/ 中存储网

Exchange Server 2007的Message Hygiene功能介绍及配置

2014-08-28 23:10:57 来源:中存储网

微软正在宣传Exchange Server 2007在消息内容筛选和控制方面包含了极大的改进;反垃圾邮件和反网络钓鱼功能现在总称为“Message Hygiene”功能。从较高级别看,Exchange Server 2007的Message Hygiene功能在许多方面都与Exchange Server 2003类似。与Exchange Server 2003一样,Exchange Server 2007包括集成的反垃圾邮件筛选器、内置的防病毒扫描接口,以及一系列消息内容保护功能。这些消息内容保护功能可以根据源IP、发件人或收件人,来阻止或丢弃连接。Exchange Server 2007与Exchange Server 2003不同的是,它引入了一些新的重要变更,这些变更值得我们进一步探讨。让我们看看其中的一些变更,探讨一下它们将如何影响您部署Exchange Server 2007的计划。

Edge服务器
毫无疑问的是,Exchange Server 2003和Exchange Server 2007的Message Hygiene功能最大的区别是在Exchange Server 2007中引入了一个服务器角色,它专门用于Message Hygiene。Edge Transport服务器(或者简称为“Edge”)角色是单独的Exchange角色,它必须安装在没有包括其它服务器角色的服务器上;Edge角色被设计为单独的堡垒主机,用来处理入站邮件。这种策略很有意义,因为Edge角色被特别设计为只有很小的攻击界面,并且直接暴露在Internet中。
尽管微软不建议在网络的外围或军事区(DMZ)安装Exchange Server 2003前端服务器,但对于Exchange Server 2007则明确建议将Edge服务器配置在这个位置上。微软的理由是Exchange Server 2003前端服务器需要向后端服务器开放几个额外的端口,但是Edge服务器是完全不同的东西。它不必是域成员服务器(实际上,您不能把它安装在有非Edge Exchange服务器的域森林里),这意味着破坏了Edge服务器安全的攻击者不容易利用这个漏洞袭击整个域。此外,Exchange Server 2007包括Windows安全配置向导(Windows Security Configuration Wizard,SCW)的扩展功能,它使加固Edge服务器的过程自动化,保障了它在直接暴露在Internet中时也能安全使用。
接下来的问题是,Edge服务器如何获得Active Directory(AD)中的收件人信息,这是根据收件人信息进行筛选工作所必需的步骤。答案就在于Active Directory应用程序模式(ADAM),这是个很少用到的服务,它允许服务器为它不属于的域森林保留AD全局目录(GC)的部分副本。在这种情况下,Edge服务器运行ADAM并结合使用新的EdgeSync工具,该工具在网络外围的Hub Transport服务器上运行。EdgeSync将连接器数据、收件人和发件人筛选信息、接受域从Hub Transport单向同步到Edge角色;因此,您必须打开三个TCP端口(TCP端口25用于SMTP,TCP端口50389用于普通LDAP,TCP端口50636用于LDAP)。有趣的是,同步发生在每个AD站点,而不是每台服务器,所以您不必依赖单个Hub Transport服务器作为桥头服务器。
如果您不想使用Edge服务器就不必使用它。Hub Transport服务器角色可以提供一部分与Edge服务器角色相同的Message Hygiene功能。这些功能通过微软称为代理的模块实现。但是,一些重要的功能(包括连接筛选和地址重写代理)可能只有Edge服务器角色才能提供。(对于Exchange Server 2007 beta 2,您可以使用Exchange安装所带的install-AntiSpamAgents PowerShell脚本来安装Message Hygiene代理,但是我不知道对于正式发布的版本是否也是这样。)

接受域(Accepted Domain)
即使您不使用Edge服务器,您还是需要理解“接受域”的概念。对于这些域,您的服务器应该接受来自它们的电子邮件,无论是直接发送还是中继。您可以把它们看作与以前版本的Exchange中的SMTP地址空间定义类似,但是它们的用途有些不同。当您指定接受域时,实际上是对Exchange组织级别进行了设置,说明目标域是这三者之一:权威域(Authoritative domain)、内部中继域(Internal relay domain)或外部中继域(External relay domain)。
• 权威域是您的Exchange组织所拥有的域。当您安装第一个Hub Transport服务器时,森林根域的完全限定域名(Full Qualified Domain Name,FQDN)将被自动添加为权威接收域;如果您希望使用其它域的话您还需要添加它们。
• 内部中继域是指为某种特定的收件人接收邮件的域。这些收件人作为联系人存在于全局地址列表(Global Address List,GAL)上,但是没有自己邮箱。
• 外部中继域是您接收消息并发送给单独的服务器来进行路由和传送的域。
您可以在Hub Transport服务器上指定更多的域,该服务器会在正常的EdgeSync过程中将它们与Edge服务器同步。如果您没有指定域,Edge或Hub Transport服务器会拒绝将邮件发送到该域。

连接筛选
连接筛选与在Exchange Server 2003中的功能大部分相同,但是实现方法完全不同。连接筛选器代理在Edge Transport服务器上运行,并且它根据原始的IP地址筛选(或者更精确地说是丢弃)连接:如果一个连接在应该被允许或阻止的IP地址的列表上,或者在您指定的提供者所提供的IP列表上,筛选器将采取适当的行动。对于未经验证的消息,连接筛选在默认情况下都是打开的,这是很有用的改变。另一个非常有用的新功能是存在一些命令可以测试IP数据块,并允许您指定的列表提供者来验证对列表提供者的查询能够正常工作。

发件人和收件人筛选
在Exchange Server 2007中,发件人和收件人筛选的工作方式与在Exchange Server 2003中一样,尽管它们现在是以代理的方式实现,并且是在Edge或Hub Transport服务器上运行。有一个主要的区别是,在Exchange Server 2003中,个别用户的安全发件人列表对于他们的邮箱和邮箱服务器来说是本地的。而Exchange Server 2007包括了一个功能,可以收集安全发件人信息并推送到Edge服务器上。由于来自安全发件人的邮件被标记为安全,它可以免于进一步的内容检查。发件人筛选可以阻止发件人并向其发送失败报告(Nondelivery Report,NDR),或者接收消息但增加它的垃圾邮件可信度(Spam Confidence Level,SCL)。Exchange Server 2007中改变的还有,收件人筛选仅适用于发送到指定为已验证的域的邮件;这帮助防止意外拒绝合法的邮件。由于发件人筛选使用的MAIL FROM SMTP头字段可能被伪造,微软建议您只将发件人筛选器代理与发件人ID代理结合使用。
Exchange Server 2007完全支持发件人ID,并且它的基本选项与Exchange Server 2003中的一样。您可以使用Exchange管理外壳程序中的set-SenderIDConfig任务将个别收件人和域排除在发件人ID检查之外,但目前您不能让发件人和域从Exchange管理控制台中消失。

附件筛选
Edge有一个筛选附件的代理很受欢迎。您可以根据文件名、文件扩展名或MIME类型来筛选,您也可以选择要如何处理包含被阻止的附件的消息:是阻止消息和它的附件(在这种情况下发件人会收到NDR),还是拆除附件但允许消息通过,又或者是悄悄地删除消息和附件。Exchange帮助文件中明确指出被拆除或阻止的附件无法恢复,因此您不应计划使用附件筛选代理作为隔离机制。您必须使用Exchange管理外壳程序配置附件筛选代理,并且在您希望进行筛选的每个Edge或Hub Transport服务器上配置它;筛选设置是针对每个服务器的。

发件人信誉
另一个全新的Exchange Server 2007功能是支持发件人信誉。您可以把它看作是对发件人的持续评分,评分因素取决于某个给定的发件人有多大的可能性是不合法的。这种信誉数据被保留,这样给定的发件人的恶劣行为会逐渐地使该发件人的发件人信誉级别(Sender Reputation Level,SRL)从0增加到9。SRL为0意味着可以确保发件人是合法的,而SRL为9表示几乎可以确定发件人是垃圾邮件发送者。所有以前没有出现过的发件人最初SRL都是0,一旦收到来自该发件人的20条消息,代理就开始计算SRL级别。
Exchange发件人信誉(Exchange Sender Reputation)代理对信誉的计算取决于这些因素:给定发件人的反向DNS数据的精确程度,发件人服务器是否显示为开放代理,EHLO或HELO头字段的准确性,以及同一发件人之前发送的消息的SCL评分。
最让人满意的是,您可以设置自己的SRL阈值。当发件人达到您的阈值时,发件人信誉代理让发件人筛选代理将发件人临时添加到被阻止发件人列表中。IP地址出现在微软自己的SRL被阻止发件人列表上的发件人,会在代理每天更新配置数据时自动添加到您的SRL被阻止发件人列表中。

内容筛选代理
您可以把我到目前为止讨论过的代理看作是一串项链上的珍珠;每个代理都在运行,如果消息通过一个代理的检查,该消息将会传送到下一个代理。内容筛选器代理也是一颗珍珠,但是它有点不同:它本质上与Exchange Server 2003 IMF起到相同的作用,这意味着它可以根据消息的SCL来阻止或接受消息。每个代理可以根据它对消息的评估结果向上或向下调整SCL。内容筛选器还可以根据您定义的关键字或短语是否出现阻止或拒绝消息,并且它会考虑Microsoft Office Outlook 2007的“电子邮戳(Email Postmark)”是否存在(电子邮戳是一种计算证据,我会在将来的专栏中讨论它)。
内容筛选器还使用综合的安全发件人列表信息。如同它的名字一样,这个功能会从Outlook 2007客户端收集个别用户的安全发件人和安全收件人列表,发布到AD上,然后与Edge服务器分享该信息(通过EdgeSync实现)。这使Edge服务器可以在消息实际发送到邮箱服务器之前,就应用那些是要允许还是阻止消息的用户选项。
内容筛选器包括一种隔离机制,但缺点是它需要管理员来复查和释放这些消息。大多数管理员宁可吃掉沙子也不愿意去检查其他人的垃圾邮件,所以还不清楚这个功能是否能被很好地接受。

其它功能
Exchange Server 2007的Message Hygiene工具箱还包括其它的一些小而有用的功能。例如,内容筛选器现在可以自动将更新下载到它的筛选器文件中,并且微软承诺会比更新Exchange Server 2003更加频繁地发布这些更新。防病毒扫描的工作方式有了很大的改变;例如,兼容Exchange Server 2007的产品(比如微软自己的Forefront Security for Exchange)现在可以扫描Hub Transport服务器队列中的消息,这就意味着可以阻止被感染的消息的发送。