進行規劃以防範電子郵件威脅

發佈時間: 2009年11月

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

本主題的設計目的是為了協助您規劃如何使用 Forefront TMG 來保護網路,以防範透過電子郵件進入您組織的垃圾郵件及病毒。Forefront TMG 會在郵件到達使用者信箱之前,先檢查路由到簡易郵件傳送通訊協定 (SMTP) 伺服器的郵件流量。

下列各節說明:

利用 Microsoft 郵件保護技術

Forefront TMG 會利用 Exchange Edge Transport Server role 及 Forefront Protection 2010 for Exchange Server (FPES) 的功能,提供郵件轉送以及反垃圾郵件和防毒保護。這兩種技術包括各種反垃圾郵件與防毒功能,這些功能設計成可累積運作,以減少進出您組織的垃圾郵件。

在 Forefront TMG 中部署電子郵件保護功能時,您可以在 Forefront TMG 電腦上安裝 Exchange Edge 和 FPES。雖然這些產品可以獨立安裝在不同的電腦上,但是在 Forefront TMG 上安裝它們並實作電子郵件保護功能,可提供一些好處,這將在使用 Forefront TMG 建立電子郵件原則的優點中說明。

多層式保護

因為垃圾郵件發信者或惡意寄件者使用各式各樣的技術,所以 Forefront TMG 會實作多層式和多面向的方法來減少垃圾郵件及病毒。減少垃圾郵件的多層式方法是指結合數種反垃圾郵件和防毒功能,並以特定順序掃描輸入郵件的配置方式。每個功能都會針對輸入郵件篩選特定特性或一組相關特性。

使用 Forefront TMG 建立電子郵件原則的優點

使用 Forefront TMG 實作電子郵件保護有許多優點:

  • 在邊緣的保護:Forefront TMG 的電子郵件保護功能會在邊緣 (進入企業核心網路的點) 檢查郵件流量,與進一步沿著郵件傳遞路徑掃描郵件是否有病毒和其他惡意程式碼相反,因此可節省處理資源、頻寬和存放區。

  • 整合的管理:當您使用 Forefront TMG 建立電子郵件原則時,可以在 [Forefront TMG 管理] 主控台中進行設定,然後 Forefront TMG 會將您的設定套用至 Exchange Edge 和 FPES。使用此整合的管理解決方案時,不需要開啟 Exchange Edge 或 FPES 的管理主控台 (事實上,除了疑難排解需求以外,您不應該開啟它們)。因此,實作電子郵件保護並不需要 Exchange Edge 和 FPES 方面的專業知識。

  • 擴充的管理:Forefront TMG 可讓您在陣列中部署多個伺服器,並從單一介面管理這些伺服器。這對於電子郵件保護功能而言確實是這樣,但是其他 Exchange 和 FPES 部署並沒有這項優點。當您使用 Forefront TMG 設定電子郵件原則時,會儲存整個陣列的設定值。電子郵件原則只須設定一次,在設定之後,所有的陣列成員就會在與設定存放區同步時收到設定。

  • 網路負載平衡 (NLB) 的原生支援:使用 NLB 與虛擬 IP 位址時,可以在單一進入點部署更多的 Forefront TMG 伺服器,因此可處理更多的郵件流量。同樣地,透過部署多個執行 Exchange Edge 和 FPES 的 Forefront TMG 伺服器,您可以更輕鬆地為組織維護高度可用且受到高度保護的郵件傳送服務。

部署考量

當您計劃在組織中部署電子郵件保護時,請考慮下列事項:

  • 請在部署電子郵件保護之前,先收集下列資訊:

    • 組織為輸入郵件所使用的外部 IP 位址。

      note附註:
      網域的郵件交換程式 (MX) 資源記錄必須在網際網路 DNS 伺服器上註冊,而 MX 記錄則必須指向 Forefront TMG 的外部 IP 位址。

    • 含有其 IP 位址的內部 SMTP 伺服器清單。

      note附註:
      如果您有 Microsoft Exchange 郵件組織,內部 SMTP 伺服器就是 Hub Transport 伺服器。

  • 為了持續保護您的系統免受最新烕脅的攻擊,請確認 Forefront TMG 可以連線到選取的更新來源 (Microsoft Update 或 Windows Server Update Service (WSUS)),而且已啟用最新簽章的自動安裝。如需相關資訊,請參閱規劃保護定義的更新

  • 完成安裝之後,建議您備份組態並且將備份檔儲存在安全的位置。這樣做可能有助於疑難排解未來的電子郵件保護問題,而且可讓您在必要時回復為原始組態。您應該針對每個陣列成員進行此作業。

  • 如果您使用 Microsoft Forefront Protection 2010 for Exchange Server 來實作電子郵件保護,並且啟用了 Forefront TMG HTTPS 檢查功能,就必須啟用將 Cloudmark 垃圾郵件防護引擎定義更新下載至 Forefront TMG 伺服器的功能。因為 Cloudmark 下載網站會使用自我簽署憑證,而且 Forefront TMG HTTPS 檢查不支援自我簽署憑證的檢查,所以您必須從 HTTPS 檢查中排除這個網站。如需詳細資訊,請參閱從 HTTPS 檢查排除來源和目的地

下一步

部署電子郵件保護功能需要安裝 Exchange Edge Transport 角色和 FPES,以及其相關的必要條件。建議您在安裝 Forefront TMG 之前先安裝這些程式。請閱讀安裝電子郵件保護的必要條件以了解安裝指示。

相關主題

顯示: