了解反垃圾邮件和防病毒邮件流

 

适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题: 2016-11-28

当外部用户向运行反垃圾邮件功能的 Microsoft Exchange 服务器发送电子邮件时,反垃圾邮件功能将累计评估入站邮件的特征,然后筛选出怀疑是垃圾邮件的邮件,或者根据将邮件视为垃圾邮件的可能性为邮件分配一个分级。此分级与邮件存储在一起,作为一个名为“垃圾邮件可信度 (SCL) 分级”的邮件属性。该分级将始终与邮件一起发送到其他 Exchange 服务器。

下图显示了默认反垃圾邮件功能和 Microsoft Forefront Protection for Exchange Server 对来自 Internet 的入站邮件的筛选顺序。默认情况下,反垃圾邮件和防病毒功能按此顺序排列,即首先使用资源筛选最弱的筛选器,最后使用资源筛选最强的筛选器。

注释注意:
下图和说明假设 Microsoft Exchange Server 2010 边缘传输服务器是第一个接受入站邮件的 SMTP 服务器。在有些组织中,可能在第三方 SMTP 服务器后面部署边缘传输服务器。如果第三方 SMTP 网关服务器后面部署 Exchange 2010 边缘传输服务器,需要对 Exchange 2010 边缘传输服务器进行其他配置。具体来说,必须确保所有 SMTP 网关服务器都列在 TransportConfig 对象的 InternalSMTPServer 属性中。有关详细信息,请参阅 Set-TransportConfig

有关其他 Exchange 反垃圾邮件和防病毒功能的详细信息,请参阅 Microsoft Forefront Protection 2010 for Exchange Server(英文)。

能够对来自 Internet 的入站邮件进行防病毒筛选的默认反垃圾邮件功能

如上图所示,当 SMTP 服务器连接到 Exchange 2010 并启动 SMTP 会话时,对于面向 Internet 的边缘传输服务器,筛选器将按如下顺序进行应用:

  • 连接筛选

  • 发件人筛选

  • 收件人筛选

  • 发件人 ID 筛选

  • 内容筛选

  • 发件人信誉筛选

  • 附件筛选

  • 防病毒扫描

  • Outlook 垃圾邮件筛选

注释注意:
连接筛选会在两个不同事件期间收集信息。在第一个事件中,连接筛选收集了来自连接的 IP 地址信息(如上图所示)。在第二个事件中,当发件人筛选器代理分析邮件头以确定第一个外部 IP 地址时,连接筛选将收集信息(如本主题后面的“发件人筛选”中图所示)。代理可监视多个事件。上图显示了应用代理大致顺序的高级视图,其中启用了所有代理,用以说明邮件流。有关特定事件以及哪些代理监视哪些事件的详细信息,请参阅了解传输代理

若要了解与反垃圾邮件和防病毒功能相关的管理任务,请参阅管理反垃圾邮件和防病毒功能

目录

连接筛选

发件人筛选

收件人筛选

发件人 ID 筛选

内容筛选

发件人信誉筛选

附件筛选

防病毒扫描

Outlook 垃圾邮件筛选

在 SMTP 会话期间,Exchange 2010 使用下图所示的条件来应用连接筛选。

连接筛选邮件流

下列过程适用:

  1. 连接筛选器代理将检查管理员定义的 IP 允许列表。如果发送服务器的 IP 地址在管理员定义的 IP 允许列表中,则发件人筛选将处理邮件。

  2. 连接筛选器代理将检查本地 IP 阻止列表。如果发送服务器的 IP 地址出现在本地 IP 阻止列表中,则会自动拒绝邮件,并且不应用其他筛选器。

  3. 连接筛选器代理将检查来自您所具有的任何 IP 允许列表提供程序的允许 IP 地址列表。如果发送服务器的 IP 地址在来自 IP 允许列表提供程序的允许 IP 地址列表中,则发件人筛选将处理邮件。

  4. 连接筛选器代理将检查已配置的所有 IP 阻止列表提供程序的实时阻止列表。如果发送服务器的 IP 地址在实时阻止列表中,则拒绝邮件,并且不应用其他筛选器。

有关详细信息,请参阅了解连接筛选

注释注意:
如果连接筛选器代理部署在面向 Internet 的另一台服务器后面的计算机上,则先调用其他筛选器(如发件人筛选和收件人筛选),再运行连接筛选器代理。

返回顶部

在应用连接筛选之后,Exchange 2010 将对照下图所示的发件人筛选中配置的阻止发件人列表检查发件人电子邮件地址。

发件人筛选邮件流

然后,发件人筛选器代理将检查邮件信封和邮件头的“发件人”头字段中包含的发件人电子邮件地址。如果“发件人”头字段与阻止发件人列表中的地址匹配,则 Exchange 2010 将在协议级别拒绝邮件,且不应用其他筛选器。

注释注意:
即使组织内的收件人已将发件人放在其 Microsoft Outlook 安全发件人列表中,但在边缘传输服务器上配置的发件人筛选仍将覆盖该收件人的 Outlook 设置,并拒绝邮件。

有关发件人筛选的详细信息,请参阅了解发件人筛选

有关邮件信封和邮件头的详细信息,请参阅了解分拣和重播目录

返回顶部

如果发件人筛选没有拒绝邮件,则 Exchange 将再次运行连接筛选。然后,Exchange 将应用收件人筛选器代理,如下图所示。

收件人筛选邮件流

收件人筛选器代理将对照在收件人筛选器代理设置中配置的收件人阻止列表检查收件人。如果目标收件人与收件人阻止列表中的某个电子邮件地址匹配,则 Exchange 2010 将拒绝向该特定收件人发送邮件。此外,收件人筛选器代理还将检查组织中是否存在此收件人。如果组织中不存在此收件人,Exchange 将拒绝向该特定收件人发送邮件。

如果邮件中列出多个收件人,且所有收件人都不在收件人阻止列表中,则会继续对邮件进行处理。否则,仅对单个阻止收件人拒绝发送邮件,且不应用其他筛选器。

在处理收件人中有阻止收件人的邮件时,将从邮件中删除那些阻止收件人,然后邮件继续进入组织。并会针对每个阻止收件人向发件人发送协议级别 SMTP 拒绝响应。发件人信誉代理会监视 OnReject 事件以计算发件人信誉级别 (SRL)。

有关详细信息,请参阅了解收件人筛选

返回顶部

如果应用收件人筛选后,邮件中仍包含有效的收件人,则 Exchange 2010 将运行发件人 ID 代理,如下图所示。

发件人 ID 筛选邮件流

首先,发件人 ID 代理使用 RFC 4407 中所述算法确定邮件的假设负责地址 (PRA)。这一步是准确识别邮件发件人所必需的。PRA 是一个 SMTP 地址,如 kim@contoso.com。然后,发件人 ID 代理对照 PRA 的域部分执行域名系统 (DNS) 查找。如果该域发布了发送方策略框架 (SPF) 记录,该代理将根据 RFC 4408 规范使用该 SPF 记录来评估邮件。评估结果将以反垃圾邮件标记形式显示在邮件中。如果该域没有发布的 SPF 记录,则发件人 ID 代理将在邮件上显示一个发件人 ID 结果为“无”的标记。有关用于发件人 ID 筛选的标记类型的详细信息,请参阅了解反垃圾邮件标记

如果发件人的 DNS 是来自阻止域或阻止地址,可以采取以下操作,具体取决于发件人 ID 操作的配置:

  • 拒绝邮件   如果发件人 ID 操作设置为“拒绝邮件”,则 Exchange 将拒绝邮件并向发送服务器发送 SMTP 错误响应。SMTP 错误响应是 5xx 级协议响应,其文本对应于发件人 ID 状态。

  • 删除邮件   如果发件人 ID 操作设置为“删除邮件”,则 Exchange 将删除邮件,但不会向发送服务器通知删除情况。安装了边缘传输服务器角色的计算机会向发送服务器发送假的“OK”SMTP 命令,然后删除邮件。由于发送服务器认为邮件已发送,因此它不会在同一个会话中重试发送操作。

  • 在邮件上标记发件人 ID 结果并继续处理   Exchange 将在邮件上标记发件人 ID 结果并继续处理邮件。在计算 SCL 时,内容筛选器代理将评估此元数据。此外,发件人信誉在计算邮件发件人的 SRL 时使用邮件元数据。

有关详细信息,请参阅了解发件人 ID

返回顶部

在 Exchange 内容筛选调用 Exchange 智能邮件筛选器之前,它会再次应用发件人筛选。然后,Exchange 服务器将应用内容筛选器代理,如下图所示。

内容筛选邮件流

内容筛选器代理将对邮件检查下列条件。如果满足所有条件,将不对邮件进行内容筛选和附件筛选。然后,这些邮件将进行防病毒扫描,以便处理。检查以下条件:

  • 发件人 IP 地址出现在连接筛选的 IP 允许列表中。

  • 所有收件人都出现在内容筛选的异常列表中。

  • 对于所有收件人邮箱,AntiSpamBypassEnabled 参数都设置为 $True

  • 所有收件人都将此发件人添加到其 Outlook 安全发件人列表中,该列表通过使用安全列表聚合更新到边缘传输服务器。

  • 发件人是受信任的伙伴,出现在组织的未经筛选的发件人列表中。

除了所列条件外,如果 SMTP 会话已验证为受信任的伙伴,并且管理员已授予伙伴跳过反垃圾邮件 (Ms-Exch-Bypass-Anti-Spam) 权限,则在该会话期间,邮件的反垃圾邮件代理将禁用。默认情况下,不授予伙伴跳过反垃圾邮件的权限,并且该权限必须由管理员分配。

如果邮件不符合所述的任何条件,则应用内容筛选。内容筛选会为邮件分配一个 SCL 分级。根据 SCL 分级,将进行下列操作之一:

  • 如果邮件的 SCL 分级等于或大于 SCL 删除阈值,并且 SCL 删除阈值已启用,则内容筛选器代理将删除该邮件。没有协议级别的通信告诉发送系统或发件人该邮件已删除。如果 SCL 分级小于 SCL 删除阈值,则内容筛选器代理将不删除该邮件。而是内容筛选器代理将 SCL 值与 SCL 拒绝阈值进行比较。

  • 如果邮件的 SCL 分级等于或大于 SCL 拒绝阈值,并且启用了 SCL 拒绝阈值,则内容筛选器代理将拒绝该邮件,并向发送系统发送一个拒绝响应。可以自定义拒绝响应。某些情况下,未送达报告 (NDR) 将发送给邮件的原始发件人。如果 SCL 分级小于 SCL 拒绝阈值,内容筛选器代理将不拒绝该邮件。而是内容筛选器代理会将 SCL 值与 SCL 隔离阈值进行比较。

  • 如果邮件的 SCL 分级等于或大于 SCL 隔离阈值,并且启用了 SCL 隔离阈值,则内容筛选器代理会将邮件发送到垃圾邮件隔离邮箱。有关如何管理垃圾邮件隔离邮箱的详细信息,请参阅了解内容筛选。然后,继续对邮件进行附件筛选。

有关详细信息,请参阅下列主题:

返回顶部

在应用内容筛选之后,Exchange 将应用发件人信誉筛选,如下图所示。

发件人信誉邮件流

发件人信誉将评估以下每个邮件统计信息并计算每个发件人的 SRL:

  • HELO/EHLO 分析

  • 反向 DNS 查找

  • 对来自特定发件人的邮件分析 SCL 分级

  • 发件人开放代理测试

SRL 是 0 到 9 之间的一个数字,预测特定发件人是垃圾邮件制造者或其他恶意用户的可能性。值 0 表示发件人不大可能是垃圾邮件制造者;值 9 表示发件人很可能是垃圾邮件制造者。

可以配置 0 到 9 之间的 SRL 阻止阈值,在达到该阈值时,发件人信誉将向发件人筛选器代理发送请求,从而阻止发件人向组织发送邮件。阻止发件人时,该发件人将在可配置的期限内添加到阻止发件人列表中。如何处理被阻止的邮件取决于发件人筛选器代理的配置。下列操作是处理被阻止邮件的选项:

  • 拒绝

  • 删除并存档

  • 接受并标记为被阻止发件人

如果某个发件人包括在 IP 阻止列表或 Microsoft IP 信誉服务中,则发件人信誉代理会立即向发件人筛选器代理发送请求,以阻止该发件人。若要利用此功能,必须启用并配置 Microsoft Exchange 反垃圾邮件更新服务。

默认情况下,边缘传输服务器对尚未分析的发件人设置分级 0。发件人已发送 20 封或更多的邮件之后,发件人信誉将计算基于前面列出的统计信息的 SRL。

有关详细信息,请参阅下列主题:

返回顶部

在应用发件人信誉筛选之后,Exchange 将应用附件筛选,如下图所示。

附件筛选邮件流

可以配置附件筛选,以根据附件的 MIME 内容类型、文件名或文件扩展名来阻止附件。如果附件筛选检测到已被阻止的内容类型或文件名,则将根据附件筛选设置进行以下操作之一:

  • 拒绝   如果操作设置为“拒绝”,则阻止电子邮件和附件发送至收件人,且系统将生成一封传递状态通知 (DSN) 失败邮件并将其发送给发件人。可以自定义拒绝响应。

  • 自动删除   如果操作设置为“自动删除”,则阻止电子邮件和附件发送至收件人。不会向发件人返回有关电子邮件和附件已被阻止的任何通知。

  • 去除   如果操作设置为“去除”,则从电子邮件中去除附件。此值允许与附件阻止列表中的条目不匹配的邮件和其他附件发送至收件人。并会在收件人的电子邮件中添加附件已被阻止的通知。

如果没有拒绝或删除邮件,或附件筛选没有检测到阻止的附件类型,则将对邮件进行病毒扫描。

有关详细信息,请参阅配置附件筛选

返回顶部

应用附件筛选之后,或如果在内容筛选中忽略了收件人,则应用 Forefront Protection for Exchange Server 防病毒扫描,如下图所示。

Forefront Protection for Exchange Server 防病毒扫描邮件流

Forefront Protection for Exchange Server 是一个防病毒软件包,它与 Exchange 2010 紧密集成,并为 Exchange 环境提供额外的防病毒保护。在 Forefront Protection for Exchange Server 检测到可能包含病毒的邮件时,系统将删除该邮件,并生成一封通知邮件,然后将该通知发送到收件人邮箱。

有关详细信息,请参阅 Microsoft Forefront Protection 2010 for Exchange Server(英文)。

返回顶部

应用所有筛选器并对邮件进行病毒扫描之后,将邮件发送到目标收件人的邮箱并应用垃圾邮件筛选,如下图所示。

Outlook 垃圾邮件筛选邮件流

如果邮件的 SCL 分级等于或大于 SCL 垃圾邮件文件夹阈值,并且 SCL 垃圾邮件文件夹阈值已启用,则邮箱服务器会将邮件投入 Outlook 用户的垃圾邮件文件夹。如果邮件的 SCL 值小于 SCL 删除、拒绝、隔离和垃圾邮件文件夹阈值,则邮箱服务器会将邮件投入用户的收件箱中。有关 SCL 阈值的详细信息,请参阅了解垃圾邮件可信度阈值

返回顶部

 © 2010 Microsoft Corporation。保留所有权利。
显示: