发件人信誉
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上一次修改主题: 2006-09-18
发件人信誉是在安装了 Microsoft Exchange Server 2007 边缘传输服务器角色的计算机上启用的反垃圾邮件功能,用于根据发件人的多项特征阻止邮件。发件人信誉依靠有关发件人的永久性数据来确定对入站邮件执行的操作(如果有)在边缘传输服务器上配置反垃圾邮件代理时,代理将累积处理邮件,以减少传入组织的未经请求的邮件数。。
在边缘传输服务器上配置反垃圾邮件代理后,此代理对邮件执行的操作会逐步减少未经请求而进入组织的邮件数量。有关如何计划和部署反垃圾邮件代理的详细信息,请参阅反垃圾邮件和防病毒功能。
发件人信誉级别的计算
发件人信誉级别 (SRL) 是通过下列统计信息计算的:
HELO/EHLO 分析 HELO 和 EHLO SMTP 命令用于向接收 SMTP 服务器提供发送 SMTP 服务器的域名(如 Contoso.com)或 IP 地址。恶意用户(或“垃圾邮件制造者”)经常通过不同方式伪造 HELO/EHLO 语句。例如,键入与发起连接的 IP 地址不匹配的 IP 地址。垃圾邮件制造者还将已知在接收服务器本地支持的域放入 HELO 语句,尝试像域处于组织中一样显示。其他情况下,垃圾邮件制造者更改在 HELO 语句中传递的域。合法用户通常可能会在 HELO 语句中使用不同但是相对恒定的一组域。
因此,按发件人分析 HELO/EHLO 语句可能表明发件人很可能是垃圾邮件制造者。例如,在特定时段内提供许多不同的唯一 HELO/EHLO 语句的发件人更可能是垃圾邮件制造者。不断在 HELO 语句中提供与连接筛选器代理确定的起始 IP 地址不匹配的 IP 地址的发件人也更可能是垃圾邮件制造者,例如不断在 HELO 语句中提供与边缘传输服务器处于同一组织的本地域名的远程发件人。
反向 DNS 查找 发件人信誉还可以验证发件人传输邮件的原始 IP 地址是否与发件人在 HELO 或 EHLO SMTP 命令中提交的已注册域名匹配。
发件人信誉通过将原始 IP 地址提交给 DNS 来执行反向 DNS 查询。DNS 返回的结果是使用该 IP 地址的域命名机构注册的域名。发件人信誉将 DNS 返回的域名与发件人在 HELO/EHLO SMTP 命令中提交的域名进行比较。如果域名不匹配,则发件人很可能是垃圾邮件制造者,并向上调整发件人的总体 SRL 分级。
发件人 ID 代理执行类似的任务,但发件人 ID 代理的成功依靠合法发件人更新其 DNS 基础结构,以标识其组织中所有电子邮件发送 SMTP 服务器。通过执行反向 DNS 查找,可以帮助标识潜在的垃圾邮件制造者。
对来自特定发件人的邮件分析 SCL 分级 内容筛选器代理处理邮件时,将为邮件分配垃圾邮件信任级别 (SCL) 分级。SCL 分级是 0 到 9 之间的一个数字。SCL 分级越高,表明邮件越可能是垃圾邮件。有关每个发件人及其邮件生成的 SCL 分级的数据始终用于发件人信誉分析。发件人信誉根据过去来自该发件人的所有低 SCL 分级的邮件与过去来自该发件人的所有高 SCL 分级的邮件之间的比例来计算有关发件人的统计信息。此外,发件人在前一天已发送的高 SCL 分级邮件数应用于总体 SRL。
发件人开放代理测试 “开放代理”是一种代理服务器,接受任何人从任何位置发出的连接请求,并如发起于本地主机一样转发通信。代理服务器通过防火墙主机中继 TCP 通信,以便通过防火墙透明访问用户应用程序。由于代理协议是轻型协议,并且独立于用户应用程序协议,因此代理可供许多不同的服务使用。代理还可用于在多个主机之间共享一个 Internet 连接。通常,将代理设置为只有防火墙以内的受信任主机可以通过代理。
以下任一情况都可以作为开放代理存在的理由:
无意中配置错误
恶意特洛伊木马程序。“特洛伊木马”程序是伪装成另一个普通程序尝试接收信息的程序。
很多情况下,开放代理的日志记录都不够充分,这便为恶意用户提供了一种理想的方式,可以隐藏其真实身份并发起拒绝服务 (DoS) 攻击或发送垃圾邮件。随着越来越多的代理服务器配置为“默认情况下开放”,开放代理越来越常见。另外,恶意用户可将多个开放代理一起使用来隐藏发件人的原始 IP 地址。
发件人信誉执行开放代理测试时,通过在尝试从开放代理连接回边缘传输服务器时格式化 SMTP 请求来执行此测试。如果收到来自该代理的 SMTP 请求,则发件人信誉将验证该代理是否是开放代理,并更新该发件人的开放代理测试统计信息。
发件人信誉将评估每个统计信息并计算每个发件人的 SRL。SRL 是 0 到 9 之间的一个数字,预测特定发件人是垃圾邮件制造者或其他恶意用户的可能性。值 0 表示发件人不大可能是垃圾邮件制造者;值 9 表示发件人很可能是垃圾邮件制造者。
可以配置 0 到 9 之间的阻止阈值,在达到该阈值时,发件人信誉将向发件人筛选器代理发送请求,从而阻止发件人向组织发送邮件。阻止发件人时,该发件人将在可配置的期限内添加到阻止发件人列表中。如何处理被阻止的邮件取决于发件人筛选器代理的配置。下列操作是处理被阻止邮件的选项:
拒绝
删除并存档
接受并标记为被阻止发件人
如果发件人包含在 Microsoft 阻止列表或 IP 信誉服务中,则发件人信誉将立即向发件人筛选器代理发送请求,以阻止该发件人。若要利用此功能,必须启用并配置 Microsoft Exchange 反垃圾邮件更新服务。
默认情况下,边缘传输服务器对尚未分析的发件人设置分级 0。发件人已发送 20 封或更多的邮件之后,发件人信誉将计算基于本主题在前面列出的统计信息的 SRL。
SRL 的使用
发件人信誉在 SMTP 会话的下列两个阶段对邮件执行操作:
在执行 MAIL FROM:SMTP 命令时 仅在邮件被连接筛选器代理、发件人筛选器代理、收件人筛选器代理或发件人 ID 代理阻止,或这些代理对邮件执行了其他操作时,发件人信誉才对邮件执行操作。在这种情况下,发件人信誉从边缘传输数据库中有关该发件人的发件人配置文件中检索发件人当前的 SRL 分级。在检索并评估此分级之后,边缘传输服务器配置根据阻止阈值决定在特定连接上发生的行为。
执行“数据结尾”SMTP 命令之后 在发送所有实际邮件数据后,将提供“数据结尾”传输 (_EOD) SMTP 命令。在 SMTP 会话的此阶段,许多反垃圾邮件代理已处理该邮件。作为反垃圾邮件处理的副产品,发件人信誉所依赖的统计信息已更新。因此,发件人信誉具有为发件人计算或重新计算 SRL 分级的数据。
有关详细信息,请参阅配置发件人信誉。
详细信息
有关 Outlook 2007 中反垃圾邮件功能的详细信息,请参阅下列主题:
有关如何配置发件人信誉的详细信息,请参阅下列主题: