把垃圾邮件拒之门外—用Exchange Server 2003阻止垃圾邮件

垃圾邮件对企业和个人造成了严重的危害，但目前，其发展势头依然没有被彻底控制的迹象。阻止垃圾邮件，应该从源头做起，至少是在企业的电子邮件服务器上就能够阻挡绝大多数垃圾邮件到个人端。微软于2003年11月新发布的Exchange Server 2003，在这方面的功能得到加强，为企业用户阻止垃圾邮件提供了更为有效的手段。连接过滤就是其中主要的方法。在2004年上半年，微软还将推出Exchange智能过滤器。

连接过滤及其原理

Exchange Server 2003通过新增的连接过滤器，支持使用Internet上的即时黑名单列表（Real-time Blacklist，RBL）来作为过滤连接请求的判断规则。RBL中包含了大量已知的垃圾邮件散播者和处于开放转发状态的电子邮件服务器的IP地址。Exchange Server 2003可以将发送连接请求的远端SMTP服务器的IP地址与RBL中的信息进行比较，如果发现其与黑名单中的IP地址相符，则拒绝此连接请求。由于RBL供应商都会及时地更新他们的RBL中的信息，所以Exchange Server 2003采用这种方式，将能非常有效地阻隔大量的垃圾邮件。

因此，连接过滤利用的是基于外部的服务，这些服务可以根据IP地址，列出未经请求的电子邮件来源的已知来源、拨号用户账户以及开放中继的服务器。Exchange Server 2003 支持基于阻止名单对连接进行过滤。当然，用户也可以把自己知道的垃圾邮件来源列入阻止名单。

通过连接过滤功能，可以根据提供商针对要过滤的类别提供的阻止名单检查传入IP地址。如果在提供商提供的阻止名单中找到匹配的IP地址，SMTP会发出一个“550 5.x.x”错误，以响应RCPT TO命令（RCPT TO 命令是所连接的服务器为识别预期邮件收件人而发出的SMTP命令），并向发件人发送一个自定义错误响应。此外，可以使用多个连接过滤器，并设定应用各个过滤器的优先顺序。

在创建连接过滤规则后，SMTP使用此规则根据第三方阻止名单服务提供的列表，执行 DNS 查找。连接过滤器检查每个传入 IP 地址与第三方阻止名单的匹配情况。阻止名单提供商将发出以下两个响应之一：

找不到主机 表明IP地址不在其阻止名单中；

127.0.0.x 一个响应状态代码，表明在违犯者列表中找到了与该 IP 地址匹配的项目。x随阻止名单提供商的不同而不同。

如果在阻止名单上找到了传入IP地址，SMTP将返回5.x.x错误以响应RCPT TO命令。

用户可以自定义返回给发件人的响应。此外，因为阻止名单提供商通常包含不同的类别，因此用户可以指定自己希望拒绝的类别。大多数阻止名单提供商屏幕包含以下三种类型的垃圾邮件。

1．未经请求的商业电子邮件的来源

这些列表是通过扫描未经请求的商业电子邮件并将源地址添加到列表中而生成的。

2．已知的开放中继服务器

这些列表是通过识别Internet上开放中继的SMTP服务器而推断出来的。存在开放中继服务器的最常见原因是系统管理员的配置错误。

3．拨号用户列表

这些列表是根据ISP提供的、包含具有拨号访问的IP地址的现有列表创建的，或者通过检查指示可能有拨号连接的地址创建的。

设置连接过滤器之后，对于接收到的电子邮件，Exchange将与阻止名单提供商联系。提供商在其域名系统（DNS）中检查有无记录。Exchange 以特定格式查询此信息。如果在提供商的列表上找到此 IP 地址，则该提供商返回127.0.0.x状态代码，指示违犯的IP 地址和违犯类型。所有阻止名单提供商都返回响应代码127.0.0.x，其中x指示违犯类型。该数字随阻止名单提供商的不同而不同。

最后，Exchange允许用户将邮件传递给特定收件人，而不管他们是否出现在阻止名单上。如果用户希望通过联系邮局主管账户以允许合法组织与您的管理员进行通信，那么这是非常有用的。例如，如果某个合法公司由于疏忽而将其服务器配置为允许开放中继，将导致从该公司发往用户所在组织中任何人的电子邮件都被阻止。但是，如果用户已经将连接过滤配置为允许将邮件传递到其组织中的邮局主管账户，则被阻止的公司中的管理员可以将邮件发送到邮局主管账户，以传达情况，或询问为何拒绝其邮件。

连接过滤的配置

如果需要在Exchange中启用连接过滤，需要先创建连接过滤器，然后在SMTP虚拟服务器级别上应用该过滤器。

在配置连接过滤的过程中，需要完成创建全局接受列表和全局拒绝列表、创建连接过滤规则和创建连接过滤规则的例外这三项任务。

1．创建全局接受列表和全局拒绝列表

通过连接过滤，可以创建全局接受列表和全局拒绝列表。用户可以使用这些列表始终接受或始终拒绝来自特定IP地址的邮件，而不管是否使用了阻止名单服务提供商。Exchange将自动接受出现在全局接受列表上的任何IP地址，并绕过所有连接过滤规则。类似地，Exchange将自动拒绝出现在全局拒绝列表上的任何IP地址。

全局接受列表中的条目优先于全局拒绝列表中的条目。Exchange将先检查全局接受列表再检查全局拒绝列表；因此，如果您希望拒绝来自特定子网和掩码的连接，但接受来自此范围内单个IP地址的连接，请执行下列操作：在全局接受列表上输入要接受其连接的IP地址，在全局拒绝列表上输入要拒绝其连接的IP地址范围的子网和掩码，当添加到全局接受列表中的连接方IP地址尝试连接到Exchange服务器时，Exchange将首先检查全局接受列表。因为Exchange找到了此IP地址的匹配项，所以接受其连接，而且不再执行其他连接过滤检查。

创建全局接受列表时，先启动Exchange系统管理器：单击“开始”*“所有程序”*“Microsoft Exchange”*“系统管理器”。在控制台树中，展开“全局设置”，以鼠标右键单击“邮件传递”，再单击“属性”*“连接过滤”选项卡*“接受”。将显示“接受列表”对话框（见图1）。

单击“添加”，在“IP 地址（掩码）”中，选择下列选项之一：（1）单击“一个IP地址”，将单个IP地址添加到此连接过滤规则的全局接受列表中；（2）单击“一组IP地址”，将子网地址和掩码添加到全局接受列表中。

创建全局拒绝列表的方法和创建全局接受列表的方法类似。

2．创建连接过滤规则

根据下面的过程可创建连接过滤器。启动Exchange系统管理器：单击“开始”*“所有程序”*“Microsoft Exchange”*“系统管理器”。在控制台树中，展开“全局设置”，以鼠标右键单击“邮件传递”，再单击“属性”*“连接筛选”选项卡，见图2。

若要创建连接过滤规则，单击“添加”。将出现“连接筛选规则”对话框，如图 3。

在“显示名”框中，键入连接过滤器的名称。在“提供程序的DNS后缀”框中，键入由提供程序追加到IP地址后的DNS后缀。在“自定义要返回的错误消息”框中。如果此项为空，将使用默认错误消息。如果需要，键入将返回给发件人的自定义错误消息。

若要在此连接过滤器中配置要与哪些从阻止名单提供商接收的返回状态代码匹配，请单击“返回状态代码”。将显示“返回状态代码”对话框，见图 4。

请选择下列选项之一，即“筛选规则与所有返回代码都匹配”、“筛选规则与下列掩码匹配”或“筛选规则与下列响应匹配”。

用户可以创建此连接过滤规则的例外。说得具体一些，就是可以允许将邮件传递到特定收件人（如邮件服务器主管），而不管连接方IP地址是否在阻止名单中。

3．创建连接规则的例外

在“邮件传递属性”的“连接筛选”选项卡上，单击“例外”，将显示“阻止名单服务配置设置”对话框。单击“添加”。在“添加收件人”中，键入要接收其所有邮件、而不管连接方IP地址是否出现在阻止名单中的收件人的SMTP地址。

在创建连接过滤器之后，必须将它应用于适当的SMTP虚拟服务器。通常，在SMTP虚拟服务器（它存在于接受入站Internet电子邮件的信关服务器上）上应用连接过滤器。使用下面的过程可将连接过滤器应用于SMTP虚拟服务器。

启动Exchange系统管理器。在控制台树中，依次展开“服务器”、适当的服务器、“协议”和“SMTP”。以鼠标右键单击要应用过滤器的 SMTP 虚拟服务器，再单击“属性”。在“ 属性”的“常规”选项卡上，单击“高级”。在“高级”选项卡上，选择要对其应用过滤器的IP地址，然后单击“编辑”。在“标识”中，选中“应用连接筛选器”复选框以应用前面设置的过滤器，如图5所示。

如果有多个虚拟服务器，请对要应用过滤器的每个虚拟服务器重复上述步骤。

Exchange Server 2003支持下列过滤器：连接过滤、收件人过滤、发件人过滤和基于虚拟服务器的IP限制。虽然连接过滤、收件人过滤和发件人过滤都是在“邮件传递属性”中配置的，但是它们必须在单个SMTP虚拟服务器上启用。与此不同，IP限制是直接在每个SMTP虚拟服务器上配置的。

在配置和启用这些过滤器之后，在SMTP会话期间对它们的检查顺序。按以下方式检查过滤和IP限制：SMTP客户端尝试连接到SMTP虚拟服务器。对照SMTP虚拟服务器的IP限制（在SMTP虚拟服务器“属性”的“访问”选项卡上配置），检查连接方客户端IP地址：如果连接方IP地址位于受限制的IP列表中，则连接会立即断开。如果连接方IP地址不在受限制IP列表中，则接受连接。

邮件过滤智能化

为了更有效地组织垃圾邮件，微软还将推出Exchange智能邮件过滤器，它提供了先进的服务器端邮件过滤功能，专用于抵御垃圾邮件的流入。Exchange智能邮件过滤器需要和Exchange Server 2003配合使用。在与Office Outlook 2003一起使用时，它可以显著减少用户收到的垃圾邮件的数量。

Exchange智能邮件过滤器基于的是微软研究院提供的Microsoft SmartScreen技术。SmartScreen技术使得智能邮件过滤器能够辨别正常的电子邮件与未经请求的商业邮件或其他垃圾邮件。SmartScreen跟踪和统计了50多万个电子邮件特征，这些特征是根据数十万 MSN Hotmail用户提供的数据总结的，这些用户自愿将数百万电子邮件划分为正常邮件和垃圾邮件。

借助Exchange智能邮件过滤器，Exchange Server 2003用户可以根据SmartScreen所跟踪的邮件特征，来判定接收的每一封电子邮件的垃圾邮件概率，从而帮助用户在垃圾邮件到达收件箱前对其进行过滤。用于存储这些特征的数据库已经使用从样本源学习的新模式进行了更新，这使得过滤功能更有效、更新。智能邮件过滤器使用这个数据库来识别正常邮件和非正常邮件的模式，从而能够更准确地判定收到的电子邮件是不是正常邮件。

智能邮件过滤器安装在Exchange 2003网关服务器上，它在Internet电子邮件被发送到用户收件箱之前对其进行过滤。

当一个外部用户通过安装有智能邮件过滤器的Exchange 2003服务器发送电子邮件时，过滤器将评估邮件内容，查看其是否符合可识别的模式，并根据邮件是未经请求的商业邮件或垃圾邮件的可能性指定一个级别。该级别将作为一种邮件属性与邮件一起存储在数据库中，此属性称为垃圾邮件信任级别。当发送邮件时，该级别将与邮件一起被发送到其他Exchange服务器，甚至会被一起发送到其他用户的收件箱。

注意：只有Exchange 2003和Outlook 2003或更高版本才能使用垃圾邮件信任级别。管理员设置以下两个阈值来确定智能邮件过滤器如何处理各种垃圾邮件信任级别的电子邮件：（1）网关阈值，对级别超过该阈值的邮件将采取相关的操作；（2）邮箱存储阈值。

如果邮件级别高于网关阈值，则智能邮件过滤器采取在Exchange网关服务器级别上指定的操作。如果邮件级别低于网关阈值，则邮件将发送到收件人的Exchange邮箱存储。在Exchange邮箱存储中，如果邮件级别高于邮箱存储阈值，则邮箱存储会将该邮件发送到用户的“垃圾邮件”文件夹而不是“收件箱”。

目前，垃圾邮件一直没有得到遏止，许多用户每天被迫删除大量的垃圾邮件，严重影响工作效率。我们也看到，一些网站的公共电子邮箱已经采取了措施，效果较好。不少企业也采取了措施。令人高兴的是，我国已经开始发布垃圾邮件的黑名单。为在服务器端阻止垃圾邮件创造了良好的条件。但是，某些企业和单位的电子邮件服务器则没有采取有效的措施。其实，Exchange也好，Sendmail等也好，自身都具有防垃圾邮件的功能。在服务器端阻止垃圾邮件，可以达到事半功“n”倍的效果。只要把电子邮件服务器的反垃圾邮件功能开发利用起来，就能把大部分垃圾邮件拒之门外。