Exchange智慧邮件筛选器详解

一、智能邮件筛选器概述
智能邮件筛选器,IMF (Intelligent Message Filter)是微软使用Microsoft Research技术通过对邮件进行扫描然后判定SCL(Spam Confidence Level:垃圾邮件信任级别)分值来判断邮件是否为UCE(unsolicited commercial e-mail:非请求商业电子邮件)从而达到减少垃圾邮件的目的。IMF内部有一个字典库,在扫描邮件的过程中通过对比字典库来判断邮件的SCL值,SCL值从0到9,(也有-1的时候,组织内之间相互传送的邮件SCl值为-1)SCL值越高意味着就越近似一封垃圾邮件,就目前的效果来看IMF不愧为智能邮件筛选器,判断SCL值得准确率非常高。

通过下图(图一)我们可以看到智能邮件筛选在邮件传入过程中的位置
Exchange智慧邮件筛选器详解_第1张图片
(图一)
邮件在通过了连接筛选和发件人收件人筛选之后,到达智能邮件筛选。通过智能筛选器的邮件才开始进入Exchange 存储,也就说邮件才开始到了用户的界面。

二、启用智能邮件筛选器
     1、在Exchange 2003 SP2之后智能邮件筛选器是默认安装的,我们可以在Exchange管理器中的全局设置-邮件传递-智能邮件筛选中启用它。(如图二)

(图二)
从上面我们可以看到两个阀值的设置选择和一个处理方式的选择。
阻止SCL分级大于或者等于以下值得邮件是指当IMF通过对邮件的扫描判定的SCL值大于或者等于你这里选择的数值的时候该邮件将被阻止,阻止的方式你可以通过下面的选项来选择“存档、拒绝、删除、无操作”
存档—是指将这些邮件存在特定的文件夹(默认存在Exchange install folder/Mail root/vsi 1/UceArchive   也可以修改此位置,修改办法后面会提到),邮件存放格式为.eml,可以通过OE或者Notepad来打开,如果发现有被误判的正常邮件可以将该邮件Copy到Pickup目录下重新提交邮件。
拒绝---是指拒绝接收这些邮件,系统退信产生NDR
删除---是指删除这些邮件,邮件虽然被接收但是会被删除。
无操作---意味着邮件将被传送到用户邮箱,也就是说IMF没有阻止功能不应用。

移动SCL分级大于或等于以下值的邮件,是指将这个分值范围内的邮件传送至用户的“垃圾邮件文件夹”需要注意的是用户的客户端是使用MAPI方式的Outlook 2003或者OWA才可以,早期的Outlook不支持”垃圾邮件文件夹”,使用POP3收发的用户亦无法接收垃圾邮件文件夹的内容,这部分用户可以在OWA上查看垃圾邮件文件夹。
注:此处设置的分值必须小于上面设置的阻止分值。

2、需要在Exchange 网关服务器的SMTP虚拟服务器上启用智能邮件筛选才能发挥功效。如图三

图三
以上就上完成了对Exchange Server的IMF基本设置。



三、调整智能邮件筛选器的设置
  1、如何设置智能邮件筛选器的阀值。
很多公司因为业务不同对IMF阀值得设置也不尽相同,设置一个有效的准确地阀值可以让智能邮件筛选器更好的发挥功效,判断的标准是什么呢,其实你可以通过参考性能监视器的几个数值来设置阀值。
在性能监视器中添加“MSExchange Intelligent Message Filter”性能对象中的Total Messages Assigned an SCL Rating of X 计数器,这里显示的就是经智能邮件筛选器扫描并且被分配的垃圾邮件信任级别 (SCL) 分级为 x(x 是从 0 到 9 的垃圾邮件分级)的邮件总数。
如下图(图四),你可以依据这里显示的数值来设置适当的阀值。
Exchange智慧邮件筛选器详解_第2张图片
图四
下面是MSExchange Intelligent Message Filter中的计数器的功能说明

计数器 描述
Total Messages Scanned for UCE 经智能邮件筛选器扫描的邮件总数。如果该数字为 0 或非常低,智能邮件筛选器可能运行不正常。

Messages Scanned for UCE/sec 每秒经智能邮件筛选器扫描的邮件数。此计数器指出智能邮件筛选器的运行速度。
Total UCE Messages Deleted 在网关删除的邮件总数。此计数器说明智能邮件筛选器已将这些邮件识别为 UCE,并已根据管理员指定的操作将其删除。如果配置智能邮件筛选器对在网关被识别为 UCE 的邮件执行另一操作,此计数器将显示 0。
UCE Messages Deleted/sec 每秒被智能邮件筛选器删除的邮件数。此计数器说明智能邮件筛选器删除被识别为 UCE 的邮件的速度。如果未配置智能邮件筛选器删除被识别为 UCE 的邮件,此计数器将显示 0。
Total UCE Messages Rejected 在网关拒绝的邮件总数。此计数器说明智能邮件筛选器已将这些邮件识别为 UCE,并已根据管理员指定的操作将其拒绝。如果配置智能邮件筛选器对在网关被识别为 UCE 的邮件执行另一操作,此计数器将显示 0。
UCE Messages Rejected/sec 每秒被智能邮件筛选器拒绝的邮件数。此数字说明智能邮件筛选器拒绝被识别为 UCE 的邮件的速度。如果未配置智能邮件筛选器拒绝识别为 UCE 的邮件,此计数器将显示 0。
Total UCE Messages Archived 在网关存档的邮件总数。此计数器说明智能邮件筛选器已将这些邮件识别为 UCE,并已根据管理员指定的操作将其存档。如果配置智能邮件筛选器对在网关被识别为 UCE 的邮件执行另一操作,此计数器将显示 0。
UCE Messages Archived/sec 每秒被智能邮件筛选器存档的邮件数。此计数器说明智能邮件筛选器存档被识别为 UCE 的邮件的速度。如果未配置智能邮件筛选器存档被识别为 UCE 的邮件,此计数器将显示 0。
% UCE out of Total Messages Scanned 被智能邮件筛选器识别为 UCE 的邮件占扫描邮件总数的百分比。
% UCE of Messages Scanned in the previous 30 minutes 前 30 分钟内被智能邮件筛选器识别为 UCE 的邮件占扫描邮件数的百分比。
Total Messages Assigned an SCL Rating of X 经智能邮件筛选器扫描并且被分配的垃圾邮件信任级别 (SCL) 分级为 x(x 是从 0 到 9 的垃圾邮件分级)的邮件总数。

2、自定义IMF设置
     1)、自定义阻止邮件的存档位置
如果将IMF阻止的邮件设置为存档,默认存在Exchange install folder/Mail root/vsi           1/UceArchive,通过修改注册表中HKLM/Software/Microsoft/Exchange/ ContentFilter,(如果没    有该项需要手动建立),新建字符串值"ArchiveDir"内容为你要存档的位置如”C:/Archive”
2)、自动更新IMF版本
     在 注 册 表 中 找 到HKLM/Software/Microsoft/Exchange,新建DWord值 ContentFilterState=1
更改了之后你可以通过Microsoft Update来更新IMF的版本,注意是Microsoft Update不是Windows Update.可以查看HKLM/Software/Microsoft/Exchange/ContentFilterVersion来判断IMF目前的版本.
3)、保存存档邮件的SCL分值
配置IMF在保存邮件时一同保存邮件的SCL等级,要使IMF自动保存SCL值,请修改如下注 
册表:HKLM/Software/Microsoft/Exchange/ContentFilter

新增Dword键ArchiveSCL值为1.
4)、筛选已经通过SMTP身份验证的邮件
默认情况下,智能邮件筛选器仅筛选通过匿名连接发送的邮件并为其分配 SCL 分级。已通过身份验证的用户发送的邮件将绕过智能邮件筛选器。如果希望智能邮件筛选器为通过已进行身份验证的连接发送的邮件分配 SCL 分级,可以创建一个注册表项 DWORD 值 CheckAuthSessions,并为它分配值 1。
HKLM/Software/Microsoft/Exchange/ContentFilter 新建Dword值 CheckAuthSessions=1
3、IMF Archive Manager
      IMF Archive Manager可以提供图形界面来查看归档邮件,下载地址如下
http://www.gotdotnet.com/workspaces/workspace.aspx?id=e8728572-3a4e-425a-9b26-a3fda0d06fee
运行安装文件,系统提示输入PICKUP目录和UCE归档目录位置(图五)
Exchange智慧邮件筛选器详解_第3张图片
图五

安装完成之后如下图(图六)
Exchange智慧邮件筛选器详解_第4张图片
图六
通过设置邮件保存SCL值之后(设置方法在三ΚΛ)),在这里还可以看到邮件的SCL值以及可能是垃圾邮件的%概率。
如果非垃圾邮件可是使用Resubmit重新提交邮件。另外软件还具有Report的功能。
4、添加自定义邮件筛选字典
    IMF可以让用户自定义一些特殊字词的筛选字典,来满足不同企业的特殊需求。用户可以编辑一个MSExchange.UceContentFilter.xml文件,来使用这个功能,首先你需要注册一个MSExchange.UceContentFilter.dll的文件,在Exchange Install Folder/Bin/MSCFV2/ 有这个文件,使用Regsvr32 MSExchange.UceContentFilter.dll来注册这个文件。然后就可以新建一个MSExchange.UceContentFilter.xml文件,内容格式如下例
<?xml version="1.0" encoding="UTF-16"?>
<CustomWeightEntries xmlns="http://schemas.microsoft.com/2005/CustomWeight">
      <CustomWeightEntry Type="BODY" Change="1" Text="Tortured with health problems?"/>
      <CustomWeightEntry Type="BODY" Change="-2" Text=" Cigar Sampler and Bonus Gifts for Xmas"/>
      <CustomWeightEntry Type="BODY" Change=”4" Text="Special offer"/>
      <CustomWeightEntry Type="BODY" Change="-7" Text="Gratis piller"/>
      <CustomWeightEntry Type="SUBJECT" Change="MIN" Text="Free Pills"/>
      <CustomWeightEntry Type="BOTH" Change="MAX" Text="Cheap Viagra"/>
</CustomWeightEntries>
以上是一个范例,在这里面定义了6条规则,记住下表中的关键字定义
value Description
Type=”BODY” 定义Search的范围是“BODY”
Type=”SUBJECT” 定义Search的范围是“Subject”
Type=”BOTH” 定义Search的范围是“BODY”+“Subject”
Change 更改SCL值,这也是最主要的。更改设置都在这里操作,比如上面实例中的“-7”就是将SCL值-7,假如这个邮件的原SCL值为9,那么经过这一条规则之后,该邮件的SCL值就成了2,同样的正数就是往上加SCL值,需要注意的是“MIN”意味着SCL值为0,也就是肯定可以通过筛选,允许通过“MAX”即为SCL值最大为9,肯定被筛选掉,拒绝通过。
Text 定义Search的关键字(supports Unicode phrases upto 1,000 characters)
你就可以根据你公司的业务情况和垃圾邮件的状况来定义这些关键字了。(这里需要注意的是使用Notepad编辑XML文件一定要保存为Unicode格式)
5、垃圾邮件回复工具
    IMF肯定会产生误判的状况,将正常的业务邮件判断为垃圾邮件,并且保存到了UceArchive目录,然而普通用户无法访问到这个目录。如何让用可以看到这些存档的邮件,并从中找到误判邮件进行正常的邮件恢复呢,垃圾邮件回复工具可以帮助你做到信件不漏接。这个工具的下载地址如下
http://www.microsoft.com/taiwan/exchange/promo/imf.htm
目前只有英文版和繁体中文版下载。
因为这个软件的设置比较多,而且已经有成型的安装操作说明,在这里就不再赘述。操作说明在下面的地址可以下载到
http://download.microsoft.com/download/1/a/3/1a332484-8d8c-4745-9f22-602f095d9fc2/IMF-Admin-Guide-v1.doc
大致讲一下就是使可以通过Web的方式来访问被存档的邮件,并且进行相关操作,如下图所示(图七)

图七
6、排除或选择特定收件人进行IMF操作
IMF是针对每个收件人的邮件都进行筛选,事实上有些企业对某些收件人尤其是一些Sales部门不希望进行IMF的筛选,以避免某些商务邮件会被IMF误判为垃圾邮件,失去潜在的商机。默认的IMF不提供这项功能,但是微软为正版用户提供了这个HotFix, 通过它你可以设置一组排除列表或者一组允许列表,两者只能取一,通过设置可以使IMF只扫描允许列表中收件人的邮件,或者不扫描排除列表中收件人的邮件。
具体如何获得这个HotFix,请参阅以下地址
http://support.microsoft.com/kb/912587/en-us
另外在KB中也写到了需要修改的注册表键值具体操作请参见以上知识库文章。

通过以上的一些设置,优化可以更好的发挥IMF的功效,虽然与专门的反垃圾邮件产品相比IMF还不够完善,但是作为Exchange中的一个组件能够发挥这么大功效已经不错了,别忘了它还是免费的。

http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=B1218D8C-E8B3-48FB-9208-6F75707870C2

http://technet.microsoft.com/zh-cn/library/aa998371(EXCHG.65).aspx

 

可以在 Microsoft® Exchange Server 智能邮件筛选器中自定义下列配置设置:

  • 更改存档目录的位置。
  • 存档邮件时存储垃圾邮件信任级别 (SCL) 分级。默认情况下,智能邮件筛选器不保存它所存档的邮件的 SCL 分级。
  • 筛选通过身份验证的用户发送的邮件。默认情况下,通过身份验证的用户会绕过智能邮件筛选器。

要自定义这些设置,必须在下列注册表项的下面创建注册表项值:

复制代码
HKEY_LOCAL_MACHINE/Software/Microsoft/Exchange/ContentFilter
警告:
错误地编辑注册表可能导致严重问题,甚至可能需要重新安装操作系统。因注册表编辑不当而导致的问题可能没有办法解决。在编辑注册表之前,请备份所有重要数据。

此外,还可以创建注册表项以配置安全发件人列表和阻止发件人列表的最大大小。有关详细信息,请参阅本主题后面的“设置垃圾邮件规则大小”部分。

存档位置是一个目录,如果您选择将标记为 UCE 的邮件(即分级超过在“邮件传递属性”“连接筛选”选项卡上配置的网关阈值的邮件)存档,则智能邮件筛选器会将已筛选的邮件保存在该目录中。默认情况下,邮件将在 /Exchsrvr/mailroot/vsi n/UCEArchive 中存档,其中 n 是 SMTP 虚拟服务器实例编号。默认情况下,/Exchsrvr 目录将在<驱动器号>:/Program Files 父目录中创建。

更改存档目录的位置
  1. 在注册表编辑器 (regedit) 的详细信息窗格中,右键单击“ContentFilter”,再单击“新建”,然后单击“字符串值”

  2. 键入 ArchiveDir 作为注册表项的值。

  3. 右键单击“ArchiveDir”,然后单击“修改”

  4. “编辑字符串”中的“数值数据”下,输入要在其中存档被智能邮件筛选器筛选出的邮件的完整目录路径。例如,键入 C:/Archive

默认情况下,智能邮件筛选器存档邮件时,不存档分配给该邮件的 SCL 分级。如果要将 SCL 分级随邮件一起存档,可以创建一个注册表项 DWORD 值 ArchiveSCL,并为它分配值 1。

将 SCL 分级随存档的邮件一起存档的步骤
  1. 在注册表编辑器 (regedit) 中,右键单击“ContentFilter”,再单击“新建”,然后单击“DWORD 值”

  2. 键入 ArchiveSCL 作为注册表项的值。

  3. 右键单击“ArchiveSCL”,然后单击“修改”

  4. “编辑 DWORD”中的“数值数据”下,键入 1

    当该注册表项值设置为 1 时,智能邮件筛选器将随存档的邮件一起保存 SCL 分级。SCL 分级作为扩展邮件头 (X-SCL) 始终保存在邮件中。

    如果此注册表项设置为 0,或者该注册表项值不存在,智能邮件筛选器将存档邮件,但不会保存与其关联的 SCL 分级。

默认情况下,智能邮件筛选器仅筛选通过匿名连接发送的邮件并为其分配 SCL 分级。通过身份验证的用户发送的邮件将绕过智能邮件筛选器。如果希望智能邮件筛选器为通过经身份验证的连接发送的邮件分配 SCL 分级,可以创建一个注册表项 DWORD 值 CheckAuthSessions,并为它分配值 1

筛选通过经身份验证的连接发送的邮件
  1. 在注册表编辑器 (regedit) 中,右键单击“ContentFilter”,再单击“新建”,然后单击“DWORD 值”

  2. 键入 CheckAuthSessions 作为注册表项的值。

  3. 右键单击“CheckAuthSessions”,然后单击“修改”

  4. “编辑 DWORD”中的“数值数据”下,键入 1

    当该注册表项的值设置为 1 时,智能邮件筛选器将筛选通过身份验证的用户和匿名用户发送的邮件。

    默认情况下,智能邮件筛选器仅筛选匿名用户发送的邮件。如果 CheckAuthSessions 注册表项的值设置为 0,或者该注册表项值不存在,将应用默认行为。

应用到用户收件箱的垃圾邮件规则包括用户的安全发件人列表、阻止发件人列表以及大约 300 字节的 Outlook 元数据。默认情况下,用户规则的大小限制为不超过 510 KB。一般来说,此默认大小允许安全发件人列表和阻止发件人列表中包含大约 2,000 个条目。

由于安全发件人列表和阻止发件人列表在 Outlook 客户端与邮箱存储之间同步,因此列表较大会影响性能。您可能需要减小大小限制,反之,也可能需要增加大小限制,以便让用户更灵活地配置安全发件人列表和阻止发件人列表。

通过为下列注册表项添加新的注册表项值,可以为这些规则设置自定义大小限制:

复制代码
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/MSExchangeIS/ParametersSystem/
注意:
使用此注册表项时,必须输入新的大小限制(字节)。
自定义用户垃圾邮件规则的大小限制
  1. 在注册表编辑器 (regedit) 的详细信息窗格中,右键单击“System”,再单击“新建”,然后单击“DWORD 值”

  2. 键入 Max Extended Rule Size 作为注册表项的值。

  3. “编辑 DWORD”中的“数值数据”下,输入要允许的用户垃圾邮件规则的最大大小(字节)。

你可能感兴趣的:(Exchange智慧邮件筛选器详解)