Exchange 簡介

 

適用於: Forefront Security for Exchange Server

主題上次修改日期: 2011-04-12

在 Microsoft® Exchange 中,病毒可藉由電子郵件的檔案附件、電子郵件本文及公用資料夾張貼進入環境,但傳統的防毒技術無法監控或掃描 Exchange 資料庫或 Exchange Transport 堆疊的內容。Exchange 環境需要可以防止病毒散佈的防毒解決方案,利用對伺服器效能或郵件傳遞次數影響最小的方式,來即時掃描所有郵件。Microsoft Forefront Security™ for Exchange Server (FSE) 即為保護 Exchange 環境的解決方案。

Forefront Security for Exchange Server 僅適用於 Exchange Server 2007 環境,其使用 Exchange 病毒掃描應用程式發展介面 (VSAPI) 與 Exchange 伺服器緊密整合,以提供滴水不漏的防護。

Forefront Security for Exchange Server 提供的強大功能包括:

  1. 使用多個防毒掃描引擎進行防毒掃描。

  2. 分散式保護所有儲存與傳輸 Exchange 伺服器角色,包括 Edge、Hub 以及 Mailbox/Public Folder Server。

  3. 依檔案名稱、副檔名或大小進行檔案篩選。

  4. 系統管理員及郵件寄件者與收件者的全面通知功能。

Forefront Security for Exchange Server 可為郵件伺服器提供完整防護,是專為 Exchange 2007 環境打造的防毒解決方案。

使用多個掃描引擎的優點

各防毒廠商無不希望能盡快發行簽章,但是對於每種病毒威脅,各個防毒研究實驗室取得病毒樣本、加以分析然後發行簽章的速度卻不盡相同。藉由使用多個防毒掃描引擎,Forefront 客戶便可瞭解引擎多元化的優點。使用五個防毒掃描引擎掃描郵件時,攔截新病毒的機率,一定高於使用單個引擎。

Forefront 提供組態設定功能,讓客戶可在效能與相對的防護層級間選擇一個平衡點。您最多可選擇 5 個引擎,而偏差設定則決定是否所有引擎都將掃描每封郵件,或僅使用部分選取的引擎來掃描每封郵件。要提升防護功能,建議使用「有利確定度」偏差設定。此設定可將 Forefront 設為使用所有已選取的可用引擎進行掃描。(使用「有利確定度」時,如果某個引擎暫時無法使用,便會略過該引擎,如正在重新載入以更新簽章時)。

  • Forefront AV 代理程式可在 Edge Transport 或 Hub Transport Server 上執行防毒掃描,此代理程式是以 Edge Transport.exe 登錄的 E12 傳輸代理程式,且由該處理程序載入。

  • 使用由 Exchange Store 載入、且與 E12 相容的 Forefront VSAPI.dll,可在 Mailbox Server 上執行「即時」與「背景」處理防毒掃描。

  • 實際上,郵件的防毒掃描是由個別的 Forefront「即時」與「傳輸」處理程序執行,這些處理程序可將郵件掃描與 Exchange Transport 及 Store 處理程序隔離。

Forefront Security for Exchange Server 支援 Exchange Edge Transport、Hub Transport 與 Mailbox/Public Folder Server role。將掃描工作負載分散到不同的 Exchange 伺服器,可降低對個別伺服器的影響,也可避免重複掃描。

Forefront Security for Exchange 結合了新的掃描邏輯,不會掃描已掃描過的電子郵件。根據預設,已在 Edge Transport 或 Hub Transport 掃描過的電子郵件,在發送或存放到信箱時便不會再次掃描。此種方式可將防毒掃描的資源使用量降至最低,以最佳化郵件系統效能。除此之外,還有以下優點:

  • 大幅降低掃描對 Information Store 造成的影響。

  • 關閉後即可進行完整掃描。

為識別已經掃描過的郵件,在 Edge 或 Hub Server 首次掃描電子郵件時,會將安全的防毒標頭戳記寫入每一封電子郵件。之後的掃描作業 (Hub 或 Store) 會檢查是否有此戳記,如果有此戳記存在,便不會重新掃描該封電子郵件。當郵件提交至 Store 時,便會將防毒戳記內容新增至 MAPI 內容並加以維護。

為發揮「一次性掃描」功能的最大效用,建議您以相同的組態設定來設定所有 Exchange 伺服器,以在 Exchange 組織中的各個分散點以相同方式執行掃描。

以下是幾個掃描案例:

掃描輸入郵件

郵件會在 Edge Server 掃描,但不會在 Hub 或第一次存放到 Mailbox Server 時重新掃描。不過,在將郵件存放到 Mailbox Server 之後,便可設定該伺服器使用較新的簽章,定期重新掃描全部或部分內容。

掃描輸出郵件

根據預設,不會在 Mailbox Server 上掃描輸出郵件,而是在 Hub Server 掃描。如果在同一部電腦上部署 Mailbox 與 Hub Server role,便會由 Hub Transport role 掃描郵件。如果 Edge Server 是部署在 Exchange 組織中,郵件便不會在 Edge Server 掃描。

掃描內部郵件

郵件在內部發送時會在 Hub Server 掃描。根據預設,不會在送出郵件的 Mailbox Server 掃描郵件,也不會在郵件送達的 Mailbox Server 重新掃描郵件。

在上述所有案例中,處理時間與負載會儲存在 Mailbox Server 上。

AV 戳記

必須符合以下三種情況,AV 傳輸代理程式才會在郵件上放置 AV 戳記:

  • 郵件至少已使用一個病毒引擎進行掃描。

  • 沒有找到病毒,或是找到病毒,而必須清理或刪除該病毒。

  • 如果郵件有所更新,Forefront 必須順利將更新的郵件寫回 Exchange。

如果 Forefront 的病毒掃描功能設定為 [略過:偵測] 模式,發現病毒時就不會寫入戳記,只會有防毒掃描計數。如果只啟用檔案篩選功能,將不會寫入戳記。

信箱掃描

儲存區掃描是由以下項目所處理:

  • 即時掃描工作與背景掃描

  • 手動掃描工作

根據預設,主動式掃描 (將郵件與檔案寫入儲存區時掃描) 是關閉的。

根據預設,抵達 Mailbox Server 的郵件會帶有傳輸戳記,且即時掃描處理程序不會重新掃描這些郵件。掃描這些郵件的 Transport Hub 可與 Mailbox Server 位於相同位置,或位於其他的伺服器上。未經過 Transport Hub 發送的內容將不會有 AV 戳記,且在「存取時掃描」第一次從儲存區擷取這些內容時才會被掃描。

根據預設,「存取時掃描」功能可在存取郵件時用來掃描郵件,前提是該郵件尚未經過掃描。存取的定義包括開啟郵件、在預覽窗格中檢視,以及內容編製索引作業。因為郵件在轉送時已經過掃描,所以大部分擷取操作對儲存區不會造成影響。「存取時掃描」可保護 [寄件備份] 資料夾、[寄件匣] 以及 [公用資料夾] 中的郵件。

Mailbox Server 中另有一些選用的高安全性組態設定,如果在上次掃描之後已有新的簽章,啟用這些組態設定便可在存取郵件時重新掃描郵件。(請參閱 [設定] - [一般選項] 中的 [在掃描程式更新後掃描] 選項)。除非出現需要此一防護層級的嚴重威脅,因而必須持續重新掃描郵件來保護使用者不受已知威脅的侵害,否則不建議您使用這些高安全性設定。

請注意,「存取時」保護是有限制的。一旦郵件已下載至 Outlook 2003 或 Outlook 2007 的用戶端 Outlook 快取 (如果已開啟 Outlook 快取模式),則在本機存取 Outlook 中的郵件時,將不會在 Exchange 伺服器上引發「存取時」事件。在此種情況下,您可使用背景掃描來對已儲存於用戶端快取的郵件進行掃描。如果背景掃描偵測到病毒,便會清理或刪除儲存區的郵件副本,強制用戶端在下次連線到 Exchange 時,重新同步處理 (已清理或已清除的) 郵件。

[背景掃描] 現提供可增進效能的增量背景掃描功能。此功能可讓系統管理員設定背景掃描工作根據郵件的保留天數來進行掃描。例如,系統管理員可以設定 Forefront 以排程在離峰時間執行背景掃描工作,並且設定只掃描過去 2 天內所收到的郵件。若系統管理員發現儲存區存放了受感染項目,也可以執行背景掃描工作來清理信箱伺服器。

增量背景掃描可大幅減少儲存區的資源使用量,此外,若 Exchange 伺服器在收到最新的郵件後才收到病毒對應的簽章,增量背景掃描也可提供最周全的防護。[背景掃描] 使用的組態設定,與 [即時掃描] 工作中的設定相同。

Microsoft 建議您開啟 Public Folder Server 的主動式掃描功能,以在內容張貼至伺服器時加以掃描,而且在存取內容時,也不會發生任何下載延遲的情況。

Forefront Security for Exchange Server 的授權使用者享有額外的垃圾郵件防護服務。這項額外服務使用 Microsoft Update 每日更新內容篩選。另外,此服務也包含「垃圾郵件簽章」和「IP 信譽評等服務」更新,您可視需要一日更新多次。這些額外的垃圾郵件防護服務是以 Exchange 2007 中的垃圾郵件防護基礎等級為基礎,具有以下的新增功能:

  • Microsoft IP 信譽評等服務,它會提供已知會傳送垃圾郵件的 IP 位址有關的寄件者信譽評等資訊。這是專為 Exchange 2007 客戶提供的 IP 封鎖清單。額外的垃圾郵件防護也提供此篩選的自動更新,您可視需要一日更新多次。

  • 垃圾郵件簽章更新,可識別最新的垃圾郵件活動。簽章更新可視需要一日更新多次。

  • Microsoft Smartscreen 垃圾郵件啟發學習法、釣魚網站及其他智慧型郵件篩選器 (IMF) 更新的自動化內容篩選更新。

  • 目標垃圾郵件簽章資料和自動更新,可識別最新的垃圾郵件活動。

這些功能可協助確保您的組織擁有最新的防護,可以對抗最新的垃圾郵件攻擊。

如需垃圾郵件防護的相關資訊,請參閱《Microsoft Exchange Server 2007》手冊的管理反垃圾郵件及防毒功能 (可能為英文網頁)。

Forefront Security for Exchange Server 提供下列元件:

  1. FSCController

  2. Forefront Server Security 管理員

最新的 Microsoft Forefront Security for Exchange Server 手冊,包括《Microsoft Forefront Security for Exchange Server Quick Start Guide》、《Microsoft Forefront Security for Exchange Server Best Practices Guide》以及《Microsoft Forefront Security for Exchange Server Cluster Installation Guide》都可在 Microsoft Forefront Security for Exchange Server TechCenter 中找到。

 
顯示: