使用边缘传输规则来管理病毒

适用于： Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题： 2012-07-23

可使用 MicrosoftExchange Server 2010 中的边缘规则代理和传输规则帮助使组织免遭病毒的破坏。

每天都有新病毒威胁组织。为最大限度地减小病毒导致的破坏，防病毒软件供应商和管理员必须尽快对病毒威胁做出响应。尽管可以做出快速响应，但病毒威胁的出现时间与提供解决方案的时间之间难以避免地存在时间差。病毒威胁仍处于未知和未解决状态时，此差异称为“零日病毒威胁”。

同时，已在 Internet 上流传多年的病毒仍将继续对组织构成威胁。尽管防病毒扫描程序可以识别其中的大多数病毒，但防病毒扫描程序可能错误地脱机、使用过期的定义进行更新或遇到其他问题而使其不可用。

在安装了边缘传输服务器角色的计算机上运行的传输规则旨在帮助您管理和控制零日病毒威胁及以前就存在或持续的病毒威胁。

有关传输规则的详细信息，请参阅下列主题：

• 传输规则概述

• 了解如何应用传输规则

若要了解与反垃圾邮件和防病毒功能相关的管理任务，请参阅管理反垃圾邮件和防病毒功能。

管理病毒威胁

大多数病毒包含标识其为病毒的唯一特征，如“发件人”邮件头字段中的特定电子邮件地址、特定主题或附件。可以根据这些唯一的特征来配置传输规则以标识可能有害的邮件，并对其执行特定的操作。可用的操作包括将邮件发送到隔离邮箱、将其完全删除或在主题上添加警告。

标识病毒威胁

最大限度地在边缘传输服务器上的外围网络中标识出受感染的邮件数，以减小这些邮件进入 Exchange 组织后对其进行处理的成本，这很重要。如果能在边缘传输服务器上标识受感染的邮件并将其拒绝或删除，则不会产生在内部服务器上存储邮件的成本或对邮件进行病毒扫描的成本。

创建传输规则来标识病毒威胁时，应检查发布的有关病毒的报告，并查找标识病毒且可以在传输规则中使用的唯一特征。下表介绍了病毒可能包含的某些唯一特征：

• 主题或邮件正文中有限数目的字符串

• “发件人”头字段或“收件人”头字段中的特定电子邮件地址

• 具有特定值的特定邮件头字段

  重要说明：
  虽然能够标识特定病毒的唯一特征，但必须确保这些特征不与合法邮件中可能存在的任何内容匹配。

有关可以在边缘传输服务器上通过传输规则检查的邮件内容类型的详细信息，请参阅传输规则谓词。

使用传输规则控制病毒威胁

标识某病毒的唯一特征后，可以创建传输规则以对其执行操作。对特定邮件执行的操作取决于组织的策略。

警告：
如果决定断开 SMTP 连接、删除邮件或拒绝邮件，则执行这些操作后无法对其进行恢复。如果希望阻止邮件进行传递，但不希望将其删除，请配置规则以将邮件传递至隔离邮箱。

有关边缘传输服务器上的可用传输规则操作的详细信息，请参阅传输规则操作。

有关如何管理和配置用于标识可能受到病毒感染的邮件并对其执行操作的传输规则的详细信息，请参阅下列主题：

• 创建传输规则

• 查看传输规则

• 修改传输规则

• 删除传输规则

• 配置免责声明

下列主题提供帮助您管理并增强传输规则的其他信息：

• 传输规则谓词

• 传输规则操作

• 传输规则中的正则表达式

使用 Exchange 托管服务

Microsoft Exchange 托管服务中的服务可增强传输邮件策略。

Exchange 托管服务是一组服务，包含四种不同的托管服务：

• 托管筛选，帮助组织防御以电子邮件为载体的恶意软件

• 托管存档，帮助组织满足合规性的保留要求

• 托管加密，帮助组织对数据进行加密以保持机密性

• 托管连续性，帮助组织在发生紧急情况期间和之后仍然能够访问电子邮件

这些服务与在内部管理的所有本地 Exchange 服务器或通过服务提供商提供的托管 Exchange 电子邮件服务相集成。有关 Exchange 托管服务的详细信息，请参阅 Microsoft Exchange Hosted Services（英文网页）。

 © 2010 Microsoft Corporation。保留所有权利。