Exchange Server 2003 傳輸及郵件流程功能
上次修改主題的時間: 2006-05-02
Microsoft® Exchange Server 2003 引進數個新的特色及功能,來改進傳輸和郵件流程。這個主題說明下列各項:
- 連結狀態改進功能
本節說明改進後的連結狀態如何減少在 Exchange 組織內複寫的連結狀態資訊量,藉此降低對效能的負面影響。
- 跨樹系的驗證組態
因為 Exchange 2003 可防止詐騙或偽造電子郵件地址,所以您必須執行特定組態步驟來啟用跨樹系驗證。本節會顯示如何啟用跨樹系驗證。
- 網際網路郵件精靈
Exchange 2003 提供 [網際網路郵件精靈] 的新版本,來引導您完成在組織中設定網際網路郵件傳遞。本節說明如何使用精靈來設定網際網路郵件傳遞。
- 傳遞狀態通知 (DSN) 診斷記錄和代碼
現在,Exchange 2003 可提供傳遞狀態通知 (DSN) 的診斷記錄及實作一些新的 DSN 代碼。本節說明如何設定 DSN 診斷記錄,並說明 Exchange 2003 中可用的新 DSN 代碼。
- 移動 X.400 (MTA) 和 SMTP 佇列目錄的支援
在 Exchange 2003 中,您可以使用 [Exchange 系統管理員] 來變更您儲存 SMTP 和 X.400 佇列資料的位置。本節說明如何使用 [Exchange 系統管理員] 來移動佇列目錄。
- 連線篩選
Exchange 2003 依據封鎖清單支援連線篩選。本節說明連線篩選的運作方式,以及如何在 Exchange 伺服器上加以設定。
- 收件者篩選
Exchange 2003 也支援收件者篩選,因此,您可以篩選要寄給不在 Microsoft Active Directory® 目錄服務中使用者的電子郵件,或篩選要寄給定義明確之收件者的來路不明商業電子郵件。
- SP2 中的新功能:寄件者識別碼篩選
在 Exchange Server 2003 SP2 中,您可以使用寄件者識別碼篩選功能。寄件者識別碼是電子郵件的業界提議,可根據來路不明的商業電子郵件 (UCE) 和網路釣魚架構提供更大的保護。尤其是寄件者識別碼,其可協助避免網域詐騙。
- SP2 中的新功能:智慧型郵件篩選
在 Exchange Server 2003 SP2 中,當您安裝 Exchange Server 2003 SP2 時,便會安裝智慧型郵件篩選。
- 如何套用已啟用的篩選
本節說明在 SMTP 工作階段期間如何套用篩選和限制。
- 限制提交至 SMTP 虛擬伺服器的改進功能
本節說明如何依據 Exchange 2003 的安全性群組來限制提交。
- 限制在 SMTP 虛擬伺服器轉送的改進功能
本節說明如何依據 Exchange 2003 的安全性群組來限制轉送。
Exchange 2003 也提供下列其他功能,來加強傳輸和郵件流程:
- 有一種名為查詢式通訊群組的新型通訊群組,可讓您使用 LDAP 查詢,在通訊群組中動態建置成員資格。如需相關資訊,請參閱<Exchange Server 2003 中的管理功能>的<查詢式通訊群組>和<改進的郵件追蹤>。
- 您現在可以設定誰能傳送郵件給通訊群組清單的限制。如需相關資訊,請參閱<Exchange Server 2003 中的管理功能>中的<限制提交至使用者與通訊群組清單 (限制的通訊群組清單) 的改進能力>。
- 您現在可以在分類 (尋找使用者,並將通訊群組展開為個別收件者的階段) 之後,以及路由處理程序期間,追蹤郵件。您也可以使用 [Exchange 系統管理員] 來移動郵件追蹤記錄檔。如需相關資訊,請參閱<Exchange Server 2003 中的管理功能>中的<改進的郵件追蹤>。
- 佇列檢視器改進功能。會顯示更多佇列,讓您能輕鬆診斷郵件流程問題。如需相關資訊,請參閱<Exchange Server 2003 中的管理功能>中的<佇列檢視器的增強功能>。
- 利用信箱儲存區上的封存功能,您可以封存所有的收件者,包括 [密件副本] 行上的收件者在內。如需相關資訊,請參閱<Exchange Server 2003 中的管理功能>中的<在封存郵件中納入密件副本收件者>。
連結狀態改進功能
Exchange 會使用連結狀態路由,依據郵件連線的目前狀態和成本,來判斷在伺服器之間傳送郵件的最佳方法。如果郵件沒有替代路徑,或是連線狀態不穩定 (時好時壞的連線),Exchange 2003 便會改進連結狀態資訊的通訊方式。尤其,Exchange 2003 會試著判斷連接器狀態為不穩定或是沒有替代路徑,來減少連結狀態流量;如果有任一狀況存在,Exchange 就會隱藏連結狀態資訊。
改進的連結狀態可用性
在 Exchange 2003 中,即使連結沒有替代路徑,連結狀態還是會標示為啟動 (服務中)。如果沒有替代路徑,Exchange 便不會再將連結狀態變更為無法使用。相反地,Exchange 會直接將郵件放入佇列中等待傳遞,並在路由變為可用時,立即傳送。因為此變更會減少連結狀態資訊的傳播,所以可增強效能。
不穩定連線的連結狀態改進功能
連結狀態路由的另一項重要改進功能,在於 Exchange 2003 處理不穩定連線的方式。Exchange 2003 會檢視連結狀態佇列,如果在連接器的指定間隔內有多項衝突狀態變更,就會將該連接器視為不穩定連線,並將其連結狀態資訊維持啟動 (服務中)。最好將不穩定連接器保持啟動狀態,而不要繼續變更連結狀態。這樣可減少在伺服器之間複寫的連結狀態流量。
設定跨樹系的 SMTP 郵件協同作業
為了防止詐騙 (偽造身分識別),Exchange 2003 會先要求驗證,才會將寄件者名稱解析為它在全域通訊清單 (GAL) 中的顯示名稱。因此,在跨兩個樹系的組織中,不會對跨樹系傳送郵件的使用者進行驗證。此外,即使該使用者是目的樹系中的連絡人,也不會將使用者名稱解析為 GAL 中的顯示名稱。
若要在 Exchange 2003 中啟用跨樹系的郵件協同作業,需要額外的設定步驟,才能將組織外的連絡人解析成他們在 Active Directory 中的顯示名稱。有兩個選項可以啟用這些連絡人的解析︰
- 選項 1 (建議使用) 使用驗證,讓跨樹系傳送郵件之使用者接受驗證,並使其名稱解析為其在 GAL 中的顯示名稱。
- 選項 2 限制對用於跨樹系協同作業的 SMTP 虛擬伺服器存取,然後設定 Exchange 來解析匿名電子郵件。支援此項組態,但不建議您使用。依預設,在此組態下,郵件從一個樹系傳到另一個樹系後,其 Exch50 郵件屬性 (郵件的延伸屬性) 將不會予以保留。
若想瞭解設定跨樹系郵件協同作業的好處,請考量下列提交匿名郵件的案例,以及提交跨樹系已驗證郵件的案例。
案例:提交匿名郵件
如果匿名提交郵件,則不會解析電子郵件地址。因此,當嘗試詐騙 (偽造) 內部使用者身分的匿名使用者傳送郵件時,傳回的地址不會解析成它在全域通訊清單 (GAL) 中的顯示名稱。
範例:
Kim Akers 是 Northwind Traders 的合法內部使用者。她在 GAL 中的顯示名稱是 Kim Akers,而她的電子郵件地址是 kim@northwindtraders.com。
若要傳送郵件,Kim 必須經過驗證。由於她經過驗證,所以 Kim 郵件的指定收件者可看見寄件者是 Kim Akers。此外,Kim Akers 的屬性顯示與她的 GAL 項目相同。但是,如果 Ted Bremer 嘗試偽造 Kim 的地址,他在 [寄件者] 列上使用 kim@northwindtraders.com,然後將郵件傳到 Northwind Traders 的 Exchange 2003 伺服器,則由於 Ted 沒有經過驗證,所以這個電子郵件地址不會解析成 Kim 的顯示名稱。因此,在 Microsoft Office Outlook® 中顯示此封電子郵件時,寄件者地址會顯示為 kim@northwindtraders.com;而不會像自 Kim 傳來的已驗證郵件一樣,解析成 Kim Akers。
案例:跨樹系的郵件傳遞
假設有一家橫跨兩個樹系的公司:Adatum 樹系與 Fabrikam 樹系。這兩個樹系都是單網域樹系,分別使用 adatum.com 及 fabrikam.com 兩個網域。為了允許跨樹系的郵件協同作業,Adatum 樹系中的所有使用者在 Fabrikam 樹系的 Active Directory 中都會被當作連絡人。同樣地,Fabrikam 樹系中的所有使用者在 Adatum 樹系的 Active Directory 中也都會被當作連絡人。
如果 Adatum 樹系的使用者傳送郵件到 Fabrikam 樹系,而這封郵件是透過匿名連線提交,則儘管這位寄件者在 Active Directory 中及 Outlook GAL 中具有連絡人的身分,也不會解析他的位址。這是因為 Adatum 樹系中的使用者在 Fabrikam 樹系中並非驗證的使用者。
範例:
Kim Akers 是 Adatum 樹系中的郵件使用者 — 她的電子郵件地址是 kim@adatum.com,而她的 Outlook GAL 顯示名稱是 Kim Akers。Adam Barr 是 Fabrikam 樹系中的使用者 — 他的電子郵件地址是 adam@fabrikam.com,而他的 Outlook GAL 顯示名稱是 Adam Barr。Adam Barr 是 Fabrikam 樹系中的使用者 — 他的電子郵件地址是 abarr@fabrikam.com,而他的 Outlook GAL 顯示名稱是 Adam Barr。因為 Adam 是 Adatum 樹系中的連絡人,所以 Kim 可以看見 Adam 的電子郵件地址,並將之解析成 Outlook GAL 中 Adam Barr 的顯示名稱。當 Adam 收到 Kim 寄來的郵件時,不會解析 Kim 的地址;Adam 所看見的 Kim 顯示名稱與 GAL 中的顯示名稱不同,此處他所看到的是未解析電子郵件地址 kim@adatum.com。因為 Kim 是以匿名使用者為身分傳送郵件,所以不會解析她的電子郵件。雖然在傳送郵件時驗證過 Kim,但是兩個樹系之間的連線卻沒有經過驗證。
為了確定某個樹系中的寄件者可以傳送郵件給其他樹系中的收件者,並確定他們的電子郵件地址都能解析成其在 GAL 中的顯示名稱,您應該啟用跨樹系的郵件協同作業。下列幾節將說明在兩個樹系間設定郵件協同作業的兩個可用選項。
啟用跨樹系驗證
若要啟用跨樹系的 SMTP 驗證,您必須在每一個樹系中建立連接器,且該樹系使用來自另一個樹系的已驗證帳戶。如此一來,由已驗證的使用者在兩個樹系間傳送的任何郵件都會解析成 GAL 中的適當顯示名稱。本節說明如何啟用跨樹系驗證。
請依 Adatum 樹系及 Fabrikam 樹系的範例 (請參考本主題稍早的<跨樹系的郵件傳遞>案例),遵循下列步驟來設定跨樹系的驗證︰
- 在具有「傳送為」權限的 Fabrikam 樹系中,建立一個帳戶。(Adatum 樹系中的所有使用者,在 Fabrikam 樹系中也會以連絡人的身分存在;因此,這個帳戶允許 Adatum 使用者傳送已驗證的郵件。)在將會接受 Adatum 寄來之郵件的所有 Exchange 伺服器上設定這些權限。
- 在 Adatum 樹系中的 Exchange 伺服器上,建立一個連接器,該連接器需要使用這個帳戶進行驗證,才能傳送輸出郵件。
同樣地,若要建立從 Fabrikam 樹系到 Adatum 樹系的跨樹系驗證,請重複這些步驟,在 Adatum 中建立帳戶,並在 Fabrikam 中建立連接器。如需詳細的指示,請參閱《Exchange Server 2003 部署手冊》中的<如何啟用跨樹系 SMTP 驗證>。
解析匿名郵件以啟用跨樹系協同作業
另一個可以用來設定 Exchange,以將組織外的連絡人解析成他們在 Active Directory 中顯示名稱的方法是設定 Exchange 來解析匿名電子郵件。假設您的公司橫跨 Adatum 和 Fabrikam 兩個樹系。
.gif "important") 重要事項: |
|---|
| 設定 Exchange 伺服器來解析匿名郵件的提交,會使得不懷好意的使用者提交含有偽造回覆地址的郵件。收件者無法區別真實郵件與詐騙郵件。為了使這個可能性降到最低,請務必限制只有您的 Exchange 伺服器 IP 位址才能存取 SMTP 虛擬伺服器。 |
請遵循下列步驟,以便將 Adatum 使用者的連絡人解析成他們在 Fabrikam 樹系中的顯示名稱︰
- 在 Adatum 樹系中建立一個連線到 Fabrikam 樹系的連接器。
- 在 Fabrikam 樹系中的接收 Bridgehead 伺服器上,依 IP 位址限制對 SMTP 虛擬伺服器的存取。如此一來,您便可以確定只有來自 Adatum 樹系的伺服器才能傳送郵件給這部伺服器。
- 在主控連接器的 SMTP 虛擬伺服器上,啟用 [解析匿名的電子郵件] 設定。
- 變更登錄機碼,以確定延伸的郵件屬性 (Exch50 屬性) 在跨樹系後能繼續保留下來。否則,您會遺失重要的郵件資訊。
在完成這些步驟之後,從 Adatum 樹系傳送郵件到 Fabrikam 樹系的所有使用者,都能解析成他們在 Fabrikam GAL 中的顯示名稱。接下來,您需要針對 Fabrikam 樹系重複步驟 1 到 3。
下列程序示範如何︰
- 在 Adatum 樹系中設定一個傳到 Fabrikam 的連接器。
- 設定 Fabrikam 樹系中的接收 Bridgehead 伺服器之存取限制
- 在接收 Bridgehead 伺服器的 SMTP 虛擬伺服器上啟用匿名電子郵件解析功能,以便在 Fabrikam 樹系中解析 Adatum 連絡人。
在實際執行環境中,您會重複這個處理程序,以便在 Adatum 樹系中設定 Fabrikam 連絡人的解析功能。
步驟 1:在連線樹系中建立連接器
首先,您必須在連線樹系中建立連接器。如需詳細指示,請參閱<如何在連線樹系中建立連接器>。
如需如何建立用於跨樹系驗證的帳戶的詳細指示,請參閱《Exchanger Server 2003 傳輸與路由指南》中的<如何建立用於跨樹系驗證的帳戶>。
Exchange 現在將透過此連接器路由傳送指定至 fabrikam.com 的所有郵件 (Fabrikam 樹系)。
步驟 2:在接收 Bridgehead 伺服器上限制 IP 位址
在 Adatum 樹系 (連線樹系) 中建立連接器之後,您必須限制接收 Bridgehead 伺服器的存取權。藉由只允許 Adatum 樹系中連線伺服器的 IP 位址,將郵件傳送給 Fabrikam 樹系中的接收 Bridgehead 伺服器,便可以做到這樣的處理。
如需詳細指示,請參閱《Exchange Server 2003 傳輸及路由手冊》中的<如何在接收 Bridgehead 伺服器上根據 IP 位址來限制存取>。
步驟 3:解析 SMTP 虛擬伺服器上的匿名電子郵件
在您限制接收 Bridgehead 伺服器的存取權之後,您必須設定 Bridgehead 上的 SMTP 虛擬伺服器以解析匿名的電子郵件地址。
如需詳細指示,請參閱《Exchange Server 2003 傳輸及路由手冊》中的<如何設定 SMTP 虛擬伺服器以解析匿名的電子郵件地址>。
步驟 4:啟用登錄機碼以跨樹系保留郵件屬性
如同先前所解釋,當匿名跨樹系傳送郵件時,並不會傳輸郵件上延伸的郵件屬性。對於執行跨樹系案例的單一公司而言,因為該郵件的相關資訊可能會遺失,所以必須傳輸這些郵件屬性。例如,SCL 屬性是一種延伸的 Exchange 屬性,含有協力廠商解決方案所產生的垃圾郵件的分級。匿名傳送郵件時,並不會傳輸這個屬性。因此,如果在 Adatum 樹系內部署了協力廠商之反垃圾郵件的解決方案,而此樹系中所接收的某郵件預定要送往 Fabrikam 樹系內的某位收件者時,協力廠商解決方案便會在郵件上加上 SCL 屬性的戳記;不過,待郵件傳遞到 Fabrikam 樹系後,包含垃圾郵件分級的延伸屬性並不會被保留。
若要確定在您匿名傳送郵件時,延伸的郵件屬性能夠跨樹系傳輸,您必須啟用接收 Bridgehead 伺服器上的登錄機碼。
若要將 Exchange 設定為接受延伸的郵件屬性,您可以在接收 Bridgehead 伺服器上,或是在位於 Bridgehead 的 SMTP 虛擬伺服器啟用登錄機碼。在 Exchange 伺服器上啟用登錄機碼,可以將 Exchange 伺服器上的所有 SMTP 虛擬伺服器設定為接受延伸屬性。
設定 Exchange Server 以使其接受匿名連線上的延伸郵件屬性
使用下列程序來設定 Exchange 伺服器,使其接受匿名連線上的延伸屬性。如果您的 Exchange 伺服器功能只是作為 Bridgehead 伺服器來供跨樹系通訊使用,則可能要在伺服器層級設定這個設定值。如果您在此 Exchange 伺服器上還有其他 SMTP 虛擬伺服器,請考慮只有在 SMTP 虛擬伺服器上設定此登錄機碼。
.gif "note") 附註: |
|---|
| 如果您在 Exchange 伺服器上啟用登錄機碼,該設定會套用到 Exchange 伺服器上的所有 SMTP 伺服器。如果您要以這個設定來設定單一 SMTP 虛擬伺服器,請在 SMTP 虛擬伺服器上啟用登錄機碼。 |
.gif "Caution") 注意: |
|---|
| 編輯登錄錯誤可能會導致嚴重的問題,使得您必須重新安裝作業系統。因編輯登錄錯誤所造成的問題可能無法解決。因此請在編輯登錄之前,備份所有重要的資料。 |
如需詳細指示,請參閱《Exchange Server 2003 傳輸及路由手冊》中的<如何啟用 Exchange 伺服器以使其接受匿名傳送的郵件延伸屬性>。
設定 SMTP 虛擬伺服器以使其接受匿名傳送的延伸郵件屬性
使用下列程序來設定 Exchange 伺服器上的 SMTP 伺服器,使其接受延伸屬性。
如需詳細指示,請參閱《Exchange Server 2003 傳輸及路由手冊》中的<如何啟用 SMTP 虛擬伺服器以使其接受匿名傳送的郵件延伸屬性>。
網際網路郵件精靈
在 Exchange Server 5.5 版中,[網際網路郵件精靈] 會引導系統管理員完成網際網路郵件的設定程序。Exchange 2003 會實作一個版本的 [網際網路郵件精靈],協助您設定網際網路郵件與 Exchange 2000 Server 或 Exchange Server 2003 的連線。[網際網路郵件精靈] 的主要對象是中小型企業,其環境不像大型企業那麼複雜。
精靈會引導您完成設定 Exchange 伺服器,以傳送及接收網際網路郵件。它會為外寄的網際網路郵件建立必要的 SMTP 連接器,並將您的 SMTP 虛擬伺服器設定為接受傳入的郵件。如果您已在 Exchange 伺服器上設定 SMTP 連接器或建立其他的 SMTP 虛擬伺服器,除非您將伺服器組態回復成預設狀態,否則無法執行 [網際網路郵件精靈]。
| 附註: |
|---|
| [網際網路郵件精靈] 只能針對 Exchange 2000 Server 或更新版本設定網際網路郵件。如果您執行的是舊版 Exchange,這些伺服器仍然可以在網際網路上傳送郵件或接收郵件,但您不能使用 [網際網路郵件精靈] 設定它們來處理網際網路郵件。 |
執行 [網際網路郵件精靈] 時,它會為所進行的組態變更建立一個記錄檔 (Exchange Internet Mail Wizard.log),其中包括這些變更是否成功。精靈會將此記錄檔儲存到執行此精靈之使用者的 My Documents 資料夾。
下列幾節將說明如何使用 [網際網路郵件精靈] 來執行下列動作:
- 設定 Exchange 伺服器以傳送網際網路郵件
- 設定 Exchange 伺服器以接收網際網路郵件
- 設定 Exchange 伺服器以傳送和接收網際網路郵件
- 為網際網路郵件設定雙重主機 Exchange 伺服器
設定 Exchange 伺服器以傳送網際網路郵件
當您設定 Exchange 伺服器以傳送網際網路郵件時,[網際網路郵件精靈] 會將已選取的伺服器設定為輸出 Bridgehead 伺服器。它會在此伺服器上建立一個連接器,將郵件傳送至您指定的網際網路地址。
如需詳細指示,請參閱<如何執行網際網路郵件精靈,並設定伺服器傳送網際網路郵件>。
設定 Exchange 伺服器以接收網際網路郵件
執行 [網際網路郵件精靈] 之後,Exchange 伺服器將會接受您指定的 SMTP 網域的所有網際網路郵件。
如需詳細指示,請參閱<如何執行網際網路郵件精靈,並設定伺服器接收網際網路郵件>。
設定 Exchange 伺服器以傳送和接收網際網路郵件
執行 [網際網路郵件精靈] 之後,Exchange 伺服器將根據您指定的組態來傳送和接收所有網際網路郵件。
如需詳細指示,請參閱<如何執行網際網路郵件精靈,並設定伺服器傳送與接收網際網路郵件>。
為網際網路郵件設定雙重主機 Exchange 伺服器
執行 [網際網路郵件精靈] 之後,Exchange 伺服器將根據您指定的組態來傳送和接收所有網際網路郵件。
如需詳細指示,請參閱<如何在雙重主機的伺服器上執行網際網路郵件精靈>。
DSN 診斷記錄和 DSN 代碼
在 Exchange 2003 中,針對傳遞狀態通知 (DSN) 提供了下列的改進功能。
- 有新的 DSN 記錄類別可供使用。
- 加入新的 DSN 代碼以協助疑難排解郵件流程問題。
設定 DSN 診斷記錄
您現在可以設定 DSN 的診斷記錄,即所謂的未傳遞回報 (NDR)。
如需詳細指示,請參閱<如何設定 DSN 的診斷記錄>。
Exchange Server 2003 中可用的 DSN 代碼
下表列出 Exchange 2003 中實作以進行傳輸和路由的 DSN 郵件。
Exchange 2003 中可用的最新傳遞狀態通知
| DSN 代碼 | 原因 | 解決方案 |
|---|---|---|
4.2.2 |
在 Exchange 2000 中,當收件者信箱超出其儲存限制時,就會產生此傳遞狀態通知。 在 Windows® 2000 和 Microsoft Windows Server™ 2003 中,當 drop 目錄 (可放置待傳遞之郵件的目錄) 的儲存區大小超出 SMTP 虛擬伺服器的磁碟配額時,便會產生此郵件。SMTP 虛擬伺服器的磁碟配額是虛擬伺服器上郵件大小上限的 11 倍。若未指定大小上限,磁碟配額將預設為 22 MB。如果磁碟空間是在配額的某一個郵件大小上限之內,或是磁碟空間已達到 2 MB 且未定義郵件上限,則 Exchange 會假設內送郵件將超出磁碟配額,然後發出 DSN。 |
檢查信箱儲存區和佇列儲存區配額限制。 |
4.4.9 |
這表示有暫時路由錯誤或不正確的路由組態。可能原因:
|
路由偵測到這些情況,且 Exchange 傳回了 DSN。
|
5.3.0 |
Exchange 2003 可以在沒有郵件傳輸代理程式 (MTA) 的情況下操作。如果將郵件誤傳到 MTA,則 Exchange 會將此 DSN 傳回寄件者。唯有當您已停用 MTA 服務,並使用特定登錄設定來停用 MTA/儲存區驅動程式時,才會強制執行此狀況。預設組態是將誤送的郵件存放在 MTA 佇列中。 |
檢查路由拓撲。使用 Winroute 工具,確保已正確複寫伺服器和路由群組之間的路由。 |
5.7.1 |
一般存取遭到拒絕,寄件者存取遭到拒絕,即郵件的寄件者沒有完成傳遞的必要權限。 可能原因:
|
檢查連絡人的系統權限和屬性,並重新傳送郵件。此外,對於其他可能的已知問題,請確定您執行的是 Exchange 2000 Service Pack 1 或更新版本。在 Exchange 2003 中,檢查通訊群組清單的權限,查看它是否為限制的通訊群組清單。 |
移動 X.400 (MTA) 和 SMTP 佇列目錄位置
Exchange 2003 可讓您變更 SMTP 虛擬伺服器和 X.400 通訊協定的佇列目錄位置。
如需詳細指示,請參閱<如何移動 X.400 (MTA) 佇列資料>及<如何移動 SMTP 佇列資料。
連線篩選
Exchange Server 2003 會根據封鎖清單支援連線篩選。連線篩選會利用外部服務,列出來路不明電子郵件來源的已知來源、撥號使用者帳戶,以及伺服器開放轉送 (根據 IP 位址)。連線篩選讓協力廠商內容篩選產品更能發揮如虎添翼的增強效能。此功能可讓您針對要篩選的類別,根據封鎖清單提供者的清單來檢查傳入的 IP 位址。如果在封鎖清單提供者清單上找到相符項目,則 SMTP 會發出 "550 5.x.x" 錯誤來回應 RCPT TO 命令,並向寄件者發出自訂的錯誤回應。(RCPT TO 命令是連線伺服器所發出的 SMTP 命令,用來識別指定的郵件收件者。)此外,您還可以使用數個連線篩選,並排定套用每個篩選的優先順序。
利用連線篩選,您可以執行下列各項:
- 設定連線篩選規則,針對下列各項利用封鎖清單服務提供者來進行檢查:
- 來路不明商業電子郵件之已知寄件者的 IP 位址
- 設定為開放轉送的伺服器
- 撥號使用者帳戶清單
- 設定全域接受清單與全域拒絕清單。全域接受清單是您一律會接受來自該位址之郵件的 IP 位址清單。全域拒絕清單是您一律會拒絕來自該位址之郵件的 IP 位址清單。不管您是否使用了封鎖清單服務提供者,都可以使用全域接受清單和全域拒絕清單。
- 將收件者地址設定為所有連線篩選規則的例外狀況。您可以將收件者地址設定為所有連線篩選規則的例外狀況。當郵件傳送到此地址時,該郵件自動會被接受,即使寄件者出現在封鎖清單上也一樣。
連線篩選規則如何運作
當您建立連線篩選規則時,SMTP 會使用此規則,對協力廠商封鎖清單服務所提供的清單執行 DNS 查閱。連線篩選會根據協力廠商封鎖清單來比對每個傳入的 IP 位址。封鎖清單提供者會發出下列其中一個回應:
- 找不到主機 表示此 IP 位址不在其封鎖清單上。
- 127.0.0.x 為回應狀態碼,表示在違規者清單中找到 IP 位址的相符者。x 值會視封鎖清單提供者的不同而有所變化。
如果在封鎖清單上找到傳入的 IP 位址,則 SMTP 會傳回 5.x.x 錯誤,來回應 RCPT TO 命令 (RCPT TO 命令是連線的伺服器所發出的 SMTP 命令,用來識別指定的郵件收件者)。
您可以自訂要傳回給寄件者的回應。此外,由於封鎖清單提供者通常會包含不同的違規者類別,所以,您可以指定要拒絕的相符項目。大部份的封鎖清單提供者都會檢測三種類型的違規項目:
- 來路不明的商業電子郵件的來源。在掃描來路不明的商業電子郵件,以及將來源地址新增至清單時,即會產生這些清單。
- 已知的開放轉送伺服器。透過在網際網路上識別開放轉送 SMTP 伺服器,即可計算出這些清單。使用開放轉送伺服器的最常見原因是系統管理員的組態錯誤。
- 撥接使用者清單。建立這些清單的方式有兩種:從現有的網際網路服務提供者 (ISP) 清單 (包含具備撥接存取權的 IP 位址) 建立,或是從指出可能撥接連線的地址審查中建立。
如何比對封鎖清單提供者與違規的 IP 位址
設定連線篩選後,只要有電子郵件傳送至您的組織,Exchange 都會連絡封鎖清單提供者。該提供者會檢查 A (主機) 記錄是否存在於它的 DNS 中。Exchange 會查詢此特定格式的資訊。例如,如果連線地址是 192.168.5.1,且封鎖清單提供者的組織為 contoso.org,則 Exchange 將查詢下列記錄是否存在:
<reverse IP address of the connecting server>.<dns name for the block list organization> IN A 127. 0.0.x
在此情況下,是:
1.5.168.192..contoso.org
如果在提供者清單上找到此 IP 位址,則提供者會傳回 127.0.0.x 狀態碼,以指出違規的 IP 位址和違規類型。所有封鎖清單提供者都會傳回 127.0.0.x 的回應碼,其中 x 會指出違規類型。此數字會根據封鎖清單提供者而有所不同。
瞭解封鎖清單提供者回應碼
如前所述,如果封鎖清單提供者找到相符者,提供者都會傳回狀態碼 127.0.0.x。狀態碼可以是明確傳回碼或位元遮罩,為多功能傳回碼。如果封鎖清單提供者會傳回一個值,則您可以指定要篩選的值。不過,如果封鎖清單提供者會傳回位元遮罩,則您必須瞭解位元遮罩的運作方式,才能指定所要篩選的相符項目。
位元遮罩是用來驗證為某項目所設定之特定位元的方法。位元遮罩與傳統遮罩不同,它會檢查特定位元值,與檢查某範圍值的子網路遮罩相反。請考量以下範例。
對於其封鎖清單中的每個相符項目,均假設封鎖清單提供者會傳回下表中所列的狀態碼。
封鎖清單狀態碼範例
| 類別 | 傳回的狀態碼 |
|---|---|
來路不明電子郵件的已知來源 |
127.0.0.3 |
撥號使用者帳戶 |
127.0.0.2 |
已知的轉送伺服器 |
127.0.0.4 |
不過,如果 IP 位址是兩個清單的成員,則封鎖清單提供者會新增最後一個八位元資料組的值。因此,如果 IP 位址是在已知轉送伺服器和來路不明電子郵件之已知來源的清單上,封鎖清單提供者會傳回狀態碼 127.0.7,其中 7 為最後一個八位元資料組的組合值,而該資料組是針對來路不明商業電子郵件之已知來源和已知轉送伺服器所傳回的值。
如果只想根據來路不明商業電子郵件的已知來源進行篩選,請輸入位元遮罩值 0.0.0.3;封鎖清單就會根據任何可能的值來進行篩選,在此情況下為 127.0.0.3、127.0.0.5、127.0.0.7 和 127.0.0.9。
下表列出與每一個範例狀態碼相關聯的位元遮罩值。
封鎖清單狀態碼和相對應的位元遮罩的範例
| 類別 | 傳回的狀態碼 | 位元遮罩 |
|---|---|---|
來路不明電子郵件的已知來源 |
127.0.0.3 |
0.0.0.3 |
撥號使用者帳戶 |
127.0.0.2 |
0.0.0.2 |
已知的轉送伺服器 |
127.0.0.4 |
0.0.0.4 |
已知的轉送伺服器及撥號使用者帳戶 |
127.0.0.6 |
0.0.0.6 |
如為 [已知的轉送伺服器及撥號使用者帳戶] 類別,唯有當 IP 位址同時出現在已知轉送伺服器清單和撥號使用者帳戶清單上時,位元遮罩 0.0.0.6 才會傳回 IP 位址的相符項目。如果 IP 位址只出現其中一份清單中,則不會傳回相符項目。您無法使用位元遮罩來檢查多份清單中的單一相符項目。
| 附註: |
|---|
| 位元遮罩只會檢查單一值。如果您設定了當某 IP 位址出現在兩份清單上時就會傳回的位元遮罩值,則此遮罩只會符合在兩份清單上同時出現的 IP 位址。如果您想要檢查其中一份清單上的 IP 位址,請輸入這些設定的狀態碼。 |
指定連線篩選規則的例外狀況
您可允許特定收件者的郵件傳遞 (不論他們是否出現在封鎖清單上)。如果您想讓合法組織透過連絡主要郵寄帳號,與您的系統管理員進行通訊,則此功能非常有用。例如,如果某合法公司不慎將伺服器設定為允許開放轉送,則從此公司寄出給您的使用者的電子郵件將遭到封鎖。不過,如果您將連線篩選設定為將郵件傳遞到組織中的主要郵寄帳號,則被封鎖之公司的系統管理員會將郵件傳送到您的主要郵寄帳號,以溝通其遭遇的狀況,或是詢問其郵件為何會遭到拒絕。
啟用連線篩選
若要啟用連線篩選,請執行下列步驟:
- 使用 [郵件傳遞內容] 對話方塊上的 [連線篩選] 索引標籤,來建立連線篩選。
- 在 SMTP 虛擬伺服器層級套用篩選。
- SP2 中的新功能:指定內部網路中,您要從連線篩選排除的伺服器。
下列幾節將詳細說明這些步驟。
步驟 1:設定連線篩選
若要設定連線篩選,請執行下列工作:
- 建立全域接受清單與全域拒絕清單
- 建立連線篩選規則
- 建立連線篩選規則的例外狀況。
建立全域接受清單與全域拒絕清單
連線篩選可讓您建立全域接受清單與全域拒絕清單。您可以使用這些清單,接受或拒絕來自特定 IP 位址的郵件,而不論您是否使用了封鎖清單服務提供者。會自動接受出現在全域接受清單上的任何 IP 位址,並略過任何連線篩選規則。同樣地,也會自動拒絕全域拒絕清單上所出現的所有 IP 位址。
全域接受清單中項目的優先順序會高於全域拒絕清單中的項目。Exchange 在檢查全域拒絕清單之前會先檢查全域接受清單;因此,如果您想要拒絕特定子網路和遮罩的連線,但要接受此範圍內單一 IP 位址的連線,您應該:
- 在全域接受清單上,輸入您要接受連線的 IP 位址。
- 在全域拒絕清單上,輸入您要拒絕連線的 IP 位址範圍的子網路和遮罩。
當您要已新增至全域接受清單的連線 IP 位址嘗試連接到 Exchange 伺服器時,Exchange 會先檢查全域接受清單。因為 Exchange 會找到此 IP 位址的相符項目,所以會接受此連線,且 Exchange 不會執行其他的連線篩選檢查。
如需詳細指示,請參閱《Exchange Server 2003 傳輸及路由手冊》中的<如何建立全域接受清單>和<如何建立全域拒絕清單>。
建立連線篩選規則
如需建立連線篩選規則的詳細指示,請參閱《Exchange Server 2003 傳輸及路由手冊》中的<如何建立連線篩選>。
您可以建立連線篩選規則的例外狀況。特別是,您可以允許郵件傳遞給特定的收件者 (例如,傳給郵件管理員),而不必在乎連線的 IP 位址是否在封鎖清單上。
如需詳細的指示,請參閱《Exchange Server 2003 傳輸及路由手冊》中的<如何指定連線規則的例外狀況>。
步驟 2:將連線篩選套用至適當的 SMTP 虛擬伺服器
建立連線篩選之後,您必須將它套用到適當的 SMTP 虛擬伺服器。通常,您會將連線篩選套用至 SMTP 虛擬伺服器,而這些虛擬伺服器存在於接受輸入網際網路電子郵件的閘道伺服器上。請使用下列程序,將連線篩選套用至 SMTP 虛擬伺服器。
如需詳細的指示,請參閱《Exchange Server 2003 傳輸及路由手冊》中的<如何將連線篩選套用至 SMTP 虛擬伺服器>。
SP2 中的新功能:步驟 3:指定要從連線篩選排除的伺服器
在 Exchange Server 2003 SP2 中,您可以在網路周邊設備後方啟用連線篩選。若要執行此作業,請在 [郵件傳遞內容] 對話方塊的 [一般] 索引標籤上,指定內部網路中您要從 IP 位址驗證中排除的伺服器 IP 位址。
您可以指定個別的 IP 位址或 IP 位址群組。您必須包括組織中處理傳入之 SMTP 郵件的所有伺服器。您也必須包括所有將郵件路由到寄件者識別碼和連線篩選部署伺服器的伺服器。如果周邊有任何處理 SMTP 郵件的伺服器,則您應包括這些伺服器的所有周邊 IP 位址。
如果在此清單中發現寄件者識別碼或連線篩選部署伺服器所接收之電子郵件上的 IP 位址,Exchange Server 會略過該 IP 位址,而不對它執行寄件者識別碼和連線篩選驗證。您最多可以在清單中新增 196 個 IP 位址。
如需如何在內部網路指定伺服器的相關資訊,請參閱 Exchange Server 2003 SP2 線上說明中的<指定連線篩選的 IP 位址組態資料>。
輸入收件者篩選
利用收件者篩選,您可以封鎖要寄給所有無效收件者的郵件。您也可以封鎖要寄給收件者篩選清單中指定之所有收件者的郵件,而不論他們是否為有效的收件者。
收件者篩選是利用篩選每位指定收件者的輸入郵件 (依據 Active Directory 查閱),來封鎖要寄給無效收件者的郵件。您可以根據下列準則來篩選郵件:
- 如果收件者不在 Active Directory 中
- 如果寄件者沒有適當權限。
符合上述準則的傳入郵件會遭到拒絕,且 SMTP 虛擬伺服器在 SMTP 工作階段期間會傳回 550 5.x.x 錯誤。
| 附註: |
|---|
| Exchange 僅會執行 Active Directory 查閱,並封鎖無效收件者的傳入郵件,該郵件是要寄往已獲授權的網域。此設定是在收件者原則中設定的。 |
您也可以將收件者篩選設定為篩選傳送到您組織內指定之電子郵件地址 (無論是否有效) 的郵件。如果郵件會傳送給任何指定的收件者,則 Exchange 會在 SMTP 工作階段期間傳回 5.x.x 層級的錯誤。
Exchange 預設會接受寄給任何收件者 (無論是否有效) 的郵件,再針對所有的無效收件者傳送未傳遞回報 (NDR)。此外,由於來路不明的郵件通常是從無效地址所傳出,所以,Exchange 會嘗試將 NDR 重新傳遞給不存在的寄件者,因而消耗更多資源。如果您啟用收件者篩選,Exchange 就不需消耗如此多的資源,因為已篩選無效收件者。不過,啟用收件者篩選來解析 Active Directory 中的收件者可能會讓惡意的寄件者解析有效的電子郵件地址,這是因為 SMTP 工作階段會針對有效和無效的收件者發出不同的回應。
| 附註: |
|---|
| 收件者篩選規則只會套用到匿名的連線。已驗證的使用者與 Exchange 伺服器可略過這些驗證。 |
啟用收件者篩選
若要啟用收件者篩選,請執行下列步驟:
- 使用 [郵件傳遞內容] 對話方塊上的 [收件者篩選] 索引標籤,來建立收件者篩選。
- 在 SMTP 虛擬伺服器層級套用篩選。
下列幾節將詳細說明這些步驟。
步驟 1:建立收件者篩選
首先,您必須建立收件者篩選。如需詳細的指示,請參閱《Exchange Server 2003 傳輸及路由手冊》中的<如何建立收件者篩選>。
步驟 2:將收件者篩選套用至適當的 SMTP 虛擬伺服器
建立收件者篩選之後,您必須將它套用到適當的 SMTP 虛擬伺服器。通常,您會將收件者篩選套用至 SMTP 虛擬伺服器,而這些虛擬伺服器存在於接受輸入網際網路電子郵件的閘道伺服器上。請使用下列程序,將收件者篩選套用至 SMTP 虛擬伺服器。
如需詳細的指示,請參閱《Exchange Server 2003 傳輸及路由手冊》中的<如何將收件者篩選套用至 SMTP 虛擬伺服器>。
SP2 中的新功能:寄件者識別碼篩選
在 Exchange Server 2003 SP2,您可以使用寄件者識別碼篩選。寄件者識別碼是電子郵件的業界提議,可根據來路不明的商業電子郵件 (UCE) 和網路釣魚架構提供更大的保護。尤其,寄件者識別碼架構為一個通訊協定,是建立來幫助減少電子郵件網域詐騙,並針對網路釣魚架構驗證電子郵件寄件者,提供更多的保護。如需寄件者識別碼的相關資訊,請參閱寄件者識別碼網站(英文)。
設定寄件者識別碼
下列概觀會討論您在 Exchange Server 2003 SP2 中設定寄件者識別碼篩選時必須遵循的三個步驟。
- 在 [郵件傳遞內容] 對話方塊的 [寄件者識別碼篩選] 索引標籤上選取下列其中一個選項,來指定伺服器應該如何處理寄件者識別碼驗證失敗的郵件。
- 如果您想要寄件者識別碼篩選在郵件中加上驗證結果的戳記,並藉由進一步處理反垃圾郵件 (例如智慧型郵件篩選) 加以處理,請選取 [接受 (寄件者識別碼狀態將附加至郵件,以進一步進行反垃圾郵件處理)]。此為預設選項。
- 如果您想要寄件者識別碼篩選在接受郵件之後將郵件刪除,且不傳送未傳遞回報 (NDR) 給使用者,請選取 [刪除 (會先接受郵件,再將之刪除; 不會將任何 NDR 傳回給寄件者)]。
- 如果您想要寄件者識別碼篩選拒絕 SMTP 通訊協定層級上的郵件,並對使用者發出 NDR 郵件,請選取 [拒絕 (不接受郵件; 寄件方會負責產生 NDR)]。特別是,傳送的伺服器需負責產生 NDR。
- 在 [郵件傳遞內容] 對話方塊的 [一般] 索引標籤上,指定內部網路中您要從 IP 位址驗證排除的伺服器 IP 位址。您可以指定個別的 IP 位址或 IP 位址群組。您必須包括 Exchange 組織中處理傳入之 SMTP 郵件的所有伺服器。您也必須包括所有將郵件路由到寄件者識別碼和連線篩選部署伺服器的伺服器。如果周邊有任何處理 SMTP 郵件的伺服器,則您應包括這些伺服器的所有周邊 IP 位址。如果在此清單中找到寄件者識別碼或連線篩選部署伺服器所接收之電子郵件上的 IP 位址,Exchange Server 會略過該 IP 位址,而不對它執行寄件者識別碼和連線篩選驗證。您最多可以在清單中新增 196 個 IP 位址。
- 在 SMTP 虛擬伺服器上啟用寄件者識別碼。在設定寄件者識別碼篩選選項之後,您必須在 Exchange 組織的 SMTP 虛擬伺服器上啟用寄件者識別碼篩選。
如需如何執行這些作業的相關資訊,請參閱 Exchange Server 2003 SP2 線上說明中的<設定寄件者識別碼篩選>。
SP2 中的新功能:智慧型郵件篩選
在 Exchange Server 2003 SP2 中,當您安裝 Exchange Server 2003 SP2 時,就會安裝智慧型郵件篩選,且可隨時使用。
| 附註: |
|---|
| 如果 Exchange Server 2003 安裝程式偵測到您正在執行智慧型郵件篩選器,則在安裝 Exchange Server 2003 SP2 之前,會提示您先將其解除安裝。 |
智慧型郵件篩選可讓您在閘道 SMTP 虛擬伺服器上封鎖來路不明的商業電子郵件 (UCE) (即垃圾郵件)。閘道 SMTP 虛擬伺服器是接受傳入網際網路電子郵件的 SMTP 虛擬伺服器。
如需智慧型郵件篩選的相關資訊,請參閱智慧型郵件篩選碼網站 (英文)。
設定智慧型郵件篩選
下列概觀會討論您在 Exchange Server 2003 SP2 中設定寄件者識別碼篩選時必須遵循的三個步驟。
- 使用 [郵件傳遞內容] 對話方塊的 [智慧型郵件篩選] 索引標籤上的選項,來建立智慧型郵件篩選器。您可以設定兩個閾值,以決定智慧型郵件篩選器要如何處理不同 SCL 分級的電子郵件。這兩個閾值,一個為會對超過閾值的郵件執行相關動作的閘道閾值,另一個則是信箱儲存區閾值。
- 若郵件的 SCL 分級高於閘道閾值,智慧型郵件篩選器就會執行指定的動作。這些選項包括 [封存]、[刪除]、[不執行任何動作] 和 [拒絕]。
- 若郵件的 SCL 分級低於閘道閾值,則會被送到收件者的 Exchange 信箱儲存區中。在 Exchange 信箱儲存區中,若郵件的分級高於信箱儲存區閾值,則信箱儲存區會將郵件傳送到使用者的 [垃圾郵件] 資料夾中,而不會送到 [收件匣] 中。
- 在 SMTP 虛擬伺服器上啟用 [智慧型郵件篩選器]。在設定智慧型郵件篩選器的選項之後,您必須在 Exchange 組織的 SMTP 虛擬伺服器上啟用 [智慧型郵件篩選器]。
如需如何執行這些作業的相關資訊,請參閱 Exchange Server 2003 SP2 線上說明中的<設定智慧型郵件篩選>。
SP2 中的更新:瞭解如何套用已啟用的篩選
Exchanger Server 2003 支援下列篩選:
- 以虛擬伺服器為基礎的 IP 限制
- 連線篩選
- 收件者篩選
- 寄件者篩選
- 寄件者識別碼篩選
- 智慧型郵件篩選
雖然連線篩選、收件者篩選、寄件者篩選、寄件者識別碼篩選和智慧型郵件篩選全都設定於 [郵件傳遞內容] 中,但它們必須在個別的 SMTP 虛擬伺服器上啟用。相反地,IP 限制是直接設定在每部 SMTP 虛擬伺服器上。
本節會顯示在 SMTP 工作階段期間,檢查這些已設定及啟用之篩選器的順序。將以下列方式檢查篩選和 IP 限制。
| 附註: |
|---|
| 本節已經更新,可提供在執行 Exchange Server 2003 SP2 的伺服器上處理反垃圾郵件的相關資訊。基於此範例的目的,會假設 Exchange Server 2003 SP2 是安裝於閘道電腦上。 |
- SMTP 用戶端嘗試連線至 SMTP 虛擬伺服器。
- 根據 SMTP 虛擬伺服器的 IP 限制 (設定在 SMTP 虛擬伺服器 [內容] 的 [存取] 索引標籤上) 來檢查連線用戶端的 IP 位址:
- 如果連線 IP 位址位在限制 IP 的清單上,則會立即捨棄連線。
- 如果連線 IP 位址不在限制 IP 的清單上,則會接受連線。
- SMTP 用戶端發出 EHLO 或 HELO 命令。
- SMTP 用戶端發出 MAIL FROM: 命令,內容與下列類似:
MAIL FROM: dylanm@contoso.com - 然後根據全域接受清單 (設定於 [Exchange 系統管理員] 中 [郵件傳遞內容] 對話方塊之 [連線篩選] 索引標籤上) 來檢查 SMTP 用戶端的 IP 位址。
- 如果連線 IP 位址位在全域接受清單上,則不會檢查全域拒絕清單。前進到步驟 7。
- 如果連線的 IP 位址不在全域接受清單上,則會執行步驟 6 和 7。
- 然後根據全域拒絕清單 (設定於 [Exchange 系統管理員] 中 [郵件傳遞內容] 對話方塊之 [連線篩選] 索引標籤上) 來檢查 SMTP 用戶端的 IP 位址。
- 如果 SMTP 用戶端的 IP 位址位在全域拒絕清單上,則會捨棄連線。
- 如果 SMTP 用戶端的 IP 位址不在全域拒絕清單上,則工作階段會繼續。
- 寄件者篩選會根據其封鎖寄件者清單 (設定於 [Exchange 系統管理員] 中 [郵件傳遞內容] 對話方塊之 [寄件者篩選] 索引標籤上),來檢查 MAIL FROM 命令中指定的寄件者。
- 如果寄件者出現在封鎖寄件者清單上,則會發生下列其中一種情形 (視寄件者篩選的設定方式而定):
- 如果寄件者篩選是設定成捨棄連線,則會捨棄連線。
- 如果寄件篩選是設定為接受郵件而不通知寄件者,則工作階段會繼續;不過,郵件會傳送到 Badmail 目錄,而不會傳遞給指定的收件者。 - 如果寄件者未出現在寄件者篩選清單上,則 SMTP 虛擬伺服器會發出類似下面的回應。
250 2.1.0 dylanm@contoso.com...Sender OK
- 如果寄件者出現在封鎖寄件者清單上,則會發生下列其中一種情形 (視寄件者篩選的設定方式而定):
- 連線 SMTP 伺服器會發出與下列類似的 RCPT TO 命令:
RCPT TO: kim@example.com - 連線篩選規則會根據其封鎖清單服務提供者所提供的任何封鎖清單,來檢查連線的 IP 位址。
- 如果 SMTP 用戶端的 IP 位址位在接受清單中,則會略過連線篩選規則。前進到步驟 10。
- 如果 SMTP 用戶端的 IP 位址是在封鎖清單服務提供者的封鎖清單上,則 SMTP 虛擬伺服器會傳回錯誤碼,然後傳送針對連線篩選規則而設定的自訂錯誤郵件。
- 如果 SMTP 用戶端的 IP 位址不在封鎖清單服務提供者的封鎖清單上,則工作階段會繼續。
- 連線篩選會檢查指定的收件者是否在連線篩選例外狀況清單中。
- 如果收件者是在此清單上,則會接受通訊,且不會再對 RCPT TO 命令進行其他任何檢查。前進到步驟 13。
- 如果收件者未出現在例外狀況清單上,會根據其他篩選器來檢查收件者。
- 如果收件者未出現在連線篩選所設定的例外狀況清單上,則會根據收件者篩選所設定的所有封鎖收件者來檢查收件者。
- 如果收件者是封鎖的收件者,則 SMTP 虛擬伺服器會傳回收件者無效錯誤。
- 如果收件者不是封鎖的收件者,則工作階段會繼續。
- 如果收件者不是封鎖的收件者,則會檢查 Active Directory,以確保指定的收件者是存在於 Active Directory 中。
- 如果預定的收件者不是 Active Directory 中的有效收件者,則 SMTP 虛擬伺服器會傳回收件者無效錯誤。
- 如果收件者是 Active Directory 中的有效收件者,則工作階段會繼續。
- 針對以 RCPT TO 命令所指定的每位其他收件者,套用步驟 10 到 12。
- 連線的伺服器會發出類似下面的 DATA 命令
DATA
To: Kim Akers
From: dylanm@contoso.com<Dylan Miller>
Subject: Mail Message - 寄件者篩選接著會檢查 From 地址是否不符合封鎖的寄件者。
- 如果 DATA 命令所指定的寄件者為封鎖的寄件者,則會發生下列其中一種情形:
- 如果寄件者篩選是設定為中斷連線,則 SMTP 虛擬伺服器會傳回 5.1.0「寄件者遭到拒絕」錯誤,並中斷連線。
- 如果寄件篩選是設定為接受郵件而不通知寄件者,則工作階段會繼續;不過,郵件會傳送到 Badmail 目錄,而不會傳遞給指定的收件者。 - 如果 DATA 命令所指定的寄件者不是封鎖的寄件者,則會接受郵件並放入佇列中等待傳遞。
- 如果 DATA 命令所指定的寄件者為封鎖的寄件者,則會發生下列其中一種情形:
- 郵件是經由寄件者識別碼驗證來處理的。
- 郵件是經由智慧型郵件篩選來處理的。
限制提交至 SMTP 虛擬伺服器的改進功能
在 Exchange Server 2003 中,您可以透過標準 Windows 2000 Server 或 Windows Server 2003 判別存取控制清單 (DACL),將對 SMTP 虛擬伺服器的提交限制為有限數量的安全性準則。這可讓您指定可提交郵件至虛擬伺服器的使用者群組。
| 附註: |
|---|
| 請勿在可接受網際網路郵件的 SMTP 虛擬伺服器上限制提交。 |
如需詳細的指示,請參閱《Exchange Server 2003 傳輸及路由手冊》中的<如何根據安全性群組限制對 SMTP 伺服器的提交>。
限制在 SMTP 虛擬伺服器轉送的改進功能
在 Exchange 2003 中,您可以透過標準 Windows 2000 判別存取控制清單 (DACL),將轉送限制為有限數量的安全性準則。這可讓您指定可透過虛擬伺服器轉送的使用者群組。
如果您想讓某使用者群組轉送郵件至網際網路,但要拒絕另一個群組的轉送權限,則限制虛擬伺服器的轉送將很有幫助。
如需詳細的指示,請參閱《Exchange Server 2003 傳輸及路由手冊》中的<如何根據安全性群組限制轉送>。