設定篩選及控制垃圾郵件

  • 發行項

 

上次修改主題的時間: 2006-03-15

控制垃圾郵件深具挑戰,但仍可使用一些方法來減少垃圾郵件:

  • 使用 Exchange 2003 篩選功能。   Microsoft® Exchange Server 2003 提供了連線篩選、收件者篩選及寄件者篩選等功能,可減少傳送給您組織中使用者的垃圾郵件數量。
  • 教育使用者不要回應或轉寄垃圾郵件。   指示使用者不要按郵件中所含的任何「移除」連結,因為這類連結通常都是用來驗證地址。

在 Exchange Server 2003 中,您可以在 SMTP 虛擬伺服器上設定及啟用篩選,以限制虛擬伺服器的存取權。篩選是在 [Exchange 系統管理員] 中 [郵件傳遞內容] 的 [通用設定] 之下進行設定。雖然是在通用層級中設定篩選,但是您仍然必須在每部個別虛擬伺服器上啟用它。

您可以透過下列方式,使用篩選來封鎖傳送至 SMTP 虛擬伺服器的內送電子郵件:

  • [連線篩選] 可讓您依據連線 SMTP 伺服器的網際網路通訊協定 (IP) 位址,來封鎖傳送至組織的郵件。您可設定一律要接受其郵件之 IP 位址的全域接受清單,以及一律要拒絕其郵件之 IP 位址的全域拒絕清單。此外,您也可以訂閱協力廠商封鎖清單提供者,並驗證連線 IP 位址不在它們的封鎖 IP 位址清單上。

    note附註:
    如果想要封鎖特定的 IP 位址,使其無法傳送至您的 SMTP 虛擬伺服器,則可使用 SMTP 虛擬伺服器內容之 [存取] 索引標籤上的 [連線] 按鈕,來新增這些 IP 位址。您應在閘道 SMTP 虛擬伺服器上設定這些限制。

  • [收件者篩選] 可讓您封鎖傳送至組織內特定收件者地址的郵件。

  • [寄件者篩選] 可讓您封鎖特定寄件者所傳送的郵件。如果您的組織重複接收到來自相同傳送地址的垃圾郵件,則可選擇封鎖這些寄件者,讓它不要再將郵件傳送給您的組織。

連線篩選

Exchange Server 2003 會根據封鎖清單來支援連線篩選。連線篩選可充份利用外部服務,其中列出已知垃圾郵件來源、撥號使用者帳戶及開放轉送的伺服器 (根據 IP 位址)。此外,連線篩選也會實作協力廠商內容篩選產品。此功能可讓您根據封鎖清單提供者的清單來檢查傳入 IP 位址,找出想要篩選的類別。此外,您還可以使用數個連線篩選,並排定套用每個篩選的優先順序。

您也可以透過連線篩選執行下列作業:

  • 設定全域接受清單及拒絕清單。   全域接受清單是一律接受其郵件的 IP 位址清單。全域拒絕清單是一律拒絕其郵件的 IP 位址清單。不管您是否使用了封鎖清單服務提供者,都可以使用全域接受清單和全域拒絕清單。
  • 設定收件者地址,作為所有連線篩選規則的例外狀況。   將郵件傳送至此地址時,即使寄件者出現在封鎖清單中,也會自動接受該郵件。

連線篩選規則如何運作

建立連線篩選規則時,SMTP 會使用此規則,針對協力廠商封鎖清單服務所提供的清單執行 DNS 查閱。連線篩選會比對每個傳入 IP 位址與協力廠商封鎖清單上的 IP 位址。封鎖清單提供者會發出下列其中一個回應:

  • 找不到主機   表示此 IP 位址不在其封鎖清單上。
  • 127.0.0. x   為回應狀態碼,表示在違規者清單中找到 IP 位址的相符者。x 值會視封鎖清單提供者的不同而有所變化。

如果在封鎖清單上找到傳入的 IP 位址,則 SMTP 會傳回 5.x.x 錯誤,來回應 RCPT TO 命令 (RCPT TO 命令是連線的伺服器所發出的 SMTP 命令,用來識別指定的郵件收件者)。

您可以自訂要傳回給寄件者的回應。此外,因為封鎖清單提供者通常都含有不同違規類別,所以您可指定想要拒絕的相符項目。大部份的封鎖清單提供者都會檢測三種類型的違規項目:

  • 垃圾郵件來源   掃描來路不明的商業電子郵件,並將來源地址新增至清單中,即可產生這些清單。
  • 已知的開放式轉送伺服器   識別網際網路上的開放式轉送 SMTP 伺服器,即可建立這些清單。發生開放式轉送伺服器的最常見原因是系統管理員所造成的組態錯誤。
  • 撥號使用者清單   這些清單的建立來源是內含使用撥號存取之 IP 位址的現有網際網路服務提供者 (ISP) 清單,或透過審查指出可能之撥號連線的地址而來。

如何比對封鎖清單提供者與違規的 IP 位址

設定連線篩選後,只要有電子郵件傳送至您的組織,Exchange 都會連絡封鎖清單提供者。該提供者會檢查 A (主機) 記錄是否存在於它的 DNS 中。Exchange 會查詢此特定格式的資訊。例如,如果連線地址是 192.168.5.1,而封鎖清單提供者的組織是 contoso.org,則 Exchange 會查詢是否有下列記錄:

<reverse IP address of the connecting server>.<dns name for the block list organization> IN A 127. 0.0.x

在此情況下,是:

1.5.168.192..contoso.org

如果在提供者清單上找到此 IP 位址,則該提供者會傳回 127.0.0.x 狀態碼,以指出違規的 IP 位址和違規類型。所有封鎖清單提供者都會傳回 127.0.0.x 的回應碼,其中 x 會指出違規類型。x 值會視封鎖清單提供者的不同而有所變化。

瞭解封鎖清單提供者回應碼

如前所述,如果封鎖清單提供者找到相符者,提供者都會傳回狀態碼 127.0.0.x。此狀態碼是明確的傳回碼或位元遮罩 (多功能傳回碼)。如果封鎖清單提供者會傳回一個值,則您可以指定要篩選的值。然而,如果封鎖清單提供者傳回位元遮罩,您就必須瞭解位元遮罩如何運作,以指定想要篩選的相符項目。

位元遮罩是一種方法,用來驗證針對項目所設定的特定位元。位元遮罩與傳統遮罩不同,它會檢查特定位元值,與檢查某範圍值的子網路遮罩相反。請考量以下範例。

針對其封鎖清單中的每個相符項目,假設封鎖清單提供者傳回列在下表中的狀態碼。

封鎖清單狀態碼範例

類別 傳回的狀態碼

已知的垃圾郵件來源

127.0.0.3

撥號使用者帳戶

127.0.0.2

已知的轉送伺服器

127.0.0.4

不過,如果 IP 位址是兩個清單的成員,則封鎖清單提供者會新增最後一個八位元資料組的值。因此,如果 IP 位址是在已知轉送伺服器及已知垃圾郵件來源清單上,則封鎖清單提供者會傳回狀態碼 127.0.0.7,其中 7 是一組合值,是由針對已知來路不明商業電子郵件狀態碼及已知轉送伺服器狀態碼所傳回的最後一個八位元所組成。

如果您只想要篩選已知的來路不明商業電子郵件來源,請輸入位元遮罩值 0.0.0.3;之後封鎖清單就會篩選任何可能值,在此情況下為 127.0.0.3、127.0.0.5、127.0.0.7 及 127.0.0.9。

下表列出與每個範例狀態碼相關聯的位元遮罩值。

封鎖清單狀態碼及對應位元遮罩值的範例

類別 傳回的狀態碼 位元遮罩值

已知的垃圾郵件來源

127.0.0.3

0.0.0.3

撥號使用者帳戶

127.0.0.2

0.0.0.2

已知的轉送伺服器

127.0.0.4

0.0.0.4

已知的轉送伺服器及撥號使用者帳戶

127.0.0.6

0.0.0.6

在此表格的最後一個類別中 (已知的轉送伺服器及撥號使用者帳戶),位元遮罩 0.0.0.6 只有在 IP 位址同時出現在已知的轉送伺服器及撥號使用者帳戶清單時,才會傳回該 IP 位址的相符項目。如果 IP 位址只出現其中一份清單中,則不會傳回相符項目。您無法使用位元遮罩來檢查多份清單中的單一相符項目。

note附註:
位元遮罩只會檢查單一值。如果設定的是在 IP 位址出現在兩個清單時所傳回的位元遮罩值,則此遮罩只會比對出現在這兩個清單上的 IP 位址。如果您想要檢查其中一份清單上的 IP 位址,請輸入這些設定的狀態碼。

指定連線篩選規則的例外狀況

您可允許特定收件者的郵件傳遞 (不論他們是否出現在封鎖清單上)。如果想要允許合法組織透過連絡郵件管理員帳戶以與系統管理員進行通訊,則此例外狀況十分有用。例如,如果某合法公司不慎將伺服器設定為允許開放轉送,則從此公司寄出給您的使用者的電子郵件將遭到封鎖。然而,如果將連線篩選設定成允許郵件傳遞至組織中的郵件管理員帳戶,則被封鎖之公司的系統管理員可寄信給您的郵件管理員帳戶,以溝通他們的狀況,或查詢拒絕其郵件的原因。

啟用連線篩選

若要啟用連線篩選,請執行下列步驟:

  1. 使用 [郵件傳遞內容] 對話方塊上的 [連線篩選] 索引標籤,建立連線篩選。如需詳細指示,請參閱<如何建立收件者篩選>。
  2. 在 SMTP 虛擬伺服器層級套用篩選。如需詳細指示,請參閱<如何將收件者篩選套用至 SMTP 虛擬伺服器>。

下列幾節將詳細說明這些步驟。

設定連線篩選

若要設定連線篩選,請執行下列工作:

  • 建立全域接受及拒絕清單。
  • 建立連線篩選規則。
  • 建立連線篩選規則的例外狀況。

如需建立全域接受清單及全域拒絕清單的詳細指示,請參閱下列各主題:

如需建立連線篩選規則之例外狀況的詳細指示,請參閱下列主題:

將連線篩選套用至適當的 SMTP 虛擬伺服器

建立連線篩選及篩選的任何例外狀況之後,您必須將它套用到適當的 SMTP 虛擬伺服器。通常,您會將連線篩選套用至 SMTP 虛擬伺服器,而這些虛擬伺服器存在於接受輸入網際網路電子郵件的閘道伺服器上。請使用下列程序,將連線篩選套用至 SMTP 虛擬伺服器。

如需詳細指示,請參閱<如何將連線篩選套用至 SMTP 虛擬伺服器>。

收件者篩選

您可以運用收件者篩選,篩選傳送給不在組織中收件者的郵件,或新增通常是垃圾郵件寄件者的特定收件者地址。

啟用收件者篩選

若要啟用收件者篩選,請執行下列步驟:

  1. 使用 [郵件傳遞內容] 對話方塊中的 [收件者篩選] 索引標籤,建立收件者篩選。
  2. 在 SMTP 虛擬伺服器層級套用篩選。

下列幾節將詳細說明這些步驟。

寄件者篩選

寄件者篩選在 Exchange Server 2003 及 Exchange 2000 Server 中的運作方式相同;它允許您篩選特定寄件者所傳送的郵件。您可封鎖某網域中所有使用者或特定寄件者所傳送的郵件。

啟用寄件者篩選

若要啟用寄件者篩選,請執行下列步驟:

  1. 使用 [通用設定] 之 [郵件傳遞內容] 對話方塊中的 [寄件者篩選] 索引標籤,建立寄件者篩選。
  2. 在 SMTP 虛擬伺服器層級套用篩選。

瞭解如何套用啟用的篩選及 IP 限制

Exchanger 2003 支援下列篩選及 IP 限制:

  • 連線篩選
  • 收件者篩選
  • 寄件者篩選
  • 以虛擬伺服器為基礎的 IP 限制

雖然連線篩選、收件者篩選及寄件者篩選都是在 [郵件傳遞內容] 中進行設定,但是它們都必須在個別 SMTP 虛擬伺服器上啟用。相反地,IP 限制是直接設定在每部 SMTP 虛擬伺服器上。

本節會顯示在 SMTP 工作階段期間檢查 IP 限制及篩選 (已設定並啟用時) 的順序。

  1. SMTP 用戶端嘗試連線至 SMTP 虛擬伺服器。
  2. 根據 SMTP 虛擬伺服器的 IP 限制來檢查連線用戶端的 IP 位址 (在 SMTP 虛擬伺服器 [內容] 之 [存取] 索引標籤上的 [連線] 按鈕進行設定):
    • 如果連線 IP 位址位在限制 IP 的清單上,則會立即捨棄連線。
    • 如果連線 IP 位址不在限制 IP 的清單上,則會接受連線。
  3. SMTP 用戶端發出 EHLO 或 HELO 命令。
  4. SMTP 用戶端發出 MAIL FROM: 命令,類似下列命令:
    MAIL FROM:ted@contoso.com
  5. 然後根據全域接受清單 (設定於 [Exchange 系統管理員] 中 [郵件傳遞內容] 對話方塊之 [連線篩選] 索引標籤上) 來檢查 SMTP 用戶端的 IP 位址。
    • 如果連線 IP 位址位在全域接受清單上,則不會檢查全域拒絕清單。此處理程序會跳過步驟 6,而前進到步驟 7。
    • 如果連線 IP 位址不在全域接受清單上,則會執行步驟 6 及 7。
  6. 然後根據全域拒絕清單 (設定於 [Exchange 系統管理員] 中 [郵件傳遞內容] 對話方塊之 [連線篩選] 索引標籤上) 來檢查 SMTP 用戶端的 IP 位址。
    • 如果 SMTP 用戶端的 IP 位址位在全域拒絕清單上,則會捨棄連線。
    • 如果 SMTP 用戶端的 IP 位址不在全域拒絕清單上,則工作階段會繼續。
  7. 寄件者篩選會根據它的封鎖寄件者清單,檢查 MAIL FROM 命令中所指定的寄件者 (在 [Exchange 系統管理員] 之 [郵件傳遞內容] 對話方塊的 [寄件者篩選] 索引標籤上進行設定)。
    • 如果寄件者出現在封鎖寄件者清單上,則會發生下列其中一個動作 (視寄件者篩選的設定方式而定):
      - 如果寄件者篩選是設定成捨棄連線,則會捨棄連線。
      - 如果寄件者篩選是設定成接受郵件,而不通知寄件者,則工作階段會繼續;而郵件會傳送至錯誤郵件目錄,且不會傳遞給預定的收件者。
    • 如果寄件者未出現在寄件者篩選清單上,則 SMTP 虛擬伺服器會發出與下列類似的回應:
      250 2.1.0 ted@contoso.com...Sender OK
  8. 連線 SMTP 伺服器會發出與下列類似的 RCPT TO 命令:
    RCPT TO:kim@example.com
  9. 連線篩選規則會根據其封鎖清單服務提供者所提供的所有封鎖清單,檢查連線 IP 位址。
    • 如果 SMTP 用戶端的 IP 位址位在接受清單中,則會略過連線篩選規則。此處理程序會前進到步驟 10。
    • 連線篩選會依連線篩選中所設定的順序,檢查每個服務提供者的封鎖清單。如果連線篩選在提供者的封鎖清單上找到相符項目,SMTP 虛擬伺服器就會傳回錯誤碼,然後傳送針對連線篩選規則所設定的自訂錯誤訊息。找到相符項目後,就不會再檢查其他服務提供者清單。
    • 如果 SMTP 用戶端的 IP 位址不在封鎖清單服務提供者的封鎖清單上,則工作階段會繼續。
  10. 連線篩選會檢查預定的收件者是否位在連線篩選例外狀況清單上。
    • 如果收件者是在此清單上,則會接受通訊,且不會再對 RCPT TO 命令進行其他任何檢查。此處理程序會跳過步驟 11 及 12,並繼續執行步驟 13。
    • 如果收件者未出現在例外狀況清單上,會根據其他篩選器來檢查收件者。
  11. 如果收件者未出現在連線篩選中所設定的例外狀況清單上,則會根據收件者篩選中所設定的任何封鎖收件者來檢查收件者。
    • 如果收件者是封鎖的收件者,則 SMTP 虛擬伺服器會傳回收件者無效錯誤。
    • 如果收件者不是封鎖的收件者,則工作階段會繼續。
  12. 如果收件者不是封鎖收件者,則會檢查 Active Directory 以確定 Active Directory 中有此預定的收件者。
    • 如果預定的收件者不是 Active Directory 中的有效收件者,則 SMTP 虛擬伺服器會傳回收件者無效錯誤。
    • 如果收件者是 Active Directory 中的有效收件者,則工作階段會繼續。
  13. 針對 RCPT TO 命令中所指定的其他所有收件者,請套用步驟 10 至 12。
  14. 然後,連線伺服器會發出與下列類似的 DATA 命令:
    DATA
    To:Kim Akers
    From:ted@contoso.com<Ted Bremer>
    Subject:郵件訊息
  15. 寄件者篩選接著會檢查 From 地址是否不符合封鎖的寄件者。
    • 如果 DATA 命令中所指定的寄件者是封鎖寄件者,則會發生下列其中一個動作:
      - 如果寄件者篩選是設定成捨棄連線,則 SMTP 虛擬伺服器會傳回「5.1.0 寄件者遭拒」錯誤,並捨棄連線。
      - 如果寄件者篩選是設定成接受郵件,而不通知寄件者,則工作階段會繼續;而郵件會傳送至錯誤郵件目錄,且不會傳遞給預定的收件者。
    • 如果 DATA 命令中所指定的寄件者不是封鎖寄件者,則會接受郵件,並將之放入佇列以進行傳遞。

識別詐騙郵件

您可以教育使用者如何識別詐騙郵件。與 Exchange 2000 不同,Exchange 2003 不會將匿名的電子郵件解析成它們在其預設組態中的顯示名稱。因此,透過偽造地址傳送郵件時,Exchange 2003 不會將寄件者的電子郵件地址解析成它在全域通訊清單中的顯示名稱。

為了瞭解 Exchange 2003 如何防止詐騙,請假設您有個名為 Ted Bremer 的內部使用者,而他會從您的網域 example.com 內部傳送郵件。此電子郵件會將他的傳送地址顯示為 Ted Bremer,這是 Active Directory 中針對 ted@example.com 所設定的顯示名稱 (這是因為 Ted Bremer 傳送郵件時,他是已驗證的使用者)。接著,Exchange 會驗證 Ted Bremer 的憑證具有「傳送為」權限,然後將他的電子郵件地址解析成他在 Active Directory 中的顯示名稱。未驗證的使用者偽造此地址來假裝是 Ted,然後將郵件傳送給網域中的另一位使用者時,則會發生詐騙。

Exchange 2003 不會解析其來源為外部的電子郵件地址。因此,當匿名使用者嘗試偽裝 Ted 身分傳送郵件時,Exchange 不會將 [寄件者] 行中的傳送地址解析成它的顯示名稱。而是讓 ted@example.com 出現在電子郵件的 [寄件者] 行中。如果使用者瞭解此差異,則他們至少可以識別詐騙郵件。

然而,Exchange 2000 伺服器預設都會解析匿名的電子郵件。如果您的組織中含有 Exchange 2000 伺服器,且會解析匿名電子郵件並將該郵件傳送給 Exchange 2003 伺服器,則會將該地址解析成它在 GAL 中的顯示名稱。若要防止發生此狀況,請設定 Exchange 2000 伺服器,讓它們不要解析匿名郵件。

如需詳細指示,請參閱<如何驗證 Exchange 2003 已設定為不解析匿名郵件>及<如何將 Exchange 2000 設定為不解析外部電子郵件地址>。