如何配置如何配置反垃圾邮件功能反垃圾邮件功能
配置手册
版本1.0.0
Question/Topic
UTM: 如何在防火墙上激活和配置Anti-Spam（反垃圾邮件）CASS 2.0的功能
Answer/Article
本文适用于：
涉及到的Sonicwall防火墙
Gen5: NSA E7500, NSA E6500, NSA E5500, NSA 5000, NSA 4500, NSA 3500, NSA 2400, NSA 240
Gen5 TZ系列: TZ 210, TZ 210 Wireless, TZ 200, TZ200 Wireless, TZ100, TZ100 Wireless
固件/软件版本: SonicOS 5.6.3.0 或者以上的版本
服务: Anti-Spam（CASS 2.0）
功能与应用
Sonicwall UTM防火墙上的CASS综合反垃圾邮件服务提供了一个快速，有效的方法过滤垃圾邮件，钓鱼邮件和病毒邮件。

发往客户邮件服务器的邮件，在送达到防火墙后会被送往Sonicwall Colo（Sonicwall云服务器）进行邮件安全检查，云服务器会告知防火墙这封邮件是否安全。

防火墙再根据邮件的威胁程序，进行相应的操作。

在这个文档中，我们主要介绍了在UTM防火墙上如何激活和配置这个功能
使用CASS 2.0的基本要求
以下是配置综合反垃圾邮件服务（CASS）这个功能的基本要求：– 防火墙的版本要求是5.6.3.x或者更高的版本
– Anti-Spam这个服务的序列号
在以下一种操作系统上安装Junk Store(存储被隔离的邮件): – Windows Server 2003 (32-bit)
– Windows SBS 2003 Server (32-bit)
– Windows Server 2008 (32-bit, 64-bit)
– Windows SBS 2008 Server (64-bit)
步骤
注册Anti-Spam的feature
1.Anti-Spam是一个需要购买License后才能使用的功能，如果没有购买License，则
会出现如下的提示画面：
2.在System->License页面中，激活Anti-Spam这个功能
3.激活后，在System->Status页面中，就能看到这个功能的激活提示了
安装Email Junk Store
1.登录到MS Exchange服务器上，然后点击Junk Store的安装图标，Junk Store就
会开始在线下载和安装。

目前只能在IE 6和更高版本的IE浏览器上运行
注意:在TZ100和TZ100 wireless的型号上，是没有集成Junk Store的安装程序的
配置Anti-Spam的功能
1.点击进入Anti-Spam>Settings的页面，使能Enable Anti-Spam Service这
个功能
2.按照向导来完成Anti-Spam的配置
3.邮件服务器配置向导
用户需要填写邮件服务器映射后公有地址（默认为Primary WAN IP地址）和邮件服务器映射前的私有地址，以及邮件服务器所属的区域，端口号默认为25
这里10.0.59.136是邮件服务器公有地址，192.168.168.15是邮件服务器私有地址。

区域分配为LAN，至此，一条默认的NAT策略就会把访问10.0.59.136的25端口的流量映射到192.168.168.15这个地址
4.点击Confirm按钮，结束配置。

Email威胁的分类
针对于不同的Email威胁的类别，Sonicwall提供了4可能的应对方式：•Filtering off ，关闭过滤器，不过任何动作，让邮件直接通过
•Tag the email，只是在标题中标记这封Email
•Store in Junk Box (quarantine)，隔离这封Email,存放在Junk Box中
•Permanently Delete，永久地删除这封Email
User-defined Access Lists
这个功能是允许用户添加允许或者拒绝的发件人IP，比如说，不想收到来自于10.103.193.24的邮件，那么把这个IP地址添加到Reject Client List中，所有来自于10.103.193.24的邮件都会被防火墙拒绝掉
点击图标能够编辑列表
点击图标，可以添加地址对象
Advanced Options
在这个页面中，可以修改向导中填写的 Server Public IP Address 和Server Private IP Address
注意注意：：
1. 当Sonicwall Anti-Spam Service 不可达时，默认是允许所有的邮件不经处理，通过防火墙
2. 当Sonicwall Junk Store 不可达时，默认是标记所有的邮件，并且通过防火墙
RBL Filter
当Sonicwall Anti-Spam 的功能打开后，RBL 就会自动打开。

域名就会被默认指向Sonicwall GRID （默认是: ），先前客户设定的域名会被自动备份保存
Status and Monitoring (Anti-Spam > Status View) 这个页面上显示了Anti-Spam 功能的license 信息和Junk Store 的版本。

Monitor Status 是防火墙和Anti-Spam 后端服务器的连接状态，防火墙和安装了Junk Store 软件的服务器的连接状态还有防火墙和目的邮件服务器的连接状态。

正常情况下，三个状态都应该是Operational
Email Stream Diagnostics Capture
这个抓包诊断工具是基于Firewall Packet Capture这个功能做的。

这个是一个精简的版本，只是用来抓Email相关的报文，而且只能用HTML的格式导出
Statistics (Anti-Spam > Statistics View)
Anti-Spam->Statistics页面显示了邮件的统计信息：
•Number of Messages Processed –所有被送到防火墙的邮件总数
•Number of Junk Messages – 所有被SYN Flood protection, GRID IP check, Static IP Reject list and Email Security Service (Scanner at the COLO) 隔离的邮件总数
•Recorded Since – 开始统计的时间戳
下面是每一种邮件威胁的统计值：
•TCP cookie (SYN FLOOD) validation 当Anti-Spam服务启用时，我们会对25和10025端口进行SYN Flood保护。

这个数值就是因为SYN Flood protection 保护而阻拦掉的邮件总数。

•Static Host Reject Lists - 被用户自定义的Host Reject list拒绝的邮件总数•SonicWALL GRID IP Reputation Service – 被GRID IP服务器拒绝的邮件总数
•Likely Spam –疑似的垃圾邮件的总数
•Definite Spam – 确定的垃圾邮件的总数
•Likely Phishing –疑似的钓鱼邮件的总数
•Definite Phishing – 确定的钓鱼邮件的总数
•Likely Virus – 疑似的病毒邮件的总数
•Definite Virus – 确定的病毒邮件的总数
Junk Store View (Anti-Spam > Junk Store View)
在这个页面中，能够看到Junk Box中所有被Junk的Email允许用户去查看，删除或者允许放行某个邮件
Address Books
Allowed Lists: 你可以在这个页面上把公司邮件域名或者个人的Email地址添加到允许列表中。

一旦加入后，来自这个域名或者个人的邮件就是可信邮件，不会再被隔离了Blocked Lists: 你可以在这个页面上把公司邮件域名或者个人的Email地址添加到阻止列表中。

一旦加入后，来自这个域名或者个人的邮件就是不可信邮件，都会被防火墙阻止掉。