了解反垃圾邮件和防病毒邮件流
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上一次修改主题: 2009-01-22
当外部用户向运行反垃圾邮件功能的 Microsoft Exchange 服务器发送电子邮件时,反垃圾邮件功能将累计评估入站邮件的特征,然后筛选出怀疑是垃圾邮件的邮件,或者根据将邮件视为垃圾邮件的可能性为邮件分配一个分级。此分级与邮件存储在一起,作为一个名为“垃圾邮件可信度 (SCL) 分级”的邮件属性。该分级将始终与邮件一起发送到其他 Exchange 服务器。
图 1 显示了默认反垃圾邮件功能和 Microsoft Forefront Security for Exchange Server 筛选来自 Internet 的入站邮件的顺序。默认情况下,反垃圾邮件和防病毒软功能按此顺序排列,即首先使用资源筛选最弱的筛选器,最后使用资源筛选最强的筛选器。
.gif "note") 注意: |
|---|
| 将来还可能推出其他反垃圾邮件功能。新的反垃圾邮件功能开发出来后,将包括在总邮件流中。此外,下面的图示和说明假设 Exchange Server 2007 边缘传输服务器是第一个接受入站邮件的简单邮件传输协议 (SMTP) 服务器。在有些组织中,可能在第三方 SMTP 服务器后面部署边缘传输服务器。如果第三方 SMTP 网关服务器后面部署 Exchange 2007 边缘传输服务器,需要对 Exchange 2007 边缘传输服务器进行其他配置。具体地说,必须确保所有 SMTP 网关服务器都列在 TransportConfig 对象的 InternalSMTPServer 属性中。有关详细信息,请参阅 Set-TransportConfig。 |
图 1 能够对来自 Internet 的入站邮件进行防病毒筛选的默认反垃圾邮件功能
.gif "反垃圾邮件和防病毒筛选器图")
如图 1 所示,在边缘传输服务器面向 Internet 时按如下顺序应用筛选器:
SMTP 服务器连接到 Exchange 2007 并启动 SMTP 会话。
连接筛选
发件人筛选
收件人筛选
发件人 ID 筛选
内容筛选
附件筛选
防病毒扫描
| 注意: |
|---|
| 虽然图 1 中没有显示该详细信息,但连接筛选还会在两个不同事件期间收集信息。连接筛选收集信息的第一个事件如图 1 所示,在其中连接筛选收集来自连接的 IP 地址信息。连接筛选收集信息的另一个情况如图 3 所示,此时发件人筛选器代理分析邮件头以确定第一个外部 IP 地址。代理可监视多个事件。图 1 显示了应用代理大致顺序的高级视图,其中启用了所有代理,用以说明邮件流。有关特定事件以及哪些代理监视哪些事件的详细信息,请参阅传输代理概述。 |
连接筛选
在 SMTP 会话期间,Exchange 2007 使用下列条件来应用连接筛选,如图 2 所示。
图 2 连接筛选邮件流
.gif "连接筛选图")
连接筛选器代理将检查管理员定义的 IP 允许列表。如果发送服务器的 IP 地址在管理员定义的 IP 允许列表中,则由发件人筛选处理邮件。
连接筛选器代理将检查本地 IP 阻止列表。如果发送服务器的 IP 地址出现在本地 IP 阻止列表中,则会自动拒绝邮件,并且不应用其他筛选器。
连接筛选器代理将检查您所具有的任何 IP 允许列表提供程序的允许 IP 地址列表。如果发送服务器的 IP 地址位于来自 IP 允许列表提供程序的允许 IP 地址列表中,则由发件人筛选处理邮件。
连接筛选器代理将检查已配置的所有 IP 阻止列表提供程序的实时阻止列表 (RBL)。如果发送服务器的 IP 地址出现在 RBL 中,则拒绝邮件,并且不应用其他筛选器。
有关详细信息,请参阅配置连接筛选。
| 注意: |
|---|
| 如果连接筛选器代理部署在面向 Internet 的另一台服务器后面的计算机上,则先调用其他筛选器(如发件人筛选和收件人筛选),再运行连接筛选器代理。 |
发件人筛选
在应用连接筛选之后,Exchange 2007 将对照图 3 所示的发件人筛选中配置的阻止发件人列表检查发件人电子邮件地址。
图 3 发件人筛选邮件流
.gif "发件人筛选图")
然后,发件人筛选器代理将检查邮件信封和邮件头的“发件人:”头字段中包含的发件人电子邮件地址。如果任一“发件人:”头字段与阻止发件人列表中的地址匹配,则 Exchange 2007 将在协议级别拒绝邮件,且不应用任何其他筛选器。
| 注意: |
|---|
| 即使组织内的收件人已将发件人放在其 Microsoft Office Outlook 安全发件人列表中,但在边缘传输服务器上配置的发件人筛选仍将覆盖该收件人的 Outlook 设置,并拒绝邮件。 |
有关发件人筛选的详细信息,请参阅配置发件人筛选。
有关邮件信封和邮件头的详细信息,请参阅管理重播目录。
收件人筛选
如果发件人筛选没有拒绝邮件,则 Exchange 将再次运行连接筛选。然后,Exchange 将应用收件人筛选器代理,如图 4 所示。
图 4 收件人筛选邮件流
.gif "收件人筛选器图")
收件人筛选器代理将对照在收件人筛选器代理设置中配置的收件人阻止列表检查收件人。如果目标收件人与收件人阻止列表中的某个电子邮件地址匹配,则 Exchange 2007 将拒绝向该特定收件人发送邮件。此外,收件人筛选器代理还将查看组织中是否存在相应收件人。如果组织中不存在相应收件人,Exchange 将拒绝向该特定收件人发送邮件。
如果邮件中列出多个收件人,且所有收件人都不在收件人阻止列表中,则会继续对邮件进行处理。否则,仅对单个阻止收件人拒绝发送邮件,且不应用其他筛选器。
在处理收件人中有阻止收件人的邮件时,将从邮件中删除那些阻止收件人,然后邮件继续进入组织。并会针对每个阻止收件人向发件人发送协议级别 SMTP 拒绝响应。发件人信誉代理会监视 OnReject 事件计算发件人信誉级别。
有关详细信息,请参阅配置收件人筛选。
发件人 ID 筛选
如果应用收件人筛选后,邮件中仍包含有效的收件人,则 Exchange 2007 将运行发件人 ID 筛选,如图 5 所示。
图 5 发件人 ID 筛选邮件流
.gif "发件人 ID 筛选图")
首先,发件人 ID 代理使用 RFC 4407 中所述算法确定邮件的假设负责地址 (PRA)。这一步是准确识别邮件发件人所必需的。PRA 是 SMTP 地址(如 kim@contoso.com)。然后,发件人 ID 代理对照 PRA 的域部分执行域名服务 (DNS) 查找。如果该域发布了发送方策略框架 (SPF) 记录,该代理将根据 RFC 4408 规范使用该 SPF 记录来评估邮件。评估结果将以反垃圾邮件标记形式显示在邮件中。如果该域没有发布的 SPF 记录,则发件人 ID 代理将在邮件上显示一个发件人 ID 结果为“无”的标记。有关用于发件人 ID 筛选的标记类型的详细信息,请参阅反垃圾邮件标记。
如果发件人的 DNS 是来自阻止域或阻止地址,可以采取以下操作,具体取决于发件人 ID 操作的配置:
拒绝邮件 如果发件人 ID 操作设置为“拒绝邮件”,则 Exchange 将拒绝邮件并向发送服务器发送 SMTP 错误响应。SMTP 错误响应是 5xx 级别的协议响应,它包含与发件人 ID 状态对应的文本。
删除邮件 如果发件人 ID 操作设置为“删除邮件”,则 Exchange 将删除邮件,但不会向发送服务器通知删除情况。实际上,安装了边缘传输服务器角色的计算机会向发送服务器发送假的“OK”SMTP 命令,然后删除邮件。由于发送服务器认为邮件已发送,因此它不会在同一个会话中重试发送操作。
在邮件上标记发件人 ID 结果并继续处理 Exchange 将用发件人 ID 结果标记邮件,并继续处理邮件。在计算 SCL 时,内容筛选器代理将评估此元数据。此外,发件人信誉在计算邮件发件人的发件人信誉级别时使用邮件元数据。
有关详细信息,请参阅配置发件人 ID。
内容筛选
在 Exchange 内容筛选调用 Exchange 智能邮件筛选器之前,它会再次应用发件人筛选。然后,Exchange 服务器将应用内容筛选器代理,如图 6 所示。
图 6 内容筛选邮件流
.gif "内容筛选器代理邮件流")
内容筛选器代理将对邮件检查下列条件。如果满足所有条件,将不对邮件进行内容筛选。然后,继续对这些邮件进行防病毒扫描,以便处理。
发件人 IP 地址出现在连接筛选的 IP 允许列表中。
所有收件人都出现在内容筛选的异常列表中。
对于所有收件人邮箱,AntiSpamBypassEnabled 参数都设置为
$True。所有收件人都将此发件人添加到其 Outlook 安全发件人列表中,该列表通过使用安全列表聚合更新到边缘传输服务器。
发件人是受信任的伙伴,出现在组织的未经筛选的发件人列表中。
除了此处所列条件外,如果 SMTP 会话已经过验证,发件人是受信任的伙伴,并且管理员已向伙伴授予跳过反垃圾邮件 (Ms-Exch-Bypass-Anti-Spam) 权限,则在该会话期间,将对邮件禁用反垃圾邮件代理。默认情况下,不向伙伴授予跳过反垃圾邮件权限,并且必须由管理员分配该权限。
如果邮件不符合此处所述的任何条件,则应用内容筛选。内容筛选会为邮件分配一个 SCL 分级。根据 SCL 分级,将进行下列操作之一:
如果邮件的 SCL 分级等于或大于 SCL 删除阈值,并且启用了 SCL 删除阈值,则内容筛选器代理将删除该邮件。没有协议级别的通信告诉发送系统或发件人该邮件已删除。如果 SCL 分级小于 SCL 删除阈值,内容筛选器代理将不删除该邮件。而是内容筛选器代理将 SCL 值与 SCL 拒绝阈值进行比较。
如果邮件的 SCL 分级等于或大于 SCL 拒绝阈值,并且启用了 SCL 拒绝阈值,则内容筛选器代理将拒绝该邮件,并向发送系统发送一个拒绝响应。可以自定义拒绝响应。某些情况下,未送达报告 (NDR) 将发送给邮件的原始发件人。如果 SCL 分级小于 SCL 拒绝阈值,内容筛选器代理将不拒绝该邮件。而是内容筛选器代理会将 SCL 值与 SCL 隔离阈值进行比较。
如果邮件的 SCL 分级等于或大于 SCL 隔离阈值,并且启用了 SCL 隔离阈值,则内容筛选器代理会将邮件发送到垃圾邮件隔离邮箱。有关如何管理垃圾邮件隔离的详细信息,请参阅配置和管理垃圾邮件隔离。然后,继续对邮件进行附件筛选。
有关详细信息,请参阅下列主题:
附件筛选
在应用了内容筛选后,Exchange 将应用附件筛选,如图 7 所示。
图 7 附件筛选邮件流
.gif "附件筛选器图")
可以配置附件筛选,以根据附件的 MIME 内容类型、文件名或文件扩展名来阻止附件。如果附件筛选检测到已被阻止的文件名的内容类型,则将根据附件筛选设置进行以下操作之一:
拒绝 如果操作设置为“拒绝”,则阻止电子邮件和附件发送至收件人,且系统将生成一封 DSN 失败邮件并将其发送给发件人。可以自定义拒绝响应。
自动删除 如果操作设置为“自动删除”,则阻止电子邮件和附件发送至收件人。且不会向发件人返回有关电子邮件和附件已被阻止的通知。
去除 如果操作设置为“去除”,则将从电子邮件中去除附件。此值允许邮件以及与附件阻止列表中条目不匹配的其他附件发送至收件人。并会在收件人的电子邮件中添加附件已被阻止的通知。
如果没有拒绝或删除邮件,或附件筛选没有检测到阻止的附件类型,则将对邮件进行病毒扫描。
有关详细信息,请参阅如何配置附件筛选。
防病毒扫描
应用附件筛选后,或如果在内容筛选中忽略了收件人,则应用 Forefront Security for Exchange Server 防病毒扫描,如图 8 所示。
图 8 Forefront Security for Exchange Server 防病毒扫描邮件流
.gif "Forefront 防病毒筛选器图")
Forefront Security for Exchange Server 是一个防病毒软件包,它与 Exchange 2007 紧密集成,并为 Exchange 环境提供额外的防病毒保护。在 Forefront Security for Exchange Server 检测到可能包含病毒的邮件时,系统将删除该邮件,并生成一封通知邮件,然后将该通知发送到收件人邮箱。
有关 Forefront Security for Exchange Server 的详细信息,请参阅 Protecting Your Microsoft Exchange Organization with Microsoft Forefront Security for Exchange Server(英文网页)。
Outlook 垃圾邮件筛选
应用了所有筛选器并对邮件进行了病毒扫描后,邮件将被发送到目标收件人的邮箱,并应用垃圾邮件筛选,如图 9 所示。
图 9 Outlook 垃圾邮件筛选邮件流
.gif "Outlook 垃圾邮件筛选器图")
如果邮件的 SCL 分级等于或大于 SCL 垃圾邮件文件夹阈值,并且启用了 SCL 垃圾邮件文件夹阈值,则邮箱服务器会将邮件投入 Outlook 用户的垃圾邮件文件夹。如果邮件的 SCL 值小于 SCL 删除、拒绝、隔离和垃圾邮件文件夹阈值,则邮箱服务器会将邮件投入用户的收件箱中。有关 SCL 阈值的详细信息,请参阅调整垃圾邮件信任级别阈值。
详细信息
有关反垃圾邮件和防病毒功能的详细信息,请参阅下列主题: