1．防止恶意转发
这里的恶意转发（Relay）是指一个Internet上的SMTP服务器连接到你的邮件服务器来试图发送邮件到另外一个外部的 电子邮件域。例如，你公司的邮件服务器A负责接收的是a.com的邮件地址，如果一台Internet上的外部SMTP服务器B连到你的服务器，并想通过 你的邮件服务器来转发一封到c.com的邮件，这就是一种Relay。如果你的邮件服务器允许这种转发，那么它就处于Open-Relay状态；若不允 许，就是Closed-Relay

默认情况下Exchange不是，也不应该是Open-Relay。处于Open-Relay状态的邮件服务器会造成很大的危害性，因为许多垃圾邮 件散播者并不用他们自己的邮件服务器来发送垃圾邮件，而是寻找Internet上那些Open-Relay的邮件服务器来转发垃圾邮件。Open- Relay的危害性主要有两点。{dy}，收信方会认为你的邮件服务器在散播垃圾邮件，从而在他们的服务器端阻隔所有来自你的服务器或域的连接请求。这样你的 服务器就不能向那些域发信了。而且更糟的是你的邮件服务器的IP地址还很有可能会被加入到Internet上公开的Open-Relay服务器黑名单 （Black List）上，所造成的后果是你会发现许多外部域都拒收来自你服务器的邮件，你需要花费一定的人力财力才能将自己的服务器从黑名单上去除。第二，一般一封 垃圾邮件是群发的，收件人会有成百上千个。垃圾邮件散播者通过你的邮件服务器转发垃圾邮件，他们只需用很少的网络带宽向你的服务器发一封信，然后你的服务 器若是允许转发，那么它将会占用大量的网络带宽来将这份信转发到所有的外部收信人那里。由于正常的网络带宽被过渡占用，情况严重时会造成服务器停止相应， 影响内部用户邮件的正常使用。

我们可以通过以下的步骤来确保Exchange服务器不处于Open-Relay状态：

1．打 开Exchange System Manager。
2．在左边的窗口中，找到Servers -> “你的服务器名” -> Protocols -> SMTP -> Default SMTP Virtual Server。右击鼠标打开Default SMTP Virtual Server的属性对话框。
3．在Access选项卡上，点击Relay按钮。
4．在弹出的Relay Restriction对话框中（如图1），选中“Only the list below”选项。这也是Exchange的默认设置。这样所有外部的服务器就不能通过这台Exchange服务器来转发邮件。若是我们要允许一些特定的 服务器（如你的子公司或合作伙伴的服务器）通过你的服务器转发邮件，我们可以点击Add按钮把那些特定的服务器加到下面的列表中。
5．最下面的 “Allow all computers which successfully authenticate to relay, regardless of the list above”为可选项。如果你有用户要通过POP3或IMAP4的方式来收发邮件，那么这个选项一定要选中。选中这个选项后，Exchange服务器并没 有处于Open-Relay状态，这个选项只是用于让那些能够提供正确用户名和密码的POP3或IMAP4合法用户来转发邮件，Internet上其他未 经认证的服务器仍然不能转发。若是我们没有POP3或IMAP4用户，xx可以将这个选项也不选中。

除了在Default SMTP Virtual Server上要防止Open-Relay之外，我们还需要注意SMTP Connector上的设置。虽然Exchange 2000无需SMTP Connector就已经能够通过SMTP Virtual Server来收发Internet的邮件，但许多公司还是会创建一个或多个SMTP Connector来更好地细化和定义对外发信的路由。通常会有一个SMTP Connector的地址空间（Address Space）是*，表示发向Internet上所有外部域的邮件都可以通过这个SMTP Connector出去。在Exchange System Manager中打开这个SMTP Connector属性对话框，为了不使服务器处于Open-Relay状态，在Address Space选项卡上（如图2）确保底部的“Allow messages to be relayed to these domains”选项没有被选中。

2．设置IP地址限制
对于从Internet上收到的垃圾邮件，我们可以在Outlook中打开 其“邮件选项”对话框，查看其Internet信头。从信头中我们可以得到发送这封垃圾邮件的服务器的IP地址，从而我们可以在Exchange服务器上 限制来自这个IP地址的连接。具体步骤如下：

1．打开Exchange System Manager。
2．在左边的窗口中，找到 Servers -> “你的服务器名” -> Protocols -> SMTP -> Default SMTP Virtual Server。右击鼠标打开Default SMTP Virtual Server的属性对话框。
3．在Access选项卡 上，点击Connection按钮。
4．在弹出的Connection对话框中（如图3），选中“All except the list below”选项。点击下面Add按钮来添加那些我们不想让其连接的服务器。限制条件可为单独的IP地址，由子网掩码定义的一段IP地址或DNS域名。

注 意：若采用DNS域名做为限制条件，就需要对所有的连入请求进行反向DNS查询（验证其连入的IP地址和域名是否相符），这会在一定程度上影响服务器的性 能。我们可在Delivery选项卡上点击Advanced按钮，在弹出的Advanced Delivery对话框中设置反向DNS查询。

如 果我们所处的环境是我们ISP的邮件服务器为我们接收所有来自Internet的邮件，然后再转发到我们的Exchange服务器，那么我们xx可以在图 3中选择“Only the list below”选项，然后加入ISP邮件服务器的IP地址或IP段。由于有些ISP会定期更改他们邮件服务器的IP地址，所以我们建议采用子网掩码来加入一 组IP网段。

3．限制每个连接所能发送的{zd0}邮件数和每封邮件的{zd0}收件人数
我们知道，垃圾邮件通常是以群发的形式发给大量的收件 人。在Exchange服务器上，我们可以通过限制每个SMTP连入请求所能发送的{zd0}邮件数和每封邮件的{zd0}收件人数，来从一定程度上制止垃圾邮件的蔓 延。具体的做法是：

1．打开Exchange System Manager。
2．在左边的窗口中，找到Servers -> “你的服务器名” -> Protocols -> SMTP -> Default SMTP Virtual Server。右击鼠标打开Default SMTP Virtual Server的属性对话框。
3．在Messages选项卡上，有 “Limit number of messages per connection t”和“Limit number of recipients per message t”两个选项可以设置。其默认值分别为20和64000。我们可以根据实际需要进行相应的调整。

4．使用过滤器阻 止垃圾邮件
另外，Exchange服务器还为我们提供了过滤器功能，可用于阻隔来自特定邮件地址、域名的邮件或是发件人为空的邮件（发件人为空是 许多垃圾邮件的特征之一）。使用过滤器的具体步骤如下：

1．打开Exchange System Manager。
2．在左边的窗 口中，找到Global Settings -> Message Delivery。右击鼠标打开Message Delivery的属性对话框。
3. 在Filtering选项卡上（如图4），点击Add按钮我们可逐一添加所需阻隔的邮件地址或域名。例如，我们可添加来阻隔发自这个特定地址的邮件；或使用通 配符来阻隔所有发自spam.com的邮件。
4．另外， 在Filtering选项卡的下面我们可以选中“Filter messages with blank sender”来拒收收件人为空的邮件。

定 义了过滤条件以后，我们还需要将其应用到SMTP Virtual Server上使其生效。
5．打开Default SMTP Virtual Server的属性对话框，在General选项卡上点击Advanced按钮，然后再点击Edit按钮。
6．在弹出的 Identification对话框中（如图5），选中“Apply Filter”选项。

5. 使用Event Sink
另外我 们还能通过使用VB，VC等编写Event Sink来检测邮件标题或是信体中的特定内容，阻隔垃圾邮件。如果大家对此有更多兴趣的话，可以参考下面微软知识库文档中的代码样例和Exchange 2000 SDK（Software Development Kit）上的内容。

Microsoft Exchange 2003在防范垃圾邮件功能上的增强
------------------------------------------------------------
将 于今年年中左右发布的Exchange 2003（开发代号为Titanium，目前版本为Beta2测试版）是微软Exchange Server的下一代版本。下面就简单介绍一下Exchange 2003中部分针对反垃圾邮件功能上的增强，供您参考。

上面我们提到 Exchange 2000中有过滤器可通过检测邮件中的发信人地址来阻隔垃圾邮件。在Exchange 2003中，这一功能进一步被细化为发信人过滤器、收信人过滤器和连接过滤器。打开Exchange 2003的Exchange System Manager，在Message Delivery的属性对话框上，我们可以看到三个相应的选项卡（如图6）。

其中Sender Filtering选项卡上就是Exchange 2000中的过滤器，新增了“Drop connection if address matches filter”这一选项；Recipient Filtering选项卡上为收信人过滤器功能，可以指定拒收收信人为任意特定地址的邮件，或是选中“Filter recipient who are not in the Directory”来只接收那些发给其目录（即Windows的活动目录）中收件人的邮件。这样Exchange服务器就不用象以前那样对于发送不了的 垃圾邮件进行退信（NDR），节省了资源。通常情况下，垃圾邮件散播者用的地址都为空地址或是假地址，以前当NDR信件本身也不能被发送出去时，会堆积在 Exchange服务器上的BadMail目录中，需要管理员定时清空这些邮件。但需要注意的是，由于SMTP协议会对合法和非法的收件人地址返回相应的 5.x.x代码，所以使用收信人过滤器可能会让一些恶意的垃圾邮件散播者识别出哪些邮件地址是存在的，哪些是不存在的。这一点大家需要注意。

下 面重点介绍一下Exchange 2003中的连接过滤器功能。Exchange 2003支持使用Internet上的即时黑名单列表（RBLs：Real-time Blacklists）来做为过滤连接请求的判断规则。RBLs中包含了大量已知的垃圾邮件散播者和处于Open-Relay状态服务器的IP地址。 Exchange 2003可以将发送连接请求的远端SMTP服务器的IP地址与RBLs中的信息进行比较，如果发现其与黑名单中的IP地址相符，则拒绝此连接请求。由于 RBLs供应商都会即时地更新他们的RBLs中的信息，所以Exchange 2003采用这种方式将能颇为有效地阻隔大量的垃圾邮件。在图6中的Connection Filter选项卡上，我们点击New按钮可逐一添加RBLs列表（如图7）。当添加了多个RBLs后，我们还能用Move Up和Move Down按钮调整其优先级。