如何配置信息隔离墙

  • 项目

 

适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上一次修改主题: 2007-04-18

此主题说明如何在安装了集线器传输服务器角色的计算机上使用 Exchange 管理控制台或 Exchange 命令行管理程序来配置信息隔离墙。

“信息隔离墙”是公司或组织不同部门间的非通讯区域,可以阻止可能会导致敏感信息不当发布的利益冲突。可使用 Microsoft Exchange Server 2007 配置符合组织中的兼容性策略以及应用于组织中的法规和法律的信息隔离墙。

开始之前

若要创建一个新的信息隔离墙,其使用过程与新建传输规则过程相同。传输规则操作在集线器传输服务器上可用。使用这些操作可以防止邮件在单个收件人或收件人组之间进行传输。

使用传输规则新建信息隔离墙时,可配置条件和异常以控制信息隔离墙阻止的电子邮件。有关传输规则和信息隔离墙的详细信息,请参阅下列主题:

若要执行下列步骤,必须为您使用的帐户委派下列角色:

  • Exchange 组织管理员角色

有关管理 Exchange Server 2007 所需的权限、角色委派以及权利的详细信息,请参阅权限注意事项

此外,在执行后续过程之前,请先确认以下要求:

  • 应首先在测试环境中对传输规则进行测试   此主题说明了如何配置信息隔离墙。这需要创建或修改传输规则。在生产环境中修改现有传输规则或新建传输规则之前,应使用测试环境了解如何修改现有传输规则,并对其进行全面测试。若要在生产环境中运行以下过程,应对这些过程进行相应修改以使其支持您所在的组织。

  • 必须通过集线器传输服务器路由邮件以应用传输规则   为了将传输规则应用于电子邮件,必须存在一个可使邮件进入并离开应用传输规则服务器的路由。而且,此邮件不能受制于管理员配置的用于阻止邮件传递的传输限制。如果传输限制禁止传递邮件,则传输规则代理将无法处理该邮件。此外,还将记录传输规则代理事件。

  • 必须定义适当的作用域   如果未定义适当的作用域,则信息隔离墙可能会阻止所有邮件。创建传输规则以强制执行信息隔离墙时,必须指定条件以定义禁止其相互发送邮件的收件人和发件人。如果未指定任何条件,则必须指定异常以缩小传输规则的作用域。如果未指定条件和异常,则传输规则将阻止组织中所有收件人和发件人发送或接收邮件。

使用 Exchange 管理控制台创建信息隔离墙

在 Exchange 管理控制台中按照以下步骤在集线器传输服务器上创建信息隔离墙

在集线器传输服务器上使用 Exchange 管理控制台创建信息隔离墙

  1. 在集线器传输服务器上打开 Exchange 管理控制台。

  2. 在控制台树中,单击“组织配置”,再单击“集线器传输”。

  3. 在结果窗格中,单击“传输规则”选项卡,然后在操作窗格中,单击“新建传输规则…”。

  4. 在“名称”字段中,输入将强制执行信息隔离墙的传输规则的名称。

  5. 如果此规则有备注,请在“注释”字段中键入备注。

  6. 如果希望此规则在创建后处于禁用状态,请清除“已启用”复选框。否则,请将“已启用”复选框保留在选中状态。

  7. 单击“下一步”。

  8. 在“步骤 1. 选择条件”框中,选择要应用于此规则的所有条件。

    note注意:
    “在通讯组列表成员和通讯组列表之间”条件很适合强制执行信息隔离墙的传输规则。

  9. 如果在上一个步骤中选择了条件,请在“步骤 2. 编辑规则说明 (单击带下划线的值)”框中,单击各个带有蓝色下划线的词。

  10. 单击带有蓝色下划线的词后,会出现一个新窗口,提示您输入应用于该条件的值。选择要应用的值,或者手动键入这些值。如果该窗口要求手动向列表添加值,请键入值。接下来单击“添加”。重复此过程,直到输入所有值为止,然后单击“确定”关闭该窗口。

  11. 对选择的每个条件重复以上步骤。配置所有条件之后,请单击“下一步”。

  12. 在“步骤 1. 选择操作”框中,单击“向发件人发送包含增强状态代码的退回邮件”。此传输规则操作删除邮件,并向邮件的发件人发送未送达报告 (NDR)。

  13. 在“步骤 2. 编辑规则说明 (单击带下划线的值)”框中,执行以下步骤:

    1. 如果要修改默认文本,请单击“传递未被批准,邮件被拒绝”。在出现的新窗口中,输入要在发送给被拒绝邮件的发件人的 NDR 的“供管理员使用的诊断信息”部分中显示的新文本。完成后,请单击“确定”关闭窗口。

    2. 如果要修改向被拒绝的邮件的发送者发送的邮件,单击 5.7.1。默认情况下,将发送与 5.7.1 传递状态通知 (DSN) 代码相关的 NDR。

    3. 完成后,请单击“确定”关闭窗口。

    图 1   已修改的传输规则

    使用传输规则向导创建信息隔离墙

    有关可接受的值及 Exchange 2007 如何将 DSN 代码与传输规则相关联的详细信息,请参阅将 DSN 邮件与传输规则关联

    有关这些操作属性的详细信息,请参阅传输规则操作

  14. 如果要添加更多操作,请重复前面的步骤并选择要应用的传输规则操作。配置所有操作之后,请单击“下一步”。

  15. 在“步骤 1. 选择异常”框中,选择要应用于此规则的所有异常。选择异常并不是必须进行的操作。

  16. 如果在上一个步骤中选择了异常,请在“步骤 2. 编辑规则说明 (单击带下划线的值)”框中,单击各个带有蓝色下划线的词。

  17. 单击带有蓝色下划线的词后,会出现一个新窗口,提示您选择要添加的项目,或者手动键入这些值。完成后,请单击“确定”关闭窗口。

  18. 对选择的每个异常重复以上步骤。配置所有异常之后,请单击“下一步”。

  19. 检查“配置摘要”。如果对新规则的配置感到满意,请单击“新建”,然后单击“完成”。

使用 Exchange 命令行管理程序创建信息隔离墙

若要使用 Exchange 命令行管理程序创建强制执行信息隔离墙的传输规则,请参阅如何新建传输规则中的“使用 Exchange 命令行管理程序创建传输规则”部分。

控制由信息隔离墙阻止的邮件

以下过程显示了如何控制应用信息隔离墙的方式。在此示例中,BetweenMemberof 传输规则谓词用于禁止“Sales Group”通讯组与“Brokerage Group”通讯组之间的成员相互通信。BetweenMemberOf 传输规则谓词非常适合于强制执行信息隔离墙的传输规则。有关传输规则谓词的详细信息,请参阅传输规则谓词

使用 Exchange 命令行管理程序配置 BetweenMemberOf 传输规则谓词

  • 运行以下命令:

    $Condition = Get-TransportRulePredicate BetweenMemberOf
$Condition.Addresses = @((Get-DistributionGroup "Brokerage Group"))
$Condition.Addresses2 = @((Get-DistributionGroup "Sales Group"))

配置信息隔离墙操作

RejectMessage 传输规则操作用于阻止向被禁止的收件人发送邮件。将 RejectMessage 传输规则操作应用于邮件时,会向邮件的发件人返回 NDR,并删除邮件本身。可配置在 NDR 的管理员部分中显示的用户信息文本、DSN 代码和消息。

使用 Exchange 命令行管理程序选择 RejectMessage 传输规则操作

  • 运行以下命令:

    $Action = Get-TransportRuleAction RejectMessage

可修改在 NDR 的“供管理员使用的诊断信息”部分中向发件人显示的文本。此文本可提供有用的信息,使管理员了解邮件被拒绝的原因。

使用 Exchange 命令行管理程序配置出现在 NDR 中的“供管理员使用的诊断信息”文本

  • 运行以下命令:

    $Action.RejectReason = "Sample reject reason"

还可通过指定自定义 DSN 代码修改在 NDR 中的用户信息部分显示的 DSN 代码和消息。自定义 DSN 代码与自定义 DSN 邮件相关联。指定此代码很有用,可以指导用户访问指向特定策略或法规的 HTML 链接。默认情况下,将发送与 5.7.1 DSN 代码相关的 NDR。

例如,如果新建了信息隔离墙并希望在用户邮件被拒绝时引导用户访问特定策略,可在 EnhancedStatusCode 属性中指定新的、未使用的、自定义 DSN 代码。指定新的自定义 DSN 代码后,必须接着使用 New-SystemMessage cmdlet 创建 DSN 代码并指定引用该 DSN 代码时应显示的文本。

有关可接受的值及 Exchange 2007 如何将 DSN 代码与传输规则相关联的详细信息,请参阅将 DSN 邮件与传输规则关联

使用 Exchange 命令行管理程序通过指定自定义 DSN 代码配置 NDR 中的用户信息文本

  • 运行以下命令:

    $Action.EnhancedStatusCode = "5.7.228"

有关这些操作属性的详细信息,请参阅传输规则操作

新建信息隔离墙传输规则

配置了条件、异常和操作之后,请新建强制执行信息隔离墙的传输规则。

使用 Exchange 命令行管理程序新建强制执行信息隔离墙的传输规则

  • 运行以下命令:

    New-TransportRule -Name "Sample Ethical Wall Transport Rule" -Condition @($Condition) -Action @($Action)

配置强制执行信息隔离墙的传输规则

以下示例显示如何应用传输规则,以强制执行信息隔离墙来阻止在“Sales Group”通讯组和“Brokerage Group”通讯组的成员之间发送邮件。但有一个异常,即允许发送发件人是“Executives Group”通讯组的成员的邮件。

note注意:
这一假设的信息隔离墙使用自定义 DSN 代码和消息。本示例中的 New-SystemMessage 命令创建了自定义 DSN 代码和消息。有关详细信息,请参阅将 DSN 邮件与传输规则关联

使用 Exchange 命令行管理程序配置强制执行信息隔离墙的传输规则

  • 运行以下命令:

    $Condition = Get-TransportRulePredicate BetweenMemberOf
$Condition.Addresses = @((Get-DistributionGroup "Sales Group"))
$Condition.Addresses2 = @((Get-DistributionGroup "Brokerage Group"))
$Exception = Get-TransportRulePredicate FromMemberOf
$Exception.Addresses = @((Get-DistributionGroup "Executives Group"))
$Action = Get-TransportRuleAction RejectMessage
$Action.RejectReason = "Messages sent between members of the Sales Group and the Brokerage Group are prohibited."
$Action.EnhancedStatusCode = "5.7.228"
New-SystemMessage -DsnCode 5.7.228 -Internal $True -Language En -Text "A message was sent that violates company policy #123. For more information, please contact the Compliance department."
New-TransportRule "Sales-Brokerage Ethical Wall" -Condition @($Condition) -Exception @($Exception) -Action @($Action)

详细信息

有关每个命令的详细语法和参数信息,请参阅下列主题:

有关传输规则的详细信息,请参阅下列主题: