Exchange Server中的发件人信誉和协议分析代理
发件人信誉是 Exchange 反垃圾邮件功能的一部分,可根据发件人的许多特征阻止邮件。 发件人信誉依赖于有关发件人的保留数据来确定对入站邮件执行的操作。 协议分析代理是发件人信誉功能的基本代理。
有关如何配置发件人信誉和协议分析代理的详细信息,请参阅 发件人信誉过程。
默认情况下,协议分析代理是在边缘传输服务器上启用的,但您可以在邮箱服务器上启用它。 有关详细信息,请参阅在邮箱服务器上启用反垃圾邮件功能。
计算发件人信誉级别 (SRL)
发件人信誉级别 (SRL) 是通过下列统计信息计算的:
HELO/EHLO 分析:HELO 和 EHLO SMTP 命令旨在提供域名,例如 Contoso.com 或向接收 SMTP 服务器发送 SMTP 服务器的 IP 地址。 恶意用户(或垃圾邮件制造者)经常通过不同方式伪造 HELO/EHLO 语句。 例如,键入与发起连接的 IP 地址不匹配的 IP 地址。 垃圾邮件制造者还将已知在接收服务器本地支持的域放入 HELO 语句,尝试像域处于组织中一样显示。 其他情况下,垃圾邮件制造者更改在 HELO 语句中传递的域。 合法用户通常可能会在 HELO 语句中使用不同但是相对恒定的一组域。
因此,按发件人分析 HELO/EHLO 语句可能表明发件人很可能是垃圾邮件制造者。 例如,在特定时段内提供许多不同的唯一 HELO/EHLO 语句的发件人更可能是垃圾邮件制造者。 如果发件人在 HELO 语句中提供的 IP 地址一直与连接筛选代理确定的来源 IP 地址不匹配,则也很可能是垃圾邮件制造者。 如果远程发件人在 HELO 语句中提供的本地域名与 Exchange 服务器在同一组织中,则也很可能是垃圾邮件制造者。
反向 DNS 查找:发件人信誉还会验证发件人从中传输邮件的发起 IP 地址是否与发件人在 HELO 或 EHLO SMTP 命令中提交的已注册域名匹配。
发件人信誉通过将原始 IP 地址提交给 DNS 来执行反向 DNS 查询。 DNS 返回的结果是使用该 IP 地址的域命名机构注册的域名。 发件人信誉将 DNS 返回的域名与发件人在 HELO/EHLO SMTP 命令中提交的域名进行比较。 如果域名不匹配,则发件人很可能是垃圾邮件制造者,并提高发件人的总体 SRL 分级。
发件人 ID 代理执行类似的任务,但发件人 ID 代理的成功依靠合法发件人更新其 DNS 基础结构,以标识其组织中所有电子邮件发送 SMTP 服务器。 通过执行反向 DNS 查找,可以帮助标识潜在的垃圾邮件制造者。
分析来自特定发件人的邮件的 SCL 评级:当内容筛选器代理处理邮件时,它会为邮件分配垃圾邮件置信度 (SCL) 评级。 SCL 分级是 0 到 9 之间的一个数字。 SCL 分级越高,表明邮件越可能是垃圾邮件。 有关每个发件人及其邮件生成的 SCL 分级的数据始终用于发件人信誉分析。 发件人信誉根据过去来自该发件人的所有低 SCL 分级的邮件与过去来自该发件人的所有高 SCL 分级的邮件之间的比例来计算有关发件人的统计信息。 此外,发件人在前一天已发送的高 SCL 分级邮件数应用于总体 SRL。
发件人开放代理测试: 开放代理 是一种代理服务器,它接受来自任何位置的任何人的连接请求,并转发来自本地主机的流量。 代理服务器通过防火墙主机中继 TCP 通信,以便通过防火墙透明访问用户应用程序。 由于代理协议是轻型协议,并且独立于用户应用程序协议,因此代理可供许多不同的服务使用。 代理还可用于在多个主机之间共享一个 Internet 连接。 通常,将代理设置为只有防火墙以内的受信任主机可以通过代理。 由于疏忽性的错误配置或恶意软件,合法的发件者可能是开放代理。
开放代理为恶意用户提供了一种理想的方式,可以隐藏其真实身份并发起拒绝服务攻击 (DoS) 或发送垃圾邮件。 随着越来越多的代理服务器在默认情况下配置为开放,开放代理越来越常见。 另外,恶意用户可将多个开放代理一起使用来隐藏发件人的原始 IP 地址。
发件人信誉执行开放代理测试时,通过在尝试从开放代理连接回 Exchange 服务器时格式化 SMTP 请求来执行此测试。 如果收到来自该代理的 SMTP 请求,则发件人信誉将验证该代理是否为开放代理,并更新该发件人的开放代理测试统计信息。
发件人信誉将评估每个统计信息并计算每个发件人的 SRL。 SRL 是 0 到 9 之间的一个数字,预测特定发件人是垃圾邮件制造者或其他恶意用户的可能性。 值 0 表示发件人不大可能是垃圾邮件制造者;值 9 表示发件人很可能是垃圾邮件制造者。
可以配置 0 到 9 之间的阻止阈值,在达到该阈值时,发件人信誉将向发件人筛选器代理发送请求,从而阻止发件人向组织发送邮件。 阻止发件人时,该发件人将在可配置的期限内添加到阻止发件人列表中。 如何处理被阻止的邮件取决于发件人筛选器代理的配置。 下列操作是处理被阻止邮件的选项:
拒绝:邮件在未送达报告中返回 (也称为 NDR、传递状态通知、DSN 或退回邮件)
删除:在没有 NDR 的情况下以无提示方式删除消息。
接受:邮件被接受并标记为来自被阻止的发件人
有关发件人筛选器代理的详细信息,请参阅发件人筛选。
如果发件人包含在 IP 阻止列表或 Microsoft IP 信誉服务中,则发件人信誉将立即向发件人筛选器代理发送请求,以阻止该发件人。 若要利用此功能,需要启用并配置 Microsoft Exchange 反垃圾邮件更新服务。
默认情况下,发件人信誉对尚未分析的发件人设置分级 0。 发件人已发送 20 封或更多的邮件之后,发件人信誉将计算基于本主题在前面描述的统计信息的 SRL。
何时使用 SRL
发件人信誉在 SMTP 会话的下列两个阶段对邮件执行操作:
在 MAIL FROM: SMTP 命令中:仅当邮件被连接筛选代理、发件人筛选器代理、收件人筛选器代理或发件人 ID 代理阻止或以其他方式处理时,发件人信誉才会对邮件起作用。 在这种情况下,发件人信誉从 Exchange 服务器中有关该发件人的发件人配置文件中检索发件人当前的 SRL 分级。 在检索并评估此分级之后,Exchange 服务器配置根据阻止阈值决定在特定连接上发生的行为。
在“数据结束”SMTP 命令之后:发送所有实际邮件数据时,会提供数据传输结束 (EOD) SMTP 命令。 在 SMTP 会话的此阶段,许多反垃圾邮件代理已处理该邮件。 作为反垃圾邮件处理的副产品,发件人信誉所依赖的统计信息已更新。 因此,发件人信誉具有为发件人计算或重新计算 SRL 分级的数据。
配置开放代理服务器的检测功能
发件人信誉在计算 SRL 时,将尝试使用各种常见代理协议(例如 SOCKS4、SOCKS5、HTTP、Telnet、Cisco 和 Wingate)连接到发件人的起始 IP 地址。 发件人信誉在尝试使用 SMTP 请求从开放代理服务器连接回 Exchange 服务器时,会设置协议特定的请求格式。 如果从代理服务器收到 SMTP 请求,则发件人信誉会验证代理服务器是否为开放代理服务器,并根据此结果调整 SRL 分级。 默认情况下,将对发件人信誉启用开放代理服务器的检测功能。
有关如何配置打开的代理服务器的检测的详细信息,请参阅 发件人信誉过程。
设置 SRL 阻止阈值
SRL 是 0 到 9 之间的一个数字,预测特定发件人是垃圾邮件制造者或其他恶意用户的可能性。 您需要对发件人阻止设置 SRL 阈值,才能指定使发件人信誉阻止发件人的 SRL 值。 默认情况下,SRL 阻止阈值为 7,这意味着发件人的 SRL 为 7、8 或 9 时,该发件人将受到阻止。 您应监视在默认级别下发件人信誉和协议分析代理的有效性。
在边缘传输服务器上,如果某个特定发件人符合或超过 SRL 阻止阈值,则发件人信誉会将该发件人添加到连接筛选代理上的 IP 阻止列表。 有时,垃圾邮件制造者会通过单个发件人成批发送垃圾邮件。 在这种情况下,如果发件人信誉计算的 SRL 超过 SRL 阻止阈值,则会将该发件人添加到发件人阻止列表并使其在列表中保留可配置的持续时间。 默认持续时间为 24 小时。 24 小时之后,该发件人便会从发件人阻止列表中删除并可再次发送邮件。
将发件人添加到 IP 阻止列表时,发件人信誉会删除发件人的配置文件。 发件人信誉会删除配置文件,因为被阻止发件人的现有配置文件指示发件人的 SRL 超出了 SRL 阻止阈值。 这将导致阻止的发件人在阻止的持续时间结束后再次添加到 IP 阻止列表。
有关如何配置发件人阻止的详细信息,请参阅 发件人信誉过程。