設定 FOPE 的最佳作法

 

適用於: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

主題上次修改日期: 2013-05-17

我們的客戶發現,了解下列有關 Forefront Online Protection for Exchange (FOPE) 服務的資訊,不僅能幫助他們發揮服務的最大功效,還能確保以盡可能順暢的方式執行。若要檢視示範如何設定本主題所描述之選項的影片,請參閱設定 Forefront Online Protection for Exchange 的最佳作法 (僅提供英文版)。

若要安全而自動地在內部部署 Active Directory 與 FOPE 和 Exchange Hosted Archive 服務之間同步處理有效使用者 Proxy 位址 (及其 [安全寄件者] (如果有的話)),使用免費的目錄同步作業工具是最佳的方式。目錄同步作業工具位於下列位址:http://www.microsoft.com/downloads/details.aspx?FamilyID=3cda6dcc-1124-4e0b-b991-de9d85ed12e1&DisplayLang=en

下載目錄同步作業工具 (DST) 之後,就可以透過 DST 將使用者 (及其電子郵件地址) 清單上傳至 Hosted Services 網路。然後就可透過將網域的目錄架構邊緣封鎖設定為拒絕模式,將上傳的使用者清單用於目錄架構邊緣封鎖、隔離存取或封存服務。

如果您的公司不具備 Microsoft Windows Active Directory 環境,您可以將使用者清單來源設定為 [Admin Center] 或 [安全 FTP] (上傳使用者清單的替代選項)。

如需有關 FOPE DST 的概要說明、安裝指示以及支援資訊等詳細資訊,請參閱目錄同步作業工具

傳送電子郵件通訊時,可透過提供驗證傳送主機的機制,採用 SPF 以防止未經授權使用網域名稱 (這種技術也稱為「詐騙」)。如果您要設定 SPF 記錄設定,請使用下列秘訣做為指導原則:

  1. 對於透過篩選網路傳送外寄郵件的網域,您可以在 SPF 記錄以及個別的外寄郵件伺服器 IP 位址中加入 "spf.messaging.microsoft.com"。傳送電子郵件通訊時,可透過提供驗證傳送主機的機制,採用 SPF 以防止未經授權使用網域名稱 (這種技術也稱為「詐騙」)。

    重要事項重要:
    這些指示僅適用於透過篩選網路傳送外寄電子郵件的網域。
  2. 由於 SPF 是用來驗證特定 IP 位址對於特定網域擁有傳送郵件的授權,因此,SPF 記錄必須包含篩選網路的外寄 IP 位址。加入整組 IP 最簡單的方式就是在 SPF 記錄中使用 "include:spf.messaging.microsoft.com" 陳述式。

  3. 此外,您也可以列出所有外寄郵件伺服器 IP 位址。為確保能將郵件傳遞到其他 FOPE 用戶端,必須使用這些 IP 位址。每個 IP 位址都應該加上是經由 ip4:陳述式。例如,若要加入 "127.0.0.1" 做為接受的外寄傳送 IP,則要在 SPF 記錄中加入 "ip4:127.0.0.1"。如果您知道所有授權的 IP,應該使用 –all (Fail) 限定詞加入。如果您不確定是否有完整的 IP 清單,則應該使用 ~all (SoftFail) 限定詞。

    例如:

     

    Contoso.com 擁有三個外寄郵件伺服器,如下所示:

    127.0.0.1

    127.0.0.2

    127.0.0.3

    Contoso 的原始 SPF 記錄如下所示:

    "v=spf1 ip4:127.0.0.1 ip4:127.0.0.2 ip4:127.0.0.3 -all"

    透過 FOPE 路由傳送郵件之後,Contoso 的 SPF 記錄會顯示如下:

    "v=spf1 include:spf.messaging.microsoft.com ip4:127.0.0.1 ip4:127.0.0.2 ip4:127.0.0.3 -all"

下列秘訣將有助確保伺服器與 Hosted Filtering 服務之間具有流暢且持續的資料傳輸。

  • 以 60 秒連線逾時在 SMTP 伺服器上進行設定。

  • 一旦限制了防火牆規則,僅允許來自 Hosted Filtering 服務所使用之 IP 位址的內送 SMTP 進行連接之後,我們建議您將 SMTP 伺服器設定成接受來自適當服務的最高同時內送連接數目。

  • 如果伺服器要透過 Hosted Filtering 服務傳送外寄電子郵件,我們也建議您將伺服器設定成每個連接不傳送超過 50 封郵件以及使用少於 50 個同時連線。在一般情況下,這些設定將有助於確保伺服器與服務之間具有流暢且持續的資料傳輸。

您可以將訂閱服務的存取權限制為從指定之 IP 位址連線到網站的使用者。透過這種組態,系統就不會允許來自其他 IP 位址的存取,以便盡可能降低未授權存取的可能性。IP 限制設定適用於公司範圍、網域範圍和使用者範圍。

您應該隨時針對所有帳戶使用強式密碼,尤其是系統管理員帳戶。下列準則可協助您建立強式密碼:

  • 需要小寫和大寫字母、數字與特殊字元 (?, !, @, $)

  • 密碼應該設定為經常到期,例如每隔 3、4 或 6 個月。

系統也提供了其他垃圾郵件篩選 (ASF) 選項。根據預設,建議您關閉所有 ASF 選項,但有下列可能的例外狀況:

  • 影像連結到遠端站台—對於會收到許多內容包含垃圾郵件特徵的行銷郵件、廣告或電子報的使用者,建議使用此設定。

  • SPF 記錄驗證失敗—對於會擔心收到網路釣魚郵件的組織,建議使用此設定。

  • 寄件者地址驗證—對於會擔心網路釣魚,尤其是其使用者會被詐騙的組織,建議開啟此設定。不過,一般建議使用者為擴大升級時才開啟此選項,而不是預設將其開啟。

如需這些 ASF 選項及其他的詳細資訊,請參閱設定其他垃圾郵件篩選選項

提示秘訣:

請考慮在測試模式下啟用 ASF 選項,以便根據您的環境識別其他主動垃圾郵件選項,讓垃圾郵件封鎖發揮最大功效。對於垃圾郵件所佔比例很高的客戶而言,建議您先測試這些選項,再將規則實作於實際執行環境內。

如果任何垃圾郵件通過篩選而傳送至桌面,客戶應該將這些郵件提交給 Hosted Filtering 服務的垃圾郵件小組 (abuse@messaging.microsoft.com) 進行檢閱。

此外,客戶也可以選擇讓使用者安裝 Junk E-Mail Reporting Tool。搭配 Microsoft® Office Outlook® 使用時,Junk E-Mail Reporting Tool 可讓使用者快速地將垃圾電子郵件提交給 abuse@messaging.microsoft.com 進行分析,以便改善垃圾電子郵件篩選效益。

您可以從下列網址下載 Junk E-Mail Reporting Tool:http://go.microsoft.com/fwlink/?LinkID=147248

您也可以將網域設定成在使用者登入隔離網站時顯示 Junk E-Mail Reporting Tool 的下載連結,供使用者查看。

如需 Junk Email Reporting Tool 的詳細資訊,請參閱 Junk E-mail Reporting Add-in for Microsoft Office Outlook

雖然提交為誤判的大部分郵件確實是正確篩選出的垃圾郵件,不過預定收件者仍然想要這些郵件。

為了深入了解以誤判回報給 Hosted Filtering 服務的郵件類型和數目,系統管理員應該設定垃圾郵件篩選的傳送誤判郵件副本功能,以便提供郵件的副本給他們進行檢閱。

重要事項重要:
傳送誤判郵件副本之前,使用者必須先登入隔離網站進行郵件檢視,或者回收郵件進行檢視,然後再轉寄到 false_positive@messaging.microsoft.com。

您必須將整個郵件和所有網際網路標頭轉寄給 false_positive 信箱,藉以提交誤判郵件。

除了垃圾郵件及病毒篩選之外,FOPE Administration Center 原則規則 也可讓您透過設定可自訂的篩選規則來強制執行特定公司政策。您可以建立一組特定的規則,以便在郵件正由 Hosted Filtering 服務處理時進行識別,並針對郵件執行特定的動作。例如,您可以建立原則規則,以拒絕在 [主旨] 欄位中具有特定字詞或片語的任何內送電子郵件。此外,原則規則篩選也可讓您透過上傳檔案 (字典) 的方式,為多項原則規則新增及管理大型值清單 (例如電子郵件地址、網域和關鍵字)。

您也可以根據不同的電子郵件比對準則設定原則規則:

  • 標頭欄位名稱和值

  • 寄件者 IP 位址、網域和電子郵件地址

  • 收件者網域和電子郵件地址

  • 附件檔案名稱和檔案副檔名

  • 電子郵件主旨、內文及其他郵件內容 (大小、收件者的數目)

如需原則規則的詳細資訊,請參閱原則規則

原則篩選可用來協助公司網路抵禦電子郵件攻擊,以及保護使用者的機密資訊。

您可以在從組織寄出的電子郵件中偵測個人資訊,達到更大的防網路釣魚保護效果。例如,下列規則運算式可用來偵測郵件是否傳輸可能危害隱私權的個人財務資料或資訊:

  • \d\d\d\d\ \d\d\d\d\ \d\d\d\d \d\d\d\d (MasterCard、Visa)

  • \d\d\d\d \d\d\d\d\d\d \d\d\d\d\d\d (美國運通)

  • \d\d\d\d\d\d\d\d\d\d\d\d\d\d\d\d (任何 16 位數字)

  • \d\d\d\-\d\d-d\d\d\d (身分證字號)

您可以封鎖可能從您自己的網域傳送的內送電子郵件,以防止垃圾郵件和網路釣魚。若要封鎖這種偽造寄件者的類型,請針對從您的公司網域傳送至相同公司網域 yourdomain.com 的郵件,建立拒絕規則。

重要事項重要:
除非您確定您所屬網域的合法電子郵件不會透過網際網路傳送至您的郵件伺服器,否則請勿建立此規則。

您可透過各種方式,使用原則篩選協助企業網路抵禦電子郵件攻擊與保護使用者的機密資訊。

透過封鎖副檔名方式的威脅防範至少應封鎖下列副檔名:EXE、PIF、SCR、VBS

若要提高保護,建議您封鎖下列其中一些或所有副檔名:ade、adp、ani、bas、bat、chm、cmd、com、cpl、crt、exe、hlp、ht、hta、inf、ins、isp、job、js、jse、lnk、mda、mdb、mde、mdz、msc、msi、msp、mst、pcd、pif、reg、scr、sct、shs、url、vb、vbe、vbs、wsc、wsf、wsh

 
顯示: