连接筛选

适用于： Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上一次修改主题： 2009-10-06

连接筛选器代理是在安装了 Microsoft Exchange Server 2007 边缘传输服务器角色的计算机上启用的一个反垃圾邮件代理。连接筛选器代理依靠尝试连接的远程服务器的 IP 地址来确定要对入站邮件执行的操作（如果有）。该远程 IP 地址可以作为简单邮件传输协议 (SMTP) 会话所需的基础 TCP/IP 连接的副产品提供给连接筛选器代理。因为连接筛选器代理必须对要生效的发送邮件的远程服务器 IP 地址进行评估，所以，面向 Internet 的边缘传输服务器上通常启用连接筛选器代理。但是，也可以通过执行其他配置，在入站邮件路径的更深层次运行连接筛选器代理。

在边缘传输服务器上配置反垃圾邮件代理后，此代理对邮件执行的操作会逐步减少未经请求而进入组织的邮件数量。为了减少冗余并提高整体的系统性能和效率，必须了解代理评估入站邮件的顺序。了解筛选器评估入站邮件的顺序将有助于优化边缘传输服务器的配置。有关如何计划和部署反垃圾邮件代理的详细信息，请参阅反垃圾邮件和防病毒功能。

启用连接筛选器代理后，连接筛选器代理将是在评估入站邮件时要运行的第一个反垃圾邮件代理。

将入站邮件提交给启用连接筛选器代理的边缘传输服务器时，将根据 IP 允许列表和 IP 阻止列表检查 SMTP 连接的源 IP 地址。如果源 IP 地址在 IP 允许列表中列出，则邮件会发送到目标地址，其他反垃圾邮件代理不会进行额外的处理。如果源 IP 地址在 IP 阻止列表中列出，在处理完邮件中的所有 RCPT TO 邮件头之后，SMTP 连接就会断开。

注意：
断开给定连接的时机可能取决于其他反垃圾邮件配置。例如，可以指定即使源 IP 地址受到阻止仍然会接收电子邮件的收件人。此外，您可能还配置了依赖 DATA 命令的内容进行分析的其他代理。连接筛选器代理总是会根据总体反垃圾邮件配置断开被阻止的连接。

如果源 IP 地址未在任何 IP 允许列表或 IP 阻止列表中列出，并且配置了其他反垃圾邮件代理，则邮件将继续流经其他反垃圾邮件代理。

有关如何配置连接筛选器代理的详细信息，请参阅配置连接筛选。

IP 允许列表和 IP 阻止列表

连接筛选器代理将发送邮件的服务器的 IP 地址与下列任何 IP 地址数据存储进行比较：

• 管理员定义的 IP 允许列表和 IP 阻止列表

• IP 阻止列表提供程序

• IP 允许列表提供程序

有关 IP 阻止列表提供程序的详细信息，请参阅本主题后面部分中的“IP 阻止列表提供程序”。

必须至少对其中一个 IP 地址数据存储进行配置，连接筛选器代理才会运行。如果 IP 地址数据存储未包含 IP 允许列表或 IP 阻止列表中的 IP 地址，或者如果未配置任何 IP 阻止列表提供程序或 IP 允许列表提供程序，则应禁用连接筛选器代理。

管理员定义的 IP 允许列表和 IP 阻止列表

边缘传输服务器的管理员维护管理员定义的 IP 地址列表。通过使用 Exchange 管理控制台或 Exchange 命令行管理程序可以输入和删除要允许或阻止的 IP 地址。IP 地址可以单独进行添加，可以按 IP 地址范围进行添加，也可以按 IP 地址和子网掩码进行添加。

在添加 IP 地址或 IP 地址范围时，必须将 IP 地址或 IP 地址范围指定为 IP 阻止地址或 IP 允许地址。此外，可以为创建的每个 IP 阻止列表条目指定过期时间。在设置过期时间时，过期时间指定 IP 阻止列表条目的有效期。到了过期时间期间时，IP 阻止列表条目将被禁用。

通过使用管理员定义的 IP 允许列表和 IP 阻止列表，可以将连接筛选配置为支持下列方案：

• 将 IP 地址从 IP 阻止列表提供程序的 IP 阻止列表中排除   如果无意中将合法发件人放入 IP 阻止列表提供程序的 IP 阻止列表中，则可能必须将 IP 地址从 IP 阻止列表提供程序的 IP 阻止列表中排除。例如，如果无意中将 SMTP 服务器配置成开放中继，则可能会无意中将合法发件人放入 IP 阻止列表中。在这种情况下，发件人可能会尝试纠正错误配置并将其 IP 地址从 IP 阻止列表提供程序的 IP 阻止列表中删除。

  有关 IP 阻止列表提供程序的详细信息，请参阅本主题后面部分中的“IP 阻止列表提供程序”。

• 拒绝从作为垃圾邮件来源但是未在 IP 阻止列表提供程序的IP 阻止列表中列出的 IP 地址进行访问   有时，您可能会从所订阅的“实时阻止列表 (RBL)”服务尚未标识的来源中收到大量垃圾邮件。

IP 阻止列表提供程序

“IP 阻止列表提供程序”服务可以帮助您减少传入到组织中的未经请求的电子邮件数。

注意：
IP 阻止列表提供程序服务通常被称为实时阻止列表 (RBL) 服务。Exchange 管理控制台将 RBL 服务称为 IP 阻止列表提供程序服务。“RBL 服务”和“IP 阻止列表提供程序服务”两个词意义相同。

IP 阻止列表提供程序服务将对过去垃圾邮件所来自的 IP 地址列表进行编译。此外，有些 IP 阻止列表提供程序提供将 SMTP 配置为开放中继的 IP 地址列表。还有些 IP 阻止列表提供程序服务提供支持拨号访问的 IP 地址列表。为客户提供拨号访问服务的 Internet 服务提供商 (ISP) 将为每个拨号会话分配动态 IP 地址。有些 ISP 阻止来自拨号帐户的 SMTP 通信。这些 ISP 和助理拨号 IP 范围通常不会添加到 IP 阻止列表中。但是，有些 ISP 允许客户从拨号帐户发送 SMTP 通信。恶意用户利用允许 SMTP 通信的 ISP 通过动态分配的 IP 地址发送垃圾邮件。将 IP 地址放入 IP 阻止列表后，恶意用户将启动另一个拨号会话并接收新的 IP 地址。通常，一个 IP 阻止列表提供程序可以提供涉及上述所有垃圾邮件威胁的 IP 地址列表。

通过使用 Exchange 管理控制台或 Exchange 命令行管理程序，可以配置多个 IP 阻止列表提供程序配置。在 Exchange 管理控制台或 Exchange 命令行管理程序中，每个服务都要求有一个单独的 IP 阻止列表提供程序配置。

将连接筛选器代理配置为使用 IP 阻止列表提供程序时，在组织接受邮件之前，连接筛选器代理将查询 IP 阻止列表提供程序服务，以确定是否存在与连接 IP 地址匹配的 IP 地址。

在连接筛选器代理与 IP 阻止列表提供程序联系以验证 IP 地址之前，先将 IP 地址与管理员定义的 IP 允许列表和 IP 阻止列表进行比较。如果管理员定义的 IP 允许列表或 IP 阻止列表中不存在该 IP 地址，则连接筛选器代理将根据为每个提供程序分配的优先级查询 IP 阻止列表提供程序服务。如果 IP 阻止列表提供程序的 IP 阻止列表中已列出了该 IP 地址，则边缘传输服务器将等待并分析 RCPT TO 邮件头，对发生 SMTP 550 错误的发送系统作出响应，然后断开连接。如果任何一个 IP 阻止列表提供程序的 IP 阻止列表中均未列出该 IP 地址，则由反垃圾邮件链中的下一个代理处理连接。有关默认反垃圾邮件和防病毒代理筛选来自 Internet 的入站邮件的顺序的详细信息，请参阅反垃圾邮件和防病毒功能。

在使用连接筛选器代理时，最佳作法是使用一个或多个 IP 阻止列表提供程序管理对组织的访问。使用管理员定义的阻止列表维护自己的 IP 阻止列表非常耗时，并且从大多数组织中的人力资源角度来看，这样做也是不可行的。因此，强烈建议使用外部 IP 阻止列表提供程序服务，其唯一用途就是维护 IP 阻止列表。

但是，使用 IP 阻止列表提供程序可能也存在一些缺点。因为连接筛选器代理必须为每个未知 IP 地址查询外部实体，所以，IP 阻止列表提供程序服务的中断或延迟可能会使边缘传输服务器上的邮件处理发生延迟。在极端情况下，此类中断或延迟可能会造成边缘传输服务器上的邮件流瓶颈。

使用外部 IP 阻止列表提供程序服务的另一个缺点是，有时会错误地将合法发件人添加到 IP 阻止列表提供程序的 IP 阻止列表中。此类配置错误的示例是，由于 SMTP 配置错误，无意中将 SMTP 服务器配置成开放中继，这样会造成将合法发件人添加到由 IP 阻止列表提供程序维护的 IP 阻止列表中。

IP 允许列表提供程序

也可以使用提供 IP 允许列表的 IP 允许列表提供程序服务管理入站邮件。在其他地方的软件行业中，有时将 IP 允许列表称为 IP 安全列表或“白”名单。IP 允许列表提供程序维护已确定不会与任何垃圾邮件活动关联的 IP 地址列表。如果 IP 允许列表提供程序返回了 IP 允许匹配项（这表明发件人的 IP 地址更有可能是可信的或“安全”的发件人），则连接筛选器代理会将邮件中继到反垃圾邮件链中的下一个代理。

有关如何配置 IP 允许列表提供程序的信息，请参阅配置连接筛选。

详细信息

有关如何使用 Exchange 管理控制台配置连接筛选的详细信息，请参阅下列主题：

• 配置连接筛选

• 如何启用连接筛选

• 如何向 IP 允许列表和 IP 阻止列表添加 IP 地址

• 如何配置 IP 允许列表提供程序和 IP 阻止列表提供程序

有关如何使用 Exchange 命令行管理程序配置连接筛选的详细信息，请参阅连接筛选器代理 Cmdlet。