會讓郵件伺服器的儲存空間快速耗盡,因此務必要請用戶自行把不要的信件刪除、清空,才能讓空間釋放出來!

重點三:電子郵件的防護

這裡指的防護雖然也是和郵件伺服器相關,但有時會考量效能和網路架構,而會使用另外的設備來做處理,例如:

  • 防火牆Firewall
  • 垃圾郵件防護Anti-Spam
  • 病毒郵件防護Anti-Virus
  • 進階威脅防護等等

大多時候也會整合一些第三方的服務和Open Source的套件來防護,像是:

  • DNSBL
  • Rspamd
  • SpamAssassin
  • ClamAV

然而這也很常使得電子郵件發生被誤判、誤擋的問題,經常會需要不斷查看郵件收發日誌,並協調多方才能找到真正的原因,有時還不一定能解決問題,常常會造成維運郵件伺服器的管理人員極大的負擔!

所以Google、微軟他們提供的Gmail、Outlook信箱是不會幫你查問題的,也不會有郵件收發日誌給你查,好處在於你不必自行維運郵件伺服器。

重點四:常見問題的排除

電子郵件發展至少也有二十幾年以上,很多問題源自是先天的服務架構設計不良,我原本以為會被一些IM(Instant Message)取代掉,但事實證明大多數企業仍然還是很仰賴電子郵件的服務。

公司成立前幾年,我有在幫企業建置、維運電子郵件伺服器,只是由於維運電子郵件伺服器的負擔太重、收入太低,所以我現在是以雲端顧問的服務為主,只有老客戶的郵件主機我才會出手幫忙維運!

底下這張圖是我在很多年前畫的,就是因為要經常向用戶端解釋為何郵件會被退件、為何會收不到郵件、為何會一直有垃圾病毒郵件等問題,透過這張圖會比較容易理解,也能用來判斷問題可能發生的節點!

傳統信件和電子信件的收發流程

雖然電子郵件有SPF、DKIM和DMARC等多種驗證機制,但仍無法斷絕垃圾郵件、病毒郵件和釣魚詐騙郵件,因為電子郵件的服務就是參考傳統信件的概念而誕生的,因此會存在很多漏洞。