事先聲明:
1、 由於本人才疏學淺,本文中難免會有錯誤之處,望各位嘴下留情,不喜勿噴;
2、 本文只做爲學術探討,並100%適用於生產環境,否則後果自負;
3、 本人不對本文所造成的後果負責;
4、 本文着重針對那些不知道technet爲何物,或者不喜歡看technet的用戶;
========================我是華麗的分割線======================
正如前面所說,其實微軟在Exchange Server 2003 sp2開始就支持在Exchange Server上配置簡單的反垃圾郵件功能了。具體的細節配置這裏不做探討,因爲Exchange Server 2003本身就已經處於被淘汰的產品序列,再者本人也沒有測試環境,所以也就無法截圖做說明,所謂無圖無真相!有需要的朋友可以google之…
本文以Exchange Server 2010作爲反垃圾郵件配置實例爲例。
其實,在微軟發佈的Exchange Server 2010的幾個角色中,Edge Server和Hub Transport Server都支持反垃圾郵件功能,只是在Edge Server上默認就是開啓了這個功能,而在Hub Transport Server上需要手動來啓用這個功能。
雖然Edge Server在很大程度上和Hub Transport Server的功能有重複。但是個人還是建議安裝Edge Server。因爲在大型組織中,Hub Transport Server承載着繁重的郵件流工作,如果再讓它去做本身不屬於他的反垃圾郵件工作,可能會造成負載過重。當然,如果是小型企業,是否需要部署Edge Server,那就需要考量了。
在正式配置反垃圾郵件功能之前,我們先來了解一下Exchange反垃圾郵件的處理順序和過程
當 SMTP 服務器連接到 Exchange 2010 並啓動 SMTP 會話時,對於面向 Internet 的邊緣傳輸服務器,篩選器將按如下順序進行應用:
? 連接篩選
? 發件人篩選
? 收件人篩選
? 發件人 ID 篩選
? 內容篩選
? 發件人信譽篩選
? 附件篩選
? 防病毒掃描(Exchange本身並不支持,需要配合Forefront Protection for Exchange Server )
? Outlook 垃圾郵件篩選
下圖說明了整個的處理過程:
好啦,下面開始Exchane Server 2010的反垃圾郵件配置!
如果在企業組織中沒有反垃圾郵件設備,也沒有部署Edge Server,那麼就需要在Hub Transport Server上來啓用反垃圾郵件功能。步驟如下:
啓用Exchange Server 2010反垃圾郵件功能
進入到Exchange Server 2010的安裝目錄下的Script文件夾,執行以下腳本文件install-AntispamAgents.ps1。此處需要說明的是,很多Exchange Server 2007/2010的新手管理員對於Exchange Management Shell(EMS)很陌生和很恐懼,其實在EMS下,99%的命令和參數都可以使用鍵盤上的Tab鍵進行補全,比如,當你想要查詢組織中的所有數據庫的時候,可以輸入Get-Mailboxd之後按Tab鍵,EMS會自動遍歷所有以Get-Mailboxd開始的命令,這樣就會自動補全Get-MailBoxDatabase命令了。
再執行完這條命令之後,需要重新啓動Exchange的傳輸服務。可以在Services.msc的控制檯去重啓,也可以用命令行來重啓。
如果需要用命令行來重啓Exchange的傳輸服務,可以用以下命令來得到Exchange Server上所有的Exchange服務:
Get-Service –Name MSE* | ft –AutoSize –Wrap
命令解釋:
得到所有名字爲MSE*的服務,並且自動調整顯示方式以完整顯示其內容
在得到了和Exchange相關的服務之後,找到Exchange的傳輸服務,然後執行以下命令重啓
Restart-Service MSExchangeTransport
至此,Exchange Server 2010 Hub Transport Server上的反垃圾郵件功能就安裝完畢了。重啓完服務之後,重新打開Exhange Management Console(EMC)就可以看到反垃圾郵件已經可以使用了。
可能有人會問,如果我的環境中有多臺Hub Transport Server角色該怎麼安裝呢?針對這個問題,我們來看下圖,在當前我的環境中有2臺Hub Transport Server角色(如下圖),此前我只是在Mailsvr這臺服務器上啓用了反垃圾郵件功能,可以看到兩臺的差異
可以很明顯的看到在Mailsvr2這臺Hub Transport Server上沒有反垃圾郵件選項卡。那麼這樣會造成什麼問題呢?我們依舊看截圖:
可以很清楚的看到,會少兩個功能,“IP允許列表”和“IP阻止列表”。那麼這兩個有什麼用呢?我們可以看到這兩個功能是在服務器配置-集線器傳輸層面的,所以它是服務器級別的。也就是說,如果只是在組織中的某一臺Hub Transport Server上啓用了反垃圾郵件功能,那麼其他的Hub Transport Server上是不會有這兩項功能的,直接的結果就會導致接收郵件故障。理由很簡單,“IP允許列表”和“IP阻止列表”,顧名思義,就是用來配置阻止某些IP地址和允許某些IP地址用的。也就是說,當對方發送郵件給你的時候,如果出現了誤判,那你就可以在此處將對方郵件服務器所對應的公網IP加入到“IP允許列表”中。這樣就可以接受來自此IP地址發送過來的郵件了。那“IP阻止列表”也是同樣的道理,當Exchange Server 2010的反垃圾郵件不給力的時候,出現漏網之魚的時候,將對方IP地址加入到“IP阻止列表”就可以阻止對方的連接了。
當然,不要高興的太早!爲什麼?因爲此處只是連接篩選,試想,如果你將對方的IP地址加入到了“IP允許列表”中,那對方發送給你一個垃圾郵件怎麼辦?郵件內容涵非法信息怎麼辦?我們前面提到了Exchange反垃圾郵件過濾的過程和順序。連接篩選只是第一步,後面還有發件人篩選、收件人篩選、發件人 ID 篩選、內容篩選、發件人信譽篩選、附件篩選等等一系列的反垃圾郵件措施等待着…
好啦,廢話少說。起碼,至此,Exchange Server 2010的Hub Transport Server上的反垃圾郵件功能啓用完畢,接下來就是配置。反垃圾郵件的配置是在組織配置-集線器傳輸裏面配置的,也就是說,這是組織級別的功能。如果你是分公司,集團不給你權限那你就別想啦…同樣的,上圖,一一來介紹:
1. IP允許列表
其實,這裏只是一個總開關,你只能配置爲啓用或者禁用。只要當你在此處配置了啓用之後,在服務器配置-集線器傳輸裏面配置的IP允許列表纔會生效,否則是無效的。
2. IP允許列表提供程序
通常稱之爲IP安全列表或白名單,此處是用來配置公網的反垃圾郵件機構所提供的白名單的,在此處你可以配置一個由反垃圾郵件機構提供給你的一個白名單地址。IP 允許列表提供程序用來維護已確定不會與任何垃圾郵件活動關聯的 IP 地址列表。這樣當對方發送郵件給你的時候,Exchange會將對方的IP地址提交到這個白名單地址來進行檢查,如果屬於白名單裏面,那麼就接受你的連接,否則就拒絕連接。通常我們不會用到白名單,因爲誤判機率會非常的大。
3. IP阻止列表
同IP允許列表
4. IP阻止列表提供程序
IP 阻止列表提供程序服務通常被稱爲實時阻止列表服務或 RBL 服務。此處跟IP允許列表提供程序一樣,由反垃圾郵件機構進行維護,會不定期的更新垃圾郵件IP黑名單。當你配置好之後,對方發郵件給你,Exchange會將對方的IP地址提交到你配置的IP阻止列表提供程序以進行匹配,如果對方的IP地址在垃圾郵件黑名單裏面,那麼就會拒絕接收對方的連接。所以,當你在此處配置好相應的提供程序之後,可以將上面提到的IP允許列表和IP阻止列表功能禁用。因爲對方的IP地址如果都已經進入到黑名單了,你給它放到IP允許列表裏面用處也不大。根本的解決辦法,也就是從黑名單裏移除。通常我們在配置IP阻止列表提供程序都會參考中國反垃圾郵件聯盟和Spamhaus提供的地址。以下配置以Spamhaus爲例,僅供參考:
關於以上SBL、XBL以及PBL的解釋:
PBL(The Policy Block List):它主要是包含動態IP及哪些允許未經驗證即可發送郵件的SMTP服務器的IP地址段。這一個列表最明顯的特點就是提供了一個IP地址移除的自助服務,IP它列入後,可以自己申請移除。所以就算是被PBL列入,影響並不大,使用移除功能移除即可。響應的匹配掩碼如下:
127.0.0.10-11
XBL(Exploits Block List):它是針對因爲安全問題被劫持(比如殭屍機)或是蠕蟲/病毒,帶有內置式垃圾郵件引擎和其他類型的***來發垃圾郵機器的實時黑名單IP列表。它的數據主要來源於兩個合作組織:cbl.abuseat.org及www.njabl.org.因爲被列入XBL的服務器大多爲被第三方劫持利用,所以有可能導致誤判斷。相應的匹配掩碼如下:
127.0.0.4-7
SBL(The Spamhaus Block List):它是已經經過驗證的垃圾郵件源及確有垃圾郵件發送行爲的實時黑名單列表。它也是spamhaus最主要的項目之一,由分佈在全世界9個國家的,每週7天,每天24小時進行列入新記錄和刪除記錄的工作。所以,這個列表可信度高使用人數也多。如果你被列入算是嚴重事件,被列入後,需要你的ISP(電信或是網通)的IP管理人員去和Spamhaus聯繫纔有可能移除。相應的匹配掩碼如下:
127.0.0.2-3
ZEN(包含PBL、XBL以及SBL)
或者你也可以只配置一個IP阻止列表提供程序zen.spamhaus.org,但是請不要4個同時使用!相應的匹配掩碼如下:
127.0.0.2-11
另外,爲了方便給你發送電子郵件的對方在被退信之後,檢查退信原因,建議自定義“錯誤消息”
The IP address %0 was regected by the Realtime Block List provider %2
還有一點需要注意的是,返回的掩碼信息可能會不定期更新,所以建議不定期的檢查以下網址,以確定Spamhaus是否有更新
http://www.spamhaus.org/zen/
http://www.spamhaus.org/faq/section/DNSBL%20Usage#200
5. 內容篩選
內容篩選對入站電子郵件進行評估,並估算出入站郵件是合法郵件或垃圾郵件的概率。與其他許多篩選技術不同,內容篩選使用統計上重要的電子郵件樣本的特徵。此樣本中包含合法郵件可以降低出錯的機率。由於內容篩選既能識別合法郵件的特徵,又能識別垃圾郵件的特徵,因此其準確度得到了提高。通過 Microsoft Update定期提供內容篩選器的更新。當然你也可以手動的配置一些自定義的要篩選的內容,比如發票、購物、娛樂等等…
6. 發件人ID
發件人ID篩選會檢查對方發過來的郵件的郵件頭,看在郵件頭中所包含的IP地址以及域名是否相匹配。通俗來講,發件人ID篩選是用瞭解決欺騙郵件和仿冒郵件的。
7. 發件人信譽
發件人信譽將評估每個統計信息並計算每個發件人的 SRL。SRL 是 0 到 9 之間的一個數字,預測特定發件人是垃圾郵件製造者或其他惡意用戶的可能性。值 0 表示發件人不大可能是垃圾郵件製造者;值 9 表示發件人很可能是垃圾郵件製造者
8. 發件人篩選
發件人篩選用來檢查郵件頭中的MAIL FROM項,並且僅對通過該計算機中所有接收連接器傳入的所有郵件進行篩選,也就是說此項只針對外部發件人做發件人篩選。可以通過此項來配置拒絕來自特定域名或者發件人的郵件。相關配置如下:
9. 收件人篩選
收件人篩選的工作機制跟發件人篩選類似,會根據郵件頭中的RCPT TO SMTP 頭確定對入站郵件執行檢查,當滿足以下條件時,就會執行相應的操作
總結
其實文章裏面的很多部分都出自於微軟technet,對於Exchange管理員來說,有空還是多看看technet比較好,畢竟那裏的資料最權威。
Exchange的反垃圾郵件功能可能只能阻擋80%-90%左右的垃圾郵件,畢竟它沒有專業的反垃圾郵件設備那麼功能強大。比如看不到被過濾的郵件列表和郵件內容,比如看不到被拒絕的IP列表等等。如果對方發過來的郵件時非法的,就可能會被直接拒絕掉。
在Exchange Server 2003 sp2反垃圾郵件的時候,起碼還有IMF可以讓用戶來自己管理被阻擋的垃圾郵件,當郵件出現被誤判的時候,可以重新發送到用戶郵箱。但是從Exchange Server 2007開始就沒有這樣的工具了。當然,微軟推出了另外一個軟件Forefront Protection for Exchange Server(收費的喔)(http://technet.microsoft.com/zh-cn/library/cc482977.aspx)。此係統可以跟Exchange Server完美的結合,做到反垃圾郵件、反病毒,並且可以看到被隔離的郵件信息。
不過,即使是Forefront Protection for Exchange Server現在也不會再出新版了,微軟已經提供雲端的反垃圾郵件功能Forefront Online Protection for Exchange (FOPE)了。