本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

標頭防火牆

 

適用版本:Exchange Server 2013

上次修改主題的時間:2015-03-09

在 Microsoft Exchange Server 2013、標頭防火牆會為輸入及輸出郵件會移除特定的標頭欄位的機制。有兩種不同受到標頭防火牆的標頭欄位:

  • X 標頭  X-header是使用者定義、 非公務標頭] 欄位。X-header 未特別提及 RFC 2822 之中,但開頭X-未定義的標頭欄位使用已經成為公認的方式將非公務標頭欄位新增至郵件。訊息應用程式,例如反垃圾郵件、 防毒軟體、 與郵件伺服器就可能會將自己 X 標題新增至郵件。在 Exchange X 標頭欄位包含的詳細資訊的動作所執行的郵件傳輸服務,例如垃圾郵件信賴等級 (SCL) 內容篩選結果和規則處理狀態。此處未經授權來源此資訊可能造成潛在安全性風險。

  • 路由標頭  路由標頭是 RFC 2821 及 RFC 2822 中所定義的標準 SMTP 標頭欄位。路由標頭戳記訊息使用不同的郵件伺服器用來將郵件傳遞給收件者的相關資訊。插入惡意使用者的郵件的路由標頭可以顯現錯誤訊息旅行了達到收件者的路由路徑。

標頭防火牆防止這些 Exchange 相關的 X 標題詐騙來移除來自不受信任的來源輸入 Exchange 組織的內送郵件。標頭防火牆來移除外寄郵件傳送到 Exchange 組織外的受信任目的地防止這些 Exchange 相關 X 標頭的揭露。標頭防火牆也可避免詐騙的標準可用來追蹤郵件的路由歷程記錄的路由標頭。

目錄

Message header fields affected by header firewall in Exchange

How header firewall is applied to Receive connectors and Send connectors

Header firewall for inbound messages on Receive connectors

Header firewall for outbound messages on Send connectors

Header firewall for other message sources

Organization X-headers and forest X-headers in Exchange

下列 X-header 和路由標頭類型會受到標頭防火牆影響:

  • 組織 X-header   這些 X-header 欄位的開頭為 X-MS-Exchange-Organization-

  • 樹系 X-header   這些 X-header 欄位的開頭為 X-MS-Exchange-Forest-

    如需組織 X-header 與樹系 X-header 的範例,請參閱本主題最後的 Organization X-headers and forest X-headers in Exchange 一節。

  • Received ︰ 路由標頭  此標頭欄位的不同的執行個體的每一個郵件伺服器接受並將郵件轉寄給收件者新增至郵件標頭。Received:標頭通常包含郵件伺服器和日期-時間戳記的名稱。

  • 重新傳送-*: 路由標頭  重新傳送標頭欄位是可用來判斷使用者是否已轉寄郵件的資訊的標頭欄位。下列最近的標頭欄位僅供 ︰ Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc:Resent-Bcc:Resent-Message-ID:。如此會出現訊息給收件者好像送直接的原始寄件者用Resent-欄位。收件者可以檢視探索誰轉寄郵件的郵件標頭。

Exchange 使用兩種不同方式,對郵件內的組織 X-header、樹系 X-header 和路由標頭套用標頭防火牆:

  • 對傳送連接器或接收連接器指派權限,以便在郵件通過連接器時保留或移除郵件中的特定標頭類型。

  • 提交其他郵件類型時,會對郵件內的特定標頭類型自動實作標頭防火牆。

回到頁首

標頭防火牆會根據指派給連接器的特定權限,套用至通過傳送連接器和接收連接器的郵件。

如果權限指派給接收連接器或 [傳送連接器] 標頭防火牆不會套用至通過連接器的郵件。受影響的標頭欄位會保留在郵件中。

如果權限不指派給接收連接器或 [傳送連接器] 標頭防火牆會套用至通過連接器的郵件。受影響的標頭欄位是從郵件中移除。

下表說明傳送連接器和接收連接器上用來套用標頭防火牆的權限,以及受影響的標頭欄位。

 

連接器類型 權限 描述

接收連接器

Ms-Exch-Accept-Headers-Organization

此權限會影響輸入郵件中開頭為 X-MS-Exchange-Organization- 的組織 X-header 欄位。

接收連接器

Ms-Exch-Accept-Headers-Forest

此權限會影響輸入郵件中開頭為 X-MS-Exchange-Forest- 的樹系 X-header 欄位。

接收連接器

Ms-Exch-Accept-Headers-Routing

此權限會影響輸入郵件中的 Received:Resent-*: 路由標頭欄位。

傳送連接器

Ms-Exch-Send-Headers-Organization

此權限會影響輸出郵件中開頭為 X-MS-Exchange-Organization- 的組織 X-header 欄位。

傳送連接器

Ms-Exch-Send-Headers-Forest

此權限會影響輸出郵件中開頭為 X-MS-Exchange-Forest- 的樹系 X-header 欄位。

傳送連接器

Ms-Exch-Send-Headers-Routing

此權限會影響輸出郵件中的 Received:Resent-*: 路由標頭欄位。

下表說明接收連接器上標頭防火牆權限的預設應用。

 

權限 已指派權限的預設 Exchange 安全性主體 以安全性主體為成員的權限群組 將權限群組指派給接收連接器的預設用法類型

Ms-Exch-Accept-Headers-OrganizationMs-Exch-Accept-Headers-Forest

  • Hub Transport Server

  • Edge Transport Server

  • Exchange 伺服器

    注意事項注意事項:
    僅在 Hub Transport server 上

ExchangeServers

Internal

Ms-Exch-Accept-Headers-Routing

匿名使用者帳戶

Anonymous

Internet

Ms-Exch-Accept-Headers-Routing

已驗證的使用者帳戶

ExchangeUsers

Client (Edge Transport Server 上無法使用)

Ms-Exch-Accept-Headers-Routing

  • Hub Transport Server

  • Edge Transport Server

  • Exchange 伺服器

    注意事項注意事項:
    僅限 Hub Transport server
  • 以外部方式保護安全的伺服器

ExchangeServers

Internal

Ms-Exch-Accept-Headers-Routing

協力程式伺服器帳戶

Partner

InternetPartner

回到頁首

如果在自訂接收連接器案例中您想要對郵件套用標頭防火牆,請使用下列任何一種方法:

  • 建立自動套用至郵件的 [標頭防火牆流量類型的接收連接器。請注意您就可以設定流量類型,僅當您建立的接收連接器。

    • 若要從郵件中移除組織 X-header 或樹系 X-header,請建立接收連接器並選取 Internal 以外的用法類型。

    • 若要從郵件中移除路由標頭,請執行下列其中一個動作:

      • 建立的接收連接器,並選取 [使用狀況類型Custom。未指派任何權限群組至接收連接器。

      • 修改現有的接收連接器,然後將 PermissionGroups 參數值設為 None

      請注意,如果您的接收連接器未被指派任何權限群組,則須依照上一個步驟所述對接收連接器新增安全性主體。

  • 使用接收連接器設定Remove-ADPermission指令程式來移除Ms-Exch-Accept-Headers-Organization權限、 Ms-Exch-Accept-Headers-Forest權限與Ms-Exch-Accept-Headers-Routing權限安全性主體。此方法不適如果權限已指派給在接收連接器上使用的權限群組的安全性主體因為您無法修改權限指派] 或 [權限群組的群組成員資格。

  • 使用Add-ADPermission指令程式可新增所需的郵件流程的接收連接器上的適當的安全性主體。請確定沒有安全性主體具有Ms-Exch-Accept-Headers-Organization權限、 Ms-Exch-Accept-Headers-Forest權限] 及 [ Ms-Exch-Accept-Headers-Routing ] 權限指派給他們。必要時,使用Add-ADPermission cmdlet 來拒絕接收連接器設定的安全性主體Ms-Exch-Accept-Headers-Organization權限、 Ms-Exch-Accept-Headers-Forest權限及Ms-Exch-Accept-Headers-Routing權限。

如需相關資訊,請參閱下列主題:

回到頁首

下表說明傳送連接器上標頭防火牆權限的預設應用。

 

權限 已指派權限的預設 Exchange 安全性主體 將安全性主體指派給傳送連接器的預設用法類型

Ms-Exch-Send-Headers-OrganizationMs-Exch-Send-Headers-Forest

  • Hub Transport Server

  • Edge Transport Server

  • Exchange 伺服器

    注意事項注意事項:
    僅在 Hub Transport server 上
  • 以外部方式保護安全的伺服器

  • ExchangeLegacyInterop 萬用安全性群組

Internal

Ms-Exch-Send-Headers-Routing

  • Hub Transport Server

  • Edge Transport Server

  • Exchange 伺服器

    注意事項注意事項:
    僅在 Hub Transport server 上
  • 以外部方式保護安全的伺服器

  • ExchangeLegacyInterop 萬用安全性群組

Internal

Ms-Exch-Send-Headers-Routing

匿名使用者帳戶

Internet

Ms-Exch-Send-Headers-Routing

協力程式伺服器

Partner

回到頁首

如果在自訂傳送連接器案例中您想要對郵件套用標頭防火牆,請使用下列任何一種方法:

  • 建立傳送連接器會自動套用至郵件的 [標頭防火牆流量類型。請注意您就可以設定流量類型,僅當您建立的傳送連接器。

    • 若要從郵件中移除組織 X-header 或樹系 X-header,請建立傳送連接器並選取 InternalPartner 以外的用法類型。

    • 若要從郵件中移除路由標頭,請建立傳送連接器並選取 [使用狀況類型CustomMs-Exch-Send-Headers-Routing權限指派給所有傳送連接器用法類型Custom除外。

  • 從連接器移除指派了 Ms-Exch-Send-Headers-Organization 權限、Ms-Exch-Send-Headers-Forest 權限和 Ms-Exch-Send-Headers-Routing 權限的安全性主體。

  • 使用 Remove-ADPermission 指令程式,從傳送連接器上設定的其中一個安全性主體移除 Ms-Exch-Send-Headers-Organization 權限、Ms-Exch-Send-Headers-Forest 權限和 Ms-Exch-Send-Headers-Routing 權限。

  • 使用 Add-ADPermission 指令程式,在傳送連接器上設定的其中一個安全性主體中,拒絕 Ms-Exch-Send-Headers-Organization 權限、Ms-Exch-Send-Headers-Forest 權限和 Ms-Exch-Send-Headers-Routing 權限。

如需相關資訊,請參閱下列主題:

回到頁首

訊息可以在信箱伺服器或 Edge Transport server 上的傳輸管線輸入而不需使用傳送連接器或接收連接器。下列清單所述標頭防火牆套用到這些郵件來源:

  • 收取目錄和重新顯示] 目錄  [收取] 目錄是由系統管理員或應用程式用來送出郵件的檔案。重新顯示目錄用來重新提交已從 Exchange 訊息佇列匯出的郵件。如需 Pickup 和 Replay 目錄的詳細資訊,請參閱收取目錄和重新顯示] 目錄

    會從收取目錄的郵件檔案中移除組織 X-header、樹系 X-header 和路由標頭。

    但保留重新顯示目錄所提交之郵件中的路由標頭。

    會保留還是移除重新顯示目錄中郵件的組織 X-header 和樹系 X-header,由郵件檔案中的 X-CreatedBy: 標頭欄位控制:

    • 如果 X-CreatedBy: 的值是 MSExchange15,則保留郵件中的組織 X-header 和樹系 X-header。

    • 如果 X-CreatedBy: 的值不是 MSExchange15,則移除郵件中的組織 X-header 和樹系 X-header。

    • 如果郵件檔案中沒有 X-CreatedBy: 標頭欄位,則移除郵件中的組織 X-header 和樹系 X-header。

  • 放置目錄  放置目錄用以 Mailbox server 上的外部連接器將郵件傳送至不使用 SMTP 傳輸郵件的郵件伺服器。如需外部連接器的詳細資訊,請參閱外部連接器

    在將郵件檔案放入放置目錄之前,會先移除檔案中的組織 X-header 與樹系 X-header。

    但保留放置目錄所提交之郵件中的路由標頭。

  • 信箱傳輸  轉送訊息與 Mailbox server 上的信箱的信箱伺服器上有信箱傳輸服務。如需 Mailbox Transport service 的詳細資訊,請參閱郵件流程

    會從由信箱傳輸提交服務自信箱傳送的外寄郵件中,移除組織 X-header、樹系 X-header 和路由標頭。

    路由標頭會保留給信箱收件者的內送郵件的信箱傳輸傳遞服務。下列組織 x-header 會保留給信箱收件者的內送郵件的信箱傳輸傳遞服務:

    • X-MS-Exchange-Organization-SCL

    • X-MS-Exchange-Organization-AuthDomain

    • X-MS-Exchange-Organization-AuthMechanism

    • X-MS-Exchange-Organization-AuthSource

    • X-MS-Exchange-Organization-AuthAs

    • X-MS-Exchange-Organization-OriginalArrivalTime

    • X-MS-Exchange-Organization-OriginalSize

  • DSN 郵件  在樹系組織 X 標頭、 X 標頭和路由標頭已從原始郵件或附加至 DSN 郵件的原始郵件標頭。如需 DSN 郵件的詳細資訊,請參閱Dsn 和 Ndr in Exchange 2013

  • 傳輸代理程式提交   會保留傳輸代理程式提交之郵件中的組織 X-header、樹系 X-header 和路由標頭。

回到頁首

Mailbox Server 或 Edge Transport Server 上的傳輸服務會將自訂 X-header 欄位插入郵件標頭。

組織 X 標題的開頭X-MS-Exchange-Organization-。樹系 X 標題的開頭X-MS-Exchange-Forest-。下表說明一些組織 X 標頭和樹系中部署 Exchange 組織的郵件中所用的 X 標題。

 

X-header 描述

X-MS-Exchange-Forest-RulesExecuted

處理郵件的傳輸規則。

X-MS-Exchange-Organization-Antispam-Report

內容篩選器代理程式對郵件套用反垃圾郵件篩選器後所得的結果摘要。

X-MS-Exchange-Organization-AuthAs

指定的驗證來源。此 x-header 會一直存在時的郵件安全性的評估。可能的值為AnonymousInternalExternalPartner

X-MS-Exchange-Organization-AuthDomain

填入 Domain Secure 驗證期間。此值為已驗證的遠端網域的 FQDN。

X-MS-Exchange-Organization-AuthMechanism

指定送出郵件的驗證機制。此值是 2 位數的十六進位數字。

X-MS-Exchange-Organization-AuthSource

指定代表組織進行郵件驗證評估之伺服器電腦的 FQDN。

X-MS-Exchange-Organization-Journal-Report

會識別傳輸規則中的日誌報告。一旦訊息離開的傳輸服務、 標頭會變成X-MS-Journal-Report

X-MS-Exchange-Organization-OriginalArrivalTime

識別郵件初次進入 Exchange 組織的時間。

X-MS-Exchange-Organization-Original-Sender

在被隔離郵件初次進入 Exchange 組織時識別其原始寄件者。

X-MS-Exchange-Organization-OriginalSize

在被隔離郵件初次進入 Exchange 組織時識別其原始大小。

X-MS-Exchange-Organization-Original-Scl

在被隔離郵件初次進入 Exchange 組織時識別其原始 SCL。

X-MS-Exchange-Organization-PCL

識別網路釣魚信賴等級。可能的網路釣魚信賴等級值是從 1 到 8。較大的值表示可疑郵件。如需詳細資訊,請參閱反垃圾郵件戳記

X-MS-Exchange-Organization-Quarantine

會指出已隔離郵件垃圾郵件隔離信箱中及已傳送的傳遞狀態通知 (DSN)。或者,即表示已隔離郵件,並由系統管理員發行。此 X 標頭] 欄位會防止發行的訊息重新提交給垃圾郵件隔離信箱。如需詳細資訊,請參閱版本隔離的垃圾郵件隔離信箱中的郵件

X-MS-Exchange-Organization-SCL

會識別郵件的 SCL。可能的 SCL 值是從 0 到 9。較大的值表示可疑郵件。特殊值-1 豁免不內容篩選器代理程式所處理的郵件。如需詳細資訊,請參閱內容篩選

X-MS-Exchange-Organization-SenderIdResult

會包含寄件者識別碼代理程式的結果。寄件者識別碼代理程式使用的寄件者原則架構 (SPF) 比較郵件的來源 IP 位址用於網域中寄件者的電子郵件地址。寄件者識別碼結果用來計算郵件的 SCL。如需詳細資訊,請參閱寄件者識別碼

回到頁首

 
顯示: