設定安全清單彙總

發行項
06/13/2016

適用版本： Exchange Server 2010 SP2, Exchange Server 2010 SP3

上次修改主題的時間： 2015-03-09

在 MicrosoftExchange Server 2010 中，*「安全清單彙總」*一詞指的是在 MicrosoftOutlook 和 Exchange 之間共用的反垃圾郵件功能。此功能會收集反垃圾郵件之安全的收件者清單、安全的寄件者清單和封鎖的寄件者清單中的資料，以及 Outlook 使用者設定的連絡人資料，並且將這些資料提供給已安裝 Edge Transport Server 角色之電腦上的反垃圾郵件代理程式。安全清單彙總可以協助減少 Edge Transport Server 所執行之反垃圾郵件篩選中的誤判執行個體。

本主題提供如何設定安全清單彙總的概觀。若要深入了解安全清單彙總，請參閱瞭解安全清單彙總。

要尋找與反垃圾郵件和防病毒功能相關的其他管理工作嗎？請參閱管理反垃圾郵件及防病毒功能。

使用命令介面來設定信箱安全清單集合限制

您必須已獲指派權限，才能執行此程序。若要查看您需要的權限，請參閱信箱權限主題中的「收件者佈建權限」一節。

附註：
您無法使用 EMC 設定信箱安全清單集合限制。

您可以針對每一位使用者設定一位使用者可設定的最大安全寄件者與封鎖的寄件者數量。您可以使用 Set-Mailbox Cmdlet 設定這些限制。根據預設，使用者可以設定最多 5,000 個安全寄件者和 500 個封鎖的寄件者。一般而言，不需要修改這些限制。

此範例會將信箱 john@contoso.com 的安全寄件者上限設為 2,000，而封鎖的寄件者上限設為 200。

Set-Mailbox john@contoso.com -MaxSafeSenders 2000 -MaxBlockedSenders 200

如需詳細的語法及參數資訊，請參閱 Set-Mailbox。

使用命令介面執行 Update-Safelist 命令

您必須已獲指派權限，才能執行此程序。若要查看您需要的權限，請參閱信箱權限主題中「收件者佈建權限」一節的「反垃圾郵件」項目。

附註：
您無法使用 EMC 執行 Update-Safelist 命令。

在 Exchange 2010 中，安全清單彙總將自動完成，因此您不再需要排程或手動執行 Update-Safelist Cmdlet。不過，您可能仍會在測試安全清單彙總時執行此 Cmdlet。

Update-SafeList Cmdlet 會讀取 Microsoft Outlook 使用者信箱中的安全清單集合、雜湊處理每個項目、排序項目以利於搜尋，然後將雜湊轉換為二進位屬性。最後，此命令會將建立的二進位屬性與屬性中儲存的任何值進行比較。如果兩個值相同，此命令就不會使用安全清單彙總資料來更新使用者屬性。

請注意執行此命令時可能產生的網路和複寫流量。如果對頻繁使用安全清單的多個信箱執行此命令，這可能會產生大量流量。建議您若要對多個信箱執行此命令，應該在離峰、非上班時間執行命令。

重要事項：
安全清單彙總資料包含使用者的安全寄件者清單及使用者的安全收件者清單。使用 Update-Safelist 指令程式時，可以指定要更新安全寄件者清單或安全收件者清單，或是更新這兩者。然而，安全清單彙總功能只會使用安全寄件者清單資料；安全清單彙總功能對安全收件者清單資料不起作用。因此，為了降低 Active Directory 中的儲存及複寫，不建議將 Type 參數設為 `SafeRecipients` 或 `Both` 值來執行 Update-Safelist Cmdlet。Type 參數的預設值是 `SafeSenders`。安全清單彙總功能會使用安全寄件者資料。

重要事項：

安全清單彙總資料包含使用者的安全寄件者清單及使用者的安全收件者清單。使用 Update-Safelist 指令程式時，可以指定要更新安全寄件者清單或安全收件者清單，或是更新這兩者。然而，安全清單彙總功能只會使用安全寄件者清單資料；安全清單彙總功能對安全收件者清單資料不起作用。因此，為了降低 Active Directory 中的儲存及複寫，不建議將 Type 參數設為 SafeRecipients 或 Both 值來執行 Update-Safelist Cmdlet。Type 參數的預設值是 SafeSenders。安全清單彙總功能會使用安全寄件者資料。

重要事項：
Microsoft Exchange Server 2010 提供的功能允許您指定是否在 Edge Transport Server 上使用 Update-Safelist Cmdlet，加入反垃圾郵件代理程式的安全網域資料。在大部分情況下，不建議您將網域加入，因為使用者可能會將大型網際網路服務提供者 (ISP) 的網域加入，而不小心提供可能遭濫發垃圾郵件者使用或冒用的地址。

Microsoft Exchange Server 2010 提供的功能允許您指定是否在 Edge Transport Server 上使用 Update-Safelist Cmdlet，加入反垃圾郵件代理程式的安全網域資料。在大部分情況下，不建議您將網域加入，因為使用者可能會將大型網際網路服務提供者 (ISP) 的網域加入，而不小心提供可能遭濫發垃圾郵件者使用或冒用的地址。

此範例會為信箱 john@contoso.com 編寫至 Active Directory 的安全寄件者清單。

Update-Safelist -Identity john@contoso.com -Type SafeSenders

如需詳細的語法及參數資訊，請參閱 Update-SafeList。

msexchangemailboxassistants.exe.config 檔中可用的選項

若要啟用加入安全網域的選項，或是變更預設設定的最大值，您必須變更 msexchangemailboxassistants.exe.config 檔。具體地說，下列設定和值可以在 msexchangemailboxassistants.exe.config 檔的 appsettings 區段中變更：

設定	值
IncludeSafeDomains	此設定的值可以是 True 或 False。
UpdateInterval	此設定的預設值是 15 分鐘。此設定的值可以從 15 分鐘到 1 天。
TestUpdateInterval	TestUpdateInterval 是在測試環境中使用。此設定的值可以從 10 秒到 1 小時。
MaxSafeSenders	3*1024
MaxSafeRecipients	2*1024
MaxBlockedSenders	根據預設，此設定的值為 500。最大值為 1000。

例如，msexchangemailboxassistants.exe.config 檔的 appsettings 區段中的設定可能如下所述：

<configuration>
  <runtime>
    <gcConcurrent enabled="false" />
    <generatePublisherEvidence enabled="false" />
  </runtime>
  <appSettings>

        <add key="IncludeSafeDomains" value="true" />

</appSettings>
</configuration>

驗證安全清單彙總

當您第一次部署 Edge Transport Server 及設定 EdgeSync 複寫，或是進行疑難排解時，可能需要驗證安全清單彙總。通常您需要驗證下列各項：

確定安全清單彙總資料是由 EdgeSync 服務複寫。
確定已啟用內容篩選。
使用測試郵件驗證安全清單彙總功能

下列各節提供每種狀況的逐步指示：

使用 AD LDS 驗證安全清單彙總資料的 EdgeSync 複寫

您必須已獲指派權限，才能執行此程序。若要查看您需要的權限，請參閱傳輸權限主題中的「Edge Transport Server」項目。

您可於 Edge Transport Server 上的 Active Directory 輕量型目錄服務 (AD LDS) 執行個體中檢視使用者物件，以驗證安全清單集合資料已針對使用者物件更新，且 MicrosoftExchange EdgeSync 服務已將資料複寫至 AD LDS 執行個體。

每個使用者物件有三個安全清單集合屬性：

msExchSafeRecipientsHash 此屬性儲存使用者之安全收件者清單集合的雜湊。
msExchSafeSendersHash 此屬性儲存使用者之安全寄件者清單集合的雜湊。
msExchBlockedSendersHash 此屬性儲存使用者之封鎖的寄件者清單集合的雜湊。

如果屬性上有十六進位字串 (如 0xac 0xbd 0x03 0xca)，即已更新使用者物件。如果屬性的值為 <Not Set>，表示未更新屬性。

您可以使用 AD LDS Active Directory 服務介面 (ADSI) 編輯嵌入式管理單元來搜尋及檢視屬性。

驗證已啟用內容篩選

傳輸權限主題中的您必須已獲指派權限，才能執行此程序。若要查看您需要的權限，請參閱「反垃圾郵件功能」項目。

安全清單彙總功能是靠內容篩選來辨識 Outlook 使用者的安全寄件者清單或封鎖的寄件者清單上的寄件者。確認已在執行反垃圾郵件及防毒功能的每一部 Edge Transport Server 上啟用內容篩選。預設會啟用內容篩選。

使用 EMC 驗證已啟用內容篩選

在主控台樹狀目錄中，按一下 [邊際傳輸]。
在結果窗格中，依序按一下 [反垃圾郵件] 及 [內容篩選]，然後在執行窗格中按一下 [啟用]。

使用命令介面驗證已啟用內容篩選

此範例會驗證是否已啟用內容篩選。

Get-ContentFilterConfig | Format-List Enabled

如果輸出顯示 Enabled 參數為 True，則表示已啟用內容篩選。如果未啟用，請使用下列命令啟用內容篩選。

Set-ContentFilterConfig -Enabled:$true

如需詳細的語法及參數資訊，請參閱 Get-ContentFilterConfig 或 Set-ContentFilterConfig 主題。

使用郵件驗證安全清單彙總功能正常

您必須已獲指派權限，才能執行此程序。若要查看您需要的權限，請參閱傳輸權限主題中的「反垃圾郵件功能」和「EdgeSync」項目。

若要測試安全清單彙總功能是否正常，您需要從標記為安全的寄件者傳送一封會遭到內容篩選封鎖的郵件。如果安全清單彙總正在運作中，郵件應該會送達 Outlook 收件匣。

使用免費的 Web 電子郵件提供者 (如 Hotmail) 建立電子郵件帳戶。
將該帳號新增至 Outlook 中的安全寄件者清單。
使用 Update-SafeList Cmdlet 將安全清單集合自該信箱複製到 Active Directory。
執行 Start-EdgeSynchronization Cmdlet 以強制執行 EdgeSync 複寫。這樣會將更新的資料複寫到 Edge Transport Server。如需詳細步驟，請參閱強制 EdgeSync 同步處理。
在您的內容篩選組態中新增特定單字做為封鎖片語。如需詳細步驟，請參閱設定內容篩選內容。
從您在步驟 1 中建立的 Hotmail 帳號傳送郵件至您的 Exchange 信箱，其中需包含您在步驟 5 中設定的封鎖詞語。