Exchange Server 2010反垃圾郵件配置說明By 寒冰 ,最近碰到很多朋友或者網(wǎng)友問Exchange 反垃圾郵件如何配置和使用的問題。原本以為Internet

Exchange Server 2010反垃圾郵件配置說明

By 寒冰

最近碰到很多朋友或者網(wǎng)友問Exchange 反垃圾郵件如何配置和使用的問題。原本以為Internet 上會有很多關(guān)于Exchange 反垃圾郵件的配置和截圖的，結(jié)果google 之后才發(fā)現(xiàn)，更多的只是文字說明，并且都停留在Exchange Server 2003 sp2階段，針對新版的Exchange Server都沒有太多的圖文說明。所以，才有了這篇文章的誕生。

事先聲明：

1、 由于本人才疏學(xué)淺，本文中難免會有錯誤之處，往各位嘴下留情，不喜勿噴；

2、 本文只做為學(xué)術(shù)探討，并100適用于生產(chǎn)環(huán)境，否則后果自負(fù)；

3、 本人不對本文所造成的后果負(fù)責(zé)；

4、 本文著重針對那些不知道technet 為何物，或者不喜歡看technet 的用戶；

===============================我是華麗的分割線================================

正如前面所說，其實(shí)微軟在Exchange Server 2003 sp2開始就支持在Exchange Server上配置簡單的反垃圾郵件功能了。具體的細(xì)節(jié)配置這里不做探討，因?yàn)镋xchange Server 2003本身就已經(jīng)處于被淘汰的產(chǎn)品序列，再者本人也沒有測試環(huán)境，所以也就無法截圖做說明，所謂無圖無真相！有需要的朋友可以google 之… 本文以Exchange Server 2010作為反垃圾郵件配置實(shí)例為例。

其實(shí)，在微軟發(fā)布的Exchange Server 2010的幾個角色中，Edge Server和Hub Transport Server都支持反垃圾郵件功能，只是在Edge Server上默認(rèn)就是開啟了這個功能，而在Hub Transport Server上需要手動來啟用這個功能。

雖然Edge Server在很大程度上和Hub Transport Server的功能有重復(fù)。但是個人還是建議安裝Edge Server。因?yàn)樵诖笮徒M織中，Hub Transport Server承載著繁重的郵件流工作，如果再讓它去做本身不屬于他的反垃圾郵件工作，可能會造成負(fù)載過重。當(dāng)然，如果是小型企業(yè)，是否需要不屬Edge Server，那就需要考量了。 在正式配置反垃圾郵件功能之前，我們先來了解一下Exchange 反垃圾郵件的處理順序和過程

當(dāng) SMTP 服務(wù)器連接到 Exchange 2010 并啟動 SMTP 會話時，對于面向 Internet 的邊緣傳輸服務(wù)器，篩選器將按如下順序進(jìn)行應(yīng)用：

?

?

?

?

?

?

?

?

? 連接篩選 發(fā)件人篩選 收件人篩選 發(fā)件人 ID 篩選 內(nèi)容篩選 發(fā)件人信譽(yù)篩選 附件篩選 防病毒掃描（Exchange 本身并不支持，需要配合Forefront Protection for Exchange Server ） Outlook 垃圾郵件篩選

下圖說明了整個的處理過程：

好啦，下面開始Exchane Server 2010的反垃圾郵件配置！

如果在企業(yè)組織中沒有反垃圾郵件設(shè)備，也沒有部署Edge Server，那么就需要在Hub Transport Server上來啟用反垃圾郵件功能。步驟如下“

安裝Exchange Server 2010反垃圾郵件功能

進(jìn)入到Exchange Server 2010的安裝目錄下的Script 文件夾，執(zhí)行以下腳本文件install-AntispamAgents.ps1。此處需要說明的是，很多Exchange Server 2007/2010的新手管理員對于Exchange Management Shell（EMS ）很陌生和很恐懼，其實(shí)在EMS 下，99的命令和參數(shù)都可以使用鍵盤上的Tab 鍵進(jìn)行補(bǔ)全，比如，當(dāng)你想要查詢組織中的所有數(shù)據(jù)庫的時候，可以輸入Get-Mailboxd 之后按Tab 鍵，EMS 會自動遍歷所有以Get-Mailboxd 開始的命令，這樣就會自動補(bǔ)全Get-MailBoxDatabase 命令了。

再執(zhí)行完這條命令之后，需要重新啟動Exchange 的傳輸服務(wù)?？梢栽赟ervices.msc 的控制臺去重啟，也可以用命令行來重啟。

如果需要用命令行來重啟Exchange 的傳輸服務(wù)，可以用以下命令來得到Exchange Server上所有的Exchange 服務(wù)：

Get-Service –Name MSE* | ft –AutoSize –Wrap

命令解釋：

得到所有名字為MSE*的服務(wù)，并且自動調(diào)整顯示方式以完整顯示其內(nèi)容

在得到了和Exchange 相關(guān)的服務(wù)之后，找到Exchange 的傳輸服務(wù)，然后執(zhí)行以下命令重啟

Restart-Service MSExchangeTransport

至此，Exchange Server 2010 Hub Transport Server上的反垃圾郵件功能就安裝完畢了。重啟完服務(wù)之后，重新打開Exhange Management Console（EMC ）就可以看到反垃圾郵件已經(jīng)可以使用了。

可能有人會問，如果我的環(huán)境中有多臺Hub Transport Server角色該怎么安裝呢？針對這個問題，我們來看下圖，在當(dāng)前我的環(huán)境中有2臺Hub Transport Server角色（如下圖），此前我只是在Mailsvr 這臺服務(wù)器上啟用了反垃圾郵件功能，可以看到兩臺的差異。

可以很明顯的看到在Mailsvr2這臺Hub Transport Server上沒有反垃圾郵件選項(xiàng)卡。那么這樣會造成什么問題呢？我們依舊看截圖：

可以很清楚的看到，會少兩個功能，“IP 允許列表”和“IP 阻止列表”

。那么這兩個有什么用呢？我們可

以看到這兩個功能是在服務(wù)器配置-集線器傳輸層面的，所以它是服務(wù)器級別的。也就是說，如果只是在組織中的某一臺Hub Transport Server上啟用了反垃圾郵件功能，那么其他的Hub Transport Server上是不會有這兩項(xiàng)功能的，直接的結(jié)果就會導(dǎo)致接收郵件故障。理由很簡單，“IP 允許列表”和“IP 阻止列表”，顧名思義，就是用來配置阻止某些IP 地址和允許某些IP 地址用的。也就是說，當(dāng)對方發(fā)送郵件給你的時候，如果出現(xiàn)了誤判，那你就可以在此處將對方郵件服務(wù)器所對應(yīng)的公網(wǎng)IP 加入到“IP 允許列表”中。這樣就可以接受來自此IP 地址發(fā)送過來的郵件了。那“IP 阻止列表”也是同樣的道理，當(dāng)Exchange Server 2010的反垃圾郵件不給力的時候，出現(xiàn)漏網(wǎng)之魚的時候，將對方IP 地址加入到“IP 阻止列表”就可以阻止對方的連接了。

當(dāng)然，不要高興的太早！為什么？因?yàn)榇颂幹皇沁B接篩選，試想，如果你將對方的IP 地址加入到了“IP 允許列表”中，那對方發(fā)送給你一個垃圾郵件怎么辦？郵件內(nèi)容涵非法信息怎么辦？我們前面提到了Exchange 反垃圾郵件過濾的過程和順序。連接篩選只是第一步，后面還有發(fā)件人篩選、收件人篩選、發(fā)件人 ID 篩選、內(nèi)容篩選、發(fā)件人信譽(yù)篩選、附件篩選等等一系列的反垃圾郵件措施等待著…

好啦，廢話少說。起碼，至此，Exchange Server 2010的Hub Transport Server上的反垃圾郵件功能啟用完畢，接下來就是配置。反垃圾郵件的配置是在組織配置-集線器傳輸里面配置的，也就是說，這是組織級別的功能。如果你是分公司，集團(tuán)不給你權(quán)限那你就別想啦…同樣的，上圖，一一來介紹：

1. IP 允許列表

其實(shí)，這里只是一個總開關(guān)，你只能配置為啟用或者禁用。只要當(dāng)你在此處配置了啟用之后，在服務(wù)器配置-集線器傳輸里面配置的IP 允許列表才會生效，否則是無效的。

2. IP 允許列表提供程序

通常稱之為IP 安全列表或白名單，此處是用來配置公網(wǎng)的反垃圾郵件機(jī)構(gòu)所提供的白名單的，在此處你可以配置一個由反垃圾郵件機(jī)構(gòu)提供給你的一個白名單地址。IP 允許列表提供程序用來維護(hù)已確定不會與任何垃圾郵件活動關(guān)聯(lián)的 IP 地址列表。這樣當(dāng)對方發(fā)送郵件給你的時候，Exchange 會將對方的IP 地址提交到這個白名單地址來進(jìn)行檢查，如果屬于白名單里面，那么就接受你的連接，否則就拒絕連接。通常我們不會用到白名單，因?yàn)檎`判幾率會非常的大。

3.

4. IP 阻止列表 IP 阻止列表提供程序 同IP 允許列表

IP 阻止列表提供程序服務(wù)通常被稱為實(shí)時阻止列表服務(wù)或 RBL 服務(wù)。此處跟IP 允許列表提供程序一樣，由反垃圾郵件機(jī)構(gòu)進(jìn)行維護(hù)，會不定期的更新垃圾郵件IP 黑名單。當(dāng)你配置好之后，對方發(fā)郵件給你，Exchange 會將對方的IP 地址提交到你配置的IP 阻止列表提供程序以進(jìn)行匹配，如果對方的IP 地址在垃圾郵件黑名單里面，那么就會拒絕接收對方的連接。所以，當(dāng)你在此處配置好相應(yīng)的提供程序之后，可以將上面提到的IP 允許列表和IP 阻止列表功能禁用。因?yàn)閷Ψ降腎P 地址如果都已經(jīng)進(jìn)入到黑名單了，你給它放到IP 允許列表里面用處也不大。根本的解決辦法，也就是從黑名單里移除。通常我們在配置IP 阻止列表提供程序都會參考中國反垃圾郵件聯(lián)盟和Spamhaus 提供的地址。以下配置以Spamhaus 為例，僅供參考：

關(guān)于以上SBL 、XBL 以及PBL 的解釋：

PBL(The Policy Block List):它主要是包含動態(tài)IP 及哪些允許未經(jīng)驗(yàn)證即可發(fā)送郵件的SMTP 服務(wù)器的IP 地址段。這一個列表最明顯的特點(diǎn)就是提供了一個IP 地址移除的自助服務(wù)，IP

它列入后，可以自己申請移除。