在Sophos XG email protection的MTA設定中，有分inbound與outbound兩個不同方向的處理邏輯。
Inbound是指mail flow中收件者domain與protected domain相符時，所進行的郵件處理，
一般來說，就是外部mail server送信到做為spam閘道的XG時，XG進行了郵件掃描後，再寄給內部真正的mail server。

Outbound則是指mail flow中寄件者domain與protected domain相符時，所進行的郵件處理，
一般來說，就是內部mail server到送信時，先送到XG做郵件掃描，再由XG往外送客戶的mail server。
而XG中“郵件加密”這個功能，只能對應到outbound這個方向。

那順子就好奇了，MTA mode的“SMTP route & scan policy”一個domain只能對應一條policy，
若一個domain同時要做inbound與outbound兩個方向的話，
那要怎麼做？

會這樣問主要是XG在收到郵件後，inbound、outbound兩個方向的routing有很大的不同，
inbound郵件在處理完後，會往內部的mail server送，
所以route by要選內部的mail server。



Outbound的部分，則是在XG處理過後，往外部真實的mail server送，
所以route by要選MX，透過DNS的解析，來找出目標domain的mail server。



在一個domain只能建一條policy前提下，
同一條policy怎麼可能對inbound/outbound兩個方向做不同的routing？



而policy中的protected domain在對應inbound時，指的是收件者domain，
在outbound時，指的又是寄件者domain，

怎麼同樣的policy一下子是對應收件者domain，一下子又變成寄件者domain？
兩者完全是相反的耶！
Sophos的MTA真的是讓我超頭大！


在開case給原廠，往來周旋數天後，原廠總給出滿意的答案了(case ID: 06166848)。
原來MTA mode的“SMTP route & scan policy”確實對應到inbound與outbound兩個方向，
當收件者domain與policy中protected domain相符時，這條policy做的就是inbound方向的處理；
反之當寄件者domain與protected domain相符時，這條policy做的就是outbound方向的處理。
MTA的policy會主動根據收件者與寄件者domain來做切換！

那萬一收件者與寄件者都是相同domain時，MTA又會怎麼判斷？
這時收件者會有較高的優先權，因此進行的會是inbound方向的郵件處理。


從原廠回覆來看，雖然解決了同一個domain怎麼會一下指向收件者，一下子又指向寄件者的困惑，
但確認in/outbound方向後的route by指向還是很有問題。

因為policy的內容在建立後，等同是寫死的，
route by若指向內部mail server，只要套用這policy，不論in/outbound都是導向內部mail server；
route by若指向MX解析，套用這policy的in/outbound都會透過DNS的MX record來做解析，
這不是怪怪的？？？


對應到一開始的問題，
同一個domain，可以同時做inbound與outbound兩個方向的郵件處理嗎？

在Sophos不認為這是個問題，也不打算把in/outbound做個分拆處理，
硬是要把in/outbound兩個方向的mail flow以同一條policy來處理，
我認為是有風險的。
因為它真的混淆不清！