Pages

Subscribe:

Ads 468x60px

Labels

2014年4月22日 星期二

管好AD網域控制站的技巧

為了因應企業截然不同的應用需求,有時負責管理網域運作的網域主控站,也必須經過適當的調校,才能正常提供服務。
文/楊啟倫 | 2008-09-01發表
Active Directory(AD)是許多企業廣泛使用的管理工具,在網域的樹系結構之下,內部網路各處的電腦、印表機、共享資源,乃至於使用者等物件(Object)皆可透過AD統一管理。然而,AD在建置上仍有一些需要注意的,例如為了因應企業之間截然不同的應用需求,有時負責管理網域運作的網域主控站(Domain Controller,DC)也必須經過適當的調校,才能正常提供服務。

本身擅長於AD、Exchange Server等領域的微軟最有價值專家廖康寧,就他個人的實際經驗為例,DC的調校,可以從DNS伺服器、LDAP查詢(LDAP Query)、資料複寫(Replication),以及物件管理幾個方向著手進行,除此之外,企業應該避免針對單一組織單位(Organizational Unit,OU)指派過多的群組原則,或者套用一些錯誤的設定,導致一般個人端電腦開機時,花在登入網域的時間變得非常冗長。

如果是規模較小,或者是據點位於臺灣本島內部的企業,即使不去特別進行DC調校的工作,一般來說,通常也不會有什麼問題發生,只要各項功能可以正常使用即可,廖康寧表示,如果企業規模較大,或者是需要穿過廣域網路連接DC,建置AD之前就必須經過良好的規畫,將任何可能遇到的問題考量進來,而且調校的工作最好能在DC架設完成後的當下,就馬上進行。

自動清除無效的設定,避免相互複寫,造成效能浪費
DNS是DC的運作核心,在一臺電腦的登入網域的流程,它會去尋找DC要求驗證,透過DNS,電腦便能知道最近一臺的DC位於何處。而DNS則是依賴SRV記錄得知DC所在的IP位址,再將這項資訊,發布給企業網域下的所有電腦。

Windows的DNS伺服器有一項「自動清除過時資料」(scavenging record)的功能(預設不啟用),可以讓DNS每隔一段時間就清除一次無效的資料,預設的間隔是7天,超過這段時間一直沒有被使用的DNS記錄,就會視為多餘,而且是無效的記錄,為了不讓這些資料一直重複的被複製,造成效能上的浪費,同時也可以掌握DC上正常運作的節點數量。


調整架構,加快LDAP查詢
LDAP的查詢速度的快慢也和AD設定有關。對於企業來說,常見的LDAP查詢主要是發生在應用程式上,例如Exchange Server與Outlook之間的互動。

舉例來說,我們開啟Outlook去連接一臺Exchange Server的動作,其實就是在執行LDAP查詢,郵件伺服器會透過LDAP向後端擔任GC(Global Catalog)角色的DC,詢問Outlook傳送過來的帳號、密碼是否正確、有效,確認沒有問題之後,才會允許使用者收取郵件,下載到自己的電腦上閱讀。

廖康寧認為,GC是LDAP查詢過程中,需要加以調校的一項重點,許多人在設定時往往會忽略這一點,就他以前曾經協助處理過的一個案例來說,該企業在中國昆山、上海皆擁有據點,由於後者的使用者人數不多,因此在郵件服務的規畫上,就由上海的使用者透過廣域網路,連線到昆山的Exchange Server收取郵件。

雖然上海本身擁有一臺自己專屬的GC,然而由於郵件伺服器位於昆山,Exchange Server預設會和所在地的GC要求驗證,因此使用者必須連線到昆山的GC,來驗證帳號、密碼。

縱然兩地之間的連線頻寬沒有塞滿其他應用程式的封包,但資訊人員還是發現上海的使用者開啟Outlook之後,通常要經過數分鐘,到十幾分鐘不等,才能向昆山的GC完成驗證,收取郵件,速度非常緩慢。

他們後來針對兩地的GC同步進行了一些調校,讓上海當地的使用者能夠就近向當地的GC進行驗證,於是解決這項問題。


增加DC數量,降低伺服器負荷
在Windows NT 3.5x、4.0的時代,企業僅能在單一網域建立一臺主要網域主控站(Primary Domain Controller,PDC),以及多臺從事資料備份的備份網域控制站(Backup Domain Controller,BDC),兩種網域控制站之間的資料複寫,是以單向方式進行。

Windows 2000取消了PDC、BDC的角色區別,所有位於同一網域下的DC皆具備相同的功能,不但可以提供驗證服務、派送群組原則進行管理,同時也融入BDC的功能,DC之間可以使用雙向方式複寫對方的網域設定。

對於規模較大的企業來說,一般都會在內部網路部署一臺以上的DC,除了預防其中一臺機器因為各種可能的原因產品故障,導致企業內部的網路服務癱瘓,以及資料的流失之外,另外一項考量就是達到DC之間的負載平衡(Load Balance),透過整合DHCP服務的方式,我們可以讓網域下方的電腦各自連接不同的DC,以減輕單一DC的運作負荷。


在規模龐大的企業環境下,我們可以整合DNS,將電腦分成數群,各自向不同的DC進行驗證,以減輕DNS伺服器的負荷。

今年剛發表的Windows Server 2008在網域功能上,提供了一項「唯讀網域控制站」(Read Only Domain Controller,RODC)的新功能,廖康寧指出,RODC並不是用來從事負載平衡,而是方便一些沒有資訊人員常駐的分公司能夠就近找尋DC要求驗證,進而更快速地登入企業網域,擔任RODC角色的伺服器如果出了問題,這時候分公司的電腦仍可透過廣域網路連回總公司的DC實施驗證,或者更新群組原則,不會因此產生太大的影響,頂多就是受限於頻寬,使得資料的傳輸變慢一些而己。

有效管理DC元件
就廖康寧近期從事微軟System Center Configuration Management(SCCM)導入的工作來說,他認為DC的物件管理也是一項很重要的調校工作,如同剛才所提到的DNS,無效的資料的伺服器之間複寫,除了會造成效能的浪費,另外,也有可能造成軟體無法透過DC進行自動部署。

代理程式的安裝率,是SCCM部署工作中,非常重要的一點。安裝率愈低,即代表產品目前可能沒有辦法有效管理企業內部的電腦,以他們公司為例,代理程式安裝率須達到95%以上,才算合格。

SCCM的代理程式安裝率無法提高有一些原因,例如,當企業內部的電腦超過30天沒有登入網域,就會被DC視為一個無效物件,當電腦在DC上成為無效物件之後,就無法登入網域,派送群組原則,同時這個物件會一直在於DC,無法像DNS記錄一樣可以自動清除,然而透過DC部署軟體時,並不會去判別物件的有效性,只要物件存在,SCCM就會認為這臺電腦需要被安裝代理程式。

這臺電腦可能是一臺筆電,被員工帶到國外出差長達半年,或者是一臺離職員工所屬的電腦,考量到這臺電腦還是有可能在DC上進行一些有效的活動,因此他們並沒有針對DC上的無效電腦物件進行清除的動作。

如何找出無效的電腦物件?廖康寧表示,無效物件並沒有辦法從DC的主控臺上分辨出來,他們的做法是在SCCM的SQL資料庫進行查詢,從電腦最後一次登入網域的時間來判斷是否為無效物件。

取而代之的做法是,他們以DNS存在的有效記錄筆數,當做需要安裝SCCM代理程式的電腦總數,因為各種原因久未登入網域的電腦,自然就不會在DNS伺服器上出現任何記錄,因此才使得SCCM代理程式的安裝率得以提高。做好群組原則管理
企業內部的員工電腦、使用者等物件,通常會根據部門的不同而區分成多個組織單位,以便於各自指派不同的群組原則加以管理。因此,群組原則也是企業在調校DC時,需要加以考量的要項。
對於一個組織單位來說,群組原則數量如果設得太多,會造成電腦登入得很慢,群組原則依據性質又可向下區分為「電腦組態」,以及「使用者組態」兩類,如果企業管理內部電腦不需要用到其中一類的話,就應該使用群組原則物件編輯器(gpedit.msc)手動關閉,這樣一來,登入速度會變快一些。

避免不必要的錯誤設定
設定錯誤也是導致網域服務運作緩慢的常見原因。廖康寧表示,過去他自己曾經遇過一種狀況:資訊部門的其他同事,將一支含有錯誤內容的Logon Script批次檔放到DC上執行,而使得公司網域下的電腦,因為程式內容始終無法執行完畢,而必須花費比平常更久的時間才能登入網域,這雖然和上面提到的DC調校沒有直接關係,但是在企業日常管理DC的工作中,的確是相當值得注意的一個例子。

近期在微軟技術社群的討論區上,也出現過一則案例。

某企業位在臺北的總公司及汐止的分公司,原本各自有一臺DC,且同時為GC。但是後來由於變更網域架構關係 ,他們決定拆除了分公司的DC,讓所有電腦改經由專線連回總公司向DC要求驗證。

完成變更之後,使用者發現電腦登入網域的速度明顯變慢,甚至發生連接不到總公司DC的情況,經過了解,原來是因為原本用來複寫兩臺DC資料的子網路設定,沒有隨著網路的變動而隨之移除,造成分公司的電腦登入網域時,出現了不正常的錯誤訊息。


除了單純的調校之外,企業也應該避免在DC上從事一些錯誤設定,造成電腦登入網域的速度遲緩。

重整資料庫內容,可維持DC效能
除了廖康寧剛才所提到的幾項重點之外,網域資料庫的重整,對於DC的效能表現也會有很大影響,當AD建立之後,DC會將網域樹系的所有設定儲存在C:\WINDOWS\NTDS下的ntds.dit,這個檔案就是所謂的網域資料庫。網域資料庫可分為Schema(建立和管理網域物件的屬性與定義)、Configuration(儲存和網域架構有關的資料)、Domain(儲存網域物件),以及Application(儲存應用程式資料)四個分割區。

網域資料庫與電腦硬碟的管理工作其實大同小異,同樣需要進行重組才能維持效能,Windows Server 2003的網域資料庫重組是在離線模式下進行,重新開機之後,按下F8,進入AD還原模式,輸入ntdsutil指令進行重組作業,而在Windows Server 2008的環境下,網域資料庫的重整就不需要重新啟動DC,在網域功能正常運作的當下,就可以同時進行線上重組。文⊙楊啟倫


企業網域控制站設定的4個調校技巧
微軟最有價值專家廖康寧根據自己在企業內部管理AD的實際經驗,提供了我們以下4個經常使用到的技巧,做為企業日後調整DC設定的參考依據。



資料來源

如何加速 Windows 7 開機速度?

首先,按一下[開始]按紐,輸入 msconfig,按下 [Enter]



出現 系統設定 視窗,按一下 [開機] 切換到開機頁面


 
在這邊可以做一些設定
(1) 將 [無 GUI 開機] 打勾,在開機時就不會出現 Windows 的動畫標誌,如右下角的圖
(2) 將 [等候時間] 減少,但建議不要少於 3 秒,尤其是有設定多重開機時,建議可以設定 5 秒
 

(3) 點選 [進階選項],出現開機進階選項,此時可將 [處理器數目]打勾,並且選擇處理器數目,設定完成後,按 [確認]
此外,假如對於程式有了解,可以切換到 [啟動] 頁面,將不想要開機時就啟動的程式取消,假如對於哪些程式要開要關不熟的人,
建議這部份不要亂設定,免得把防毒或者一些重要軟體取消,設定完成後,按一下 [確定]。

 
出現以下視窗,選擇 [重新啟動] 或 [結束但不要重新啟動],等電腦重新開啟後,就會進行變更。


接著就可以試試看 Windows 7 開機有沒有比較快了!
 此外,假如電腦突然開機速度變慢了,假如懷疑是不是中毒了,我們可以透過微軟提供的工具 AutoRuns 來檢查開機或者登入時載入的軟體有哪些,藉此找出有問題的軟體

2014年4月21日 星期一

Sender ID Framework SPF Record Wizard

http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/

This four-step wizard will guide you through the process of creating a new SPF record for your DNS domain.  You should add this DNS record to your domain's DNS configuration.   Note that you may need to manually edit the SPF record created by this wizard if you want to use some of the more advance features of the SPF format.  For complete details please refer to the SPF record specification at http://www.microsoft.com/senderid.


How does Sender ID Framework work?

  1. Sender sends an e-mail to Receiver.
  2. Receiver’s inbound e-mail server receives e-mail and calls its Sender ID Framework.
  3. The Sender ID Framework looks up the SPF record of the domain that Sender is using for sending the mail.
  4. The receiving Mail Transfer Agent (MTA) determines if the outbound Mail Server IP address matches IP addresses that are authorized to send mail for the user.



























成功發送電子報的重要因素

一般來說,能夠成功發報給會員,分為兩部分,第一必需成功發信至收件人的郵件伺服器,不會被收信方郵件主機擋信及退信,接下來郵 
件伺服器將會把信件派發給收件人信箱,但也有例外的情況,就是"軟退信",郵件伺服主機會將信件收進去,不會馬上退信,甚至於有可能會經過一段時間,郵件伺服器過濾比對完畢後才退回。 

至於第一個部分,取決於郵件發信機來源、發信主機的網路環境設定、發送的速度與頻率、郵件是否太大、發信軟體的發信技術(郵件分流機制)..等等。 
這些部分只能仰賴公司的MIS部門對郵件通訊技術了解,才能校調出最好的狀況,否則被擋退信的機率就會非常高,在短時間內發送大量 
的信件,許多公司則採用多台硬體機器,不然就是以超多的IP,IP發爛就一直換,其實好的發信軟體只要根據發信量的多寡,幾台機器 
就足夠,IP也都不需換。 

接下來想跟大家分享,第二部分郵件伺服器已經收下信件,是派發到客戶收件夾?還是垃圾郵件信箱呢? 

判斷郵件是否垃圾信的原理:加權計分,當然規則每一間都有所差異,有下列重點: 

1.發信機來源:反查來源IP Domain,IP是否一致,檢查是否在垃圾郵件黑名單 
2.發送的速度與頻率:也會列入計分考量 
3.收件者的篩選條件: 

收件者設定很嚴格的篩選條件,進入垃圾信箱的機率就比較高,但絕大多數人不會設定這麼多,以防連真正想收的信都收不到。 

4.客戶收信後對該信的行為 

客戶因為想閱讀到該圖,按下"下載圖片",或從垃圾信箱將一封郵件移到收件夾,這些都會提高進收件夾比率。 
特別一提的,一旦越來越多人按"這是垃圾信" 最後結果,這封信的來源發信機所寄出的郵件就比較容易進垃圾信。 

5.信件的主旨及內容 

主旨: 

有時,主旨下的好,改主旨就可能進入收件夾。 
少用特殊符號,重複符號或字眼不要太多,例如:"年終大特賣!!!!!" 或 "免費!免費!絕對免費!" 

內容: 

EDM內容不要放單一圖片,這樣被判定垃圾信的機率還滿大的,如果真的只有一張圖,建議切成幾格小圖,用HTML的Table標籤去分開。 
內文超連結:動態網頁(*.aspx .asp ...等等)+網址又加上帶參數(Querystring: abc.aspx?Name=123),過濾可能會判定成釣魚郵件,較容易進垃圾信,發信軟體可以把連結自動做最佳化技術(OMICard及NewerEDM皆有提供該優化功能)。 

6.寄件者 

其中最重要的部分,此為必設項目,因為這將大大影響客戶收到信的成功率,及降低至垃圾信的機率,同時提高客戶閱讀您信件的意願,如果是常態性的發報,更建議用同一組寄件者(寄件人顯示名稱及寄件人信箱),不要經常性更動,客戶收信所看到的顯示,客戶認為你是重要信件,便會加回到收件夾或納入非垃圾郵。 

7.回函信箱 

請務必正確設定,用途為客戶閱信後,選取回信時,回信寄送的EmailAddress,目前普遍收信端的郵件伺服器都會以此為判別是否進 
垃圾信的依據,將大大降低派送到垃圾郵件信箱的機率。 

根據以上的說明,大家也能了解到,其實不可能有發報系統軟體可以100%進收件夾,我們只能選擇好的系統,第一階段先能發信到收信端郵件伺服器,再者只能盡量避免被派入垃圾郵件信箱, 

如果是群發會員電子報,用單一信箱或幾個信箱來看其實不準確,因為有可能相同發信主機、郵件內容、主旨、寄件者、回函信箱,有的人可能進收件夾,有的則會進入垃圾信箱。 
建議還是要看整體的發送客戶閱信狀況(報表)來判斷,最重要還是看後續客戶參與活動及詢問度是否有所提升。 

Email收發的攻與防,就好比目前關鍵字行銷,可能由於搜尋規則改變,SEO的專家們,又針對搜尋引擎來找出最佳化的方法,郵件技術的也是不斷再演化,可能突然間Gmail,Yahoo Mail..等等,又改變收信的頻率或規則,這時得靠Email系統專家來強化發信核心,讓行銷人員能夠順暢來運用電子郵件行銷。 

作者: 沛盛資訊 Austin Wu (www.itpison.com)
資料來源

中小型企業資安防護之道

2013/06/06-賴姿侑 
從個資法的議題上,讓我們看到各界逐漸將資安焦點轉移,對資訊安全的眼光已從保護大型企業擴展到使用者身上——有效的降低個人資料外洩的風險。但扣除大型企業及使用者隱私保護之外,仍有絕大多數的中小企業在資安的領域毫無頭緒,探究其原因,問題卻常出在中小企業本身內部。
「沒人、缺錢、不知道」,已成為中小企業面臨資安問題的最大罩門。對中小企業來說,資訊人員的數量往往是屈指可數,不僅如此,資訊人員還要包辦所有軟、硬體的維護,包含各類應用系統的開發與維護、作業系統管理、資料庫管理,甚至個人電腦、印表機、網路、伺服器、防火牆、防毒系統、資料備份與災難復原、機房、不斷電系統…等等。而在人力以及資源有限的情況下,光是要確保上述這堆複雜的系統正常運作,又要兼顧資訊安全,是一件非常不容易的任務。
根據Verizon最新的報告,從已被證實的621個資料外洩研究案例來看,將近一半發生在員工數少於1,000名的公司,其中193例事件發生在員工數少於100名的實體公司。網路犯罪可能發生在企業的整個網路,從總公司到資料處理中心或者遠程辦公室。雖然總公司和資料處理中心被精心保護著,但其分支機構卻常常出現安全漏洞。隨著安全威脅和複雜攻擊的擴散,駭客會嘗試利用任何網路中的薄弱環節。因此,絕不能任憑企業面臨資安問題而毫無因應。
中小企業如何抓對重點做資安
在中小企業資訊安全管理中,首先必需瞭解資訊安全的範圍,經歸類後大致可分為下列四個領域:
一、人員安全:防止人為的疏忽、濫用或誤用資訊及設備。
二、環境安全:防止環境的問題所造成資訊及設備的傷害。
三、實體設備安全:防止設備因不當的安裝、設定及使用,造成的資訊安全事件。
四、資料安全:防止資料遭未經授權之存取及誤用,並保護資料的完整性及可用性。
如何做好資訊安全管理
資訊安全管理大致可從「人員教育訓練」、「制度與作業流程的規劃及施行」,「資訊技術及工具的使用」三方面來著手。
人員教育訓練:企業裡的員工是資安防護重要的一部分,因為他們可能會被駭客誤導,或造成導致惡意軟體感染與意外資料外洩的錯誤。太多公司都未能正視與「使用者」有關的問題,事實上,使用者應該是資安防護的最前線。所以中小企業欲提升人員的資訊安全意識,唯有透過不斷的資訊安全教育訓練,以灌輸員工正確的觀念。
制度與作業流程規劃及施行:「山寨不崩,惟石為鎮,骨之謂也」,制度猶如骨架,用以撐起企業的經營管理。推行一套完善的資訊安全管理制度,雖然無法完全免除異常事件的發生,但卻可以降低及避免許多不必要的資訊安全風險和傷害,而這些可以降低的風險通常才是造成企業傷害的主因。
資訊技術及工具的使用:許多時候,企業內部雖有良好的管理制度,但真正要去落實執行卻心有餘而力不足,原因在於某些制度的落實,可能非常耗時費力,此時便可搭配工具來有效解決問題。
有鑑於此,全球網路安全知名廠商Check Point針對規模少於100名員工的中小型企業(辦公室),提供領先業界的安全技術推出1100設備,透過Check Point的SmartCenter,1100設備可提供靈活彈性、本機的Web管理介面,以及或是以不同profile為基礎的集中管理。外觀為輕巧的桌上型機體,可為企業分支機構和遠端辦公室提供完美的企業級的安全防護。
Check Point 1100設備擁有無與倫比的性能,包含最高達1.5 Gbps的防火牆吞吐量和220 Mbps的VPN吞吐量,其SPU得分(Security Power)為31分。
但值得一提的是,資訊技術和工具的使用,是來幫助解決制度上的問題,因此,企業應先有管理制度而後才評估選用工具,否則無法與企業的經營管理目標結合一致。
中小企業  資安未來
企業在使用資訊技術,享受資訊時代帶來的效益同時,伴隨而來的資訊安全問題,需要受到同樣的重視,才能保障資訊發揮最大效用。然而,目前台灣多數企業的安全防護措施卻仍破綻百出,以致於資安事件不斷地發生。
若中小企業能加強資訊安全認知宣導並健全資訊安全制度,落實企業的資料備份、備援及災難回復計畫,強化自我防護體質減少經濟損失,相信對企業經營、企業形象甚至社會大眾都會有所助益。 (本文由Check Point台灣區技術顧問樂家富先生提供,記者賴姿侑整理)

如何正確發送(大量) Email 信件

Update(2011/5): 推薦 Amazon SES 服務
Update(2010/5): So You’d Like to Send Some Email (Through Code) 也可以一看
Update(2011/7): 推薦 Postmark,也有 Rails plugin。
在眾多客戶需求中,我最害怕的其中一條”順便”要做的功能就是,在後台可以寄信給”全部的”使用者。
寄 “email” 而已,不是非常簡單嗎?
寄給幾個人是很簡單,但是要寄給”一群”人,那就不是件簡單的事情了,在這 spam 肆虐的年頭, 信寄出去不一定就能順利到達使用者的收件夾。
Engine Yard 的這兩篇 How To Ensure Your Email Gets Delivered 和 Making Sure Your Email Gets Delivered 點出了寄 Email 要注意的事項:
  1. 處理退信
    Bonuce mail 是你寄出去的信件,但是因為某些理由(地址不對、對方信箱滿了)而被對方 mail sever 退信,這些 email 你必須要處理。如果你忽略它還一直寄,你就長得蠻像發垃圾信的傢伙,而會被列出黑名單之中。
  2. 與主要的 Email 服務商設定意見反應機制(Feedback Loop)
    Feedback Loop 是一項協助處理當你的 email 被使用者按下 “垃圾信” 的服務。透過主動接觸主要的 Email 服務提供商,去建立用戶意見反應機制。例如 台灣Y!Yahoo! Complaint Feedback Loopmsn等,減少被寄件者檢舉成垃圾信的次數。
  3. 建立自已的 email 清單
    建立你自己的 mail 清單。如果你的清單是買來的,不但收件人沒有同意要收到你的信件,也會有很高的機會是 bonuce mail。寄出大量的非允許郵件,終究會讓你的 IP 被列出黑名單。
    標準的作法是,要在使用者註冊後,且他們也確認收到註冊的認證信(透過email上的認證連結),如此便可以確保這個 email 的正確性,而不會變成 bonuce mail。你也應該避免寄出跟你服務無關的email,減少被檢舉成垃圾信的機會。
  4. 不要使用 100% 以圖片為主的內容
    減少使用圖片,像 Gmail 預設就不會讀取圖片,重要的資訊使用圖片可能會讓使用者預設就看不到。充滿圖片的的 email 也容易判讀成垃圾信。
  5. 使用垃圾信判讀工作測試
    收信的 mail server 通常會使用如 Spam Assassin 的工具來判讀是否是垃圾信,而你也應該用這類的工作檢查你寄出去的信件。http://www.brandonchecketts.com/emailtest.php 是一個線上的檢查工作,如果你的分數太低,顯然很可能被判讀成 spam。至於為什麼分數低,可以參考這篇文章
  6. 驗證 HTML
    如果你寄的是 HTML 格式,你應該檢查 HTML 格式是否正確。一封畸形的信件也容易變成 spam。
  7. 模擬測試終端使用者環境
    使用不同 email clients 實際測試,例如 litmusapp.com 這個工具。不同的 client 可能會顯示不同的結果。
  8. 專屬 IP
    是否有專屬的 IP。如果你的 email sever 是跟人共用的,很可能別人被 spam 了,跟著害到你被列入黑名單。
  9. 設定 SPF Validation
    SPF (Sender Policy Framework) 是一項 e-mail 協定來確認 return-path address 的正確性,用以防止垃圾信件。設定 SPF 可以改進你的信件發送成功率,特別是 hotmail(MSN)。
  10. 設定 Domain Keys Verification
    Domain Keys 驗證是另一種防止垃圾信件的協定。
  11. 設定 Reverse DNS 反查
    設定反向查詢的 DNS 記錄,如果你寄信的 IP 無法反查,可能根本就寄不到。
  12. 驗證寄信者地址
    你的寄信人 email 位址也要是正確存在的。許多 email 服務商會先檢查寄件人的地址是正確的,才會收信。
接下來麻煩的是,如果你終究還是不小心被列成黑名單,該怎麼辦? 這篇文章也列出一些常見的原因。
Anyway,我的結論是,還是交給專業的來吧~ 自己架設/管理 email server 不但辛苦又會被 blocked。如果信件量一天低於 500 封,我會建議採用免錢 Gmail 來寄信;超過的話,則有一些第三方服務可以採用,例如 Amazon SESSendgrid 或 Authsmtp。 如果需要比較多的行銷功能,則可以考慮 MadmimiCampagnmonitor 或 Mailchimp 等服務。
BTW,既然提到了 Campaign Monitor,如果你有心做 Email marketing,他們家有不少值得一讀的資源,例如 Guide to CSS support in email clients 就十分有用。

防止我公司的 MAIL 不會被設定為 垃圾郵件(SPAM)


公司的業務和主管向你抱怨,
Mail 寄出給國外客戶和廠商都收不到(跑倒垃圾信件匣)
甚至被當成垃圾郵件退回來?!

這一篇是寫給公司 IT/MIS 人員參考

1. 維護好公司的 smtp relay 安全



1.1 假設貴公司開放 SMTP ports 讓外部可以透過 smtp 發信
則要做好權限控管,沒有透過認證者 or IP 不再安全清單一律不許使用 SMTP 發信。
(也可考慮 VPN)

1.2 定期檢查使用者是否濫用 SMTP 寄送非公司相關信件

1.3 定期檢查使用者電腦是否中毒、中木馬成為發送廣告信的跳板

1.4 教育使用者足夠的資訊安全概念

1.5 請主要客戶、廠商幫忙,設定從公司來的郵件為「非垃圾郵件」
e.g.
Google Gmail 篩選器 (Filter) -> 不要將它傳送到垃圾郵件
http://mail.google.com/support/bin/answer.py?hl=b5&answer=6579

Yahoo奇摩 信箱的 「自動分類」
http://tw.promo.yahoo.com/tutorial/mail20/cg_filter1.html

Microsoft Outlook 的 「安全的收件者」
http://office.microsoft.com/zh-tw/outlook/HP052433571028.aspx



1.6 安裝相關的 Antivirus Mail Gateway or Mail-Server AntiVirus

1.7 定期檢查 Delivery Failures 的信件,
看看是否有定期寄給客戶、廠商的 mail address 已經失效,sent failed
請聯絡他們更換 address,減少 send/deliver failures。


2. 設定 DNS SPF TXT (Sender Policy Framework)記錄



詳細請看官網 http://www.openspf.org/

2.1 如何檢查 SPF TXT 記錄?
=> 使用 SPF 官網提供的 Tools
http://www.openspf.org/Why
http://www.kitterman.com/spf/validate.html

=> 或者用 dig 來查詢 Google & Hinet's public DNS 
代碼:

dig @8.8.8.8 -t TXT your-company-org-school.com
dig @168.95.1.1 -t TXT your-company-org-school.com 



2.2 或者寄送一封信到 spf-test@openspf.org
然後一分鐘內,你就會收到一個退信,
裡面有 Result="pass" 表示通過 SPF 測試驗證

如果是 Result="none" 那就表示 SPF 還沒有設定完成

2.3 如果你是使用 Google Apps 應用服務 (Google 代管郵件)

你的 SPF 應該長得是這樣子,都在同一行! 有 "double quote"
然後 all 前面是 ~ 波浪符號 
代碼:

"v=spf1 include:aspmx.googlemail.com ~all" 



2.4 另外記住 TXT 也是 DNS entries 的一部分,DNS 生效需要 24~48 小時。

2.5 舉例,成功的設定 SPF 會讓 Google Mail Gmail 更不會誤判垃圾信件

Example BEFORE-SET-SPF-TXT "NEUTRAL"
未設定之前,判定為「中立」 
代碼:

Received-SPF: neutral (google.com: 74.125.82.52 is neither permitted nor denied by domain of XXXXXXXX) client-ip=74.125.82.52;
Authentication-Results: mx.google.com; spf=neutral (google.com: 74.125.82.52 is neither permitted nor denied by domain of XXXXXXXXX) smtp.mail=XXXXXXXXX 


Example AFTER-SET-SPF-TXT "PASS"
設定之後,判定為「認證通過」 
代碼:

Received-SPF: pass (google.com: domain of XXXXXXXXX designates 74.125.82.52 as permitted sender) client-ip=74.125.82.52;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of XXXXXXXXX designates 74.125.82.52 as permitted sender) smtp.mail=XXXXXXXXXXX 



3. 設定反查



相較於正查: Host Name / Domanin --> IP Address
所謂的反查就是 IP Address --> Host Name / Domain Name

有一些 Mail server 會透過檢查反查來判定 SPAM 的分數。
設定反查在某些狀況可以降低被誤判的機率。

如果公司自己有自己的 DNS server,就自己改
(記得 ns1, ns2, ns3 ... 所有 ns 都要改)

如果是請 IDC/ISP 代管,
大部分的 IDC/ISP (Hinet/Seednet) 都可以請工程師幫忙設定反查,應該也免費;
有 IDC/ISP 的和上述 TXT 一樣,提供 DNS manager 介面提供可設定。

4. 減少強制附加「智財權聲明」簽名檔



有一些公司,在 outbound 的 mail 會強制附上
類似下面這種「智財、版權」聲明稿。

英文叫做
legal statement signature
legal declaration signature
copyright statement signature ...

而這個動作,
導致「郵件本文」有時候比「聲明簽名檔」還要小...
如果某一些舊機器判定的公式有這一條,
可能會增加被誤判的機率。

建議:
換成適當大小的圖片、減少字數、或者選擇適當的顏色、適當的字體(例如避免,白底白字)。


引言回覆:

本郵件之資訊可能含有受機密或特殊管制之資訊,僅供指定之收件人使用。若您並非指定之收件人,切勿轉寄、散佈、複製或公開本通訊內容之任何部份,並請即通知寄件人並完全刪除本郵件。
The information transmitted is intended only for the person or entity to which it is addressed and may contain confidential and/or privileged material. If you are not the intended recipient, please contact the sender immediately and destroy the material in its entirety, whether electronic or hard copy. You are notified that any review, retransmission, dissemination or other use of, or taking of any action in reliance upon, this information by persons or entities other than the intended recipient is prohibited. Please consider the environment before printing this email. 


5. 時常查詢是否貴公司已經在黑名單



SPAM Black List or Block List Query

http://www.spamhaus.org/
http://www.spamhaus.org/lookup.lasso (SBL, XBL PBL)
http://www.dnsstuff.com/tools
http://www.openrbl.org/

時常檢查,或者寫一個簡單的 script 照三餐檢查。


6. 避免公布貴公司的 Mail,防止 SPOOF



避免 SPAM/Spoof Address Spider

6.1 有 Contact 需求請盡量用 Contact Web-Form or Skype or 電話號碼

6.2 如果真要公布請用 E-Mail 圖片 (e-mail address 用圖片展示)

6.3 盡量減少公布可以 group mail 的 address



7. 考慮使用 DKIM or Domainkey 金鑰簽署郵件



e.g.
使用 Google Apps 提供的 DKIM 功能,
一樣是 DNS TXT FIELD
代碼:

google._domainkey    v=DKIM1; k=rsa; p=ABCDEFG.....



DKIM/DomainKeys 參考網址
http://www.dkim.org/
http://support.google.com/a/bin/answer.py?hl=zh-Hant&answer=174124
http://support.google.com/a/bin/answer.py?hl=zh-Hant&answer=180504&topic=2752442&ctx=topic


實作如下圖,多了一個「金鑰簽署者欄位」


DKIM-Signature.jpg 
DKIM-Signature.jpg 資料來源