設定連線篩選

Exchange 2007
 

適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間: 2007-07-06

本主題提供如何設定連線篩選的概觀。至於自訂或較為進階的組態,請參閱本主題各節中的連結。如需連線篩選運作方式的相關資訊,請參閱連線篩選

note附註:
就電腦上已安裝 Edge Transport server role 的可設定元件來說,連線篩選功能是指 IP 封鎖清單、IP 允許清單、IP 封鎖清單提供者及 IP 允許清單提供者的組合。連線篩選可以用來擴展伺服器。

設定連線篩選時,必須遵循下列步驟:

  1. 啟用連線篩選元件。

  2. 將 IP 位址新增至 IP 允許清單和 IP 封鎖清單。

  3. 設定 IP 允許清單提供者和 IP 封鎖清單提供者。

  4. 為並非第一個簡易郵件傳送通訊協定 (SMTP) 進入點的 Edge Transport Server 設定連線篩選。

  5. 測試 IP 封鎖與 IP 允許功能。

important重要事項:
您使用 Exchange 管理主控台或 Exchange 管理命令介面對連線篩選所做的組態變更,只會套用到已安裝 Edge Transport server role 的本機電腦。如果組織內執行多個 Edge Transport server role 執行個體,則必須將連線篩選組態變更套用至每部電腦。

Edge Transport Server 預設會針對來自網際網路,但未通過驗證的輸入訊息啟用連線篩選。會使用與處理外部訊息相同的方式來處理這些訊息。您可以使用 Exchange 管理主控台或 Exchange 管理命令介面,在個別電腦組態中停用篩選。

當電腦上啟用連線篩選時,連線篩選器代理程式會篩選經由該電腦的所有接收連接器而進來的所有郵件。如同本主題中先前所述,只有來自外部來源的訊息才會受到篩選。「外部來源」的定義是未經驗證的來源。這些都視為匿名網際網路來源。

如需如何設定接收連接器與如何判定郵件來源類別的相關資訊,請參閱 接收連接器

最佳作法是不要篩選來自受信任之協力廠商或來自組織內部的訊息。執行反垃圾郵件篩選器時,篩選器永遠都有可能將非垃圾郵件偵測為垃圾郵件。若要降低錯誤處理合法電子郵件的可能性,您應讓反垃圾郵件代理程式僅針對來自潛在不受信任與未知來源的郵件執行。您可以使用 Exchange 管理命令介面,指定對任何來源的郵件啟用和停用連線篩選。

如需如何啟用連線篩選的相關資訊,請參閱如何啟用連線篩選

連線篩選所說明,IP 封鎖清單與 IP 允許清單是系統管理員定義的清單,指定連線篩選所針對的 IP 位址和 IP 位址範圍。如果原始 IP 位址與 IP 封鎖清單上的 IP 位址或 IP 位址範圍相符,則連線篩選器代理程式會處理郵件中的所有 RCPT TO: 標頭,然後在 MAIL FROM 命令後拒絕郵件。如果原始 IP 位址與 IP 允許清單中的 IP 位址或 IP 位址範圍相符,則連線篩選器代理程式會直接將訊息傳送到目的地,而不交給其他反垃圾郵件代理程式處理。如需反垃圾郵件代理程式如何一起運作和套用之順序的相關資訊,請參閱反垃圾郵件及防毒功能

note附註:
只有當 Microsoft Exchange Server 2007 Service Pack 1 (SP1) 已部署在執行 Windows Server 2008 的電腦上、該電腦已啟用 IPv6 與網際網路通訊協定第四版 (IPv4),且網路同時支援這兩個 IP 位址版本時,才支援使用網際網路通訊協定第 6 版 (IPv6) 位址和 IP 位址範圍。如果在此組態中部署 Exchange 2007 SP1,則所有伺服器角色都可以對使用 IPv6 位址的裝置、伺服器及用戶端來傳送資料和接收資料。Windows Server 2008 的預設安裝會啟用對 IPv4 和 IPv6 的支援。如果 Exchange 2007 SP1 是安裝在 Windows Server 2003,則不支援 IPv6 位址。如需針對 IPv6 位址之 Exchange 2007 SP1 支援的相關資訊,請參閱 Exchange 2007 SP1 和 SP2 中的 IPv6 支援

如需如何將 IP 位址加入 IP 封鎖清單和 IP 允許清單的相關資訊,請參閱如何將 IP 位址新增至 IP 允許清單和 IP 封鎖清單

IP 封鎖清單與 IP 允許清單提供者服務可協助您減少 Edge Transport Server 上的垃圾郵件,增加整體郵件處理。您應該考慮設定多個 IP 封鎖清單提供者服務和 IP 允許清單提供者服務。

note附註:
多個 IP 封鎖清單提供者服務有時稱為即時封鎖清單 (RBL) 服務。IP 允許清單提供者服務有時稱為安全清單服務。

您可以針對所設定的每個 IP 封鎖清單提供者服務,自訂當寄件者 IP 位址與 IP 封鎖清單提供者服務相符,造成被連線篩選器代理程式封鎖時,傳回給寄件者的 SMTP 550 錯誤。最佳作法是自訂 SMTP 550 錯誤,識別將寄件者當成為已封鎖 IP 位址的 IP 封鎖清單提供者服務。此最佳作法能讓合法的寄件者連絡 IP 封鎖清單提供者服務,以便將自己從 IP 封鎖清單提供者服務的 IP 封鎖清單中移除。

當傳送訊息之遠端伺服器的 IP 位址與 IP 封鎖清單提供者服務之 IP 封鎖清單上的 IP 位址相符時,不同的 IP 封鎖清單提供者服務可能會傳回不同的代碼。大部分 IP 封鎖清單提供者服務會傳回下列其中一個資料類型:位元遮罩或絕對值。這些資料類型當中,可能有多個值表示提交之 IP 位址所在的清單類型。

本節顯示大部份封鎖清單提供者傳回之狀態碼的範例。關於提供者傳回的狀態碼,請參閱該特定提供者的文件。

若是位元遮罩資料類型,IP 封鎖清單提供者服務會傳回狀態碼 127.0.0.x,其中整數 x 是下表所列的任何一個值。

位元遮罩資料類型的值與狀態碼

狀態碼

1

IP 位址在 IP 封鎖清單上。

2

SMTP 伺服器是設定成當成開放式轉送運作。

4

IP 位址支援撥接 IP 位址。

若是絕對值類型,IP 封鎖清單提供者服務會根據封鎖 IP 位址的原因,傳回明確的回應。下表顯示絕對值與明確回應的一些範例。

絕對值資料類型的值與狀態碼

明確回應

127.0.0.2

IP 位址是直接垃圾郵件來源。

127.0.0.4

IP 位址是大量郵件寄件者。

127.0.0.5

傳送訊息的遠端伺服器已知可支援多階段開放式轉送。

如需如何設定 IP 允許清單提供者和 IP 封鎖清單提供者的相關資訊,請參閱如何設定 IP 允許清單和 IP 封鎖清單提供者

在某些組織中,Edge Transport server role 安裝在不直接於網際網路上處理 SMTP 要求的電腦上。在此情況下,Edge Transport Server 位於直接處理網際網路內送郵件的另一部前端 SMTP 伺服器後面。在此案例中,連線篩選器代理程式必須能夠從訊息中抽選正確的原始 IP 位址。為了抽選及評估原始 IP 位址,連線篩選器代理程式必須剖析訊息的已接收的標頭,並將這些標頭與周邊網路中已知的 SMTP 伺服器比較。

RFC 相容的 SMTP 伺服器在收到訊息後,會以寄件者的網域名稱和 IP 位址更新訊息的已接收的標頭。因此,對於在原始寄件者和 Edge Transport Server 之間的每個 SMTP 伺服器,SMTP 伺服器會另外加入「已接收」標頭項目。

當您設定周邊網路以支援 Microsoft Exchange Server 2007 時,必須為周邊網路中的 SMTP 伺服器指定所有 IP 位址。EdgeSync 會將 IP 位址資料複寫到 Edge Transport Server。執行連線篩選器代理程式的電腦收到訊息時,會假設已接收的標頭中與您周邊網路裡的 SMTP 伺服器 IP 位址不相符的 IP 位址,就是原始 IP 位址。

在執行連線篩選之前,您必須在 Active Directory 樹系中的傳輸組態物件上指定所有內部 SMTP 伺服器。請在 Set-TransportConfig 指令程式上使用 InternalSMTPServers 參數,以指定內部 SMTP 伺服器。

設定 IP 封鎖清單提供者服務或 IP 允許清單提供者服務之後,就可以開始測試,確定已正確設定特定服務的連線篩選。大部分 IP 封鎖清單提供者服務或 IP 允許清單提供者服務都會提供測試 IP 位址,您可以使用這些位址來測試其服務。當您測試 IP 封鎖清單提供者服務或 IP 允許清單提供者服務時,連線篩選器代理程式會發出網域名稱系統 (DNS) 查詢,該查詢根據必須以特定回應來回應的即時封鎖清單 (RBL) IP 位址。如需 RBL 服務的相關資訊,請參閱連線篩選。如需如何針對 IP 封鎖清單提供者服務或 IP 允許清單提供者服務測試 IP 位址的相關資訊,請參閱 Test-IPAllowListProviderTest-IPBlockListProvider

 
顯示: