了解收件人筛选

 

适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题: 2012-11-30

收件人筛选器代理是一种反垃圾邮件代理,此代理在运行 MicrosoftExchange Server 2010 并安装了边缘传输服务器角色的计算机上处于启用状态。收件人筛选器代理根据 RCPT TO SMTP 头确定对入站邮件执行哪些操作(如果有)。

在边缘传输服务器上配置反垃圾邮件代理后,此代理对邮件执行的操作会逐步减少未经请求而进入组织的邮件数量。有关如何计划和部署反垃圾邮件代理的详细信息,请参阅了解反垃圾邮件和防病毒功能

收件人筛选器代理根据组织内预期收件人的特征来阻止邮件。在下列方案中的收件人筛选器代理有助于阻止邮件的接收:

  • 不存在的收件人   可以阻止向不在组织通讯簿中的收件人传递邮件。例如,可以阻止向常被误用的帐户名称(如 administrator@contoso.com 或 support@contoso.com)传递邮件。

  • 受限制的通讯组列表   可以阻止向仅由内部用户使用的通讯组列表传递 Internet 邮件。

  • 从不接收 Internet 邮件的邮箱   可以阻止向通常仅在组织内部使用的特定邮箱或别名(例如 Helpdesk)传递 Internet 邮件。

收件人筛选器代理对存储在下列数据源之一或两者中的收件人执行操作:

  • 收件人阻止列表   由管理员定义的,从不接收 Internet 入站邮件的收件人列表。

  • 收件人查找   验证收件人是否在组织内。“收件人查找”需要访问 EdgeSync 向 Active Directory 轻型目录服务 (AD LDS) 提供的 Active Directory 信息。

有关收件人阻止列表和收件人查找功能的详细信息,请参阅本主题后面的“收件人数据源”。

在启用了收件人筛选器代理后,系统将根据收件人的特征,对入站邮件执行下列操作之一。这些收件人由 RCPT TO 头表示。

  • 如果入站邮件包含收件人阻止列表中的收件人,则边缘传输服务器会向发送服务器发送“550 5.1.1 User unknown”SMTP 会话错误。

  • 如果入站邮件包含的收件人与收件人查找中的所有收件人均不匹配,则边缘传输服务器会向发送服务器发送“550 5.1.1 User unknown”SMTP 会话错误。

  • 如果收件人不在收件人阻止列表而在收件人查找中,则边缘传输服务器会向发送服务器发送“250 2.1.5 Recipient OK”SMTP 响应,本链中的下一个反垃圾邮件代理将处理该邮件。

若要了解与反垃圾邮件和防病毒功能相关的管理任务,请参阅管理反垃圾邮件和防病毒功能

目录

为收件人查找配置 AD LDS

收件人数据源

缓送技术功能

配置缓送间隔

多个命名空间

为收件人查找配置 AD LDS

减少垃圾邮件的一种最有效的方法是在接受来自 Internet 的入站邮件之前验证收件人。因此,最好是将边缘传输服务器上运行的 AD LDS 实例配置为与 Active Directory 保持同步。默认情况下,在边缘传输服务器上安装和配置 AD LDS。但是,必须将 AD LDS 配置为与 Active Directory 已加入域的全局编录服务器进行通信。多数时候,还必须将防火墙配置为启用特定端口,以便与 AD LDS 进行通信。有关详细信息,请参阅了解边缘订阅

将 AD LDS 配置为从 Active Directory 复制收件人阻止列表之后,必须对发送给不在 Exchange 组织中的收件人的邮件启用阻止功能。可以使用 Exchange 管理控制台 (EMC) 中“收件人筛选”属性页面的“阻止的收件人”选项卡,启用邮件阻止功能。还可以使用 Exchange 命令行管理程序中的 Set-RecipientFilterConfig cmdlet 启用邮件阻止功能。有关详细信息,请参阅 Set-RecipientFilterConfig

为收件人查找配置 AD LDS

收件人数据源

如上所述,在比较入站邮件的接收人时,收件人筛选器代理将引用两个数据源:收件人阻止列表和收件人查找。

收件人阻止列表

收件人阻止列表由边缘传输服务器管理员进行维护。收件人阻止列表数据存储在 AD LDS 的边缘传输服务器实例中。必须在每台边缘传输服务器计算机上输入受阻止的收件人。

通过“收件人筛选属性”页的“阻止的收件人”选项卡,可以在 EMC 中输入希望收件人筛选器代理进行阻止的收件人。请在命令行管理程序中使用 Set-RecipientFilterConfig cmdlet 输入收件人。有关如何配置收件人筛选器代理的详细信息,请参阅配置收件人筛选属性

收件人查找

收件人筛选器代理的一个优点是在 Exchange 2010 将邮件传输到组织之前,可以在组织中对入站邮件的收件人进行验证。在组织中验证收件人的能力取决于边缘传输服务器可以使用的收件人数据源。因为边缘传输服务器不是已加入域的 Active Directory 计算机,并且可由防火墙将其与组织隔离开来,所以必须配置可供边缘传输服务器使用的收件人查找数据源。

边缘传输服务器角色使用 AD LDS 进行配置和数据存储。有关详细信息,请参阅了解边缘订阅

为收件人查找配置 AD LDS

缓送技术功能

收件人查找功能可让发送服务器决定电子邮件地址有效还是无效。如上所述,当入站邮件的收件人是已知收件人时,边缘传输服务器会向发送服务器发送回一条内容为“250 2.1.5 Recipient OK”的 SMTP 响应。此功能为帐户搜集攻击提供了一个理想的环境。

“帐户搜集攻击”是试图从特定组织收集有效的电子邮件地址,以便将这些电子邮件地址添加到垃圾邮件数据库的一种行为。因为所有的垃圾邮件收入均依赖于试图使人们打开电子邮件,因此处于活动状态的地址是恶意用户或垃圾邮件制造者从中获得利益的商品。因为 SMTP 协议对已知发件人和未知发件人提供反馈,所以垃圾邮件制造者可以编写一个自动程序,使用常见名称或字典词汇组成特定域的电子邮件地址。该程序收集所有返回“250 2.1.5 Recipient OK”SMTP 响应的电子邮件地址,并丢弃所有返回“550 5.1.1 User unknown”SMTP 会话错误的电子邮件地址。垃圾邮件制造者随后出售这些有效的电子邮件地址或将其用作未经请求的邮件的收件人。

为了预防帐户搜集攻击,Exchange 2010 包括了缓送技术功能。“缓送技术”是针对表明有大量垃圾邮件或其他不受欢迎邮件的特定 SMTP 通信模式,人工延迟服务器响应的一种方法。缓送技术的目的是减慢此类电子邮件通信的通信过程,从而增加发送垃圾邮件的组织和个人发送垃圾邮件的成本。缓送技术使帐户搜集攻击变得非常昂贵以至于无法有效地自动进行。

如果没有配置缓送技术,当在收件人查找中没有找到收件人时,Exchange Server 会立即向发件人返回一条“550 5.1.1 User unknown”SMTP 会话错误。然而,如果配置了缓送技术,SMTP 在返回“550 5.1.1 User unknown”错误前会等待指定的秒数。SMTP 会话中的这种暂停会使自动进行的帐户搜集攻击变得更加困难,从而降低垃圾邮件制造者的成本效益。默认情况下,接收连接器的缓送技术配置为 5 秒。

若要配置在 SMTP 返回“550 5.1.1 User unknown”错误之前等待的时间,请使用 EMC 或命令行管理程序在接收连接器上设置 TarpitInterval 值。有关如何管理和配置接收连接器的详细信息,请参阅 了解接收连接器

为收件人查找配置 AD LDS

配置缓送间隔

了解收件人筛选中所述,可以配置处理来自 Internet 的入站邮件的接收连接器以延缓 SMTP 响应。请确保在接收连接器上启用缓送技术,尤其是在启用了收件人筛选的收件人查找功能之后。如果未启用缓送技术,但启用了收件人查找功能,则您的组织有可能会受到帐户搜集攻击。帐户搜集攻击可能导致更多的垃圾邮件。

在接收连接器上指定缓送间隔时间时,便启用了缓送功能。默认值为 5 秒。我们建议您开始将值指定为 5(秒)。决定更改该值时必须谨慎。如果间隔太长,会中断正常的邮件流;但是如果间隔太短,在阻止帐户搜集攻击时又不能发挥预期作用。如果更改缓送间隔值,请逐步少量地进行。

如果正在运行 MicrosoftExchange Server 2010 Service Pack 2 (SP2) 之前的 Exchange Server 版本,则可以在 EMC 中“接收连接器”属性页面的“安全”选项卡上设置缓送间隔,或者可以使用 Exchange 命令行管理程序 中的 Set-ReceiveConnector cmdlet。有关如何使用 EMC 配置缓送间隔的详细信息,请参阅配置接收连接器属性

如果正在运行 Exchange Server 2010 SP2 或更高版本,则可以通过使用 Exchange 命令行管理程序 中的 Set-ReceiveConnector cmdlet 设置缓送间隔。

为收件人查找配置 AD LDS

多个命名空间

一些组织会收到来自多个域的电子邮件。例如,一个组织可能会收到来自 Contoso.com 域的邮件,也可能会收到来自 Woodgrovebank.com 域的邮件。有时,组织对接收的邮件所来自的所有域都进行授权。按照 SMTP,如果一个组织驻留并管理某个域的邮箱,则该域就是此组织的经过授权的域。这种关系被扩展至边缘传输服务器。边缘传输服务器可能会收到多个域的邮件,但并不对所有域进行授权。例如,可以将边缘传输服务器配置成对 Contoso.com 域的所有收件人进行授权,但此边缘传输服务器仍接收并转发 Woodgrovebank.com 域的邮件。

启用了收件人筛选器代理后,此收件人筛选器代理仅对在传输服务器配置中得到授权的域执行收件人查找。如果边缘传输服务器代表另一个域接收并转发邮件,但未将此边缘传输服务器配置成可以进行授权,则收件人筛选器代理不会执行收件人查找。不过,如果在收件人阻止列表中指定了非权威收件人,该收件人仍会被阻止。

为收件人查找配置 AD LDS

 © 2010 Microsoft Corporation。保留所有权利。