寄件者信譽和通訊協定分析代理程式
適用於:Exchange Server 2013
寄件者信譽是 Exchange 反垃圾郵件功能的一部分,會根據寄件者的許多特性來封鎖郵件。 寄件者信譽依賴寄件者相關保存的資料來判斷對輸入訊息採取的動作。如果有的話。 通訊協定分析代理程式是傳送者信譽功能的基礎代理程式。
在 Exchange 伺服器上設定反垃圾郵件代理程式時,代理程式會持續地處理郵件,以減少進入組織之來路不明的郵件數。
計算寄件者信譽等級
寄件者信譽等級 (SRL) 依照下列統計資料計算:
HELO/EHLO 分析:HELO 和 EHLO SMTP 命令旨在提供功能變數名稱,例如傳送 SMTP 伺服器至接收 SMTP 伺服器的 Contoso.com 或 IP 位址。 惡意使用者或 垃圾郵件寄件者經常以各種方式偽造 HELO/EHLO 語句。 例如,他們輸入的 IP 位址不符合連線的來源 IP 位址。 Spammer 也會在 HELO 語句的接收伺服器上放置已知在本機支援的網域,以嘗試顯示為網域在組織中。 在其他情況下,垃圾郵件處理常式會變更 HELO 語句中傳遞的網域。 合法使用者的一般行為可能是在其 HELO 語句中使用一組不同但相對常數的網域。
因此,依個別寄件者分析 HELO/EHLO 語句可能表示寄件者可能是垃圾郵件寄件者。 例如,在特定時間週期中提供許多不同唯一 HELO/EHLO 語句的寄件者,較有可能是垃圾郵件寄件者。 在 HELO 語句中一致提供 IP 位址且不符合連線篩選器代理程式所決定之原始 IP 位址的寄件者,也比較有可能是垃圾郵件寄件者。 在 HELO 語句中一致提供本機功能變數名稱且與 Exchange 伺服器位於相同組織的遠端寄件者,也比較有可能是垃圾郵件寄件者。
反向 DNS 查閱:寄件者信譽也會驗證寄件者傳輸訊息的來源 IP 位址是否符合寄件者在 HELO 或 EHLO SMTP 命令中提交的已註冊功能變數名稱。
寄件者信譽會藉由將原始 IP 位址提交至 DNS 來執行反向 DNS 查詢。 DNS 傳回的結果是使用該 IP 位址的網域命名授權單位註冊的功能變數名稱。 寄件者信譽會比較 DNS 傳回的功能變數名稱與寄件者在 HELO/EHLO SMTP 命令中提交的功能變數名稱。 如果功能變數名稱不相符,則寄件者可能是垃圾郵件寄件者,且傳送者的整體 SRL 評等會提高。
寄件者識別碼代理程式會執行類似的工作,但寄件者識別碼代理程式的成功取決於合法的寄件者更新其 DNS 基礎結構,以識別其組織中的所有電子郵件傳送 SMTP 伺服器。 藉由執行反向 DNS 查閱,您可以協助識別潛在的垃圾郵件客。
分析來自特定寄件者的郵件 SCL 分級:當內容篩選器代理程式處理訊息時,它會將垃圾郵件信賴等級指派 (SCL) 評等給郵件。 SCL 評等是從 0 到 9 的數位。 較高的 SCL 評等表示訊息較有可能是垃圾郵件。 每個寄件者及其訊息所產生之 SCL 評等的相關資料會保存,以供寄件者信譽分析。 寄件者信譽會根據過去 SCL 評等較低的寄件者的所有訊息,以及該寄件者過去具有高 SCL 評等的所有訊息之間的比率,來計算寄件者的相關統計資料。 此外,傳送者在過去一天傳送的 SCL 評等較高訊息數目會套用至整體 SRL。
寄件者開啟 Proxy 測試: 開啟的 Proxy 伺服器可接受來自任何地方任何人的連線要求,並轉送流量,就如同來自本機主機一樣。 Proxy 伺服器會透過防火牆主機轉送 TCP 流量,以提供跨防火牆的使用者應用程式透明存取。 由於 Proxy 通訊協定是輕量型且與使用者應用程式通訊協定無關,因此許多不同的服務都可以使用 Proxy。 Proxy 也可以用來共用多個主機的單一網際網路連線。 Proxy 通常會設定為只有防火牆內信任的主機可以跨越 Proxy。 合法的寄件者可能是開啟的 Proxy,因為不小心設定錯誤或惡意程式碼。
開放 Proxy 可讓惡意使用者在 DoS) 或傳送垃圾郵件 (,隱藏其真實身分識別併發動阻斷服務攻擊。 因為預設會將更多 Proxy 伺服器設定為開啟,開啟的 Proxy 就會變得更常見。 此外,惡意使用者可以同時使用多個開啟的 Proxy 來隱藏寄件者的原始 IP 位址。
當寄件者信譽執行開啟的 Proxy 測試時,它會將 SMTP 要求格式化,以嘗試從開啟的 Proxy 連線回 Exchange 伺服器。 如果從 Proxy 收到 SMTP 要求,寄件者信譽會驗證 Proxy 是開啟的 Proxy,並更新該寄件者開啟的 Proxy 測試統計資料。
寄件者信譽會權衡每個統計資料,並計算每個寄件者的 SRL。 SRL 是從 0 到 9 的數位,可預測特定寄件者是垃圾郵件寄件者或惡意使用者的機率。 值為 0 表示寄件者不太可能是垃圾郵件寄件者;值為 9 表示寄件者可能是垃圾郵件寄件者。
您可以設定從 0 到 9 的區塊閾值,寄件者信譽會向寄件者篩選代理程式發出要求,因此會封鎖寄件者將訊息傳送至組織。 當傳送者遭到封鎖時,會在可設定的期間內將寄件者新增至 [封鎖的寄件者] 清單。 封鎖訊息的處理方式取決於寄件者篩選代理程式的設定。 下列動作是處理封鎖訊息的選項:
拒絕
刪除與封存
接受並標記為已封鎖的寄件者
如果傳送者包含在 IP 封鎖清單或 Microsoft IP 信譽服務中,寄件者信譽會立即向寄件者篩選代理程式發出要求,以封鎖寄件者。 若要利用這項功能,您必須啟用並設定 Microsoft Exchange 反垃圾郵件更新服務。
根據預設,寄件者信譽會為尚未分析的寄件者設定 0 的評等。 在寄件者傳送 20 個以上的訊息之後,寄件者信譽會根據本主題稍早所列的統計資料來計算 SRL。
使用 SRL
寄件者信譽會在 SMTP 工作階段的兩個階段期間作用於郵件上:
在 [郵件來源: SMTP] 命令中:只有當郵件遭到連線篩選器代理程式、寄件者篩選代理程式、收件者篩選代理程式或寄件者識別碼代理程式封鎖或以其他方式處理時,寄件者信譽才會對郵件採取行動。 在此情況下,寄件者信譽會從在 Exchange 伺服器上保存該寄件者的寄件者設定檔中,擷取寄件者目前的 SRL 評等。 擷取並評估此評等之後,Exchange 伺服器組態會根據區塊閾值,指定在特定連線發生的行為。
在 [資料結尾] SMTP 命令之後:傳送所有實際訊息資料時,會 (EOD) SMTP 命令提供資料傳輸的結束。 此時在 SMTP 會話中,許多反垃圾郵件代理程式已處理訊息。 反垃圾郵件處理的乘積會更新寄件者信譽所依賴的統計資料。 因此,寄件者信譽具有資料來計算或重新計算寄件者的 SRL 評等。
如需相關資訊,請參閱管理寄件者信譽。
啟用及設定開放式 Prorxy 伺服器偵測
寄件者信譽會評估數個寄件者特性,以計算 SRL。 寄件者信譽評估的特性包括開放式 Proxy 伺服器的測試結果。 濫發垃圾郵件者經常會透過網際網路上開啟的 Proxy 伺服器來路由傳送訊息。 透過開啟的 Proxy 伺服器路由傳送垃圾郵件,垃圾郵件者可以傳送看似來自不同于自己伺服器的訊息。
當寄件者信譽計算 SRL 時,寄件者信譽會嘗試使用各種常見的 Proxy 通訊協定連線到寄件者的原始 IP 位址,例如 SOCKS4、SOCKS5、HTTP、Telnet、Cisco 和 Wingate。 寄件者信譽會格式化通訊協定特定的要求,嘗試使用 SMTP 要求從開啟的 Proxy 伺服器連線回 Edge Transport Server。 如果從 Proxy 伺服器收到 SMTP 要求,寄件者信譽會驗證 Proxy 伺服器是開啟的 Proxy 伺服器,並根據此結果調整 SRL 評等。 根據預設,會在寄件者信譽上啟用開啟 Proxy 伺服器的偵測。
如需如何啟用及設定開放式 Proxy 伺服器偵測的相關資訊,請參閱管理寄件者信譽。
設定 SRL 封鎖閾值
SRL 是從 0 到 9 的數位,可預測特定寄件者是垃圾郵件寄件者或惡意使用者的機率。 您必須針對 SRL 封鎖的寄件者設定臨界值。 此 SRL 區塊閾值會定義必須超過的 SRL 值,傳送者信譽才能封鎖寄件者。 根據預設,SRL 會設定為 7。 您應該在預設層級監視代理程式的有效性。 您可能會發現您可以調整值,以符合組織的需求。 如果您積極地設定其他反垃圾郵件代理程式,您可能會設定比其他反垃圾郵件代理程式未積極設定時更高的寄件者信譽 SRL 閾值。 如需如何調整反垃圾郵件組態以共同運作以減少垃圾郵件的詳細資訊,請參閱 反垃圾郵件保護。
在 Edge Transport Server 上,如果超過特定寄件者的 SRL 區塊閾值,寄件者信譽會將寄件者新增至連線篩選器代理程式上的 IP 封鎖清單。 有時候,垃圾郵件寄件者會從單一寄件者傳送垃圾郵件批次。 在此案例中,如果寄件者信譽計算超過 SRL 區塊閾值的 SRL,則會將寄件者新增至寄件者封鎖清單一段可設定的時間。 預設的持續時間為 24 小時。 24 小時後,寄件者會從寄件者封鎖清單中移除,而且可以再次傳送訊息。
當傳送者新增至 IP 封鎖清單時,寄件者信譽會刪除寄件者設定檔。 寄件者信譽會刪除設定檔,因為封鎖的寄件者現有設定檔表示寄件者的 SRL 超過 SRL 區塊閾值。 這會導致在寄件者封鎖的持續時間結束時,再次將封鎖的寄件者新增至 IP 封鎖清單。
如需相關資訊,請參閱管理寄件者信譽。