瞭解寄件者識別碼

  • 發行項

 

適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上次修改主題的時間: 2016-11-28

寄件者識別碼代理程式是一個反垃圾郵件代理程式,在有安裝 Microsoft Exchange Server 2010 Edge Transport server role 的電腦上已啟用此代理程式。寄件者識別碼代理程式會依賴 RECEIVED SMTP 標頭和傳送系統 DNS 服務的查詢,以判定要針對輸入的郵件採取的動作 (如果有的話)。

在 Edge Transport server 上設定反垃圾郵件代理程式時,代理程式會慢慢地處理郵件以減少進入組織的來路不明電子郵件數目。如需如何規劃及部署反垃圾郵件代理程式的相關資訊,請參閱瞭解反垃圾郵件及防毒功能

寄件者識別碼是為了要抵禦寄件者和網域的仿造,這種作法通常稱為詐騙 (Spoofing)。詐騙郵件 (Spoofed mail) 是一封電子郵件,其寄件地址經過修改,看起來好像來自郵件真正寄件者以外的寄件者。

詐騙郵件通常會包含 [寄件者:] 地址,並聲稱來自特定組織。在過去,這非常容易詐騙 [寄件者:] 地址,包括在 SMTP 工作階段 (例如 MAIL FROM:標題) 以及在 RFC 822 郵件資料 (例如 From: "Masato Kawai" masato@contoso.com),這是因為標題不會驗證的緣故。

要尋找與管理傳輸伺服器相關的管理工作嗎?請參閱管理傳輸伺服器

目錄

使用者寄件者識別碼抵禦詐騙

更新組織面向網際網路的 DNS,以支援寄件者識別碼

指定要排除在寄件者識別碼篩選之外的收件者與寄件者網域

使用者寄件者識別碼抵禦詐騙

在 Exchange 2010 中,寄件者識別碼使詐騙難以得逞。當您啟用寄件者識別碼時,每一封郵件都會在郵件的中繼資料內包含一個寄件者識別碼狀態。收到電子郵件時,Edge Transport server 會查詢寄件者的 DNS 伺服器,以確認接收郵件的 IP 位址已獲授權傳送郵件給郵件標頭中指定的網域。已獲授權之傳送伺服器的 IP 位址被稱為 Purported Responsible Address (PRA)。

網域系統管理員會在其 DNS 伺服器上發佈寄件者原則框架 (SPF) 記錄。SPF 記錄會識別已獲授權的輸出電子郵件伺服器。如果 SPF 記錄是設定在寄件者的 DNS 伺服器上,Edge Transport server 會剖析 SPF 記錄,並判斷所接收之郵件的 IP 位址是否已獲授權代表郵件中指定的網域來傳送電子郵件。如需 SPF 記錄包含之內容及如何建立 SPF 記錄的相關資訊,請參閱寄件者識別碼

Edge Transport server 會依據 SPF 記錄,以寄件者識別碼狀態更新郵件中繼資料。當 Edge Transport server 更新郵件中繼資料之後,即會像平常一樣傳送郵件。

寄件者識別碼狀態值

寄件者識別碼評估程序會產生郵件的寄件者識別碼狀態。寄件者識別碼狀態可用來評估郵件的垃圾郵件信賴等級 (SCL) 分級。可將此狀態設為下列其中一個值:

  • Pass   IP 位址及 Purported Responsible Address (PRA) 均通過寄件者識別碼驗證檢查。

  • Neutral   發佈的寄件者識別碼明確未下定論。

  • Soft fail   PRA 的 IP 位址可能位於不允許的集合內。

  • **Fail   **不允許 IP 位址;傳入的郵件中找不到 PRA,或者傳送網域不存在。

  • **None   **寄件者的 DNS 中沒有發行的 SPF 資料。

  • **TempError   **發生暫時的 DNS 失敗 (如 DNS 伺服器無法使用)。

  • **PermError   **DNS 記錄無效 (如記錄格式錯誤)。

寄件者識別碼狀態會新增到郵件中繼資料中,稍後會轉換成 MAPI 內容。在產生 SCL 值的期間,MicrosoftOfficeOutlook 中的垃圾郵件篩選器會使用 MAPI 內容。

Outlook 既不會顯示寄件者識別碼狀態,也不會針對特定寄件者識別碼值來標示垃圾郵件。Outlook 只有在計算 SCL 值時,才會使用寄件者識別碼狀態值。

除了產生寄件者識別碼狀態的七個狀況之外,寄件者識別碼評估程序會顯示缺少 [寄件者:] IP 位址的執行個體。如果缺少 [寄件者:] IP 位址,就無法設定寄件者識別碼狀態。如果無法設定寄件者識別碼狀態,Exchange 就會繼續處理郵件,但郵件中便不會包括寄件者識別碼狀態。郵件不會被捨棄或拒絕。在此狀況下,不會設定寄件者識別碼狀態,而會記錄應用程式事件。

如需寄件者識別碼狀態在郵件中顯示方式的相關資訊,請參閱瞭解反垃圾郵件戳記

用於處理詐騙郵件和無法連線之 DNS 伺服器的寄件者識別碼選項

您也可以定義 Edge Transport server 如何處理被認為是詐騙郵件的郵件,以及當 DNS 伺服器無法連線時,Edge Transport server 該如何處理郵件。Edge Transport server 如何處理詐騙郵件及無法連線之 DNS 伺服器的選項包括下列動作:

  • Stamp the status   此選項為預設動作。所有送至組織的輸入訊息,這些訊息的中繼資料中都含有寄件者識別碼。

  • Reject   此選項會拒絕訊息並傳送 SMTP 錯誤回應至傳送伺服器。SMTP 錯誤回應為 5xx 等級通訊協定回應,並附有對應於寄件者識別碼狀態的文字。

  • Delete   此選項會刪除郵件,但不會通知傳送系統已刪除。事實上,Edge Transport server 會傳送假的 "OK" SMTP 命令到傳送伺服器,然後刪除該訊息。因為傳送伺服器會假設郵件已傳送,所以不會在相同工作階段中重試傳送郵件。

如需如何設定寄件者識別碼代理程式的相關資訊,請參閱設定寄件者識別碼內容

回到頁首

更新組織面向網際網路的 DNS,以支援寄件者識別碼

寄件者識別碼的有效性取決於特定的 DNS 資料。有越多的組織使用 SPF 記錄來更新面向網際網路的 DNS 伺服器,寄件者識別碼就越能有效地發現冒名電子郵件。

若要支援寄件者識別碼基礎結構,您必須建立 SPF 記錄並在您的公用 DNS 伺服器上主控此記錄,藉以更新面向網際網路的 DNS 資料。如需如何建立及部署 SPF 記錄的相關資訊,請參閱寄件者識別碼

回到頁首

指定要排除在寄件者識別碼篩選之外的收件者與寄件者網域

您可能想要將特定的收件者與寄件者網域排除在寄件者識別碼篩選之外。若要執行此動作,您可以在 Exchange 管理命令介面中指定收件者與寄件者網域。您無法在 Exchange 管理主控台上指定收件者與寄件者網域。

如需如何設定寄件者識別碼排除的收件者與寄件者網域的相關資訊,請參閱 Set-SenderIdConfig

回到頁首

 © 2010 Microsoft Corporation. 著作權所有,並保留一切權利。