Shunze 學園 >資訊設備專區 >Sophos XG > 《分享》MTA mode吊詭的policy設定 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380

shunze 離線
《分享》MTA mode吊詭的policy設定引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在Sophos XG email protection的MTA設定中,有分inbound與outbound兩個不同方向的處理邏輯。
Inbound是指mail flow中收件者domain與protected domain相符時,所進行的郵件處理,
一般來說,就是外部mail server送信到做為spam閘道的XG時,XG進行了郵件掃描後,再寄給內部真正的mail server。

Outbound則是指mail flow中寄件者domain與protected domain相符時,所進行的郵件處理,
一般來說,就是內部mail server到送信時,先送到XG做郵件掃描,再由XG往外送客戶的mail server。
而XG中“郵件加密”這個功能,只能對應到outbound這個方向。

那順子就好奇了,MTA mode的“SMTP route & scan policy”一個domain只能對應一條policy,
若一個domain同時要做inbound與outbound兩個方向的話,
那要怎麼做?

會這樣問主要是XG在收到郵件後,inbound、outbound兩個方向的routing有很大的不同,
inbound郵件在處理完後,會往內部的mail server送,
所以route by要選內部的mail server。



Outbound的部分,則是在XG處理過後,往外部真實的mail server送,
所以route by要選MX,透過DNS的解析,來找出目標domain的mail server。



在一個domain只能建一條policy前提下,
同一條policy怎麼可能對inbound/outbound兩個方向做不同的routing?



而policy中的protected domain在對應inbound時,指的是收件者domain,
在outbound時,指的又是寄件者domain,

怎麼同樣的policy一下子是對應收件者domain,一下子又變成寄件者domain?
兩者完全是相反的耶!
Sophos的MTA真的是讓我超頭大!


在開case給原廠,往來周旋數天後,原廠總給出滿意的答案了(case ID: 06166848)。
原來MTA mode的“SMTP route & scan policy”確實對應到inbound與outbound兩個方向,
當收件者domain與policy中protected domain相符時,這條policy做的就是inbound方向的處理;
反之當寄件者domain與protected domain相符時,這條policy做的就是outbound方向的處理。
MTA的policy會主動根據收件者與寄件者domain來做切換!

那萬一收件者與寄件者都是相同domain時,MTA又會怎麼判斷?
這時收件者會有較高的優先權,因此進行的會是inbound方向的郵件處理。


從原廠回覆來看,雖然解決了同一個domain怎麼會一下指向收件者,一下子又指向寄件者的困惑,
但確認in/outbound方向後的route by指向還是很有問題。

因為policy的內容在建立後,等同是寫死的,
route by若指向內部mail server,只要套用這policy,不論in/outbound都是導向內部mail server;
route by若指向MX解析,套用這policy的in/outbound都會透過DNS的MX record來做解析,
這不是怪怪的???


對應到一開始的問題,
同一個domain,可以同時做inbound與outbound兩個方向的郵件處理嗎?

在Sophos不認為這是個問題,也不打算把in/outbound做個分拆處理,
硬是要把in/outbound兩個方向的mail flow以同一條policy來處理,
我認為是有風險的。
因為它真的混淆不清!



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2023-03-07, 15:55 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR