當前網絡安全環境及SMTP協議本身的弱點,導致了大量的垃圾郵件產生,在過去幾年中甚至愈演愈烈,沒有人會否認垃圾郵件已經是當今電子郵件系統中最令人頭痛的問題,垃圾郵件足以讓企業和用戶蒙受巨大損失,更爲嚴重的是,垃圾郵件的危害已不再侷限於電子郵件內容本身,如果無法有效控制這些威脅,就可能使整個企業網絡陷入遭受安全***的危險之中,所以當前每個企業都必須採取預防措施來防範垃圾郵件。
作爲市場佔有率極高郵件系統―― Exchange Server同樣面臨這些挑戰。早在Exchange Server 2000之前的版本中,基本上沒有考慮防範垃圾郵件的功能,當然那個年代也許根本就不需要.隨着Exchange Server 2003的發佈,更多反垃圾郵件功能內置在了系統中。特別是在Exchange Server 2003 SP2推出時同步推出了智能郵件篩選器(IMF),這樣微軟通過Exchange Server服務器端實現從連接級――保護分析 SMTP 主機連接,協議級――保護分析郵件發件人和收件人,內容級――保護評估郵件內容等三個方面的保護,並與客戶端(Outlook,OWA)有效的結合實現全方位的保護。
本文將以目前企業使用的最多版本-Exchange Server 2003 SP2爲例,爲大家更好的使用用Exchange Server內置的功能防範垃圾郵件提供建議。
Exchange Server服務器端
一.連接級保護
連接級保護主要是分析SMTP連接的主機(如:IP地址)是否爲發送垃圾郵件的主機或或是拒絕連接的主機,如果確定爲垃圾郵件主機或是拒絕連接的IP地址,將會直接拒絕當前的連接,所以說它是最直接的一層,也是最簡單的一層。在Exchange 2003連接級保護使用的是――“連接篩選”,它主要實現方式包括以下兩個:
1.接受和拒絕IP地址列表
通過手動的維護“接受”或“拒絕”IP地址列表可以明確的哪些IP地址是允許連接的,哪些IP地址是不允許直接連接的。通過它我們可以對已知的垃圾郵件主機進行過濾。
配置方法如下:
1)在 Exchange 系統管理器中展開“全局設置”。
2)右鍵單擊“郵件傳遞”並單擊“屬性”。
3)單擊“連接篩選”選項卡。
4)選擇“接受”或“拒絕”, 如“拒絕”。
5)在“添加”時選擇“單個 IP 地址”或“IP 地址組”,如下面的屏幕截圖所示
2.阻止名單服務
阻止名單服務就是我們平常所說的實時IP黑名單(RBL),Exchange Server提供管理員增加可信的RBL,從而可以有效的過濾已知的垃圾郵件發送者的IP。我們建議使用以下三個RBL。
配置方法如下:
1)在 Exchange 系統管理器中展開“全局設置”。
2)右鍵單擊 “郵件傳遞”,然後單擊“屬性”。
3)單擊“連接篩選”選項卡。
4)“阻止名單服務配置”中單擊“添加”(如下面的屏幕截圖所示)。
5)在“顯示名”中,鍵入連接篩選器的名稱。
6)在“提供商的 DNS 後綴”中,輸入RBL的服務器地址(如:cblless.anti-spam.org.cn)。7)在“自定義要返回的錯誤消息”中,您可以鍵入希望返回到發送人的自定義錯誤消息,例如:
Your IP address %0 is blacklisted by %2.
(參數說明: %0表示連接 IP 地址,%2表示RBL 地址)
8).單擊“返回狀態代碼”,並輸入正確的“返回狀態代碼”地址。
3.建議
名稱 | 服務器地址 | 返回狀態碼 |
Anti-spam org.cn CBL- | cblless.anti-spam.org.cn | 127.0.8.5 |
SPAMHAUS SBL+ XBL | sbl-xbl.spamhaus.org | 127.0.0.2/3/4/6 |
Spamcop RBL |
bl.spamcop.net |
127.0.0.2 |
1)建議使用以下三個RBL
2)配置阻止名單服務的“例外”列表
這個列表是用來增加本服務器不需要經過過濾的收件人地址,比如我們可以這裏專門開通一個用於對方申訴的郵箱,把它加入到例外列表中。從而實現與發件方的申訴溝通。
3)利用“全部接收和拒絕列表”
當RBL把你重要的合作伙伴服務器的IP被RBL列入,可以在“全部接收和拒絕列表”的“接受”中增加對方的IP地址,從而實現直接的放行。
4)儘量友好“自定義要返回的錯誤信息”
建議儘量優化“自定義要返回的錯誤信息”,讓被拒絕的發件方可以明確是因爲什麼原歷被拒絕,比如增加一些申訴的郵箱或是查詢網址信息等。
5)更多連接級保護的操作建議查看微軟KB823866文章,地址如下:
http://support.microsoft.com/kb/823866
二.議級保護
在連接級保護後,下一層防禦就是 SMTP 協議級保護。 將對發送 SMTP 主機與接收 SMPT 主機之間的會話進行分析,以檢驗發件人地址與收件人地址是否經允許,並確定發件人的域名的有效性。在Exchange 2003主要提供以下三種過濾手段:
1.發件人篩選
使用發件人篩選功能可以阻止手動維護的特定發件人郵件地址,並可以對這類郵件進行多種操作。
配置方法:
1)在 Exchange 系統管理器中展開“全局設置”。
2)右鍵單擊 “郵件傳遞”,然後單擊“屬性”。
3)單擊“發件人篩選”選項卡。
4)在“發件人”中可以手動增加需要過濾的發件人郵件地址。
5)根據需要你可以選擇勾選“存檔篩選郵件”、“篩選發件人爲空的郵件”等等。
2.收件人篩選
使用收件人篩選功能可以阻止發送到手動維護的特定收件人地址的電子郵件,並可以實現對發往服務器不存在的郵件地址的電子郵件進行過濾。
配置方法:
1)啓動 Exchange 系統管理器。
2)展開“全局設置”。
3)單擊“郵件傳遞”並選擇“屬性”。
4)單擊“收件人篩選”選項卡。
5)根據需要選擇“篩選不在目錄中的收件人”。
6)如果需要增加特定的收件人,單擊“添加”後輸入完全的收件人的地址即可。
3.發件人ID篩選
發件人ID篩選是根據發件方的IP地址來驗證,所發的電子郵件是否爲發件人郵件地址所在域的指定郵件發送服務器的IP相符(SPF記錄)的一種手段,如果IP與SPF記錄聲明的IP不相符規不通過發件人ID篩選(而沒有建立SPF記錄的域名的郵件將直接通過發件人ID篩選)從而防止冒用它人域名發送郵件的情況。
配置方法:
1)啓動 Exchange 系統管理器。
2)展開“全局設置”。
3)用鼠標右鍵單擊“郵件傳遞”並選擇“屬性”。
4)單擊“發件人 ID 篩選”選項卡。
5)選擇所需的發件人 ID 篩選選項,比如:接收,刪除,拒絕。
4.建議
1)如果要啓用發件人ID篩選,必須要“全局設置”-“常規”-“外圍IP列表及內部IP範圍配置”中指定網關或是內部網絡中服務器的 IP 地址,否則將有可能出現7518事件日誌。
2)建議爲自己的公司使用的域名人創建SPF記錄。
3)當選擇在“收件人篩選”中勾選了“篩選不在目錄中的收件人”後,爲防止字典***(DHA)請啓用Tar Pit 功能,詳情查看微軟KB84285文章,地址如下:http://support.microsoft.com/kb/842851
Exchange Server 2003 SP2 中的內容過濾,主要依靠Microsoft Research 已申請專利的機器學習技術SmartScreen爲基礎,集成到―― “智能郵件篩選器(IMF)”中,利用啓發式分析的方法,對來自外部的電子郵件進行是合法郵件還是垃圾郵件作出一個正確的概率評估,給郵件SCL(SPAM Confidence Level)值,以區分可能是垃圾郵件的等級,等級越高,郵件是垃圾郵件的可能性就越大。 此外,利用PCL(Phishing Confidence Level)值,IMF還能對釣魚郵件進行防範。
1. “智能郵件篩選”配置方法:
1)啓動 Exchange 系統管理器。
2)展開“全局設置”。
3)用鼠標右鍵單擊“郵件傳遞”,然後選擇“屬性”。
4)單擊“智能消息篩選”選項卡。
5)在“網關阻止配置”中設定需要阻止的郵件SCL值,並選擇所需阻止操作。
6)在垃圾郵件存儲配置中設定設定需要阻止的郵件SCL值
2.建議:
1)SCL 等級的範圍是從 0 到 9。等級越高,郵件是垃圾郵件的可能性就越大。建議的保守的SCL值組合爲8和6,筆者認爲較有效的SCL值組合爲6和4.
2)IMF是基於內容過濾的技術,所以會出現誤判的情況,所以建議在阻止郵件時使用“存檔”的操作。以方便對誤判的正常郵件進行提取,存檔後的郵件存放在\Exchsrvr\mailroot\vsi n\UCEArchive 中存檔,其中 n 是 SMTP 虛擬服務器實例編號。此目錄可以修改,註冊表鍵值爲
HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange\ContentFilter\ ArchiveDir
(類型爲STRING,值爲所需目錄的全路徑,如"E:\Archive")
3)當發現 7515事件日誌時請注意微軟鑑於成本考量,認爲垃圾郵件的大小不可能超過3M,IMF不掃描超過3M的郵件。
4)當IMF網關阻止配置操作設定爲“拒絕”時,垃圾郵件的發送方會更到類似“5.7.1 Requested action not taken: Message Refused”這樣的NDR信息,爲了便於對方瞭解拒絕的原因,建議修改這個默認信息爲更爲詳細的信息,註冊表鍵值爲:HKLM\Software\Microsoft\Exchange\ContentFilter\CustomRejectResponse
5)微軟在每個月的第一個星期三和第三個星期三通過 Microsoft Update 和自動更新技術提供智更新IMF,請增加以下註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange\ ContentFilterState (類型爲DWORD , 值爲1)
建議第一次升級時直接訪問Microsoft Update網站並手動手動IMF。
6)IMF根據設定SCL值對所有收到的郵件進行過濾,但有一些企業因爲種種原因需要對特殊收件人的郵件地址,進行排除操作,也就是所有發向某個地址的郵件都經過IMF過濾,要實現這個功能,查看微軟KB912587文章,地址如下:(http://support.microsoft.com/kb/912587)。
7)IMF還允許用戶製作一個名爲MSExchange.UceContentFilter.xml的文件來對IMF過濾的內容進行微調,制完成後將文件保存爲ANSI格式,並存放在\Program Files\Exchsrvr\bin\MSCFV2目錄下。查看微軟KB907747,地址如下:
http://support.microsoft.com/kb/907747
四.啓用上述的篩選功能
當我們設定完所需要的篩選功能後,最重要的一點是我們必須要SMTP虛擬服務器中啓用所需的篩選功能。過程如下:
1)啓動 Exchange 系統管理器。
2) 展開“服務器”。
3)展開“協議”。
4)展開“SMTP”。
5)單擊“默認 SMTP 虛擬服務器”,然後選擇“屬性”。
6)在“默認 SMTP 虛擬服務器屬性”中,單擊“高級”。
7)在“高級”中,單擊“編輯”。
8)在“標識”中,選擇需要應用的各種篩選器,如下圖:
9)重啓當前的SMTP 虛擬服務器
客戶端 二.配置 Outlook Web Access (OWA) 中反垃圾郵件選項 三.建議 { Exchange Server 2003 郵件過濾流程 }
除了在Exchange Server的服務器端進行垃圾郵件的過濾,微軟在客戶端也同樣提供了不同的過濾功能,以期與發揮用戶的主動性,更好的提高垃圾郵件過濾的效果。與此同時,微軟還將定期的爲Outlook用戶制定垃圾郵件更新,用戶可以與同 Office 更新時一起更新垃圾郵件篩選。
一、配置 Outlook反垃圾郵件選項[b
1)在 Outlook 中,單擊“動作”菜單欄。
2)選擇“垃圾郵件”,然後選擇“垃圾郵件選項”
3)在“選項”中你要吧設置Outlook的垃圾郵件保護級別。
4)在“安全發件人”,“安全收件人”,“阻止發件人”中可以進行列表的操作
1)登錄到 Outlook Web Access。
2)單擊“選項”。
3)確認是否啓用“篩選垃圾郵件”
4)單擊“管理垃圾郵件列表”。
5)從“查看或修改列表”中選擇相應的功能進行操作,如下圖:
1.要與Exchange Server 2003配合使用,實現較好的反垃圾郵件效果。必須是Outlook 2003以上版本。
2.因爲阻止列表和安全列表都存儲在用戶的郵箱中,所以Outlook 與OWA是使用的是同一個列表。用戶不需要重複維護。
3.用戶收件箱的垃圾郵件規則大小限制爲不超過 510 KB,安全發件人列表和阻止發件人列表中包含大約 2,000 個條目。如果需要增加或是減少這個默認值,需要增加以下註冊表值:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\ParametersSystem\ Max Extended Rule Size (類型DWORD,值爲允許的用戶垃圾郵件規則的最大字節數)
Exchange Server在接收到外部SMTP連接後,首先使用“連接篩選”,檢查對方IP,如果IP在“拒絕”列表中,將拒絕連接。如果IP 地址出現在“接受”列表中,則將郵件交給實時“阻止名單服務”過濾,如果在阻止列表中找到發送方服務器的 IP 地址,郵件將被拒絕。如果不在阻止列表中,則通過“連接篩選”。
應用連接篩選後,Exchange根據在“發件人篩選”中的發件人列表匹配發件人地址。如果找到匹配項,Exchange 將拒絕該郵件。如果通過“發件人篩選”,Exchange 根據已在“收件人篩選”中的收件人列表匹配收件人地址。如果發現收件人地址與篩選掉的某個電子郵件地址匹配,Exchange 將拒絕郵件。然後,Exchange 檢查並篩選收件人是否在AD中。
應用收件人篩選後,Exchange 將檢查發件人是否爲空,如果符合Exchange 會根據您配置的選項篩選郵件。
在應用智能郵件篩選器之前應用發件人 ID 篩選器(如果已啓用)。
如果郵件未被“連接篩選”、“收件人篩選”或“發件人篩選”篩選掉,將應用“智能郵件篩選”,對符合的SCL 分級閾值的郵件做相應的處理。
最後將郵件存儲在用戶的郵箱中,如果用戶使用的是 Outlook 2003 或 OWA,Exchange將根據事先用戶的郵箱存儲會將郵件的 SCL 分級或是安全發件人列表的設置,將郵件存放在收件箱或是垃圾郵件文件夾中。
總結
通過上述的討論,我們對Exchange Server 2003 SP2在垃圾郵件過濾方面有了大概的瞭解,當然,我們同樣建議用戶在使用Exchange Server 自身的垃圾郵件過濾的功能同時,有條件的話選擇一些第三方的專業的反垃圾郵軟、硬件(比如市面上的GFI、ORF反垃圾郵件系統及梭子魚等反垃圾網關)來實現更好的過濾效果。另外,新版的Exchange Server 2007 SP1已經發布,升級到Exchange Server2007也將反垃圾郵件性能方面有較大的提升。