把垃圾郵件拒之門外—用Exchange Server 2003阻止垃圾郵件

垃圾郵件對企業和個人造成了嚴重的危害，但目前，其發展勢頭依然沒有被徹底控制的跡象。阻止垃圾郵件，應該從源頭做起，至少是在企業的電子郵件服務器上就能夠阻擋絕大多數垃圾郵件到個人端。微軟于2003年11月新發布的Exchange Server 2003，在這方面的功能得到加強，為企業用戶阻止垃圾郵件提供了更為有效的手段。連接過濾就是其中主要的方法。在2004年上半年，微軟還將推出Exchange智能過濾器。

連接過濾及其原理

Exchange Server 2003通過新增的連接過濾器，支持使用Inte.net上的即時黑名單列表（Real-time Blacklist，RBL）來作為過濾連接請求的判斷規則。RBL中包含了大量已知的垃圾郵件散播者和處于開放轉發狀態的電子郵件服務器的IP地址。Exchange Server 2003可以將發送連接請求的遠端SMTP服務器的IP地址與RBL中的信息進行比較，如果發現其與黑名單中的IP地址相符，則拒絕此連接請求。由于RBL供應商都會及時地更新他們的RBL中的信息，所以Exchange Server 2003采用這種方式，將能非常有效地阻隔大量的垃圾郵件。

因此，連接過濾利用的是基于外部的服務，這些服務可以根據IP地址，列出未經請求的電子郵件來源的已知來源、撥號用戶賬戶以及開放中繼的服務器。Exchange Server 2003 支持基于阻止名單對連接進行過濾。當然，用戶也可以把自己知道的垃圾郵件來源列入阻止名單。

通過連接過濾功能，可以根據提供商針對要過濾的類別提供的阻止名單檢查傳入IP地址。如果在提供商提供的阻止名單中找到匹配的IP地址，SMTP會發出一個“550 5.x.x”錯誤，以響應RCPT TO命令（RCPT TO 命令是所連接的服務器為識別預期郵件收件人而發出的SMTP命令），并向發件人發送一個自定義錯誤響應。此外，可以使用多個連接過濾器，并設定應用各個過濾器的優先順序。

在創建連接過濾規則后，SMTP使用此規則根據第三方阻止名單服務提供的列表，執行 DNS 查找。連接過濾器檢查每個傳入 IP 地址與第三方阻止名單的匹配情況。阻止名單提供商將發出以下兩個響應之一：

找不到主機 表明IP地址不在其阻止名單中；

127.0.0.x 一個響應狀態代碼，表明在違犯者列表中找到了與該 IP 地址匹配的項目。x隨阻止名單提供商的不同而不同。

如果在阻止名單上找到了傳入IP地址，SMTP將返回5.x.x錯誤以響應RCPT TO命令。

用戶可以自定義返回給發件人的響應。此外，因為阻止名單提供商通常包含不同的類別，因此用戶可以指定自己希望拒絕的類別。大多數阻止名單提供商屏幕包含以下三種類型的垃圾郵件。

1．未經請求的商業電子郵件的來源

這些列表是通過掃描未經請求的商業電子郵件并將源地址添加到列表中而生成的。

2．已知的開放中繼服務器

這些列表是通過識別Internet上開放中繼的SMTP服務器而推斷出來的。存在開放中繼服務器的最常見原因是系統管理員的配置錯誤。

3．撥號用戶列表

這些列表是根據ISP提供的、包含具有撥號訪問的IP地址的現有列表創建的，或者通過檢查指示可能有撥號連接的地址創建的。

設置連接過濾器之后，對于接收到的電子郵件，Exchange將與阻止名單提供商聯系。提供商在其域名系統（DNS）中檢查有無記錄。Exchange 以特定格式查詢此信息。如果在提供商的列表上找到此 IP 地址，則該提供商返回127.0.0.x狀態代碼，指示違犯的IP 地址和違犯類型。所有阻止名單提供商都返回響應代碼127.0.0.x，其中x指示違犯類型。該數字隨阻止名單提供商的不同而不同。

最后，Exchange允許用戶將郵件傳遞給特定收件人，而不管他們是否出現在阻止名單上。如果用戶希望通過聯系郵局主管賬戶以允許合法組織與您的管理員進行通信，那么這是非常有用的。例如，如果某個合法公司由于疏忽而將其服務器配置為允許開放中繼，將導致從該公司發往用戶所在組織中任何人的電子郵件都被阻止。但是，如果用戶已經將連接過濾配置為允許將郵件傳遞到其組織中的郵局主管賬戶，則被阻止的公司中的管理員可以將郵件發送到郵局主管賬戶，以傳達情況，或詢問為何拒絕其郵件。

連接過濾的配置

如果需要在Exchange中啟用連接過濾，需要先創建連接過濾器，然后在SMTP虛擬服務器級別上應用該過濾器。

在配置連接過濾的過程中，需要完成創建全局接受列表和全局拒絕列表、創建連接過濾規則和創建連接過濾規則的例外這三項任務。

1．創建全局接受列表和全局拒絕列表

通過連接過濾，可以創建全局接受列表和全局拒絕列表。用戶可以使用這些列表始終接受或始終拒絕來自特定IP地址的郵件，而不管是否使用了阻止名單服務提供商。Exchange將自動接受出現在全局接受列表上的任何IP地址，并繞過所有連接過濾規則。類似地，Exchange將自動拒絕出現在全局拒絕列表上的任何IP地址。

全局接受列表中的條目優先于全局拒絕列表中的條目。Exchange將先檢查全局接受列表再檢查全局拒絕列表；因此，如果您希望拒絕來自特定子網和掩碼的連接，但接受來自此范圍內單個IP地址的連接，請執行下列操作：在全局接受列表上輸入要接受其連接的IP地址，在全局拒絕列表上輸入要拒絕其連接的IP地址范圍的子網和掩碼，當添加到全局接受列表中的連接方IP地址嘗試連接到Exchange服務器時，Exchange將首先檢查全局接受列表。因為Exchange找到了此IP地址的匹配項，所以接受其連接，而且不再執行其他連接過濾檢查。

創建全局接受列表時，先啟動Exchange系統管理器：單擊“開始”*“所有程序”*“Microsoft Exchange”*“系統管理器”。在控制臺樹中，展開“全局設置”，以鼠標右鍵單擊“郵件傳遞”，再單擊“屬性”*“連接過濾”選項卡*“接受”。將顯示“接受列表”對話框（見圖1）。

單擊“添加”，在“IP 地址（掩碼）”中，選擇下列選項之一：（1）單擊“一個IP地址”，將單個IP地址添加到此連接過濾規則的全局接受列表中；（2）單擊“一組IP地址”，將子網地址和掩碼添加到全局接受列表中。

創建全局拒絕列表的方法和創建全局接受列表的方法類似。

2．創建連接過濾規則

根據下面的過程可創建連接過濾器。啟動Exchange系統管理器：單擊“開始”*“所有程序”*“Microsoft Exchange”*“系統管理器”。在控制臺樹中，展開“全局設置”，以鼠標右鍵單擊“郵件傳遞”，再單擊“屬性”*“連接篩選”選項卡，見圖2。

若要創建連接過濾規則，單擊“添加”。將出現“連接篩選規則”對話框，如圖 3。

在“顯示名”框中，鍵入連接過濾器的名稱。在“提供程序的DNS后綴”框中，鍵入由提供程序追加到IP地址后的DNS后綴。在“自定義要返回的錯誤消息”框中。如果此項為空，將使用默認錯誤消息。如果需要，鍵入將返回給發件人的自定義錯誤消息。

若要在此連接過濾器中配置要與哪些從阻止名單提供商接收的返回狀態代碼匹配，請單擊“返回狀態代碼”。將顯示“返回狀態代碼”對話框，見圖 4。

請選擇下列選項之一，即“篩選規則與所有返回代碼都匹配”、“篩選規則與下列掩碼匹配”或“篩選規則與下列響應匹配”。

用戶可以創建此連接過濾規則的例外。說得具體一些，就是可以允許將郵件傳遞到特定收件人（如郵件服務器主管），而不管連接方IP地址是否在阻止名單中。

3．創建連接規則的例外

在“郵件傳遞屬性”的“連接篩選”選項卡上，單擊“例外”，將顯示“阻止名單服務配置設置”對話框。單擊“添加”。在“添加收件人”中，鍵入要接收其所有郵件、而不管連接方IP地址是否出現在阻止名單中的收件人的SMTP地址。

在創建連接過濾器之后，必須將它應用于適當的SMTP虛擬服務器。通常，在SMTP虛擬服務器（它存在于接受入站Internet電子郵件的信關服務器上）上應用連接過濾器。使用下面的過程可將連接過濾器應用于SMTP虛擬服務器。

啟動Exchange系統管理器。在控制臺樹中，依次展開“服務器”、適當的服務器、“協議”和“SMTP”。以鼠標右鍵單擊要應用過濾器的 SMTP 虛擬服務器，再單擊“屬性”。在“ 屬性”的“常規”選項卡上，單擊“高級”。在“高級”選項卡上，選擇要對其應用過濾器的IP地址，然后單擊“編輯”。在“標識”中，選中“應用連接篩選器”復選框以應用前面設置的過濾器，如圖5所示。

如果有多個虛擬服務器，請對要應用過濾器的每個虛擬服務器重復上述步驟。

Exchange Server 2003支持下列過濾器：連接過濾、收件人過濾、發件人過濾和基于虛擬服務器的IP限制。雖然連接過濾、收件人過濾和發件人過濾都是在“郵件傳遞屬性”中配置的，但是它們必須在單個SMTP虛擬服務器上啟用。與此不同，IP限制是直接在每個SMTP虛擬服務器上配置的。

在配置和啟用這些過濾器之后，在SMTP會話期間對它們的檢查順序。按以下方式檢查過濾和IP限制：SMTP客戶端嘗試連接到SMTP虛擬服務器。對照SMTP虛擬服務器的IP限制（在SMTP虛擬服務器“屬性”的“訪問”選項卡上配置），檢查連接方客戶端IP地址：如果連接方IP地址位于受限制的IP列表中，則連接會立即斷開。如果連接方IP地址不在受限制IP列表中，則接受連接。

郵件過濾智能化

為了更有效地組織垃圾郵件，微軟還將推出Exchange智能郵件過濾器，它提供了先進的服務器端郵件過濾功能，專用于抵御垃圾郵件的流入。Exchange智能郵件過濾器需要和Exchange Server 2003配合使用。在與Office Outlook 2003一起使用時，它可以顯著減少用戶收到的垃圾郵件的數量。

Exchange智能郵件過濾器基于的是微軟研究院提供的Microsoft SmartScreen技術。SmartScreen技術使得智能郵件過濾器能夠辨別正常的電子郵件與未經請求的商業郵件或其他垃圾郵件。SmartScreen跟蹤和統計了50多萬個電子郵件特征，這些特征是根據數十萬 MSN Hotmail用戶提供的數據總結的，這些用戶自愿將數百萬電子郵件劃分為正常郵件和垃圾郵件。

借助Exchange智能郵件過濾器，Exchange Server 2003用戶可以根據SmartScreen所跟蹤的郵件特征，來判定接收的每一封電子郵件的垃圾郵件概率，從而幫助用戶在垃圾郵件到達收件箱前對其進行過濾。用于存儲這些特征的數據庫已經使用從樣本源學習的新模式進行了更新，這使得過濾功能更有效、更新。智能郵件過濾器使用這個數據庫來識別正常郵件和非正常郵件的模式，從而能夠更準確地判定收到的電子郵件是不是正常郵件。

智能郵件過濾器安裝在Exchange 2003網關服務器上，它在Internet電子郵件被發送到用戶收件箱之前對其進行過濾。

當一個外部用戶通過安裝有智能郵件過濾器的Exchange 2003服務器發送電子郵件時，過濾器將評估郵件內容，查看其是否符合可識別的模式，并根據郵件是未經請求的商業郵件或垃圾郵件的可能性指定一個級別。該級別將作為一種郵件屬性與郵件一起存儲在數據庫中，此屬性稱為垃圾郵件信任級別。當發送郵件時，該級別將與郵件一起被發送到其他Exchange服務器，甚至會被一起發送到其他用戶的收件箱。

注意：只有Exchange 2003和Outlook 2003或更高版本才能使用垃圾郵件信任級別。管理員設置以下兩個閾值來確定智能郵件過濾器如何處理各種垃圾郵件信任級別的電子郵件：（1）網關閾值，對級別超過該閾值的郵件將采取相關的操作；（2）郵箱存儲閾值。

如果郵件級別高于網關閾值，則智能郵件過濾器采取在Exchange網關服務器級別上指定的操作。如果郵件級別低于網關閾值，則郵件將發送到收件人的Exchange郵箱存儲。在Exchange郵箱存儲中，如果郵件級別高于郵箱存儲閾值，則郵箱存儲會將該郵件發送到用戶的“垃圾郵件”文件夾而不是“收件箱”。

目前，垃圾郵件一直沒有得到遏止，許多用戶每天被迫刪除大量的垃圾郵件，嚴重影響工作效率。我們也看到，一些網站的公共電子郵箱已經采取了措施，效果較好。不少企業也采取了措施。令人高興的是，我國已經開始發布垃圾郵件的黑名單。為在服務器端阻止垃圾郵件創造了良好的條件。但是，某些企業和單位的電子郵件服務器則沒有采取有效的措施。其實，Exchange也好，Sendmail等也好，自身都具有防垃圾郵件的功能。在服務器端阻止垃圾郵件，可以達到事半功“n”倍的效果。只要把電子郵件服務器的反垃圾郵件功能開發利用起來，就能把大部分垃圾郵件拒之門外。

原文轉自：http://www.kjueaiud.com