配置 FOPE 的最佳做法
应用于: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange
上次修改的主题: 2013-05-17
我们的客户发现,了解关于 Forefront Online Protection for Exchange (FOPE) 服务的以下内容有助于他们充分利用该服务并确保服务正常运行。若要观看演示如何配置本主题中介绍的选项的视频,请参阅配置 Forefront Online Protection for Exchange 的最佳做法(仅英文版)。
目录同步工具
免费的目录同步工具是一种在内部部署的 Active Directory、FOPE 和 Exchange Hosted Archive 服务之间安全自动地同步有效最终用户代理地址及其安全发件人(如果提供)的好方法。目录同步工具位于以下地址:https://www.microsoft.com/downloads/details.aspx?FamilyID=3cda6dcc-1124-4e0b-b991-de9d85ed12e1&DisplayLang=en
下载目录同步工具 (DST) 后,可以通过 DST 将用户列表(及其电子邮件地址)上载到 Hosted Services 网络。然后,可以将上载的用户列表用于基于目录的边缘阻止(通过将域的基于目录的边缘阻止设置为“拒绝”模式)、隔离访问或存档服务。
如果您的公司不具备 Microsoft Windows Active Directory 环境,您可以将用户列表源设置为管理中心或安全 FTP(上载用户列表的备用选项)。
有关 FOPE DST 的详细信息(例如概念综述、安装说明和支持信息),请参阅目录同步工具。
SPF 记录设置
SPF 通过提供一种验证发送主机的机制来防止在发送电子邮件通信时未经授权使用某一域名(即“欺骗”)。如果要配置 SPF 记录设置,请使用以下提示作为指导:
对于通过筛选网络发送出站邮件的域,可以在您的 SPF 记录以及各个出站邮件服务器 IP 地址中包含“spf.messaging.microsoft.com”。SPF 通过提供一种验证发送主机的机制来防止在发送电子邮件通信时未经授权使用某一域名(即“欺骗”)。
重要
这些说明仅对通过筛选网络发送电子邮件出站的域有效。
由于 SPF 用于验证给定 IP 地址是否有权从给定域发送邮件,因此筛选网络的出站 IP 地址需要包含在 SPF 记录中。添加整组 IP 的最简单方法是使用 SPF 记录中的“include:spf.messaging.microsoft.com”语句。
此外,您还可以列出所有出站邮件服务器 IP 地址。这些 IP 地址对于确保邮件传递到其他 FOPE 客户端是必不可少的。应通过 ip4:语句来添加每个 IP 地址。例如,若要将“127.0.0.1”添加为接受的出站发送 IP,可以将“ip4:127.0.0.1”添加到您的 SPF 记录中。如果您知道所有已获授权的 IP,则应使用 –all (Fail) 限定符添加这些 IP。如果您不确定是否拥有完整的 IP 列表,则应使用 ~all (SoftFail) 限定符。
例如:
Contoso.com 有三个出站邮件服务器,如下所示:
127.0.0.1
127.0.0.2
127.0.0.3
Contoso 的原始 SPF 记录如下所示:
"v=spf1 ip4:127.0.0.1 ip4:127.0.0.2 ip4:127.0.0.3 -all"
通过 FOPE 路由邮件后,Contoso 的 SPF 记录如下所示:
"v=spf1 include:spf.messaging.microsoft.com ip4:127.0.0.1 ip4:127.0.0.2 ip4:127.0.0.3 -all"
网络连接设置
下列提示有助于确保将数据流畅不间断地传送给 Hosted Filtering 服务。
在连接超时为 60 秒的 SMTP 服务器上配置设置。
将防火墙规则限制为仅接受来自 Hosted Filtering 服务使用的 IP 地址的入站 SMTP 连接后,我们建议将 SMTP 服务器配置为接受最大数量的来自所需服务的并发入站连接。
此外,如果该服务器通过 Hosted Filtering 服务发送出站电子邮件,则建议将其配置为每个连接发送的邮件数不超过 50 封,并且使用的并发连接数不超过 50 个。正常情况下,这些设置有助于确保服务器将数据流畅且不间断地传送给服务。
安全性
IP 限制
对订阅服务的访问可限制为从指定 IP 地址连接到网站的用户。此配置不允许从其他 IP 地址进行访问,这将从最大程度上减少未经授权的访问。IP 限制设置可在公司范围、域范围和用户范围应用。
密码策略
所有帐户都应始终使用强密码,尤其是管理员帐户。以下准则可以帮助创建强密码:
要求使用大小写字母、数字和特殊字符(?、!、@、$)
将密码设置为定期过期,例如每 3、4 或 6 个月。
其他垃圾邮件筛选选项
该服务还提供了其他垃圾邮件筛选 (ASF) 选项。默认情况下,建议关闭所有 ASF 选项,不过具有以下可能的例外情况:
图像链接到远程站点 — 如果用户接收许多包含具有垃圾邮件特征的内容的市场营销邮件、广告或新闻通讯,则建议使用此设置。
SPF 记录硬失败—对于担心接收仿冒欺诈邮件的组织,建议使用此设置。
“发件人地址”身份验证—对于担心仿冒欺诈的组织(尤其是在其用户受到欺骗时),建议打开此设置。但是,一般建议用户打开此选项以响应呈报而不是默认打开。
有关这些 ASF 选项及其他选项的详细信息,请参阅配置其他垃圾邮件筛选选项。
提示
-
您应考虑在“测试”模式下启用 ASF 选项,以识别其他有用的垃圾邮件选项,以便根据相应环境在最大程度上阻止垃圾邮件。对于经常收到垃圾邮件的客户,我们建议您在生产环境中实现这些选项前先对其进行测试。
-
客户应将所有到达桌面的垃圾邮件提交给 Hosted Filtering 服务垃圾邮件团队 (abuse@messaging.microsoft.com) 进行审阅。
-
客户还可以选择让其最终用户安装垃圾邮件报告工具。垃圾邮件报告工具可与 Microsoft® Office Outlook® 配合使用,使最终用户能够快速将垃圾邮件提交给 abuse@messaging.microsoft.com 进行分析,从而提高垃圾邮件筛选效率。
垃圾邮件报告工具可从此处下载:https://go.microsoft.com/fwlink/?LinkID=147248
还可以将您的域配置为在最终用户登录隔离网站时显示垃圾邮件报告工具的下载链接。
有关垃圾邮件报告工具的详细信息,请参阅 Junk E-mail Reporting Add-in for Microsoft Office Outlook。
误报提交
大多数作为误报提交的邮件是被准确筛选出的垃圾邮件,只是目标收件人仍然希望接收这些邮件。
为了了解作为误报报告给 Hosted Filtering 服务的邮件的类型和数量,管理员应将垃圾邮件筛选器的误报提交副本功能配置为提供邮件的副本,以供审阅。
重要
发送误报提交前,最终用户必须先登录隔离网站或补救邮件来查看该邮件,然后再将其转发到 false_positive@messaging.microsoft.com。
提交误报邮件时,必须将完整的邮件以及所有的 Internet 标头转发到误报邮箱。
策略筛选器
策略规则
除了垃圾邮件筛选和病毒筛选外,FOPE 管理中心策略规则还允许您通过配置可自定义的筛选规则来强制实施特定公司策略。您可以创建一组特定的规则,用于识别邮件并在 Hosted Filtering 服务处理这些邮件时对其采取特定的操作。例如,您可以创建一个将拒绝“主题”字段包含特定字词或短语的任何传入电子邮件的策略规则。另外,使用策略规则筛选器,您还可以通过上载文件(词典)来为多个策略规则添加和管理大型值(例如电子邮件地址、域和关键字)列表。
可以为多种电子邮件匹配条件配置策略规则:
标头字段名称和值
发件人 IP 地址、域和电子邮件地址
收件人域和电子邮件地址
附件文件名和文件扩展名
电子邮件主题、正文和其他邮件属性(大小、收件人数量)
有关策略规则的详细信息,请参阅策略规则。
防止仿冒和欺诈
策略筛选可用于帮助公司网络免受电子邮件攻击,以及保护最终用户的机密信息。
可通过检测组织中现有电子邮件内的个人信息来提供额外的反仿冒保护。例如,下列正则表达式可用于检测可能危及到隐私安全的个人财务数据或信息的传输过程:
\d\d\d\d\s\d\d\d\d\s\d\d\d\d\s\d\d\d\d (MasterCard Visa)
\d\d\d\d\s\d\d\d\d\d\d\s\d\d\d\d\d (American Express)
\d\d\d\d\d\d\d\d\d\d\d\d\d\d\d\d(任意 16 位数字)
\d\d\d\-\d\d\-\d\d\d\d(社会保险号)
阻止看似从您自己的域发出的入站电子邮件可以阻止垃圾邮件和网络钓鱼。对于从您的公司域发送到同一公司域 yourdomain.com 的邮件,可创建拒绝规则来阻止此类型的发件人欺诈。
重要
此规则应仅在您确定没有合法电子邮件从您的域通过 Internet 发送到邮件服务器时,才能创建。
扩展名阻止
策略筛选可通过多种方式用于防止公司网络受到电子邮件攻击,以及保护最终用户的机密信息。
通过文件扩展名阻止来防止威胁至少应阻止以下扩展名:EXE、PIF、SCR、VBS
若要增强保护,建议阻止下列部分或全部扩展名:ade、adp、ani、bas、bat、chm、cmd、com、cpl、crt、exe、hlp、ht、hta、inf、ins、isp、job、js、jse、lnk、mda、mdb、mde、mdz、msc、msi、msp、mst、pcd、pif、reg、scr、sct、shs、url、vb、vbe、vbs、wsc、wsf、wsh