眾所周知,當前網絡安全環境及SMTP協議本身的弱點,導致了大量的垃圾郵件產生，在過去幾年中甚至愈演愈烈，沒有人會否認垃圾郵件已經是當今電子郵件系統中最令人頭痛的問題,垃圾郵件足以讓企業和用戶蒙受巨大損失,更為嚴重的是,垃圾郵件的危害已不再局限于電子郵件內容本身，如果無法有效控制這些威脅，就可能使整個企業網絡陷入遭受安全攻擊的危險之中，所以當前每個企業都必須采取預防措施來防范垃圾郵件。

作為市場占有率極高郵件系統―― Exchange Server同樣面臨這些挑戰。早在Exchange Server 2000之前的版本中，基本上沒有考慮防范垃圾郵件的功能,當然那個年代也許根本就不需要.隨著Exchange Server 2003的發布,更多反垃圾郵件功能內置在了系統中。特別是在Exchange Server 2003 SP2推出時同步推出了智能郵件篩選器(IMF),這樣微軟通過Exchange Server服務器端實現從連接級――保護分析 SMTP 主機連接，協議級――保護分析郵件發件人和收件人，內容級――保護評估郵件內容等三個方面的保護，并與客戶端（Outlook，OWA）有效的結合實現全方位的保護。

本文將以目前企業使用的最多版本－Exchange Server 2003 SP2為例，為大家更好的使用用Exchange Server內置的功能防范垃圾郵件提供建議。

Exchange Server服務器端

一．連接級保護

連接級保護主要是分析SMTP連接的主機（如：IP地址）是否為發送垃圾郵件的主機或或是拒絕連接的主機，如果確定為垃圾郵件主機或是拒絕連接的IP地址，將會直接拒絕當前的連接，所以說它是最直接的一層，也是最簡單的一層。在Exchange 2003連接級保護使用的是――“連接篩選”，它主要實現方式包括以下兩個：

1.接受和拒絕IP地址列表

通過手動的維護“接受”或“拒絕”IP地址列表可以明確的哪些IP地址是允許連接的，哪些IP地址是不允許直接連接的。通過它我們可以對已知的垃圾郵件主機進行過濾。

配置方法如下：

1）在 Exchange 系統管理器中展開“全局設置”。 

2）右鍵單擊“郵件傳遞”并單擊“屬性”。

3）單擊“連接篩選”選項卡。

4）選擇“接受”或“拒絕”， 如“拒絕”。

5）在“添加”時選擇“單個 IP 地址”或“IP 地址組”，如下面的屏幕截圖所示。

2.阻止名單服務

阻止名單服務就是我們平常所說的實時IP黑名單（RBL），Exchange Server提供管理員增加可信的RBL，從而可以有效的過濾已知的垃圾郵件發送者的IP。我們建議使用以下三個RBL。

配置方法如下：

1）在 Exchange 系統管理器中展開“全局設置”。 

2）右鍵單擊 “郵件傳遞”，然后單擊“屬性”。 

3）單擊“連接篩選”選項卡。 

4）“阻止名單服務配置”中單擊“添加”（如下面的屏幕截圖所示）。

二．議級保護

在連接級保護后，下一層防御就是 SMTP 協議級保護。 將對發送 SMTP 主機與接收 SMPT 主機之間的會話進行分析，以檢驗發件人地址與收件人地址是否經允許，并確定發件人的域名的有效性。在Exchange 2003主要提供以下三種過濾手段：

1.發件人篩選

使用發件人篩選功能可以阻止手動維護的特定發件人郵件地址，并可以對這類郵件進行多種操作。

配置方法：

1）在 Exchange 系統管理器中展開“全局設置”。 

2）右鍵單擊 “郵件傳遞”，然后單擊“屬性”。 

3）單擊“發件人篩選”選項卡。 

4）在“發件人”中可以手動增加需要過濾的發件人郵件地址。

5）根據需要你可以選擇勾選“存檔篩選郵件”、“篩選發件人為空的郵件”等等。

2.收件人篩選

使用收件人篩選功能可以阻止發送到手動維護的特定收件人地址的電子郵件，并可以實現對發往服務器不存在的郵件地址的電子郵件進行過濾。

配置方法：

1）啟動 Exchange 系統管理器。 

2）展開“全局設置”。 

3）單擊“郵件傳遞”并選擇“屬性”。 

4）單擊“收件人篩選”選項卡。 

5）根據需要選擇“篩選不在目錄中的收件人”。

6）如果需要增加特定的收件人，單擊“添加”后輸入完全的收件人的地址即可。

3.發件人ID篩選

發件人ID篩選是根據發件方的IP地址來驗證，所發的電子郵件是否為發件人郵件地址所在域的指定郵件發送服務器的IP相符（SPF記錄）的一種手段，如果IP與SPF記錄聲明的IP不相符規不通過發件人ID篩選（而沒有建立SPF記錄的域名的郵件將直接通過發件人ID篩選）從而防止冒用它人域名發送郵件的情況。

配置方法：

1）啟動 Exchange 系統管理器。 

2）展開“全局設置”。 

3）用鼠標右鍵單擊“郵件傳遞”并選擇“屬性”。 

4）單擊“發件人 ID 篩選”選項卡。 

5）選擇所需的發件人 ID 篩選選項，比如：接收，刪除，拒絕。

4.建議

1）如果要啟用發件人ID篩選，必須要“全局設置”－“常規”－“外圍IP列表及內部IP范圍配置”中指定網關或是內部網絡中服務器的 IP 地址，否則將有可能出現7518事件日志。

2）建議為自己的公司使用的域名人創建SPF記錄。

3）當選擇在“收件人篩選”中勾選了“篩選不在目錄中的收件人”后，為防止字典攻擊（DHA）請啟用Tar Pit功能，詳情查看微軟KB84285文章，地址如下：http://support.microsoft.com/kb/842851

三．內容級保護

Exchange Server 2003 SP2 中的內容過濾，主要依靠Microsoft Research 已申請專利的機器學習技術SmartScreen為基礎，集成到―― “智能郵件篩選器(IMF)”中，利用啟發式分析的方法，對來自外部的電子郵件進行是合法郵件還是垃圾郵件作出一個正確的概率評估，給郵件SCL（SPAM Confidence Level）值，以區分可能是垃圾郵件的等級，等級越高，郵件是垃圾郵件的可能性就越大。 此外，利用PCL（Phishing Confidence Level）值，IMF還能對釣魚郵件進行防范。

1. “智能郵件篩選”配置方法：

1）啟動 Exchange 系統管理器。

2）展開“全局設置”。

3）用鼠標右鍵單擊“郵件傳遞”，然后選擇“屬性”。 

4）單擊“智能消息篩選”選項卡。 

5）在“網關阻止配置”中設定需要阻止的郵件SCL值，并選擇所需阻止操作。

6）在垃圾郵件存儲配置中設定設定需要阻止的郵件SCL值

2.建議：

1）SCL 等級的范圍是從 0 到 9。等級越高，郵件是垃圾郵件的可能性就越大。建議的保守的SCL值組合為8和6，筆者認為較有效的SCL值組合為6和4.

2）IMF是基于內容過濾的技術，所以會出現誤判的情況，所以建議在阻止郵件時使用“存檔”的操作。以方便對誤判的正常郵件進行提取，存檔后的郵件存放在\Exchsrvr\mailroot\vsi n\UCEArchive 中存檔，其中 n 是 SMTP虛擬服務器實例編號。此目錄可以修改，注冊表鍵值為

HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange\ContentFilter\ ArchiveDir

（類型為STRING，值為所需目錄的全路徑，如"E:\Archive"）

3）當發現 7515事件日志時請注意微軟鑒于成本考量,認為垃圾郵件的大小不可能超過3M，IMF不掃描超過3M的郵件。

4）當IMF網關阻止配置操作設定為“拒絕”時，垃圾郵件的發送方會更到類似“5.7.1 Requested action not taken: Message Refused”這樣的NDR信息，為了便于對方了解拒絕的原因，建議修改這個默認信息為更為詳細的信息，注冊表鍵值為：HKLM\Software\Microsoft\Exchange\ContentFilter\CustomRejectResponse 

5）微軟在每個月的第一個星期三和第三個星期三通過 Microsoft Update 和自動更新技術提供智更新IMF，請增加以下注冊表鍵值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange\ ContentFilterState (類型為DWORD , 值為1)

建議第一次升級時直接訪問Microsoft Update網站并手動手動IMF。

6）IMF根據設定SCL值對所有收到的郵件進行過濾，但有一些企業因為種種原因需要對特殊收件人的郵件地址，進行排除操作，也就是所有發向某個地址的郵件都經過IMF過濾，要實現這個功能，查看微軟KB912587文章，地址如下：（http://support.microsoft.com/kb/912587）。

7）IMF還允許用戶制作一個名為MSExchange.UceContentFilter.xml的文件來對IMF過濾的內容進行微調，制完成后將文件保存為ANSI格式，并存放在\Program Files\Exchsrvr\bin\MSCFV2目錄下。查看微軟KB907747，地址如下：

http://support.microsoft.com/kb/907747

四．啟用上述的篩選功能

當我們設定完所需要的篩選功能后，最重要的一點是我們必須要SMTP虛擬服務器中啟用所需的篩選功能。過程如下：

1）啟動 Exchange 系統管理器。 

2） 展開“服務器”。

3）展開“協議”。 

4）展開“SMTP”。 

5）單擊“默認 SMTP 虛擬服務器”，然后選擇“屬性”。 

6）在“默認 SMTP 虛擬服務器屬性”中，單擊“高級”。 

7）在“高級”中，單擊“編輯”。

8）在“標識”中，選擇需要應用的各種篩選器，如下圖：

9）重啟當前的SMTP 虛擬服務器#p#

客戶端

除了在Exchange Server的服務器端進行垃圾郵件的過濾，微軟在客戶端也同樣提供了不同的過濾功能，以期與發揮用戶的主動性，更好的提高垃圾郵件過濾的效果。與此同時，微軟還將定期的為Outlook用戶制定垃圾郵件更新，用戶可以與同 Office 更新時一起更新垃圾郵件篩選。

一、配置 Outlook反垃圾郵件選項[b

1）在 Outlook 中，單擊“動作”菜單欄。 

2）選擇“垃圾郵件”，然后選擇“垃圾郵件選項”

3）在“選項”中你要吧設置Outlook的垃圾郵件保護級別。

4）在“安全發件人”，“安全收件人”，“阻止發件人”中可以進行列表的操作。

二．配置 Outlook Web Access (OWA) 中反垃圾郵件選項

1）登錄到 Outlook Web Access。 

2）單擊“選項”。 

3）確認是否啟用“篩選垃圾郵件”

4）單擊“管理垃圾郵件列表”。 

5）從“查看或修改列表”中選擇相應的功能進行操作，如下圖：

三．建議

1.要與Exchange Server 2003配合使用，實現較好的反垃圾郵件效果。必須是Outlook 2003以上版本。

2.因為阻止列表和安全列表都存儲在用戶的郵箱中，所以Outlook 與OWA是使用的是同一個列表。用戶不需要重復維護。

3.用戶收件箱的垃圾郵件規則大小限制為不超過 510 KB，安全發件人列表和阻止發件人列表中包含大約 2,000個條目。如果需要增加或是減少這個默認值，需要增加以下注冊表值：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\ParametersSystem\ Max Extended Rule Size （類型DWORD，值為允許的用戶垃圾郵件規則的最大字節數）

{ Exchange Server 2003 郵件過濾流程 }

在討論了實際的部署之后，我們再回頭來了解一下Exchange Server 2003中郵件過濾的流程。如下圖：

Exchange Server在接收到外部SMTP連接后，首先使用“連接篩選”，檢查對方IP，如果IP在“拒絕”列表中，將拒絕連接。如果IP 地址出現在“接受”列表中，則將郵件交給實時“阻止名單服務”過濾，如果在阻止列表中找到發送方服務器的 IP 地址，郵件將被拒絕。如果不在阻止列表中，則通過“連接篩選”。

應用連接篩選后，Exchange根據在“發件人篩選”中的發件人列表匹配發件人地址。如果找到匹配項，Exchange 將拒絕該郵件。如果通過“發件人篩選”，Exchange 根據已在“收件人篩選”中的收件人列表匹配收件人地址。如果發現收件人地址與篩選掉的某個電子郵件地址匹配，Exchange 將拒絕郵件。然后，Exchange 檢查并篩選收件人是否在AD中。

應用收件人篩選后，Exchange 將檢查發件人是否為空，如果符合Exchange 會根據您配置的選項篩選郵件。

在應用智能郵件篩選器之前應用發件人 ID 篩選器（如果已啟用）。 

如果郵件未被“連接篩選”、“收件人篩選”或“發件人篩選”篩選掉，將應用“智能郵件篩選”，對符合的SCL 分級閾值的郵件做相應的處理。

最后將郵件存儲在用戶的郵箱中，如果用戶使用的是 Outlook 2003 或 OWA，Exchange將根據事先用戶的郵箱存儲會將郵件的 SCL 分級或是安全發件人列表的設置，將郵件存放在收件箱或是垃圾郵件文件夾中。

總結

通過上述的討論，我們對Exchange Server 2003 SP2在垃圾郵件過濾方面有了大概的了解，當然，我們同樣建議用戶在使用Exchange Server 自身的垃圾郵件過濾的功能同時，有條件的話選擇一些第三方的專業的反垃圾郵軟、硬件（比如市面上的GFI、ORF反垃圾郵件系統及梭子魚等反垃圾網關）來實現更好的過濾效果。另外，新版的Exchange Server 2007 SP1已經發布，升級到Exchange Server2007也將反垃圾郵件性能方面有較大的提升。