1.防止恶意转发 默认情况下Exchange不是,也不应该是Open-Relay。处于Open-Relay状态的邮件服务器会造成很大的危害性,因为许多垃圾邮 件散播者并不用他们自己的邮件服务器来发送垃圾邮件,而是寻找Internet上那些Open-Relay的邮件服务器来转发垃圾邮件。Open- Relay的危害性主要有两点。{dy},收信方会认为你的邮件服务器在散播垃圾邮件,从而在他们的服务器端阻隔所有来自你的服务器或域的连接请求。这样你的 服务器就不能向那些域发信了。而且更糟的是你的邮件服务器的IP地址还很有可能会被加入到Internet上公开的Open-Relay服务器黑名单 (Black List)上,所造成的后果是你会发现许多外部域都拒收来自你服务器的邮件,你需要花费一定的人力财力才能将自己的服务器从黑名单上去除。第二,一般一封 垃圾邮件是群发的,收件人会有成百上千个。垃圾邮件散播者通过你的邮件服务器转发垃圾邮件,他们只需用很少的网络带宽向你的服务器发一封信,然后你的服务 器若是允许转发,那么它将会占用大量的网络带宽来将这份信转发到所有的外部收信人那里。由于正常的网络带宽被过渡占用,情况严重时会造成服务器停止相应, 影响内部用户邮件的正常使用。 我们可以通过以下的步骤来确保Exchange服务器不处于Open-Relay状态: 1.打 开Exchange System Manager。 除了在Default SMTP Virtual Server上要防止Open-Relay之外,我们还需要注意SMTP Connector上的设置。虽然Exchange 2000无需SMTP Connector就已经能够通过SMTP Virtual Server来收发Internet的邮件,但许多公司还是会创建一个或多个SMTP Connector来更好地细化和定义对外发信的路由。通常会有一个SMTP Connector的地址空间(Address Space)是*,表示发向Internet上所有外部域的邮件都可以通过这个SMTP Connector出去。在Exchange System Manager中打开这个SMTP Connector属性对话框,为了不使服务器处于Open-Relay状态,在Address Space选项卡上(如图2)确保底部的“Allow messages to be relayed to these domains”选项没有被选中。 2.设置IP地址限制 1.打开Exchange System Manager。 注 意:若采用DNS域名做为限制条件,就需要对所有的连入请求进行反向DNS查询(验证其连入的IP地址和域名是否相符),这会在一定程度上影响服务器的性 能。我们可在Delivery选项卡上点击Advanced按钮,在弹出的Advanced Delivery对话框中设置反向DNS查询。 如 果我们所处的环境是我们ISP的邮件服务器为我们接收所有来自Internet的邮件,然后再转发到我们的Exchange服务器,那么我们xx可以在图 3中选择“Only the list below”选项,然后加入ISP邮件服务器的IP地址或IP段。由于有些ISP会定期更改他们邮件服务器的IP地址,所以我们建议采用子网掩码来加入一 组IP网段。 3.限制每个连接所能发送的{zd0}邮件数和每封邮件的{zd0}收件人数 1.打开Exchange System Manager。 4.使用过滤器阻 止垃圾邮件 1.打开Exchange System Manager。 定 义了过滤条件以后,我们还需要将其应用到SMTP Virtual Server上使其生效。 5. 使用Event Sink
Microsoft Exchange 2003在防范垃圾邮件功能上的增强 上面我们提到 Exchange 2000中有过滤器可通过检测邮件中的发信人地址来阻隔垃圾邮件。在Exchange 2003中,这一功能进一步被细化为发信人过滤器、收信人过滤器和连接过滤器。打开Exchange 2003的Exchange System Manager,在Message Delivery的属性对话框上,我们可以看到三个相应的选项卡(如图6)。 其中Sender Filtering选项卡上就是Exchange 2000中的过滤器,新增了“Drop connection if address matches filter”这一选项;Recipient Filtering选项卡上为收信人过滤器功能,可以指定拒收收信人为任意特定地址的邮件,或是选中“Filter recipient who are not in the Directory”来只接收那些发给其目录(即Windows的活动目录)中收件人的邮件。这样Exchange服务器就不用象以前那样对于发送不了的 垃圾邮件进行退信(NDR),节省了资源。通常情况下,垃圾邮件散播者用的地址都为空地址或是假地址,以前当NDR信件本身也不能被发送出去时,会堆积在 Exchange服务器上的BadMail目录中,需要管理员定时清空这些邮件。但需要注意的是,由于SMTP协议会对合法和非法的收件人地址返回相应的 5.x.x代码,所以使用收信人过滤器可能会让一些恶意的垃圾邮件散播者识别出哪些邮件地址是存在的,哪些是不存在的。这一点大家需要注意。 下 面重点介绍一下Exchange 2003中的连接过滤器功能。Exchange 2003支持使用Internet上的即时黑名单列表(RBLs:Real-time Blacklists)来做为过滤连接请求的判断规则。RBLs中包含了大量已知的垃圾邮件散播者和处于Open-Relay状态服务器的IP地址。 Exchange 2003可以将发送连接请求的远端SMTP服务器的IP地址与RBLs中的信息进行比较,如果发现其与黑名单中的IP地址相符,则拒绝此连接请求。由于 RBLs供应商都会即时地更新他们的RBLs中的信息,所以Exchange 2003采用这种方式将能颇为有效地阻隔大量的垃圾邮件。在图6中的Connection Filter选项卡上,我们点击New按钮可逐一添加RBLs列表(如图7)。当添加了多个RBLs后,我们还能用Move Up和Move Down按钮调整其优先级。 |