FAQ
关于我们
软件开发
合作伙伴


  网络安全
  知识管理
  邮件系统
  协同办公
  网络管理
  IT服务管理
  突发事件响应
  服务外包
  网络应用基础构架
  项目管理
  成功案例


  企业定制培训
  企业高级课程
  免费企业课程


  中国IT服务管理指南
  Winmag 代理
  白皮书


 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 
邮件系统
Mail System
    
 

   反垃圾邮件

  邮件系统安全仅仅是系统安全的一部分,如操作系统的安全性。垃圾邮件降低了企业员工的工作效率,也应该把它作为邮件系统安全性的重要组成部分。在Exchange2003环境中如何防御未经请求的商业电子邮件(垃圾邮件)、拒绝服务攻击和地址欺骗?

防御未经请求的商业电子邮件(垃圾邮件)

  未经请求的商业电子邮件(垃圾邮件)是许多组织面临的主要问题。从许多方面来看,垃圾邮件使用户付出了很高的代价-不仅使用户在分类和删除这些邮件的过程中浪费了时间,而且浪费了带宽和存储空间。

  要尽量减少垃圾邮件,必须从许多方面来与它展开斗争。因此,为了帮助您保护 Exchange 2003 环境不受到垃圾邮件的侵扰,此部分将:

  讨论向用户灌输有关垃圾邮件知识的方法。

  向您介绍 Outlook 2003 和 Outlook Web Access 2003 中的垃圾邮件防护功能。

  解释垃圾邮件信任级别 (SCL) 基础结构。

  说明如何限制 Exchange 2003 通讯组列表。

  解释可以在 Exchange 2003 中应用的不同筛选类型。

向用户灌输有关垃圾邮件的知识

  抗击垃圾邮件的第一步是告诉用户如何对它进行处理。事实上,用户可能是抗击垃圾邮件的最重要防线。垃圾邮件通常是针对用户采取的群体工程战术的结果,因此告诉用户如何避免垃圾邮件很重要。例如,用户收到的垃圾邮件中可能包含如下所示的放弃声明:

  如果您希望自己的姓名从此邮件列表中删除,应答复此邮件并在主题行中输入“删除”一词。

  虽然一些声誉良好的公司将这视为合法工具,但它通常是一种确认电子邮件地址有效的方式。如果确认有效,该地址会被再次使用(很可能会将该地址出售给其他垃圾邮件制造者)。有关用户可以采取哪些措施来抗击垃圾邮件的详细信息,请访问 Microsoft 安全和隐私基础知识网站 (http://go.microsoft.com/fwlink/?LinkId=24701)。

Outlook 2003 和 Outlook Web Access 2003 中的垃圾邮件防护功能

  Outlook 2003 和 Outlook Web Access 2003 中均包含有助于用户防御垃圾邮件的功能。这些功能包括:

  用户维护的阻止列表和安全列表

  Outlook 2003 和 Outlook Web Access 使用的阻止列表和安全列表均存储在用户邮箱中。由于两个客户端程序使用同一个列表,因此用户不需要维护两个版本。

  外部内容阻止

  Outlook 2003 和 Outlook Web Access 2003 使得垃圾邮件发件人更难使用信号来获得电子邮件地址。传入的邮件只要包含可能用作信号的任何内容,则无论该邮件中是否真的包含信号,都会提示 Outlook 和 Outlook Web Access 显示警告消息。如果用户知道该邮件是合法的,可以单击警告消息来下载内容。如果用户不确定邮件的安全性,可以将其删除,同时不触发使垃圾邮件发件人觉察的信号。

  有关 Outlook 2003 和 Outlook Web Access 2003 中的外部内容阻止功能的详细信息,请参阅《Exchange Server 2003 新增功能》一书中的“客户端功能”(http://go.microsoft.com/fwlink/?LinkId=24402)。

改善垃圾邮件管理

  使用 Outlook 2003,用户可以创建规则,以便在电子邮件中搜索特定的短语,并自动将包含这些短语的邮件从收件箱移动到指定的文件夹(如“垃圾邮件”或“已删除邮件”文件夹)中。此外,用户可以选择永久删除可疑的垃圾邮件,而不是将其移动到指定的文件夹中。

垃圾邮件筛选器

  Outlook 2003 包含可搜索常见垃圾邮件属性的垃圾邮件筛选器。(这些属性随同 Office 更新一起更新。)对于每个可疑的属性,Outlook 都增加一个计数器-给定邮件的计数器值越高,该邮件是垃圾邮件的可能性就越大。要指定所需要的垃圾邮件防护级别,请使用“垃圾邮件选项”对话框(从 Outlook 2003 的“动作”菜单中,指向“垃圾邮件”,然后单击“垃圾邮件选项”)。当用户首次开始使用这些垃圾邮件功能或者在任意时间修改选项时,应定期检查已从收件箱中删除的邮件,以确保未删除有效邮件。对 Outlook 2003 中的垃圾邮件功能的更新将在 Microsoft Office Online 网站的Office Update (http://go.microsoft.com/fwlink/?LinkId=24393) 下列出。

垃圾邮件信任级别基础结构

  Exchange 2003 和 Outlook 2003 共同提供支持端对端解决方案的基础结构以抗击垃圾邮件。具体地说,此基础结构包含 Exchange 2003 和 Outlook 2003 中固有的功能,该功能使得软件供应商可以在邮件的传递路径中插入垃圾邮件检测筛选器。垃圾邮件筛选器对邮件进行评估,确定给定邮件是垃圾邮件的可能性,并为邮件分配0到9之间的数值;该数值就是垃圾邮件信任级别 (SCL)。SCL 本质上是分配给邮件的标准值,它基于邮件的特征(如内容、邮件头等等)指示邮件是垃圾邮件的可能性。分级0意味着邮件不太可能是垃圾邮件,而分级9则意味着邮件极有可能是垃圾邮件。SCL 分级作为邮件属性存储。

  管理员对 Exchange 进行配置,使其根据环境相应地处理具有 SCL 分级的邮件。例如,网关服务器可能丢弃 SCL 分级大于或等于7的所有垃圾邮件,而将分级小于7的所有邮件都传递到 Exchange 邮箱服务器。然后,邮箱管理员可以决定将分级大于或等于5的所有邮件直接传递到用户的垃圾邮件文件夹,而将分级等于或小于4的所有邮件传递到收件箱。最后,用户可以设置邮箱,使其将垃圾邮件文件夹中的所有邮件视为垃圾邮件,并将其删除。或者,Exchange 管理员可以设置邮箱收件人策略,以缩短邮件在垃圾邮件文件夹中保留的时间(按存在时间或大小)。

SCL 基础结构还考虑用户的安全列表、阻止列表和收件人列表,以及 Exchange 筛选列表。有关 SCL 的详细信息,请访问 MSDN?上的垃圾邮件筛选器网站 (http://go.microsoft.com/fwlink/?LinkId=24395)。

注意   即将推出的 Exchange 智能邮件筛选器版本也是抗击垃圾邮件过程中的一个非常重要的组件。Exchange 智能邮件筛选器是具有 SCL 功能的筛选器,它提供专为抗击传入的垃圾邮件而设计的高级服务器端邮件筛选功能。有关具体信息,请访问 Exchange 智能邮件筛选器网站 (http://go.microsoft.com/fwlink/?linkid=21607)。

限定的通讯组列表

  抗击垃圾邮件的另一个有效措施是在 Exchange 组织内部使用限定的通讯组列表。限定的通讯组列表仅允许已通过身份验证的用户发送邮件。这一点尤其重要,因为如果垃圾邮件制造者知道通讯组列表的别名,便可以将一封邮件发送给您的许多员工。限制通讯组列表对于包含许多嵌套通讯组列表的大型列表尤其有效。

  注意   请注意许多垃圾邮件制造者都使用字典攻击(一种攻击类型,使用软件打开与目标邮件服务器的连接,然后迅速提交数百万个随机的电子邮件地址)作为使邮件到达收件人的机制。通讯组列表通常用别名来表示,而别名通常是字典中的一个词。

将通讯组列表设置为限定的通讯组

  • 在 Active Directory 用户和计算机中,打开通讯组列表的属性页。
  • 单击“Exchange 常规”选项卡,然后选中“仅来自通过身份验证的用户”复选框。
Exchange 2003 筛选

  Exchange 2003 包含一组功能,这一组功能使得管理员可以创建发件人、收件人和连接筛选列表,以试图在组织的外围即阻止垃圾邮件,从而通过在最早的时间拒绝邮件来降低成本。Exchange 2003 支持下列筛选器:

  连接筛选:通过将入站邮件的 IP 地址与实时的阻止列表服务提供的阻止列表进行比较来筛选入站邮件。还可以在全局级别输入您自己的一组接受/限制 IP 地址。

  发件人筛选:默认情况下,此列表中的发件人创建的 SMTP 连接是断开的。

  收件人筛选:使您可以对特定的收件人设置全局的邮件限制。

  有关如何应用筛选器的详细信息,请参阅《Exchange Server 2003 新增功能》一书(http://go.microsoft.com/fwlink/?LinkId=24402)。

防御拒绝服务攻击

  拒绝服务攻击通常很难抵挡。但是,Exchange 2003 包含有助于您防御此类攻击的设置。

  通过 SMTP 虚拟服务器上配置的邮件限制参数,可以指定每个邮件的最大收件人数、最大邮件大小以及每个连接的最大邮件数,等等。这些限制有助于阻止邮件传输过程中发起的拒绝服务攻击。

  另一种拒绝服务攻击可能是由于向特定的服务器发送大量的电子邮件直到其磁盘空间耗尽而导致的。要尽量减小这种可能性,可以在邮箱和公用文件夹上设置存储限制。默认情况下,Exchange 2003 不接受超过 10 MB 的邮件。此外,应在面向 Internet 的网关服务器上配置 SMTP 虚拟服务器,以禁止超过 10 MB 的邮件。在邮件处理过程中,将首先考虑 SMTP 虚拟服务器接受的最大邮件大小,而后再考虑 Exchange 定义的限制。

  注意   由于复制的需要可能要求传输大型邮件,因此不应配置内部 SMTP 虚拟服务器(非面向 Internet 的 SMTP 虚拟服务器)禁止超过 10 MB 的邮件。

  此外,在安装的是 Windows Server 2003 操作系统的情况下,Exchange 2003 使用 Internet 信息服务 (IIS) 应用程序池来缓解拒绝服务攻击。

  有关如何管理这些不同设置的信息,请参阅《Exchange Server 2003 管理指南》一书 (http://go.microsoft.com/fwlink/?linkid=21769)。

防御地址欺骗

  垃圾邮件制造者常用的技术是配置电子邮件中的“发件人”一行,以隐藏发件人的身份。虽然 SMTP 不要求验证发件人的身份,但是 Exchange 2003 提供下列功能来帮助尽量减少地址欺骗:

默认身份验证设置

  默认情况下,Exchange 2003 不解析发件人的电子邮件地址,除非发件人使用客户端程序(如 Outlook 或 Outlook Web Access)来通过 Exchange 服务器的身份验证。当 Exchange 收到来自已通过身份验证的客户端的邮件时,将验证发件人的姓名是否出现在全局地址列表 (GAL) 中,如果是,将在邮件中解析用户的显示名(在“发件人”一行)。如果未经过身份验证就提交原始邮件,Exchange 2003 会在起点就将该邮件标记为未经过身份验证,然后将该信息从一台服务器传输到另一台服务器。在这种情况下,发件人的地址不解析为 GAL 显示名(如Ted Bremer),而是以 SMTP 的格式显示给收件人(如ted@contoso.com)。应提醒用户警惕这样一类邮件:这些邮件声称来自组织中的其他用户,但并未解析为 GAL 显示名。

  但是,Exchange 2000 不解析匿名提交的邮件。为此,如果要从 Exchange 2000 升级,建议您在升级邮箱和其他 Exchange 服务器之前,先将网关服务器升级到 Exchange 2003。此外,如果要阻止 Exchange 2000 服务器解析匿名邮件,可以执行下列操作。

阻止 Exchange 2000 解析匿名电子邮件

  警告   注册表编辑不当可能导致严重的问题,甚至可能需要重新安装操作系统。因注册表编辑不当而导致的问题可能没有办法解决。在编辑注册表之前,请备份所有重要数据。

  • 启动注册表编辑器 (regedit)。
  • 导航到注册表中的下列项,或者在注册表中创建这样一项(其中一个1表示 SMTP 虚拟服务器编号):

  HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/
  MsExchangeTransport/Parameters/1

  注意   可能需要同时创建Parameters项和1项。

  在“编辑”菜单上,单击“添加值”,然后添加下列注册表值:

       Value name: ResolveP2

       Data type: REG_DWORD

  使用下列标志来确定要使用的值:

       FieldValue
      ----------------
       FROM:2

       TO: and CC:16

       REPLY TO:32

  要确定应使用的值,请针对要解析的所有元素添加相应的值。例如,要解析除发件人以外的所有字段,请键入48 (16+32=48)。要仅解析收件人,应只键入16。默认情况下,Exchange 2000 解析所有字段(可以通过删除该注册表项或者使用公式 2+16+32=50 设置该值来指定此行为)。

退出注册表编辑器。

重新启动 SMTP 虚拟服务器。

  在选择要启用此设置的服务器时应小心。如果在默认 SMTP 虚拟服务器上更改此行为,并且组织中存在多个服务器,那么来自其他 Exchange 2000 服务器的所有内部邮件也会受影响。因此,由于 Exchange 2000 使用 SMTP 在服务器之间路由内部邮件,您可能要创建新的 SMTP 虚拟服务器,或者仅在传入方向上的 SMTP 桥头服务器上应用此设置。

跨目录林身份验证设置

  如果组织包含多个目录林,那么可以在 SMTP 桥头服务器要求身份验证的目录林之间配置信任关系。

  注意   工作流应用程序可以匿名提交邮件;因此,在组织中配置身份验证之前,应确保评估工作流应用程序的需求。

  有关如何配置跨目录林身份验证的信息,请参阅《Exchange Server 2003 新增功能》一书中的“传输和邮件流功能”(http://go.microsoft.com/fwlink/?LinkId=24402)。

匿名访问设置

  尽管 Exchange 2003 使客户端用户能够识别带有欺骗性的邮件,但仍应在所有内部 Exchange 服务器上关闭匿名 SMTP 访问功能。关闭匿名访问功能有助于确保只有已通过身份验证的用户能够在组织内部提交邮件。此外,要求身份验证会迫使使用 RPC over HTTP 的客户端程序(如 Outlook Express 和 Outlook)在发送邮件之前先通过身份验证。

反向域名系统查找

  如果您直接从 Internet 上的其他域接收邮件,可以配置 SMTP 虚拟服务器对传入的电子邮件执行反向域名系统 (DNS) 查找。这样可以验证发件人邮件服务器的 Internet 协议 (IP) 地址和完全限定域名 (FQDN) 是否与邮件中列出的域名一致。但是,应考虑到 DNS 查找存在下列限制:

  发件人的 IP 地址可能不存在于反向 DNS 查找记录中,或者,发送方服务器可能对于同一个 IP 有多个名称,并且不是所有的这些名称都存在于反向 DNS 查找记录中。

  反向 DNS 查找加重了 Exchange 服务器的负担。

  反向 DNS 查找要求 Exchange 服务器能够与发送域的反向查找区域联系。

  对每个邮件执行反向 DNS 查找可能导致延迟增加,从而使性能大幅度下降。

  注意   有关使用反向 DNS 查找的详细信息,请参阅 Microsoft 知识库文章 319356“HOW TO: Prevent Unsolicited Commercial E-Mail in Exchange 2000 Server”(http://go.microsoft.com/fwlink/?linkid=3052&kbid=319356)(英文)