連線篩選
適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上次修改主題的時間: 2009-10-06
連線篩選器代理程式是一種反垃圾郵件篩選,在已安裝 Microsoft Exchange Server 2007 Edge Transport server role 的電腦上可啟用。連線篩選器代理程式會仰賴嘗試連線之遠端伺服器的 IP 位址,判斷要對輸入的郵件採取什麼動作 (若有的話)。連線篩選器代理程式可以將遠端 IP 位址當成簡易郵件傳送通訊協定 (SMTP) 工作階段之必要基礎 TCP/IP 連線的副產品。由於連線篩選器代理程式必須評估傳送信件的遠端伺服器 IP 位址為有效,通常連線篩選器代理程式會在面向網際網路的 Edge Transport Server 上啟用。不過,您也可以執行其他設定以在輸入郵件路徑中更深地執行連線篩選器代理程式。
在 Edge Transport Server 上設定反垃圾郵件代理程式時,代理程式會逐漸處理郵件,以減少進入組織之來路不明的郵件數。要減少重複,增進整體系統效能與效率,您必須了解代理程式評估輸入郵件的順序。了解篩選評估輸入郵件的順序可以幫助您最佳化您的 Edge Transport Server 設定。如需如何規劃及部署反垃圾郵件代理程式的相關資訊,請參閱反垃圾郵件及防毒功能。
若啟用連線篩選器代理程式,當評估輸入郵件時,連線篩選器代理程式會是第一個執行的反垃圾郵件代理程式。
當提交輸入郵件至啟用連線篩選器代理程式的 Edge Transport Server 時,SMTP 連線的來源 IP 位址會檢查 IP 允許清單與 IP 封鎖清單。如果來源 IP 位址列在 IP 允許清單中,郵件會傳送至目的地,不會經過其他反垃圾郵件代理程式的處理。如果來源 IP 位址列在 IP 封鎖清單中,SMTP 連線就會在處理完郵件中所有的 RCPT TO 標頭後中斷。
.gif "note") 附註: |
|---|
| 指定連線的中斷時間可能會由其他反垃圾郵件組態決定。例如,即便來源 IP 位址已封鎖,您還是可以指定一定會接收電子郵件的收件者。此外,您可能已經設定要剖析之仰賴 DATA 命令內容的其他代理程式。連線篩選器代理程式一律會根據整體的反垃圾郵件組態,來中斷已封鎖的連線。 |
當來源 IP 位址並無出現在任何 IP 允許清單或 IP 封鎖清單中,如果有設定其他反垃圾郵件代理程式,郵件就可繼續通過其他反垃圾郵件代理程式。
如需如何設定連線篩選器代理程式的相關資訊,請參閱設定連線篩選。
IP 允許清單與 IP 封鎖清單
連線篩選器代理程式會比較傳送郵件至下列任何 IP 位址資料儲存區的伺服器 IP 位址:
系統管理員定義的 IP 允許清單與 IP 封鎖清單
IP 封鎖清單提供者
IP 允許清單提供者
如需 IP 封鎖清單提供者的相關資訊,請參閱此主題稍後的<IP 封鎖清單提供者>。
您必須至少設定其中一個 IP 位址資料儲存區,連線篩選器代理程式才能運作。如果 IP 位址的資料儲存區不包含 IP 允許清單或 IP 封鎖清單中的 IP 位址,或是如果您並未設定任何 IP 封鎖清單提供者或 IP 允許清單提供者,您應停用連線篩選器代理程式。
系統管理員定義的 IP 允許清單與 IP 封鎖清單
Edge Transport Server 的系統管理員會維護系統管理員定義的 IP 位址清單。您可以使用 Exchange 管理主控台或 Exchange 管理命令介面,輸入和刪除您要允許或封鎖的 IP 位址。您可以個別新增 IP 位址或是利用 IP 位址範圍或 IP 位址及子網路遮罩來新增 IP 位址。
當您新增 IP 位址或 IP 位址範圍時,您必須將 IP 位址或 IP 位址範圍指定為 IP 封鎖位址或 IP 允許位址。此外,您可以為每個所建立的 IP 封鎖清單項目指定到期時間。當您設定了到期時間,其會指定 IP 封鎖清單項目的作用期限。當期限已到,就會停用 IP 封鎖清單項目。
藉由使用系統管理員定義的 IP 允許清單與 IP 封鎖清單,您可以設定連線篩選以支援下列案例:
從 IP 封鎖清單提供者的 IP 封鎖清單中移除 IP 位址 當合法寄件者不小心列入 IP 封鎖清單提供者的 IP 封鎖清單時,您就必須從 IP 封鎖清單提供者的 IP 封鎖清單中移除 IP 位址。例如,當 SMTP 伺服器不小心設定為開放轉送,合法的寄件者有可能會因此不小心被列入 IP 封鎖清單中。在這種情況下,寄件者可能會嘗試修正錯誤組態,從 IP 封鎖清單提供者的 IP 封鎖清單中移除他們的 IP 位址。
如需 IP 封鎖清單提供者的相關資訊,請參閱此主題稍後的<IP 封鎖清單提供者>。
對未列入 IP 封鎖清單提供者的 IP 封鎖清單但卻是未經同意電子郵件來源的 IP 位址拒絕存取 您有時會從尚未經過您所訂閱的即時封鎖清單 (RBL) 服務所認可的來源收到大量未經同意的郵件。
IP 封鎖清單提供者
IP 封鎖清單提供者服務可以協助您減少進入您的組織之來路不明郵件的數量。
| 附註: |
|---|
| IP 封鎖清單提供者服務常被稱為即時封鎖清單 (RBL) 服務。Exchange 管理主控台將 RBL 服務稱為 IP 封鎖清單提供者服務。RBL 服務與 IP 封鎖清單提供者服務兩者意思相同。 |
IP 封鎖清單提供者服務會編譯過去為垃圾郵件來源的 IP 位址清單。此外,有些 IP 封鎖清單提供者會提供 SMTP 已設為開放轉送的 IP 位址清單。也有 IP 封鎖清單提供者服務提供支援撥接存取的 IP 位址清單。提供用戶端撥接存取服務的網際網路服務提供者 (ISP),會為每個撥接工作階段指派動態 IP 位址。有些 ISP 會封鎖來自撥接帳號的 SMTP 傳輸。這些 ISP 與服務員撥接 IP 範圍通常不會新增至 IP 封鎖清單中。不過,有些 ISP 允許用戶端由撥接帳號傳送 SMTP 傳輸。惡意使用者會利用允許 SMTP 傳輸的 ISP,在動態指派的 IP 位址上傳送垃圾郵件。當 IP 位址已列在 IP 封鎖清單中,惡意使用者會開始另一個撥接工作階段,取得新的 IP 位址。通常,單一 IP 封鎖清單提供者就可以提供涵蓋所有垃圾郵件威脅的 IP 位址清單。
您可以使用 Exchange 管理主控台或 Exchange 管理命令介面,設定多個 IP 封鎖清單提供者組態。在 Exchange 管理主控台或 Exchange 管理命令介面中,每項服務皆需要個別的 IP 封鎖清單提供者組態。
當您將連線篩選器代理程式設定為使用 IP 封鎖清單提供者時,在接受郵件進入組織之前,連線篩選器代理程式會查詢 IP 封鎖清單提供者服務,判定定連線的 IP 位址中是否存在相符項目。
在連線篩選器代理程式連絡 IP 封鎖清單提供者以驗證 IP 位址之前,會首先比對 IP 位址是否在系統管理員定義的 IP 允許清單與 IP 封鎖清單中。如果 IP 位址並不在系統管理員定義的 IP 允許清單與 IP 封鎖清單中,連線篩選器代理程式會根據指派給每個提供者的優先順序分級,查詢 IP 封鎖清單提供者服務。如果 IP 位址出現在 IP 封鎖清單提供者的 IP 封鎖清單上,Edge Transport Server 就會等待以及剖析 RCPT TO 標頭,以 SMTP 550 錯誤來回應傳送系統,然後關閉連線。如果 IP 位址並不在任何 IP 封鎖清單提供者的 IP 封鎖清單上,反垃圾郵件鏈結中的下一個代理程式就會處理連線。如需預設反垃圾郵件和防毒代理程式篩選網際網路之輸入郵件順序的相關資訊,請參閱反垃圾郵件及防毒功能。
當您使用連線篩選器代理程式時,最佳的作法是使用一個或多個 IP 封鎖清單提供者來管理您組織的存取。使用系統管理員定義的封鎖清單來維護您自己的 IP 封鎖清單會非常耗時,而且從大部分組織的人力資源角度來看,也不太可能。因此,強烈建議您使用主要目的即為維護 IP 封鎖清單的外部 IP 封鎖清單提供者服務。
不過,在使用 IP 封鎖清單提供者上可能會有些缺點。由於連線篩選器代理程式必須為每個未知的 IP 位址查詢外部實體,IP 封鎖清單提供者服務的中斷或延遲會造成 Edge Transport Server 處理郵件時的延遲。在最糟的情況下,這樣的中斷或延遲有可能會在 Edge Transport Server 上造成郵件流程瓶頸。
另一個使用外部 IP 封鎖清單提供者服務的缺點就是,有時會不小心將合法使用者新增到 IP 封鎖清單提供者的 IP 封鎖清單之中。SMTP 錯誤組態的結果是,合法的寄件者可能加入 IP 封鎖清單提供者所維護的 IP 封鎖清單中,例如,SMTP 伺服器不小心設定為開放轉送就是此錯誤組態的例子。
IP 允許清單提供者
您也可以使用提供 IP 允許清單的 IP 允許清單提供者服務來管理輸入的郵件。IP 允許清單在軟體業界有時也被稱為 IP 安全清單或是「白色」清單。IP 允許清單提供者可維護已知跟任何垃圾郵件活動無關的 IP 位址清單。當 IP 允許清單提供者傳回 IP 允許相符項目時,即代表寄件者的 IP 位址比較有可能為信譽良好或是「安全」的寄件者,連線篩選器代理程式會將郵件轉送至反垃圾郵件鏈結中的下一個代理程式。
如需如何設定 IP 允許清單提供者的相關資訊,請參閱設定連線篩選。
相關資訊
如需如何使用 Exchange 管理主控台設定連線篩選的相關資訊,請參閱下列主題:
如需使用 Exchange 管理命令介面設定連線篩選的相關資訊,請參閱連線篩選器代理程式指令程式。