配置连接筛选

 

适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上一次修改主题: 2007-07-06

本主题概述了如何配置连接筛选。有关自定义配置或更高级的配置,请参阅本主题每一节中的链接。有关连接筛选如何工作的详细信息,请参阅连接筛选

note注意:
从安装了边缘传输服务器角色的计算机上的可配置组件角度来看,连接筛选功能是指 IP 阻止列表、IP 允许列表、IP 阻止列表提供程序和 IP 允许列表提供程序的集合。连接筛选用于扩展服务器。

配置连接筛选时,必须执行下列步骤:

  1. 启用连接筛选组件。

  2. 向 IP 允许列表和 IP 阻止列表添加 IP 地址。

  3. 配置 IP 允许列表提供程序和 IP 阻止列表提供程序。

  4. 为不是第一个简单邮件传输协议 (SMTP) 入口点的边缘传输服务器配置连接筛选。

  5. 测试 IP 阻止功能和 IP 允许功能。

important要点:
使用 Exchange 管理控制台或 Exchange 命令行管理程序对连接筛选所做的配置更改,只应用于安装了边缘传输服务器角色的本地计算机。如果您的组织中运行有多个边缘传输服务器角色实例,则必须对每台计算机都应用连接筛选配置更改。

启用连接筛选组件

默认情况下,在边缘传输服务器上针对来自 Internet 但未经过身份验证的入站邮件启用连接筛选。这些邮件将作为外部邮件处理。可以使用 Exchange 管理控制台或 Exchange 命令行管理程序在各个计算机配置中禁用该筛选器。

在计算机上启用连接筛选之后,连接筛选代理会对通过此计算机上所有接收连接器传入的所有邮件进行筛选。如本主题前面所述,仅筛选来自外部源的邮件。“外部来源”定义为未进行身份验证的来源。这些外部来源被认为是匿名 Internet 来源。

有关如何配置接收连接器以及如何确定邮件来源类别的详细信息,请参阅 接收连接器

最佳的做法是不筛选来自受信任伙伴或组织内部的邮件。运行反垃圾邮件筛选器时,经常出现筛选器误报的可能。为了降低错误处理合法电子邮件的几率,仅应对来自潜在不受信任的源和未知源的邮件运行反垃圾邮件代理。可以使用 Exchange 命令行管理程序对任何来源的邮件启用和禁用连接筛选。

有关如何启用连接筛选的详细信息,请参阅如何启用连接筛选

为阻止列表和允许列表添加 IP 地址

连接筛选中所述,IP 阻止列表和 IP 允许列表是由管理员定义的列表,指定连接筛选代理处理的 IP 地址和 IP 地址范围。来源 IP 地址与 IP 阻止列表中的某个 IP 地址或 IP 地址范围匹配时,连接筛选器代理会处理邮件中的所有 RCPT TO: 头,并在 MAIL FROM 命令后拒绝邮件。来源 IP 地址与 IP 允许列表中的某个 IP 地址或 IP 地址范围匹配时,连接筛选器代理则将邮件发送到目标地址,其他反垃圾邮件代理不会进行任何额外的处理。有关反垃圾邮件代理如何配合工作及其应用顺序的详细信息,请参阅反垃圾邮件和防病毒功能

note注意:
仅当在运行 Windows Server 2008 的计算机上部署了 Microsoft Exchange Server 2007 Service Pack 1 (SP1),并且该计算机上同时启用了 IPv6 和 Internet 协议版本 4 (IPv4),并且网络支持这两种 IP 地址版本时,才支持使用 Internet 协议版本 6 (IPv6) 地址和 IP 地址范围。如果 Exchange 2007 SP1 在此配置中部署,则所有服务器角色都可在使用 IPv6 地址的设备、服务器和客户端中发送和接收数据。Windows Server 2008 的默认安装启用对 IPv4 和 IPv6 的支持。如果 Exchange 2007 SP1 安装在 Windows Server 2003 上,则不支持 IPv6 地址。有关 Exchange 2007 SP1 支持 IPv6 地址的详细信息,请参阅 Exchange 2007 SP1 和 SP2 中的 IPv6 支持

有关如何为 IP 阻止列表和 IP 允许列表添加 IP 地址的详细信息,请参阅如何向 IP 允许列表和 IP 阻止列表添加 IP 地址

配置 IP 阻止列表提供程序和 IP 允许列表提供程序。

IP 阻止列表和 IP 允许列表提供程序服务有助于减少垃圾邮件并提高边缘传输服务器上的总体邮件处理能力。应考虑配置多个 IP 阻止列表提供程序服务和 IP 允许列表提供程序服务。

note注意:
多个 IP 阻止列表提供程序服务有时被称为实时阻止列表 (RBL) 服务。IP 允许列表提供程序服务有时被为安全列表服务。

对于配置的每个 IP 阻止列表提供程序服务,可以自定义在发件人 IP 地址与 IP 阻止列表提供程序服务匹配并随后被连接筛选器代理阻止时,向发件人返回的 SMTP 550 错误。最佳做法是,自定义 SMTP 550 错误,使其确定将发件人标识为被阻止 IP 地址的 IP 阻止列表提供程序服务。该做法使合法发件人可以与 IP 阻止列表提供程序服务联系,以便可以从 IP 阻止列表提供程序服务的 IP 阻止列表中删除。

当发送邮件的远程服务器的 IP 地址与 IP 阻止列表提供程序服务的 IP 阻止列表中的 IP 地址匹配时,不同的 IP 阻止列表提供程序服务可能会返回不同的代码。大多数 IP 阻止列表提供程序服务都返回下列数据类型之一:位掩码或绝对值。在这些数据类型中,可能有多个值指示提交 IP 地址的列表类型已启用。

位掩码示例

此节显示大多数阻止列表提供程序返回的状态代码示例。有关提供程序返回的状态代码,请参阅特定提供程序的文档。

对于位掩码数据类型,IP 阻止列表提供程序服务返回状态代码 127.0.0.x,其中整数 x 是下表中列出的任一值。

位掩码数据类型的值和状态代码

状态代码

1

该 IP 地址在 IP 阻止列表中。

2

SMTP 服务器配置为充当开放中继。

4

该 IP 地址支持拨号 IP 地址。

对于绝对值类型,IP 阻止列表提供程序服务根据阻止 IP 地址的原因返回明确的响应。下表显示绝对值和明确响应的一些示例。

绝对值数据类型的值和状态代码

明确响应

127.0.0.2

该 IP 地址是直接垃圾邮件来源。

127.0.0.4

该 IP 地址是邮件群发程序。

127.0.0.5

发送邮件的远程服务器可以支持多阶段开放中继。

有关如何配置 IP 允许列表提供程序和 IP 阻止列表提供程序的详细信息,请参阅如何配置 IP 允许列表提供程序和 IP 阻止列表提供程序

为不是第一个 SMTP 入口点的边缘传输服务器配置连接筛选

在某些组织中,边缘传输服务器角色安装在不直接处理 Internet 上的 SMTP 请求的计算机上。在此情况下,边缘传输服务器在其他直接处理来自 Internet 的入站邮件的前端 SMTP 服务器的后面。在此情况下,连接筛选器代理必须可以从邮件中提取正确的来源 IP 地址。若要提取并评估来源 IP 地址,连接筛选器代理必须分析邮件中的 Received 头,并将这些邮件头与外围网络中的已知 SMTP 服务器进行比较。

符合 RFC 标准的 SMTP 服务器接收邮件时,服务器将使用发件人的域名和 IP 地址更新邮件的 Received 头。因此,对于来源发件人与边缘传输服务器之间的每台 SMTP 服务器,SMTP 服务器会添加另一个 Received 邮件头条目。

将外围网络配置为支持 Microsoft Exchange Server 2007 时,必须指定外围网络中的 SMTP 服务器的所有 IP 地址。EdgeSync 将 IP 地址数据复制到边缘传输服务器上。运行连接筛选器代理的计算机接收邮件时,假定 Received 头中与外围网络中的 SMTP 服务器 IP 地址不匹配的 IP 地址是来源 IP 地址。

在运行连接筛选之前,必须指定 Active Directory 林中的传输配置对象上的所有内部 SMTP 服务器。使用 Set-TransportConfig cmdlet 的 InternalSMTPServers 参赛指定内部 SMTP 服务器。

测试 IP 阻止列表功能和 IP 允许列表功能

配置 IP 阻止列表提供程序服务或 IP 允许列表提供程序服务之后,可以通过测试确保已为特定服务正确配置了连接筛选。大多数 IP 阻止列表提供程序服务或 IP 允许列表提供程序服务提供可以用于测试服务的测试 IP 地址。对 IP 阻止列表提供程序服务或 IP 允许列表提供程序服务运行测试时,连接筛选器代理会发出域名系统 (DNS) 查询,该查询基于应使用特定响应做出响应的实时阻止列表 (RBL) IP 地址。有关 RBL 服务的详细信息,请参阅连接筛选。有关如何对 IP 阻止列表提供程序服务或 IP 允许列表提供程序服务测试 IP 地址的详细信息,请参阅 Test-IPAllowListProviderTest-IPBlockListProvider

详细信息

有关如何使用 Exchange 管理控制台配置连接筛选的详细信息,请参阅下列主题:

有关如何使用 Exchange 命令行管理程序配置连接筛选的详细信息,请参阅下列主题: