了解发件人信誉
**适用于:**Exchange Server 2010
**上一次修改主题:**2010-01-18
发件人信誉是已安装 Microsoft Exchange Server 2010 边缘传输服务器角色的计算机上启用的反垃圾邮件功能,用于根据发件人的很多特征阻止邮件。发件人信誉依赖于有关发件人的保留数据来确定对入站邮件执行的操作(如果有)。
在边缘传输服务器上配置反垃圾邮件代理后,此代理对邮件执行的操作会逐步减少未经请求而进入组织的邮件数量。有关如何计划和部署反垃圾邮件代理的详细信息,请参阅了解反垃圾邮件和防病毒功能。
要查找与管理传输服务器相关的管理任务吗?请参阅管理传输服务器。
目录
发件人信誉级别的计算
SRL 的使用
启用并配置开放代理服务器的检测功能
设置 SRL 阻止阈值
发件人信誉级别的计算
发件人信誉级别 (SRL) 是通过下列统计信息计算的:
- HELO/EHLO 分析 HELO 和 EHLO SMTP 命令用于向接收 SMTP 服务器提供发送 SMTP 服务器的域名(如 Contoso.com)或 IP 地址。恶意用户(或“垃圾邮件制造者”**)经常通过不同方式伪造 HELO/EHLO 语句。例如,键入与发起连接的 IP 地址不匹配的 IP 地址。垃圾邮件制造者还将已知在接收服务器本地支持的域放入 HELO 语句,尝试像域处于组织中一样显示。其他情况下,垃圾邮件制造者更改在 HELO 语句中传递的域。合法用户通常可能会在 HELO 语句中使用不同但是相对恒定的一组域。
因此,按发件人分析 HELO/EHLO 语句可能表明发件人很可能是垃圾邮件制造者。例如,在特定时段内提供许多不同的唯一 HELO/EHLO 语句的发件人更可能是垃圾邮件制造者。不断在 HELO 语句中提供与连接筛选器代理确定的起始 IP 地址不匹配的 IP 地址的发件人也更可能是垃圾邮件制造者,例如不断在 HELO 语句中提供与边缘传输服务器处于同一组织的本地域名的远程发件人。 - 反向 DNS 查找 发件人信誉还可以验证发件人传输邮件的原始 IP 地址是否与发件人在 HELO 或 EHLO SMTP 命令中提交的已注册域名匹配。
发件人信誉通过将原始 IP 地址提交给 DNS 来执行反向 DNS 查询。DNS 返回的结果是使用该 IP 地址的域命名机构注册的域名。发件人信誉将 DNS 返回的域名与发件人在 HELO/EHLO SMTP 命令中提交的域名进行比较。如果域名不匹配,则发件人很可能是垃圾邮件制造者,并向上调整发件人的总体 SRL 分级。
发件人 ID 代理执行类似的任务,但发件人 ID 代理的成功依靠合法发件人更新其 DNS 基础结构,以标识其组织中所有电子邮件发送 SMTP 服务器。通过执行反向 DNS 查找,可以帮助标识潜在的垃圾邮件制造者。 - 对来自特定发件人的邮件分析 SCL 分级 内容筛选器代理处理邮件时,将为邮件分配垃圾邮件信任级别 (SCL) 分级。SCL 分级是 0 到 9 之间的一个数字。SCL 分级越高,表明邮件越可能是垃圾邮件。有关每个发件人及其邮件生成的 SCL 分级的数据始终用于发件人信誉分析。发件人信誉根据过去来自该发件人的所有低 SCL 分级的邮件与过去来自该发件人的所有高 SCL 分级的邮件之间的比例来计算有关发件人的统计信息。此外,发件人在前一天已发送的高 SCL 分级邮件数应用于总体 SRL。
- 发件人开放代理测试 **“开放代理”是一种代理服务器,接受任何人从任何位置发出的连接请求,并如发起于本地主机一样转发通信。代理服务器通过防火墙主机中继 TCP 通信,以便通过防火墙透明访问用户应用程序。由于代理协议是轻型协议,并且独立于用户应用程序协议,因此代理可供许多不同的服务使用。代理还可用于在多个主机之间共享一个 Internet 连接。通常,将代理设置为只有防火墙以内的受信任主机可以通过代理。
以下任一情况都可以作为开放代理存在的理由:- 无意中配置错误。
- 恶意特洛伊木马程序。“特洛伊木马”**程序是伪装成另一个普通程序尝试接收信息的程序。
很多情况下,开放代理的日志记录都不够充分,这便为恶意用户提供了一种理想的方式,可以隐藏其真实身份并发起拒绝服务攻击 (DoS) 或发送垃圾邮件。随着越来越多的代理服务器在默认情况下配置为开放,开放代理越来越常见。另外,恶意用户可将多个开放代理一起使用来隐藏发件人的原始 IP 地址。
发件人信誉执行开放代理测试时,通过在尝试从开放代理连接回边缘传输服务器时格式化 SMTP 请求来执行此测试。如果收到来自该代理的 SMTP 请求,则发件人信誉将验证该代理是否为开放代理,并更新该发件人的开放代理测试统计信息。
发件人信誉将评估每个统计信息并计算每个发件人的 SRL。SRL 是 0 到 9 之间的一个数字,预测特定发件人是垃圾邮件制造者或其他恶意用户的可能性。值 0 表示发件人不大可能是垃圾邮件制造者;值 9 表示发件人很可能是垃圾邮件制造者。
可以配置 0 到 9 之间的阻止阈值,在达到该阈值时,发件人信誉将向发件人筛选器代理发送请求,从而阻止发件人向组织发送邮件。阻止发件人时,该发件人将在可配置的期限内添加到阻止发件人列表中。如何处理被阻止的邮件取决于发件人筛选器代理的配置。下列操作是处理被阻止邮件的选项:
- 拒绝
- 删除并存档
- 接受并标记为被阻止发件人
如果发件人包含在 Microsoft 阻止列表或 Microsoft IP 信誉服务中,则发件人信誉将立即向发件人筛选器代理发送请求,以阻止该发件人。若要利用此功能,必须启用并配置 Microsoft Exchange 反垃圾邮件更新服务。
默认情况下,边缘传输服务器对尚未分析的发件人设置分级 0。发件人已发送 20 封或更多的邮件之后,发件人信誉将计算基于本主题在前面列出的统计信息的 SRL。
返回顶部
SRL 的使用
发件人信誉在 SMTP 会话的下列两个阶段对邮件执行操作:
- 在执行 MAIL FROM:SMTP 命令时 仅在邮件被连接筛选器代理、发件人筛选器代理、收件人筛选器代理或发件人 ID 代理阻止,或这些代理对邮件执行了其他操作时,发件人信誉才对邮件执行操作。在这种情况下,发件人信誉从边缘传输服务器数据库中有关该发件人的发件人配置文件中检索发件人当前的 SRL 分级。在检索并评估此分级之后,边缘传输服务器配置根据阻止阈值决定在特定连接上发生的行为。
- 执行“数据结尾”SMTP 命令之后 在发送所有实际邮件数据后,将提供“数据结尾”传输 (_EOD) SMTP 命令。在 SMTP 会话的此阶段,许多反垃圾邮件代理已处理该邮件。作为反垃圾邮件处理的副产品,发件人信誉所依赖的统计信息已更新。因此,发件人信誉具有为发件人计算或重新计算 SRL 分级的数据。
有关详细信息,请参阅配置发件人信誉属性。
返回顶部
启用并配置开放代理服务器的检测功能
发件人信誉会评估多个发件人特征以计算 SRL。发件人信誉评估的特征中包括开放代理服务器的测试结果。通常,垃圾邮件制造者在 Internet 上通过开放代理服务器路由邮件。通过开放代理服务器路由垃圾邮件,垃圾邮件制造者可以发送看似来自它们的服务器以外的其他服务器的邮件。
发件人信誉在计算 SRL 时,将尝试使用各种常见代理协议(例如 SOCKS4、SOCKS5、HTTP、Telnet、Cisco 和 Wingate)连接到发件人的起始 IP 地址。发件人信誉在尝试使用 SMTP 请求从开放代理服务器连接回边缘传输服务器时,会设置协议特定的请求格式。如果从代理服务器收到 SMTP 请求,则发件人信誉会验证代理服务器是否为开放代理服务器,并根据此结果调整 SRL 分级。默认情况下,将对发件人信誉启用开放代理服务器的检测功能。
有关如何启用开放代理服务器的检测功能的详细信息,请参阅配置发件人信誉属性。
有关如何配置开放代理服务器的检测功能的详细信息,请参阅为发件人信誉配置出站访问以实现开放代理服务器的检测功能。
返回顶部
设置 SRL 阻止阈值
SRL 是 0 到 9 之间的一个数字,预测特定发件人是垃圾邮件制造者或其他恶意用户的可能性。必须按 SRL 设置发件人阻止阈值。此 SRL 阻止阈值定义 SRL 值,必须超过该值,发件人信誉才阻止发件人。默认情况下,SRL 设置为 7。应在默认级别上监视代理的有效性。您可能会发现,可以通过调整该值来满足组织的需要。如果积极设置了其他反垃圾邮件代理,则为发件人信誉设置的 SRL 阈值可以高于没有积极设置其他反垃圾邮件代理时设置的阻止阈值。有关如何调整反垃圾邮件配置以使它们协同工作来减少垃圾邮件的详细信息,请参阅了解反垃圾邮件和防病毒功能。
如果某个特定发件人超过 SRL 阻止阈值,则发件人信誉会将该发件人添加到连接筛选器代理上的 IP 阻止列表。有时,垃圾邮件制造者会通过单个发件人成批发送垃圾邮件。在这种情况下,如果发件人信誉计算的 SRL 超过 SRL 阻止阈值,则会将该发件人添加到发件人阻止列表并使其在列表中保留可配置的持续时间。默认持续时间为 24 小时。24 小时之后,该发件人便会从发件人阻止列表中删除并可再次发送邮件。
将发件人添加到 IP 阻止列表之后,发件人信誉会删除该发件人的配置文件。发件人信誉删除配置文件的原因是:阻止的发件人的现有配置文件指示该发件人的 SRL 超过 SRL 阻止阈值,而这将导致在发件人阻止持续时间结束之后,会立即将该阻止的发件人再次添加到 IP 阻止列表。
有关详细信息,请参阅配置发件人信誉属性。
返回顶部