了解標頭防火牆
適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上次修改主題的時間: 2007-09-13
在 Microsoft Exchange Server 2007 中,「標頭防火牆」是一種機制,可以從輸入及輸出郵件中移除特定標頭欄位。執行 Exchange 2007 且已安裝 Hub Transport server role 或 the Edge Transport server role 的電腦會將自訂的 X-header 欄位插入郵件標頭。"X-header" 是由使用者定義的非正式標頭欄位,會存在郵件標頭中。RFC 2822 中並未特別提及 X-header,但使用未定義、以 "X-" 開頭的標頭欄位,已成為一般人在郵件中新增非正式標頭欄位時可接受的方式。郵件應用程式 (如反垃圾郵件、防毒應用程式及郵件伺服器應用程式),均可在郵件中新增他們自己的 X-header。不使用 X-header 欄位的郵件伺服器與用戶端通常會保留這些欄位,但會忽略。
X-header 欄位包含傳輸伺服器對郵件執行的動作詳細資料,例如垃圾郵件信賴等級 (SCL)、內容篩選結果以及規則處理狀態。所以,將此項資訊暴露給未授權來源,可能會造成潛在的安全性風險。
標頭防火牆會藉由將 X-header 從不受信任的來源進入 Exchange 組織的輸入郵件移除,來防止 X-header 詐騙。標頭防火牆可以將 X-header 從要前往 Exchange 組織外不受信任之目的地的輸出郵件移除,避免曝露這些 X-header。標頭防火牆還可以防止用來追蹤郵件路徑歷程的標準路由標頭詐騙。
Exchange 2007 中使用的自訂組織 X-Header 與樹系 X-Header
組織 X-header 的開頭為 "X-MS-Exchange-Organization-"。樹系 X-header 的開頭為 "X-MS-Exchange-Forest-"。
表格 1 說明 Exchange 2007 組織中,郵件所使用的部份組織 X-header 與樹系 X-header。
表格 1 Exchange 2007 組織中郵件所使用的部份組織 X-header 與樹系 X-header。
| X-Header | 描述 |
|---|---|
X-MS-Exchange-Forest-RulesExecuted |
此 X-header 列出對郵件執行的傳輸規則。 |
X-MS-Exchange-Organization-Antispam-Report |
此 X-header 是一份摘要報告,是內容篩選器代理程式對郵件套用反垃圾郵件篩選器後所得的結果。 |
X-MS-Exchange-Organization-AuthAs |
每當評估過郵件的安全性之後,一定會出現這個 X-header。此 X-header 可指定驗證來源。可能的值為 |
X-MS-Exchange-Organization-AuthDomain |
此 X-header 是在網域安全驗證期間填入。該值是遠端驗證網域的網域全名 (FQDN)。 |
X-MS-Exchange-Organization-AuthMechanism |
此 X-header 可指定提交郵件的驗證機制。該值為 2 位數的十六進位數。 |
X-MS-Exchange-Organization-AuthSource |
此 X-header 可指定代表組織進行郵件驗證評估之伺服器電腦的 FQDN。 |
X-MS-Exchange-Organization-Journal-Report |
此 X-header 可識別傳輸的日誌報告。一旦郵件離開傳輸伺服器後,標頭就會變成 X-MS-Journal-Report。 |
X-MS-Exchange-Organization-OriginalArrivalTime |
此 X-header 可識別郵件剛進入 Exchange 組織的時間。 |
X-MS-Exchange-Organization-Original-Sender |
此 X-header 可在郵件剛進入 Exchange 組織時識別其原始寄件者。 |
X-MS-Exchange-Organization-OriginalSize |
此 X-header 可在郵件剛進入 Exchange 組織時識別其原始大小。 |
X-MS-Exchange-Organization-Original-Scl |
此 X-header 可在郵件剛進入 Exchange 組織時識別其原始 SCL。 |
X-MS-Exchange-Organization-PCL |
此 X-header 可識別網路釣魚信賴等級 (PCL)。可能的 PCL 值為 1 到 8。值越大就表示郵件很可疑。如需相關資訊,請參閱反垃圾郵件戳記。 |
X-MS-Exchange-Organization-Quarantine |
此 X-header 表示該郵件已經隔離在垃圾郵件隔離信箱中,而且已經傳送傳遞狀態通知 (DSN)。或者表示系統管理員已經隔離和釋放該郵件。此 X-header 欄位可防止再次將釋放的郵件提交至垃圾郵件隔離信箱。如需相關資訊,請參閱如何從垃圾郵件隔離信箱復原隔離郵件。 |
X-MS-Exchange-Organization-SCL |
此 X-header 可識別郵件的 SCL。可能的 SCL 值為 0 到 9。值越大就表示郵件很可疑。特殊值 -1 可使內容篩選器代理程式不處理該郵件。如需相關資訊,請參閱設定內容篩選。 |
X-MS-Exchange-Organization-SenderIdResult |
此 X-header 包含寄件者識別碼代理程式的結果。寄件者識別碼代理程式使用寄件者原則架構 (SPF),來比較郵件的來源 IP 位址和用於寄件者電子郵件地址的網域。寄件者識別碼結果是用來計算郵件的 SCL。如需相關資訊,請參閱寄件者識別碼。 |
組織 X-Header 與樹系 X-Header 的標頭防火牆
Exchange 2007 會利用下列方式,對郵件中的組織 X-header 與樹系 X-header 套用標頭防火牆:
對傳送連接器或接收連接器指派可用以保留或移除郵件內特定 X-header 的權限。
進行其他類型的郵件提交時,就會對郵件內的 X-header 自動實作標頭防火牆。
郵件內的組織 X-Header 與樹系 X-Header 如何套用標頭防火牆
用於輸入郵件中組織 X-header 與樹系 X-header 的標頭防火牆包含兩種特定權限,這兩種權限已指派給 Hub Transport Server 或 Edge Transport Server 上設定的接收連接器:
如果權限已指派給接收連接器,郵件就不會套用標頭防火牆。因此會保留郵件中的組織 X-header 或樹系 X-header。
如果接收連接器未套用權限,郵件就會套用標頭防火牆。因此會移除郵件中的組織 X-header 或樹系 X-header。
表格 2 說明接收連接器上可用之組織 X-header 與樹系 X-header 的標頭防火牆權限。
表格 2 輸入郵件的接收連接器上,可用之組織 X-header 與樹系 X-header 的標頭防火牆權限。
| 權限 | 安全性主體預設已指派權限 | 以安全性主體為成員的權限群組 | 預設將權限群組指派給接收連接器的用法類型 | 描述 |
|---|---|---|---|---|
Ms-Exch-Accept-Headers-Organization |
|
ExchangeServers |
|
此權限適用於組織 X-header。組織 X-header 的開頭為 "X-MS-Exchange-Organization-"。若未授與此權限,接受方伺服器會移除郵件的任何組織標頭。 |
Ms-Exch-Accept-Headers-Forest |
|
ExchangeServers |
|
此權限適用於樹系 X-header。樹系 X-header 的開頭為 "X-MS-Exchange-Forest-"。若未授與此權限,接受方伺服器會移除郵件的任何樹系標頭。 |
如果在自訂接收連接器案例中您想要對組織 X-header 與樹系 X-header 套用標頭防火牆,請使用下列任何一種方法:
建立新的接收連接器,然後選取
Internal以外的用法類型。只有當您建立連接器時,才能夠設定接收連接器用法類型。如需相關資訊,請參閱如何建立新的接收連接器。修改現有的接收連接器,然後移除 ExchangeServers 權限群組。如需相關資訊,請參閱如何修改接收連接器的組態。
使用 Remove-ADPermission 指令程式以從接收連接器上設定的安全性主體,移除 Ms-Exch-Accept-Headers-Organization 權限與 Ms-Exch-Accept-Headers-Forest 權限。如果已經使用權限群組將權限指派給安全性主體,就無法使用這種方法。您無法修改權限群組指派的權限或群組成員資格。如需相關資訊,請參閱 Remove-ADPermission。
使用 Add-ADPermission 指令程式以對接收連接器上設定的安全性主體,拒絕 Ms-Exch-Accept-Headers-Organization 權限與 Ms-Exch-Accept-Headers-Forest 權限。如需相關資訊,請參閱 Add-ADPermission。
輸出郵件內的組織 X-Header 與樹系 X-Header 如何套用標頭防火牆
用於輸出郵件中組織 X-header 與樹系 X-header 的標頭防火牆包含兩種特定權限,這兩種權限已指派給 Hub Transport Server 或 Edge Transport Server 上設定的傳送連接器:
如果權限已指派給傳送連接器,郵件就不會套用標頭防火牆。因此會保留郵件中的組織 X-header 或樹系 X-header。
如果傳送連接器未套用權限,郵件就會套用標頭防火牆。因此會移除郵件中的組織 X-header 與樹系 X-header。
表格 3 說明傳送連接器上可用之組織 X-header 與樹系 X-header 的標頭防火牆權限。
表格 3 輸出郵件的傳送連接器上,可用之組織 X-header 與樹系 X-header 的標頭防火牆權限。
| 權限 | 安全性主體預設已指派權限 | 預設將安全性主體指派給傳送連接器的用法類型 | 描述 |
|---|---|---|---|
Ms-Exch-Send-Headers-Organization |
|
|
此權限適用於組織 X-header。組織 X-header 的開頭為 "X-MS-Exchange-Organization-"。若未授與此權限,傳送伺服器會移除郵件的任何組織標頭。 |
Ms-Exch-Send-Headers-Forest |
|
|
此權限適用於樹系 X-header。樹系 X-header 的開頭為 "X-MS-Exchange-Forest-"。若未授與此權限,傳送伺服器會移除郵件的任何樹系標頭。 |
如果在自訂傳送連接器案例中您想要對組織 X-header 或樹系 X-header 套用標頭防火牆,請使用下列任何一種方法:
建立新的傳送連接器,然後選取
Internal或Partner以外的用法類型。只有當您建立連接器時,才能夠設定傳送連接器用法類型。如需相關資訊,請參閱如何建立新的傳送連接器。從連接器移除指派 Ms-Exch-Send-Headers-Organization 權限與 Ms-Exch-Send-Headers-Forest 權限的安全性主體。如需相關資訊,請參閱如何修改傳送連接器的組態。
使用 Remove-ADPermission 指令程式以從傳送連接器上設定的其中一個安全性主體,移除 Ms-Exch-Send-Headers-Organization 權限與 Ms-Exch-Send-Headers-Forest 權限。如需相關資訊,請參閱 Remove-ADPermission。
使用 Add-ADPermission 指令程式以對傳送連接器上設定的其中一個安全性主體,拒絕 Ms-Exch-Send-Headers-Organization 權限與 Ms-Exch-Send-Headers-Forest 權限。如需相關資訊,請參閱 Add-ADPermission。
來自其他郵件來源的組織 X-Header 與樹系 X-Header 如何套用標頭防火牆
郵件無需使用傳送連接器或接收連接器,就可以進入 Hub Transport Server 或 Edge Transport Server 上的 Exchange 2007 傳輸管線。源自其他郵件來源的郵件會套用組織 X-header 與樹系 X-header 的標頭防火牆,如下列清單所述:
收取目錄 系統管理員或應用程式會使用收取目錄來提交郵件檔。收取目錄內的郵件檔一律會套用組織 X-header 與樹系 X-header 的標頭防火牆。如需收取目錄的相關資訊,請參閱管理收取目錄。
重新顯示目錄 重新顯示目錄是用來重新提交已從 Exchange 2007 郵件佇列匯出的郵件。郵件檔的
X-CreatedBy:標頭欄位能夠控制如何在這類郵件中套用組織 X-header 與樹系 X-header 的標頭防火牆。如果此標頭欄位的值為
MSExchange12,郵件就不會套用標頭防火牆。如果
X-CreatedBy:的值不是MSExchange12,就會套用標頭防火牆。如果郵件檔中沒有
X-CreatedBy:標頭欄位,就會套用標頭防火牆。
如需重新顯示目錄的相關資訊,請參閱管理重新顯示目錄。
放置目錄 Hub Transport Server 上的外部連接器會使用放置目錄,將郵件傳送給不使用簡易郵件傳送通訊協定 (SMTP) 來傳送郵件的郵件伺服器。郵件檔在放入放置目錄之前,一律都會套用組織 X-header 與樹系 X-header 的標頭防火牆。如需外部連接器的相關資訊,請參閱外部連接器。
儲存區驅動程式 Hub Transport Server 上的儲存區驅動程式可在 Mailbox Server 上的信箱間傳送和接收郵件。對於從信箱建立及提交的外寄郵件,一律會套用組織 X-header 與樹系 X-header 的標頭防火牆。對於內送郵件,則會選擇性套用組織 X-header 與樹系 X-header 的標頭防火牆。對於傳送給信箱收件者的輸入郵件,標頭防火牆不會封鎖下列清單中指定的 X-header:
X-MS-Exchange-Organization-SCL
X-MS-Exchange-Organization-AuthDomain
X-MS-Exchange-Organization-AuthMechanism
X-MS-Exchange-Organization-AuthSource
X-MS-Exchange-Organization-AuthAs
X-MS-Exchange-Organization-OriginalArrivalTime
X-MS-Exchange-Organization-OriginalSize
如需儲存區驅動程式的相關資訊,請參閱傳輸結構。
DSN 郵件 DSN 郵件附加的原始郵件或原始郵件標頭,一律會套用組織 X-header 與樹系 X-header 的標頭防火牆。如需 DSN 郵件的相關資訊,請參閱管理傳遞狀態通知。
代理程式提交 由代理程式提交的郵件不會套用組織 X-header 與樹系 X-header 的標頭防火牆。
路由標頭的標頭防火牆
路由標頭是定義在 2821 與 RFC 2822 中的標準 SMTP 標頭欄位。用來將郵件傳遞給收件者的不同郵件伺服器相關資訊,路由標頭會用來為郵件加上戳記。可用的路由標頭如下列清單所述:
Received: 已接受郵件和轉寄郵件給收件者的每部郵件伺服器,都會將此標頭欄位的不同執行個體加入郵件標頭。
Received:標頭通常包含郵件伺服器名稱與日期時間戳記。Resent-*: Resent 標頭欄位是資訊標頭欄位,可用來判斷使用者是否已經轉寄郵件。可用的 Resent 標頭欄位如下:
Resent-Date:、Resent-From:、Resent-Sender:、Resent-To:、Resent-Cc:、Resent-Bcc:及Resent-Message-ID:。使用 Resent 欄位,對收件者來說郵件看起來是由原始寄件者直接傳送。收件者可以檢視郵件標頭,來探索是誰轉寄郵件。
插入郵件的路由標頭可用以歪曲傳送郵件給收件者的路由路徑。Exchange 2007 使用兩種不同方式,對郵件內的路由標頭套用標頭防火牆:
對可用以保留或移除郵件之路由標頭的傳送連接器或接收連接器指派權限。
進行其他類型的郵件提交時,就會對郵件內的路由標頭自動實作標頭防火牆。
輸入郵件內的路由標頭如何套用標頭防火牆
接收連接器具有 Ms-Exch-Accept-Headers-Routing 權限,該權限可用以接受或拒絕輸入郵件內的任何路由標頭:
若授與此權限,就會保留輸入郵件內的所有路由標頭。
若未授與此權限,就會移除輸入郵件內的所有路由標頭。
表格 4 說明接收連接器上 Ms-Exch-Accept-Headers-Routing 權限的預設應用程式。
表格 4 接收連接器上 Ms-Exch-Accept-Headers-Routing 權限的預設應用程式
| 安全性主體預設已指派權限 | 以安全性主體為成員的權限群組 | 預設將權限群組指派給接收連接器的用法類型 |
|---|---|---|
匿名使用者帳戶 |
Anonymous |
|
已驗證的使用者帳戶 |
ExchangeUsers |
|
|
ExchangeServers |
|
Exchange Legacy Interop 安全性群組 |
ExchangeLegacyServers |
|
協力程式伺服器帳戶 |
Partner |
|
Ms-Exch-Accept-Headers-Routing 權限會指派給 Custom 之外的所有用法類型。如果在自訂接收連接器案例中您想要對路由標頭套用標頭防火牆,請遵循下列步驟:
請執行下列其中一個動作:
建立新的接收連接器,然後選取
Custom用法類型。不要對接收連接器指派任何權限群組。您無法修改權限群組指派的權限或群組成員資格。修改現有的接收連接器,然後將 PermissionGroups 參數值設為
None。
使用 Add-ADPermission 指令程式,加入接收連接器上需要的適當安全性主體。確定沒有任何安全性主體已指派 Ms-Exch-Accept-Headers-Routing 權限。如果有需要,請使用 Add-ADPermission 指令程式對想要設定以使用接收連接器的安全性主體拒絕 Ms-Exch-Accept-Headers-Routing 權限。
如需相關資訊,請參閱下列主題:
輸出郵件內的路由標頭如何套用標頭防火牆
傳送連接器具有 Ms-Exch-Send-Headers-Routing 權限,該權限可用以允許或移除輸出郵件內的任何路由標頭:
若授與此權限,就會保留輸出郵件內的所有路由標頭。
若未授與此權限,就會移除輸出郵件內的所有路由標頭。
表格 5 說明傳送連接器上 Ms-Exch-Send-Headers-Routing 權限的預設應用程式。
表格 5 傳送連接器上 Ms-Exch-Send-Headers-Routing 權限的預設應用程式
| 安全性主體預設已指派權限 | 預設將安全性主體指派給傳送連接器的用法類型 |
|---|---|
|
|
匿名使用者帳戶 |
|
協力程式伺服器 |
|
Ms-Exch-Send-Headers-Routing 權限會指派給 Custom 之外的所有用法類型。如果在自訂傳送連接器案例中您想要對路由標頭套用標頭防火牆,請使用下列任何一種方法:
建立新的傳送連接器,然後選取
Custom用法類型。只有當您建立連接器時,才能夠設定傳送連接器用法類型。如需相關資訊,請參閱如何建立新的傳送連接器。移除連接器上指派 Ms-Exch-Send-Headers-Routing 權限的安全性主體。如需相關資訊,請參閱如何修改傳送連接器的組態。
使用 Remove-ADPermission 指令程式以從傳送連接器上設定的其中一個安全性主體,移除 Ms-Exch-Send-Headers-Routing 權限。如需相關資訊,請參閱 Remove-ADPermission。
使用 Add-ADPermission 指令程式以對傳送連接器上設定的其中一個安全性主體,拒絕 Ms-Exch-Send-Headers-Routing 權限。如需相關資訊,請參閱 Add-ADPermission。
其他郵件來源的路由標頭如何套用標頭防火牆
郵件無需使用傳送連接器或接收連接器,就可以進入 Hub Transport Server 或 Edge Transport Server 上的 Exchange 2007 傳輸管線。其他郵件來源會套用路由標頭的標頭防火牆,如下列清單所述:
收取目錄 系統管理員或應用程式會使用收取目錄來提交郵件檔。收取目錄內的郵件檔一律會套用路由標頭的標頭防火牆。如需收取目錄的相關資訊,請參閱管理收取目錄。
儲存區驅動程式 Hub Transport Server 上的儲存區驅動程式可在 Mailbox Server 上的信箱間傳送和接收郵件。從 Mailbox Server 上的信箱傳送出的所有郵件一律會套用路由標頭的標頭防火牆。傳遞至信箱收件者的內送郵件不會套用路由標頭的標頭防火牆。如需儲存區驅動程式的相關資訊,請參閱傳輸結構。
DSN 郵件 DSN 郵件附加的原始郵件或原始郵件標頭一律會套用路由標頭的標頭防火牆。如需 DSN 郵件的相關資訊,請參閱管理傳遞狀態通知。
重新顯示目錄、放置目錄及代理程式提交 重新顯示目錄、放置目錄或代理程式提交的郵件不會套用路由標頭的標頭防火牆。
標頭防火牆與舊版 Exchange Server
Exchange 2003 與舊版 Exchange Server 不使用組織 X-header 或樹系 X-header。Exchange 2007 會將舊版 Exchange Server 視為不受信任的郵件來源。郵件若來自執行舊版 Exchange Server 的伺服器,郵件內的所有組織 X-header 與樹系 X-header 都會套用標頭防火牆。郵件若傳遞給 Exchange 組織內執行舊版 Exchange Server 的伺服器,郵件也會套用組織 X-header 與樹系 X-header 的標頭防火牆。
舊版 Exchange Server 會使用專屬動詞 X-EXCH50,傳輸無法包含在電子郵件中的郵件及收件者相關資訊。此資訊是以 EXCH50 二進位大型物件的格式傳輸。EXCH50 二進位大型物件是儲存為單一物件的二進位資料集合。Exch50 包含如 SCL、地址修正資訊及其他 MAPI 內容等沒有 MIME 顯示的資料。因為 X-EXCH50 是延伸簡易郵件傳送通訊協定 (ESMTP) 的專屬動詞,所以未安裝 Exchange Server 的伺服器無法散佈 Exch50 資料。如需相關資訊,請參閱規劃共存。
為了支援傳送及接收 Exch50 資料,會自動設定已安裝 Exchange Server 2007 或 Exchange Server 2003 的伺服器之間的路由群組連接器。傳送連接器與接收連接器具有啟用 Exch50 命令的權限。
表格 6 說明輸入郵件的接收連接器上允許 Exch50 命令的權限。如果未授與下列其中一種權限,且傳送了包含 Exch50 命令的郵件,則伺服器會接受該郵件,但不包括 Exch50 命令。
表格 6 輸入郵件的接收連接器上允許 Exch50 命令的權限
| 權限 | 安全性主體預設已指派權限 | 以安全性主體為成員的權限群組 | 預設將權限群組指派給接收連接器的用法類型 |
|---|---|---|---|
Ms-Exch-Accept-Exch50 |
|
ExchangeServers |
|
Ms-Exch-Accept-Exch50 |
Exchange Legacy Interop 安全性群組 |
ExchangeLegacyServers |
|
如果在自訂接收連接器案例中您想要封鎖 Exch50 命令,請使用下列任何一種方法:
建立新的接收連接器,然後選取
Internal以外的用法類型。只有當您建立連接器時,才能夠設定接收連接器用法類型。如需相關資訊,請參閱如何建立新的接收連接器。修改現有的接收連接器,然後移除 ExchangeServers 權限群組。如需相關資訊,請參閱如何修改接收連接器的組態。
使用 Remove-ADPermission 指令程式以從接收連接器上設定的安全性主體,移除 Ms-Exch-Accept-Exch50 權限。如果已經使用權限群組將權限指派給安全性主體,就無法使用這種方法。您無法修改權限群組指派的權限或群組成員資格。如需相關資訊,請參閱 Remove-ADPermission。
使用 Add-ADPermission 指令程式以對接收連接器上設定的安全性主體,拒絕 Ms-Exch-Accept-Exch50 權限。如需相關資訊,請參閱 Add-ADPermission。
表格 7 說明輸出郵件的傳送連接器上允許 Exch50 命令的權限。如果未授與此權限,且傳送了包含 Exch50 命令的郵件,則伺服器會傳送該郵件,但不包括 Exch50 命令。
表格 7 輸出郵件的傳送連接器上允許 Exch50 命令的權限
| 權限 | 安全性主體預設已指派權限 | 預設將安全性主體指派給傳送連接器的用法類型 |
|---|---|---|
Ms-Exch-Send-Exch50 |
|
內部 |
如果在自訂傳送連接器案例中您想要封鎖 Exch50 命令,您可以使用下列任何一種方法:
建立新的傳送連接器,然後選取
Internal以外的用法類型。只有當您建立連接器時,才能夠設定傳送連接器用法類型。如需相關資訊,請參閱如何建立新的傳送連接器。移除連接器上指派 Ms-Exch-Send-Exch50 權限的安全性主體。
使用 Remove-ADPermission 指令程式以從傳送連接器上設定的其中一個安全性主體,移除 Ms-Exch-Send-Exch50 權限。如需相關資訊,請參閱 Remove-ADPermission。
使用 Add-ADPermission 指令程式以對傳送連接器上設定的其中一個安全性主體,拒絕 Ms-Exch-Send-Exch50 權限。如需相關資訊,請參閱 Add-ADPermission。