邮件服务器-邮件系统-邮件技术论坛(BBS)

标题: 解决ORF在FortiGate (飞塔)防火墙后过滤失效一例 [打印本页]

作者: 钉子 时间: 2009-2-17 02:10
标题: 解决ORF在FortiGate (飞塔)防火墙后过滤失效一例
随着大家对ORF反垃圾邮件系统的了解，用户也慢慢的增加了。每天都有不少用户向我咨询一些售前或是售后的问题。今天我和大家分享一个解决ORF在FortiGate 防火墙后过滤失效的案例。

今天有一个刚安装ORF 试用版的客户，联系我们说刚装的ORF过滤功能有问题，效果不好，于是通过远程桌面登录到了客户的服务器。打开ORF LOG Viewer一看，大量的下图的LOG：

Version: 4.2 EVALUATION

Log Mode: Verbose

Server: server1.xxx.com

Source: SMTPSVC-1

Time: 2009-2-16 下午 02:21:34

Class: Whitelist

Severity: Information

Actions: (not available)

Filtering Point: On Arrival

HELO/EHLO Domain: (not available)

Related IP Address: 192.168.0.1

Message ID: (not available)

Email Subject: (51job.com)申请贵公司针织服装质量检验员（QC）（上海市）－卞百灵

Sender: resume@quickmail.51job.com

Recipient(s):

* missxue@xxx.com

Message:

Email whitelisted (email from a trusted intermediate host or intranet).

使用过ORF的朋友都知道，这是ORF通过192.168.0.1这个IP发过来的邮件当成中可信的内部或局域网主机，通过白名单放行了。但是192.168.0.1是什么IP呢？通过和客户沟通，原来192.168.0.1是他们一台FortiGate 60的防火墙，然后通过防火墙使用端口映射将外网IP的25端口映射到了内网的Exchange 2003服务器。也就是说，所有从第三方来的外部发往内部的邮件都被FortiGate 60的防火墙修改了来源的IP，造成ORF认为这些邮件都是可信的，所以直拉放行了。

解决办法是检查在FortiGate 60防火墙的策略中，找到从外到内的策略，看看是否有勾选NAT的选项。将其去除即可。如图：

1.找到从外到内的策略，并编辑这个策略：

2.去除NAT选项

3.保存

通过上面的修改，防火墙将不会直接修改外网邮件的来源IP，从而有利于ORF的过滤功能发挥应有的效果。

作者: tdk 时间: 2009-2-17 08:37
支持！

欢迎光临邮件服务器-邮件系统-邮件技术论坛(BBS) (http://5dmail.net/bbs/)