了解连接筛选

 

适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题: 2016-07-21

连接筛选器代理是在运行 MicrosoftExchange Server 2010 安装了边缘传输服务器角色的计算机上启用的一个反垃圾邮件代理。连接筛选器代理依靠尝试连接的远程服务器的 IP 地址来确定要对入站邮件执行的操作(如果有)。该远程 IP 地址可以作为 SMTP 会话所需的基础 TCP/IP 连接的副产品提供给连接筛选器代理。因为连接筛选器代理必须对要生效的发送邮件的远程服务器 IP 地址进行评估,所以,面向 Internet 的边缘传输服务器上通常启用连接筛选器代理。但是,也可以通过执行其他配置,在入站邮件路径的更深层次运行连接筛选器代理。

在边缘传输服务器上配置反垃圾邮件代理后,此代理对邮件执行的操作会逐步减少未经请求而进入组织的邮件数量。为了减少冗余并提高整体的系统性能和效率,必须了解代理评估入站邮件的顺序。了解筛选器评估入站邮件的顺序将有助于优化边缘传输服务器的配置。有关如何计划和部署反垃圾邮件代理的详细信息,请参阅了解反垃圾邮件和防病毒功能

启用连接筛选器代理后,连接筛选器代理将是在评估入站邮件时要运行的第一个反垃圾邮件代理。

将入站邮件提交给启用连接筛选器代理的边缘传输服务器时,将根据 IP 允许列表和 IP 阻止列表检查 SMTP 连接的源 IP 地址。如果源 IP 地址在 IP 阻止列表中列出,在处理完邮件中的所有 RCPT TO 邮件头之后,SMTP 连接就会断开。

注释注意:
断开特定连接的时机可能取决于其他反垃圾邮件配置。例如,可以指定即使源 IP 地址受到阻止仍然会接收电子邮件的收件人。此外,你可能还配置了依赖 DATA 命令的内容进行分析的其他代理。连接筛选器代理总是会根据总体反垃圾邮件配置断开被阻止的连接。

如果源 IP 地址未在任何 IP 允许列表或 IP 阻止列表中列出,并且配置了其他反垃圾邮件代理,则邮件将继续流经其他反垃圾邮件代理。

若要了解与反垃圾邮件和防病毒功能相关的管理任务,请参阅管理反垃圾邮件和防病毒功能

内容

IP 允许列表和 IP 阻止列表

为不是第一个 SMTP 入口点的边缘传输服务器配置连接筛选

测试 IP 阻止列表功能和 IP 允许列表功能

IP 允许列表和 IP 阻止列表

连接筛选器代理将发送邮件的服务器的 IP 地址与下列任何 IP 地址数据存储进行比较:

  • 管理员定义的 IP 允许列表和 IP 阻止列表

  • IP 阻止列表提供程序

  • IP 允许列表提供程序

有关 IP 阻止列表提供程序的详细信息,请参阅本主题后面部分中的“IP 阻止列表提供程序”。

必须至少对其中一个 IP 地址数据存储进行配置,连接筛选器代理才会运行。如果 IP 地址数据存储未包含 IP 允许列表或 IP 阻止列表中的 IP 地址,或者如果未配置任何 IP 阻止列表提供程序或 IP 允许列表提供程序,则应禁用连接筛选器代理。

管理员定义的 IP 允许列表和 IP 阻止列表

边缘传输服务器的管理员维护管理员定义的 IP 地址列表。通过使用 Exchange 管理控制台 (EMC) 或 Exchange 命令行管理程序可以输入和删除要允许或阻止的 IP 地址。IP 地址可以单独进行添加,可以按 IP 地址范围进行添加,也可以按 IP 地址和子网掩码进行添加。

在添加 IP 地址或 IP 地址范围时,必须将 IP 地址或 IP 地址范围指定为 IP 阻止列表地址或 IP 允许列表地址。此外,可以为创建的每个 IP 阻止列表条目指定过期时间。在设置过期时间时,过期时间指定 IP 阻止列表条目的有效期。到了过期时间期间时,IP 阻止列表条目将被禁用。

通过使用管理员定义的 IP 允许列表和 IP 阻止列表,可以将连接筛选配置为支持下列方案:

  • 将 IP 地址从 IP 阻止列表提供程序的 IP 阻止列表中排除   

    如果无意中将合法发件人放入 IP 阻止列表提供程序的 IP 阻止列表中,则可能必须将 IP 地址从 IP 阻止列表提供程序的 IP 阻止列表中排除。例如,如果无意中将 SMTP 服务器配置成开放中继,则可能会无意中将合法发件人放入 IP 阻止列表中。在这种情况下,发件人可能会尝试纠正错误配置并将 IP 地址从 IP 阻止列表提供程序的 IP 阻止列表中删除。

    有关 IP 阻止列表提供程序的详细信息,请参阅本主题后面部分中的“IP 阻止列表提供程序”。

  • 拒绝从作为垃圾电子邮件来源但是未在 IP 阻止列表提供程序的 IP 阻止列表中列出的 IP 地址进行访问   

    有时,你可能会从所订阅的实时阻止列表服务尚未标识的来源中收到大量垃圾邮件。

IP 阻止列表提供程序

IP 阻止列表提供程序服务可以帮助你减少传入到组织中的未经请求的电子邮件数。

注释注意:
IP 阻止列表提供程序服务通常被称为实时阻止列表服务或 RBL 服务。EMC 是指作为 IP 阻止列表提供程序服务的实时阻止列表服务。术语“实时阻止列表服务”、“RBL 服务”和“IP 阻止列表提供程序服务”意义相同。

IP 阻止列表提供程序服务将对过去垃圾邮件所来自的 IP 地址列表进行编译。此外,有些 IP 阻止列表提供程序提供将 SMTP 配置为开放中继的 IP 地址列表。还有些 IP 阻止列表提供程序服务提供支持拨号访问的 IP 地址列表。为客户提供拨号访问服务的 Internet 服务提供商 (ISP) 将为每个拨号会话分配动态 IP 地址。有些 ISP 阻止来自拨号帐户的 SMTP 通信。这些 ISP 和助理拨号 IP 范围通常不会添加到 IP 阻止列表中。但是,有些 ISP 允许客户从拨号帐户发送 SMTP 通信。恶意用户利用允许 SMTP 通信的 ISP 通过动态分配的 IP 地址发送垃圾邮件。将 IP 地址放入 IP 阻止列表后,恶意用户将启动另一个拨号会话并接收新的 IP 地址。通常,一个 IP 阻止列表提供程序可以提供涉及上述所有垃圾邮件威胁的 IP 地址列表。

通过使用 EMC 或命令行管理程序,可以配置多个 IP 阻止列表提供程序配置。在 EMC 或命令行管理程序中,每个服务都要求有一个单独的 IP 阻止列表提供程序配置。

将连接筛选器代理配置为使用 IP 阻止列表提供程序时,在组织接受邮件之前,连接筛选器代理将查询 IP 阻止列表提供程序服务,以确定是否存在与连接 IP 地址匹配的 IP 地址。

在连接筛选器代理与 IP 阻止列表提供程序联系以验证 IP 地址之前,先将 IP 地址与管理员定义的 IP 允许列表和 IP 阻止列表进行比较。如果管理员定义的 IP 允许列表或 IP 阻止列表中不存在该 IP 地址,则连接筛选器代理将根据为每个提供程序分配的优先级查询 IP 阻止列表提供程序服务。如果 IP 阻止列表提供程序的 IP 阻止列表中已列出了该 IP 地址,则边缘传输服务器将等待并分析 RCPT TO 邮件头,对发生 SMTP 550 错误的发送系统作出响应,然后断开连接。如果任何一个 IP 阻止列表提供程序的 IP 阻止列表中均未列出该 IP 地址,则由反垃圾邮件链中的下一个代理处理连接。有关默认反垃圾邮件和防病毒代理筛选来自 Internet 的入站邮件的顺序的详细信息,请参阅了解反垃圾邮件和防病毒功能

在使用连接筛选器代理时,最佳作法是使用一个或多个 IP 阻止列表提供程序管理对组织的访问。使用管理员定义的阻止列表维护自己的 IP 阻止列表很耗时,并且从大多数组织中的人力资源角度来看,这样做也是不可行的。因此,建议使用外部 IP 阻止列表提供程序服务,其唯一用途就是维护 IP 阻止列表。

但是,使用 IP 阻止列表提供程序可能也存在一些缺点。因为连接筛选器代理必须为每个未知 IP 地址查询外部实体,所以,IP 阻止列表提供程序服务的中断或延迟可能会使边缘传输服务器上的邮件处理发生延迟。在极端情况下,此类中断或延迟可能会造成边缘传输服务器上的邮件流瓶颈。

使用外部 IP 阻止列表提供程序服务的另一个缺点是,有时会错误地将合法发件人添加到 IP 阻止列表提供程序的 IP 阻止列表中。例如,由于 SMTP 配置错误,无意中将 SMTP 服务器配置成开放中继,这样会造成将合法发件人添加到由 IP 阻止列表提供程序维护的 IP 阻止列表中。

对于配置的每个 IP 阻止列表提供程序服务,可以自定义在发件人 IP 地址与 IP 阻止列表提供程序服务匹配并随后被连接筛选器代理阻止时,向发件人返回的 SMTP 550 错误。最佳做法是,自定义 SMTP 550 错误,使其确定将发件人标识为被阻止 IP 地址的 IP 阻止列表提供程序服务。该做法使合法发件人可以与 IP 阻止列表提供程序服务联系,以便可以从 IP 阻止列表提供程序服务的 IP 阻止列表中删除。

当发送邮件的远程服务器的 IP 地址与 IP 阻止列表提供程序服务的 IP 阻止列表中的 IP 地址匹配时,不同的 IP 阻止列表提供程序服务可能会返回不同的代码。大多数 IP 阻止列表提供程序服务返回下列数据类型之一:位掩码或绝对值。在这些数据类型中,可能有多个值指示提交 IP 地址的列表类型已启用。

位掩码示例

此节显示大多数阻止列表提供程序返回的状态代码示例。有关提供程序返回的状态代码的详细信息,请参阅特定提供程序中的文档。

对于位掩码数据类型,IP 阻止列表提供程序服务返回状态代码 127.0.0.x,其中整数 x 是下表中列出的任一值。

位掩码数据类型的值和状态代码

状态代码

1

该 IP 地址在 IP 阻止列表中。

2

SMTP 服务器配置为充当开放中继。

4

该 IP 地址支持拨号 IP 地址。

对于绝对值类型,IP 阻止列表提供程序服务根据阻止 IP 地址的原因返回明确的响应。下表显示绝对值和明确响应的一些示例。

绝对值数据类型的值和状态代码

明确响应

127.0.0.2

该 IP 地址是直接垃圾邮件来源。

127.0.0.4

该 IP 地址是邮件群发程序。

127.0.0.5

发送邮件的远程服务器可以支持多阶段开放中继。

IP 允许列表提供程序

也可以使用提供 IP 允许列表的 IP 允许列表提供程序服务管理入站邮件。在其他地方的软件行业中,有时将 IP 允许列表称为 IP 安全列表或白名单。IP 允许列表提供程序维护已确定不会与任何垃圾邮件活动关联的 IP 地址列表。如果 IP 允许列表提供程序返回了 IP 允许匹配项(这表明发件人的 IP 地址更有可能是可信的或安全的发件人),则连接筛选器代理会将邮件中继到反垃圾邮件链中的下一个代理。

返回顶部

为不是第一个 SMTP 入口点的边缘传输服务器配置连接筛选

在某些组织中,边缘传输服务器角色安装在不直接处理 Internet 上的 SMTP 请求的计算机上。在此情况下,边缘传输服务器在其他直接处理来自 Internet 的入站邮件的前端 SMTP 服务器的后面。在此情况下,连接筛选器代理必须可以从邮件中提取正确的来源 IP 地址。若要提取并评估来源 IP 地址,连接筛选器代理必须分析邮件中的 Received 头,并将这些邮件头与外围网络中的已知 SMTP 服务器进行比较。

符合 RFC 标准的 SMTP 服务器接收邮件时,服务器将使用发件人的域名和 IP 地址更新邮件的 Received 头。因此,对于来源发件人与边缘传输服务器之间的每台 SMTP 服务器,SMTP 服务器会添加另一个 Received 邮件头条目。

将外围网络配置为支持 Exchange 2010 时,必须指定外围网络中的 SMTP 服务器的所有 IP 地址。EdgeSync 将 IP 地址数据复制到边缘传输服务器上。运行连接筛选器代理的计算机接收邮件时,假定 Received 头中与外围网络中的 SMTP 服务器 IP 地址不匹配的 IP 地址是来源 IP 地址。

在运行连接筛选之前,必须指定 Active Directory 林中的传输配置对象上的所有内部 SMTP 服务器。可以通过使用 Set-TransportConfig cmdlet 中的 InternalSMTPServers 参数指定内部 SMTP 服务器。

返回顶部

测试 IP 阻止列表功能和 IP 允许列表功能

配置 IP 阻止列表提供程序服务或 IP 允许列表提供程序服务之后,可以通过测试确保已为特定服务正确配置了连接筛选。大多数 IP 阻止列表提供程序服务或 IP 允许列表提供程序服务提供可以用于测试服务的测试 IP 地址。对 IP 阻止列表提供程序服务或 IP 允许列表提供程序服务运行测试时,连接筛选器代理会发出域名系统 (DNS) 查询,该查询基于应使用特定响应做出响应的实时阻止列表 IP 地址。有关如何对 IP 阻止列表提供程序服务或 IP 允许列表提供程序服务测试 IP 地址的详细信息,请参阅 Test-IPAllowListProviderTest-IPBlockListProvider

返回顶部

 © 2010 Microsoft Corporation。保留所有权利。