邮件头防火墙

适用于:Exchange Server 2013

在 Microsoft Exchange Server 2013 中,标头防火墙是一种从入站和出站消息中删除特定标头字段的机制。 有两种不同类型的标头字段受标头防火墙影响:

  • X 标头X 标头 是用户定义的非官方标头字段。 X 标头未在 RFC 2822 中专门提及,但是使用以 X- 开头的未定义头字段已成为向邮件添加非正式头字段的普遍接受方式。 消息应用程序(如反垃圾邮件、防病毒和消息传递服务器)可能会将自己的 X 标头添加到邮件中。 在 Exchange 中,X 标头字段包含传输服务对邮件执行的操作的详细信息,例如垃圾邮件置信度 (SCL) 、内容筛选结果和规则处理状态。 如果向未经授权的源泄露这些信息,可能会造成潜在的安全风险。

  • 路由标头:路由标头是在 RFC 2821 和 RFC 2822 中定义的标准 SMTP 标头字段。 路由标头通过使用有关用于将邮件传递到收件人的不同邮件服务器的信息来标记邮件。 恶意用户插入邮件中的路由标头可能会歪曲邮件到达收件人的路由路径。

标头防火墙通过将这些与 Exchange 相关的 X 标头从不受信任的来源的入站邮件中删除来防止这些与 Exchange 相关的 X 标头的欺骗。 标头防火墙通过从发送到 Exchange 组织外部不受信任的目标的出站邮件中删除这些与 Exchange 相关的 X 标头来防止这些标头的泄露。 标头防火墙还防止欺骗用于跟踪消息路由历史记录的标准路由标头。

Exchange 中受邮件头防火墙影响的邮件头字段

下列类型的 X-header 和路由邮件头受邮件头防火墙影响:

  • 组织 X 标头:这些 X 标头字段以 X-MS-Exchange-Organization- 开头

  • 林 X 标头:这些 X 标头字段以 X-MS-Exchange-Forest-开头。

    有关组织 X-header 和林 X-header 的示例,请参阅本主题结尾处的 Exchange 中的组织 X-header 和林 X-header部分。

  • 接收:路由标头:接受邮件并将其转发给收件人的每个邮件服务器都会将此标头字段的不同实例添加到邮件头。 Received: 标头通常包括消息服务器的名称和日期时间戳。

  • 重新发送-*:路由标头:重新发送标头字段是信息性标头字段,可用于确定用户是否转发了邮件。 可以使用以下重新发送标头字段: Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc:Resent-Bcc:Resent-Message-ID:。 使用 “重新发送” 字段,以便邮件向收件人显示,就像邮件是由原始发件人直接发送的一样。 收件人可以查看该邮件头来了解转发邮件的用户。

Exchange 使用两种不同的方法将邮件头防火墙应用于邮件中存在的组织 X-header、林 X-header 和路由邮件头:

  • 向邮件通过连接器传输时用于在邮件中保留或删除特定邮件头类型的发送连接器或接收连接器分配权限。

  • 在其他类型的邮件提交过程中,自动为邮件中的特定邮件头类型实施邮件头防火墙。

邮件头防火墙如何应用于接收连接器和发送连接器

邮件头防火墙根据向连接器分配的特定权限,应用于通过发送连接器和接收连接器传输的邮件。

如果将权限分配给接收连接器或发送连接器,则标头防火墙不会应用于通过连接器传递的消息。 受影响的标头字段保留在消息中。

如果未将权限分配给接收连接器或发送连接器,则标头防火墙将应用于通过连接器传递的消息。 受影响的标头字段将从邮件中删除。

下表描述用于应用邮件头防火墙的发送连接器和接收连接器上的权限,以及受影响的邮件头字段。

连接器类型 权限 说明
接收连接器 (Receive connector) Ms-Exch-Accept-Headers-Organization 此权限影响入站邮件中以 X-MS-Exchange-Organization- 开头的组织 X-header 字段。
接收连接器 (Receive connector) Ms-Exch-Accept-Headers-Forest 此权限影响入站邮件中以 X-MS-Exchange-Forest- 开头的林 X-header 字段。
接收连接器 (Receive connector) Ms-Exch-Accept-Headers-Routing 此权限影响入站邮件中的 Received:Resent-*: 路由邮件头字段。
发送连接器 (Send connector) Ms-Exch-Send-Headers-organization 此权限影响出站邮件中以 X-MS-Exchange-Organization- 开头的组织 X-header 字段。
发送连接器 (Send connector) Ms-Exch-Send-Headers-Forest 此权限影响出站邮件中以 X-MS-Exchange-Forest- 开头的林 X-header 字段。
发送连接器 (Send connector) Ms-Exch-Send-Headers-Routing 此权限影响出站邮件中的 Received:Resent-*: 路由邮件头字段。

接收连接器上入站邮件的邮件头防火墙

下表描述接收连接器上邮件头防火墙权限的默认应用。

权限 具有分配的权限的默认 Exchange 安全主体 具有安全主体成员的权限组 将权限组分配给接收连接器的默认使用类型
Ms-Exch-Accept-Headers-OrganizationMs-Exch-Accept-Headers-Forest
  • 集线器传输服务器
  • 边缘传输服务器
  • Exchange Servers

    注意:仅在中心传输服务器上
ExchangeServers Internal
Ms-Exch-Accept-Headers-Routing 匿名用户帐户 Anonymous Internet
Ms-Exch-Accept-Headers-Routing 通过身份验证的用户帐户 ExchangeUsers Client (在边缘传输服务器上不可用)
Ms-Exch-Accept-Headers-Routing
  • 集线器传输服务器
  • 边缘传输服务器
  • Exchange Servers

    注意:仅限中心传输服务器
  • 外部安全服务器
ExchangeServers Internal
Ms-Exch-Accept-Headers-Routing 合作伙伴服务器帐户 合作伙伴 InternetPartner

自定义接收连接器上的邮件头防火墙

如果要对自定义接收连接器方案中的邮件应用邮件头防火墙,请使用以下任意一种方法:

  • 使用类型创建接收连接器,该连接器会自动将标头防火墙应用于消息。 请注意,只能在创建接收连接器时设置使用类型。

    • 若要从邮件中删除组织 X 标头或林 X 标头,请创建接收连接器并选择除 以外的 Internal使用类型。

    • 若要从邮件中删除路由邮件头,请执行下列操作之一:

      • 创建接收连接器并选择使用类型 Custom。 不要将任何权限组分配给接收连接器。

      • 修改现有的接收连接器,并将 PermissionGroups 参数设置为值 None

        请注意,如果您有一个未分配权限组的接收连接器,则需要根据最后一步中所述,向接收连接器中添加安全主体。

  • 使用 Remove-ADPermission cmdlet 从在接收连接器上配置的安全主体中删除 Ms-Exch-Accept-Headers-Organization 权限、 Ms-Exch-Accept-Headers-Forest 权限和 Ms-Exch-Accept-Headers-Routing 权限。 如果使用接收连接器上的权限组将权限分配给安全主体,则此方法不起作用,因为无法修改权限组的权限分配或组成员身份。

  • 使用 Add-ADPermission cmdlet 添加接收连接器上邮件流所需的相应安全主体。 确保没有安全主体具有 Ms-Exch-Accept-Headers-Organization 权限、 Ms-Exch-Accept-Headers-Forest 权限和分配给它们的 Ms-Exch-Accept-Headers-Routing 权限。 如有必要,请使用 Add-ADPermission cmdlet 拒绝 Ms-Exch-Accept-Headers-Organization 权限、 Ms-Exch-Accept-Headers-Forest 权限以及 Ms-Exch-Accept-Headers-Routing 权限,这些权限针对在接收连接器上配置的安全主体。

有关详细信息,请参阅下列主题:

发送连接器上出站邮件的邮件头防火墙

下表描述发送连接器上邮件头防火墙权限的默认应用。

权限 具有分配的权限的默认 Exchange 安全主体 将安全主体分配给发送连接器的默认使用类型
Ms-Exch-Send-Headers-Organizationms-Exch-Send-Headers-Forest
  • 集线器传输服务器
  • 边缘传输服务器
  • Exchange Server 注意:仅在中心传输服务器上
  • 外部安全服务器
  • ExchangeLegacyInterop 通用安全组
Internal
Ms-Exch-Send-Headers-Routing
  • 集线器传输服务器
  • 边缘传输服务器
  • Exchange Servers

    注意:仅在中心传输服务器上
  • 外部安全服务器
  • ExchangeLegacyInterop 通用安全组
Internal
Ms-Exch-Send-Headers-Routing 匿名用户帐户 Internet
Ms-Exch-Send-Headers-Routing 伙伴服务器 Partner

自定义发送连接器上的邮件头防火墙

如果要对自定义发送连接器方案中的邮件应用邮件头防火墙,请使用以下任意一种方法:

  • 创建具有自动将标头防火墙应用于邮件的使用类型的发送连接器。 请注意,只能在创建发送连接器时设置使用类型。

    • 若要从邮件中删除组织 X 标头或林 X 标头,请创建发送连接器并选择或 Partner以外的Internal使用类型。

    • 若要从邮件中删除路由标头,请创建发送连接器并选择使用类型 CustomMs-Exch-Send-Headers-Routing 权限分配给除 之外Custom的所有发送连接器使用类型。

  • 从连接器删除分配 Ms-Exch-Send-Headers-Organization 权限、 Ms-Exch-Send-Headers-ForestMs-Exch-Send-Headers-Routing 权限的安全主体。

  • 使用 Remove-ADPermission cmdlet 从在发送连接器上配置的安全主体之一中删除 Ms-Exch-Send-Headers-Organization 权限、 Ms-Exch-Send-Headers-Forest 权限和 Ms-Exch-Send-Headers-Routing 权限。

  • 使用 Add-ADPermission cmdlet 拒绝向发送连接器上配置的安全主体之一添加 Ms-Exch-Send-Headers-Organization 权限、 Ms-Exch-Send-Headers-Forest 权限和 Ms-Exch-Send-Headers-Routing 权限。

有关详细信息,请参阅下列主题:

其他邮件源的邮件头防火墙

邮件可以在邮箱服务器或边缘传输服务器上进入传输管道,而无需使用发送连接器或接收连接器。 标头防火墙将应用于这些其他消息源,如以下列表所述:

  • 拾取目录和重播目录:管理员或应用程序使用 Pickup 目录提交消息文件。 Replay 目录用于重新提交已从 Exchange 邮件队列导出的邮件。 有关 Pickup 和 Replay 目录的详细信息,请参阅 Pickup 目录和重播目录

    组织 X-header、林 X-header 和路由邮件头从分拣目录中的邮件文件中删除。

    路由邮件头保留在重播目录提交的邮件中。

    组织 X-header 和林 X-header 是保留在重播目录中还是从其中删除由邮件文件中的 X-CreatedBy: 头字段控制:

    • 如果 X-CreatedBy:MSExchange15的值为 ,则会在消息中保留组织 X 标头和林 X 标头。
    • 如果 X-CreatedBy: 的值不是 MSExchange15,则会从邮件中删除组织 X 标头和林 X 标头。
    • 如果 X-CreatedBy: 头字段在邮件文件中不存在,则组织 X-header 和林 X-header 从邮件中删除。
  • Drop directory:邮箱服务器上的外部连接器使用 Drop directory 将邮件发送到不使用 SMTP 传输邮件的邮件服务器。 有关外部连接器的详细信息,请参阅 外部连接器

    在邮件文件放入投递目录之前,组织 X-header 和林 X-header 从邮件文件中删除。

    路由邮件头保留在投递目录提交的邮件中。

  • 邮箱传输:邮箱服务器上存在邮箱传输服务,用于向邮箱服务器上的邮箱传输邮件或从邮箱传输邮件。 有关邮箱传输服务的详细信息,请参阅 邮件流

    组织 X-header、林 X-header 和路由邮件头从通过邮箱传输提交服务从邮箱发送的传出邮件中删除。

    邮箱传输传递服务将保留给邮箱收件人的入站邮件的路由标头。 邮箱传输传递服务为邮箱收件人的入站邮件保留以下组织 X 标头:

    • X-MS-Exchange-Organization-SCL
    • X-MS-Exchange-Organization-AuthDomain
    • X-MS-Exchange-Organization-AuthMechanism
    • X-MS-Exchange-Organization-AuthSource
    • X-MS-Exchange-Organization-AuthAs
    • X-MS-Exchange-Organization-OriginalArrivalTime
    • X-MS-Exchange-Organization-OriginalSize
  • DSN 消息:从原始邮件或附加到 DSN 邮件的原始邮件头中删除组织 X 标头、林 X 标头和路由标头。 有关 DSN 消息的详细信息,请参阅 Exchange 2013 中的 DSN 和NDR

  • 传输代理提交:组织 X 标头、林 X 标头和路由标头保留在传输代理提交的邮件中。

Exchange 中的组织 X-header 和林 X-header

邮箱服务器或边缘传输服务器上的传输服务将自定义 X-header 字段插入到邮件头中。

组织 X 标头以 X-MS-Exchange-Organization-开头。 林 X 标头以 X-MS-Exchange-Forest-开头。 下表描述了 Exchange 组织中的邮件中使用的一些组织 X 标头和林 X 标头。

X-header 说明
X-MS-Exchange-Forest-RulesExecuted 对邮件施加的传输规则。
X-MS-Exchange-Organization-Antispam-Report 内容筛选器代理应用于邮件的反垃圾邮件筛选结果的摘要。
X-MS-Exchange-Organization-AuthAs 指定身份验证源。 当已评估消息的安全性时,始终存在此 X 标头。 可能的值为 AnonymousInternalExternalPartner
X-MS-Exchange-Organization-AuthDomain 在域安全身份验证期间填充。 值是经过远程身份验证的域的 FQDN。
X-MS-Exchange-Organization-AuthMechanism 指定用于提交消息的身份验证机制。 该值是一个 2 位数的十六进制数字。
X-MS-Exchange-Organization-AuthSource 指定代表组织对邮件的身份验证进行评估的服务器计算机的 FQDN。
X-MS-Exchange-Organization-Journal-Report 标识传输中的日记报告。 消息离开传输服务后,标头立即变为 X-MS-Journal-Report
X-MS-Exchange-Organization-OriginalArrivalTime 标识邮件第一次进入 Exchange 组织的时间。
X-MS-Exchange-Organization-Original-Sender 在隔离邮件第一次进入 Exchange 组织时标识该邮件的原始发件人。
X-MS-Exchange-Organization-OriginalSize 在隔离邮件第一次进入 Exchange 组织时标识该邮件的原始大小。
X-MS-Exchange-Organization-Original-Scl 在隔离邮件第一次进入 Exchange 组织时标识该邮件的原始 SCL。
X-MS-Exchange-Organization-PCL 标识网络钓鱼置信度级别。 可能的钓鱼置信度级别值为 1 到 8。 较大的值表示可疑消息。 有关详细信息,请参阅反垃圾邮件标记
X-MS-Exchange-Organization-Quarantine 指示邮件已隔离在垃圾邮件隔离邮箱中,并且已发送 (DSN) 的传递状态通知。 或者,它指示邮件已由管理员隔离和释放。 此 X 标头字段可防止再次将已发布的邮件提交到垃圾邮件隔离邮箱。 有关详细信息,请参阅[从垃圾邮件隔离邮箱释放隔离邮件] (release-quarantined-messages-from-the-spam-quarantine-mailbox-exchange-2013-help.md。
X-MS-Exchange-Organization-SCL 标识消息的 SCL。 可能的 SCL 值为 0 到 9。 较大的值表示可疑消息。 特殊值 -1 免除内容筛选器代理处理消息。 有关详细信息,请参阅 内容筛选
X-MS-Exchange-Organization-SenderIdResult 包含发件人 ID 代理的结果。 发件人 ID 代理使用发件人策略框架 (SPF) 将邮件的源 IP 地址与发件人电子邮件地址中使用的域进行比较。 发件人 ID 结果用于计算消息的 SCL。 有关详细信息,请参阅 发件人 ID