配置信息隔离墙
适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上一次修改主题: 2012-12-11
“信息隔离墙”是公司或组织不同部门间建立的非通讯区域,用于阻止可能会导致敏感信息不当发布的利益冲突。可使用 Microsoft Exchange Server 2010 配置符合组织中的兼容性策略以及应用于组织中的法规和法律的信息隔离墙。 有关信息隔离墙的详细信息,请参阅了解信息隔离墙。
若要创建信息隔离墙,请使用创建传输规则时所采用的相同过程。 通过创建传输规则实现信息隔离墙时,可配置条件和异常以控制信息隔离墙阻止的电子邮件。
.gif "小心") 警告: |
|---|
| 在生产环境中创建或修改传输规则之前,建议您使用测试环境了解传输规则的工作方式。 在生产环境中创建规则之前测试所有规则。 如果没有定义适当的作用域,则信息隔离墙将阻止所有邮件。 创建传输规则以强制执行信息隔离墙时,必须指定条件以定义禁止其相互发送邮件的收件人和发件人。 如果未指定任何条件,则必须指定异常以缩小传输规则的作用域。 如果未指定条件和异常,则传输规则将阻止组织中所有收件人和发件人发送或接收邮件。 |
先决条件
尽管无需使用 Exchange 2010 集线器传输服务器,但您必须通过 Exchange 2010 集线器传输服务器路由电子邮件,才能将传输规则应用于邮件。
使用 EMC 创建信息隔离墙
您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅邮件策略和遵从性权限主题中的“传输规则”条目。
在控制台树中,导航到“组织配置”>“集线器传输”。
在操作窗格中,单击“新建传输规则”。
在“简介”页上,填写下列字段:
名称:输入传输规则的名称。
注释 [可选] 键入规则的任何注释。
启用规则:如果希望规则创建后处于禁用状态,请清除此复选框。
在“条件”页上,完成下列步骤:
在“步骤 1: 选择条件”框中,选择要应用于此规则的所有条件。
.gif "注释")
注意:“在通讯组列表成员和通讯组列表之间”条件很适合强制执行信息隔离墙的传输规则。 如果在上一个步骤中选择了条件,请在“步骤 2. 通过单击带下划线的值编辑规则说明”框中,单击各个带蓝色下划线的词。
注意:单击带蓝色下划线的词后,系统将提示您输入应用于该条件的值。 选择要应用的值,或者手动键入这些值。 如果该提示窗口要求手动向列表中添加值,请输入值,然后单击“添加”。 重复此过程,直到输入所有值为止,然后单击“确定”关闭该窗口。 对选择的每个条件重复以上步骤。 配置所有条件之后,请单击“下一步”。
在“操作”页上,完成下列步骤:
在“步骤 1: 选择操作”框中,单击“向发件人发送包含增强状态代码的拒绝邮件”。 此传输规则操作删除邮件,并向邮件的发件人发送未送达报告 (NDR)。
在“步骤 2: 通过单击带下划线的值编辑规则说明”框中,执行下列步骤:
单击“拒绝邮件”。
在“指定拒绝邮件”对话框中,输入要在发送给被拒绝邮件的发件人的 NDR 的“供管理员使用的诊断信息”部分中显示的文本。 完成后,单击“确定”。
单击“增强状态代码”。
在“指定增强状态代码”对话框中,输入要在发送给被拒绝邮件的发件人的 NDR 的“供管理员使用的诊断信息”部分中显示的发送状态通知 (DSN)。 有效的增强状态代码值为
5.7.1以及从5.7.10到5.7.999的任何值。完成后,单击“确定”。注意:有关 Exchange 2010 如何将 DSN 代码与传输规则关联的详细信息,请参阅将 DSN 邮件与传输规则关联。
已修改的传输规则
.gif "使用传输规则创建的信息隔离墙")
如果要添加更多操作,请重复前面的步骤并选择要应用的传输规则操作。 配置所有操作之后,请单击“下一步”。
在“例外”页面上,完成以下可选步骤:
在“步骤 1: 选择异常(如有必要)”框中,选择要应用于此规则的所有异常。 选择异常并不是必须执行的操作。
如果选择了异常,请在“步骤 2: 通过单击带下划线的值编辑规则说明”框中单击各个带有蓝色下划线的词。
注意:单击带蓝色下划线的词后,系统将提示您选择要添加的项目,也可以手动键入这些值。 完成这些步骤后,单击“确定”,关闭窗口。针对所选的每个异常重复上一步。 配置所有异常之后,请单击“下一步”。
在“创建规则”页上,复查“配置摘要”。 如果对新规则的配置感到满意,请单击“新建”,然后单击“完成”。
使用命令行管理程序创建信息隔离墙
您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅邮件策略和遵从性权限主题中的“传输规则”条目。
在本示例中,Woodgrove Bank 希望阻止 Brokerage 组和 Sales 组成员之间的通信。 该银行决定通过使用传输规则在两个组之间实现信息隔离墙。
谓词 BetweenMemberOf 传输规则谓词用于禁止 Brokerage Group 通讯组与 Sales Group 通讯组成员之间的相互通信。 BetweenMemberOf 传输规则谓词非常适合于强制执行信息隔离墙的传输规则。 有关传输规则谓词的详细信息,请参阅传输规则谓词。
异常 Woodgrove Bank 需要创建此策略的异常,允许“高管组”通讯组成员彼此进行通信。成员可属于两组中的任何一组。 ExceptIfFromMemberOf 谓词用于实现此异常。
操作 RejectMessage 传输规则操作用于阻止向被禁止的收件人发送邮件。 将 RejectMessage 传输规则操作应用于邮件时,会向邮件的发件人返回 NDR,并删除邮件本身。 可配置在 NDR 的管理员部分中显示的用户信息文本、DSN 代码和消息。
可修改在 NDR 的“供管理员使用的诊断信息”部分中向发件人显示的文本。 此文本可提供有用的信息,使管理员了解邮件被拒绝的原因。
DSN 代码 默认情况下,RejectMessage 传输规则操作使用增强状态代码 5.7.1。 可通过指定一个自定义 DNS 代码修改返回的 DSN 代码。 自定义 DSN 代码必须与自定义 DSN 邮件相关联。 DSN 邮件出现在 NDR 的用户信息部分。 可以指定自定义 DSN 代码,以便能够为发件人提供更多详细信息。 您也可以指导发件人访问某个内部或公用 Web 页面,该页面中包含有关特定策略或法规的详细信息。
以下示例指定了 RejectMessageEnhancedStatusCode 属性中一个新的、未使用的自定义 DSN 代码。
New-TransportRule "Sample Ethical Wall" -Enabled $true -BetweenMemberOf1 BrokerageGroup@woodgrovebank.com -BetweenMemberOf2 SalesGroup@woodgrovebank.com -ExceptIfFromMemberOf ExecutivesGroup@woodgrovebank.com -RejectMessageReasonText "Sample Rejection Message" -RejectMessageEnhancedStatusCode '5.7.228'
接着,本示例创建自定义 DSN 代码,并指定连同该 DSN 代码返回邮件时应显示的文本。
New-SystemMessage -DsnCode 5.7.228 -Internal $true -Language En -Text "A message was sent that violates company policy #123. For more information, please contact the Compliance department."
有关可接受的值及 Exchange 2010 如何将 DSN 代码与传输规则关联的详细信息,请参阅将 DSN 邮件与传输规则关联。
有关语法和参数的详细信息,请参阅 New-TransportRule 和 New-SystemMessage。
© 2010 Microsoft Corporation。保留所有权利。