梭子鱼的工作原理:
梭子鱼作为一个邮件网关,是以并联方式接入到网络中的,即它也是一个标准的mta,它先一步接收本将发给邮件服务器的邮件,进行过滤后将正常的那部分邮件再转发给邮件服务器。
我们来看下面是一个正常的邮件服务器在没有安装梭子鱼前的构架:
远方的邮件服务器通过dns的邮件交换记录(mx)的查找到您的邮件服务器主机,发送邮件。这其中可能通过若干层的网络路由和您的防火墙的映射。
梭子鱼的架设方式:
安装梭子鱼的邮件路由如下,梭子鱼的安装这里有常见的两种方式:
上面这张图片显示的是1to1的nat模式,或者有的用户可能是直接设置的公网ip地址。梭子鱼安装后占据了原来的邮件服务器的nat映射,代替了邮件服务器的地址,进行先一步的接收,因此邮件服务器便需要重新设置一个新的内部地址,如果梭子鱼和邮件服务器都使用的是公网地址,那就要求助于改动dns的mx记录才行了:具体做法为将梭子鱼设置一个新的公网ip地址,在dns中添加一条新的a记录指向到梭子鱼地址,然后将mx记录改为指向到这条a记录,这样邮件就先通过梭子鱼进行过滤啦。
(注意:根据rfc1035文件规定,mx记录一定要指向到一条已知的a记录或别名记录cname,我们发现有一些管理员偷懒起见直接将mx记录指向到一个公网ip地址了,这种做法是很不好的,有可能会影响你的邮件的接收和域名的反查,所以在这里提醒大家尽快改正过来。)
下面这张图中显示的是通过端口转发模式来安装梭子鱼,这里需要将原来的nat改成pat,即端口映射。因为之前是将所有端口映射到邮件服务器的上面,而现在要将smtp协议的25端口转发到梭子鱼,而保留其他的端口110,80(如有web邮局)等还是转发到邮件服务器上。因此这就需要在防火墙上设置好了。还有一些常用的梭子鱼端口,如8000web界面,22远程支持端口等也可以适当做映射。
下面的表格是梭子鱼常用的一些端口说明:
端口 | 协议 | 用途 | tcp/udp | in/out | opt / req |
22 | ssh | 远程技术支持 | tcp | in/out | req |
25 | smtp | email | tcp | in/out | req |
53 | dns | email checks | udp | out | req |
80 | http | 动态更新 | tcp | out | req |
123 | ntp | 时钟同步 | tcp/udp | out | req |
389 | ldap | ldap验证 | tcp | out | optional |
443 | ssl | https 连接 | tcp | in | optional |
636 | ldaps | 安全 ldap | tcp | out | optional |
3268 | ldap | ldap- global catalog | tcp | out | optional |
8000 | http | 默认web界面登陆 | tcp | in | optional |
8001 | clustering | 集群同步 | tcp | in/out | req-cluster |
8002 | clustering | 集群同步 | tcp | in/out | req-cluster |