Exchange Server 2003 防范垃圾邮件之发件人筛选，收件人筛选，连接筛选实操

出处：Windows 中文站论坛作者：lianggj 时间：2007-3-6 13:20:19

在Exchange环境中打击垃圾邮件的方案
http://www.5dmail.net/html/2007-1-11/200711105955.htm

这篇文章中，请得非常清楚如何在Exchange中防范垃圾邮件。但对于我们刚学的朋友门，可能不知从何下手去理解和验证这些技术。
所以在这里简单地从筛选这里入手。做一下发件人筛选，收件人筛先，和连接筛选。都属于连接级的筛选。
目的：帮助减少组织内不需要的大量电子邮件或未经请求的商业电子邮件 (UCE)。

实验拓扑：

监于发件人筛选，收件人筛选可直接在Exchange上设置即可成功，所以下面先看看这两个如何实现，
动手之前，先弄清楚：
发件人筛选使您能够对发送到本域的邮件进行筛选,收件人筛选是过滤对方的用户，如我的2个域上，
一个是contoso.msft,有用户c,
另一个域是nwtrader.msft有用户n.
我在contoso.msft上做发件人筛选，筛选是的外部用户，如筛选nwtrader.msft上的n.那么n发送给contoso.msft的邮件将被过滤掉，而nwtrader.msft上的其它用户可发，如想对nwtrader.msft所有用户进行筛选，在设置时用*@nwtrader.msft，即过滤所有用户。

收件人筛选使您能够对发送至特定收件人的邮件进行筛选。
环境如上，如在contoso.msft上做收件人筛选，筛选用户c，那么c用户是不能收到任何邮件。而对其它用户不影响。

环境如1楼所示，相互之间能解释域名。现在看下相互之间能发送邮件。

上面弄清楚筛选的对象，接下来就比较简单了。
先看发件人筛选：
在contoso.msft上设置筛选nwtrader.msft用户 n。

在按应用时，会弹出提示要使用筛选，得先在SMTP虚拟服务器启用筛选功能。

先要打开SMTP虚拟服务器的筛选功能。应用发件人筛选功能。
如图：

验证结果：
到nwtrader.msft给contoso.msft域用户发封电子邮件。

结果。contoso.msft用户没收到邮件。而nwtrader.msft用户n收到未送到报告。

而nwtrader.msft上的其它收件人是可以向contoso.msft的用户发送邮件的。

结果

要想对整个nwtrader.msft的用户进行过滤。
那么在发件人筛选上设置如下：

nwtrader.msft的用户 nn再次发送邮件。

以上是发件人筛选，下面我们看看收件人筛选。
要清楚：收件人筛选是对发送至特定收件人的邮件进行筛选。
如在contoso.msft上做对用户c的筛选，那么在本域内对任何人发给c用启的邮件进行了过滤。而发给其它用户的邮件将没影响。
（先把发件人筛选删除了）。
收件人筛选设置如下：

先在SMTP虚拟服务器上启用收件人筛选，再设置。

nwtrader.msft的用户n给contoso.msft的用户c发邮件。

contoso.msft的c用户被过滤了，而不会影响其它用户，如有cc用户，nwtrader.msft的n用户也给cc用户发送一封邮件看看：

以上做的是发件人，收件人筛选。
下面开始做连接筛选。
连接筛选用于将 Exchange Server 配置为与实时阻止列表 (RBL) 提供程序联系，以确定是否将发送电子邮件的计算机显示在“被列入黑名单的”计算机列表中。
连接筛选的工作原理
连接筛选是简单邮件传输协议 (SMTP) 所使用的一条规则，用于确定计算机的 Internet 协议 (IP) 地址是否显示在实时阻止列表 (RBL) 上。RBL 是由某实体创建的数据库，用于记录未经请求的商业电子邮件 (UCE) 或批量电子邮件的潜在来源。UCE 也称为垃圾邮件。UCE 或批量电子邮件的某些潜在来源包括配置为“开放”中继或拨号帐户的电子邮件服务器。

SMTP 使用连接筛选对发送邮件服务器的 IP 地址执行域名系统 (DNS) 查询。Exchange Server 2003 向 RBL 提供程序发送查询以确定发送邮件服务器的主机记录（也称为 A 记录）是否显示在 RBL 中。RBL 提供程序会检查其 DNS 记录，以确定其中是否存在发送邮件服务器的主机记录。RBL 提供程序按下列格式查找该主机记录：
Reverse IP address of the sending mail server.DNS suffix of the RBL provider
例如，如果发送邮件服务器的 IP 地址为 172.16.21.5 并且 RBL 提供程序的 DNS 后缀是 contoso.com，则 Exchange 2003 会查询 5.21.16.172.contoso.com。

RBL 提供程序返回下列响应之一： • “找不到主机”：如果请求的 IP 地址没有位于 RBL 提供程序的 DNS 中，则该提供程序会返回此响应。
• “127.0.0.Status code”：如果请求的 IP 地址位于 RBL 提供程序的 DNS 中，则该提供程序会返回此响应。Status code 指出违规类型。由于目前没有统一的标准，因此该状态代码可能因各提供程序而异。
如果 IP 地址位于 RBL 提供程序的 DNS 中，则 SMTP 会返回以下错误消息以响应发送邮件服务器的 RCPT TO 命令：
550 5.x.x
可以使用多个连接筛选器设置应用各筛选器的优先顺序。如果使用多个 RBL 提供程序，则按它们在 Exchange 2003 中的显示顺序逐一进行查询。如果 Exchange Server 从上一提供程序获得匹配项，则不会查询列表中的其他 RBL 提供程序。

顺便提供国内的免费RBL服务器

下面看我们如何做实验连接筛选，这里很多人不禁会想到不是要用RBL服务器吗？在那里。
我们的实验环境当然是自己搭建的。
那么我们就先从搭建RBL开始，手工建立RBL服务器。
RBL概述
为了有效地拒绝来自恶意的垃圾邮件来源站点和/或被利用的垃圾邮件来源站点所发来的垃圾邮件，最直接和有效的办法就是拒绝该来源的连接。

　　虽然从理论上说，这样也有可能会拒绝掉来自该站点的正常邮件，从而造成邮件不能正常的投递，但是有以下理由支持我们这样做：

接收任何来源的邮件则有可能导致邮箱中充满了垃圾邮件，影响了邮件服务器的性能和容量以及带来高额的带宽费用，而且导致了收取邮件的人浪费了不必要时间处理这些垃圾邮件；
通过程序过滤垃圾邮件不但从技术上不能保证完全可靠，而且会对服务器带来很多负载；
通过人工一一分拣邮件基本上是不可行的，不但从工作量上不可承受，而且有可能会带来隐私问题；
通过拒绝恶意的垃圾邮件站点的连接，可以使垃圾邮件的实际发送量下降，从而缩小了垃圾邮件市场和压制了垃圾邮件的发展；
通过拒绝被利用的垃圾邮件来源站点的连接，可以使该站点的管理员能充分认识到被利用所带来的后果，从而消除被利用的条件。
　　综合以上利弊，我们认为，通过将确认后的垃圾邮件来源站点（无论是否是恶意与否）放入一个黑名单（Blackhole List），然后通过发布该名单来保护邮件服务器不受到黑名单中站点的侵扰确实是一个目前对抗日益严重的垃圾邮件的行之有效的方法。

　　目前在黑名单技术上最流行的是实时黑名单（Realtime Blackhole List，简称RBL）技术。通常该技术是通过DNS方式（查询和区域传输）实现的。目前国外流行的几个主要的实时黑名单服务器都是通过DNS方式提供的，如Mail-Abuse的RBL、RBL+等。
　　实时黑名单实际上是一个可供查询的IP地址列表，通过DNS的查询方式来查找一个IP地址的A记录是否存在来判断其是否被列入了该实时黑名单中。举例来说，比如如果要判断一个地址11.22.33.44是否被列入了黑名单，那么使用黑名单服务的软件会发出一个DNS查询到黑名单服务器（如cbl.anti-spam.org.cn），该查询是这样的：查找 44.33.22.11.cbl.anti-spam.org.cn 是否存在A记录？如果该地址被列入了黑名单，那么服务器会返回一个有效地址的答案。按照惯例，这个地址是127.0.0.0/8内的地址如127.0.0.2（之所以使用这个地址是因为127/8这个地址段被保留用于打环测试，除了127.0.0.1用于打环地址，其它的地址都可以被用来做这个使用，比如有时候还用127.0.0.3等。）。如果没有列入黑名单，那么查询会得到一个否定回答（NXDOMAIN）。

　　有时候，由于邮件服务器非常繁忙，而邮件服务器每收到一封信就要做一个查询，虽然单个查询非常快，但是过多的对黑名单服务器的查询会导致查询响应迟缓。在这种情况下，可以通过使用DNS的区域传输，将黑名单服务器的数据传输到本地的DNS服务器，然后对本地的DNS服务器进行查询即可。区域传输可以设置为手工更新、定时更新或自动更新等方式，这依赖于你的应用。

　　黑名单服务器的DNS查询和区域传输，并不是都可以随意使用的。有些服务器可供任何人查询和区域传输，而有些只对特定的用户开放。通常实时黑名单服务器都是不开放区域传输功能的。中国反垃圾邮件联盟所提供的CBL/CDL/CBL+都是免费查询的，不需要申请即可使用；而它们的区域传输通常是不开放的。

　　黑名单服务的提供和黑名单的维护由黑名单服务提供者来提供和维护。所以该名单的权威性和可靠性就依赖于该提供者。通常多数的提供者都是比较有国际信誉的组织，所以对于该名单来说还是可以信任的。

　　不过由于多数的黑名单服务提供者是国外的组织和公司，所以其提供的黑名单并不能有效地反映出国内的垃圾邮件情况，因此国内使用实时黑名单服务的邮件商很少，这也是我们之所以要提供自己的实时黑名单服务的原因。我们希望通过提供一个主要针对国内的垃圾邮件状况和动态地址分布的黑名单来为有效地遏制垃圾邮件做些有益的贡献。

如何架设一个简易的实时黑名单服务器。
1.需要安装并运行一个DNS服务器。我们用之前外网的DNS。在1楼图上有说明。
2.然后，你需要建立黑名单数据区域。区域我们已经存在了。因为contoso.msft和nwtrader.msft都用他来相互解释。（建立实验环境时建立的。）
3.需要建立黑名单数据，在区域数据文件中，添加你的黑名单数据。比如，你要将1.1.1.2加入黑名单，那么你的区域数据文件中应该有如下一行：2.1.1.1 IN A 127.0.0.2
4.现在，你可以重新启动你的DNS服务器了。测试一下你刚刚加入的黑名单是否可以查询到，
如果查询结果中有你解析的地址：127.0.0.2，那么恭喜你，你的黑名单服务器已经架设成功了。
5.最后，设置你的邮件服务器使用你自己的黑名单服务器。
那我在上面只需要建立一个A记录即可。
如图：

先找台客户端验证下RBL。
结果：

接下来就是设置Exchange.
我在contoso.mfst上设置连接筛选。筛选nwtrader.msft.
因我把nwtrader.msft列入了黑名单。
看contoso.msft上的设置。开始还是先启用SMTP虚拟服务器的连接筛选，再到全局设置，设置连接筛选。

创建连接筛选器
要在 Exchange 2003 中创建连接筛选器，请按照下列步骤操作：
1. 启动 Exchange 系统管理器。
2. 展开“全局设置”，右键单击“邮件传递”，然后单击“属性”。
3. 单击“连接筛选”选项卡。
4. 要创建连接筛选规则，请单击“添加”。
5. 在“显示名称”框中，键入连接筛选器的名称。
6. 在“提供程序的 DNS 后缀”框中，键入提供程序追加到 IP 地址中的 DNS 后缀。
7. 在“自定义要返回的错误消息”框中，键入要返回给发件人的自定义错误消息。

如果要使用默认的错误消息，请将该字段保留为空。默认的错误消息如下：
IP address has been blocked by Rule name of the connection filter
可以使用下列变量生成自定义消息： • %0：发送邮件服务器的 IP 地址
• %1：连接筛选器的规则名称
• %2：RBL 提供程序
例如，如果在“自定义要返回的错误消息”框中键入 The IP address %0 was rejected by the Realtime Block List provider %2.，则将生成以下自定义错误消息：
The IP address IP address was rejected by the Realtime Block List provider RBL provider.
8. 要配置从 RBL 提供程序接收的、要与此连接筛选器匹配的返回状态代码，请单击“返回状态代码”，然后执行下列操作之一： • 单击“筛选规则与所有返回代码都匹配”以设置连接筛选器与所有返回状态都匹配的默认值。
• 单击“筛选规则与下列掩码匹配”，然后键入要按其进行筛选的位掩码。该位掩码基于提供程序使用的位掩码。

注意：位掩码仅检查单个值。如果设置了一个在 IP 地址显示在两个列表中的情况下返回的位掩码值，则该位掩码只匹配与两个设置同时匹配的 IP 地址。
• 单击“筛选规则与下列响应匹配”，然后键入要用其进行筛选的返回代码。
在配置完“返回状态代码”对话框中的各项后，单击“确定”。
9. 单击“确定”两次。
10. 如果收到以下消息，请单击“确定”：
默认情况下不启用连接、收件人和发件人筛选，因此对于特定的 SMTP 虚拟服务器 IP 地址分配，必须手动启用这些筛选。有关如何启用上述任一筛选类型的更多信息，请阅读其相关帮助。

我的设置：

验证结果。
在nwtrader.msft上用户n给用户c发送电子邮件。

对于发件人ID筛选和IMF。
在Exchange环境中打击垃圾邮件的方案这文章中请得已经相当清楚了。在这里我就不动手做。
还有我发了IMF的白皮书供下载参考。
写得不好，请见谅。有疑问的地方请指出共同探论。

参考文章：
http://anti-spam.org.cn/
https://www.microsoft.com/technet/prodtechnol/exchange

分享到：