ASG v8 邮件安全配置指南

Astaro Security Gateway v8

管理员使用指南

邮件安全部分

1

Introducation

本手册针对 ASG 管理员而设计。

Notice

本手册包含如下缩略语：

ASG —— Astaro Security Gateway，Astaro安全网关

WebAdmin

WebAdmin 是基于浏览器技术的用户管理接口，您可以在这里管理 ASG 的全部内容。WebAdmin 有

菜单项和多标签页面构成。主菜单项排列在界面的左侧，提供 ASG 全部功能列表。当您选择一个主菜

单项时，例如 “网络”，其会显示出相关的子菜单项目与页面。请注意，有些主菜单项是没有相关页面的，

此时您必须继续选择其下属的子菜单项目，才会显示出相关联的页面。

在本手册中，我们用如下格式引导您到达某功能页面。例如，

“接口与路由 >> 接口 ”

导航菜单概述

WebAdmin 的导航菜单项提供了 ASG 设备全部的功能配置，因此您不需要使用命令行方式配置 ASG

的某些参数。

设备状态（Dashboard）：显示当前 ASG 设备的各项功能操作状态和资源使用情况。

系统管理（Management）：配置基本的系统信息，WebAdmin界面的相关参数，及与 ASG 配置相

关的各项参数。

用户定义（Urs）：配置用户帐号、用户组、ASG 可使用的外置认证服务器等项目。

对像定义（Definitions）：对网络对象、服务对象、时间事件的定义。

接口和路由（Interface & Routing）：配置 ASG 的网络接口、路由信息等项目。

网络服务（Network Services）：配置如 DNS 和 DHCP 等 ASG 可以对内部网络提供的服务项目。

网络安全（Network Security）：配置基本的网络安全功能，如包过滤规则、NAT、入侵防御等项目。

2

Web 安全（Web Security）：配置 HTTP/S Proxy、 FTP Proxy、IM、P2P控制等项目。

邮件安全（Mail Security）：配置 SMTP 和 POP3 proxy、邮件加密等项目。

无线安全（Wireless Security）：配置 Astaro 的专业无线网络。

Web 防火墙（Web ）：配置对内部 Web 服务器的专项防御。

RED 管理（RED Management）：配置 Astaro 特有的 VPN 设备 —— RED。

日志管理（Log Management）：配置基于云的 Astaro 日志存储。

点对点 VPN（site-to-site VPN）：配置局域网之间通过 Internet 实现设备到设备的 VPN 通讯。

远程访问（Remote Access）：配置移动用户通过 Internet 实现与 ASG 内部网络的 VPN 通讯。

日志记录（Logging）：查看并配置存储在 ASG 设备上的日志信息。

系统报告（Reporting）：查看并配置存储在 ASG 设备上的报告系统。

技术支持（Support）：获取更为详细的维护信息。

Log Off：退出 WebAdmin 管理界面。

3

系统管理（Management）

用户门户（Ur Portal）

这里可启用或关闭用户门户功能。用户门户是企业内部用户在 ASG 上的一个自助管理界面，通过这个

自助管理界面，用户可以查看自己的垃圾邮件、邮件日志、VPN配置、修改登录密码等。

最终用户门户选项

管理员可以限制哪些 IP 地址可以打开自助管理界面，如下图所示：

管理员可以限制哪些用户拥有自己的自助管理界面，如下图所示：

禁用门户项

管理员可以限制哪些功能可以出现在自助管理界面中，如下图所示：

4

欢迎消息

管理员可以自定义登录自助管理界面后的欢迎信息。

用户定义（Urs）

Authentication Server

全局设置（Global Settings）

自动创建用户

自动创建用户对象。当认证采用 Radius、LDAP、AD等认证服务器时，选择此选项后，如果用户登录

成功，可以在 ASG 的 “用户” 部分自动创建该用户对象，其基本信息取自认证服务器上用户信息，如

同时关联真实姓名、邮件地址等信息。

自动为设施创建用户

定义哪些项目在使用时，可支持自动创建用户功能。常用选项如下：

HTTP 代理

最终用户门户

SMTP 代理

SSL VPN

服务器

Active Directory

下面举例说明如何定义一台 Active Directory 服务器

Backend

选择 Active Directory

Server

填写 Windows Active Directory 主机的 IP 地址或域名。

Bind DN

拥有遍历 AD 权限的用户。例如：cn=Administrator,cn=Urs,dc=abc,dc=net，也可以直接写

Administrator

Password 和 Repeat

拥有遍历 AD 权限的用户在 AD 上的密码。

6

Test rver ttings

测试可否遍历 AD。如果成功，ASG给出提示：Server test pasd.

Ba DN

遍历 AD 的起点。例如：dc=abc,dc=net

要查询的资源，如用户名/用户组，必须包含在Ba DN中。

Urname 、 Passwrod、Authenticate example ur

填写一个 AD 上的有效用户，测试 ASG 与 AD 是否能够认证成功。

如果成功，ASG给出提示：

Ur authentication:

Authentication test pasd.

Ur is a member of the following groups:

Active Directory Urs

定义好一台 Active Directory 服务器后，如下图所示：

注：

如何取消 AD 的用户密码复杂性

修改 “域安全策略” 里面的 “帐户策略” —— “密码策略” —— “复杂性”设为禁用

使此策略修改生效，在命令行输入：gpupdate

高级（Advanced）

预取目录用户

7

服务器：定义好的一台 Active Directory 服务器

组：利用 Active Directory Browr 选择需要提取用户信息的用户组

立即预取：手动与 Active Directory 服务器同步

预取时间：设定后台信息预取的时间

登录时启用后端同步：当用户成功登录后，与 Active Directory 服务器进行后台信息同步

当预取成功后，在 “用户” 中，将出现预取的结果，如下图所示：

8

接口和路由

接口（Interfaces）

定义 ASG 的接口属性、IP地址等参数。

其他地址（Additional Address）

定义 ASG 接口的从属 IP 地址。

从属 IP 地址可以与 ASG 接口的主 IP 地址在一个网段，也可以不在一个网段。

9

静态路由（Static Routing）

定义 ASG 的静态路由表。

注意：

ASG 的缺省路由不需要单独定义。其在 “接口” 定义中已经指定。

10

邮件安全（Mail Security）

邮件安全包括：

SMTP

SMTP 配置文件

POP3

邮件加密

隔离报告

邮件管理器

邮件归档

邮件安全可以通过订购 Mail Security 安全模块实现。

SMTP

利用代理技术实现在 SMTP 协议上的垃圾邮件检测、病毒检测、邮件中继等功能。

简单模式

当内部网络中仅有一个邮件域时，可以使用此模式。

配置文件模式

当内部网络中有多个邮件域时，可以使用此模式，允许管理员针对不同邮件域实施不同的控制策略。

Open live log

可以打开SMTP实时通讯日志，用于查看SMTP通讯信息。

路由（Routing）

定义内部网络中，邮件通讯路由：

域

指邮件域，例如：内部的邮局 @ ，在此写 即可。

路由依据

12

静态主机列表：指定内部邮件服务器的 IP 地址，如上图的举例；

DNS 主机名：ASG 利用设置的 DNS 服务器解析主机地址，在此写邮件服务器的主机地址，例如：

；

MX 记录：ASG 利用设置的 DNS 服务器解析 “域” 中设定的邮局对应的 MX 记录；如果 ASG 本身

IP 地址是 MX 所对应的定义，那么不可以使用此选项；

收件人验证

使用标注：ASG 将向邮件服务器发送一个查询，用于验证收件人是否为有效地址；

在Active Directory中：ASG 将向定义过 Active Directory 服务器发送一个查询，用于验证收件人是否

为有效地址；

此处的 “备选基 DN ” 是一个可选项，如果为空，则引用在 Active Directory

服务器中的DN定义；

关闭：不使用收件人验证功能；如果关闭此功能，邮件服务器可能会受到字典攻击；

防病毒（AntiVirus）

在 SMTP 事务处理期间扫描

此选项用于在邮件服务器之间进行 SMTP 通讯时，一旦发现内容中包含有恶意软件，将直接拒绝此

SMTP 通讯。

此选项所拒绝的邮件将不会出现在邮件隔离区中。

防病毒扫描

用于对已经接收到的邮件进行病毒扫描检测。用户可以选择使用单引擎或者双引擎扫描。

MIME 类型过滤器

用于控制通过邮件传递的附件内容类型。需要对 MIME 类型有所了解，才可以使用此选项，否则会隔离

很多不希望隔离的邮件。

例如：video/* ，用于过滤所有 video 类型的附件。

此选项一旦选用，匹配的邮件将被隔离到邮件隔离区中。

文件扩展名过滤器

在这里直接写通过邮件传递的文件扩展名即可，例如：exe、com、bat、scr、mp3等。

防病毒检查页脚

此选项用于将这里所列的脚本内容，作为页脚添加在邮件中。这里的脚本内容可以自由定义。

13

防垃圾邮件（AntiSpam）

在 SMTP 事务处理器期间进行垃圾邮件检测

此选项用于在邮件服务器之间进行 SMTP 通讯时，一旦检测到垃圾邮件发送特征，将采取如下动作：

拒绝已确认垃圾邮件：只有被 ASG 判定为垃圾邮件的通讯，此会话将被拒绝；

拒绝垃圾邮件：ASG 认为是或者可能是垃圾邮件的通讯，此会话将被拒绝；此选项会增加误判率；

关闭：关闭此选项；这会导致更多的垃圾邮件进入到 ASG ，可能会增加 ASG 其他部件对垃圾邮件

的分析压力；

此选项对识别到的垃圾邮件，将采用拒绝的处理方式，不会存储到邮件隔离区。

RBL（实时黑名单列表）

启用 RBL 检测。ASG 内置了一些 RBL 服务器，这些服务器部署在国外，罗列有全球的邮件服务器黑

名单。

此选项可能在中国使用时，可能会增加垃圾邮件的误判率。

此选项对识别到的垃圾邮件，将采用拒绝的处理方式，不会存储到邮件隔离区。

垃圾邮件过滤器

ASG 将利用 SMTP 信封信息和内部的启发式数据库及规格表，对所有进入 ASG 的邮件进行启发式分

析，并根据邮件的评分系统来决定哪些是垃圾邮件。

垃圾邮件操作：这里是定义 ASG 对可能的垃圾邮件，将进行什么样的处理；

确认的垃圾邮件操作：这里是定义 ASG 对肯定的垃圾邮件，将进行什么样的处理；

垃圾邮件标记：对 ASG 判定为垃圾邮件的邮件，将在主题部分打上一个标记，这个标记可以任意定

义；

ASG 的几个动作：

隔离：ASG 将垃圾邮件存储在隔离区；

警告：ASG 将在邮件主题部分加入标记，并继续投递此封邮件；

黑洞：ASG 将接收此邮件，并且移除此邮件，并不放入隔离区；

关闭：关闭此功能；

发件人黑名单

此选项允许定义全局有效的发件人黑名单。一旦匹配了黑名单的邮件，将被 ASG 拒绝。

例如：将某发件人列入黑名单：postmaster@

例如：将某邮局列入黑名单：*@

14

表达式过滤器

利用 Perl Compatible Regular Expressions 扫描邮件内容，一旦有匹配项目，此封邮件将被 ASG 拒绝。

此选项对识别到的垃圾邮件，将采用拒绝的处理方式，不会存储到邮件隔离区。

高级防垃圾邮件功能

拒绝无效 HELO/缺失 RDNS：ASG 将对发送无效 HELO 信息和没有 DNS 反向解析记录的邮件服

务器 SMTP 会话，进行拒绝；

使用灰名单：ASG 将拒绝所有邮件服务器的第一次邮件投递通讯，并对每封拒绝的邮件进行记录；

如果记录信息与之前的数据库中垃圾邮件信息匹配，则在邮件服务器再次投递此封邮件时，按垃圾邮

件处理；如果内部数据库中没有此封邮件的记录信息，则在邮件服务器再次投递此封邮件时，对邮件

进行二次匹配，检测两次邮件的某些相关信息是否一致，如果不一致，将认为是垃圾邮件，进行拒绝；

使用 BATV：ASG 使用 BATV（反弹地址标记验证）规范应对未送达报告（NDR）垃圾邮件；一旦

匹配，进行拒绝；

执行 SPF 检查：ASG 检查发件人邮局的 TXT 类型记录是否有 SPF 信息；SPF 用于登记某个域名

拥有的用来外发邮件的所有IP地址；

例外（Exceptions）

在这里定义白名单列表，可以设定：

源主机IP地址和网络地址

发件人

收件人

可以选择跳过多项检测项目。

中继（Relaying）

在这里定义那些主机IP地址、发件人，可以利用 ASG 作中继处理。

上流主机列表

如果使用上流主机，那么上流主机会将邮件传输给 ASG ，因此要定义此主机的IP地址，否则垃圾邮件

检测将无法正常工作。

15

需要进行身份验证的中继

如果有在 Internet 上的移动用户利用 SMTP 连接 ASG 发送邮件，那么需要启用此功能，以允许这些

在 Internet 上的用户可以对外发送邮件。

允许需要进行身份验证的中继

启用此选项，ASG 将对 SMTP 连接启用身份验证功能。

这里使用的验证用户与密码应该是存储在 ASG 或者后台的 Active Directory 服务器上。

如果不启用认证，那么很有可能 ASG 将被利用转发垃圾邮件。

基于主机的中继

如果允许内部有某些 IP 地址利用 ASG 对外作中继转发，可以在这里对这些 IP 地址进行定义。一般

的，这里定义的 IP 地址是内部邮件服务器地址。同时，内部邮件服务器需要将邮件外发指向 ASG 。

如果这里设置为 “Any” ，那么 ASG 将对 Internet 开放邮件中继功能，这是非常危险的。

主机/网络黑名单

这里定义了 IP 地址黑名单，用于 ASG 直接拦截这些 IP 地址的 SMTP 通讯。

中继（外发）邮件的内容扫描

启用对中继外发达邮件进行内容扫描。

高级（Advanced）

代理服务器

当 ASG 需要通过一个第三方代理服务器连接 Internet 时，需要在此处设置代理服务器信息。

透明模式

被列在此处的主机 IP 地址将不被 SMTP Proxy 的处理；即将跳过 ASG 的SMTP 应用层所有项目检

测。

此功能将比在 “例外” 中的定义更彻底地跳过 ASG SMTP Proxy 处理。

TLS 设置

ASG 启用 TLS 与所有 Internet 上支持 TLS 的邮件主机进行通讯。

域密钥标识邮件 (DKIM)

以加密方式对外发邮件进行签名。

16

在使用此功能前，需要在 DNS 中对邮局域名添加 TXT 类型记录。

机密信息页脚

对于所有外发邮件，可添加这个机密信息页脚。

高级设置

SMTP 主机名：用于标识这台 ASG 的主机名；

Postmaster 地址：邮局管理员地址；

BATV 机密：用于 BATV 检测回弹地址；

最大邮件大小：设置邮件的大小；

最大连接数：设置 ASG 最大可并发处理的 SMTP 连接数；如果邮件吞吐量较大，可适当调整此值；

此值太大，会影响整体设备性能；

每台主机的最大连接数：设置 ASG 可接受的每台远端主机可同时建立起来的 SMTP 连接数；

每个连接的最大邮件数：设置 ASG 可接受的每个 SMTP 连接中可传递的邮件数量；

每封邮件的最大收件人数：设置 ASG 允许的每封邮件中含有的最大收件人数；

页脚模式：设置 ASG 在添加页脚时所用的格式；

智能主机设置

当 ASG 外发邮件时，如果需要通过一台智能主机，那么在此定义此主机的 IP 地址或者域名。

配置举例

现在需要部署一台 ASG 对用户的邮件服务器进行垃圾邮件防御；

内网中有一台邮件服务器，IP地址：192.168.10.20；

内网邮件服务器对应的邮局：

用户的 DNS 信息设置如下：

MX 记录，，IP 地址：50.50.50.20

ASG SMTP Proxy 必须配置步骤：

1) 全局

a) 启用简单模式

2) 路由

a) 定义域：

b) 路由依据：静态主机列表

c) 主机列表：192.168.10.20

17

d) 收件人验证：使用标注

以上两步配置正确，就可以保证来自 Internet 的邮件投递到 ASG 后，ASG 会正确投递给内网邮件服

务器。

ASG 反垃圾邮件配置步骤，这些步骤基本可以达到最佳的识别率与误判率的平衡：

1) 防病毒

a) 在 SMTP 事务处理期间扫描：启用

b) 防病毒扫描

i) 启用隔离

ii) 使用双引擎

iii) 启用隔离无法扫描和加密的邮件

c) 文件扩展名过滤器，使用默认选项

2) 防垃圾邮件

a) 在 SMTP 事务处理器期间进行垃圾邮件检测：已确认垃圾邮件

b) RBL（实时黑洞列表）：禁用

c) 垃圾邮件过滤器：隔离

3) 高级防垃圾邮件功能

a) 拒绝无效 HELO/缺失 RDNS：禁用

b) 使用灰名单：启用

c) 使用 BATV：启用

d) 执行 SPF 检查：启用

4) 例外：根据具体情况设定白名单，例如可信的合作单位的邮局应该列入白名单，但不跳过病毒检查；

内部关键人员的邮箱可以列入白名单，但不跳过病毒检查等等；

5) 中继：如果有员工在 Internet 上通过 ASG 中继，那么需要启用身份认证

6) 高级

a) 高级设置：根据具体情况进行调整

b) 其他项目：使用默认值

Encryption

ASG-A <--> ASG-B 邮件加密部署

3. 在ASG-A上创建需要加密的邮件用户，ur-a@，并选择需要是否使用加密、确认、签名

等功能，产生此用户的S/MIME证书和OpenPGP密钥对。

4. 在ASG-A上创建需要加密的邮件用户，ur-b@，并选择需要是否使用加密、确认、签名

等功能，产生此用户的S/MIME证书和OpenPGP密钥对。

5. 如果启用 Enable automatic S/MIME certificate extraction，双方邮件用户的S/MIME 证书会被对方的

ASG 自动提取并保存。

6. 此时，在ASG-A上，保存了ASG-B的CA，还有ur-b@的S/MIME证书或OpenPGP公钥；

在ASG-B上，保存了ASG-A的CA，还有ur-a@的S/MIME证书或OpenPGP公钥。

全局（Global）

在这里，以ASG的信息内容，创建一个CA证书，用于S/MIME和OpenPGP。此时ASG就是CA。

Email encryption certificate authority (CA)

填写相关信息

保存后将产生一个CA文件：

如果实施的是ASG到ASG的 S/MIME 邮件加密，需要将此文件导入到其他ASG的 S/MIME Authorities

部分。

Internal Urs

为需要使用邮件加密的本地用户在ASG上创建Key。

New email encryption ur ...

填写此用户的信箱地址；

选择此用户使用哪些加密、签名等功能；

选择创建S/MIME证书和OpenPGP密钥对；

可以下载此邮箱的S/MIME证书和OpenPGP的公钥；S/MIME的Key和OpenPGP的私钥将保存在ASG上

无法下载。

如果实施的是ASG到ASG的邮件加密，需要在对端的ASG设备为对方的本地邮件用户创建Key。

19

S/MIME Authorities

对于 ASG <--> ASG 加密通讯方式

需要保存参与加密通讯的 ASG 的CA信息。

需要保存对方邮件用户的S/MIME证书信息，此S/MIME证书可以通过自动提取方式获得，或者手工导

入。

20