標頭防火牆
適用於:Exchange Server 2013
在 Microsoft Exchange Server 2013 中,標頭防火牆是一種機制,可從輸入和輸出訊息中移除特定標頭欄位。 標頭防火牆會影響兩種不同類型的標頭欄位:
X 標頭: X 標頭 是使用者定義的非官方標頭欄位。 RFC 2822 中並未特別提及 X-header,但使用以 X- 開頭的未定義標頭欄位,已成為一般人在郵件中新增非正式標頭欄位時可接受的方式。 反垃圾郵件、防毒軟體和傳訊伺服器等傳訊應用程式可能會將自己的 X 標頭新增至訊息。 在 Exchange 中,X 標頭欄位包含傳輸服務在郵件上執行之動作的詳細資料,例如垃圾郵件信賴等級 (SCL) 、內容篩選結果,以及規則處理狀態。 向未經授權的來源揭露這項資訊可能會造成潛在的安全性風險。
路由標頭:路由標頭是標準 SMTP 標頭欄位,定義于 RFC 2821 和 RFC 2822 中。 路由標頭會使用用來將訊息傳遞給收件者之不同訊息伺服器的相關資訊來戳記訊息。 惡意使用者插入郵件中的路由標頭,可能會誤判訊息傳送至收件者的路由路徑。
標頭防火牆會從從不受信任來源輸入 Exchange 組織的輸入訊息中移除這些與 Exchange 相關的 X 標頭,以防止詐騙這些標頭。 標頭防火牆會從傳送至 Exchange 組織外部不受信任目的地的輸出訊息中移除這些與 Exchange 相關的 X 標頭,以防止洩漏這些標頭。 標頭防火牆也會防止詐騙用來追蹤訊息路由歷程記錄的標準路由標頭。
Exchange 中受到標頭防火牆影響的郵件標頭欄位
下列 X-header 和路由標頭類型會受到標頭防火牆影響:
組織 X 標頭:這些 X 標頭欄位的開頭為 X-MS-Exchange-Organization-。
樹系 X 標頭:這些 X 標頭欄位的開頭為 X-MS-Exchange-Forest-。
如需組織 X-header 與樹系 X-header 的範例,請參閱本主題最後的 Exchange 中的組織 X-Header 與樹系 X-Header 一節。
已接收:路由標頭:每個接受訊息並將訊息轉寄給收件者的訊息伺服器,都會將此標頭欄位的不同實例新增至訊息標頭。 Received : 標頭通常包含訊息伺服器的名稱和日期時間戳記。
Resent-*: 路由標頭:重新傳送標頭欄位是資訊標頭欄位,可用來判斷使用者是否已轉送訊息。 下列重新傳送標頭欄位可供使用: Resent-Date:、 Resent-From:、 Resent-Sender:、 Resent-To:、 Resent-Cc:、 Resent-Bcc:和 Resent-Message-ID:。 會使用 Resent- 欄位,讓收件者如同原始寄件者直接傳送的郵件一樣顯示給收件者。 收件者可以檢視郵件標頭,以探索轉寄郵件的人員。
Exchange 使用兩種不同方式,對郵件內的組織 X-header、樹系 X-header 和路由標頭套用標頭防火牆:
對傳送連接器或接收連接器指派權限,以便在郵件通過連接器時保留或移除郵件中的特定標頭類型。
提交其他郵件類型時,會對郵件內的特定標頭類型自動實作標頭防火牆。
標頭防火牆如何套用至傳送連接器和接收連接器
標頭防火牆會根據指派給連接器的特定權限,套用至通過傳送連接器和接收連接器的郵件。
如果將許可權指派給接收連接器或傳送連接器,標頭防火牆就不會套用至透過連接器傳送的訊息。 受影響的標頭欄位會保留在訊息中。
如果許可權未指派給接收連接器或傳送連接器,標頭防火牆會套用至透過連接器傳送的訊息。 受影響的標頭欄位會從訊息中移除。
下表說明傳送連接器和接收連接器上用來套用標頭防火牆的權限,以及受影響的標頭欄位。
| 連接器類型 | 權限 | 描述 |
|---|---|---|
| 接收連接器 | Ms-Exch-Accept-Headers-Organization | 此許可權會影響以 X-MS-Exchange-Organization- 輸入訊息開頭的組織 X 標頭欄位。 |
| 接收連接器 | Ms-Exch-Accept-Headers-Forest | 此許可權會影響以 X-MS-Exchange-Forest- 輸入訊息開頭的樹系 X 標頭欄位。 |
| 接收連接器 | Ms-Exch-Accept-Headers-Routing | 此許可權會影響輸入訊息中的 Received: 和 Resent-*: 路由標頭欄位。 |
| 傳送連接器 | Ms-Exch-Send-Headers-Organization | 此許可權會影響以輸出訊息中的 X-MS-Exchange-Organization 開 頭的組織 X 標頭欄位。 |
| 傳送連接器 | Ms-Exch-Send-Headers-Forest | 此許可權會影響輸出訊息中以 X-MS-Exchange-Forest- 開頭的樹系 X 標頭欄位。 |
| 傳送連接器 | Ms-Exch-Send-Headers-Routing | 此許可權會影響輸出訊息中的 Received: 和 Resent-*: 路由標頭欄位。 |
接收連接器上輸入郵件的標頭防火牆
下表說明接收連接器上標頭防火牆權限的預設應用。
| 權限 | 已指派許可權的預設 Exchange 安全性主體 | 具有安全性主體做為成員的許可權群組 | 將許可權群組指派給接收連接器的預設使用類型 |
|---|---|---|---|
| Ms-Exch-Accept-Headers-Organization 和 Ms-Exch-Accept-Headers-Forest |
|
ExchangeServers | Internal |
| Ms-Exch-Accept-Headers-Routing | 匿名使用者帳戶 | 匿名 | Internet |
| Ms-Exch-Accept-Headers-Routing | 已驗證的使用者帳戶 | ExchangeUsers | Client (無法在 Edge Transport Server 上使用) |
| Ms-Exch-Accept-Headers-Routing |
|
ExchangeServers | Internal |
| Ms-Exch-Accept-Headers-Routing | 合作夥伴伺服器帳戶 | 合作夥伴 | Internet 和 Partner |
自訂接收連接器上的標頭防火牆
如果在自訂接收連接器案例中您想要對郵件套用標頭防火牆,請使用下列任何一種方法:
建立使用類型會自動將標頭防火牆套用至訊息的接收連接器。 請注意,您只能在建立接收連接器時設定使用類型。
若要從訊息中移除組織 X 標頭或樹系 X 標頭,請建立接收連接器並選取 以外的
Internal使用類型。若要從郵件中移除路由標頭,請執行下列其中一個動作:
建立接收連接器,然後選取使用類型
Custom。 請勿將任何許可權群組指派給接收連接器。修改現有的接收連接器,並將 PermissionGroups 參數設定為 值
None。請注意,如果您的接收連接器未被指派任何權限群組,則須依照上一個步驟所述對接收連接器新增安全性主體。
使用 Remove-ADPermission Cmdlet 可從在接收連接器上設定的安全性主體中移除 Ms-Exch-Accept-Headers-Organization 許可權、 Ms-Exch-Accept-Headers-Forest 許可權,以及 Ms-Exch-Accept-Headers-Routing 許可權。 如果許可權已使用接收連接器上的許可權群組指派給安全性主體,這個方法將無法運作,因為您無法修改許可權指派或許可權群組的群組成員資格。
使用 Add-ADPermission Cmdlet,在接收連接器上新增郵件流程所需的適當安全性主體。 請確定沒有任何安全性主體具有 Ms-Exch-Accept-Headers-Organization 許可權、 Ms-Exch-Accept-Headers-Forest 許可權,以及指派給他們的 Ms-Exch-Accept-Headers-Routing 許可權。 如有必要,請使用 Add-ADPermission Cmdlet 來拒絕 Ms-Exch-Accept-Headers-Organization 許可權、 Ms-Exch-Accept-Headers-Forest 許可權,以及 Ms-Exch-Accept-Headers-Routing 許可權給在接收連接器上設定的安全性主體。
如需詳細資訊,請參閱下列主題:
傳送連接器上輸出郵件的標頭防火牆
下表說明傳送連接器上標頭防火牆權限的預設應用。
| 權限 | 已指派許可權的預設 Exchange 安全性主體 | 將安全性主體指派給傳送連接器的預設使用類型 |
|---|---|---|
| Ms-Exch-Send-Headers-Organization 和 Ms-Exch-Send-Headers-Forest |
|
Internal |
| Ms-Exch-Send-Headers-Routing |
|
Internal |
| Ms-Exch-Send-Headers-Routing | 匿名使用者帳戶 | Internet |
| Ms-Exch-Send-Headers-Routing | 合作夥伴伺服器 | Partner |
自訂傳送連接器上的標頭防火牆
如果在自訂傳送連接器案例中您想要對郵件套用標頭防火牆,請使用下列任何一種方法:
建立使用類型會自動將標頭防火牆套用至訊息的傳送連接器。 請注意,您只能在建立傳送連接器時設定使用類型。
若要從訊息中移除組織 X 標頭或樹系 X 標頭,請建立傳送連接器,並選取 或
Partner以外的Internal使用類型。若要從訊息中移除路由標頭,請建立傳送連接器並選取使用類型
Custom。 Ms-Exch-Send-Headers-Routing許可權會指派給除了 以外的Custom所有傳送連接器使用類型。
從連接器移除指派了 Ms-Exch-Send-Headers-Organization 權限、 Ms-Exch-Send-Headers-Forest 權限和 Ms-Exch-Send-Headers-Routing 權限的安全性主體。
使用 Remove-ADPermission 指令程式,從傳送連接器上設定的其中一個安全性主體移除 Ms-Exch-Send-Headers-Organization 權限、 Ms-Exch-Send-Headers-Forest 權限和 Ms-Exch-Send-Headers-Routing 權限。
使用 Add-ADPermission 指令程式,在傳送連接器上設定的其中一個安全性主體中,拒絕 Ms-Exch-Send-Headers-Organization 權限、 Ms-Exch-Send-Headers-Forest 權限和 Ms-Exch-Send-Headers-Routing 權限。
如需相關資訊,請參閱下列主題:
其他郵件來源的標頭防火牆
訊息可以在信箱伺服器或 Edge Transport Server 上輸入傳輸管線,而不需要使用傳送連接器或接收連接器。 標頭防火牆會套用至這些其他訊息來源,如下列清單所述:
取貨目錄和重新執行目錄:系統管理員或應用程式會使用 Pickup 目錄來提交訊息檔案。 Replay 目錄是用來重新提交已從 Exchange 訊息佇列匯出的訊息。 如需 Pickup 和 Replay 目錄的詳細資訊,請參閱 Pickup 目錄和重新執行目錄。
會從收取目錄的郵件檔案中移除組織 X-header、樹系 X-header 和路由標頭。
但保留重新顯示目錄所提交之郵件中的路由標頭。
會保留還是移除重新顯示目錄中郵件的組織 X-header 和樹系 X-header,由郵件檔案中的 X-CreatedBy: 標頭欄位控制:
- 如果 X-CreatedBy: 的值為
MSExchange15,則會在訊息中保留組織 X 標頭和樹系 X 標頭。 - 如果 X-CreatedBy: 的值不是
MSExchange15,則會從訊息中移除組織 X 標頭和樹系 X 標頭。 - 如果郵件檔案中沒有 X-CreatedBy: 標頭欄位,則移除郵件中的組織 X-header 和樹系 X-header。
- 如果 X-CreatedBy: 的值為
卸載目錄:信箱伺服器上的外部連接器會使用 Drop 目錄,將訊息傳送至未使用 SMTP 傳輸訊息的訊息伺服器。 如需外部連接器的詳細資訊,請參閱 外部連接器。
在將郵件檔案放入放置目錄之前,會先移除檔案中的組織 X-header 與樹系 X-header。
但保留放置目錄所提交之郵件中的路由標頭。
信箱傳輸:信箱傳輸服務存在於信箱伺服器上,可在信箱伺服器上將訊息傳送至信箱或從信箱傳輸訊息。 如需信箱傳輸服務的詳細資訊,請參閱 郵件流程。
會從由信箱傳輸提交服務自信箱傳送的外寄郵件中,移除組織 X-header、樹系 X-header 和路由標頭。
信箱傳輸傳遞服務會保留傳入郵件給信箱收件者的路由標頭。 信箱傳輸傳遞服務會保留下列組織 X 標頭,以傳入郵件給信箱收件者:
- X-MS-Exchange-Organization-SCL
- X-MS-Exchange-Organization-AuthDomain
- X-MS-Exchange-Organization-AuthMechanism
- X-MS-Exchange-Organization-AuthSource
- X-MS-Exchange-Organization-AuthAs
- X-MS-Exchange-Organization-OriginalArrivalTime
- X-MS-Exchange-Organization-OriginalSize
DSN 訊息:組織 X 標頭、樹系 X 標頭和路由標頭會從原始訊息或附加至 DSN 訊息的原始訊息標頭中移除。 如需 DSN 訊息的詳細資訊,請參閱 Exchange 2013 中的 DSN 和 DDR。
傳輸代理程式提交:組織 X 標頭、樹系 X 標頭和路由標頭會保留在傳輸代理程式所提交的訊息中。
Exchange 中的組織 X-Header 與樹系 X-Header
Mailbox Server 或 Edge Transport Server 上的傳輸服務會將自訂 X-header 欄位插入郵件標頭。
組織 X 標頭的開頭為 X-MS-Exchange-Organization-。 樹系 X 標頭的開頭為 X-MS-Exchange-Forest-。 下表描述 Exchange 組織中訊息中使用的一些組織 X 標頭和樹系 X 標頭。
| X 標頭 | 描述 |
|---|---|
| X-MS-Exchange-Forest-RulesExecuted | 對訊息採取動作的傳輸規則。 |
| X-MS-Exchange-Organization-Antispam-Report | 內容篩選代理程式已套用至郵件的反垃圾郵件篩選結果摘要。 |
| X-MS-Exchange-Organization-AuthAs | 指定驗證來源。 評估訊息的安全性時,一律會出現這個 X 標頭。 可能的值為 Anonymous 、 Internal 、 External 或 Partner 。 |
| X-MS-Exchange-Organization-AuthDomain | 網域安全驗證期間填入。 值是遠端驗證網域的 FQDN。 |
| X-MS-Exchange-Organization-AuthMechanism | 指定提交訊息的驗證機制。 此值為 2 位數的十六進位數位。 |
| X-MS-Exchange-Organization-AuthSource | 指定代表組織評估訊息驗證之伺服器電腦的 FQDN。 |
| X-MS-Exchange-Organization-Journal-Report | 識別傳輸中的日誌報表。 一旦訊息離開傳輸服務,標頭就會變成 X-MS-Journal-Report。 |
| X-MS-Exchange-Organization-OriginalArrivalTime | 識別訊息第一次進入 Exchange 組織的時間。 |
| X-MS-Exchange-Organization-Original-Sender | 識別第一次進入 Exchange 組織時,隔離郵件的原始寄件者。 |
| X-MS-Exchange-Organization-OriginalSize | 識別第一次進入 Exchange 組織時,隔離郵件的原始大小。 |
| X-MS-Exchange-Organization-Original-Scl | 識別第一次進入 Exchange 組織時,隔離郵件的原始 SCL。 |
| X-MS-Exchange-Organization-PCL | 識別網路釣魚信賴等級。 可能的網路釣魚信賴等級值是從 1 到 8。 較大的值表示可疑訊息。 如需相關資訊,請參閱反垃圾郵件戳記。 |
| X-MS-Exchange-Organization-Quarantine | 指出郵件已在垃圾郵件隔離信箱中隔離,且已傳送 DSN) (傳遞狀態通知。 或者,它會指出訊息已由系統管理員隔離並釋放。 此 X 標頭欄位會防止將已發行的郵件再次提交至垃圾郵件隔離信箱。 如需詳細資訊,請參閱 [從垃圾郵件隔離信箱釋出隔離郵件] (release-quarantined-messages-from-the-spam-quarantine-mailbox-exchange-2013-help.md。 |
| X-MS-Exchange-Organization-SCL | 識別訊息的 SCL。 可能的 SCL 值是從 0 到 9。 較大的值表示可疑訊息。 特殊值 -1 會免除訊息由內容篩選代理程式處理。 如需相關資訊,請參閱內容篩選。 |
| X-MS-Exchange-Organization-SenderIdResult | 包含寄件者識別碼代理程式的結果。 寄件者識別碼代理程式會使用寄件者原則架構 (SPF) 來比較郵件的來源 IP 位址與寄件者電子郵件地址中所使用的網域。 寄件者識別碼結果可用來計算訊息的 SCL。 如需詳細資訊,請參閱寄件者識別碼。 |