全面的反垃圾郵件及防毒解決方案：Microsoft IT 的展示

上次修改主題的時間： 2007-08-06

作者：Mrina Natarajan

在尋找方法來協助保護您的企業郵件網路免受垃圾郵件、病毒以及蠕蟲的攻擊嗎？在這篇文章中，我們將看到 Microsoft 的 IT 部門如何利用 Microsoft Exchange Server 2007 中的增強功能來實作 Microsoft 企業郵件網路的郵件保護，其增強功能包括 Edge Transport server role 以及 Microsoft Forefront Security for Exchange Server。我們將著重下列的主題：

• Microsoft IT 使用 Edge Transport Server role 保護郵件的方法

• Microsoft IT 如何執行 Forefront Security for Exchange Server 

• Microsoft IT 如何使用 Exchange Hosted Services

Microsoft IT 使用 Exchange 2007 保護郵件的方法

在類似 Microsoft 這樣的大企業中，您可以想像會有多少數量的電子郵件以及潛在的垃圾郵件與病毒威脅。Microsoft IT 工作人員每天為網路上十三萬個信箱處理將近一千四百萬封的信件。使用反垃圾郵件及防毒處理，他們擺脫掉 95% 的垃圾郵件與病毒。

Microsoft IT 如何辦到？他們在周邊網路上部署 Edge Transport Server，在郵件進入網路之前執行大量的垃圾郵件與病毒篩選作業，因而可將內部網路安全風險降至最低，並且減少花在路由與網際網路郵件閘道伺服器相關的硬體成本。Edge Transport server role 位在 Active Directory 目錄服務樹系的外部，使用 Microsoft Exchange EdgeSync 服務以擷取來自 Hub Transport Server 的組態資訊。Microsoft Exchange EdgeSync 服務會定期地將 Active Directory 的收件者與組態資料複寫到已安裝 Edge Transport server role 之電腦上的 Active Directory 應用程式模式 (ADAM) 執行個體。如需此技術的詳細資訊，請參閱 Kate Follis 的 White Paper: Edge Subscription and Synchronization。

在 Exchange 2007 中，Edge Transport server role 是以獨立伺服器的形式部署在周邊網路中，為 Exchange 組織提供改進的防毒與反垃圾郵件防護。Edge Transport Server 會處理所有與網際網路相關的郵件流程，並為 Exchange 組織提供了簡易郵件傳送通訊協定 (SMTP) 轉送和智慧主機服務。

在 Edge Transport Server 上執行的一系列代理程式提供了額外的郵件保護，它們也會在傳輸元件處理郵件時對郵件採取動作。這些代理程式支援的功能會提供防毒和反垃圾郵件防護，並且套用傳輸規則以控制郵件流程。

如需如何計畫與部署 Edge Transport Server 以及在其上管理反垃圾郵件和防毒保護的相關資訊，請參閱下列 Exchange Server 2007 說明 的主題：

• Edge Transport Server role：概觀

• 規劃 Edge Transport Server

• 規劃 Edge Transport Server 功能

• 反垃圾郵件及防毒功能的規劃

• 規劃防毒部署

• 新的反垃圾郵件及防毒功能

• 向 Exchange 組織訂閱 Edge Transport Server

• 準備執行 Microsoft Exchange EdgeSync 服務

• 設定邊際傳輸規則以管理病毒

• 管理反垃圾郵件及防毒功能

Microsoft IT 也使用 Forefront Security for Exchange Server 以啟用 Edge Transport Server 與 Hub Transport Server 上的多層級傳輸型防毒掃描和進階的反垃圾郵件功能。這能夠協助封鎖大部分的垃圾郵件與病毒。

如需 Microsoft IT 使用 Exchange 2007 與 Exchange Hosted Services 的實際郵件保護策略、實作及最佳作法的詳細資料，請看 Microsoft IT Showcase 上的這份絕佳白皮書：Microsoft Exchange Server 2007 邊際傳輸與郵件保護 (英文)。

Forefront Security for Exchange Server 與 Microsoft IT

Forefront Security for Exchange Server 藉由使用多重掃描引擎，在所有儲存與傳輸 Exchange 伺服器角色 (包括 Edge Transport Server、Hub Transport Server、Mailbox Server 以及公用資料夾伺服器) 上透過傳輸管線提供分散式的保護，提供增強且有效的防毒保護。

Forefront Security for Exchange Server 將它自己的 FSE 路由代理程式新增至 Edge Transport Server 上。FSE 路由代理程式結合防毒解決方案與邊際傳輸子系統，可以掃描 MIME 以及「UNIX 對 UNIX 編碼」(UUENCODE) 格式的郵件。

當 Forefront Security for Exchange Server 部署在 Edge Transport Server 上時，它將協助啟動 Microsoft Update 的反垃圾郵件更新服務。這樣可以設定具有 Forefront Security for Exchange Server 的 Edge Transport Server 連線到 Microsoft Update 服務，針對垃圾郵件簽章資料與 Microsoft IP 信譽服務資料更新的頻繁檢查進行最佳化。這將協助 Exchange Server 保持高水準的垃圾郵件防護效果。您可以將 Forefront Security for Exchange Server 部署在 Exchange 2007 組織中的 Edge Transport Server、Hub Transport Server 以及 Mailbox Server 上。如需相關資訊，請參閱《Microsoft Forefront Security for Exchange Server 使用手冊》(英文)。

Microsoft IT 不僅只是將 Forefront Security for Exchange Server 部署在企業生產環境中的 Edge Transport Server 上，還部署在全部的 Hub Transport Server 上。此外，Microsoft IT 以階層式的方法形成深度的防禦策略對抗垃圾郵件與病毒，其作法是先在 Edge Transport Server 上設定 Exchange Server 反垃圾郵件和防毒掃描功能，然後在所有的傳輸層實作 Exchange Server 防毒掃描，包括用戶端桌面的防毒檢查。

Forefront Security for Exchange Server 在 Microsoft IT 的防毒解決方案中扮演非常重要的角色。以下說明 Microsoft IT 如何部署 Forefront Security for Exchange Server：

• Microsoft IT 將 Forefront Security for Exchange Server 部署在企業生產環境中的所有 Edge Transport Server 以及 Hub Transport Server 上。在周邊網路上的 Edge Transport Server 會掃描所有來自網際網路的輸入郵件，並在郵件上加入安全的防毒標頭作為戳記，之後 Hub Transport Server 就不需要再掃描這些郵件。

  這相同的原則也套用在輸出郵件上。Hub Transport Server 會在輸出郵件到達 Edge Transport Server 之前掃描過全部的郵件。根據此增強的安全防毒標頭，Edge Transport Server 可辨識不需要執行額外病毒掃描的輸出郵件。這將減輕處理的負擔，並且為所有輸入、輸出以及內部的電子郵件維護有效的防毒保護。它也可以讓 Microsoft IT 部署 Exchange 2007 Mailbox Server，但不需要 Forefront Security for Exchange Server。

  如同上述所討論的，Microsoft IT 已有多層的深度防禦策略進行反垃圾郵件和防毒的保護，因而不必再執行另外的病毒掃描應用程式。然而，如果發生病毒爆發的情況，Microsoft IT 即會使用病毒掃描 API (VSAPI) 引擎來清除 Mailbox Server 上的病毒郵件。另外，您也可以在執行 Exchange 2007 的電腦上設定檔案層級的防毒掃描。如需如何進行此工作的相關資訊，請參閱Exchange 2007 上的檔案層級防毒掃描。

  Microsoft IT 將 Edge Transport Server 上的 Forefront Security for Exchange Server 設定為透過 Microsoft Update 每天數次自動擷取寄件者信譽及垃圾郵件簽章更新。藉由每天數次更新這項資訊，您將得到能夠更精確辨識最新垃圾郵件活動的連線篩選與內容篩選。如需相關資訊，請參閱 Exchange Server 2007 說明中的如何設定反垃圾郵件自動更新這篇文章。

• Microsoft IT 透過 Forefront Security for Exchange Server 與 Microsoft Update 自動地更新 Edge Transport Server 上大部分的防毒掃描設定，或透過 Microsoft Exchange EdgeSync 服務，進行一次的 Active Directory 資料複寫。

如需 Forefront Security for Exchange Server 的相關資訊，請參閱下列文件：

• Microsoft Forefront Security for Exchange Server 使用手冊

• Microsoft Forefront Security for Exchange Server：功能

• 使用 Microsoft Forefront Security for Exchange Server 保護您的 Microsoft Exchange 組織

• Forefront Server 安全白皮書

Microsoft IT 如何使用 Exchange Hosted Services

Microsoft IT 使用託管篩選 (Microsoft Exchange Hosted Services 中可用的四個不同服務之一) 作為使用 Edge Transport Server 的替代方案，為 Microsoft 中的數個 SMTP 網域名稱空間提供反垃圾郵件及防毒保護。託管篩選是個完全受管理的服務，可對電子郵件網域提供反垃圾郵件、防毒、原則篩選以及失敗復原功能。您不需要安裝任何其他軟體或硬體即可使用託管篩選。您所需要的只是一筆 Mail Exchange (MX) 記錄變更，以將網域的所有輸入電子郵件路由傳送至 Exchange Hosted Services 網路以進行篩選。同樣地，雖然 Microsoft IT 並沒使用這個選項，但您可以將輸出電子郵件路由傳送到託管篩選以進行病毒掃描與強制執行原則。為協助保護組織免於垃圾郵件與病毒的攻擊，託管篩選一天會更新垃圾郵件與病毒簽章數次，並使用多個防毒引擎。

除了託管篩選之外，Exchange Hosted Services 還提供下列託管服務：

• 託管封存，可協助客戶滿足相容性的保留需求

• 託管加密，可協助客戶加密資料以保留機密性

• 託管持續性，可協助客戶在緊急情況期間及之後保留電子郵件的存取

這些服務整合服務提供者所提供的內部或 Exchange 電子郵件服務所管理之任何內部 Exchange 伺服器。如需相關資訊，請參閱 Microsoft Exchange Hosted Services (英文)。

相關資訊

同稍早所提到的，Microsoft IT 已將他們的郵件保護策略與最佳作法記載於下列白皮書中：Microsoft Exchange Server 2007 邊際傳輸與郵件保護 (英文)。

如需反垃圾郵件和防毒保護的相關資訊，我們也建議您查看 Exchange Server 2007 說明中的下列主題：

• 新的反垃圾郵件及防毒功能

• Exchange 2007 的新防毒及反垃圾郵件產品

• 反垃圾郵件及防毒功能的規劃

• 管理反垃圾郵件及防毒功能

• 反垃圾郵件指令程式

同樣地，如需 Forefront Security for Exchange Server 的相關資訊，請參閱下列文章：

• Microsoft Forefront Security for Exchange Server 使用手冊

• Microsoft Forefront Security for Exchange Server：功能

• 使用 Microsoft Forefront Security for Exchange Server 保護您的 Microsoft Exchange 組織

• Forefront Server 安全白皮書

Mrina Natarajan - 技術文件作者，Microsoft Exchange Server