了解收件者篩選

  • 發行項

 

適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上次修改主題的時間: 2012-11-30

收件者篩選器代理程式是一個反垃圾郵件代理程式,會在執行已安裝 Edge Transport server role 之 MicrosoftExchange Server 2010 的電腦上啟用。收件者篩選器代理程式依賴 RCPT TO SMTP 標頭 (若有的話),來決定要對輸入郵件採取的動作。

在 Edge Transport Server 上設定反垃圾郵件代理程式時,代理程式會逐漸處理郵件,以減少進入組織之來路不明的郵件數。如需如何規劃及部署反垃圾郵件代理程式的相關資訊,請參閱瞭解反垃圾郵件及防毒功能

收件者篩選器代理程式會根據組織中預定收件者的特性來封鎖訊息。收件者篩選器代理程式可以協助您防止在下列案例中接受訊息:

  • 不存在的收件者   您可以防止傳遞至不在組織通訊錄內的收件者。例如,您可能想要停止傳遞至常被濫用的帳戶名稱,例如 administrator@contoso.com 或 support@contoso.com。

  • 限制的通訊群組清單   您可以防止網際網路郵件傳遞至只應由內部使用者使用的通訊群組清單。

  • 絕對不應收到網際網路郵件的信箱   您可以防止網際網路郵件傳遞至通常只在組織內部使用的特定信箱或別名,例如 Helpdesk。

收件者篩選器代理程式會對儲存在下列一或兩個資料來源中的收件者執行:

  • 收件者封鎖清單   系統管理員定義的收件者清單,這些收件者一律不接受網際網路輸入的訊息。

  • 收件者查閱   確認收件者是在組織中。收件者查閱需要存取 EdgeSync 對 Active Directory 輕量型目錄服務 (AD LDS) 提供的 Active Directory 資訊。

如需收件者封鎖清單與收件者查閱功能的相關資訊,請參閱本主題稍後的<收件者資料來源>。

啟用收件者篩選器代理程式時,會根據收件者的特性,對輸入郵件採取下列其中一個動作。這些收件者由 RCPT TO 標頭指示。

  • 如果輸入郵件包含收件者封鎖清單中的收件者,則 Edge Transport server 會傳送 "550 5.1.1 User unknown" SMTP 工作階段錯誤至傳送伺服器。

  • 如果輸入郵件所含的收件者與收件者查閱中的所有收件者都不符,則 Edge Transport server 會傳送 "550 5.1.1 User unknown" SMTP 工作階段錯誤至傳送伺服器。

  • 如果收件者不在收件者封鎖清單中,但是有在收件者查閱中,則 Edge Transport server 會傳送 "250 2.1.5 Recipient OK" SMTP 回應至傳送伺服器,由鏈結中的下一個反垃圾郵件代理程式會處理郵件。

要尋找與反垃圾郵件和防病毒功能相關的管理工作嗎?請參閱管理反垃圾郵件及防病毒功能

目錄

設定 AD LDS 進行收件者查閱

收件者資料來源

垃圾郵件防堵 (Tarpitting) 功能

設定垃圾郵件防堵間隔

多重命名空間

設定 AD LDS 進行收件者查閱

若要減少垃圾郵件,最有效的方法之一,就是在接收網際網路的輸入郵件之前先驗證收件者。因此,將在 Edge Transport server 上執行的 AD LDS 執行個體,設定為可與 Active Directory 同步處理,是很理想的方式。根據預設,AD LDS 是在 Edge Transport server 上進行安裝及設定。但您必須設定 AD LDS,使其與加入 Active Directory 網域的通用類別目錄伺服器進行通訊。通常您還必須設定防火牆,啟用特定的連接埠與 AD LDS 進行通訊。如需詳細資訊,請參閱了解 Edge 訂閱

在您設定 AD LDS 使其從 Active Directory 複寫收件者封鎖清單後,接著必須針對傳送給不在 Exchange 組織中之收件者的郵件啟用封鎖功能。您可以在 Exchange 管理主控台 (EMC) 的 [收件者篩選內容] 頁面中,於 [封鎖的收件者] 索引標籤上啟用郵件封鎖。您也可以使用 Exchange 管理命令介面中的 Set-RecipientFilterConfig 指令程式啟用郵件封鎖。如需詳細資訊,請參閱 Set-RecipientFilterConfig

設定 AD LDS 進行收件者查閱

收件者資料來源

前面提過,收件者篩選器代理程式比較輸入郵件的收件者時,會參考兩個資料來源:收件者封鎖清單和收件者查閱。

收件者封鎖清單

收件者封鎖清單是由 Edge Transport server 系統管理員所維護。收件者封鎖清單資料會儲存在 AD LDS 的 Edge Transport server 執行個體中。您必須在每部 Edge Transport server 電腦上輸入封鎖的收件者。

您可以在 EMC 中 [收件者篩選內容] 頁面的 [封鎖的收件者] 索引標籤上,輸入您要收件者篩選器代理程式封鎖的收件者。您可以使用命令介面中的 Set-RecipientFilterConfig 指令程式輸入收件者。如需如何設定收件者篩選器代理程式的相關資訊,請參閱設定收件者篩選內容

收件者查閱

收件者篩選器代理程式的優點之一,是能在 Exchange 2010 將郵件傳輸到您的組織之前,確認輸入郵件的收件者是在您的組織中。確認收件者在您組織中的能力,必須依賴 Edge Transport server 可以使用的收件者資料來源。由於 Edge Transport server 是未加入 Active Directory 網域的電腦,而且會被防火牆擋在組織之外,因此您必須設定供 Edge Transport server 使用的收件者查閱資料來源。

Edge Transport server role 使用 AD LDS 進行設定與資料儲存。如需詳細資訊,請參閱了解 Edge 訂閱

設定 AD LDS 進行收件者查閱

垃圾郵件防堵 (Tarpitting) 功能

收件者查閱功能可讓傳送伺服器判定電子郵件地址是否有效。前面提過,輸入郵件的收件者若是已知的收件者,Edge Transport server 就會傳回一個 "250 2.1.5 Recipient OK" SMTP 回應至傳送伺服器。此功能為目錄搜集攻擊提供了理想的環境。

目錄搜集攻擊會嘗試從特定組織收集有效的電子郵件地址,以便將電子郵件地址加入垃圾郵件資料庫中。因為所有傳入的垃圾郵件都必須經由人員開啟電子郵件才能作用,所以惡意使用者或垃圾郵件傳送者 會出錢購買已知使用中的地址。由於 SMTP 通訊協定會提供已知寄件者和未知寄件者的回應,因此垃圾郵件傳送者可以編寫一個自動化程式,使用常見名稱或字典名詞,建構特定網域的電子郵件地址。程式會收集傳回 "250 2.1.5 Recipient OK" SMTP 回應的所有電子郵件地址,並捨棄傳回 "550 5.1.1 User unknown" SMTP 工作階段錯誤的所有電子郵件地址。然後垃圾郵件傳送者可以販售有效的電子郵件地址,或是使用這些地址作為來路不明郵件的收件者。

為了對抗目錄搜集攻擊,Exchange 2010 包含了垃圾郵件防堵功能。垃圾郵件防堵是指針對指出大量垃圾郵件或其他煩人郵件的特定 SMTP 通訊模式,以人工方式延遲伺服器回應的作法。垃圾郵件防堵的目的是減慢這些電子郵件流量的通訊處理速度,使傳送垃圾郵件的人員或組織傳送垃圾郵件的成本增加。垃圾郵件防堵使目錄搜集攻擊需要極高的代價才能有效自動執行。

如果未設定垃圾郵件防堵,Exchange Server 會在收件者查閱中沒有收件者時,立即傳回 "550 5.1.1 User unknown" SMTP 工作階段錯誤給寄件者。如果設定了垃圾郵件防堵,則 SMTP 會在等候特定的秒數後,才傳回 "550 5.1.1 User unknown" 錯誤。此 SMTP 工作階段的暫停,會使目錄搜集攻擊更難自動執行,降低垃圾郵件傳送者的成本效益。根據預設,接收連接器上的垃圾郵件防堵會設定為 5 秒。

若要設定 SMTP 在傳回 "550 5.1.1 User unknow" 錯誤之前等候的時間,請使用 EMC 或命令介面來設定接收連接器上的 TarpitInterval 值。如需如何管理及設定接收連接器的相關資訊,請參閱 瞭解接收連接器

設定 AD LDS 進行收件者查閱

設定垃圾郵件防堵間隔

了解收件者篩選中所說明,您可以對處理網際網路輸入訊息的接收連接器加以設定,使其降低 SMTP 的回應速度。請確實啟用接收連接器上的垃圾郵件防堵功能,特別是在已啟用收件者篩選的收件者查閱功能時。若您未啟用垃圾郵件防堵,但已啟用收件者查閱功能,您的組織就有可能遭受目錄搜集攻擊。目錄搜集攻擊將可能造成更多垃圾郵件。

當您指定接收連接器上的垃圾郵件防堵間隔時間時,即會啟用垃圾郵件防堵。預設值為 5 秒。建議您一開始將此值設為 5 (秒)。如有變更此值的必要,請謹慎執行。間隔過長可能會使一般的郵件流量中斷,但間隔若過短,則可能無法有效防止目錄搜集攻擊。因此在變更垃圾郵件防堵間隔值時,請採用微量增減的方式。

如果您執行的 Exchange Server 版本早於 MicrosoftExchange Server 2010 Service Pack 2 (SP2),可以在 EMC 中 [接收連接器內容] 頁面的 [安全性] 索引標籤上設定垃圾郵件防堵間隔,或者使用 Exchange 管理命令介面 中的 Set-ReceiveConnector Cmdlet。如需使用 EMC 設定垃圾郵件防堵間隔的詳細資訊,請參閱設定接收連接器內容

如果您要執行 Exchange Server 2010 SP2 或更新版本,請使用 Exchange 管理命令介面 中的 Set-ReceiveConnector Cmdlet 設定垃圾郵件防堵間隔。

設定 AD LDS 進行收件者查閱

多重命名空間

有些組織接受多個網域的電子郵件。例如,某個組織可能接受 Contoso.com 和 Woodgrovebank.com 這兩個網域的郵件。有時候,組織擁有其接受郵件之所有網域的授權。以 SMTP 的情況而言,如果組織主控及管理某個網域的信箱,此組織便擁有該網域的授權。此關係延伸至 Edge Transport server。Edge Transport server 可以接受多個網域的郵件,但是不一定擁有所有網域的授權。例如,可以將 Edge Transport server 設為擁有 Contoso.com 網域中所有收件者的授權,但是 Edge Transport server 還是會接受及轉寄 Woodgrovebank.com 網域的郵件。

啟用收件者篩選器代理程式時,收件者篩選器代理程式只會在指定為傳輸伺服器組態之授權網域的網域中,執行收件者查閱。如果 Edge Transport server 代表另一個網域接受和轉寄郵件,但是 Edge Transport server 並未設定為授權,則收件者篩選器代理程式並不會執行收件者查閱。不過,如果收件者封鎖清單中指定了非授權網域的收件者,則仍然會封鎖該收件者。

設定 AD LDS 進行收件者查閱

 © 2010 Microsoft Corporation. 著作權所有,並保留一切權利。