Exchange serve 2007在边缘服务器上实现过滤

　　我们虽然可以在企业内部的邮箱服务器上对邮件实现过滤，但是这毕竟信息已经到了企业的内部网络。其实，我们完全可以在边缘服务器上，就对邮件进行过滤。如此的话，一些无用的信息、甚至是一些攻击信息，就会被屏蔽在企业的边缘服服务器外面，即企业的外部网络上。

　　这也是Exchange serve 2007在边缘服务器上的一个重要应用。根据这个特点，可以大大的提高企业邮箱服务器的安全性。下面，笔者结合连接过滤与协议过滤两个特性，来谈谈如何通过边缘服务器的过滤条件把病毒邮件与垃圾邮件挡在门外。

　　一、 在服务器上实现IP地址过滤。

　　在邮箱服务器的边缘服务器角色中，有一张IP地址列表。在这张列表中，存储着允许访问与不允许访问的所有IP地址列表。

　　在边缘服务器上实现IP地址连接过滤的话，有两个特点，我们需要注意。

　　一是在接受信息或者开始通信之前，边缘服务器就会判断此连接是否被禁止。如边缘服务器在接受或者发送邮件之前，会先进行三次握手，以彼此建立通信关系。而利用IP地址实现过滤，就是在这个握手的过程中实现的。当双方在握手的过程中，边缘服务器一发现对方的IP地址是自己IP地址过滤列表中所禁止的，马上就会不管三七二十一，就把这个禁止掉。这不像根据邮件地址过滤那样。邮件地址过滤是双方已经建立了联系，对方已经把邮件发送到了邮箱服务器。而IP地址过滤是在双方建立通信联系之前进行过滤的。这两者之间有本质的区别。最大的区别就是一个IP地址可以对应很多邮件地址。也就是说，若基于邮件地址过滤的话，同一个IP地址所对应的邮件地址服务器可能会拒绝很多次;而若基于IP地址进行过滤的话，则边缘服务器只需要拒绝一个IP地址就可以了，基于这个IP地址的所有邮件地址都回被边缘服务器无情的拒绝掉。

　　二是基于IP地址的过滤，会覆盖其他所有的反垃圾邮件设置，也就是说，其具有最高的优先级别。其实，这跟IP地址过滤的原理相关的。像上面我们所说，IP地址邮件过滤是在双方通信之前的握手过程中实现的过滤。在对方的邮件内容、发信人地址等等都还没有传送到边缘服务器的时候，就已经判断是否需要接收这份邮件。既然邮件内容、发信人地址等等都还没有收到，那么针对这些内容的策略也就根本不能起任何作用了。也就是说，某个邮电地址为AA@abc.com，其对应的IP地址为222.222.222.222(这个IP地址为虚拟，若有雷同，纯属巧合)。若在IP地址过滤的时候，把这个IP地址设置为“禁止”，则即使后面收件人过滤中，允许接收这个邮件地址的邮件，但是，边缘服务器仍然会拒绝这个邮件，因为其所对应的IP地址是不允许的。可见，基于IP地址的过滤条件，在所有的过滤条件中，具有最高的优先级别。

　　真因为基于IP地址的过滤策略，具有最高的优先级别，所以，在使用这个策略的使用，需要注意以下内容：

　　1、因为这个策略，被禁止的邮件不会保存在邮件服务器上，供邮箱管理员进行校对，所以，对于这个基于IP过滤的策略，要谨慎使用。在没有百分之百的把握下，不要采用这个 IP过滤策略。虽然其在反垃圾邮件与反病毒邮件上具有突出的表现，但是，这个守门员是“四肢发达，头脑简单”的，他不会对邮件进行职能的判断。他唯一的好处就是“六亲不认”。

　　2、针对IP地址过滤的安全策略，其会拒绝这个IP地址邮箱服务器发送过来的所有邮件。如新浪邮箱，也许有人会利用这个邮箱发送广告等垃圾邮件，但是，毕竟其大部分用户是好用户，不会发送垃圾邮件。若我们因一个人发送垃圾邮件，就把这整个新浪邮箱服务器发送的邮件全部拒绝掉，就有点“株连九族”的嫌疑。这显然是不合适的。

　　总之，这个基于IP地址过滤的邮箱安全策略，虽然用处比较大，效果比较明显，但是，在使用过程中，还是需要小心为上，不能采取“株连九族”的政策。

　　二、 微软IP地址信誉服务。

　　在基于IP地址的邮件过滤中，若让我们自己去收集这些信誉不好的IP地址，是一件非常痛苦的事情，一不小心，我们就会被企业员工所投诉。所以，我们需要有外部的专业人士，提供比较可靠的IP地址过滤列表，如此的话，我们就可以最大限度的过滤掉那些非法的IP地址。

　　微软在这方面又作了一个大好人。微软提供了一种叫做微软IP地址信誉服务，这个服务主要就是为我们邮箱服务器管理员，提供一套比较完整、比较准确的IP地址过滤列表。

　　首先，这个微软的IP地址信誉服务，又被叫做发信人信誉度。其主要是根据HOTMAIL的历史数据进行统计。我们都知道，HOTMAIL现在算得上是全球数一数二的免费的邮箱系统，他们每天会收到数以亿计的邮件。他们就以这些邮件为基础，根据一定的规则进行统计，然后得出那些IP地址经常在发送垃圾邮件，然后就把这些IP地址整理成一份列表，提供给他的客户。这份列表相对于我们邮箱管理员自己收集的IP地址来说，其完整性、准确率肯定是非常高的。

　　其次，这份列表我们网络管理员通过服务器的自动更新策略，自动更新IP地址列表。因为微软会在他们的网站上，自动更新这个IP地址列表。而我们也可以定时的去下载这份列表进行更新。

　　不过这个服务在国内应用的话，可能问题还比较多。因为现在国内的邮箱服务提供商，管理的都不怎么严格。所以，国内的很多邮箱地址，在国外都被禁止的。这也正是很多用户反映，他们发送邮件，国外客户接收不到。真是因为由于国内的邮箱服务提供商监控不严，导致垃圾邮件满天飞所造成的，他们的IP地址都为微软的IP地址信誉服务列入了黑名单。而利用了这种服务的国外邮箱服务器，就把国内这些邮箱服务器发送的邮件挡在门外了。

　　为此，国内的企业有时候不得不用GMAIL来发送国外的邮件。GAMIL确实很少有垃圾邮件与病毒邮件，但是，根据用户的反映，GAMIL收发邮件的速度太慢，跟国内的邮箱服务器不能比。

　　当然，随着国内邮箱服务器在发垃圾邮件与反病毒邮件上监控力度的加强，这方面会逐渐改善，但是，在近期该如何面对这个问题呢?

　　其实，也比较简单。如我们现在需要接收222.222.222.222邮箱服务器发送过来的邮件，虽然微软IP地址信誉服务认为这个邮件发送地址信誉不好，但是，我们需要接收这个IP地址发送过来的邮件，我们信任他们，则我们就可以把这个IP地址写入到IP地址允许列表当中。我们上面说过，基于IP地址的过滤其具有最高的优先级别，他可以覆盖整个IP地址信息服务。所以，在近期内我们若需要采用这个微软IP地址信誉服务的话，则可能需要根据实际情况，把一些国内的邮箱服务器提供商的IP地址手工的添加进取，以防止边缘服务器错误的把一些应该接收的邮件当作垃圾邮件处理。

　　三、 针对收件人的过滤。

　　在上面一篇文章中，笔者谈到过，在边缘服务器上有一份收件人列表。这份列表是边远服务期通过一种特殊的服务，保持跟内部邮箱服务器上的同步。而且，这份收件人列表是通过一种单向散列的加密手段加密过的，可以保证及时外部非法侵入者或许这份收件人列表，但是，也不能实现解密。因为单向散列加密方法，根本不能解密。

　　而边缘服务器就可以根据这份收件人列表，实现收件人的过滤。当外面发送过来的邮件，若收件人的邮件地址在边缘服务器上的整个收件人列表中，则边缘服务器就会放行;但是，若该收件人地址不在这个边缘服务器的收件人列表中，则边缘服务器就会拒绝。

　　可见，在边缘服务器上实现针对收件人的过滤，就可以有效的避免邮件的地址欺骗，从而保障邮箱服务器的安全性。

　　具体的来说，在边缘服务器上，针对收件人的过滤，可以提到如下作用：

　　1、 用户有时候会投诉，收件人地址有时候明明是空的，这份邮件为什么他们会收到呢?

　　2、 用户有时候会莫名其妙，他们明明没有发邮件给自己，但是，有时会却会受到发件人和收件人都是自己的邮件?

　　等等。

　　其实，这些问题，都可以通过邮箱边缘服务器的收件人过滤来解决。