发件人信誉和协议分析代理

适用于:Exchange Server 2013

发件人信誉是 Exchange 反垃圾邮件功能的一部分,该功能根据发件人的许多特征阻止邮件。 发件人信誉依赖于有关发件人的保留数据来确定对入站邮件执行的操作(如果有)。 协议分析代理是发件人信誉功能的基本代理。

在 Exchange 服务器上配置反垃圾邮件代理时,代理会累积处理邮件,以减少进入组织的未经请求的邮件数。

发件人信誉级别的计算

发件人信誉级别 (SRL) 是通过下列统计信息计算的:

  • HELO/EHLO 分析:HELO 和 EHLO SMTP 命令旨在提供域名,例如 Contoso.com 或向接收 SMTP 服务器发送 SMTP 服务器的 IP 地址。 恶意用户(或垃圾邮件制造者)经常通过不同方式伪造 HELO/EHLO 语句。 例如,键入与发起连接的 IP 地址不匹配的 IP 地址。 垃圾邮件制造者还将已知在接收服务器本地支持的域放入 HELO 语句,尝试像域处于组织中一样显示。 其他情况下,垃圾邮件制造者更改在 HELO 语句中传递的域。 合法用户通常可能会在 HELO 语句中使用不同但是相对恒定的一组域。

    因此,对每个发件人的 HELO/EHLO 语句进行分析可能表明发件人可能是垃圾邮件发送者。 例如,在特定时段内提供许多不同的唯一 HELO/EHLO 语句的发件人更可能是垃圾邮件制造者。 在 HELO 语句中始终提供与连接筛选器代理确定的源 IP 地址不匹配的 IP 地址的发件人也更有可能成为垃圾邮件发送者。 如果远程发件人在 HELO 语句中提供的本地域名与 Exchange 服务器在同一组织中,则也很可能是垃圾邮件制造者。

  • 反向 DNS 查找:发件人信誉还会验证发件人从中传输邮件的发起 IP 地址是否与发件人在 HELO 或 EHLO SMTP 命令中提交的已注册域名匹配。

    发件人信誉通过将原始 IP 地址提交给 DNS 来执行反向 DNS 查询。 DNS 返回的结果是使用该 IP 地址的域命名机构注册的域名。 发件人信誉将 DNS 返回的域名与发件人在 HELO/EHLO SMTP 命令中提交的域名进行比较。 如果域名不匹配,则发件人很可能是垃圾邮件制造者,并提高发件人的总体 SRL 分级。

    发件人 ID 代理执行类似的任务,但发件人 ID 代理的成功依靠合法发件人更新其 DNS 基础结构,以标识其组织中所有电子邮件发送 SMTP 服务器。 通过执行反向 DNS 查找,可以帮助标识潜在的垃圾邮件制造者。

  • 分析来自特定发件人的邮件的 SCL 评级:当内容筛选器代理处理邮件时,它会为邮件分配垃圾邮件置信度 (SCL) 评级。 SCL 分级是 0 到 9 之间的一个数字。 SCL 分级越高,表明邮件越可能是垃圾邮件。 有关每个发件人及其邮件生成的 SCL 分级的数据始终用于发件人信誉分析。 发件人信誉根据过去来自该发件人的所有低 SCL 分级的邮件与过去来自该发件人的所有高 SCL 分级的邮件之间的比例来计算有关发件人的统计信息。 此外,发件人在前一天已发送的高 SCL 分级邮件数应用于总体 SRL。

  • 发件人开放代理测试开放代理 是一种代理服务器,它接受来自任何位置的任何人的连接请求,并转发来自本地主机的流量。 代理服务器通过防火墙主机中继 TCP 通信,以便通过防火墙透明访问用户应用程序。 由于代理协议是轻型协议,并且独立于用户应用程序协议,因此代理可供许多不同的服务使用。 代理还可用于在多个主机之间共享一个 Internet 连接。 通常,将代理设置为只有防火墙以内的受信任主机可以通过代理。 由于疏忽性的错误配置或恶意软件,合法的发件者可能是开放代理。

    开放代理为恶意用户提供了一种理想的方式,可以隐藏其真实身份并发起拒绝服务攻击 (DoS) 或发送垃圾邮件。 随着越来越多的代理服务器在默认情况下配置为开放,开放代理越来越常见。 另外,恶意用户可将多个开放代理一起使用来隐藏发件人的原始 IP 地址。

    发件人信誉执行开放代理测试时,通过在尝试从开放代理连接回 Exchange 服务器时格式化 SMTP 请求来执行此测试。 如果收到来自该代理的 SMTP 请求,则发件人信誉将验证该代理是否为开放代理,并更新该发件人的开放代理测试统计信息。

发件人信誉将评估每个统计信息并计算每个发件人的 SRL。 SRL 是 0 到 9 之间的一个数字,预测特定发件人是垃圾邮件制造者或其他恶意用户的可能性。 值 0 表示发件人不大可能是垃圾邮件制造者;值 9 表示发件人很可能是垃圾邮件制造者。

可以配置 0 到 9 之间的阻止阈值,在达到该阈值时,发件人信誉将向发件人筛选器代理发送请求,从而阻止发件人向组织发送邮件。 阻止发件人时,发送方将添加到“阻止的发件人”列表,期限可配置。 如何处理被阻止的邮件取决于发件人筛选器代理的配置。 下列操作是处理被阻止邮件的选项:

  • 拒绝

  • 删除并存档

  • 接受并标记为被阻止发件人

如果发件人包含在 IP 阻止列表或 Microsoft IP 信誉服务中,则发件人信誉将立即向发件人筛选器代理发送请求,以阻止该发件人。 若要利用此功能,必须启用和配置 Microsoft Exchange 反垃圾邮件更新服务。

默认情况下,发件人信誉对尚未分析的发件人设置分级 0。 发送方发送 20 封或更多封邮件后,发件人信誉会根据本主题前面列出的统计信息计算 SRL。

SRL 的使用

发件人信誉在 SMTP 会话的下列两个阶段对邮件执行操作:

  • 在 MAIL FROM: SMTP 命令中:仅当邮件被连接筛选器代理、发件人筛选器代理、收件人筛选器代理或发件人 ID 代理阻止或以其他方式操作时,发件人信誉才会对邮件起作用。 在这种情况下,发件人信誉从 Exchange 服务器中有关该发件人的发件人配置文件中检索发件人当前的 SRL 分级。 在检索并评估此分级之后,Exchange 服务器配置根据阻止阈值决定在特定连接上发生的行为。

  • 在“数据结束”SMTP 命令之后:发送所有实际邮件数据时,会提供数据传输结束 (EOD) SMTP 命令。 此时,在 SMTP 会话中,许多反垃圾邮件代理已处理邮件。 作为反垃圾邮件处理的副产品,会更新发件人信誉所依赖的统计信息。 因此,发件人信誉具有为发件人计算或重新计算 SRL 分级的数据。

有关详细信息,请参阅 管理发件人信誉

启用和配置打开代理服务器的检测

发件人信誉评估多个发送方特征以计算 SRL。 发件人信誉评估的特征包括开放代理服务器的测试结果。 垃圾邮件发送者经常通过 Internet 上的开放代理服务器路由邮件。 通过开放式代理服务器路由垃圾邮件,垃圾邮件发送者可以发送看起来来自与其自己的服务器不同的服务器的邮件。

发件人信誉在计算 SRL 时,将尝试使用各种常见代理协议(例如 SOCKS4、SOCKS5、HTTP、Telnet、Cisco 和 Wingate)连接到发件人的起始 IP 地址。 发件人信誉设置协议特定请求的格式,以尝试使用 SMTP 请求从开放代理服务器连接回边缘传输服务器。 如果从代理服务器收到 SMTP 请求,则发件人信誉会验证代理服务器是否为开放代理服务器,并根据此结果调整 SRL 分级。 默认情况下,对发件人信誉启用对打开代理服务器的检测。

有关如何启用和配置打开代理服务器的检测的详细信息,请参阅 管理发件人信誉

设置 SRL 阻止阈值

SRL 是 0 到 9 之间的一个数字,预测特定发件人是垃圾邮件制造者或其他恶意用户的可能性。 必须为 SRL 阻止发件人设置阈值。 此 SRL 块阈值定义必须超出发件人信誉才能阻止发件人的 SRL 值。 默认情况下,SRL 设置为 7。 应在默认级别监视代理的有效性。 你可能会发现,可以调整值以满足组织的需求。 如果主动设置其他反垃圾邮件代理,则为发件人信誉设置 SRL 阈值可能高于未主动设置其他反垃圾邮件代理的 SRL 阈值。 有关如何调整反垃圾邮件配置以便它们协同工作以减少垃圾邮件的详细信息,请参阅 反垃圾邮件保护

在边缘传输服务器上,如果超出特定发件人的 SRL 阻止阈值,则发件人信誉会将该发件人添加到连接筛选器代理上的 IP 阻止列表。 有时,垃圾邮件制造者会通过单个发件人成批发送垃圾邮件。 在这种情况下,如果发件人信誉计算的 SRL 超过 SRL 阻止阈值,则会将该发件人添加到发件人阻止列表并使其在列表中保留可配置的持续时间。 默认持续时间为 24 小时。 24 小时之后,该发件人便会从发件人阻止列表中删除并可再次发送邮件。

将发件人添加到 IP 阻止列表时,发件人信誉会删除发件人的配置文件。 发件人信誉会删除配置文件,因为被阻止发件人的现有配置文件指示发件人的 SRL 超出了 SRL 阻止阈值。 这将导致阻止的发件人在阻止的持续时间结束后再次添加到 IP 阻止列表。

有关详细信息,请参阅 管理发件人信誉