内容概要
Exchange Server 2007加入了新的消息过滤特性,在边界网络或DMZ区进行垃圾邮件过滤。
Exchange Server 2007中新的服务器角色,Edge Transport Server角色,提供了内置的过滤功能,例如连接过滤、内容过滤、附件过滤、发件人和收件人过滤、Sender ID及传输规则等。
Exchange Server 2007的Edge Transport Server角色可以和AD及Microsoft Outlook集成,不过它缺少大型企业所需的一些消息过滤功能。
基于Internet的消息和协作服务无处不在,与此同时,被攻击的风险也不断增加。要保护你组织的消息和协作架构,你需要使用一些消息过滤技术。自从Exchange 2000 Server以来,微软逐渐将消息过滤技术集成在Exchange中。在Exchange Server 2007中,微软提供了一个特殊的服务器角色——Edge Transport角色——用于进行消息过滤以及为组织的内网网关提供路由服务。要了解这个最新的Edge Transport角色,你需要学习Edge服务器的架构,以及垃圾邮件和内容过滤器的功能。一旦掌握了这些功能,你就可以将Exchange Server 2007中基于网关的消息过滤服务和一些第三方的消息过滤解决方案进行对比,以便判断应该使用哪种方案。
作为消息过滤器的Exchange
许多组织通常都在企业网络的边际上部署消息过滤服务,例如DMZ区。网关过滤器的基本原理很简单:进入企业的邮件通信中的垃圾和病毒越少,效果就越好。在DMZ区过滤消息可以提高安全性,因为这种过滤可以隔离病毒,将垃圾阻塞在内网服务器以外。由于消息过滤可以减少流入到组织的邮件总数,基于DMZ的消息过滤服务同样还可以降低内网消息服务器的负荷。
在上一版本中,Exchange并不是实施DMZ区消息过滤服务的最优解决方案,这有好几个原因。首先,也是最重要的一点,Exchange的消息配置和用户数据(发件人和收件人)的存储是依赖于AD的。如果要使用基于Exchange的DMZ区消息过滤服务,公司就必须在DMZ区部署一台AD服务器。这就意味着公司必须将他们的内部服务暴露在外网中,从安全的角度来看这并不明智。另外一种选择就是在DMZ区中单独部署一个独立的AD森林,但这样你就要在内部AD和DMZ区的AD间同步过滤器的参数,例如内网收件人地址。还有一种选择——这种更为常用,而且设置更为简单——就是使用非微软的消息过滤解决方案,因为它们并不需要AD。
Exchange Server 2007解决了这个AD依赖性的问题,加入了一种Edge服务器,它使用一种名为ADAM(Active Directory Application Mode,AD应用程序模式)的目录来存储配置和收件人数据;并提供了一种名为EdgeSync的易于配置的同步方法,将基于DMZ的ADAM实例和公司的内网AD进行同步。ADAM是一种独立的基于LDAP的目录,我们如果不想部署一个完整的Windows域架构的话,就可以使用它。
另外一个原因是,和某些解决方案例如Symantec Mail Security、Tumbleweed MailGate,甚至免费的基于UNIX的Postfix服务相比,基于DMZ的消息过滤服务方面并不是Exchange的强项,上一版本的Exchange消息过滤服务只有一些有限的功能。表1列出的是Exchange各个版本的垃圾邮件和内容过滤功能。不过,Exchange Server 2007加入了重要的垃圾邮件和内容过滤功能,使Exchange完全可以和第三方的消息过滤解决方案媲美了。
表1:不同版本Exchange中的垃圾邮件和内容过滤功能
尽管这里我主要介绍的是Exchange Server 2007 Edge服务器集成的新的垃圾邮件和内容过滤服务,微软还提供了许多其它你可能在消息过滤架构中需要用到的服务。首先,微软提供了一款病毒扫描和垃圾邮件过滤产品,Microsoft Forefront Security for Exchange Server(前身是Sybari的Antigen产品)。在Exchange Server 2007中,如果客户购买了企业客户端访问许可证(CAL)和Volume许可证协议,就可以免费使用Forefront Security。
作为企业CAL的一部分,微软同样还提供了名为Exchange Hosted Filtering(宿主服务,该服务之前是FrontBridge Technologies的一部分)的源消息过滤服务。这个服务对于小型企业和那些不想管理维护他们自己的消息过滤架构的企业来说,是一个不错的选择。
Edge Server的垃圾邮件和内容过滤服务
Edge Server的垃圾邮件和内容过滤服务会检查邮件消息各个部分及邮件的属性,以判断要阻止它、全部通过,还是只允许一部分内容通过Edge消息网关。Edge Transport角色支持表1中列出的垃圾邮件和内容过滤功能。表1中列出的顺序是默认的执行顺序,即当一封新的邮件消息进入Edge消息网关时,它会依次调用这些服务对邮件进行检测。
连接过滤——根据允许和阻止的IP地址列表,检测发送邮件的服务器的IP地址,判断是否应该阻止。连接过滤支持实时黑洞列表(RBLs,Realtime Blackhole Lists)——这是已知的发送垃圾邮件的IP地址和域名列表。RBL是由一些专门的在线服务提供商维护和分发的,例如Trend Micro的MAPS(http://www.mail-abuse.com)。
发件人过滤——将邮件的发件人地址和阻止发件人列表进行比较,判断是否需要阻止该邮件。
收件人过滤——将邮件的收件人地址和阻止收件人列表及组织的内部收件人目录进行比较,判断是否要阻止该邮件。
发件人信用——执行几个检查任务,判断邮件的发件人是否可能是垃圾邮件发送者。发件人信用服务会基于这些检查的返回结果,为该发件人给出发件人信用级别评级(Sender Reputation Level,SRL)。如果发件人的SRL超出了某个标准,发件人会在一段时间中(默认是24小时)被加入到阻止的发件人列表。
Sender ID——防止域名欺骗的服务。欺骗邮件是指邮件将它原来的域名修改为另一个域名,以使自己看起来不是垃圾邮件。为了检查邮件的域名是否合法,Sender ID服务会查询和发件人域名相关的DNS发送方策略框架(Sender Policy Framework,SPF)的记录。
Edge Transport规则——管理员可以使用该服务,定义基于邮件属性或内容进行过滤或删除的传输规则。在垃圾邮件(或病毒)大爆发时,传输规则会非常有用:管理员可以根据恶意邮件或病毒的特征来定制规则,马上采取行动。当垃圾邮件或病毒的标识尚未更新时,就可以使用传输规则来阻止它们。
内容过滤——检查邮件的内容,并对它进行垃圾邮件置信水平(SCL,Spam Confidence Level)评级。内容是由Microsoft Exchange Intelligent Message Filter(IMF,智能信息过滤器)来检查的,它含有判别合法邮件和垃圾邮件特征的逻辑。Exchange Server 2007内容过滤器新增的功能是支持垃圾邮件隔离功能,这可以极大地减少垃圾邮件误判。误判是指垃圾邮件过滤器错误地将邮件归类为垃圾邮件,而实际上它是由合法的发件人发出的。管理员可以使用Exchange Server 2007的隔离功能,设置将达到某个SCL评级的邮件移至一个专用的隔离邮件箱,而不是直接删除。这样管理员就可以对这些隔离的邮件进行人工检查,判断是要将它们发送到目标收件人的邮箱,还是直接删除。
附件过滤——管理员可以定义一些规则,基于邮件的附件采取特定的动作。默认动作是将附件从邮件中剥离,只允许邮件通过。还可以将动作配置为阻止或删除邮件及附件。
在使用Exchange Server 2007的Exchange管理控制台时,你会发现垃圾邮件和内容过滤服务是以Transport Agent的方式实现的。这种实现方法和Exchange Server 2003及Exchange 2000是不同的,这两个版本中的服务是作为Transport Sinks实现的。在控制台上可以启用或禁用Transport Agent并设置它们的属性;反垃圾邮件相关的Transport Agent列在控制台的Anti-Spam选项卡上,如图1所示的是名为Edge的Exchange服务器。
图1:在Exchange管理控制台中配置反垃圾邮件的Transport Agent
连接过滤和附件过滤的Agent不会显示在控制台的Anti-Spam选项卡上。连接过滤的Agent也位于这个选项卡上,不过是由4个其它的子Agent代表的:IP允许列表、IP允许列表提供者、IP阻止列表、IP阻止列表提供者。附件过滤Agent只能从命令行中进行配置,使用Exchange Management Shell。(请参见Exchange Server 2007文档了解更多关于附件过滤的配置:http://technet.microsoft.com/en-us/library/aa997139.aspx。)同样注意到图1中,控制台的Anti-Spam选项卡并没有Edge Transport规则的Agent;这是因为Edge Transport规则是在Tranport Rules选项卡上配置的。
Edge提供了什么功能
现在我们来看看Edge Transport服务器角色提供了哪些消息过滤功能,它又有什么不足之处,这样我们才可以判断Exchange Server 2007自带的消息过滤功能是否能满足自己企业的需求。
Edge服务器角色可以和公司的内网Exchange组织及AD集成,也可以以独立的模式部署。例如,公司可以使用一台Exchange Server 2007独立Edge服务器,为一个Exchange 2003或Exchange 2000组织提供消息过滤服务。要把Edge服务器和内网Exchange组织及AD进行集成,必须定义被微软称为Edge订阅的设置。Edge订阅可以使Edge服务器成为Exchange组织的一个虚拟组成部分。利用Edge订阅同样还可以在AD和Edge的ADAM实例间启用单向的配置及收件人数据的同步(使用EdgeSync进程),并为Edge服务器与内网Exchange组织间的邮件通讯进行路由(Edge订阅会自动创建Exchange发送和接收连接器)。Edge订阅还可以使Edge服务器显示在Exchange组织的管理界面中。例如,你可以在Exchange管理控制台的视图上配置Edge服务器,就像配置公司所有其它Exchange服务器一样。
Exchange Server 2007和Edge安全发件人集合功能使用了一个新的服务,利用这个服务,Edge服务器的垃圾邮件和内容过滤器服务就可以获取Microsoft Office Outlook 2007和Outlook 2003客户端的安全发件人及联系人信息。安全发件人是Outlook用户定义的可以接收的邮件地址和域名。用户可以在Outlook 2007/2003的“垃圾邮件选项”窗口的“安全发件人”选项卡上配置这个列表,如图2所示。将这些信息提供给Edge服务器有两个重要的好处。首先,有助于Exchange Mailbox服务器的处理负载和存储。由于Edge上可以过滤更多内容,Mailbox服务器上处理的邮件就会更少,用户的垃圾邮件目录需要的存储空间也会越小。其次,可以减少垃圾邮件误判的发生;在没有安全发件人数据之前,Edge服务器可能会阻止某些邮件,而如果邮件的发件人在安全发件人列表中,Edge服务器就可以根据这个列表允许它通过,而不会阻止它。
图2:在Outlook 2003中配置安全发件人
安全发件人集合功能使用Exchange Management Shell的Update-Safelist命令,在用户的Exchange Mailbox服务器及AD与EdgeSync服务间同步用户的安全发件人信息,将存储在AD中的安全发件人数据推到Egde服务器的ADAM实例中。请注意以下这一点,安全发件人集合功能仅当Edge订阅配置好后才能起作用;在独立模式部署的Edge服务器上是不起作用的。
Exchange Server 2007可以通过微软升级架构(http://update.microsoft.com/microsoftupdate/v6/muoptdefault.aspx?)来手动或自动升级Edge服务器的垃圾邮件和内容过滤引擎。微软为拥有CAL的客户提供了更多更频繁的Exchange Server 2007垃圾邮件和内容过滤器更新。在企业CAL中,内容过滤器每天都会更新;在标准CAL中,每两周就会更新一次。此外,企业CAL客户还可以享受垃圾邮件和IP信用标识自动更新的服务。
Edge有什么缺点
当然,Edge服务器角色也有一些缺点。首先,只有一个Exchange组织可以订阅某个特定的Edge服务器。这个限制在某些合并或搜索的场景下时可能会成为一个问题,因为这种情况下你可能希望多个组织能同时订阅一台Edge服务器。
如果某台Edge服务器是以独立模式部署的,而且同时有多台独立Edge服务器场提供容错和高可用性,那么Edge服务器角色不能使用自带的ADAM同步机制在不同的Edge实例间同步配置数据。在这类独立模式的Edge服务器场的设置中,配置数据必须使用一种基于XML文件导出/导入的方法来进行同步。
Edge附件过滤不支持对于不同类型的附件执行不同的操作。如果启用了附件过滤,你只能为所有附件类型设置一种动作。例如,如果你想过滤含有.exe和.zip的附件,不能既针对.exe的附件设置删除邮件和附件的动作,又针对.zip附件设置剥离附件后允许邮件通过的动作。
Exchange Edge最终是否有它存在的价值
对于以Exchange为中心的客户来说,如果他们之前没有在网关上部署过垃圾邮件拦截的应用,那么Exchange Server 2007 Edge Transport服务器角色的消息过滤和路由解决方案是一种不错的选择。对于小企业来说,Edge角色可能是一种比较合适的选择,因为Edge已经集成在Exchange Server 2007中,不需要额外的软件许可证。不过不同的是,对那些已经部署了成熟的消息过滤解决方案的大型企业来说,只有在将架构升级到Exchange Server 2007时才会迁移到Edge上来,因为他们现在使用的解决方案已经可以提供完善的垃圾邮件拦截机制。