“垃圾邮件发送者”或恶意发件人使用多种技术向组织发送垃圾邮件。使用单一的工具或方法是无法排除所有垃圾邮件的。Microsoft Exchange Server 2010 建立在 Exchange Server 2007 的基础之上,可以提供分层、多叉和多面的途径来减少垃圾邮件和病毒。 Exchange 2010 包含多种反垃圾邮件和防病毒功能,它们被设计成累积工作,以减少进入组织的垃圾邮件。
如果减少进入组织的垃圾邮件总量,就可以减少病毒爆发及遭受恶意软件(也称为 malware)攻击的机率。如果在安装了边缘传输服务器角色的计算机上排除了大批垃圾邮件,则在沿着邮件流路径扫描邮件中的病毒和其他恶意软件时,就可以节省处理资源、带宽和存储。
减少垃圾邮件的分层途径是指几个按特定顺序筛选入站邮件的反垃圾邮件及防病毒功能配置。每项功能均对入站邮件的特定特征或相关特征集进行筛选。
一、反垃圾邮件和防病毒筛选器
反垃圾邮件和防病毒筛选器将按特定顺序进行应用。有关详细信息,请参阅了解反垃圾邮件和防病毒邮件流。以下为适用的顺序:
1)
连接筛选 连接筛选可以检查试图发送邮件的远程服务器的 IP 地址,以确定要对入站邮件执行什么操作(如果有)。该远程 IP 地址可以作为 SMTP 会话所需的基础 TCP/IP 连接的副产品提供给连接筛选器代理。连接筛选使用各种 IP 阻止列表、IP 允许列表、IP 阻止列表提供程序服务或 IP 允许列表提供程序服务来确定在组织中应当阻止或允许来自特定 IP 的连接。
2)
发件人筛选 发件人筛选会将 MAIL FROM:SMTP 命令上的发件人与管理员定义的禁止向组织发送邮件的发件人或发件人域列表进行比较,以确定对入站邮件执行的操作(如果有)。
3)
收件人筛选 收件人筛选会将 RCPT TO: SMTP 命令上的邮件收件人与管理员定义的收件人阻止列表进行比较。如果找到匹配项,则不允许邮件进入组织。收件人筛选器还将入站邮件中的收件人与本地收件人目录进行比较,以确定邮件是否发往有效的收件人。如果邮件不是发往有效的收件人,则可以在组织的网络外围拒绝邮件。
4)
发件人 ID 发件人 ID 依靠发送服务器的 IP 地址和发件人的假设负责地址 (PRA) 来确定发件人是否具有欺骗性质。PRA 是根据下列邮件头计算的:
Resent-Sender:
Resent-From:
Sender:
From:
5)
内容筛选 内容筛选使用 Microsoft SmartScreen 技术来评估邮件的内容。智能邮件筛选器是 Exchange 内容筛选的基本技术。智能邮件筛选器是以 Microsoft Research 有专利权的机器学习技术为基础的。在其开发期间,智能邮件筛选器了解合法的电子邮件和垃圾邮件的明显特征。通过用 Microsoft Exchange 反垃圾邮件更新服务进行定期更新,可以确保当智能邮件筛选器运行时始终包括最新信息。根据数百万封邮件的特征,智能邮件筛选器可以识别出合法邮件和垃圾邮件各自的明显特征。智能邮件筛选器可以准确评估入站电子邮件是合法邮件还是垃圾邮件的概率。
垃圾邮件隔离是内容筛选器代理的一项功能,它可减少合法邮件因被错误地归为垃圾邮件而丢失的风险。垃圾邮件隔离功能提供了一个临时存储位置,用来存储视为垃圾邮件以及不应传递到组织内用户邮箱中的邮件。
内容筛选还具有安全列表聚合功能。安全列表聚合功能可以从 Microsoft Outlook 和 Outlook Web App 用户所配置的反垃圾邮件安全列表中收集数据,并将此数据提供给 Exchange 2010 中已安装了边缘传输服务器角色的计算机上的内容筛选器代理。
如果 Exchange 管理员启用并正确配置安全列表聚合,则内容筛选器代理会将安全的电子邮件传递到企业邮箱,而不进行其他处理。内容筛选器代理将 Outlook 用户从联系人处或从已被添加到其 Outlook 安全发件人列表或者已信任的发件人处接收的电子邮件标识为安全邮件。这样,标识为安全邮件的邮件就不会被归为垃圾邮件,也不会无意中被邮件系统筛选掉。
6)
发件人信誉 发件人信誉依靠有关发送服务器的 IP 地址的持久数据来确定对入站邮件执行的操作(如果有)。协议分析代理是实现发件人信誉功能的基本代理。发件人信誉级别 (SRL) 是通过计算邮件分析和外部测试所产生的几个发件人特征而得到的。
SRL 超过可配置的阈值的发件人会被暂时阻止。并会拒绝这样的发件人在 48 小时内的后续连接请求。
除了本地计算的 IP 信誉之外, Exchange 2010 还可以利用通过 Microsoft Update 获得的 IP 信誉反垃圾邮件更新,这些更新提供了有关已知的发送垃圾邮件的 IP 地址的发件人信誉信息。
7)
附件筛选 附件筛选可以基于附件文件名、文件扩展名或文件 MIME 内容类型来筛选邮件。可以配置附件筛选以实现如下目的:阻止邮件及其附件、剥除附件然后允许邮件通过、自动删除邮件及其附件。
8)
适用于 Exchange Server 的 Microsoft Forefront Protection 2010 适用于 Exchange Server (FPE) 的 Forefront Protection 2010 是与 Exchange 2010 紧密集成的防病毒软件包,可为 Exchange 环境提供防病毒保护。FPE 提供的防病毒保护不依赖于语言。但是,产品的安装和管理以及最终用户通知将提供 11 种服务器语言的版本。
9)
Outlook 垃圾邮件筛选 Outlook 垃圾邮件筛选使用前沿技术评估是否应将邮件视为垃圾邮件,它根据几个方面的因素进行评估,如发送邮件的时间、邮件的内容和结构以及由 Exchange Server 反垃圾邮件筛选器收集的元数据。筛选器捕获到的邮件被移到特殊的垃圾邮件文件夹,收件人以后可从该文件夹访问这些邮件。
二、反垃圾邮件标记
当邮件通过对来自 Internet 的入站邮件进行筛选的反垃圾邮件功能时,反垃圾邮件标记通过对邮件应用诊断元数据或标记(如发件人特定的信息、问题验证结果和内容筛选结果),帮助您诊断与垃圾邮件相关的问题。这些标记对最终用户邮件客户端是可见的,并对发件人特定的信息、垃圾邮件筛选器定义文件版本、Outlook 问题验证结果和内容筛选结果进行编码。
三、Microsoft 反垃圾邮件更新服务
Exchange 2010 利用经过证实的 Microsoft Update 基础结构提供附加服务来帮助保留最新的反垃圾邮件组件。
Microsoft Exchange 2010 标准版反垃圾邮件筛选器更新通过 Microsoft Update 每两周进行一次反垃圾邮件更新。
Forefront Security for Exchange Server 反垃圾更新服务是一种高级服务,每天通过 Microsoft Update 更新内容筛选器。此外,该高级服务还包括根据需要提供的垃圾邮件签名更新和 IP 信誉服务更新,可在一天内更新数次。垃圾邮件签名更新标识最近的垃圾邮件活动。IP 信誉服务更新提供有关已知的发送垃圾邮件的 IP 地址的发件人信誉信息。
注意:若要使用该高级服务,必须具有 Exchange Enterprise 客户端访问许可证 (CAL)。
四、使用 Exchange 托管服务
Microsoft Exchange 托管服务增强了垃圾邮件筛选,该项筛选功能也可以作为其中一项服务使用。
Exchange 托管服务是一组服务,包含四种不同的托管服务:
1)托管筛选,帮助组织防御以电子邮件为载体的恶意软件
2)托管存档,帮助组织满足合规性的保留要求
3)托管加密,帮助组织对数据进行加密以保持机密性
4)托管连续性,帮助组织在发生紧急情况期间和之后仍然能够访问电子邮件
这些服务与在内部管理的所有内部部署 Exchange 服务器或通过服务提供商提供的托管 Exchange 电子邮件服务相集成。
五、反垃圾邮件方法的策略
有关如何配置反垃圾邮件功能和建立积极的反垃圾邮件代理设置的策略需要仔细计划和计算。如果将所有反垃圾邮件筛选器都设置为最积极的级别,并将所有反垃圾邮件功能配置为拒绝所有可疑邮件,则很可能会拒绝非垃圾邮件。另一方面,如果未将反垃圾邮件筛选器设置为足够积极的级别,同时未将垃圾邮件可信度 (SCL) 阈值设置得足够低,则可能看不出进入组织的垃圾邮件有所减少。
最佳实践是当 Exchange 检测到有问题的邮件时,通过连接筛选器代理、收件人筛选器代理或发件人筛选器代理拒绝邮件。这种方法比隔离此类邮件或将元数据(如反垃圾邮件标记)分配给此类邮件更好。连接筛选器代理和收件人筛选器代理会自动阻止由各自的筛选器标识的邮件。发件人过滤器代理是可配置的。
之所以推荐此最佳实践,是因为在连接筛选、收件人筛选或发件人筛选之下的 SCL 相对较高。例如,如果使用管理员已配置了要阻止特定发件人的发件人筛选,则没有理由向这样的邮件分配发件人筛选数据,并继续处理它们。在大多数组织中,应当拒绝受阻止的邮件。(如果您不希望拒绝这些邮件,则您不会将其放入“阻止发件人”列表中。)
尽管基本信任与 IP 阻止列表的级别不一样高,但是会对实时阻止列表服务和收件人筛选应用相同的逻辑。应当注意的是,邮件在邮件流路径中传递得越远,误报的可能性就越大,因为反垃圾邮件功能将计算更多的变量。因此,您可能发现,如果反垃圾邮件链中的前几项反垃圾邮件功能配置得更积极一些,可以大量减少垃圾邮件。因此,您可节省出处理、带宽和磁盘资源来处理更多的不确定邮件。
最终,您必须计划监视反垃圾邮件功能的总体效果。如果仔细监视,则可以继续调整反垃圾邮件功能,使其在您的环境中更好地协同工作。通过此方法,应在开始时使用不十分强制的反垃圾邮件功能配置。此方法可以最大程度减少邮件被误报的数量。监视和调整反垃圾邮件功能时,您会对垃圾邮件的类型和组织所经历的垃圾邮件攻击有更深认识。