共用方式為


了解反垃圾郵件及防毒郵件流程

 

適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上次修改主題的時間: 2016-11-28

外部使用者將電子郵件傳送至執行反垃圾郵件功能的 Microsoft Exchange 伺服器時,反垃圾郵件功能會以累積方式來評估輸入郵件的特性,並篩選出可能是垃圾郵件的郵件,或根據郵件是垃圾郵件的可能性來為郵件指派一個分級。此分級會儲存在郵件中當成郵件的內容,稱為「垃圾郵件信賴等級 (SCL) 分級」。傳送郵件時,這項分級也會連同郵件一起傳送至其他 Exchange 伺服器中。

下圖顯示預設反垃圾郵件功能及 MicrosoftForefront Protection for Exchange Server 篩選來自網際網路之輸入郵件的順序。反垃圾郵件及防毒功能預設會依下列順序排列:先列出使用最少資源篩選的篩選器,然後最後是使用最大資源篩選的篩選器。

注意事項附註:
下圖和說明假設 Microsoft Exchange Server 2010 Edge Transport Server 是第一個接受輸入郵件的 SMTP 伺服器。在某些組織中,Edge Transport Server 可能會部署在協力廠商 SMTP 伺服器的後方。當 Exchange 2010 Edge Transport Server 部署在協力廠商 SMTP 閘道伺服器的後面時,Exchange 2010 Edge Transport Server 需要其他設定。特別是您必須確保所有 SMTP 閘道伺服器都已列在 TransportConfig 物件的 InternalSMTPServer 內容中。如需相關資訊,請參閱 Set-TransportConfig

如需其他 Exchange 反垃圾郵件和防毒功能的詳細資訊,請參閱 Microsoft Forefront Protection 2010 for Exchange Server

來自網際網路之輸入郵件的預設反垃圾郵件功能與防毒篩選

如上圖所示,當 SMTP 伺服器連線至 Exchange 2010 且啟動 SMTP 工作階段時,若 Edge Transport server 是面向網際網路,則會以下列順序套用篩選器:

  • 連線篩選

  • 寄件者篩選

  • 收件者篩選

  • 寄件者識別碼篩選

  • 內容篩選

  • 寄件者信譽篩選

  • 附件篩選

  • 防毒掃描

  • Outlook 垃圾郵件篩選

注意事項附註:
連線篩選會在兩個不同事件期間收集資訊。在第一個事件中,連線篩選會從連線中收集 IP 位址資訊 (如上圖所示)。在第二個事件中,連線篩選會在寄件者篩選器代理程式剖析郵件標頭來判定第一個外部 IP 位址時收集資訊 (如本主題稍後「寄件者篩選」中所示)。代理程式可監控多個事件。為了說明郵件流程,上圖為當啟用所有代理程式時,代理程式的大略套用順序高階檢視圖。如需特定事件以及哪些代理程式監控哪些事件的相關資訊,請參閱瞭解傳輸代理程式

要尋找與反垃圾郵件和防病毒功能相關的管理工作嗎?請參閱管理反垃圾郵件及防病毒功能

目錄

連線篩選

寄件者篩選

收件者篩選

寄件者識別碼篩選

內容篩選

寄件者信譽篩選

附件篩選

防毒掃描

Outlook 垃圾電子郵件篩選

連線篩選

在 SMTP 工作階段期間,Exchange 2010 會使用下圖中的準則套用連線篩選。

連線篩選郵件流程

適用下列程序:

  1. 連線篩選器代理程式會檢查系統管理員定義的 IP 允許清單。如果傳送伺服器的 IP 位址是在系統管理員定義的 IP 允許清單上,則寄件者篩選會接著處理郵件。

  2. 連線篩選器代理程式會檢查本機 IP 封鎖清單。如果傳送伺服器的 IP 位址位在本機 IP 封鎖清單中,則會自動拒絕該郵件,並且不會套用其他篩選。

  3. 連線篩選器代理程式會檢查您擁有之任何 IP 允許清單提供者的允許 IP 位址清單。如果傳送伺服器的 IP 位址是在 IP 允許清單提供者的允許 IP 位址清單上,則寄件者篩選會接著處理郵件。

  4. 連線篩選器代理程式會檢查已設定之任何 IP 封鎖清單提供者的即時封鎖清單。若傳送伺服器的 IP 位址位於即時封鎖清單中,該郵件會遭拒絕,而不須再套用其他篩選器。

如需詳細資訊,請參閱瞭解連線篩選

注意事項附註:
如果連線篩選器代理程式是部署在另一部面向網際網路之伺服器後方的電腦上,則會在連線篩選器代理程式之前呼叫其他篩選器 (如寄件者篩選及收件者篩選)。

回到頁首

寄件者篩選

套用連線篩選之後,Exchange 2010 會針對寄件者篩選中所設定的封鎖寄件者清單來檢查寄件者電子郵件地址,如下圖所示。

寄件者篩選郵件流程

寄件者篩選器代理程式會接著檢查郵件信封之 From 標頭欄位及郵件標頭中所含的寄件者電子郵件地址。如果 From 標頭欄位符合封鎖的寄件者清單中的地址,則 Exchange 2010 會拒絕通訊協定層級上的郵件,而且不會套用其他篩選器。

注意事項附註:
即使組織中的收件者已將寄件者放在他們的 Microsoft Outlook 安全寄件者清單中,Edge Transport Server 上的寄件者篩選還是會覆寫收件者的 Outlook 設定,並且拒絕郵件。

如需寄件者篩選的相關資訊,請參閱瞭解寄件者篩選

如需郵件信封及郵件標頭的相關資訊,請參閱了解收取及重新顯示目錄

回到頁首

收件者篩選

如果寄件者篩選未拒絕郵件,則 Exchange 會再次執行連線篩選。接著 Exchange 會套用收件者篩選器代理程式,如下圖所示。

收件者篩選郵件流程

收件者篩選器代理程式會針對您在收件者篩選器代理程式設定中所設定的收件者封鎖清單來檢查收件者。如果預定收件者符合收件者封鎖清單上的電子郵件地址,則 Exchange 2010 會拒絕該特定收件者的郵件。此外,收件者篩選器代理程式會檢查收件者是否位在組織中。如果收件者不在組織中,則 Exchange 會拒絕該特定收件者的郵件。

如果郵件上列出多位收件者,而所有收件者都不在收件者封鎖清單上,則會繼續處理該郵件。否則,如果郵件只是要傳送給單一封鎖的收件者,則不會套用其他篩選。

處理含有遭封鎖收件者的郵件後,就會從該郵件移除封鎖的收件者集合,然後郵件會繼續進入組織中。通訊協定層級 SMTP 拒絕回應會傳送至每個遭封鎖收件者的寄件者。寄件者信譽代理程式會監視 OnReject 事件以計算寄件者信譽等級 (SRL)。

如需詳細資訊,請參閱了解收件者篩選

回到頁首

寄件者識別碼篩選

如果郵件在套用收件者篩選後仍然包含有效收件者,則 Exchange 2010 會執行寄件者識別碼代理程式,如下圖所示。

寄件者識別碼篩選郵件流程

首先,寄件者識別碼代理程式會使用 RFC 4407 中所述的演算法,決定郵件的 Purported Responsible Address (PRA)。需要有此步驟才能精確地識別郵件寄件者。PRA 是 SMTP 位址 (如 kim@contoso.com)。寄件者識別碼代理程式會接著針對 PRA 的網域部分來執行網域名稱服務 (DNS) 查閱。如果該網域已發行寄件者原則架構 (SPF) 記錄,則代理程式會根據 RFC 4408 的規格,使用 SPF 記錄來評估郵件。評估結果的戳記會置於反垃圾郵件戳記的郵件上。如果該網域未發行 SPF 記錄,則寄件者識別碼代理程式會在郵件上加上寄件者識別碼結果 "None" 的戳記。如需用於寄件者識別碼篩選之戳記類型的相關資訊,請參閱瞭解反垃圾郵件戳記

如果寄件者的 DNS 是來自封鎖的網域或封鎖的位址,則可能會根據寄件者識別碼動作的組態採取下列動作:

  • 拒絕郵件   如果寄件者識別碼動作設為 [拒絕郵件],Exchange 會拒絕郵件並將 SMTP 錯誤回應傳送至傳送伺服器。SMTP 錯誤回應為 5xx 等級通訊協定回應,並附有對應於寄件者識別碼狀態的文字。

  • 刪除郵件   如果寄件者識別碼動作設為 [刪除郵件],則 Exchange 會刪除郵件,而不通知傳送伺服器此刪除動作。安裝 Edge Transport server role 的電腦會傳送假的 "OK" SMTP 命令到寄件伺服器,然後刪除該郵件。由於寄件伺服器會假設郵件已順利傳送,因此並不會在相同的工作階段中重新嘗試傳送郵件。

  • 將具寄件者識別碼結果的郵件加上戳記並繼續進行   Exchange 會將具有寄件者識別碼結果的郵件加上戳記,並繼續處理郵件。而在計算 SCL 時,內容篩選器代理程式會評估此中繼資料。此外,寄件者信譽會在計算郵件寄件者的 SRL 時,使用郵件中繼資料。

如需詳細資訊,請參閱瞭解寄件者識別碼

回到頁首

內容篩選

在 Exchange 內容篩選呼叫 Exchange 智慧型郵件篩選器時,會再次套用寄件者篩選。Exchange 伺服器會接著套用內容篩選器代理程式,如下圖所示。

內容篩選郵件流程

內容篩選器代理程式會在郵件中檢查下列條件。如果符合任一條件,則郵件會略過內容篩選及附件篩選。這些郵件接著會進行防毒掃描。會檢查下列條件:

  • 寄件者的 IP 位址是在 IP 允許清單上,進行連線篩選。

  • 所有收件者是在例外狀況清單上,進行內容篩選。

  • 在所有收件者信箱上,AntiSpamBypassEnabled 參數是設定為 $True

  • 所有收件者已將此寄件者新增至他們的 Outlook 安全寄件者清單,而此清單是使用安全清單彙總更新至 Edge Transport Server。

  • 寄件者是受信任的協力廠商,且是位在組織中未篩選的寄件者清單上。

除了所列的條件外,如果已經將 SMTP 工作階段驗證為受信任的協力廠商,而且如果系統管理員已經將略過反垃圾郵件 (Ms-Exch-Bypass-Anti-Spam) 權限授與協力廠商,則會在該工作階段期間停用郵件的反垃圾郵件代理程式。預設不會將略過反垃圾郵件權限授與協力廠商,而且必須由系統管理員指派給此權限。

如果郵件不符合所述的任何條件,則會套用內容篩選。內容篩選會指派郵件的 SCL 分級。而根據 SCL 分級,會發生下列其中一個動作:

  • 如果郵件上的 SCL 分級等於或高於 SCL 刪除閾值,並啟用了 SCL 刪除閾值,則內容篩選器代理程式會刪除郵件。沒有通訊協定層級的通訊,可告知傳送系統或寄件者該郵件已遭刪除。如果 SCL 分級低於 SCL 刪除閾值,則內容篩選器代理程式不會刪除郵件。相反地,內容篩選器代理程式會比較 SCL 值與 SCL 拒絕閾值。

  • 如果郵件上的 SCL 分級等於或高於 SCL 拒絕閾值,並啟用了 SCL 拒絕閾值,則內容篩選器代理程式會拒絕郵件,並將拒絕回應傳送給傳送系統。您可以自訂拒絕回應。在某些情況下,未傳遞回報 (NDR) 會傳送給郵件的原始寄件者。如果 SCL 分級低於 SCL 拒絕閾值,則內容篩選器代理程式不會拒絕郵件。相反地,內容篩選器代理程式會比較 SCL 值與 SCL 隔離閾值。

  • 如果郵件上的 SCL 分級等於或高於 SCL 隔離閾值,並啟用了 SCL 隔離閾值,則內容篩選器代理程式會將郵件傳送給垃圾郵件隔離信箱。如需如何管理垃圾郵件隔離信箱的相關資訊,請參閱瞭解內容篩選。郵件接著會繼續進行附件篩選。

如需詳細資訊,請參閱下列主題:

回到頁首

寄件者信譽篩選

套用內容篩選後,Exchange 會套用寄件者信譽篩選,如下圖所示。

寄件者信譽郵件流程

寄件者信譽會加權以下所有郵件統計資料,並計算每個寄件者的 SRL。

  • HELO/EHLO 分析

  • 反向 DNS 查閱

  • 來自特定寄件者的郵件的 SCL 分級分析

  • 寄件者開放式 Proxy 測試

SCL 分級為 0 到 9 的數字,用來預測特定寄件者是濫發垃圾郵件者或惡意使用者的可能性。值 0 指出寄件者不可能是濫發垃圾郵件者,而值 9 則指出寄件者可能是濫發垃圾郵件者。

您可以設定 0 到 9 之間的 SRL 封鎖閾值,寄件者信譽會根據此值,對寄件者篩選器代理程式發出要求,用以封鎖寄件者使其無法將郵件傳送至組織中。當寄件者被封鎖時,該寄件者會列入封鎖的寄件者清單中,持續一段可設定的時間。已封鎖郵件的處理方式,會視寄件者篩選器代理程式的組態而定。下列動作為已封鎖郵件的處理方式選項:

  • 拒絕

  • 刪除與封存

  • 接受並標記為已封鎖的寄件者

如果寄件者包括在 IP 封鎖清單或 Microsoft IP 信譽服務中,寄件者信譽代理程式會立即對寄件者篩選器代理程式發出要求,封鎖該寄件者。若要利用這項功能,您必須啟用並設定 MicrosoftExchange 反垃圾郵件更新服務。

依預設,Edge Transport Server 會將尚未進行分析的寄件者分級設為 0。寄件者傳送 20 封或以上的郵件之後,寄件者信譽會根據先前所列的統計資料,計算 SRL 值。

如需詳細資訊,請參閱下列主題:

回到頁首

附件篩選

套用寄件者信譽篩選後,Exchange 會套用附件篩選,如下圖所示。

附件篩選郵件流程

您可以設定附件篩選,根據它們的 MIME 內容類型、檔案名稱或副檔名來封鎖附件。如果附件篩選偵測到已封鎖的內容類型或檔案名稱,則會根據附件篩選設定發生下列其中一個動作:

  • 拒絕 如果動作設定設為 [拒絕],則電子郵件及附件都無法傳遞給收件者,而且系統會對寄件者產生傳遞狀態通知 (DSN) 失敗訊息。您可以自訂拒絕回應。

  • 無訊息刪除   如果動作設定設為 [無訊息刪除],則電子郵件及附件都會無法傳遞給收件者。而且不會將電子郵件及附件的封鎖通知傳回給寄件者。

  • 刪除   如果動作設定設為 [刪除],則會刪除電子郵件中的附件。此值允許將郵件及不符合附件封鎖清單中之項目的其他附件傳遞給收件者。並在收件者的電子郵件中新增已封鎖附件的通知。

如果未拒絕或刪除郵件,或附件篩選偵測不到封鎖的附件類型,則會接著掃描郵件是否有病毒。

如需相關資訊,請參閱設定附件篩選

回到頁首

防毒掃描

套用附件篩選後,或如果在內容篩選時略過收件者,則會套用 Forefront Protection for Exchange Server 防毒掃描,如下圖所示。

Forefront Protection for Exchange Server 防毒掃描郵件流程

Forefront Protection for Exchange Server 是與 Exchange 2010 緊密整合的防毒軟體套件,並為 Exchange 環境提供額外的防毒保護。在 Forefront Protection for Exchange Server 偵測到似乎含有病毒的郵件時,系統會刪除郵件、產生通知郵件,並將通知傳送至收件者的信箱。

如需詳細資訊,請參閱 Microsoft Forefront Protection 2010 for Exchange Server

回到頁首

Outlook 垃圾電子郵件篩選

套用所有篩選器,且掃描郵件是否有病毒後,會將郵件傳送給預定收件者的信箱,並套用垃圾郵件篩選,如下圖所示。

Outlook 垃圾郵件篩選郵件流程

如果郵件的 SCL 分級等於或高於 SCL 垃圾郵件資料夾閾值,並啟用了 SCL 垃圾郵件資料夾閾值,則 Mailbox Server 會將郵件放入 Outlook 使用者的 [垃圾郵件] 資料夾中。如果郵件的 SCL 值低於 SCL 刪除、拒絕、隔離及垃圾郵件資料夾閾值的值,則 Mailbox Server 會將該郵件放入使用者的 [收件匣] 中。如需 SCL 閾值的相關資訊,請參閱瞭解垃圾郵件信賴等級閾值

回到頁首

 © 2010 Microsoft Corporation. 著作權所有,並保留一切權利。