如何创建一条发信人规则?

在发信人规则列表页面,可以点击“新建发信人规则”按钮,创建新的过滤规则。根据需要设定IP与邮件地址为匹配过滤条件,并根据导航选择需要的执行动作,对于不熟悉的情况可以点击“使用说明”进行了解:

根据需要设定IP与邮件地址为匹配过滤条件。如果同时填写了多个条件的,多个条件同时匹配对应的规则动作才会触发,条件设定可分为四类情况:

  1. 来自某个IP地址的邮件

    发信人地址填*,IP一栏填需要过滤的IP地址。

  2. 来自某个邮件地址的邮件

    发信人地址和收信人地址一栏填写目标邮件地址,如abc@abc.com,而IP一栏的填写内容需要分别处理。建议对于需要设定黑名单规则,IP地址填写0.0.0.0-255.255.255,表示对于任何IP连接,都将触发这条规则,进行连接请求过滤;而在设定白名单时,IP地址一栏留空,不需要填写内容,表示系统不需要在用户连接时就触发该规则,而是在系统接收邮件的过程根据发信人地址进行判断,看是否属于白名单的用户。 需要设定其他类型的规则也可以参考以上的方法,简而言之,就是IP地址填写为0.0.0.0-255.255.255,表示对于任何IP连接都将触发规则,进行连接判断;而IP地址不填写内容时表示不进行用户连接过程的过滤判断。 同时发信人和收信人地址设置支持取反操作,即!uid1@domain.com,uid2@domain.com 地址取反操作,如果第一个字符是"!",则表示所填地址外的其他用户 (如:“!1@1.com, 2@2.com,3@3.com” 则表示除1@1.com,2@2.com,3@3.com外的所有用户都匹配该规则)

  3. 来自某个域的邮件地址

    邮件地址一栏直接填写域名“abc.com”,代表带有该域名的所有邮件地址;而“.abc.com”代表所有abc.com及其子域的用户。

  4. 来自某个IP的某个邮件地址的邮件

    IP地址填写目标IP地址,邮件地址填写目标邮件地址。 优先级一栏填1-1000之间的数字,数字越大优先级越高,过期日期(空白表示不设置规则的过期日期)。

如何添加黑白名单?

在创建发信人规则页面上,单击执行动作,可选择黑白名单动作。

如何创建一条关键字规则?

点击页面的“新建关键字规则”按钮,创建新的内容过滤规则:

设定规则名称、匹配关键字内容。关键字过滤类型可选择设定包括信头、主题、信体、附件名的过滤关键字。然后选择所要执行的操作。

勾选“使用正则表达式”右侧的选择框,用以创建使用正则表达式的关键字过滤规则。例如“.*”代表0或者多个字符,“\”为转义符,如在“附件名关键字”填写“.*\.exe”, 并且勾选“正则表达式”,表示过滤所有附件扩展名为.exe的邮件。详细的正则表达式使用说明可以参考《Coremail XT反垃圾邮件管理》。

下面我们以创建规则,过滤包含关键字“发票代开”的邮件为例子,说明创建关键字规则的具体过程:

  1. 选择操作“拒绝投递”;
  2. 在“匹配关键字”栏中填写“发票代开”,或选择正则表达式后填写“发.{0,100}票.{0,100}代.{0,100}开”,其余各项默认;
  3. 为该关键字规则命名,如“发票代开”,并确定新建。

“全局设置”中部分参数说明

  1. 基本设置
    收件人个数限制(来自外站)

    规则说明:如果管理员设置为“15”则表示本站用户a收到来自外站用户b的邮件,每封邮件里只能有15个收信人。

    如果触发规则:rcpt to命令返回"450 Requested mail action not taken: too much recipient\r\n"

    发信人非本站用户时发送邮件大小上限

    规则说明:表示外站用户发往本站用户的邮件大小上限不能超过51200KB。

    如果触发规则:不投递邮件

    当Mail From命令的内容为空时

    规则说明:当外站用户投递过来的邮件发现Mail From命令的内容为空时,系统自动拒绝该邮件投递到本站用户。

    如果触发规则:选项为拒绝时,mail from命令返回失败。

    是否过滤本站发出的邮件

    规则说明: 当本站用户发信时,如果邮件的评分超过了阀值,是否投递邮件

    如果触发规则:data命令返回"550 Requested action not taken: mail %s is rejected\r\n",邮件不投递。

  2. 出错次数控制

    每个连接SMTP认证失败次数上限

    规则说明: SMTP 认证,简单地说就是系统要求必须在用户提供了账户名和密码之后才可以登录 SMTP 服务器。增加 SMTP 认证的目的是为了使用户避免受到垃圾邮件的侵扰。限制每个连接smtp认证的失败次数,而防止不断地试密码

    如果触发规则:mail from命令时返回"550 Requested mail action not taken: too much fail authentications\r\n",并断开连接

    每个连接可以接受的命令次数上限

    规则说明:限制每个连接的命令数,以免客户端发送太多的命令。如果一个连接内用户SMTP认证失败次数超过了设置的30次,则系统会断开该连接。

    如果触发规则:mail from或rcpt to命令返回"450 Requested mail action not taken: too much command\r\n",并断开连接

    每个连接可以接受的命令错误次数上限

    规则说明:由于SMTP通讯协议是以命令为单位进行通讯的,但是一些发送垃圾邮件的软件,其命令经常会出错,导致系统服务器需要消耗资源去处理这些命令。通过这个配置,可以控制系统处理这些发送垃圾邮件的软件所使用的资源(如一个连接内,出错的命令次数超过限制,系统就会断开连接)。

    如果触发规则:出错的命令次数超过限制,系统就会自动断开连接。

  3. IP连接频率控制

    IP同时连接数上限

    规则说明: 限制某个IP最多同时与服务器建立了多少个连接,主要避免站内IP发送垃圾邮件和外站IP进行Dos攻击。

    如果触发规则:当某个IP连接上来时,发现超过此限制,返回"554 IP<%s> is rejected",并马上断开连接

    IP每15分钟连接数上限/当天连接数上限

    规则说明: 限制最近的15分钟内某个IP允许的最大连接次数/当天某个IP允许的最大连接次数

    如果触发规则:当某个IP连接上来时,发现超过此限制,返回"554 IP<%s> is rejected",并马上断开连接

    IP每小时SMTP认证失败次数上限

    规则说明: 限制某个IP每小时SMTP认证的失败次数,以防止试密码

    如果触发规则:当某个IP连接上来时,发现超过此限制,返回"554 IP<%s> is rejected, smtp auth error limit exceed\r\n",并马上断开连接

    IP每小时MAIL命令用户不存在比例上限(单位%)

    规则说明:防止通过MAIL FROM命令穷举用户。

    如果触发规则:当某个IP连接上来时,发现超过此限制,返回"554 IP<%s> is rejected, mail command error limit exceed\r\n",并马上断开连接

    IP每小时RCPT命令用户不存在比例上限(单位%)

    规则说明:防止通过RCPT TO命令穷举用户。

    如果触发规则:当某个IP连接上来时,发现超过此限制,返回"554 IP<%s> is rejected, rcpt command error limit exceed\r\n",并马上断开连接

  4. 用户发送邮件频率控制

    用户每15分钟发出邮件的总数上限/用户当天发出邮件的总数上限

    规则说明: 记录15分钟/当天时间内站内某个用户发送的邮件数量

    如果触发规则:由于系统会记录用户发送的邮件数量,如果管理员分别上限分别设置为20和200,当系统某用户发信超过了其中任何一个(20或200),则接下来发出的信件(或提示发不了),对方用户将不能接收到信件。

    用户每15分钟发出邮件中收信人总人次上限/用户当天发出邮件中收信人总人次上限

    规则说明: 记录15分钟/当天时间内站内某个用户发送邮件中收信人总人次数,一般上限设定为“-1”时表示对该项内容不设定上限。

  5. 过滤分数阈值设置

    灰名单过滤分值(默认7,使用名单技术阻隔邮件)

    规则说明使用灰名单与邮件评分技术进行过滤,如果邮件的分值越高,被评定为垃圾邮件可能是越大。

    如果触发规则:邮件的评分结果大于此值并且没有通过灰名单检查时,不投递邮件。

    标记分值(默认10,邮件主题加上标记前缀)

    规则说明:如果邮件主题的分值越高,被评定为垃圾邮件可能是越大。

    如果触发规则:邮件的评分结果大于此值时,投递邮件,但在邮件主题上打上[spam]的标记。

    隔离分值(默认12,把邮件保存到用户的垃圾邮件文件夹)

    规则说明:如果邮件内容的分值越高,被评定为垃圾邮件可能是越大。

    如果触发规则:邮件的评分结果大于此值时,把邮件投递到用户的垃圾邮件文件夹。

    阻断分值(默认23,直接reject此邮件)

    规则说明:如果邮件的分值越高,被评定为垃圾邮件可能是越大。

    如果触发规则:邮件的评分结果大于此值时,直接拒收该邮件。

  6. 高级设置

    IP出错比例超过限制挂起IP连接一段时间不再响应此IP的响应

    规则说明:某个IP的出错次数太多的时候,该IP会被挂起,一段时间内不能连接上来

    使用关键字过滤/使用Spam Fingerprint过滤

    规则说明: 检查邮件内容是否含有关键字/对邮件计算出指纹并判断是否和已知的垃圾邮件的指纹一样。

    不做SPF检查

    规则说明: 检查连接上来的ip是否与发信人的域名的spf记录一致。

    不做RBL检查

    规则说明: 不做实时黑名单检查。

    Fingerprint计数器过滤阈值(默认10,-1表示不使用)

    规则说明: 限制同一个指纹的出现次数。

    如果触发规则: 不投递邮件。

    mail from发信人必须等于auth认证用户

    如果触发规则: mail from命令返回"553 Mail from must equal authorized user\r\n"

    信头中的from发信人必须等于mail from发信人

    如果触发规则:data命令后返回"550 Requested mail action not taken: Fake sender\r\n",不投递邮件

什么是邮件日志跟踪?

系统保留所有邮件的处理信息,包括正常通行的邮件信息,被过滤的邮件信息,因何种情况被过滤,都可以通过邮件日志清晰了解到。在邮件日志中系统详细记录了邮件主题、发件人、收件人、IP、日志时间、结果等。

点击“邮件日志跟踪”,默认显示当天的邮件日志信息。在邮件日志的“结果”显示该封邮件的投递情况,并在原因一栏中显示所触发的规则情况。

原因 解释
正常 该封邮件不触发任何垃圾邮件过滤规则,已正常投递;
白名单 该封邮件的发件人处于白名单中,不受反垃圾过滤限制;
黑名单 该封邮件的发件人处于黑名单中,邮件因此已经被拦截;
关键字限制 该封邮件触发了匹配关键字规则某项,被判定为垃圾邮件,已被拦截;
系统限制 该封邮件触发了系统默认的垃圾邮件过滤规则,已被拦截;
频率限制 该封邮件的来源IP某时段的连接次数超出限制,已被拦截;
病毒邮件 该封邮件被当前系统的查杀毒引擎判定为病毒邮件,已被拦截;
IP被挂起 该封邮件的来源IP已经多次触发系统的智能过滤,故该来源IP已被挂起(如2分钟内暂无法通过),使用该来源IP的邮件已被拦截;
SPF检查不通过 该封邮件触发了SPF检查,已被拦截;
邮件评分超出阀值 该封邮件在系统评分中的分值已达到一定程度,已被拦截;
垃圾邮件特征库过滤 该封邮件触发了垃圾指纹特征过滤,已被拦截;
相似邮件发送次数超出阀值 该封邮件根据FingerPrint返回判断相似程度达到一定次数,已被拦截;
发信IP在RBL 该封邮件触发了RBL过滤,已被拦截;
IP信誉过滤 添加IP信誉过滤的解释
邮件被旁路 邮件被转移到旁路目录中

系统默认按邮件日志时间降序排序。管理员可通过查询面板指定邮件主题、IP、发件人、收件人来查询特定的邮件信息。

在邮件日志跟踪那里看到,每隔一段时间就会有ip127.0.0.1的发信记录,但是没有发件人也没有收件人,结果是:连接被中断。这是正常的吗?

正常,由于后台有个程序叫:sysmonitor(coremail自带),它的作用在于定时检查系统是否正在运行。

邮件日志跟踪那里查看到,结果是:触发灰名单返回,重新投递,这是什么原因呢?要怎么处理?

当一个邮箱发给另一个从未发过邮件的邮箱的时候,那么系统会进行灰名单过滤,如果命中灰名单的话,就要求发送方,过一段间隔再次发送,如果在这段间隔内发送相同的邮件的话,会拒绝投递,解决方法,只能等待,或者设置对应白名单。

反垃圾管理界面基本设置那里,收件人个数限制(来自外站)是什么意思?

指外站邮件投递到本站时的收件人个数限制。

如果我把是否过滤本站发出的邮件设置为"是",会有什么影响呢?

当本站用户发信时,如果邮件的评分超过了阀值,是否投递邮件。当触发规则时,返回"550 Requested action not taken: mail %s is rejected\r\n",邮件不投递。

灰名单是什么意思呢?触发了灰名单会怎么样呢?

灰名单表示系统怀疑该邮件并非正常邮件系统投递;触发灰名单的邮件将被临时拒收,需要发件人所在邮件服务器重新投递后再接收。

高级设置里面"使用Spam Fingerprint过滤"是指什么呢?

通过提取邮件指纹特征与系统中的垃圾邮件特征库进行匹配,并拒收匹配的邮件。

spf是指什么呢?如果我不勾选spf检查会怎么样呢?

SPF是发信方IP验证机制,用于防止伪造域名发信。比如163.com会建立SPF记录,声明它的邮件服务器IP地址段。收信方收到自称是来自163.com的邮件,则可以通过查询SPF记录,判断发信方IP是否在163.com所声明的IP段中。SPF对于防止伪造域名发信的作用很大,建议开启。

勾选了不做RBL检查,会有什么效果呢?

RBL是实时黑名单,里面收集了发送垃圾邮件的服务器IP地址,并且会动态更新。RBL对过滤垃圾邮件有很大的帮助,建议开启。

Fingerprint计数器过滤阀值是过滤什么呢?

FingerPrint通过提取邮件特征判断两封邮件相似度,当被判断为相似的邮件数量达到或超出该阈值后,系统会判定之后投递进来的相似邮件为垃圾邮件,并拒收。

为什么要更新特征库?

更新特征库是Anti-spam GT保证实时的反垃圾邮件功效,可以通过网络连接实时地从远程特征数据中心上更新过滤特征数据库,从而保证系统具备最新的过滤规则信息,过滤最新发现的垃圾邮件。

默认状态下,系统已经设定自动连接远程特征数据中心,并定时完成更新:

页面显示更新特征库失效日期为2016-08-20,表示系统现在具备自动更新功能;但在2016-08-20后若需继续使用该服务,则需要联系客户服务人员。