与Forefront for exchange的第一次亲密接触
前面我们介绍了Forefront for exchange的部署下面就让我们来对他进行一些初步的测试吧.
在开始菜单里循迹找到Forefront for exchange的启动图标
显示我们要连接的exchange服务器,这里我们的环境用的是exchange2007可是要用64的操作系统哦.
下图就是Forefront for exchange的主程序界面了,其实整个Forefront系列的其他产品界面跟这个大同小异,体现了微软在程序界风格统一的大家风范.
在Forefront for exchange这款产品中把扫描行为归结为三类:
1.
传输扫描作业
: 在安装了中枢传输或边缘传输角色的 Exchange 2007 服务器上运行。它可以实时扫描所有通过 Exchange 站点或组织的传输堆栈入站或出站的基于 MIME 和 UUENCODE 的电子邮件,以及所有内部邮件。传输扫描程序能够扫描附件中的病毒,以及邮件正文中的嵌入病毒和 HTML 病毒。安装时,系统为传输服务器创建 4 个传输扫描作业(进程)。可以通过更改设置,从而创建更多的传输扫描作业。不过要注意的是最大进程个数为 10。
2.
实时扫描作业
: 在Exchange 服务器上运行,可对通过该服务器上的邮箱和公共文件夹发送或接收的电子邮件进行即时扫描。这种实时扫描电子邮件的方式是防止文件附件所感染的病毒进行扩散的最有效的方式。可以将实时扫描作业配置为扫描邮件正文及附件。默认情况下,此功能在安装后是禁用的,但可以通过在"常规选项"工作窗格中选中"实时正文扫描 - 实时"来启用它。但是需要注意的是邮件正文扫描将增加扫描邮件所需的时间。安装时,系统为邮箱服务器创建 4 个实时扫描作业(进程)。通过更改设置同传输扫描作业一样可以创建多达10个扫描进程。
程序在运行多个扫描进程时,如果第一个进程不繁忙,文件将由该进程扫描。在第一个进程较忙的情况下,文件被发给第二个进程。如果第二个进程也忙,则将启用第三个进程,由第三个进程扫描文件。只要可能,Forefront Security for Exchange Server 就会将文件发送给第一个可用的进程。如果使用多个进程,则在启动时加载这些进程和调用这些进程扫描文件时将增加服务器的负载。除非在处理量很大的环境中需要 3 到 4 个进程提供的附加冗余性,否则所需的实时进程不应超过 4 个。通常,Microsoft 建议在每台服务器上只为每个处理器启用 4 个实时进程。
3.
手动扫描作业
: 来扫描实时扫描作业不涉及的邮箱,或所包含的邮件在安装 Forefront Security for Exchange Server 之前即已存在的邮箱。另外,如果扫描时使用的第三方引擎不同于实时扫描作业所用的引擎,则也可利用手动扫描作业执行扫描。微软建议在首次安装 Forefront Security for Exchange Server 后执行一次完整的手动扫描。默认情况下,会在安装后禁用此功能.
下面就让我们来逐一体验他的功能吧.
作为一款安全产品,对病毒的防范可谓是重中之重,不说别的单从微软集成的8个杀毒引擎便可以看出其对病毒查杀的重视.虽说有8个杀毒引擎,但在我们使用时最多也只能选用其中的5个,并且防病毒功能能同时运行于三种扫描作业之下,为了体现效果,我们把查毒后的操作选定为”修复附件”
下面我们以user2的身份给user1发一封带有测试病毒压缩包附近的信件,同时还附带了一个exe小程序,但是在上传程序的过程中便出现了警告提示云山雾绕不知所云的说了一通,不管他发之.
User1这边打开收件箱后发现带病毒的压缩包附件还在,心想莫非没起作用?不管三七二十一打开看看再说,打开后发现里面的病毒程序已经被一个同名的txt文件所取代,打开这个文本文件里面是一段文字说明,大体意思是发现了病毒且已经删除,换成了这个文本文件就是为了告诉用户一声,原来这就是所谓的修复附件……突然想起还有个exe小程序也不见了,看来上面那段红色警告信息猜也知道是告诉你禁止传送程序文件了吧.
打开左侧的”报告”栏,选择事件在列表最下边发现了刚才清除病毒的日志信息.
总体来说这个结果还是另人满意的,如果微软肯在病毒库上下些功夫的话,这8个杀毒引擎还是能有一番作为的.
如果你觉得Forefront for exchange的功能仅仅体现在查杀病毒上那可就错了,他强大的邮件信息过滤功能才是最大的亮点之一,他不仅支持对邮件内容,标题,收信人,发信人等信息的关键字过滤,同时还提供了强大的过滤列表编辑功能,为管理员过滤控制信息提供了十分丰富的手段.下面让我们来对这些功能作一些测试吧.
首先便是关键字的过滤功能,首先让我们创建一条关键字的列表,在左侧筛选项里打开”筛选器列表”,选中关键字项然后点击下面的添加,输入列表名(本例中以keyword为例)后点击编辑,然后在里面添加敏感字信息(本例中以 李宏志,功 为例),然后点击确定.最后别忘记保存设置.
然后选择”关键字”,因为关键字只支持传输扫描作业,因此我们在传输扫描作业中对关键字过滤进行设置,在下方筛选列表中选择我们刚刚建立的关键字列表keyword,在右边启用该功能,同时选择处理方法,这里我们依然选择标记操作,然后保存配置.
下面我们以user2的身份给user1和管理员各发一封信,其中在发给管理员的信中针对keyword列表中的关键字作了一些处理(在中间加了些空格),让我们来看看过滤的情况如何.
User1收到的信件已经被成功打上了标记.
而对于管理员那封”作过手脚”的信件,Forefront for exchange 却没能正确的识别,看来面对博大精深的汉语对于关键字的过滤功能还有一段很长的路要走啊.
接下来我们再对文件过滤的功能进行一下测试,打开左侧筛选项,选择其中的文件子项。在扫描作业中选择传输作业(文件扫描只能在传输作业中运行),然后在下面选择名称添加一个*.jpg的过滤条件,在文件类型里找到JPEG文件类型,接着启用筛选器选择相应的操作,最后记得保存设置。
接下来我们用user2给user1和管理员各发一封信,其中给user1的信中带有JPG格式的文件,而在给管理员的信中带了一个BMP格式的文件,同时还附带了一个将BMP扩展名修改为JPG的同名文件,来测试一下看 Forefront for exchange 能不能认出这个穿了马甲的JPG文件。
从结果可以看到,user1收到的user2发来的信件被标记成了可疑文件,说明文件过滤功能工作正常。
我们再来看管理员的邮箱中收到了一封正常的邮件,看来Forefront for exchange并不是像已往的一些过滤软件那样单纯的通过对文件的扩展名进行检查。从这点上看这个文件过滤功能还是做得还是可圈可点的。
在这些过滤功能中我觉得“允许发件人”这个功能很有些特色。他可以对信件中的发件人区域信息进行过滤,从而可以让指定的发件人跳过某些项目的检查,从而进一步丰富了管理员的过滤控制手段。
具体的做法是我们要先在筛选器列表的允许的发件人类型中添加一条自定义的列表allowed sender,并在列表中加入user1的邮件地址。
然后我们就能在”允许的发件人”项目中选中传输扫描作业(注意该功能只能用于传输扫描作业),然后在收件人列表中选中我们新建的收件人列表allowed sender,然后我们可以选定列表中的发件人可以跳过那些项目的检测(本例中我们选择了跳过关键字和文件筛选),然后我们启用这项功能并保存设置。
好了,一切准备就绪,让我们用user1和user2分别给管理员发一封带有刚才定义过的敏感字信息的邮件来看看他的过滤情况。
从结果来看,user1确实躲过了扫描引擎的扫描。User2因为没有在允许的发件人列表里,所以很不幸的被引擎扫了出来。
对邮件内容的过滤可以允许我们对邮件的发件人及主题等区域进行扫扫描,下面我们来对主题行进行一下扫描。
老套路,还是先要在筛选器列表中创建新的主题行扫描列表(这里我们用了title作为列表名),并在里面添加需要过滤的信息“色情网站”。做完这些记得保存配置。
我们还是用user1和user2给管理员发一封主题带有敏感字信息的邮件,同样的user1发的信件的标题我们依然做了些手脚,看看扫描引擎能能不能识别出来。
内容过滤不能在”传输扫描作业”中进行,所以我们在筛选项的内容子项里选择手动扫面作业,在内容字段里我们选择对主题行里的title列表内容进行过滤。
接下来让我们来到操作项,选中运行作业中的手动扫描作业,选中内容过滤后启动扫描
从结果来看动过手脚的user1再次幸免于难,对关键字的过滤再次成为了微软的一个软肋,不过纵观过去QQ及一些网络游戏中对关键字的过滤其实就效果来说都不尽人意,本来对信息的过滤就是一把双刃剑,其间的平衡点很难把握,所以这也不是微软一朝一夕所能改善的。
好了通过上面的测试相信大家对微软这款力推的邮件安全扫描过滤产品有了一个大体的印象,总体上讲他延续了微软一贯的易用风格,功能上讲虽然关键字过滤的功能还不是十分的尽善尽美,但瑕不掩瑜我们也不能对他的优点一言以蔽之。总之光是冲着跟exchange无缝集成这点来讲,应该没有其他产品能和exchange结合的如此完美了,对自家产品的支持至今应该还无人能出其右吧,所以还是让我们期待微软在日后把他做得更加完美吧。