Exchange Server中的寄件者識別碼
寄件者識別碼是用來偵測 詐騙。 已修改詐騙的電子郵件訊息,使其看起來就像是來自訊息實際寄件者以外的寄件者。 在過去,傳送詐騙電子郵件訊息相當容易,因為未驗證郵件標頭中的寄件者電子郵件地址。 寄件者識別碼會使用 RECEIVED SMTP 標頭,以及寄件者網域的 DNS 記錄查詢,以判斷寄件者的電子郵件地址是否遭到詐騙。 Exchange Server中的寄件者識別碼是由寄件者識別碼代理程式所提供,且與 2010 Exchange Server相比基本上保持不變。
根據預設,Edge Transport Server 上會啟用寄件者識別碼代理程式,但您可以在信箱伺服器上啟用它。 如需詳細資訊,請參閱在信箱伺服器上啟用反垃圾郵件功能。
如需如何設定寄件者識別碼代理程式的相關資訊,請參閱寄件者識別碼程序。
使用者寄件者識別碼抵禦詐騙
當 Exchange 伺服器收到輸入訊息時,寄件者識別碼代理程式會藉由查詢寄件者網域的 DNS 記錄來驗證寄件者的 IP 位址。 這項檢查會確認已從寄件者網域的授權 IP 位址收到訊息。 授權傳送伺服器的 IP 位址稱為 PRA) (所 要求的負責位址 。
系統管理員會在 DNS 中發佈傳送者原則架構 (SPF) 記錄,以識別網域的授權輸出傳訊伺服器。 如果寄件者網域的 DNS 中有 SPF 記錄可用,寄件者識別碼代理程式會剖析 SPF 記錄,以判斷來源 IP 位址是否有權傳送寄件者電子郵件地址中所指定網域的電子郵件。 如需 SPF 記錄包含內容及如何建立 SPF 記錄的詳細資訊,請參閱 寄件者原則架構:SPF 記錄語法。
寄件者識別碼狀態值
寄件者識別碼代理程式會產生訊息的寄件者識別碼狀態。 寄件者識別碼狀態可以設定為下列其中一個值:
通過:IP 位址和 PRA 都通過寄件者識別碼驗證檢查。
中性:已發佈的寄件者識別碼資料明確沒有結果。
軟性失敗:PRA 的 IP 位址可能位於不允許的設定中。
失敗:不允許 IP 位址。 傳入郵件中找不到 PRA,或寄件者的網域不存在。
無:傳送者網域的 DNS 中沒有已發佈的 SPF 資料。
TempError:發生暫時性的 DNS 失敗,例如無法使用的 DNS 伺服器。
PermError:DNS 記錄無效,例如記錄格式的錯誤。
注意:如果來源 IP 位址遺失,則無法設定寄件者識別碼狀態。 Exchange 會繼續處理訊息,但不包含寄件者識別碼狀態,而且不會傳回或拒絕訊息。 在此案例中,不會設定寄件者識別碼狀態,而且會記錄應用程式事件。
傳送者識別碼狀態會新增至訊息中繼資料,稍後會轉換成 MAPI 屬性。 在計算垃圾郵件信賴等級 (SCL) 期間,Outlook 中的垃圾郵件篩選器會使用此 MAPI 屬性。
Outlook 不會顯示寄件者識別碼狀態,也不會根據寄件者識別碼值將郵件標示為垃圾郵件。 相反地,Outlook 只會在郵件的 SCL 計算期間使用寄件者識別碼狀態值。
如需寄件者識別碼狀態在郵件中顯示方式的相關資訊,請參閱防垃圾郵件戳記。
用於處理詐騙郵件和無法連線之 DNS 伺服器的寄件者識別碼選項
您可以設定當寄件者識別碼代理程式識別包含詐騙寄件者的訊息時所要採取的動作, (傳送者識別碼狀態 Fail 為) ,而且當無法連線到 DNS 伺服器時, (寄件者識別碼狀態為 TempError) :
戳記狀態:寄件者識別碼代理程式會在訊息的中繼資料中戳記寄件者識別碼狀態,並允許繼續傳遞訊息。 此為預設選項。
拒絕:寄件者識別碼代理程式會拒絕具有 5 xx 層級 SMTP 錯誤回應的訊息,其中包含對應至寄件者識別碼狀態的文字。
刪除:寄件者識別碼代理程式會以無訊息方式刪除訊息,而不會有 SMTP 錯誤回應。 Exchange 伺服器會將假的 OK SMTP 命令傳送至來源伺服器,然後刪除訊息。 因為來源伺服器假設訊息已傳送,所以不會嘗試在相同的會話中重新傳送訊息。
如需如何設定針對詐騙郵件和無法連線的 DNS 伺服器所採取之動作的詳細資訊,請參閱 寄件者識別碼程式。
更新貴組織的網際網路面向 DNS 以支援寄件者識別碼
寄件者識別碼的有效性取決於特定的 DNS 資料。 為其網域設定 SPF 記錄的組織越多,傳送者識別碼就越能識別詐騙郵件。
若要支援寄件者識別碼基礎結構,您必須為組織傳送訊息的來源網域建立 SPF 記錄。 如需如何建立和部署 SPF 記錄的詳細資訊,請參閱 寄件者原則架構:SPF 記錄語法。
指定要排除在寄件者識別碼篩選之外的收件者與寄件者網域
您可以使用 Exchange 管理命令介面中的 Set-SenderIdConfig Cmdlet,從寄件者識別碼篩選中排除特定收件者和寄件者網域。 如需詳細資訊,請參閱 寄件者識別碼程式。