在Sophos XG email protection的MTA設定中,有分inbound與outbound兩個不同方向的處理邏輯。
Inbound是指mail flow中收件者domain與protected domain相符時,所進行的郵件處理,
一般來說,就是外部mail server送信到做為spam閘道的XG時,XG進行了郵件掃描後,再寄給內部真正的mail server。
Outbound則是指mail flow中寄件者domain與protected domain相符時,所進行的郵件處理,
一般來說,就是內部mail server到送信時,先送到XG做郵件掃描,再由XG往外送客戶的mail server。
而XG中“郵件加密”這個功能,只能對應到outbound這個方向。
那順子就好奇了,MTA mode的“SMTP route & scan policy”一個domain只能對應一條policy,
若一個domain同時要做inbound與outbound兩個方向的話,
那要怎麼做?
會這樣問主要是XG在收到郵件後,inbound、outbound兩個方向的routing有很大的不同,
inbound郵件在處理完後,會往內部的mail server送,
所以route by要選內部的mail server。
Outbound的部分,則是在XG處理過後,往外部真實的mail server送,
所以route by要選MX,透過DNS的解析,來找出目標domain的mail server。
在一個domain只能建一條policy前提下,
同一條policy怎麼可能對inbound/outbound兩個方向做不同的routing?
而policy中的protected domain在對應inbound時,指的是收件者domain,
在outbound時,指的又是寄件者domain,
怎麼同樣的policy一下子是對應收件者domain,一下子又變成寄件者domain?
兩者完全是相反的耶!
Sophos的MTA真的是讓我超頭大!
在開case給原廠,往來周旋數天後,原廠總給出滿意的答案了(case ID: 06166848)。
原來MTA mode的“SMTP route & scan policy”確實對應到inbound與outbound兩個方向,
當收件者domain與policy中protected domain相符時,這條policy做的就是inbound方向的處理;
反之當寄件者domain與protected domain相符時,這條policy做的就是outbound方向的處理。
MTA的policy會主動根據收件者與寄件者domain來做切換!
那萬一收件者與寄件者都是相同domain時,MTA又會怎麼判斷?
這時收件者會有較高的優先權,因此進行的會是inbound方向的郵件處理。
從原廠回覆來看,雖然解決了同一個domain怎麼會一下指向收件者,一下子又指向寄件者的困惑,
但確認in/outbound方向後的route by指向還是很有問題。
因為policy的內容在建立後,等同是寫死的,
route by若指向內部mail server,只要套用這policy,不論in/outbound都是導向內部mail server;
route by若指向MX解析,套用這policy的in/outbound都會透過DNS的MX record來做解析,
這不是怪怪的???
對應到一開始的問題,
同一個domain,可以同時做inbound與outbound兩個方向的郵件處理嗎?
在Sophos不認為這是個問題,也不打算把in/outbound做個分拆處理,
硬是要把in/outbound兩個方向的mail flow以同一條policy來處理,
我認為是有風險的。
因為它真的混淆不清!
|
|
♥順子老婆的網拍,請多關照∼
If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
|