瞭解連線篩選
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2016-07-21
連線篩選器代理程式是一種反垃圾郵件篩選,會在已安裝 Edge Transport server role 且執行 MicrosoftExchange Server 2010 的電腦上啟用。連線篩選器代理程式會仰賴嘗試連線之遠端伺服器的 IP 位址,判斷要對輸入的郵件採取什麼動作 (若有的話)。連線篩選器代理程式可以將遠端 IP 位址當成 SMTP 工作階段之必要基礎 TCP/IP 連線的副產品。由於連線篩選器代理程式必須評估傳送信件的遠端伺服器 IP 位址為有效,通常連線篩選器代理程式會在面向網際網路的 Edge Transport Server 上啟用。不過,您也可以執行其他設定以在輸入郵件路徑中更深地執行連線篩選器代理程式。
在 Edge Transport Server 上設定反垃圾郵件代理程式時,代理程式會逐漸處理郵件,以減少進入組織之來路不明的郵件數。要減少重複,增進整體系統效能與效率,您必須了解代理程式評估輸入郵件的順序。了解篩選評估輸入郵件的順序可以幫助您最佳化您的 Edge Transport Server 設定。如需如何規劃及部署反垃圾郵件代理程式的相關資訊,請參閱瞭解反垃圾郵件及防毒功能。
若啟用連線篩選器代理程式,當評估輸入郵件時,連線篩選器代理程式會是第一個執行的反垃圾郵件代理程式。
當提交輸入郵件至啟用連線篩選器代理程式的 Edge Transport Server 時,會將 SMTP 連線的來源 IP 位址與「IP 允許清單」和「IP 封鎖清單」進行核對。如果來源 IP 位址列在 IP 封鎖清單中,SMTP 連線就會在處理完郵件中所有的 RCPT TO 標頭後中斷。
.gif "注意事項") 附註: |
|---|
| 指定連線的中斷時間可能會由其他反垃圾郵件組態決定。例如,即便來源 IP 位址已封鎖,您還是可以指定一定會接收電子郵件的收件者。此外,您可能已經設定要剖析之仰賴 DATA 命令內容的其他代理程式。連線篩選器代理程式一律會根據整體的反垃圾郵件組態,來中斷已封鎖的連線。 |
即使來源 IP 位址並未列在任何 IP 允許清單或 IP 封鎖清單中,如果有設定其他反垃圾郵件代理程式,郵件就要繼續經過其他反垃圾郵件代理程式的檢查。
要尋找與反垃圾郵件和防病毒功能相關的管理工作嗎?請參閱管理反垃圾郵件及防病毒功能。
目錄
IP 允許清單與 IP 封鎖清單
為並非第一個 SMTP 進入點的 Edge Transport Server 設定連線篩選
測試 IP 封鎖清單與 IP 允許清單功能
IP 允許清單與 IP 封鎖清單
連線篩選器代理程式會比較傳送郵件至下列任何 IP 位址資料儲存區的伺服器 IP 位址:
系統管理員定義的 IP 允許清單與 IP 封鎖清單
IP 封鎖清單提供者
IP 允許清單提供者
如需 IP 封鎖清單提供者的相關資訊,請參閱此主題稍後的<IP 封鎖清單提供者>。
您必須至少設定其中一個 IP 位址資料儲存區,連線篩選器代理程式才能運作。如果 IP 位址的資料儲存區不包含 IP 允許清單或 IP 封鎖清單中的 IP 位址,或是如果您並未設定任何 IP 封鎖清單提供者或 IP 允許清單提供者,您應停用連線篩選器代理程式。
系統管理員定義的 IP 允許清單與 IP 封鎖清單
Edge Transport Server 的系統管理員會維護系統管理員定義的 IP 位址清單。您可以使用 Exchange 管理主控台 (EMC) 或 Exchange 管理命令介面,輸入和刪除您要允許或封鎖的 IP 位址。您可以利用 IP 位址範圍或是利用 IP 位址及子網路遮罩,以個別新增 IP 位址。
當您新增 IP 位址或 IP 位址範圍時,您必須將 IP 位址或 IP 位址範圍指定為 IP 封鎖清單位址或 IP 允許清單位址。此外,您可以為每個所建立的 IP 封鎖清單項目指定到期時間。當您設定了到期時間,其會指定 IP 封鎖清單項目的作用期限。當期限已到,就會停用 IP 封鎖清單項目。
藉由使用系統管理員定義的 IP 允許清單與 IP 封鎖清單,您可以設定連線篩選以支援下列案例:
從 IP 封鎖清單提供者的 IP 封鎖清單中移除 IP 位址
當合法寄件者不小心列入 IP 封鎖清單提供者的 IP 封鎖清單時,您就必須從 IP 封鎖清單提供者的 IP 封鎖清單中移除 IP 位址。例如,當 SMTP 伺服器不小心設定為開放轉送,合法的寄件者有可能會因此不小心被列入 IP 封鎖清單中。在這種情況下,寄件者可能會嘗試修正錯誤組態,從 IP 封鎖清單提供者的 IP 封鎖清單中移除他們的 IP 位址。
如需 IP 封鎖清單提供者的相關資訊,請參閱此主題稍後的<IP 封鎖清單提供者>。
對未列入 IP 封鎖清單提供者的 IP 封鎖清單,但卻是未經同意電子郵件來源的 IP 位址拒絕存取
您有時會從尚未經過您所訂閱的「即時封鎖清單」服務所認可的來源,收到大量未經同意的郵件。
IP 封鎖清單提供者
「IP 封鎖清單提供者」服務可以協助您減少進入您的組織之來路不明郵件的數量。
| 附註: |
|---|
| IP 封鎖清單提供者服務常被稱為即時封鎖清單服務或 RBL 服務。EMC 將即時封鎖清單服務,稱為 IP 封鎖清單提供者服務。即時封鎖清單服務、RBL 服務與 IP 封鎖清單提供者服務等名詞,都是一樣的意思。 |
IP 封鎖清單提供者服務會編譯過去為垃圾郵件來源的 IP 位址清單。此外,有些 IP 封鎖清單提供者會提供 SMTP 已設為開放轉送的 IP 位址清單。也有 IP 封鎖清單提供者服務提供支援撥接存取的 IP 位址清單。提供用戶端撥接存取服務的網際網路服務提供者 (ISP),會為每個撥接工作階段指派動態 IP 位址。有些 ISP 會封鎖來自撥接帳號的 SMTP 傳輸。這些 ISP 與服務員撥接 IP 範圍通常不會新增至 IP 封鎖清單中。不過,有些 ISP 允許用戶端由撥接帳號傳送 SMTP 傳輸。惡意使用者會利用允許 SMTP 傳輸的 ISP,在動態指派的 IP 位址上傳送垃圾郵件。當 IP 位址已列在 IP 封鎖清單中,惡意使用者會開始另一個撥接工作階段,取得新的 IP 位址。通常,單一 IP 封鎖清單提供者就可以提供涵蓋所有垃圾郵件威脅的 IP 位址清單。
您可以使用 EMC 或命令介面,設定多個 IP 封鎖清單提供者組態。在 EMC 或命令介面中,每項服務皆需要個別的 IP 封鎖清單提供者組態。
當您將連線篩選器代理程式設定為使用 IP 封鎖清單提供者時,在接受郵件進入組織之前,連線篩選器代理程式會查詢 IP 封鎖清單提供者服務,判定定連線的 IP 位址中是否存在相符項目。
在連線篩選器代理程式連絡 IP 封鎖清單提供者以驗證 IP 位址之前,會首先比對 IP 位址是否在系統管理員定義的 IP 允許清單與 IP 封鎖清單中。如果 IP 位址並不在系統管理員定義的 IP 允許清單與 IP 封鎖清單中,連線篩選器代理程式會根據指派給每個提供者的優先順序分級,查詢 IP 封鎖清單提供者服務。如果 IP 位址出現在 IP 封鎖清單提供者的 IP 封鎖清單上,Edge Transport Server 就會等待以及剖析 RCPT TO 標頭,以 SMTP 550 錯誤來回應傳送系統,然後關閉連線。如果 IP 位址並不在任何 IP 封鎖清單提供者的 IP 封鎖清單上,反垃圾郵件鏈結中的下一個代理程式就會處理連線。如需預設反垃圾郵件和防毒代理程式篩選網際網路之輸入郵件順序的相關資訊,請參閱瞭解反垃圾郵件及防毒功能。
當您使用連線篩選器代理程式時,最佳的作法是使用一個或多個 IP 封鎖清單提供者來管理您組織的存取。使用系統管理員定義的封鎖清單來維護您自己的 IP 封鎖清單會很耗時,而且從大部分組織的人力資源角度來看,也不太可能。因此,建議您使用主要目的即為維護 IP 封鎖清單的外部 IP 封鎖清單提供者服務。
不過,在使用 IP 封鎖清單提供者上可能會有些缺點。由於連線篩選器代理程式必須為每個未知的 IP 位址查詢外部實體,IP 封鎖清單提供者服務的中斷或延遲會造成 Edge Transport Server 處理郵件時的延遲。在最糟的情況下,這樣的中斷或延遲有可能會在 Edge Transport Server 上造成郵件流程瓶頸。
另一個使用外部 IP 封鎖清單提供者服務的缺點就是,有時會不小心將合法使用者新增到 IP 封鎖清單提供者的 IP 封鎖清單之中。例如,SMTP 錯誤組態的結果是,合法的寄件者可能加入 IP 封鎖清單提供者所維護的 IP 封鎖清單中,例如,SMTP 伺服器不小心設定為開放轉送。
您可以針對所設定的每個 IP 封鎖清單提供者服務,自訂當寄件者 IP 位址與 IP 封鎖清單提供者服務相符,造成被連線篩選器代理程式封鎖時,傳回給寄件者的 SMTP 550 錯誤。最佳作法是自訂 SMTP 550 錯誤,識別將寄件者當成為已封鎖 IP 位址的 IP 封鎖清單提供者服務。此最佳作法能讓合法的寄件者連絡 IP 封鎖清單提供者服務,以便將自己從 IP 封鎖清單提供者服務的 IP 封鎖清單中移除。
當傳送郵件之遠端伺服器的 IP 位址與 IP 封鎖清單提供者服務之 IP 封鎖清單上的 IP 位址相符時,不同的 IP 封鎖清單提供者服務可能會傳回不同的代碼。大部分 IP 封鎖清單提供者服務會傳回下列其中一個資料類型:位元遮罩或絕對值。這些資料類型當中,可能有多個值表示提交之 IP 位址所在的清單類型。
位元遮罩範例
本節顯示大部份封鎖清單提供者傳回之狀態碼的範例。如需提供者傳回的狀態碼詳細資訊,請參閱來自特定提供者的文件。
若是位元遮罩資料類型,IP 封鎖清單提供者服務會傳回狀態碼 127.0.0.x,其中整數 x 是下表所列的任何一個值。
位元遮罩資料類型的值與狀態碼
| 值 | 狀態碼 |
|---|---|
1 |
IP 位址在 IP 封鎖清單上。 |
2 |
SMTP 伺服器是設定成當成開放式轉送運作。 |
4 |
IP 位址支援撥接 IP 位址。 |
若是絕對值類型,IP 封鎖清單提供者服務會根據封鎖 IP 位址的原因,傳回明確的回應。下表顯示絕對值與明確回應的一些範例。
絕對值資料類型的值與狀態碼
| 值 | 明確回應 |
|---|---|
127.0.0.2 |
IP 位址是直接垃圾郵件來源。 |
127.0.0.4 |
IP 位址是大量郵件寄件者。 |
127.0.0.5 |
傳送訊息的遠端伺服器已知可支援多階段開放式轉送。 |
IP 允許清單提供者
您也可以使用提供 IP 允許清單的 IP 允許清單提供者服務來管理輸入的郵件。IP 允許清單在軟體業界有時也被稱為 IP 安全清單或是白名單。IP 允許清單提供者可維護已知跟任何垃圾郵件活動無關的 IP 位址清單。當 IP 允許清單提供者傳回 IP 允許相符項目時,即代表寄件者的 IP 位址比較有可能為信譽良好或是「安全」的寄件者,連線篩選器代理程式會將郵件轉送至反垃圾郵件鏈結中的下一個代理程式。
回到頁首
為並非第一個 SMTP 進入點的 Edge Transport Server 設定連線篩選
在某些組織中,Edge Transport server role 安裝在不直接於網際網路上處理 SMTP 要求的電腦上。在此情況下,Edge Transport Server 位於直接處理網際網路內送郵件的另一部前端 SMTP 伺服器後面。在此案例中,連線篩選器代理程式必須能夠從訊息中抽選正確的原始 IP 位址。為了抽選及評估原始 IP 位址,連線篩選器代理程式必須剖析訊息的已接收的標頭,並將這些標頭與周邊網路中已知的 SMTP 伺服器比較。
RFC 相容的 SMTP 伺服器在收到訊息後,會以寄件者的網域名稱和 IP 位址更新訊息的已接收的標頭。因此,對於在原始寄件者和 Edge Transport Server 之間的每個 SMTP 伺服器,SMTP 伺服器會另外加入「已接收」標頭項目。
當您設定周邊網路以支援 Exchange 2010 時,必須為周邊網路中的 SMTP 伺服器指定所有 IP 位址。EdgeSync 會將 IP 位址資料複寫到 Edge Transport Server。執行連線篩選器代理程式的電腦收到訊息時,會假設已接收的標頭中與您周邊網路裡的 SMTP 伺服器 IP 位址不相符的 IP 位址,就是原始 IP 位址。
在執行連線篩選之前,您必須在 Active Directory 樹系中的傳輸組態物件上指定所有內部 SMTP 伺服器。藉由在 Set-TransportConfig Cmdlet 上使用 InternalSMTPServers 參數,指定內部 SMTP 伺服器。
回到頁首
測試 IP 封鎖清單與 IP 允許清單功能
設定 IP 封鎖清單提供者服務或 IP 允許清單提供者服務之後,就可以開始測試,確定已正確設定特定服務的連線篩選。大部分 IP 封鎖清單提供者服務或 IP 允許清單提供者服務都會提供測試 IP 位址,您可以使用這些位址來測試其服務。當您測試 IP 封鎖清單提供者服務或 IP 允許清單提供者服務時,連線篩選器代理程式會發出網域名稱系統 (DNS) 查詢,該查詢根據必須以特定回應來回應的即時封鎖清單 IP 位址。如需如何針對 IP 封鎖清單提供者服務或 IP 允許清單提供者服務測試 IP 位址的相關資訊,請參閱 Test-IPAllowListProvider 和 Test-IPBlockListProvider。
回到頁首
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。