收件者篩選
適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上次修改主題的時間: 2006-08-21
收件者篩選器代理程式是一個反垃圾郵件代理程式,已安裝 Microsoft Exchange Server 2007 Edge Transport server role 的電腦上會啟用此代理程式。收件者篩選器代理程式依賴 RCPT TO 簡易郵件傳送通訊協定 (SMTP) 標頭 (若有的話),來決定要對輸入訊息採取的動作。
在 Edge Transport server 上設定反垃圾郵件代理程式時,代理程式會逐漸處理郵件,以減少進入組織之來路不明的郵件數。如需如何規劃及部署反垃圾郵件代理程式的相關資訊,請參閱反垃圾郵件及防毒功能。
收件者篩選器代理程式會根據組織中預定收件者的特性來封鎖訊息。收件者篩選器代理程式可以協助您防止在下列案例中接受訊息:
不存在的收件者 您可以防止傳遞至不在組織通訊錄內的收件者。例如,您可能想要停止傳遞至常被濫用的帳戶名稱,例如 administrator@contoso.com 或 support@contoso.com。
限制的通訊群組清單 您可以防止網際網路郵件傳遞至只應由內部使用者使用的通訊群組清單。
絕對不應收到網際網路郵件的信箱 您可以防止網際網路郵件傳遞至通常只在組織內部使用的特定信箱或別名,例如 Helpdesk。
收件者篩選器代理程式作用於儲存在下列一或兩個資料來源中的收件者:
收件者封鎖清單 系統管理員定義的收件者清單,這些收件者一律不接受網際網路輸入的訊息。
收件者查閱 確認收件者是在組織中。收件者查閱需要能夠存取 EdgeSync 提供給 Active Directory 應用程式模式 (ADAM) 的 Active Directory 目錄服務資訊。
如需收件者封鎖清單與收件者查閱功能的相關資訊,請參閱本主題稍後的<收件者資料來源>。
啟用收件者篩選器代理程式時,會根據收件者的特性,對輸入郵件採取下列其中一個動作。這些收件者由 RCPT TO 標頭指示。
如果輸入郵件包含收件者封鎖清單中的收件者,則 Edge Transport server 會傳送 "550 5.1.1 User unknown" SMTP 工作階段錯誤至傳送伺服器。
如果輸入郵件所含的收件者與收件者查閱中的所有收件者都不符,則 Edge Transport server 會傳送 "550 5.1.1 User unknown" SMTP 工作階段錯誤至傳送伺服器。
如果收件者不在收件者封鎖清單中,但是有在收件者查閱中,則 Edge Transport server 會傳送 "250 2.1.5 Recipient OK" SMTP 回應至傳送伺服器,由鏈結中的下一個反垃圾郵件代理程式會處理郵件。
收件者資料來源
前面提過,收件者篩選器代理程式比較輸入郵件的收件者時,會參考兩個資料來源:收件者封鎖清單和收件者查閱。
收件者封鎖清單
收件者封鎖清單是由 Edge Transport server 系統管理員維護的清單。收件者封鎖清單資料會儲存在 ADAM 的 Edge Transport server 執行個體中。您必須在每部 Edge Transport server 電腦上輸入封鎖的收件者。
您可以在 Exchange 管理主控台 [收件者篩選內容] 頁面的 [封鎖的收件者] 索引標籤上輸入收件者。也可以使用 Exchange 管理命令介面裡的 Set-RecipientFilterConfig 命令輸入收件者。如需如何設定收件者篩選器代理程式的相關資訊,請參閱設定收件者篩選。
收件者查閱
收件者篩選器代理程式的優點之一,是能在 Exchange 2007 將郵件傳輸到您的組織之前,確認輸入郵件的收件者是在您的組織中。確認收件者在您組織中的能力,依賴的是 Edge Transport server 可以使用的收件者資料來源。由於 Edge Transport server 是未加入 Active Directory 網域的電腦,而且會被防火牆擋在組織之外,因此您必須設定供 Edge Transport server 使用的收件者查閱資料來源。
Edge Transport server role 須使用 ADAM 進行組態與資料儲存。如需相關資訊,請參閱 使用 Edge 訂閱以 Active Directory 資料填入 ADAM。
垃圾郵件防堵 (Tarpitting) 功能
收件者查閱功能可讓傳送伺服器判定電子郵件地址是否有效。前面提過,輸入郵件的收件者若是已知的收件者,Edge Transport server 就會傳回一個 "250 2.1.5 Recipient OK" SMTP 回應至傳送伺服器。此功能為目錄搜集攻擊提供了理想的環境。
「目錄搜集攻擊」會嘗試從特定組織收集有效的電子郵件地址,以便將電子郵件地址加入垃圾郵件資料庫中。因為所有傳入的垃圾郵件都必須經由人員開啟電子郵件才能作用,所以惡意使用者或「垃圾郵件傳送者」會出錢購買已知使用中的地址。由於 SMTP 通訊協定會提供已知寄件者和未知寄件者的回應,因此垃圾郵件傳送者可以編寫一個自動化程式,使用常見名稱或字典名詞,建構特定網域的電子郵件地址。程式會收集傳回 "250 2.1.5 Recipient OK" SMTP 回應的所有電子郵件地址,並捨棄傳回 "550 5.1.1 User unknown" SMTP 工作階段錯誤的所有電子郵件地址。然後垃圾郵件傳送者可以販售有效的電子郵件地址,或是使用這些地址作為來路不明郵件的收件者。
為了對抗目錄搜集攻擊,Exchange 2007 包含了垃圾郵件防堵功能。「垃圾郵件防堵」是指針對指出大量垃圾郵件或其他煩人郵件的特定 SMTP 通訊模式,以人工方式延遲伺服器回應的作法。垃圾郵件防堵的目的是減慢這些電子郵件流量的通訊處理速度,使傳送垃圾郵件的人員或組織傳送垃圾郵件的成本增加。垃圾郵件防堵使目錄搜集攻擊需要極高的代價才能有效自動執行。
如果未設定垃圾郵件防堵,Exchange Server 會在收件者查閱中沒有收件者時,立即傳回 "550 5.1.1 User unknown" SMTP 工作階段錯誤給寄件者。如果設定了垃圾郵件防堵,則 SMTP 會在等候特定的秒數後,才傳回 "550 5.1.1 User unknown" 錯誤。此 SMTP 工作階段的暫停,會使目錄搜集攻擊更難自動執行,降低垃圾郵件傳送者的成本效益。根據預設,接收連接器上的垃圾郵件防堵會設定為 5 秒。
若要設定 SMTP 在傳回 "550 5.1.1 User unknow" 錯誤之前等候的時間,請使用 Exchange 管理主控台或 Exchange 管理命令介面來設定接收連接器上的 TarpitInterval 值。如需如何管理及設定接收連接器的相關資訊,請參閱 接收連接器。
多重命名空間
有些組織接受多個網域的電子郵件。例如,某個組織可能接受 Contoso.com 和 Woodgrovebank.com 這兩個網域的郵件。有時候,組織擁有其接受郵件之所有網域的授權。以 SMTP 的情況而言,如果組織主控及管理某個網域的信箱,此組織便擁有該網域的授權。此關係延伸至 Edge Transport server。Edge Transport server 可以接受多個網域的郵件,但是不一定擁有所有網域的授權。例如,可以將 Edge Transport server 設為擁有 Contoso.com 網域中所有收件者的授權,但是 Edge Transport server 還是會接受及轉寄 Woodgrovebank.com 網域的郵件。
啟用收件者篩選器代理程式時,收件者篩選器代理程式只會在指定為傳輸伺服器組態之授權網域的網域中,執行收件者查閱。如果 Edge Transport server 代表另一個網域接受和轉寄郵件,但是 Edge Transport server 並未設定為授權,則收件者篩選器代理程式並不會執行收件者查閱。不過,如果收件者封鎖清單中指定了非授權網域的收件者,則仍然會封鎖該收件者。
相關資訊
如需相關資訊,請參閱下列主題: