共用方式為


瞭解寄件者信譽

 

適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上次修改主題的時間: 2010-07-07

寄件者信譽是一種反垃圾郵件功能,可以在已安裝 Microsoft Exchange Server 2010 Edge Transport server role 的電腦上啟用,根據各種寄件者特性來封鎖郵件。寄件者信譽仰賴寄件者的相關持續資料,來判斷要對輸入郵件採取的動作 (若有的話)。

在 Edge Transport Server 上設定反垃圾郵件代理程式時,代理程式會逐漸處理郵件,以減少進入組織之來路不明的郵件數。如需如何規劃及部署反垃圾郵件代理程式的相關資訊,請參閱瞭解反垃圾郵件及防毒功能

要尋找與管理傳輸伺服器相關的管理工作嗎?請參閱 管理傳輸伺服器

目錄

計算寄件者信譽等級

使用 SRL

啟用及設定開放式 Prorxy 伺服器偵測

設定 SRL 封鎖閾值

計算寄件者信譽等級

寄件者信譽等級 (SRL) 依照下列統計資料計算:

  • HELO/EHLO 分析   HELO 及 EHLO SMTP 命令主要用來將傳送 SMTP 伺服器的網域名稱 (如 Contoso.com) 或 IP 位址提供給接收 SMTP 伺服器。惡意使用者,又稱為「垃圾郵件傳送者」,常常會以不同的方式偽造 HELO/EHLO 陳述式。例如,他們會輸入與連線的原始 IP 位址不同之 IP 位址。垃圾郵件傳送者也會在 HELO 陳述式中放置網域,而該網域在接收伺服器端已知是受本機支援的,以讓該網域看起來像是組織中的一員。若碰到其他情況,垃圾郵件傳送者又會變更 HELO 陳述式中傳送的網域。合法使用者典型的行為是在 HELO 陳述式中使用不同的網域,但該組網域相對而言較為固定。

    因此,以寄件者為基礎分析 HELO/EHLO 陳述式,可以指出該寄件者是否有可能為垃圾郵件傳送者。例如,若某個寄件者在特定時間範圍內提供很多不同的獨特 HELO/EHLO 陳述式,就比較有可能是垃圾郵件傳送者。不斷在 HELO 陳述式中提供與原始 IP 位址不符之 IP 位址的寄件者 (其原始 IP 位址由連線篩選器代理程式判定),也比較有可能是垃圾郵件傳送者。而在 HELO 陳述式中不斷提供與 Edge Transport Server 位於相同組織之本機網域名稱的遠端寄件者,也很有可能是垃圾郵件傳送者。

  • 反向 DNS 查閱   寄件者信譽也會驗證寄件者傳輸郵件的原始來源 IP 位址,與寄件者在 HELO 或 EHLO SMTP 命令中所提交的已登錄網域名稱是否相符。

    寄件者信譽會將原始 IP 位址提交至 DNS,以執行反向 DNS 查詢。DNS 傳回的結果為該 IP 位址使用網域命名授權所註冊的網域名稱。寄件者信譽會比較 DNS 所傳回的網域名稱與寄件者在 HELO/EHLO SMTP 命令中所提交的網域名稱。如果網域名稱並不相符,寄件者就有可能是垃圾郵件傳送者,寄件者的整體 SRL 分級就會向上調整。

    寄件者識別碼代理程式會執行類似的工作,但是寄件者識別碼代理程式能否成功,則需仰賴合法寄件者更新其 DNS 基礎結構,以便識別組織中所有能夠寄送電子郵件的 SMTP 伺服器。藉由執行反向 DNS 查閱,您可以協助識別潛在的垃圾郵件傳送者。

  • 來自特定寄件者的郵件的 SCL 分級分析   當內容篩選器代理程式處理郵件時,會指派垃圾郵件信賴等級 (SCL) 給郵件。SCL 分級為 0 到 9 的數字。SCL 分級愈高,表示郵件愈有可能是垃圾郵件。每個寄件者的資料與其郵件得到的 SCL 分級會持續由寄件者信譽進行分析。寄件者信譽會根據寄件者過去所傳送的郵件中,所有低 SCL 分級與所有高 SCL 分級的郵件比率,來計算該寄件者的相關統計資料。此外,寄件者最後一天所傳送的高 SCL 分級的郵件數量,也會套用至整體 SRL。

  • 寄件者開放式 Proxy 測試   「開放式 Proxy」是一種 Proxy 伺服器,可以接受任何地區任何人的連線要求,並會將該流量視同源自本機主機般進行轉寄。Proxy 伺服器可以透過防火牆主機轉送 TCP 流量,提供使用者應用程式在防火牆上的透明存取。由於 Proxy 通訊協定為輕量型且獨立於使用者應用程式通訊協定之外,因此 Proxy 可被許多不同的服務使用。數台主機也可使用 Proxy 來共用單一的網際網路連線。通常會將 Proxy 設定為僅允許防火牆內信任的主機可以通過 Proxy。

    開放式 Proxy 會因為以下其中一種狀況而產生:

    • 無意的錯誤組態

    • 惡意的特洛伊木馬程式。「特洛伊木馬」程式是偽裝成另一個常見程式,而嘗試接收資訊的程式。

    常常因為記錄不足,使得開放式 Proxy 成為提供惡意使用者隱藏其真實身分的理想方式,讓其可以發動阻斷服務 (DoS) 攻擊或傳送垃圾郵件。越來越多的 Proxy 伺服器設定為「預設開啟」,因此開放式 Proxy 已越來越普遍。此外,惡意使用者可以同時使用多個開放式 Proxy,隱藏寄件者的原始 IP 位址。

    在寄件者信譽執行開放式 Proxy 測試時,會格式化嘗試從開放式 Proxy 連線回 Edge Transport server 的 SMTP 要求。如果從 Proxy 接收到 SMTP 要求,寄件者信譽就能驗證該 Proxy 是開放式 Proxy,並更新該寄件者的開放式 Proxy 測試統計資料。

寄件者信譽會加權上述所有統計資料,並計算每個寄件者的 SRL。SCL 分級為 0 到 9 的數字,用來預測特定寄件者是濫發垃圾郵件者或惡意使用者的可能性。值 0 指出寄件者不可能是垃圾郵件傳送者,而值 9 則指出寄件者可能是垃圾郵件傳送者。

您可以設定 0 到 9 之間的封鎖閾值,寄件者信譽會根據此值,對寄件者篩選器代理程式發出要求,用以封鎖寄件者使其無法將郵件傳送至組織中。當寄件者被封鎖時,該寄件者會列入封鎖寄件者清單中,持續一段可設定的時間。已封鎖郵件的處理方式,會視寄件者篩選器代理程式的組態而定。下列動作為已封鎖郵件的處理方式選項:

  • 拒絕

  • 刪除與封存

  • 接受並標記為已封鎖的寄件者

如果寄件者出現在 [IP 封鎖] 清單或 [Microsoft IP 信譽服務] 中,則寄件者信譽會對寄件者篩選器代理程式立即發出封鎖寄件者的要求。若要利用這項功能,您必須啟用並設定 Microsoft Exchange 反垃圾郵件更新服務。

根據預設,Edge Transport Server 會將尚未進行分析的寄件者分級設為 0。寄件者傳送 20 封或以上的郵件之後,寄件者信譽會根據本主題先前所列的統計資料,計算 SRL 值。

回到頁首

使用 SRL

寄件者信譽會在 SMTP 工作階段的兩個階段期間作用於郵件上:

  • 於 MAIL FROM: SMTP 命令時   寄件者信譽只會作用於封鎖的郵件上,其他郵件則由連線篩選器代理程式、寄件者篩選器代理程式、收件者篩選器代理程式或寄件者識別碼代理程式作用。在這個情況下,寄件者信譽會從 Edge Transport Server 資料庫內為該寄件者所保留的寄件者設定檔中,擷取寄件者目前的 SRL 分級。hzwxtu在擷取以及評估此分級後,Edge Transport Server 組態會根據封鎖閾值,決定進行特定連線時的行為。

  • 在「資料尾端」SMTP 命令之後   已傳送所有實際的郵件資料後,就會提供資料尾端傳輸 (_EOD) SMTP 命令。到了 SMTP 工作階段中的這一點,許多反垃圾郵件代理程式已處理過郵件。而因為寄件者信譽所仰賴的統計資料是反垃圾郵件程序的副產品,所以也會進行更新。因此,寄件者信譽已擁有計算或重新計算寄件者之 SRL 分級的資料。

如需相關資訊,請參閱設定寄件者信譽內容

回到頁首

啟用及設定開放式 Prorxy 伺服器偵測

寄件者信譽功能會評估多個寄件者特性來計算 SRL。寄件者信譽功能評估的其中一項特性是開放式 Proxy 伺服器的測試結果。通常,濫發垃圾郵件者會透過網際網路上的開放式 Proxy 伺服器來路由郵件。透過開放式 Proxy 伺服器來路由垃圾郵件,濫發垃圾郵件者就可假裝郵件是從不同的伺服器發出,而不是從他們自己的伺服器送出。

寄件者信譽功能在計算 SRL 時,會嘗試使用各種常見的 Proxy 通訊協定 (如 SOCKS4、SOCKS5、HTTP、Telnet、Cisco 及 Wingate) 連接至寄件者的原始 IP 位址。寄件者信譽功能還會使用 SMTP 要求來格式化通訊協定特定要求,試著從開放式 Proxy 伺服器重新連回 Edge Transport Server。如果從 Proxy 伺服器收到 SMTP 要求,寄件者信譽功能會先確認該 Proxy 伺服器是開放式 Proxy 伺服器,然後根據此結果來調整 SRL 等級。寄件者信譽功能預設會啟用開放式 Proxy 伺服器偵測。

如需如何啟用開放式 Proxy 伺服器偵測的相關資訊,請參閱設定寄件者信譽內容

如需如何設定開放式 Proxy 伺服器偵測的相關資訊,請參閱設定輸出存取以偵測寄件者信譽的開放式 Proxy 伺服器

回到頁首

設定 SRL 封鎖閾值

SCL 分級為 0 到 9 的數字,用來預測特定寄件者是濫發垃圾郵件者或惡意使用者的可能性。您必須設定 SRL 的寄件者封鎖閾值。此 SRL 封鎖閾值定義了必須要超過,寄件者信譽功能才會封鎖寄件者的 SRL 值。SRL 預設為 7。您應該監視代理程式在預設等級下的效率。您可以會發現必須調整此值來符合組織的需求。如果其他反垃圾郵件代理程式的設定較為嚴苛,則相較於當其他反垃圾郵件代理程式設定較為寬鬆的情況,您可以為寄件者信譽設定較高的 SRL 閾值。如需如何調整反垃圾郵件組態,以便彼此搭配運作來減少垃圾郵件的相關資訊,請參閱瞭解反垃圾郵件及防毒功能

如果特定寄件者的 SRL 超過封鎖閾值,寄件者信譽功能就會將寄件者新增至連線篩選器代理程式的 IP 封鎖清單。有些時候,濫發垃圾郵件者會從單一寄件者分批寄送垃圾郵件。在此情況下,如果寄件者信譽功能算出 SRL 超過 SRL 封鎖閾值,就會將寄件者新增至寄件者封鎖清單,並讓寄件者維持在清單中一段時間 (這段時間可設定)。預設的持續時間為 24 小時。24 小時後,寄件者會從寄件者封鎖清單中移除,並可再次傳送郵件。

當寄件者新增至 IP 封鎖清單後,寄件者信譽功能會刪除該寄件者的設定檔。寄件者信譽功能刪除設定檔的原因是,遭封鎖之寄件者的現有設定檔指出該寄件者的 SRL 超過 SRL 封鎖閾值。當寄件者封鎖時間結束後,遭封鎖的寄件者會立即重新加回 IP 封鎖清單中。

如需相關資訊,請參閱設定寄件者信譽內容

回到頁首

 © 2010 Microsoft Corporation. 著作權所有,並保留一切權利。