边缘传输服务器上的收件人筛选

  • 项目

适用于:Exchange Server 2013

收件人筛选是 Microsoft Exchange Server 2013 中的"反垃圾邮件功能",根据 RCPT TO SMTP 头确定对入站邮件执行哪些操作(如果有)。 收件人筛选由收件人筛选器代理执行。

收件人筛选器代理根据组织内预期收件人的特征来阻止邮件。 在下列方案中的收件人筛选器代理有助于阻止邮件的接收:

  • 不存在的收件人:可以阻止传递到不在组织通讯簿中的收件人。 例如,你可能想要停止向经常滥用的帐户名称(如 administrator@contoso.com 或 support@contoso.com)的传递。

  • 受限通讯组列表:可以阻止将 Internet 邮件传递到仅应由内部用户使用的通讯组列表。

  • 不应从 Internet 接收邮件的邮箱:可以阻止将 Internet 邮件传递到组织内部常用的特定邮箱或别名,例如支持人员。

收件人筛选器代理对存储在下列数据源之一或两者中的收件人执行操作:

  • 收件人阻止列表:管理员定义的从 Internet 接收邮件的收件人列表。

  • 收件人查找:查询 Active Directory 以验证收件人在组织中是否存在。 在边缘传输服务器上,收件人查找需要访问 EdgeSync 提供的 Active Directory 信息,以获取 Active Directory 轻型目录服务(AD LDS)的本地实例。

在启用了收件人筛选器代理后,系统将根据收件人的特征,对入站邮件执行下列操作之一。 这些收件人由 RCPT TO 头表示。

  • 如果入站邮件包含收件人阻止列表中的收件人,则 Exchange 服务器会向发送服务器发送 550 5.1.1 User unknown SMTP 会话错误。

  • 如果入站邮件包含与收件人查找中的任何收件人不匹配的收件人,则 Exchange 服务器会向发送服务器发送 550 5.1.1 User unknown SMTP 会话错误。

  • 如果收件人不在收件人阻止列表中,并且收件人位于收件人查找中,则 Exchange 服务器将向发送服务器发送 SMTP 响应,链中的下一个 250 2.1.5 Recipient OK 反垃圾邮件代理将处理邮件。

配置收件人查找

减少垃圾邮件的一种最有效的方法是在接受来自 Internet 的入站邮件之前验证收件人。 在 Exchange 命令行管理程序中使用 Set-RecipientFilterConfig cmdlet,您可以阻止向 Exchange 组织中不存在的收件人发送邮件,还可以阻止特定的收件人。 有关详细信息,请参阅 管理边缘传输服务器上的收件人筛选

如果外围网络中安装有边缘传输服务器,最好配置在边缘传输服务器上运行的 AD LDS 实例,以与 Active Directory 保持同步。 默认情况下,在边缘传输服务器上安装和配置 AD LDS。 但是,您必须配置 AD LDS,通过订阅您组织的边缘传输服务器与 Active Directory 加入域的全局目录服务器进行通信。 有关详细信息,请参阅 在 Exchange 2013 中使用 Exchange 2010 或 2007 边缘传输服务器

缓送技术功能

收件人查找功能可让发送服务器决定电子邮件地址有效还是无效。 如前所述,当入站邮件的收件人是已知收件人时,Exchange 服务器会向发送服务器发送回 250 2.1.5 Recipient OK SMTP 响应。 此功能为帐户搜集攻击提供了一个理想的环境。

目录收集攻击是尝试从特定组织收集有效电子邮件地址,以便可将电子邮件地址添加到垃圾邮件数据库。 由于所有垃圾邮件收入都依赖于尝试让人们打开电子邮件,因此已知处于活动状态的地址是恶意用户或 垃圾邮件发送者支付的商品。 因为 SMTP 协议对已知发件人和未知发件人提供反馈,所以垃圾邮件制造者可以编写一个自动程序,使用常见名称或字典词汇组成特定域的电子邮件地址。 程序收集返回 250 2.1.5 Recipient OK SMTP 响应的所有电子邮件地址,并丢弃返回 550 5.1.1 User unknown SMTP 会话错误的所有电子邮件地址。 垃圾邮件制造者随后出售这些有效的电子邮件地址或将其用作未经请求的邮件的收件人。

为了预防帐户搜集攻击,Exchange 2013 包括了缓送技术功能。 延迟 是人为延迟特定 SMTP 通信模式的服务器响应的做法,这些模式指示大量垃圾邮件或其他不受欢迎的邮件。 缓送技术的目的是减慢此类电子邮件通信的通信过程,从而增加发送垃圾邮件的组织和个人发送垃圾邮件的成本。 缓送技术使帐户搜集攻击变得非常昂贵以至于无法有效地自动进行。

如果未配置 tarpitting,则当收件人不在收件人查找中时,Exchange 服务器会立即向发件人返回 550 5.1.1 User unknown SMTP 会话错误。 或者,如果配置了 tarpitting,则 SMTP 在返回 550 5.1.1 User unknown 错误之前会等待指定的秒数。 SMTP 会话中的这种暂停会使自动进行的帐户搜集攻击变得更加困难,从而降低垃圾邮件制造者的成本效益。 默认情况下,接收连接器的缓送技术配置为 5 秒。

若要在 SMTP 返回550 5.1.1 User unknown错误之前配置延迟,请使用 Set-ReceiveConnector cmdlet 上的 TarpitInterval 参数设置延迟间隔。 语法是:

Set-ReceiveConnector <Receive Connector> -TarpitInterval <00:00:00 to 00:10:00>

默认值为 00:00:05 或 5 秒。 边缘传输服务器上的默认接收连接器的名称为 Default internal receive connector <server name>

决定更改缓送间隔时必须谨慎。 如果间隔太长,会中断正常的邮件流;但是如果间隔太短,在阻止帐户搜集攻击时又不能发挥预期作用。 如果更改缓送间隔,请逐步少量地进行并验证结果。 例如,如果 5 秒钟无效,请尝试将间隔更改为 10 秒。

多个命名空间

收件人筛选器代理仅为权威域执行收件人查找。 如果您的组织代表配置为内部中继域或外部中继域的另一个域接受和转发邮件,则收件人筛选器代理不会对这些域中的收件人执行收件人查找。 但是,如果收件人阻止列表中指定收件人,收件人筛选器代理仍然会阻止该收件人。

请注意,您还可以在边缘传输服务器本地配置接受域。 如果域配置为内部中继域或外部中继域,则边缘传输服务器上的收件人筛选器代理也不会对这些域中的收件人执行收件人查找。