配置边缘传输规则来管理病毒

 

适用于： Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上一次修改主题： 2006-09-15

本主题概述了 Microsoft Exchange Server 2007 如何使用边缘规则代理和传输规则来帮助您保护组织免受病毒攻击。

每天都有新病毒威胁组织。出现病毒时，防病毒软件供应商和管理员采取应对措施。为最大限度地减小病毒导致的破坏，防病毒软件供应商和管理员必须尽快对病毒威胁做出响应。但是，病毒威胁的出现时间与提供出解决方案的时间之间难以避免地存在时间差。病毒威胁仍处于未知和未解决状态时，此差异称为“零日病毒威胁”。

同时，已在 Internet 上流传多年的病毒仍将继续对组织构成威胁。尽管防病毒扫描程序可以识别其中的大多数病毒，但防病毒扫描程序可能错误地脱机、使用过期的定义进行更新或遇到其他问题而使其不可用。

在运行边缘传输服务器角色的计算机上运行的传输规则旨在帮助您管理和控制零日病毒威胁及以前就存在或持续的病毒威胁。

有关传输规则的详细信息，请参阅下列主题：

• 传输规则概述

• 了解如何在 Exchange 2007 组织中应用传输规则

管理病毒威胁

大部分病毒包含标识其为病毒的唯一特征，如发件人:邮件头字段中特定的电子邮件地址、特定的主题或附件。可以根据这些唯一的特征来配置传输规则以标识可能有害的邮件，并对其执行特定的操作。可用的操作包括将邮件发送到隔离邮箱、将其完全删除或仅在主题上添加警告。

标识病毒威胁

最大限度地在边缘传输服务器上的外围网络中标识出受感染的邮件数，以减小这些邮件进入 Exchange 组织后对其进行处理的成本，这很重要。如果能在边缘传输服务器上标识受感染的邮件并将其拒绝或删除，则不会产生在内部服务器上存储邮件的成本或对邮件进行病毒扫描的成本。

创建新传输规则来标识病毒威胁时，应检查发布的有关病毒的报告，并查找标识病毒且可以在传输规则中使用的唯一特征。下表介绍了病毒可能包含的某些唯一特征：

• 主题或邮件正文中有限数目的字符串

• 发件人: 头字段或收件人:头字段中的特定电子邮件地址

• 具有特定值的特定邮件头字段

要点：
虽然能够标识特定病毒的唯一特征，但必须确保这些特征不与合法邮件中可能存在的任何内容匹配。

有关可以在边缘传输服务器上通过传输规则检查的邮件内容类型的详细信息，请参阅传输规则谓词。

使用传输规则控制病毒威胁

标识某病毒的唯一特征后，可以创建传输规则以对其执行操作。对特定邮件执行的操作取决于组织的策略。

警告：
如果决定断开 SMTP 连接、删除邮件或拒绝邮件，则执行这些操作后无法对其进行恢复。如果希望阻止邮件进行传递，但不希望将其删除，请配置规则以将邮件传递至隔离邮箱。

有关边缘传输服务器上的可用传输规则操作的详细信息，请参阅传输规则操作。

有关如何管理和配置用于标识可能受到病毒感染的邮件并对其执行操作的传输规则的详细信息，请参阅下列主题：

• 如何新建传输规则

• 如何查看传输规则

• 如何修改传输规则

  • 如何在 Exchange 管理外壳中修改传输规则条件和例外

  • 如何在 Exchange 命令行管理程序中修改传输规则操作

• 如何删除传输规则

• 如何配置免责声明

下列主题提供帮助您管理并增强传输规则的其他信息：

• 传输规则谓词

• 传输规则操作

• 传输规则中的正则表达式

使用 Exchange 托管服务

传输邮件策略通过 Microsoft Exchange 托管服务增强，也可以作为其中的一项服务使用。Exchange 托管服务是一组服务，包含四种不同的托管服务：

• 托管筛选，帮助组织防御以电子邮件为载体的恶意软件

• 托管存档，有助于组织满足要遵守的保留要求

• 托管加密，帮助组织对数据进行加密以实现机密性

• 托管连续性，帮助组织在发生紧急情况期间和之后仍然能够访问电子邮件

这些服务与内部管理的任何基于前提的 Exchange 服务器或通过服务提供程序提供的托管 Exchange 电子邮件服务进行集成。有关 Exchange 托管服务的详细信息，请参阅 Microsoft Exchange Hosted Services。