今天有一个刚安装ORF 试用版的客户,联系我们说刚装的ORF过滤功能有问题,效果不好,于是通过远程桌面登录到了客户的服务器。打开ORF LOG Viewer一看,大量的下图的LOG:
Version: 4.2 EVALUATION
Log Mode: Verbose
Server: server1.xxx.com
Source: SMTPSVC-1
Time: 2009-2-16 下午 02:21:34
Class: Whitelist
Severity: Information
Actions: (not available)
Filtering Point: On Arrival
HELO/EHLO Domain: (not available)
Related IP Address: 192.168.0.1
Message ID: (not available)
Email Subject: (51job.com)申请贵公司针织服装质量检验员(QC)(上海市)-卞百灵
Sender: resume@quickmail.51job.com
Recipient(s):
Message:
Email whitelisted (email from a trusted intermediate host or intranet).
使用过ORF的朋友都知道,这是ORF把通过192.168.0.1这个IP发过来的邮件当成中可信的内部或局域网主机,通过白名单放行了。但是192.168.0.1是什么IP呢?通过和客户沟通,原来192.168.0.1是他们一台FortiGate 60的防火墙,然后通过防火墙使用端口映射将外网IP的25端口映射到了内网的Exchange 2003服务器。也就是说,所有从第三方来的外部发往内部的邮件都被FortiGate 60的防火墙修改了来源的IP,造成ORF认为这些邮件都是可信的,所以直拉放行了。
解决办法是检查在FortiGate 60防火墙的策略中,找到从外到内的策略,看看是否有勾选NAT的选项。将其去除即可。如图:
1.找到从外到内的策略,并编辑这个策略:
2.去除NAT选项
3.保存
通过上面的修改,防火墙将不会直接修改外网邮件的来源IP,从而有利于ORF的过滤功能发挥应有的效果。
发表评论:
