眾所周知,當(dāng)前網(wǎng)絡(luò)安全環(huán)境及SMTP協(xié)議本身的弱點(diǎn),導(dǎo)致了大量的垃圾郵件產(chǎn)生，在過去幾年中甚至愈演愈烈，沒有人會(huì)否認(rèn)垃圾郵件已經(jīng)是當(dāng)今電子郵件系統(tǒng)中最令人頭痛的問題,垃圾郵件足以讓企業(yè)和用戶蒙受巨大損失,更為嚴(yán)重的是,垃圾郵件的危害已不再局限于電子郵件內(nèi)容本身，如果無法有效控制這些威脅，就可能使整個(gè)企業(yè)網(wǎng)絡(luò)陷入遭受安全攻擊的危險(xiǎn)之中，所以當(dāng)前每個(gè)企業(yè)都必須采取預(yù)防措施來防范垃圾郵件。

作為市場占有率極高郵件系統(tǒng)―― Exchange Server同樣面臨這些挑戰(zhàn)。早在Exchange Server 2000之前的版本中，基本上沒有考慮防范垃圾郵件的功能,當(dāng)然那個(gè)年代也許根本就不需要.隨著Exchange Server 2003的發(fā)布,更多反垃圾郵件功能內(nèi)置在了系統(tǒng)中。特別是在Exchange Server 2003 SP2推出時(shí)同步推出了智能郵件篩選器(IMF),這樣微軟通過Exchange Server服務(wù)器端實(shí)現(xiàn)從連接級――保護(hù)分析 SMTP 主機(jī)連接，協(xié)議級――保護(hù)分析郵件發(fā)件人和收件人，內(nèi)容級――保護(hù)評估郵件內(nèi)容等三個(gè)方面的保護(hù)，并與客戶端（Outlook，OWA）有效的結(jié)合實(shí)現(xiàn)全方位的保護(hù)。

本文將以目前企業(yè)使用的最多版本－Exchange Server 2003 SP2為例，為大家更好的使用用Exchange Server內(nèi)置的功能防范垃圾郵件提供建議。

Exchange Server服務(wù)器端

一．連接級保護(hù)

連接級保護(hù)主要是分析SMTP連接的主機(jī)（如：IP地址）是否為發(fā)送垃圾郵件的主機(jī)或或是拒絕連接的主機(jī)，如果確定為垃圾郵件主機(jī)或是拒絕連接的IP地址，將會(huì)直接拒絕當(dāng)前的連接，所以說它是最直接的一層，也是最簡單的一層。在Exchange 2003連接級保護(hù)使用的是――“連接篩選”，它主要實(shí)現(xiàn)方式包括以下兩個(gè)：

1.接受和拒絕IP地址列表

通過手動(dòng)的維護(hù)“接受”或“拒絕”IP地址列表可以明確的哪些IP地址是允許連接的，哪些IP地址是不允許直接連接的。通過它我們可以對已知的垃圾郵件主機(jī)進(jìn)行過濾。

配置方法如下：

1）在 Exchange 系統(tǒng)管理器中展開“全局設(shè)置”。 

2）右鍵單擊“郵件傳遞”并單擊“屬性”。

3）單擊“連接篩選”選項(xiàng)卡。

4）選擇“接受”或“拒絕”， 如“拒絕”。

5）在“添加”時(shí)選擇“單個(gè) IP 地址”或“IP 地址組”，如下面的屏幕截圖所示。

2.阻止名單服務(wù)

阻止名單服務(wù)就是我們平常所說的實(shí)時(shí)IP黑名單（RBL），Exchange Server提供管理員增加可信的RBL，從而可以有效的過濾已知的垃圾郵件發(fā)送者的IP。我們建議使用以下三個(gè)RBL。

配置方法如下：

1）在 Exchange 系統(tǒng)管理器中展開“全局設(shè)置”。 

2）右鍵單擊 “郵件傳遞”，然后單擊“屬性”。 

3）單擊“連接篩選”選項(xiàng)卡。 

4）“阻止名單服務(wù)配置”中單擊“添加”（如下面的屏幕截圖所示）。

二．議級保護(hù)

在連接級保護(hù)后，下一層防御就是 SMTP 協(xié)議級保護(hù)。 將對發(fā)送 SMTP 主機(jī)與接收 SMPT 主機(jī)之間的會(huì)話進(jìn)行分析，以檢驗(yàn)發(fā)件人地址與收件人地址是否經(jīng)允許，并確定發(fā)件人的域名的有效性。在Exchange 2003主要提供以下三種過濾手段：

1.發(fā)件人篩選

使用發(fā)件人篩選功能可以阻止手動(dòng)維護(hù)的特定發(fā)件人郵件地址，并可以對這類郵件進(jìn)行多種操作。

配置方法：

1）在 Exchange 系統(tǒng)管理器中展開“全局設(shè)置”。 

2）右鍵單擊 “郵件傳遞”，然后單擊“屬性”。 

3）單擊“發(fā)件人篩選”選項(xiàng)卡。 

4）在“發(fā)件人”中可以手動(dòng)增加需要過濾的發(fā)件人郵件地址。

5）根據(jù)需要你可以選擇勾選“存檔篩選郵件”、“篩選發(fā)件人為空的郵件”等等。

2.收件人篩選

使用收件人篩選功能可以阻止發(fā)送到手動(dòng)維護(hù)的特定收件人地址的電子郵件，并可以實(shí)現(xiàn)對發(fā)往服務(wù)器不存在的郵件地址的電子郵件進(jìn)行過濾。

配置方法：

1）啟動(dòng) Exchange 系統(tǒng)管理器。 

2）展開“全局設(shè)置”。 

3）單擊“郵件傳遞”并選擇“屬性”。 

4）單擊“收件人篩選”選項(xiàng)卡。 

5）根據(jù)需要選擇“篩選不在目錄中的收件人”。

6）如果需要增加特定的收件人，單擊“添加”后輸入完全的收件人的地址即可。

3.發(fā)件人ID篩選

發(fā)件人ID篩選是根據(jù)發(fā)件方的IP地址來驗(yàn)證，所發(fā)的電子郵件是否為發(fā)件人郵件地址所在域的指定郵件發(fā)送服務(wù)器的IP相符（SPF記錄）的一種手段，如果IP與SPF記錄聲明的IP不相符規(guī)不通過發(fā)件人ID篩選（而沒有建立SPF記錄的域名的郵件將直接通過發(fā)件人ID篩選）從而防止冒用它人域名發(fā)送郵件的情況。

配置方法：

1）啟動(dòng) Exchange 系統(tǒng)管理器。 

2）展開“全局設(shè)置”。 

3）用鼠標(biāo)右鍵單擊“郵件傳遞”并選擇“屬性”。 

4）單擊“發(fā)件人 ID 篩選”選項(xiàng)卡。 

5）選擇所需的發(fā)件人 ID 篩選選項(xiàng)，比如：接收，刪除，拒絕。

4.建議

1）如果要啟用發(fā)件人ID篩選，必須要“全局設(shè)置”－“常規(guī)”－“外圍IP列表及內(nèi)部IP范圍配置”中指定網(wǎng)關(guān)或是內(nèi)部網(wǎng)絡(luò)中服務(wù)器的 IP 地址，否則將有可能出現(xiàn)7518事件日志。

2）建議為自己的公司使用的域名人創(chuàng)建SPF記錄。

3）當(dāng)選擇在“收件人篩選”中勾選了“篩選不在目錄中的收件人”后，為防止字典攻擊（DHA）請啟用Tar Pit功能，詳情查看微軟KB84285文章，地址如下：http://support.microsoft.com/kb/842851

三．內(nèi)容級保護(hù)

Exchange Server 2003 SP2 中的內(nèi)容過濾，主要依靠Microsoft Research 已申請專利的機(jī)器學(xué)習(xí)技術(shù)SmartScreen為基礎(chǔ)，集成到―― “智能郵件篩選器(IMF)”中，利用啟發(fā)式分析的方法，對來自外部的電子郵件進(jìn)行是合法郵件還是垃圾郵件作出一個(gè)正確的概率評估，給郵件SCL（SPAM Confidence Level）值，以區(qū)分可能是垃圾郵件的等級，等級越高，郵件是垃圾郵件的可能性就越大。 此外，利用PCL（Phishing Confidence Level）值，IMF還能對釣魚郵件進(jìn)行防范。

1. “智能郵件篩選”配置方法：

1）啟動(dòng) Exchange 系統(tǒng)管理器。

2）展開“全局設(shè)置”。

3）用鼠標(biāo)右鍵單擊“郵件傳遞”，然后選擇“屬性”。 

4）單擊“智能消息篩選”選項(xiàng)卡。 

5）在“網(wǎng)關(guān)阻止配置”中設(shè)定需要阻止的郵件SCL值，并選擇所需阻止操作。

6）在垃圾郵件存儲(chǔ)配置中設(shè)定設(shè)定需要阻止的郵件SCL值

2.建議：

1）SCL 等級的范圍是從 0 到 9。等級越高，郵件是垃圾郵件的可能性就越大。建議的保守的SCL值組合為8和6，筆者認(rèn)為較有效的SCL值組合為6和4.

2）IMF是基于內(nèi)容過濾的技術(shù)，所以會(huì)出現(xiàn)誤判的情況，所以建議在阻止郵件時(shí)使用“存檔”的操作。以方便對誤判的正常郵件進(jìn)行提取，存檔后的郵件存放在\Exchsrvr\mailroot\vsi n\UCEArchive 中存檔，其中 n 是 SMTP虛擬服務(wù)器實(shí)例編號。此目錄可以修改，注冊表鍵值為

HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange\ContentFilter\ ArchiveDir

（類型為STRING，值為所需目錄的全路徑，如"E:\Archive"）

3）當(dāng)發(fā)現(xiàn) 7515事件日志時(shí)請注意微軟鑒于成本考量,認(rèn)為垃圾郵件的大小不可能超過3M，IMF不掃描超過3M的郵件。

4）當(dāng)IMF網(wǎng)關(guān)阻止配置操作設(shè)定為“拒絕”時(shí)，垃圾郵件的發(fā)送方會(huì)更到類似“5.7.1 Requested action not taken: Message Refused”這樣的NDR信息，為了便于對方了解拒絕的原因，建議修改這個(gè)默認(rèn)信息為更為詳細(xì)的信息，注冊表鍵值為：HKLM\Software\Microsoft\Exchange\ContentFilter\CustomRejectResponse 

5）微軟在每個(gè)月的第一個(gè)星期三和第三個(gè)星期三通過 Microsoft Update 和自動(dòng)更新技術(shù)提供智更新IMF，請?jiān)黾右韵伦员礞I值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange\ ContentFilterState (類型為DWORD , 值為1)

建議第一次升級時(shí)直接訪問Microsoft Update網(wǎng)站并手動(dòng)手動(dòng)IMF。

6）IMF根據(jù)設(shè)定SCL值對所有收到的郵件進(jìn)行過濾，但有一些企業(yè)因?yàn)榉N種原因需要對特殊收件人的郵件地址，進(jìn)行排除操作，也就是所有發(fā)向某個(gè)地址的郵件都經(jīng)過IMF過濾，要實(shí)現(xiàn)這個(gè)功能，查看微軟KB912587文章，地址如下：（http://support.microsoft.com/kb/912587）。

7）IMF還允許用戶制作一個(gè)名為MSExchange.UceContentFilter.xml的文件來對IMF過濾的內(nèi)容進(jìn)行微調(diào)，制完成后將文件保存為ANSI格式，并存放在\Program Files\Exchsrvr\bin\MSCFV2目錄下。查看微軟KB907747，地址如下：

http://support.microsoft.com/kb/907747

四．啟用上述的篩選功能

當(dāng)我們設(shè)定完所需要的篩選功能后，最重要的一點(diǎn)是我們必須要SMTP虛擬服務(wù)器中啟用所需的篩選功能。過程如下：

1）啟動(dòng) Exchange 系統(tǒng)管理器。 

2） 展開“服務(wù)器”。

3）展開“協(xié)議”。 

4）展開“SMTP”。 

5）單擊“默認(rèn) SMTP 虛擬服務(wù)器”，然后選擇“屬性”。 

6）在“默認(rèn) SMTP 虛擬服務(wù)器屬性”中，單擊“高級”。 

7）在“高級”中，單擊“編輯”。

8）在“標(biāo)識”中，選擇需要應(yīng)用的各種篩選器，如下圖：

9）重啟當(dāng)前的SMTP 虛擬服務(wù)器#p#

客戶端

除了在Exchange Server的服務(wù)器端進(jìn)行垃圾郵件的過濾，微軟在客戶端也同樣提供了不同的過濾功能，以期與發(fā)揮用戶的主動(dòng)性，更好的提高垃圾郵件過濾的效果。與此同時(shí)，微軟還將定期的為Outlook用戶制定垃圾郵件更新，用戶可以與同 Office 更新時(shí)一起更新垃圾郵件篩選。

一、配置 Outlook反垃圾郵件選項(xiàng)[b

1）在 Outlook 中，單擊“動(dòng)作”菜單欄。 

2）選擇“垃圾郵件”，然后選擇“垃圾郵件選項(xiàng)”

3）在“選項(xiàng)”中你要吧設(shè)置Outlook的垃圾郵件保護(hù)級別。

4）在“安全發(fā)件人”，“安全收件人”，“阻止發(fā)件人”中可以進(jìn)行列表的操作。

二．配置 Outlook Web Access (OWA) 中反垃圾郵件選項(xiàng)

1）登錄到 Outlook Web Access。 

2）單擊“選項(xiàng)”。 

3）確認(rèn)是否啟用“篩選垃圾郵件”

4）單擊“管理垃圾郵件列表”。 

5）從“查看或修改列表”中選擇相應(yīng)的功能進(jìn)行操作，如下圖：

三．建議

1.要與Exchange Server 2003配合使用，實(shí)現(xiàn)較好的反垃圾郵件效果。必須是Outlook 2003以上版本。

2.因?yàn)樽柚沽斜砗桶踩斜矶即鎯?chǔ)在用戶的郵箱中，所以O(shè)utlook 與OWA是使用的是同一個(gè)列表。用戶不需要重復(fù)維護(hù)。

3.用戶收件箱的垃圾郵件規(guī)則大小限制為不超過 510 KB，安全發(fā)件人列表和阻止發(fā)件人列表中包含大約 2,000個(gè)條目。如果需要增加或是減少這個(gè)默認(rèn)值，需要增加以下注冊表值：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\ParametersSystem\ Max Extended Rule Size （類型DWORD，值為允許的用戶垃圾郵件規(guī)則的最大字節(jié)數(shù)）

{ Exchange Server 2003 郵件過濾流程 }

在討論了實(shí)際的部署之后，我們再回頭來了解一下Exchange Server 2003中郵件過濾的流程。如下圖：

Exchange Server在接收到外部SMTP連接后，首先使用“連接篩選”，檢查對方IP，如果IP在“拒絕”列表中，將拒絕連接。如果IP 地址出現(xiàn)在“接受”列表中，則將郵件交給實(shí)時(shí)“阻止名單服務(wù)”過濾，如果在阻止列表中找到發(fā)送方服務(wù)器的 IP 地址，郵件將被拒絕。如果不在阻止列表中，則通過“連接篩選”。

應(yīng)用連接篩選后，Exchange根據(jù)在“發(fā)件人篩選”中的發(fā)件人列表匹配發(fā)件人地址。如果找到匹配項(xiàng)，Exchange 將拒絕該郵件。如果通過“發(fā)件人篩選”，Exchange 根據(jù)已在“收件人篩選”中的收件人列表匹配收件人地址。如果發(fā)現(xiàn)收件人地址與篩選掉的某個(gè)電子郵件地址匹配，Exchange 將拒絕郵件。然后，Exchange 檢查并篩選收件人是否在AD中。

應(yīng)用收件人篩選后，Exchange 將檢查發(fā)件人是否為空，如果符合Exchange 會(huì)根據(jù)您配置的選項(xiàng)篩選郵件。

在應(yīng)用智能郵件篩選器之前應(yīng)用發(fā)件人 ID 篩選器（如果已啟用）。 

如果郵件未被“連接篩選”、“收件人篩選”或“發(fā)件人篩選”篩選掉，將應(yīng)用“智能郵件篩選”，對符合的SCL 分級閾值的郵件做相應(yīng)的處理。

最后將郵件存儲(chǔ)在用戶的郵箱中，如果用戶使用的是 Outlook 2003 或 OWA，Exchange將根據(jù)事先用戶的郵箱存儲(chǔ)會(huì)將郵件的 SCL 分級或是安全發(fā)件人列表的設(shè)置，將郵件存放在收件箱或是垃圾郵件文件夾中。

總結(jié)

通過上述的討論，我們對Exchange Server 2003 SP2在垃圾郵件過濾方面有了大概的了解，當(dāng)然，我們同樣建議用戶在使用Exchange Server 自身的垃圾郵件過濾的功能同時(shí)，有條件的話選擇一些第三方的專業(yè)的反垃圾郵軟、硬件（比如市面上的GFI、ORF反垃圾郵件系統(tǒng)及梭子魚等反垃圾網(wǎng)關(guān)）來實(shí)現(xiàn)更好的過濾效果。另外，新版的Exchange Server 2007 SP1已經(jīng)發(fā)布，升級到Exchange Server2007也將反垃圾郵件性能方面有較大的提升。