Microsoft 的邮件清理

本页内容

执行摘要

简介

反垃圾邮件

防病毒

其他邮件清理技术

最佳做法

结论

更多信息

执行摘要Internet 上无用的电子邮件（垃圾邮件）、病毒和恶意软件 (malware) 的泛滥对任何公司来说都是一个严重问题，Microsoft 也不例外。这一问题在过去几年里日趋严重，以至于现在每个连接到 Internet 的企业都必须采取预防措施来防范这种攻击。这些威胁不只是电子邮件本身带来的威胁，还包括其他与电子邮件相关的威胁，例如简单邮件传输协议 (SMTP) 层的拒绝服务 (DoS) 攻击、有目标的邮件炸弹（通过发送大量电子邮件使邮件系统瘫痪）和目录搜集攻击（尝试搜集大量有效的电子邮件地址）。

在 1998 年之前，几乎没有防御垃圾邮件、病毒和其他电子邮件攻击的工具，因为这类问题根本不存在。考虑到目前的 Internet 环境，Microsoft 信息技术工作组 (Microsoft IT) 认为有必要使用多种机制来抵御这些威胁，而不能只使用一种机制。这种方法包括联合使用部署在邮件服务环境中的多个层次（从网关到客户端）的 Microsoft 和第三方软件产品。Microsoft IT 将其所有针对这种威胁以及类似威胁的防御机制统称为“邮件清理”。

自从 1998 年以来，Microsoft IT 已在其 Microsoft%26reg; Exchange 基础结构中使用了多种邮件清理功能。对防病毒和反垃圾邮件系统体系结构的最新改进使得 Microsoft IT 能够加强将近 50% 的需要在环境中执行反垃圾邮件功能的服务器。除了对体系结构进行更改之外，Microsoft IT 还同时加强了 Internet 邮件网关层和客户端层的防御能力。这样，Microsoft IT 既可以降低操作成本，又可以加强防范恶意电子邮件和无用电子邮件的力度。

Microsoft IT 已经使用了 Microsoft Exchange Server 2003（Microsoft 的服务器邮件服务产品）的邮件清理功能来加强以前由第三方电子邮件扫描软件提供的防病毒和反垃圾邮件功能。Microsoft IT 最新部署的这类功能包括：

%26#8226;

使用第三方的已知垃圾邮件发件人实时阻止列表的连接筛选

%26#8226;

发件人和收件人筛选以及收件人查找

%26#8226;

Microsoft Exchange 智能邮件筛选器 — 基于内容的垃圾邮件筛选软件

撰写本文时，从 Internet 提交到 Microsoft IT 电子邮件网关的邮件数量平均每天在 800 万到 1000 万之间。使用这种多层筛选电子邮件的方法，就可以通过多种机制分析传入的电子邮件，每种机制都最终减少了允许通过的垃圾邮件的数量。下面的筛选阶段说明了在撰写本文时 Microsoft IT 中的电子邮件筛选层的效果。这些数字均基于每天的平均量：

连接筛选阻止大约 25% 的传入 SMTP 连接。这些连接来自第三方实时阻止列表上列出的已知垃圾邮件源。

发件人和收件人筛选删除 59% 的在连接筛选之后接收的邮件。

智能邮件筛选器删除 38% 的在发件人和收件人筛选之后保留下来的邮件。

在经历上述筛选阶段后，剩余的电子邮件会接受病毒扫描。如果邮件通过了此阶段，就会发送到邮箱服务器供用户访问。电子邮件客户端也运行筛选软件，以进一步减少到达用户的垃圾邮件的数量。一般情况下，在经过所有筛选器筛选后，每天只剩下 15% 的传入 Internet 电子邮件，如图 1 所示。

图 1. 对传入的 Internet 电子邮件进行垃圾邮件筛选的效果

查看大图

在最近遭受的攻击中，Microsoft IT 发现每天电子邮件的数量已是原来的两倍、三倍甚至是四倍，不过 Microsoft IT 目前的防御层仍然很好地保护着邮件服务环境，一直未让用户受到这些攻击的任何影响。

每天，Microsoft IT 工作组都会收到一些关于邮件服务基础结构中的垃圾邮件、病毒和电子邮件攻击防范方法的询问。本文详细分析了在防范这种日趋严重的问题的过程中所需要的策略、措施和面临的挑战，还重点讨论了 Microsoft IT 在使用基于 Exchange Server 2003 的功能（包括智能邮件筛选器和第三方的筛选无用电子邮件的解决方案）方面的经验。

本文面向那些目前在分布式环境中正在运行或正在考虑升级到 Exchange Server 2003 并希望在他们的企业邮件服务基础结构中控制垃圾邮件和恶意电子邮件流的 Microsoft 客户。具体来说，本文所面向的读者包括：企业决策、业务决策和技术决策的制定者；IT 架构师；负责管理基础结构中的 Internet 电子邮件流的操作经理。虽然本文中讨论的大多数概念主要是关于基于 Exchange Server 2003 的技术，但某些信息也适用于运行旧版本 Exchange 的环境。

注意：出于安全考虑，本文中使用的域、内部资源和组织的示例名称均未采用 Microsoft 公司内使用的真实资源名称，提供这些名称只是为了便于说明问题。

简介对于任何连接到 Internet 或使用电子邮件的人，无用的电子邮件（垃圾邮件）和恶意代码（包括病毒、蠕虫、特洛伊木马、宏、脚本和未经授权的 ActiveX%26reg; 控件）的泛滥成了一个日益严重的问题。目前，从个人身份被盗用到对组织、公司和政府办公部门的恶意联合攻击，没有一个用户可以不受与电子邮件相关的安全威胁的影响。

像许多大公司一样，Microsoft 是安全威胁的主要目标，因此，Microsoft IT 时刻警惕着保护其资源（从数据中心到台式计算机）的安全。Microsoft IT 通过不断修订防御垃圾邮件、病毒和以其他电子邮件为载体的攻击的策略、实施方法和过程来积极应对此问题。

垃圾邮件、病毒和电子邮件攻击对企业影响很大，它会给那些对这些威胁毫无准备的公司带来毁灭性的破坏。垃圾邮件不仅令人讨厌，而且会增加公司的成本 — 这既包括财务方面的成本，又包括处理时间、带宽使用、管理和资源消耗方面的成本。同样，病毒和电子邮件攻击轻者会造成停机，重者会对公司重要资源和知识产权造成威胁。

2003 年 9 月，Gartner, Inc.（研究和分析全球 IT 行业的主要提供商）的 James Lundy、Maurene Caplan Grey 和 Arabella Hallawell 发布了一份题为“Stop Spam from Killing Workforce PRoductivity”（避免垃圾邮件影响员工工作效率）的报告。在该报告中说，“我们了解到垃圾邮件几乎影响着所有的企业，有多达 50% 的普通业务邮箱包含垃圾邮件，而只有不到 10% 的企业采取了有效的垃圾邮件筛选技术。不过，所有的公司都已经认识到垃圾邮件是影响工作效率的重要问题，他们已开始抵御这种威胁了。”

接着，又过了不到一年的时间，Postini Inc. 这家业界领先的电子邮件安全和管理解决方案提供商在其网站上报告说，垃圾邮件已超过全世界电子邮件总数的 82%。另外，Nucleus Research, Inc. 这家主要提供研究和咨询服务的投资回报 (ROI) 全球提供商于 2004 年 6 月发表了一份题为“Spam: the Serial ROI Killer”（垃圾邮件：ROI 连环杀手）的研究报告，其中提到，财富 500 强公司中的 82 家的员工说他们平均每天花费将近 15 分钟来筛选 29 封垃圾邮件。Nucleus Research 估计，2004 年因垃圾邮件降低工作效率而给大公司造成的损失几乎相当于每位员工 $2,000 U.S.。不过，使用了垃圾邮件筛选器的公司比未使用垃圾邮件筛选器的公司少接收了大约 20% 的垃圾邮件。

Microsoft 网络和邮件服务基础结构概述若想知道 Microsoft IT 的邮件清理策略是如何不断演化的，了解 Microsoft 网络和基本的邮件服务基础结构的大小和范围将很有帮助。

Microsoft 公司网络是世界上最大的计算机网络之一。由全世界多个区域子网组成，该网络包括：

%26#8226;

三个企业数据中心。

%26#8226;

全世界有 19 个区域数据中心。

%26#8226;

77 个国家或地区的大约 230 个城市分布着 300 多个站点。

%26#8226;

3,300 多个 Internet 协议 (ip) 子网。

%26#8226;

2,000 多台路由器。

%26#8226;

10,000 多台服务器分布在世界各地。

%26#8226;

超过 350,000 个局域网 (LAN) 端口。

有一个复杂的邮件服务环境在利用着这个巨大的网络基础结构；这个环境由全世界的 160 台 Exchange Server 2003 服务器（其中 47 台是运行 Microsoft Windows Server%26#8482; 2003 的群集邮箱服务器）构成，这些服务器分布在 7 个位置。管理此邮件服务基础结构是一项艰难的任务。该基础结构为大约 52,000 名员工支持着 100,000 个邮箱，每个邮箱都有 200 兆字节 (MB) 的存储空间。平均每天全球电子邮件流动的总数超过 1100 万封；其中有 300 万是内部电子邮件。每天，从 Internet 传入的电子邮件中大约有 85% 被作为垃圾邮件、病毒感染的电子邮件或发送给无效地址的电子邮件筛选出来。

Microsoft IT 保护其邮件服务环境的措施在不断改进。最明显的原因是：Internet 上的垃圾邮件和病毒量在飞速增长，而与电子邮件相关的威胁的特征也在不断变化。所有公司必须不断提高警惕，以免在这方面消耗资源，而这需要有灵活性，并且需要积极地作出响应。Microsoft IT 认为进行多层邮件清理是有必要的。单凭一种方法，无论多么完美，也不足以应付与 Internet 电子邮件相关的形形色色的风险。使用多种方法在网络的多个位置上筛选垃圾邮件和病毒提供了多层保护，这对建立纵深防御机制是至关重要的。

Microsoft IT 不断改进邮件清理方法的另一个原因在于其生产环境的特性。Microsoft IT 在生产中频繁使用尚未发布的 Microsoft 测试版软件。在高技术行业中，此做法被称为“dogfooding”或“吃自己的狗食”。这可以帮助 Microsoft IT 在开发的早期阶段向产品工作组提供有价值的反馈，从而可提高到达客户手中的发布产品的质量。Microsoft IT 在将智能邮件筛选器提供给客户之前先在生产中使用就属于这种情况。（有关智能邮件筛选器的更多信息，请访问 http://www.microsoft.com/exchange/imf。）Dogfooding 给 Microsoft IT 采用的策略、使用的第三方软件解决方案和服务器本身的管理带来了独特的难题，但这些难题并非无法解决。

Microsoft IT 的预先邮件清理基础结构从 1999 年到 2004 年 6 月，Microsoft 在其 Internet 电子邮件和邮件清理体系结构中使用了一种包含三个阶段的方法。这个拓扑基于三个服务器集，这些服务器相互连接在一起以提供反垃圾邮件、防病毒、内容筛选和 Internet 电子邮件路由功能。所有传入的 Internet 电子邮件都通过此服务器集，然后再被路由到 Exchange 邮箱服务器，如图 2 所示。

图 2. 2004 年 7 月前的 Microsoft 邮件服务基础结构

查看大图

就在 2004 年 7 月前，由 Exchange Server 2003 网关组成的服务器的第一层位于网络的最外层。在第一层，智能邮件筛选器和一个第三方反垃圾邮件解决方案对所有从 Internet 传入的邮件执行发件人筛选、收件人筛选和垃圾邮件阻止。第一层将所有被判定为非垃圾邮件的邮件转发到专用于电子邮件病毒扫描的下一层 SMTP 服务器。进行防病毒扫描后，第二层便将所有无病毒的邮件传送到服务器的第三层 — 即被配置为 SMTP 路由服务器的 Exchange 服务器，它在内部进行邮件转发。然后，第三层将邮件发送到 Exchange 邮箱服务器，电子邮件客户端可以到这里访问邮件。

当此体系结构准备就绪后，Microsoft IT 评估了一些第三方反垃圾邮件和防病毒供应商并选择了符合其要求的解决方案（最初在 Microsoft Exchange 2000 Server 和 Microsoft Windows%26reg; 2000 Server 上运行）。尽管此体系结构在几年内有效地抵制了 Internet 电子邮件威胁，但威胁的演变及 Exchange Server 平台的增强促使 Microsoft IT 不断修改其体系结构。Microsoft IT 的目标是：

%26#8226;

通过将病毒扫描集成到 Exchange Server 2003 网关平台来降低环境的总拥有成本 (TCO)。

%26#8226;

使 Internet 电子邮件传输机制具有同质性，从邮件路由中消除第三方 SMTP 服务器。

%26#8226;

将解决方案与 Exchange Server 2003 的某些特定功能（如垃圾邮件嫌疑度 (SCL)）集成在一起。有关 Exchange Server 2003 的反垃圾邮件功能的更多信息，请访问 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/e2k3/e2k3/ast_anti_spam.asp。

%26#8226;

简化 Microsoft IT Internet 电子邮件路由拓扑。

%26#8226;

使用集成邮件清理功能建立可伸缩的基于 Exchange Server 2003 的网关平台。

Microsoft IT 当前使用的邮件清理基础结构目前，Microsoft IT 通过使用当前的 Internet 电子邮件服务基础结构设计和电子邮件扫描基础结构设计实现了邮件清理方面的目标，如图 3 所示。通过选择 Exchange Server 2003 作为网关层防病毒功能的平台，Microsoft IT 去除了专用病毒扫描服务器集，从而立即降低了 TCO。通过使用 Exchange Server 2003 平台，Microsoft IT 选择了一个新的第三方防病毒解决方案，该解决方案采用了集成方法并使用了 Exchange 的本机 SMTP 堆栈。

图 3. 2004 年 7 月之后的 Microsoft IT 邮件服务基础结构

查看大图

与先前邮件清理系统的配置相比，Microsoft IT 采取的当前设计和方法使用了 Exchange 的更多现成功能。目前，除了智能邮件筛选器和第三方垃圾邮件筛选外，所有传入的电子邮件都受以下 Exchange Server 2003 软件提供的新增安全控制的制约：

%26#8226;

连接筛选

%26#8226;

发件人和收件人筛选，包括空白发件人筛选

%26#8226;

收件人查找

%26#8226;

基于实时阻止列表的筛选

%26#8226;

禁止发件人显示名称解析

与传统垃圾邮件筛选软件相比，这些控制提供了更多的保护。Microsoft IT 在 Exchange 网关服务器的最外层实施这些控制，以便最大限度地在这里消除恶意邮件。剩余的邮件被转发到 Exchange Server 2003 SMTP 路由服务器进行病毒扫描，然后再传递到邮箱服务器。

除了加强反垃圾邮件和防病毒保护外，Microsoft IT 的当前网关配置还为 Internet 电子邮件提供了更好的负载平衡和更高的可用性。通过消除对第三方 SMTP 服务器的依赖，在整个网关基础结构中换用 Exchange Server 2003 本机传输功能，Microsoft IT 已在其 Exchange Server 2003 网关服务器和其 Exchange Server 2003 SMTP 路由服务器之间建立了一种相互协调的拓扑。为了防范网络层灾难和环境灾难，Microsoft IT 将 Internet 网关和邮件清理基础结构分发到多个数据中心。这种分发可以防止单点故障，可以建立多个用于路由和扫描 Internet 电子邮件的物理和逻辑路径。

返回页首

反垃圾邮件筛选并删除 Internet 上的垃圾邮件是 Microsoft IT 邮件服务基础结构的一项重要功能。因为以 Microsoft 电子邮件域为攻击目标的垃圾邮件在传入邮件总量中所占比例很大（大约 85%），Microsoft IT 已选择在 Exchange Server 2003 网关服务器上的网络最外层实施垃圾邮件筛选解决方案。通过在尽可能靠近网络边界的地方拦截无用的邮件，可以消除通过内部系统处理和传输这些邮件的负担，从而最大程度地减少带宽消耗和缩短处理时间。

Microsoft IT 使用多种方法筛选垃圾邮件，包括智能邮件筛选器。智能邮件筛选器运行在 Exchange Server 2003 网关服务器的最外层，与 Exchange 平台紧密集成在一起。

智能邮件筛选器传入的 Internet 电子邮件必须通过的初始筛选器是智能邮件筛选器，它运行在邮件服务环境最外层的 Exchange Server 2003 网关服务器上。Microsoft 的研究组最初开发智能邮件筛选器技术是为了让 Microsoft Hotmail%26reg; 使用，Microsoft Hotmail 的垃圾邮件当时已是客户投诉的热点。智能邮件筛选器利用了 Exchange Server 2003 提供的 SCL 框架。Internet 邮件筛选器对某些特定邮件部分进行分类，执行启发式邮件分析，并为各个被扫描的邮件分配 SCL 等级。SCL 等级范围是从 0 到 9。邮件接收到的等级越高，则该邮件越有可能是垃圾邮件。

Exchange Server 2003 环境可配置为对 SCL 等级高于管理员配置的阈值的邮件执行筛选操作。智能邮件筛选器使用 Exchange Server 2003 上设置的两个阈值 — 网关阈值和存储阈值。

设置网关阈值网关阈值有两个组件：

%26#8226;

要执行的操作

%26#8226;

触发所配置的操作的 SCL 等级

例如，如果网关阈值被设置为 6，则将对任何 SCL 等级为 6 或高于 6 的邮件执行所配置的筛选操作。可能的操作包括：

%26#8226;

删除。删除邮件，且不存档。

%26#8226;

拒绝。初次接收整个邮件，但如果邮件被确认为垃圾邮件，则向发件人发送拒绝通知。

%26#8226;

存档。删除邮件但在服务器上创建副本以备以后查看。

%26#8226;

不执行任何操作。对邮件不执行任何操作。邮件及其 SCL 值将被照常路由。

注意：所有传入的电子邮件都会先遇到网关阈值，然后才会遇到存储阈值。

删除操作、拒绝操作和存档操作都有其各自固有的优缺点。如果某个组织决定删除或拒绝其 SCL 等级大于或等于某特定数字的邮件，则这些邮件就不会再往前传输了。通过删除，可以避免将邮件写入磁盘，也避免了对这些邮件进行病毒扫描或通过系统发送它们，从而可以避免浪费成本极高的处理时间。不过，删除被视为一种大胆操作，因为邮件从邮件流中被永久删除了，不可能还原。如果给定阈值的误报（合法邮件被误标识为垃圾邮件）数量很少，则删除操作会很有效。

与删除类似，拒绝操作也从邮件流中删除被标识为垃圾邮件的邮件。不过，与删除不同的是，拒绝操作以 SMTP 错误（不可传递）消息的形式向发件人提供了一个状态说明。出于安全考虑，某些环境可能不希望向垃圾邮件的发件人发送筛选操作通知。

组织可使用存档操作来检查被作为垃圾邮件阻止的电子邮件，并基于误报的数量帮助决定设置适当的 SCL 网关阈值。不过，因为没有足够的工具检测存档内容和评估误报，所以，对于日常操作来说，存档操作的优点就不太明显了。通常，最可靠的工具就是人的眼睛，用眼睛实际检查邮件的内容。由于每天都有数十万或数百万电子邮件，靠肉眼实际检查每个存档邮件是很不现实的。一种替代方法是使用自定义自动过程，具体做法是按主题行或其他邮件属性对数据进行分类汇总，然后从数千个邮件中抽取一个样本查看。管理员可以编写用来分类汇总这些数据的基本脚本以简化该过程。

因为邮件存档所需的磁盘空间与电子邮件流量和环境接收到的垃圾邮件率成正比，所以，拥有大量电子邮件的组织如果计划使用存档操作，则必须谨慎规划他们的垃圾邮件筛选网关所需的存储容量。对于 Microsoft 邮件服务环境每天从 Internet 接收的电子邮件量，Microsoft IT 目前使用网关阈值的删除操作。不过，Microsoft IT 在对智能邮件筛选器进行早期测试期间使用的是存档操作。

设置存储阈值存储阈值设置了一个 SCL 等级；如果到达邮箱服务器的电子邮件达到了此等级，则会被移到用户邮箱中的“垃圾邮件”文件夹。存储阈值必须设置为低于网关阈值，这样才能执行存储路由。例如，如果网关阈值设置为 6，则存储阈值必须设置为 4 才能执行操作。存储设置会对大于存储设置值的 SCL 值执行操作。此行为与网关设置不同，网关设置是在 SCL 值大于或等于 SCL 设置值的情况下执行操作。例如，如果一个接收到的 SCL 等级为 5 的传入邮件通过了网关阈值但超过了存储阈值，则将被自动路由到用户的“垃圾邮件”文件夹。等级为 4 或更低的传入邮件将直接发送到收件人的收件箱，因为该邮件同时通过了两个阈值。

平衡阈值网关阈值和存储阈值之间最有效的平衡完全取决于组织的邮件服务环境。我们的目标是尽早在基础结构中尽可能地阻止垃圾邮件传入的数量，同时将误报数减至最小。根据特定的环境，每个管理员将对智能邮件筛选器设置进行不同的调整。

设置高网关阈值的缺点是有较多的邮件必须在基础结构中传输，用户最终将在桌面层处理它们。此缺点增加了基础结构多个方面的成本，包括存储、带宽和管理。

Microsoft IT 使用严格的网关阈值，这是因为公司接收到的电子邮件数量巨大，并且这些电子邮件中相当大一部分是垃圾邮件。然而，Microsoft IT 对于删除合法电子邮件的情况一直坚持接近零容忍度的态度。一般情况下，最好的误报指示器是用户投诉。通常，组织最好在开始时保守地将智能邮件筛选器阈值设置为较高的数字，然后根据需要下调阈值。智能邮件筛选器提供了详尽的性能计数器列表，管理员可以利用此列表检查传入的邮件群的 SCL 等级分发情况，从而可以更好地决定如何为他们的特定环境调整阈值。

其他反垃圾邮件防御措施几年前，当垃圾邮件最初给电子邮件用户带来问题时，与很多公司一样，Microsoft IT 完全依靠第三方企业级反垃圾邮件软件解决方案。现在，Microsoft IT 在生产环境中使用智能邮件筛选器。智能邮件筛选器在 Internet 网关提供了一个垃圾邮件防护层。

随着新的防病毒和反垃圾邮件体系结构的发展，以及智能邮件筛选器的使用和连接筛选、实时阻止列表、发件人筛选、收件人查找以及附件阻止等功能的使用，Microsoft IT 已能够明显减少其 Internet 电子邮件中的垃圾邮件的数量。

客户端层垃圾邮件筛选理想情况下，垃圾邮件决不会到达客户端层。但实际上，一些垃圾邮件确实可以通过 Microsoft 网络到达用户的台式计算机。主要原因之一是一些合法电子邮件，例如新闻稿，通常带有垃圾邮件的特征；因此，我们并不希望把筛选阈值设置得太低，以至于所有可疑邮件均被删除。此外，用户可能有某些无法通过单独的一组企业范围设置来满足的个人偏好。

由于 Microsoft IT 使用的中度严格的阈值允许一些带有类似垃圾邮件特征的邮件最终到达台式计算机，Microsoft IT 在客户端层提供了一个额外的防御层。Microsoft Office Outlook%26reg; 2003 和 Outlook Web access 2003 的用户可以建立一个安全发件人列表和一个阻止发件人列表。安全发件人列表包含受信任的电子邮件地址和域名 — 对于从这类地址和域发来的邮件，用户总是希望接收。与之相反，阻止发件人列表包含那些用户从不希望从其接收邮件的地址和域名。

Exchange Server 2003 将所有受信任发件人的邮件发送到用户收件箱，将所有受阻止发件人的邮件发送到用户的“垃圾邮件”文件夹。无论先前分配给邮件的 SCL 等级如何，都会按这一规则执行操作。因此，Outlook 2003 和 Outlook Web Access 2003 的用户可以根据他们的个人偏好，忽略他们邮箱的存储层“垃圾邮件”筛选。但用户不能忽略客户端层的网关层筛选操作。如果邮件超出了网关阈值，无论客户端层设置如何，该邮件都不会被发送到用户收件箱。

用户还可以自定义 Outlook 2003 垃圾邮件筛选器操作。邮件一到达客户端，该筛选器便对其进行分析，然后决定是否将其视为垃圾邮件。用户可以选择他们所需的保护级别：最低级别为无保护，最高则为只接收安全发件人的邮件。垃圾邮件筛选器捕获的邮件会直接移到 Outlook 中的用户“垃圾邮件”文件夹，在这里，用户可以查看邮件，也可以将它们删除。

防病毒垃圾邮件是令人讨厌的东西，它给邮件服务环境带来了性能和工作效率问题，而恶意软件（例如病毒、蠕虫和特洛伊木马）给任何公司带来的安全威胁都远大于此。单独一次病毒攻击就可能带来严重影响，轻者导致用户停机以进行清理，重者削弱基础结构，危及敏感数据安全或毁坏敏感数据。

在解决电子邮件病毒问题之前，如果组织首先从邮件服务环境中消除垃圾邮件，则会极大地减少病毒筛选所需的开销成本。每一天，Microsoft IT 通常都会处理从 Internet 接收的超过 1000 万封电子邮件。因为这些邮件中有 85% 或更多都被标识为垃圾邮件，并被从邮件流中消除了，所以在网关层扫描病毒之前筛选出垃圾邮件可极大地缩短处理周期，并节约带宽和邮件存储空间。

体系结构在大多数邮件拓扑中，防病毒措施可以在多个位置使用。在实施多层邮件清理方法的同时，Microsoft IT 认为最好在网络环境的多个层采用防病毒措施。虽然此做法增加了性能开销，但它降低了风险。Microsoft IT 认为在性能和风险之间可以找到一个平衡点。每个组织都必须根据其特定环境决定在哪个层的哪些点上使用防病毒措施。

传统上，组织可以在邮件服务环境的以下三个层部署防病毒解决方案：

%26#8226;

网关

%26#8226;

邮箱服务器

%26#8226;

客户端

根据纵深防御理念，Microsoft IT 选择将其电子邮件防病毒系统集中在 SMTP 网关层和客户端层，如图 4 所示。电子邮件路由方面的 Internet 电子邮件拓扑设计和具体优化确保了外部邮件系统和 Microsoft IT 的托管环境之间交换的任何邮件都不会绕过已建立的防病毒控件。

图 4. Microsoft IT 邮件服务基础结构中的防病毒保护点

查看大图

从 Internet 接收的邮件首先要进行垃圾邮件扫描，然后被转发到基于 Exchange Server 2003– 的 SMTP 路由服务器，在这里，所有电子邮件都要进行病毒扫描，然后才能发送到邮箱服务器。尽管有网关层防病毒保护，Microsoft IT 还一直在通过在用户台式计算机的客户端层建立防病毒保护来加强多层防御机制。这要求 Microsoft IT 托管环境中的所有客户端计算机都安装、配置、运行第三方防病毒软件并保持更新。通过技术控制和策略不断加强客户端层防病毒措施还使得 Microsoft IT 能够防范邮件领域外的攻击媒介所带来的与病毒有关的威胁。例如，用户台式计算机上的防病毒软件可帮助阻止通过网络连接传播的文件级别感染和病毒。

为了减少 Microsoft IT 托管环境外部的意外病毒传播和最大限度地减少责任风险，对传出电子邮件也要进行防病毒检查，首先在客户端层进行检查，然后在 SMTP 网关层进行检查。

Microsoft 的客户经常向 Microsoft IT 询问：为什么不通过在日常操作中在 Exchange Server 邮箱服务器上运行第三方软件来把防病毒措施的重点放在存储层？由于 Microsoft IT 在 dogfooding 方面的工作，这些服务器在不断地变化，例如他们会不断地安装 Exchange Server 软件预发行版。这些更改使 Microsoft IT 很难找到能够在这些服务器上可靠地运行的防病毒软件。通常，防病毒供应商需要花费一定的时间来针对 Exchange Server 新版本开发和测试解决方案；因此，在 Exchange Server 新版本发布后的几个月中，可能无法获得防病毒软件的已发布版本。虽然某些防病毒解决方案能够在 Exchange Server 的测试版上运行，但依靠这些解决方案来保持稳定存在风险，Microsoft IT 不能冒这个风险。因此，Microsoft IT 当前将其电子邮件防病毒控制的重点放在了客户端层和网关层。其他环境应评估他们各自对防病毒措施的独特要求，选择不同的层来实施保护。但是，无论组织选择了哪种解决方案，使用多层纵深防御方法可提供比单层方法更有效的安全级别。

除了在网关层和客户端层进行预防性扫描外，在病毒暴发时，Microsoft IT 还可以在 Exchange Server 2003 邮箱服务器上进行紧急防病毒安全控制和过程。有关这些控制和过程的详细信息，请参见 IT Showcase 白皮书“Incident Response: Managing Security at Microsoft”（事件响应：Microsoft 管理安全性），网址为 http://www.microsoft.com/downloads/details.aspx?FamilyId=36E889BE-4FB0-447A-943A-7484CBA0E7C1%26amp;displaylang=en。

传入和传出电子邮件策略Microsoft IT 对传入和传出电子邮件分别实施不同的扫描策略和过程。因为与传出电子邮件相比，从 Internet 传入的电子邮件的可信度较低，因此传入电子邮件策略的限制性更强。

Microsoft IT 对传入和传出电子邮件使用不同策略的一个示例就是病毒通知。例如，如果一封从 Internet 传入的邮件包含病毒，则感染将被删除，并且内部收件人会收到通知。通知邮件提供识别感染源所必需的信息，可能还提供采取修正措施所必需的信息。由于以下原因，无法自动通知感染的传入邮件的外部发件人：

%26#8226;

发件人的身份可能会被盗用（被假冒）；因此，通知无法到达邮件的实际发件人。

%26#8226;

由大量感染了病毒的电子邮件触发的通知可能会导致对地址被盗用的合法发件人拒绝服务。

%26#8226;

通知可能会向外部用户暴露防病毒系统的能力，而其中的恶意用户可能会不正当地利用此信息。

传入电子邮件的限制性安全策略的另一个示例是附件剥离。附件剥离从传入 Internet 邮件流中删除潜在危险附件，例如可执行文件，并帮助减少通过电子邮件进入环境的恶意代码所带来的风险。本文稍后将详细讨论附件剥离。

因为传出电子邮件比传入电子邮件的可信度高，所以 Microsoft IT 的传出电子邮件策略的限制性较低。某些特定文件类型的附件不会像通常那样从传出邮件中剥离。不过，如果在传出邮件中检测到感染，则将删除该感染并向内部用户发送通知，让用户对其计算机进行病毒扫描。如果某个 Microsoft 员工无意中发送出了病毒，Microsoft IT 会通知内部发件人，以便该发件人能够确定感染源。

要为传入和传出电子邮件实施不同的安全策略，电子邮件防病毒解决方案必须知道电子邮件的方向。该解决方案还必须能够根据权威性标准（例如 IP 地址或身份验证）确定被扫描的电子邮件的方向。否则，被盗用的电子邮件可能会给病毒扫描系统带来混乱，使之应用不正确的安全策略。

Exchange Server 2003 SMTP 路由服务器Microsoft IT 决定通过在 SMTP 网关和客户端层使用多层方法来实施防病毒措施后，下一步是确定应使用哪种技术解决方案。出于性能、互操作性和安全考虑，网关层病毒扫描解决方案的策略侧重于 Exchange Server 2003 网关平台 — 特别是 Microsoft IT 的 Exchange SMTP 路由服务器。

Microsoft IT 有两种将防病毒解决方案集成到 Exchange Server 2003 平台的选择：

%26#8226;

在传输层使用 Exchange Server 2003 病毒扫描应用程序编程接口 (VSAPI) 2.5 功能

%26#8226;

使用 Exchange Server 2003 中提供的传输事件接收器模型

防病毒供应商可能选择使用 VSAPI 2.5 或传输事件接收器来实施其解决方案。虽然这两种方法提供类似的特性和功能，但是它们在最终产品中的含义不同。例如，如果解决方案使用 VSAPI，它就可以利用 Exchange Server 2003 提供的邮件分析和解码功能。因此，如果供应商不希望参与打开邮件并执行自己的邮件分析等细节问题，则很可能使用 VSAPI。如果供应商希望对邮件流进行更多、更精细地控制，则可能选择使用传输事件接收器方法。使用传输事件接收器假定防病毒解决方案执行其自身的邮件分析、报告、性能监视和其他此类操作。

在选择最符合其环境要求的防病毒软件供应商之前，Microsoft IT 会进行大量的评估。客户根据他们不同的环境而拥有各自的要求，这些要求可能与 Microsoft IT 的要求大不相同。但是，某些评估方面可能在很多环境中都很相似。以下是一些 Microsoft IT 在评估阶段考虑的技术因素。

功能：

%26#8226;

病毒和其他恶意软件检测功能

%26#8226;

支持各种邮件类型、编码和格式

%26#8226;

与 Exchange Server 2003 网关平台集成的能力，包括支持多个 SMTP 虚拟服务器

%26#8226;

邮件方向辨别；对传入、传出和内部电子邮件实施不同策略

%26#8226;

文件筛选和附件阻止功能

%26#8226;

容忍失败；失败恢复

%26#8226;

支持自定义防病毒操作和通知

%26#8226;

支持多个病毒扫描引擎

性能：

%26#8226;

总体解决方案吞吐量

%26#8226;

系统开销

%26#8226;

正常负载和高峰负载期间的性能特征

可用性和支持：

%26#8226;

远程监视和管理

%26#8226;

复杂性和管理开销

%26#8226;

受供应商支持的产品质量

%26#8226;

与现有操作工具和过程的集成

附件剥离作为防病毒策略的一部分，Microsoft IT 根据附件文件扩展名和类型自动从传入电子邮件中删除某些类型的附件。网关层防病毒软件自动剥离某些特定文件类型（例如，.exe、.cmd 和 .com）的附件，而不管它们是否感染了病毒。这些附件会带来较大的病毒感染风险，在网络最外层剥离它们可防止环境遭受那些可能尚未为其开发或部署防病毒签名的未知恶意软件或新恶意软件的攻击。如果某附件已被剥离，邮件本身仍将继续传递，并且内部收件人会接收到相应的通知。

Microsoft IT 认为将邮件传递给收件人是很重要的，即使附件已被删除。如果被剥离的附件内容是合法的，收件人可使用其他方法检索该信息，例如要求发件人以另一种不同的格式重新打包数据或使用另一种文件传输方法，如文件传输协议 (FTP)。

某些类型的恶意软件感染，例如蠕虫，可能会生成大量电子邮件，这些邮件到达同一个电子邮件网关或 SMTP 路由服务器，传递给大量收件人。除了受感染的负载带来的威胁以外，这些邮件的数量还经常导致电子邮件系统出现性能问题。对于此种电子邮件，依靠附件剥离或从邮件中删除病毒可以消除感染，但无法减轻其中的拒绝服务攻击。为了有效地抵御此种威胁，Microsoft IT 实施了一种将附件剥离和邮件删除集成在一起的解决方案。当大量邮件病毒感染邮件时，系统会将整个邮件从邮件流中删除，因而最大限度地减少了环境的性能开销。

防病毒文件更新基于签名的防病毒措施不会比病毒定义文件（也称为签名文件或代码文件）的质量更有效。要不断防范新病毒的威胁，组织必须保持签名文件是最新的。另一个重要的注意事项是使用最新扫描引擎 — 即执行邮件分析和扫描的邮件处理组件。

Microsoft IT 使用拉取方法来下载最新的防病毒签名文件和扫描引擎。拉取机制允许 Microsoft IT 为此种下载建立灵活的自定义进度表，帮助保持所有电子邮件病毒扫描系统一致和最新。如果在自动下载之间的时间段内可以获得更新，Microsoft IT 还具备手动拉取下载的能力。此能力为 Microsoft IT 提供了应付潜在紧急情况所需的灵活性。

管理问题对于防病毒管理，Microsoft IT 认为拥有明确的策略并执行明确定义的、有秩序的过程是很重要的。Microsoft IT 尽可能自动执行过程。例如，为了确保防病毒软件是最新的并一直在所有服务器上保持运行，Microsoft IT 已自动化了部署在其网关上的防病毒签名文件和扫描引擎的版本验证过程。如果检测到偏差，例如某一特定服务器没有运行最新的签名文件，管理员就会收到关于此问题的警报。

除了监视检测到的病毒的数量外，监视已处理电子邮件数量的每日统计信息也是管理过程中的一个重要部分。Microsoft IT 在某一天可能会检测 20,000 种病毒，而在另一天则检测 200,000 种病毒。想判断出趋势并不容易，因为 Microsoft IT 遇到的任何病毒攻击都会直接反映到统计信息中。尽管 Microsoft 经常是攻击的目标，但有时某种特定攻击给其他公司带来的消极影响比 Microsoft IT 还要大。影响的大小具体取决于该攻击的目标域。使用基于每日统计信息的统计数据，管理员可以追溯业界遭受该攻击的日期和时间，然后确定攻击在某一特定时间的影响。

文件级别病毒扫描和邮件级别病毒扫描本文最主要的重点是邮件服务环境；因此，关于病毒扫描的讨论主要集中在邮件级别上。不过，值得注意的是，Microsoft IT 还在文件级别的 Exchange Server 2003 服务器上执行防病毒扫描。这种扫描完全独立于邮件级别扫描，单靠这种扫描无法使邮件服务环境免受以电子邮件为载体的病毒的侵扰。

文件级别扫描对于将 Exchange 服务器本身作为基础结构元素来保护是很关键的。如果没有操作系统级别的防病毒保护，常规操作活动（例如服务器维护、修补或故障排除）则可能会导致服务器意外感染病毒，进而可能导致邮件服务可用性降低和数据丢失。

计划在 Exchange Server 2003 服务器上使用文件级别防病毒软件的组织应格外谨慎。因为文件级别防病毒软件通常不知道特定于 Exchange 的数据（例如 Exchange 数据库和日志文件）的内部结构，扫描此种内容通常导致服务器失败，也可能导致数据损坏。文件级别防病毒软件必须采用特别的配置来排除任何与 Exchange Server 相关的数据，例如邮箱存储、事务日志、临时目录、消息队列和其他相关的文件位置。对 Exchange 服务器使用的文件级别软件配置不当是邮件服务环境中的常见错误。有关对 Exchange 使用防病毒工具的详细信息，请参阅 Microsoft 知识库文章“与 Exchange Server 2003 配合使用的防病毒软件概述”（网址为 http://support.microsoft.com/default.aspx?scid=kb;zh-cn;823166）和“Exchange 和防病毒软件”（网址为 http://support.microsoft.com/default.aspx?scid=kb;zh-cn;328841）。

客户端层防病毒措施Microsoft IT 的多层防御方法要求在客户端层进行病毒扫描，这既包括办公室中的台式机，也包括远程使用的膝上型计算机。除了运行 Outlook 2003 之外，所有客户端系统还都运行防病毒软件来防范病毒侵袭。

eTrust 防病毒软件Microsoft IT 对客户端层防病毒软件实施的策略很严格。为了能够访问公司网络，所有 Microsoft 员工都需要在客户端计算机（例如台式计算机和膝上型计算机）上安装和配置 Computer Associates eTrust Antivirus，并使其保持更新。如果用户当前在系统上运行着 eTrust 软件，该软件将实时扫描所有文件。它对用户是完全透明的，能够不间断地进行扫描，并能够在更新推出后检索更新。

Microsoft IT 使用登录脚本框架以确保所有员工在客户端计算机上安装并运行 eTrust。当用户尝试登录到公司网络时，登录脚本会在系统上运行安全检查，包括检查客户端层防病毒服务的状态。Microsoft IT 还通过使用内部开发的工具和过程不间断地监视公司网络。在每天的固定时段，每一台连接到网络的计算机都要经过扫描，以检查修补级别是否符合要求以及 eTrust 防病毒软件是否存在。如果客户端系统没有运行 eTrust，用户将接收到一个通知，通知中会提示用户安装最新防病毒软件。如果用户没有在给定的时段内安装该软件，Microsoft IT 将拒绝用户对网络的访问，其网络访问权直到该用户的系统符合要求后才会恢复。

Outlook 2003与在网关层一样，在客户端上使用附件管理功能增强病毒扫描对确保用户计算机的安全是至关重要的。Outlook 2003 已改进了旧版本的附件阻止功能。与网关层附件剥离构思一样，Outlook 为用户提供了阻止接收各种潜在恶意文件类型的能力。有关附件阻止的详细信息，请参阅 Microsoft 知识库文章“Cannot Open Attachments in Microsoft Outlook”（在 Microsoft Outlook 中无法打开附件），网址为 http://support.microsoft.com/default.aspx?scid=kb;zh-cn;829982。

除了阻止附件之外，Outlook 2003 还限制以编程方式访问通讯簿，从而最大限度地减小了恶意代码通过向通讯簿中的收件人分发电子邮件进行传播的可能性。如果当前登录用户以外的用户或 Outlook 2003 以外的某个外部程序在访问 Outlook 通讯簿，Outlook 2003 会自动在用户屏幕上显示通知。

Outlook 2003 还解决了一个称为“Web 信标”的恶意行为（一种用于确定和收集有效电子邮件地址的方法）。例如，发件人将包含特制编码映像的电子邮件发送给收件人，而收件人对此浑然不觉。该映像被编码为在映像显示时将收件人的有效电子邮件地址告诉给发件人。Outlook 2003 用户不会受到 Web 信标的攻击，因为映像不会再自动显示。

Microsoft IT 通过提前阻止 Outlook 客户端的旧版本访问其 Exchange 服务器，加强了对其邮件服务基础结构中的客户端版本的日常控制。通过维护电子邮件客户端软件的版本控制，可以确保用户能够利用 Outlook 最新版本中内置的安全功能。

其他邮件清理技术综合性的邮件清理策略不仅能够防御病毒和垃圾邮件，还能防御其他与电子邮件相关的威胁，例如“邮件炸弹”，即使用大量无用的电子邮件瘫痪某个特定的收件人或整个电子邮件系统，以图达到关闭系统的目的。此类攻击的危害不仅限于令人讨厌；它不是垃圾邮件，而是有目标的拒绝服务攻击。

另一类型的威胁是“目录搜集攻击”，它试图通过分析服务器对电子邮件提交命令的响应来发现大量有效收件人地址。当垃圾邮件发件人使用各种可能存在的由字母和数字组成的用户名向电子邮件服务器发送垃圾邮件时，就会发生目录搜集攻击。当电子邮件服务器被配置为将无法传递的邮件返回发件人时，垃圾邮件发件人就可分析接收到的结果以确定哪些电子邮件地址没有被返回，因而就能确认这些地址是有效的。

要抵御这些类型的威胁，仅有反垃圾邮件和防病毒解决方案是不够的。现在，Microsoft IT 使用本节所介绍的 Exchange Server 2003 的安全功能来抵御这类威胁以及一些相似的威胁。

连接筛选Exchange Server 2003 包含一个称为连接筛选的功能，此功能将连接服务器的 IP 地址和拒绝的 IP 地址列表（也称为实时阻止列表）相比较。当 SMTP 会话启动时，立即进行 IP 地址比较，从而使组织能够在邮件提交的最初阶段阻止这些邮件连接到其网关。在实时阻止列表中的服务器提交邮件之前，连接已经停止。此方法可使邮件层和网络层的负载都得到减轻。

通过手动创建一个全局接受列表和一个全局拒绝列表，或者通过使用第三方维护的已知被阻止 IP 地址（也称为实时阻止列表）数据库，组织可以在 Exchange Server 2003 上建立连接筛选。

全局接受列表和全局拒绝列表组织可以创建自己的静态拒绝 IP 地址列表。顾名思义，全局拒绝列表包含组织从来不想接受其电子邮件的特定 IP 地址和网络。相反，组织也可以创建一个全局接受列表，列表中包含组织不想对其应用电子邮件阻止或筛选策略的 IP 地址和网络。全局接受列表中可以包括分支组织的 IP 地址或组织信任的商业合作伙伴的 IP 地址。这样，如果组织不想冒误报的风险，就可以将受信任的发件人的电子邮件服务器 IP 地址添加到组织的全局接受列表中。

注意：除了使用全局接受列表和全局拒绝列表之外，组织还可以配置 Exchange Server 2003，使其根据 IP 地址接受或拒绝连接。可以在各个 SMTP 虚拟服务器上定义此配置，并可使其优先于全局接受列表、全局拒绝列表和实时阻止列表的全局 IP 筛选功能。

实时阻止列表实时阻止列表是基于域名系统 (DNS) 的已知经过验证的垃圾邮件源的 IP 地址数据库。可以从专门进行不间断监视 Internet 并记录已知垃圾邮件源的公司获得实时阻止列表。如果检测到令人讨厌的 IP 地址，就会将它们添加到实时阻止列表数据库。这些列表通常可免费获得；但如果邮件管理员希望获得扩展服务，则需要交纳一些费用。

Exchange Server 2003 允许使用第三方实时阻止列表。在将 Exchange Server 2003 服务器被配置为使用第三方实时阻止列表时，此服务器就根据此实时阻止列表数据库检查提交的服务器 IP 地址，如果发现了匹配，就拒绝匹配的连接。

因为实时阻止列表功能的筛选决定是基于发送服务器的 IP 地址，而不是基于邮件的内容，所以实时阻止列表从技术上来讲与第三方反垃圾邮件软件不属于同一个类别。实时阻止列表就像看门人一样，它阻止那些从已知恶意服务器或可疑服务器发来的邮件进入环境。通过了实时阻止列表的邮件向网络迈进了一步，但是只有等到下一层邮件清理防御措施（例如反垃圾邮件软件）对其内容进行检查后它才能进入网络。

因为 Microsoft IT 每天进行的与实时阻止列表相关的 DNS 查询的数量十分巨大（几千万），Microsoft IT 将实时阻止列表的镜像备份按预先确定的时间间隔（通常为每天数次）定期传送到其本地 DNS 服务器。大多数列表提供商需要那些查询量多于每天 250,000 次的实时阻止列表的本地备份。列表提供商称实时阻止列表备份的传输为“区域传输”。Microsoft IT 将其 Exchange Server 2003 网关配置为对那些本地 DNS 服务器进行与实时阻止列表相关的 DNS 查询。

实时阻止列表提供商因为不同的实时阻止列表提供商提供不同类型的列表和服务，所以 Microsoft IT 在选择一个提供商之前需要谨慎考虑。Microsoft IT 根据提供商对下列问题的回答作出决定：

%26#8226;

列表的质量。有没有人验证添加到列表中的新 IP 地址是否确实为垃圾邮件地址？任何人都可以向列表添加 IP 地址吗？

%26#8226;

列表的安全性。此列表是否通过了某种安全检查？有没有人验证此列表中是否有错误的或恶意添加的 IP 地址？

%26#8226;

更新列表的过程。审查过程是如何进行的？如果添加到列表是自动进行的，那么在垃圾邮件发送行为停止后从列表中删除也应该是自动进行的。列表更新的速度如何？

%26#8226;

列表传输过程。提供商是否允许直接与 Windows DNS 兼容的完全或增量 Berkeley Internet Name Domain (BIND) 样式传输？

管理问题当组织使用实时阻止列表服务时，一个最重要的问题是要有一个现成的过程来处理被意外放入列表中的合法发件人。Microsoft IT 将其网关配置为通知被实时阻止列表拒绝的发件人。为阻止连接生成的通知邮件会指出拒绝此邮件的原因，并会指出是哪家提供商和哪个实时阻止列表导致发生阻止。发件人必须联系此实时阻止列表提供商来解决此问题，并将他（她）的 IP 地址从此列表中删除。

担心阻止合法发件人的组织，或不想依赖发件人联系实时阻止列表提供商的组织，可以创建一个电子邮件帐户或通讯组并将其添加到 Exchange Server 2003 中的例外列表中。邮件将绕过实时阻止列表规则，直接发送给例外列表中的收件人。使用此电子邮件时应注意，垃圾邮件发件人可以向绕过实时阻止列表规则的电子邮件地址发送垃圾邮件。如果发生了这种情况，则很容易更改电子邮件地址。

对于选择在其 DNS 服务器上管理实时阻止列表数据库的本地备份的大公司而言，让所有有关的工作组相互协调并紧密配合是十分重要的。例如，在 Microsoft，DNS 工程组在实时阻止列表 DNS 数据库上建立本地镜像备份，而 Exchange 支持组则对 Exchange Server 网关（此信息的主要客户）进行管理。这两个工作组谨慎地协调他们的活动并按照一个严格的过程进行工作。一些很大的列表可能会对 DNS 基础结构的性能造成影响。DNS 工程组进行了必要的测试和评估以确定列表会对他们的环境造成什么影响。这两个组会继续为实现他们的目的而紧密配合。

发件人筛选发件人筛选检查每个传入的电子邮件的发件人地址，并将它与管理员配置的阻止发件人列表相比较。Microsoft IT 不接收从此列表中包含的电子邮件地址和域发来的电子邮件。通常，此列表包含发送大量无用的电子邮件的地址，例如来自与业务无关的站点的电子邮件。Microsoft IT 并不将这些发件人视作垃圾邮件发件人，而只是组织不想从其接收电子邮件的域或个人。

只使用发件人筛选来抵制不断变化的垃圾邮件是不够的。因为垃圾邮件经常来自动态的或随机生成的发件人地址，所以，基于特定发件人地址的筛选并不十分有效。但是，发件人筛选在降低来自特定源或特定电子邮件域的邮件炸弹袭击风险方面是十分有用的。在 Microsoft IT 环境中，只使用发件人筛选功能每天就能阻止成百上千封邮件。

空发件人筛选通常，合法的电子邮件都包含一个有效的发件人电子邮件地址。使用空发件人地址的邮件通常是不合法的。Microsoft IT 依赖 Exchange Server 2003 在其网关阻止这些邮件，进一步减少环境接收的垃圾邮件数量。

收件人查找Microsoft IT 也在其 Exchange Server 2003 网关服务器上使用收件人查找。Exchange Server 2003 的此项功能可以在协议级别检查收件人的有效性，如果有效，才接受传递邮件这一任务。它会拒绝向不存在的用户传送的邮件。

收件人查找十分有用，因为其他的筛选器未必能够阻止这类邮件。处理大量的这类无用电子邮件会给邮件服务器和整个网络带来不必要的负担。此项功能可以减少大量的电子邮件；但如果不使用此功能，则系统就要试图传送这些邮件，然后又要将它们返回，进而造成资源浪费。

管理员应该慎重执行收件人查找功能。它可能导致邮件服务环境容易遭受目录搜集攻击。为减少受到此种攻击的风险，常用的方法是延迟对无效收件人请求的响应。这样可以在阻止发往无效收件人的邮件的同时，防止企图快速收集电子邮件地址。Microsoft IT 将 Exchange Server 2003 网关配置为在正常接受有效邮件的同时减缓服务器对无效收件人的响应，从而将目录搜集攻击的风险降到最低。有关此过程的更多信息，请参阅 Microsoft 知识库文章“A Software Update Is Available to Help Prevent the Enumeration of Exchange 2003 E-Mail Addresses”（帮助阻止枚举 Exchange 2003 电子邮件地址软件更新已推出），网址为 http://support.microsoft.com/?id=842851。

收件人筛选使用 Exchange Server 2003 中的传入邮件收件人筛选功能，Microsoft IT 可以防范或减轻有目标的邮件炸弹的影响。成为这种攻击目标的收件人常常根本不必从 Internet 接收邮件。收件人筛选可在网关层根据某个标准（例如邮件发送地址）拒绝邮件。

尽管收件人筛选不如实时反垃圾邮件解决方案在防御实时垃圾邮件威胁方面那么有效，但对降低邮件炸弹攻击的风险非常有用。最近，收件人筛选的使用使 Microsoft IT 在一天内就阻止了发往少数几个收件人的数百万封邮件。

受限制的通讯组电子邮件通讯组在组织中很重要，但却可能增加邮件服务环境中的邮件数量，并可能造成新的漏洞。通讯组可能包含大量的收件人，这些收件人是不请自来的电子邮件和恶意电子邮件的发件人的主要目标。恶意电子邮件成功提交到大型通讯组所带来的影响，比相同的邮件提交到特定个人收件人的影响要严重得多。

使用 Exchange Server 2003 中的功能，Microsoft IT 使管理员能够在两天内对电子邮件通讯组进行限制。首先，管理员可以配置一个通讯组来只接受来自特定发件人列表的邮件。其次，管理员可以配置一个通讯组来只接受来自通过身份验证的用户的邮件。如果发件人未通过身份验证，则发送到一个受保护的通讯组的邮件就会被阻止。Microsoft IT 进一步加强了限制，他们限制所有不需要向 Internet 发送或从 Internet 接收电子邮件的通讯组，这样便禁止外部用户向这些通讯组发送邮件。

禁止发件人显示名称解析通过使用 Exchange Server 2003 的一种功能，Microsoft IT 使管理员能够禁止对匿名发送的传入电子邮件执行自动的发件人显示名称解析。通常，当一个发件人的地址和 Active Directory %26reg; 目录服务中的代理地址相匹配时，Outlook 2003 客户端就会自动地将此发件人地址解析为合适的显示名称。在 Exchange Server 2003 中，管理员现在可以“禁止”自动解析发件人的显示名称。当禁止了显示名称解析后，此邮件将被做上标记，这样 Outlook 2003 将不会解析此显示名称，收件人在 Outlook 邮件标题中看到的是 Internet 电子邮件地址（例如 someone@example.com），而不是全局地址列表中的显示名称。此项功能为收件人提供了可视化的说明，邮件来自 Exchange Server 2003 组织之外，因而有可能被篡改。

最佳做法Microsoft IT 认识到客户的环境各不相同，但每一个客户都要应对垃圾邮件、病毒、电子邮件攻击和其他与电子邮件相关的安全威胁。为确保在维护可用性的同时达到尽可能高的防御水平，Microsoft IT 已经开发或实施了以下最佳做法：

%26#8226;

采用多层防御以达到最有效的结果。由于当今垃圾邮件和恶意软件在 Internet 上肆行，单独一道防线对任何公司都不再有效了。仅仅在一年前，Microsoft IT 只使用了一个筛选解决方案，仅阻止了 40％的垃圾邮件。目前，每天传入的 Internet 电子邮件的数量有数千万，但阻止了其中的大约 85％。现在，多层防御方法已部署就绪，从而使 Microsoft IT 能够阻止几乎所有的垃圾邮件。

%26#8226;

在邮件服务网关扫描垃圾邮件。为最大限度地减少通过内部网络路由的垃圾邮件的数量，Microsoft IT 开始在网关层扫描垃圾邮件。其宗旨是在离网络最外层尽可能近的地方进行扫描。扫描完邮件之后，对可疑邮件可以选择存档、拒绝、删除或不采取任何操作。对于 Microsoft IT 而言，在网关删除垃圾邮件是最合理的选择，因为传递和存储可疑垃圾邮件的成本太高了。每一个组织都必须决定在何处扫描以及采取何种操作对其环境最合理。其目的是尽量减少在网络中处理和传递的垃圾邮件。

%26#8226;

在对邮件进行扫描时，先扫描垃圾邮件，再扫描病毒。因为反垃圾邮件扫描阻止了绝大部分从 Internet 传入的邮件，所以先扫描垃圾邮件后扫描病毒是合理的。对随后将被鉴定为垃圾邮件的邮件进行病毒扫描是不划算的，因为那些邮件最终将会被阻止。存储这些邮件以及在网络中传输它们需要额外的磁盘空间、网络带宽和服务器处理循环。

%26#8226;

删除而非清理受感染邮件。尽管一些防病毒解决方案可以从邮件中删除被检测到的病毒并保护此邮件的内容，但这种尝试可能并不完全有效。因此，在系统中发送这些邮件可能会带来危险。对于某些感染类型（例如批量邮寄蠕虫），大量清理后的邮件仍可能会引起系统的性能降低。Microsoft IT 选择删除而非清理受感染的邮件，因为每天都会接收到大量电子邮件。清理后的邮件增加了必须存储和在网络中路由的电子邮件的总数。不过，Microsoft IT 认识到，一些公司在删除电子邮件时犹豫不决，可能会选择尝试清理受感染的电子邮件。

%26#8226;

剥离某些文件类型的附件。Microsoft IT 认为附件的阻止是对基于签名的病毒扫描的一个有价值的补充。附件的剥离提供了一个额外的防御层，可以帮助环境防范在电子邮件附件内传输的未知或最新发布的、尚未为其推出或部署签名文件的恶意软件的攻击。最好在电子邮件网关层实现附件剥离，并联合运用网关层附件剥离策略和客户端附件阻止策略。

%26#8226;

对 Internet 发件人禁用安全通知。Microsoft IT 认为最好不要对 Internet 上的发件人发送通知，原因如下：

%26#8226;

通知会暴露邮件清理系统的功能，因而会带来不必要的安全风险。

%26#8226;

发件人的身份通常无法确认（因为是盗用）；因此，通知电子邮件可能会到达错误的用户，此用户可能已收到了大量的通知。

%26#8226;

如果受感染的邮件很多，通知可能会导致远程系统上发生分布式拒绝服务。

%26#8226;

对传入和传出的电子邮件都进行病毒扫描。尽管我们主要关注通过扫描传入的电子邮件保证 Microsoft IT 邮件服务环境没有病毒，但我们同样也关注内部用户是否会在无意中因传出的电子邮件中包含病毒而感染其他用户和外部收件人。

%26#8226;

为受感染的传出 Internet 电子邮件生成安全通知。如果一个内部用户无意中向外发送了一封受感染的邮件，则此用户的计算机可能已经感染病毒了。必须通知这样的内部用户，才能使他或她将病毒从自己的系统中删除，从而避免发送更多受感染的电子邮件。

%26#8226;

使用受限制的通讯组。受限制的通讯组通过允许管理员控制可以向特定通讯组发送邮件的用户，减少了总体电子邮件数量，降低了风险。此项 Exchange Server 2003 功能提供了各种不同级别的控制。

%26#8226;

在客户端系统上实施一致的防病毒策略。整个邮件服务基础结构的一致性对保持邮件服务环境的安全是至关重要的。个人用户必须知道和了解他们在过程中的角色和提供给他们的控制级别。

%26#8226;

控制网络的最外层和路由。现在我们重申 Microsoft IT 邮件清理的多层方法：组织应当在整个邮件服务基础结构内实施尽可能多的防御措施，从离 Internet 尽可能近的地方开始，在基础结构的每一层都要实施，一直实施到客户端层。不同的防御方法应该相辅相成。

%26#8226;

阻止空发件人。通常，来自空发件人的电子邮件是不合法的。垃圾邮件经常使用一个空发件人以隐藏邮件发件人的身份。因此，Microsoft IT 认为最佳做法就是不要接受没有指定发件人的电子邮件。

%26#8226;

阻止来自某些 IP 地址和域名的电子邮件。在有目标的垃圾邮件或邮件炸弹攻击期间，当恶意邮件来自已识别的源时，基于 IP 地址的筛选和发件人筛选就会提供快速有效的对策，帮助阻止令人讨厌的邮件流量，减少对基础结构的影响。

返回页首

结论和如今的大多数公司一样，Microsoft IT 必须在任何时候都保持警惕，时刻准备抵御垃圾邮件、病毒、电子邮件攻击和对其基础结构的其他安全威胁。由于 Microsoft IT 独特的操作环境—一个由服务器、平台、应用程序和操作系统（包括发行版本和预发行版本）构成的复杂混合体，Microsoft IT 面对着一些罕见的挑战，但 Microsoft IT 与其用户用来保护基础结构的安全性的核心原则是相同的。

Microsoft IT 的邮件清理策略的最重要的主题就是多层方法必不可少。在基础结构的单一层上抵制垃圾邮件、病毒和其他恶意攻击的任何尝试是完全不够的。因此，Microsoft IT 在整个邮件服务基础结构中的多个层上部署防病毒软件。Microsoft IT 通过结合使用第三方解决方案和 Exchange Server 2003 与 Outlook 2003 中内置的许多功能加强防御。

Microsoft IT 策略中的主导原则是必须阻止大量垃圾邮件和恶意邮件进入网络。因此，Microsoft IT 在网络网关处使用了一大批筛选过程。Microsoft IT 还通过从先前的邮件拓扑中消除一组专用服务器改进了网络基础结构。所有这些努力都有助于降低 Microsoft IT 的 TCO。Microsoft IT 认识到环境特性的流动性，Microsoft IT 将继续修订其邮件清理策略，以响应通过 Internet 带给网络的不断变化的危险。