配置安全列表聚合

项目
05/13/2016

适用于： Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题： 2015-03-09

在 MicrosoftExchange Server 2010 中，“安全列表聚合” 表示在 MicrosoftOutlook 和 Exchange 之间共享的反垃圾邮件功能。此功能从反垃圾邮件安全收件人列表、安全发件人列表、阻止发件人列表以及 Outlook 用户配置的联系人数据中收集数据，并将这些数据提供给安装了边缘传输服务器角色的计算机上的反垃圾邮件代理使用。安全列表聚合可以帮助减少边缘传输服务器执行的反垃圾邮件筛选的误判情况。

本主题概述了如何配置安全列表聚合。若要了解有关安全列表聚合的详细信息，请参阅了解安全列表聚合。

若要了解与反垃圾邮件和防病毒功能相关的其他管理任务，请查看管理反垃圾邮件和防病毒功能。

使用命令行管理程序配置邮箱安全列表集合限制

您必须先获得权限，然后才能执行此过程。若要查看所需的权限，请参阅邮箱权限主题中的“收件人设置权限”部分。

注意：
不能使用 EMC 配置邮箱安全列表集合限制。

可以为每位用户配置用户可配置的最大安全发件人数和阻止发件人数。使用 Set-Mailbox cmdlet 可配置这些限制。默认情况下，用户最多可以配置 5000 个安全发件人和 500 个阻止发件人。通常情况下，不必修改这些限制。

本示例将邮箱 john@contoso.com 配置为最多具有 2000 个安全发件人和 200 个阻止发件人。

Set-Mailbox john@contoso.com -MaxSafeSenders 2000 -MaxBlockedSenders 200

有关语法和参数的详细信息，请参阅 Set-Mailbox。

使用命令行管理程序运行 Update-Safelist 命令

邮箱权限主题的“收件人设置权限”部分中的您必须先获得权限，然后才能执行此过程。若要查看所需的权限，请参阅“反垃圾邮件”条目。

注意：
您不能使用 EMC 运行 Update-Safelist 命令。

在 Exchange 2010 中，安全列表聚合是自动执行的；因此无需计划或手动运行 Update-Safelist cmdlet。但是，测试安全列表聚合时，仍然需要运行此 cmdlet。

Update-SafeList cmdlet 将从 Microsoft Outlook 用户邮箱读取安全列表集合，对各个项进行散列算法处理，对项进行排序以便于搜索，然后将散列值转换成二进制属性。最后，该命令会将创建的二进制属性与属性上存储的任何值进行比较。如果两个值相同，则该命令不使用安全列表聚合数据更新用户属性值。

请注意在运行此命令时可能生成的网络和复制通信。如果对大量使用安全列表的多个邮箱运行该命令，则可能生成大量通信。如果要对多个邮箱运行该命令，则建议您在非通信高峰期或非上班时间运行该命令。

重要说明：
安全列表聚合数据同时包含用户的安全发件人列表和用户的安全收件人列表。使用 Update-Safelist cmdlet 时，可以指定是更新安全发件人列表还是安全收件人列表，或二者都更新。但是，安全列表聚合功能只使用安全发件人列表数据；安全列表聚合功能不处理安全收件人列表数据。因此，若要减少 Active Directory 中多余的存储和复制，建议您不要在将 Type 参数设置为 `SafeRecipients` 或 `Both` 值的情况下运行 Update-Safelist cmdlet。 Type 参数的默认值为 `SafeSenders`。安全列表聚合功能将使用安全发件人数据。

重要说明：

安全列表聚合数据同时包含用户的安全发件人列表和用户的安全收件人列表。使用 Update-Safelist cmdlet 时，可以指定是更新安全发件人列表还是安全收件人列表，或二者都更新。但是，安全列表聚合功能只使用安全发件人列表数据；安全列表聚合功能不处理安全收件人列表数据。因此，若要减少 Active Directory 中多余的存储和复制，建议您不要在将 Type 参数设置为 SafeRecipients 或 Both 值的情况下运行 Update-Safelist cmdlet。 Type 参数的默认值为 SafeSenders。安全列表聚合功能将使用安全发件人数据。

重要说明：
Microsoft Exchange Server 2010 允许您使用 Update-Safelist cmdlet 来指定边缘传输服务器上的反垃圾邮件代理是否包含安全域数据。由于用户可能会包含大型 Internet 服务提供商 (ISP) 的域，而这样可能会在无意中泄露地址并被垃圾邮件发送者利用或欺骗，因此在大多数情况下建议您不要包含域。

此示例将邮箱 john@contoso.com 的安全发件人列表写入 Active Directory。

Update-Safelist -Identity john@contoso.com -Type SafeSenders

有关语法和参数的详细信息，请参阅 Update-SafeList。

msexchangemailboxassistants.exe.config 文件中提供的选项

若要激活这些选项以包含安全域，或者要更改默认设置的最大值，则必须更改 msexchangemailboxassistants.exe.config 文件。具体地说，可以在 msexchangemailboxassistants.exe.config 文件的 appsettings 部分中更改以下设置和值：

设置	值
IncludeSafeDomains	此设置的值可以为 True 或 False。
UpdateInterval	默认情况下，此设置的值为 15 分钟。此设置的值可以为 15 分钟至 1 天。
TestUpdateInterval	TestUpdateInterval 用于测试环境。此设置的值可以为 10 秒钟至 1 小时。
MaxSafeSenders	3*1024
MaxSafeRecipients	2*1024
MaxBlockedSenders	默认情况下，此设置的值为 500。最大值为 1000。

例如，msexchangemailboxassistants.exe.config 文件中的 appsettings 部分的设置可能如下：

<configuration>
  <runtime>
    <gcConcurrent enabled="false" />
    <generatePublisherEvidence enabled="false" />
  </runtime>
  <appSettings>

        <add key="IncludeSafeDomains" value="true" />

</appSettings>
</configuration>

验证安全列表聚合

首次部署边缘传输服务器并配置 EdgeSync 复制时，或者解决问题时，您可能需要验证安全列表聚合。通常情况下，您需要验证以下内容：

确保安全列表聚合数据正在由 EdgeSync 服务复制。
确保已启用内容筛选。
使用测试邮件验证安全列表聚合功能

以下部分提供了每个方案的分步操作说明：

使用 AD LDS 验证安全列表聚合数据的 EdgeSync 复制

传输权限主题中的您必须先获得权限，然后才能执行此过程。若要查看所需的权限，请参阅“边缘传输服务器”条目。

可以查看边缘传输服务器上的 Active Directory 轻型目录服务 (AD LDS) 实例中的用户对象，以验证是否针对用户对象更新了安全列表集合数据以及 MicrosoftExchange EdgeSync 服务是否已将数据复制到 AD LDS 实例。

每个用户对象有三个安全列表集合属性：

msExchSafeRecipientsHash 此属性存储用户的安全收件人列表集合的哈希值。
msExchSafeSendersHash 此属性存储用户的安全发件人列表集合的哈希值。
msExchBlockedSendersHash 此属性存储用户的阻止发件人列表集合的哈希值。

如果属性中出现十六进制字符串（例如，0xac 0xbd 0x03 0xca），则说明用户对象已更新。如果属性的值是 <Not Set>，则说明该属性未更新。

可以通过使用 AD LDS Active Directory 服务接口 (ADSI) 编辑管理单元来搜索和查看属性。

验证是否启用了内容筛选功能

您必须先获得权限，然后才能执行此过程。若要查看所需的权限，请参阅传输权限主题中的“反垃圾邮件功能”条目。

安全列表聚合功能依赖于内容筛选来识别 Outlook 用户的安全发件人列表或阻止发件人列表中的发件人。验证已在每个正在运行反垃圾邮件和防病毒功能的边缘传输服务器上启用内容筛选。默认情况下，内容筛选已启用。

使用 EMC 验证是否已启用内容筛选

在控制台树中，单击“边缘传输”。
在结果窗格中，单击“反垃圾邮件”选项卡，右键单击“内容筛选”，然后在操作窗格中单击“启用”。

使用命令行管理程序验证是否已启用内容筛选

本示例验证是否已启用内容筛选。

Get-ContentFilterConfig | Format-List Enabled

如果输出显示 Enabled 参数为 True，则已启用内容筛选。如果未启用，请使用以下命令启用内容筛选。

Set-ContentFilterConfig -Enabled:$true

有关语法和参数的详细信息，请参阅 Get-ContentFilterConfig 或 Set-ContentFilterConfig 主题。

使用邮件验证安全列表聚合是否正在运行

传输权限主题中的您必须先获得权限，然后才能执行此过程。若要查看所需的权限，请参阅“反垃圾邮件功能”和“EdgeSync”条目。

若要测试安全列表聚合是否在正常工作，需要从标记为安全发件人的发件人发送将被内容筛选阻止的邮件。如果安全列表聚合在正常工作，则 Outlook 收件箱应当收到该邮件。

通过使用 Hotmail 等基于 Web 的免费电子邮件提供程序创建电子邮件帐户。
在 Outlook 中将该帐户添加到安全发件人列表。
使用 Update-SafeList cmdlet 可将安全列表集合从该邮箱复制到 Active Directory。
运行 Start-EdgeSynchronization cmdlet 以强制执行 EdgeSync 复制。这会将已更新的数据复制到边缘传输服务器。有关详细步骤，请参阅强制进行 EdgeSync 同步。
为内容筛选配置添加一个特定单词，作为阻止短语。有关详细步骤，请参阅配置内容筛选属性。
从您在步骤 1 中创建的 Hotmail 帐户中，向 Exchange 邮箱发送包含在步骤 5 中配置的阻止短语的邮件。