了解邮件头防火墙
**适用于:**Exchange Server 2010
**上一次修改主题:**2010-01-27
在 Microsoft Exchange Server 2010 中,“邮件头防火墙”**是从入站邮件和出站邮件中删除特定邮件头字段的机制。安装了集线器传输服务器角色或边缘传输服务器角色的运行 Exchange 2010 的计算机会在邮件头中插入自定义 X-header 字段。X-header 是存在于邮件头中的用户定义的非正式邮件头字段。X-header 未在 RFC 2822 中专门提及,但是使用以 X- 打头的未定义头字段已成为向邮件添加非正式头字段的普遍接受方式。邮件应用程序,例如反垃圾邮件应用程序、防病毒应用程序以及邮件服务器应用程序可以将其各自的 X-header 添加到邮件中。X-header 字段通常会保留,但是会被不使用它们的邮件服务器和客户端忽略。
X-header 字段包含有关传输服务器对邮件执行的操作的详细信息,例如,垃圾邮件可信度 (SCL)、内容筛选结果和规则处理状态。如果向未经授权的源泄露这些信息,可能会造成潜在的安全风险。
邮件头防火墙通过从来自不可信源的进入 Exchange 组织的入站邮件中删除 X-header 来防止这些 X-header 欺骗。邮件头防火墙通过从要传输到 Exchange 组织外部的不可信目标的出站邮件中删除 X-header 来防止泄露这些 X-header。邮件头防火墙还会防止用于跟踪邮件路由历史的标准路由邮件头的欺骗。
若要了解与管理传输服务器相关的管理任务,请参阅管理传输服务器。
目录
Exchange 2010 中使用的自定义组织 X-Header 和林 X-Header
组织 X-Header 和林 X-Header 的邮件头防火墙
路由邮件头的邮件头防火墙
邮件头防火墙和 Exchange 的早期版本
Exchange 2010 中使用的自定义组织 X-Header 和林 X-Header
组织 X-header 均以 X-MS-Exchange-Organization- 作为开头。林 X-header 均以 X-MS-Exchange-Forest- 作为开头。
下表介绍了一些在 Exchange 2010 组织内的邮件中使用的组织 X-header 和林 X-header。
Exchange 2010 组织内的邮件中使用的一些组织 X-header 和林 X-header
| X-header | 说明 |
|---|---|
X-MS-Exchange-Forest-RulesExecuted |
该 X-header 列出对邮件执行的传输规则。 |
X-MS-Exchange-Organization-Antispam-Report |
该 X-header 是内容筛选器代理应用于邮件的反垃圾邮件筛选结果的摘要报告。 |
X-MS-Exchange-Organization-AuthAs |
在对邮件的安全性进行评估之后,该 X-header 始终存在。此 X-header 指定身份验证来源。可能的值是 |
X-MS-Exchange-Organization-AuthDomain |
该 X-header 在域安全身份验证期间进行填充。它的值是经过身份验证的远程域的完全限定的域名 (FQDN)。 |
X-MS-Exchange-Organization-AuthMechanism |
该 X-header 为提交邮件指定身份验证机制。它的值是 2 位的十六进制数字。 |
X-MS-Exchange-Organization-AuthSource |
该 X-header 指定代表组织对邮件的身份验证进行评估的服务器计算机的 FQDN。 |
X-MS-Exchange-Organization-Journal-Report |
该 X-header 在传输过程中标识日记报告。一旦邮件离开传输服务器之后,邮件头会变为 X-MS-Journal-Report。 |
X-MS-Exchange-Organization-OriginalArrivalTime |
该 X-header 标识邮件第一次进入 Exchange 组织的时间。 |
X-MS-Exchange-Organization-Original-Sender |
该 X-header 在隔离邮件第一次进入 Exchange 组织时标识该邮件的原始发件人。 |
X-MS-Exchange-Organization-OriginalSize |
该 X-header 在隔离邮件第一次进入 Exchange 组织时标识该邮件的原始大小。 |
X-MS-Exchange-Organization-Original-Scl |
该 X-header 在隔离邮件第一次进入 Exchange 组织时标识该邮件的原始 SCL。 |
X-MS-Exchange-Organization-PCL |
该 X-header 标识仿冒可能性等级。可能的仿冒可能性等级值在 1 到 8 之间。较大的值表明邮件是可疑邮件。有关详细信息,请参阅了解反垃圾邮件标记。 |
X-MS-Exchange-Organization-Quarantine |
该 X-header 表示邮件已被隔离在垃圾邮件隔离邮箱中,并且已发送发送状态通知 (DSN)。或者,它表明邮件曾被隔离,但又被管理员释放。该 X-header 字段防止将释放的邮件再次提交到垃圾邮件隔离邮箱中。有关详细信息,请参阅从垃圾邮件隔离邮箱中发送隔离的邮件。 |
X-MS-Exchange-Organization-SCL |
该 X-header 标识邮件的 SCL。可能的 SCL 值在 0 到 9 之间。较大的值表明邮件是可疑邮件。特殊值 -1 可使内容筛选器代理不处理邮件。有关详细信息,请参阅了解内容筛选。 |
X-MS-Exchange-Organization-SenderIdResult |
该 X-header 包含发件人 ID 代理的结果。发件人 ID 代理使用发送方策略框架 (SPF) 比较邮件的源 IP 地址与发件人的电子邮件地址中使用的域。发件人 ID 结果用于计算邮件的 SCL。有关详细信息,请参阅了解发件人 ID。 |
返回顶部
组织 X-Header 和林 X-Header 的邮件头防火墙
Exchange 2010 通过以下方式将邮件头防火墙应用于邮件中存在的组织 X-Header 和林 X-Header:
- 向发送连接器或接收连接器分配可用于保留或删除邮件中的特定 X-header 的权限。
- 在其他类型的邮件提交过程中,自动为邮件中的 X-header 实施邮件头防火墙。
邮件头防火墙如何应用于邮件中的组织 X-Header 和林 X-header
入站邮件中的组织 X-Header 和林 X-header 的邮件头防火墙由两个特定的权限组成,它们会分配给在集线器传输服务器或边缘传输服务器上配置的接收连接器:
- 如果将这些权限分配给接收连接器,则不会对邮件应用邮件头防火墙。邮件中的组织 X-Header 或林 X-header 将保留。
- 如果未将这些权限分配给接收连接器,则会对邮件应用邮件头防火墙。组织 X-header 或林 X-header 会从邮件中删除。
下表描述了接收连接器上可用的组织 X-Header 和林 X-header 的邮件头防火墙权限。
入站邮件的接收连接器上可用的组织 X-Header 和林 X-header 的邮件头防火墙权限
| 权限 | 默认情况下,具有分配的权限的安全主体 | 具有安全主体成员的权限组 | 默认情况下,将权限组分配给接收连接器的使用类型 | 说明 |
|---|---|---|---|---|
Ms-Exch-Accept-Headers-Organization |
|
ExchangeServers |
|
该权限应用于组织 X-header。组织 X-header 均以 X-MS-Exchange-Organization- 作为开头。如果没有授予此权限,则接收服务器会删除邮件中的所有组织邮件头。 |
Ms-Exch-Accept-Headers-Forest |
|
ExchangeServers |
|
该权限应用于林 X-header。林 X-header 均以 X-MS-Exchange-Forest- 作为开头。如果没有授予此权限,则接收服务器会删除邮件中的所有林邮件头。 |
.gif "Bb232136.note(zh-cn,EXCHG.140).gif")
注意:
如果要对自定义接收连接器方案中的组织 X-header 和林 X-header 应用邮件头防火墙,请使用以下任意一种方法:
- 创建一个接收连接器,选择除
Internal之外的使用类型。接收连接器使用类型只能在创建连接器时设置。有关详细信息,请参阅创建 SMTP 接收连接器。 - 修改现有的接收连接器并删除 ExchangeServers 权限组。有关详细信息,请参阅配置接收连接器属性。
- 使用 Remove-ADPermission cmdlet 从在接收连接器上配置的安全主体中删除 Ms-Exch-Accept-Headers-Organization 权限和 Ms-Exch-Accept-Headers-Forest 权限。如果是使用权限组将权限分配给安全主体,则此方法不适用。不能修改分配的权限或权限组的组成员身份。有关详细信息,请参阅 Remove-ADPermission。
- 使用 Add-ADPermission cmdlet 对在接收服务器上配置的安全主体拒绝 Ms-Exch-Accept-Headers-Organization 权限和 Ms-Exch-Accept-Headers-Forest 权限。有关详细信息,请参阅 Add-ADPermission。
邮件头防火墙如何应用于出站邮件中的组织 X-Header 和林 X-Header
出站邮件中的组织 X-Header 和林 X-header 的邮件头防火墙由两个特定的权限组成,它们会分配给在集线器传输服务器或边缘传输服务器上配置的发送连接器。
- 如果将这些权限分配给发送连接器,则不会对邮件应用邮件头防火墙。邮件中的组织 X-Header 或林 X-header 将保留。
- 如果未将这些权限分配给发送连接器,则会对邮件应用邮件头防火墙。组织 X-header 和林 X-header 会从邮件中删除。
下表描述了发送连接器上可用的组织 X-Header 和林 X-header 的邮件头防火墙权限。
出站邮件的发送连接器上可用的组织 X-Header 和林 X-header 的邮件头防火墙权限
| 权限 | 默认情况下,具有分配的权限的安全主体 | 默认情况下,将安全主体分配给发送连接器的使用类型 | 说明 |
|---|---|---|---|
Ms-Exch-Send-Headers-Organization |
|
|
该权限应用于组织 X-header。组织 X-header 均以 X-MS-Exchange-Organization- 作为开头。如果没有授予此权限,则发送服务器会删除邮件中的所有组织邮件头。 |
Ms-Exch-Send-Headers-Forest |
|
|
该权限应用于林 X-header。林 X-header 均以 X-MS-Exchange-Forest- 作为开头。如果没有授予此权限,则发送服务器会删除邮件中的所有林邮件头。 |
如果要对自定义发送连接器方案中的组织 X-header 或林 X-header 应用邮件头防火墙,请使用以下任意一种方法:
- 创建一个发送连接器,选择除
Internal或Partner之外的使用类型。发送连接器使用类型只能在创建连接器时设置。有关详细信息,请参阅创建 SMTP 发送连接器。 - 从连接器中删除分配 Ms-Exch-Send-Headers-Organization 权限和 Ms-Exch-Send-Headers-Forest 权限的安全主体。有关详细信息,请参阅配置发送连接器属性。
- 使用 Remove-ADPermission cmdlet 从在发送连接器上配置的一个安全主体中删除 Ms-Exch-Send-Headers-Organization 权限和 Ms-Exch-Send-Headers-Forest 权限。有关详细信息,请参阅 Remove-ADPermission。
- 使用 Add-ADPermission cmdlet 对在发送服务器上配置的一个安全主体拒绝 Ms-Exch-Send-Headers-Organization 权限和 Ms-Exch-Send-Headers-Forest 权限。有关详细信息,请参阅 Add-ADPermission。
邮件头防火墙如何应用于其他邮件源中的组织 X-Header 和林 X-header
邮件不使用发送连接器或接收连接器就可以进入集线器传输服务器或边缘传输服务器上的 Exchange 2010 传输通道中。组织 X-header 和林 X-header 的邮件头防火墙会应用于来自以下列表中说明的其他邮件源中的邮件:
- 分拣目录 分拣目录由管理员或应用程序用来提交邮件文件。始终对分拣目录中的邮件文件应用组织 X-header 和林 X-header 的邮件头防火墙。有关分拣目录的详细信息,请参阅了解分拣和重播目录。
- 重播目录 重播目录用于重新提交从 Exchange 2010 邮件队列中导出的邮件。如何在这些邮件中应用组织 X-header 和林 X-header 的邮件头防火墙是由邮件文件中的
X-CreatedBy:邮件头字段控制的:- 如果此邮件头字段的值是
MSExchange14,则不会对邮件应用邮件头防火墙。 - 如果
X-CreatedBy:的值不是MSExchange14,则会应用邮件头防火墙。 - 如果邮件文件中不存在
X-CreatedBy:邮件头字段,则会应用邮件头防火墙。
有关重播目录的详细信息,请参阅了解分拣和重播目录。
- 如果此邮件头字段的值是
- 投递目录 投递目录由集线器传输服务器上的外部连接器使用,用于将邮件发送到不使用 SMTP 来传输邮件的邮件传递服务器。在邮件文件放入投递目录之前,始终对邮件文件应用组织 X-header 和林 X-header 的邮件头防火墙。有关外部连接器的详细信息,请参阅了解外部连接器。
- 存储驱动程序 存储驱动程序位于集线器传输服务器上,用于传输邮箱服务器上的邮箱收发的邮件。对于从邮箱创建并提交的传出邮件,始终应用组织 X-header 和林 X-header 的邮件头防火墙。对于传入邮件,可以有选择性地应用组织 X-header 和林 X-header 的邮件头防火墙。发送到邮箱收件人的入站邮件的邮件头防火墙不会阻止在以下列表中指定的 X-header:
- X-MS-Exchange-Organization-SCL
- X-MS-Exchange-Organization-AuthDomain
- X-MS-Exchange-Organization-AuthMechanism
- X-MS-Exchange-Organization-AuthSource
- X-MS-Exchange-Organization-AuthAs
- X-MS-Exchange-Organization-OriginalArrivalTime
- X-MS-Exchange-Organization-OriginalSize
有关存储驱动程序的详细信息,请参阅了解传输管道。
- DSN 邮件 始终对附加到 DSN 邮件的原始邮件或原始邮件头应用组织 X-header 和林 X-header 的邮件头防火墙。有关 DSN 邮件的详细信息,请参阅管理传递状态通知。
- 代理提交 不会对代理提交的邮件应用组织 X-header 和林 X-header 的邮件头防火墙。
返回顶部
路由邮件头的邮件头防火墙
路由邮件头是 RFC 2821 和 RFC 2822 中定义的标准 SMTP 邮件头字段。路由邮件头通过使用有关不同邮件传递服务器(用于将邮件传递到收件人)的信息标记邮件。以下列表中说明了可用的路由邮件头:
- Received: 接受并将邮件转发到收件人的每个邮件传递服务器向邮件头字段添加此邮件头字段的不同实例。
Received:邮件头通常包含邮件传递服务器的名称和日期时间戳。 - Resent-*: Resent 邮件头字段是信息性邮件头字段,可用来确定邮件是否已由用户转发。以下是可用的 Resent 邮件头字段:
Resent-Date:、Resent-From:、Resent-Sender:、Resent-To:、Resent-Cc:、Resent-Bcc:和Resent-Message-ID:。
使用 Resent 字段可使邮件在收件人处看似是由原始发件人直接发来的邮件。收件人可以查看该邮件头来了解邮件是谁转发的。
插入到邮件中的路由邮件头可用于篡改将邮件传递到收件人经由的路由路径。Exchange 2010 使用两种不同的方式对邮件中存在的路由邮件头应用邮件头防火墙:
- 向发送连接器或接收连接器分配可用于保留或删除邮件中的路由邮件头的权限。
- 在其他类型的邮件提交过程中,自动为邮件中的路由邮件头实施邮件头防火墙。
邮件头防火墙如何应用于入站邮件中的路由邮件头
接收连接器具有 Ms-Exch-Accept-Headers-Routing 权限,该权限用于接受或拒绝入站邮件中存在的任何路由邮件头:
- 如果授予了此权限,则所有的路由邮件头都会保留在入站邮件中。
- 如果没有授予此权限,则所有的路由邮件头都会从入站邮件中删除。
下表说明了 Ms-Exch-Accept-Headers-Routing 权限在接收连接器上的默认应用。
Ms-Exch-Accept-Headers-Routing 权限在接收连接器上的默认应用
| 默认情况下,具有分配的权限的安全主体 | 具有安全主体成员的权限组 | 默认情况下,将权限组分配给接收连接器的使用类型 |
|---|---|---|
匿名用户帐户 |
匿名 |
|
通过身份验证的用户帐户 |
ExchangeUsers |
|
|
ExchangeServers |
|
Exchange 旧版互操作通用安全组 |
ExchangeLegacyServers |
|
合作伙伴服务器帐户 |
合作伙伴 |
|
可将 Ms-Exch-Accept-Headers-Routing 权限分配给除 Custom 之外的所有使用类型。如果要在自定义接收连接器方案中对路由邮件头应用邮件头防火墙,请按照以下步骤操作:
- 执行下列操作之一:
- 创建一个接收连接器,选择使用类型
Custom。不要向接收连接器分配任何权限组。不能修改分配的权限或权限组的组成员身份。 - 修改现有的接收连接器,并将 PermissionGroups 参数的值设置为
None。
- 创建一个接收连接器,选择使用类型
- 使用 Add-ADPermission cmdlet 添加接收连接器上所需的相应安全主体。请确保没有为任何安全主体分配 Ms-Exch-Accept-Headers-Routing 权限。如果需要,请使用 Add-ADPermission cmdlet 对要配置为使用接收连接器的安全主体拒绝 Ms-Exch-Accept-Headers-Routing 权限。
有关详细信息,请参阅下列主题:
邮件头防火墙如何应用于出站邮件中的路由邮件头
发送连接器具有 Ms-Exch-Send-Headers-Routing 权限,该权限用于允许或删除出站邮件中存在的任何路由邮件头:
- 如果授予了此权限,则所有的路由邮件头都会保留在出站邮件中。
- 如果没有授予此权限,则所有的路由邮件头都会从出站邮件中删除。
下表说明了 Ms-Exch-Send-Headers-Routing 权限在发送连接器上的默认应用。
Ms-Exch-Send-Headers-Routing 权限在发送连接器上的默认应用
| 默认情况下,具有分配的权限的安全主体 | 默认情况下,将安全主体分配给发送连接器的使用类型 |
|---|---|
|
|
匿名用户帐户 |
|
伙伴服务器 |
|
可将 Ms-Exch-Send-Headers-Routing 权限分配给除 Custom 之外的所有使用类型。如果要对自定义发送连接器方案中的路由邮件头应用邮件头防火墙,请使用以下任意一种方法:
- 创建一个发送连接器,选择使用类型
Custom。发送连接器使用类型只能在创建连接器时设置。有关详细信息,请参阅创建 SMTP 发送连接器。 - 从连接器中删除分配 Ms-Exch-Send-Headers-Routing 权限的安全主体。有关详细信息,请参阅配置发送连接器属性。
- 使用 Remove-ADPermission cmdlet 从在发送连接器上配置的一个安全主体中删除 Ms-Exch-Send-Headers-Routing 权限。有关详细信息,请参阅 Remove-ADPermission。
- 使用 Add-ADPermission cmdlet 对在发送连接器上配置的一个安全主体拒绝 Ms-Exch-Send-Headers-Routing 权限。有关详细信息,请参阅 Add-ADPermission。
邮件头防火墙如何应用于其他邮件源中的路由邮件头
邮件不使用发送连接器或接收连接器就可以进入集线器传输服务器或边缘传输服务器上的 Exchange 2010 传输通道中。会对以下列表中描述的其他邮件源应用路由邮件头的邮件头防火墙:
- 分拣目录 分拣目录由管理员或应用程序用来提交邮件文件。始终对分拣目录中的邮件文件应用路由邮件头的邮件头防火墙。有关分拣目录的详细信息,请参阅了解分拣和重播目录。
- 存储驱动程序 存储驱动程序位于集线器传输服务器上,用于传输邮箱服务器上的邮箱收发的邮件。始终对从邮箱服务器上的邮箱发送的所有邮件应用路由邮件头的邮件头防火墙。不会对传递给邮箱收件人的传入邮件应用路由邮件头的邮件头防火墙。有关存储驱动程序的详细信息,请参阅了解传输管道。
- DSN 邮件 始终对附加到 DSN 邮件的原始邮件或原始邮件头应用路由邮件头的邮件头防火墙。有关 DSN 邮件的详细信息,请参阅管理传递状态通知。
- 重播目录、投递目录和代理的提交 不会对由重播目录、投递目录和代理提交的邮件应用路由邮件头的邮件头防火墙。
返回顶部
邮件头防火墙和 Exchange 的早期版本
Exchange 2003 和 Exchange 的早期版本不使用组织 X-header 或林 X-header。Exchange 2010 将早于 Exchange 2007 的 Exchange 版本视为不可信的邮件源。对于来自运行早期版本的 Exchange 服务器的邮件,会对其中的所有组织 X-header 和林 X-header 应用邮件头防火墙。对于传递到 Exchange 组织内的运行早期版本的 Exchange 服务器的邮件,也会应用组织 X-header 和林 X-header 的邮件头防火墙。
Exchange 的早期版本使用专有谓词 X-EXCH50 传输电子邮件中无法包含的邮件和收件人的相关信息。该信息将作为 Exch50 二进制大型对象 (BLOB) 进行传输。Exch50 BLOB 是存储为单个对象的二进制数据集合。Exch50 包含 SCL、地址重写信息以及其他没有 MIME 表示方式的 MAPI 属性等数据。因为 X-EXCH50 是专有的扩展简单邮件传输协议 (ESMTP) 谓词,所以,无法通过未安装 Exchange 的服务器传播 Exch50 数据。有关详细信息,请参阅Exchange 2003 - Planning Roadmap for Upgrade and Coexistence。
安装了 Exchange 2010 或 Exchange 2003 的服务器之间的路由组连接器将自动配置为支持发送和接收 Exch50 数据。发送连接器和接收连接器都具有启用 Exch50 命令的权限。
下表说明了用于在入站邮件的接收连接器上启用 Exch50 命令的权限。如果未授予以下任一权限,并且发送了包含 Exch50 命令的邮件,则服务器会接受此邮件,但接收的邮件中不包含 Exch50 命令。
用于在入站邮件的接收连接器上启用 Exch50 命令的权限
| 权限 | 默认情况下,具有分配的权限的安全主体 | 具有安全主体成员的权限组 | 默认情况下,将权限组分配给接收连接器的使用类型 |
|---|---|---|---|
Ms-Exch-Accept-Exch50 |
|
ExchangeServers |
|
Ms-Exch-Accept-Exch50 |
Exchange 旧版互操作通用安全组 |
ExchangeLegacyServers |
|
如果要在自定义接收连接器方案中禁用 Exch50 命令,请使用以下任意一种方法:
- 创建一个接收连接器,选择除
Internal之外的使用类型。接收连接器使用类型只能在创建连接器时设置。有关详细信息,请参阅创建 SMTP 接收连接器。 - 修改现有的接收连接器并删除 ExchangeServers 权限组。有关详细信息,请参阅配置接收连接器属性。
- 使用 Remove-ADPermission cmdlet 从在接收连接器上配置的一个安全主体中删除 Ms-Exch-Accept-Exch50 权限。如果是使用权限组将权限分配给安全主体,则此方法不适用。不能修改分配的权限或权限组的组成员身份。有关详细信息,请参阅 Remove-ADPermission。
- 使用 Add-ADPermission cmdlet 对在接收连接器上配置的一个安全主体拒绝 Ms-Exch-Accept-Exch50 权限。有关详细信息,请参阅 Add-ADPermission。
下表说明了用于在出站邮件的发送连接器上启用 Exch50 命令的权限。如果未授予此权限,并且发送了包含 Exch50 命令的邮件,则服务器将发送该邮件,但发送的邮件中不包含 Exch50 命令。
用于在出站邮件的发送连接器上启用 Exch50 命令的权限
| 权限 | 默认情况下,具有分配的权限的安全主体 | 默认情况下,将安全主体分配给发送连接器的使用类型 |
|---|---|---|
Ms-Exch-Send-Exch50 |
|
|
如果要在自定义发送连接器方案中禁用 Exch50 命令,请使用以下任意一种方法:
- 创建一个发送连接器,选择除
Internal之外的使用类型。发送连接器使用类型只能在创建连接器时设置。有关详细信息,请参阅创建 SMTP 发送连接器。 - 从连接器中删除分配 Ms-Exch-Send-Exch50 权限的安全主体。
- 使用 Remove-ADPermission cmdlet 从在发送连接器上配置的一个安全主体中删除 Ms-Exch-Send-Exch50 权限。有关详细信息,请参阅 Remove-ADPermission。
- 使用 Add-ADPermission cmdlet 对在发送连接器上配置的一个安全主体拒绝 Ms-Exch-Send-Exch50 权限。有关详细信息,请参阅 Add-ADPermission。
返回顶部