消息传递安全机制.doc

Microsoft 消息传递安全机制Microsoft IT 如何防御垃圾邮件、病毒和电子邮件攻击技术白皮书发布时间：2006 年 4 月目录执行摘要3导言5Microsoft 网络和消息传递基础结构概述5先前的消息传递安全机制基础结构6当前的消息传递安全机制基础结构7反垃圾邮件和防网页仿冒9智能消息筛选器9其他反垃圾邮件防御措施11防病毒13体系结构13传入和传出电子邮件策略15Exchange Server 2003 SP2 SMTP 路由服务器15文件级病毒扫描与消息级病毒扫描17客户端层的防病毒措施17其他的消息传递安全机制技术19连接筛选19发件人筛选21空白发件人筛选21收件人查找21收件人筛选21受限通讯组22禁止发件人显示名称解析22最佳实践23结束语25更多信息26执行摘要背景信息通过 Internet 电子邮件传播的垃圾邮件、病毒和其他恶意软件 (malware) 日渐盛行，这给企业消息传递环境带来了沉重的负担，大有压垮消息传递资源之势。更严重的是，如果无法有效控制这些威胁，就会使企业消息传递环境（可能是整个企业网络）陷入遭受安全攻击的危险之中。解决方案为了管理垃圾邮件和恶意软件的流入，Microsoft IT 使用了多层方法，来最大程度地减少允许通过网络最外层的电子邮件数。Microsoft IT 采用多个扫描和筛选过程，来删除垃圾邮件和恶意软件并尽量减少误报。Exchange Server 2003 SP2 中用于管理此过程的多项技术简化了消息传递管理员的工作。优点 在网络最外层扫描垃圾邮件，这样可极大地降低需内部处理和存储的消息传递内容的数量。 在附件和恶意软件到达邮箱之前对其进行删除和扫描，这样可极大地降低用户遭受这些威胁的可能性。 在客户端层进一步进行扫描，这样可降低恶意软件的威胁以及给员工工作效率带来的不利影响（例如分检、删除垃圾邮件所需的时间）的不良影响。产品与技术 Microsoft Exchange Server 2003 SP2 Microsoft Office Outlook 2003 Microsoft Exchange 智能消息筛选器 Sender ID 实时黑名单 连接筛选 发件人和接件人筛选 病毒扫描程序 Microsoft Windows Server 2003 Outlook Web AccessInternet 上无用的电子邮件（垃圾邮件）、病毒、网页仿冒和恶意软件的泛滥对任何一个公司来说都是一个严重的问题，Microsoft 也不例外。这一问题在过去几年中愈演愈烈，以至于现在每个连接到 Internet 的企业都必须采取预防措施来防范这种攻击。这些威胁不再局限于电子邮件消息本身，还包括其他与电子邮件相关的威胁，如简单邮件传输协议 (SMTP) 层的拒绝服务 (DoS) 攻击，有目标的邮件炸弹（通过发送大量电子邮件使消息传递系统瘫痪）和目录搜集攻击（尝试搜集大量有效的电子邮件地址）。本文包含访问英文网页的链接。1998 年之前，几乎没有用于防御垃圾邮件、病毒和其他电子邮件攻击的工具，因为这类问题根本不存在。而鉴于今天的 Internet 环境，Microsoft 信息技术 (Microsoft IT) 小组认为必须采用多种机制来防御这些威胁，而不能只使用一种机制。这种方法包括结合使用 Microsoft 产品、第三方黑名单和 Sybari 病毒扫描软件，它们部署在消息传递环境中的多个层次（从网关到客户端）。Microsoft IT 将其所有针对这些威胁以及类似威胁的防御机制统称为“消息传递安全机制”。自 1998 年起，Microsoft IT 已在其 Microsoft Exchange 基础结构中使用了多种消息传递安全机制功能。对防病毒和反垃圾邮件系统体系结构的最新改进使得 Microsoft IT 能够使近 50% 的需要在环境中执行反垃圾邮件功能的服务器得以巩固。除了体系结构的更改之外，Microsoft IT 还同时加强了 Internet 邮件网关层和客户端层的防御能力。这样，Microsoft IT 既可以降低运营成本，又可以加强防范恶意电子邮件和无用电子邮件的力度。Microsoft IT 已经使用了 Microsoft Exchange Server 2003（Microsoft 的服务器消息传递产品）的消息传递安全机制功能来加强以前由第三方电子邮件扫描软件提供的防病毒和反垃圾邮件功能。Microsoft IT 已经部署的此类功能包括： 使用第三方的已知垃圾邮件发件人实时黑名单的连接筛选 发件人和收件人筛选以及收件人查找 Exchange 智能消息筛选器 基于内容的垃圾邮件筛选软件之后，Microsoft IT 又将其消息传递基础结构升级为 Exchange Server 2003 Service Pack 2 (SP2)。Microsoft IT 使用 Microsoft Exchange Server 2003 SP2 来提供更强大的垃圾邮件防御力度，进而使消息传递环境安全而又可靠。这些改进包括： 更新和集成的智能消息筛选器 发件人 ID 电子邮件身份验证协议 具有网页仿冒筛选软件的改进型智能消息筛选器撰写本文时，从 Internet 提交到 Microsoft IT 电子邮件网关的消息量平均在 1 千万次和 1.2 千万次之间。使用这种多层方法来筛选电子邮件，就意味着可以通过多种机制分析传入的电子邮件，其中的每种机制都最终减少了允许通过的垃圾邮件的数量。下列筛选阶段说明了截至撰写本文时 Microsoft IT 中的电子邮件筛选层的效果。这些百分比数字均基于每天的平均量。1. “连接筛选”可阻止约 80% 传入的 SMTP 消息。这些连接来自第三方实时黑名单中所列的已知垃圾邮件源。2. “发件人和收件人筛选”可删除 70% 在连接筛选之后收到的消息。3. 在连接筛选之后，发件人筛选和收件人筛选会将近 95% 的垃圾邮件删除。智能消息筛选器会将其余 6% 的垃圾邮件拒绝掉。经过上述筛选阶段后，其余的电子邮件会经过病毒扫描。通过此阶段的电子邮件被传递给邮箱服务器，供用户访问。电子邮件客户端也会运行筛选软件，进一步减少到达用户处的垃圾邮件数。一般情况下，在经过所有筛选层后，每天只剩下约 5% 的传入 Internet 电子邮件，如图 1 所示。图 1. 对传入 Internet 电子邮件进行垃圾邮件筛选的效果在过去遭受的垃圾邮件或病毒攻击中，Microsoft IT 发现每天电子邮件的数量是原来的两倍、三倍甚至是四倍，不过 Microsoft IT 目前的防御层仍然很好地保护着消息传递环境，一直未让用户受到这些攻击的任何影响。每天，Microsoft IT 小组都会收到一些关于消息传递基础结构中的垃圾邮件、病毒、网页仿冒和电子邮件攻击防范方法的询问。本文深入分析了在防范这种日趋严重的问题的过程中所需要的策略、措施和面临的挑战。还重点讨论了 Microsoft IT 在使用 Exchange Server 2003 和 Exchange Server 2003 SP2 的功能（包括智能消息筛选器和发件人 ID）来筛选掉无用电子邮件并删除网页仿冒方面的经验。本文面向那些目前在分布式环境中正在运行或正在考虑升级到 Exchange Server 2003 或 Exchange Server 2003 SP2 并希望在他们的企业消息传递基础结构中控制垃圾邮件和恶意电子邮件流的 Microsoft 客户。具体来说，本文的目标读者包括：企业、业务和技术决策者；IT 架构师；负责管理基础结构中的 Internet 电子邮件流的操作管理员。虽然本文中讨论的大多数概念主要是关于基于 Exchange Server 2003 SP2 的技术，但某些信息也适用于运行旧版本 Exchange 的环境。注意：有关 Exchange Server 2003 SP2 的反垃圾邮件功能的详细信息，请参阅 /library/default.asp?url=/library/en-us/e2k3/e2k3/ast_anti_spam.asp。导言对于任何连接到 Internet 或使用电子邮件的人，垃圾邮件、网页仿冒和恶意代码（包括病毒、蠕虫、特洛伊木马、宏、脚本和未经授权的 ActiveX 控件）的泛滥成了一个日益严重的问题。目前，从域级的个人身份被盗用到对组织、公司和政府办公部门的恶意联合攻击，没有一个用户可以免受与电子邮件相关的安全威胁。与许多大公司一样，Microsoft 是安全威胁的目标。因此，Microsoft IT 时刻警惕着保护其资源（从数据中心到台式计算机）的安全。Microsoft IT 正在通过不断修订其防御垃圾邮件、病毒和其他电子邮件攻击的策略、实现和过程来提前应对这一问题。垃圾邮件、网页仿冒、域盗用、病毒和电子邮件攻击对企业影响是非常大的，它会给那些对这些威胁毫无准备的公司带来毁灭性的破坏。垃圾邮件不仅令人讨厌，而且会增加公司的成本 这既包括财务方面的成本，又包括处理时间、带宽占用、管理和资源消耗方面的成本。同样，病毒和其他电子邮件攻击轻者会造成停机，重者会对公司的重要资源和知识产权造成威胁。Microsoft 网络和消息传递基础结构概述要了解 Microsoft IT 的消息传递安全机制策略的演进过程，了解 Microsoft 网络和基础消息传递基础结构的大小和范围会很有用。Microsoft 公司网络是世界上最大的计算机网络之一。该网络由全世界的许多区域子网络组成，包括： 三个企业数据中心。 全世界的十九个区域数据中心。 77 国家约 230 个城市中的 300 多个站点。 3,300 多个 IP 子网。 2,000 多个路由器。 世界各地 10,000 多台服务器。 350,000 多个局域网 (LAN) 端口。有一个复杂的消息传递环境在利用着这个巨大的网络基础结构；这个环境由分布于全世界 7 个位置的 80 台 Exchange Server 2003 SP2 服务器组成。在这些 Exchange 服务器中，其中有 36 台是运行 Microsoft Windows Server 2003 的邮箱服务器。除了几种特殊情况外，这些邮箱服务器均采用群集配置。管理这样一个消息传递基础结构是一项艰巨的任务。这个基础结构为约 92,000 名员工支持着 116,000 个邮箱，每个邮箱至少都有 200 兆字节 (MB) 的存储空间。平均每天全球电子邮件的总流量超过 1100 万封；其中有 300 万是内部电子邮件。每天，从 Internet 传入的电子邮件中约有 95% 被作为垃圾邮件、病毒感染的电子邮件或发送给无效地址的电子邮件筛选掉。Microsoft IT 保护其消息传递环境的措施正在不断改进。最明显的原因在于，Internet 上的垃圾邮件和病毒量在飞速增长，而与电子邮件相关的威胁的特征也在不断变化。在应对这一问题时，所有公司必须不断提高警惕性和灵活性，为此做出积极的响应。Microsoft IT 认为采用多层的消息传递安全机制是必要的。单凭一种方法，无论多么完美，也不足以应付与 Internet 电子邮件相关的形形色色的风险。通过采用多种方法在网络的多个位置筛选垃圾邮件和病毒，可以提供多层次的保护，这对构建纵深防御机制是至关重要的。Microsoft IT 不断改进消息传递安全机制方法的另一个原因在于其生产环境的自身特点。Microsoft IT 在生产中经常使用尚未发行的 Microsoft 测试版软件。这样有助于 Microsoft IT 在开发的初期阶段为产品小组提供宝贵的反馈信息，从而提高到达客户手中的发行产品的质量。Microsoft IT 在将“智能消息筛选器”提供给客户之前先将其用于生产中就属于这种情况。注意：有关“智能消息筛选器”的详细信息，请参阅 /exchange/imf。Microsoft IT 这种使用未发布软件的方式，给其采用的策略、使用的第三方软件解决方案、以及服务器自身的管理带来了独特的难题，但这些难题并非无法解决。先前的消息传递安全机制基础结构从 1999 年到 2004 年 6 月，Microsoft 在其 Internet 电子邮件和消息传递安全机制体系结构中使用了一种包含三个阶段的方法。这个拓扑基于三个服务器集，这些服务器集互相连接在一起来提供反垃圾邮件、防病毒、内容筛选和 Internet 电子邮件路由功能。所有传入的 Internet 电子邮件消息都先通过此服务器集，然后再路由到 Exchange 邮箱服务器，如图 2 所示。图 2. 2004 年 7 月之前的 Microsoft 消息传递基础结构就在 2004 年 7 月之前，服务器的第一层由 Exchange Server 2003 网关组成，位于网络最外层。在第一层，“智能消息筛选器”和第三方防垃圾邮件解决方案与发件人筛选和收件人筛选一起来拦截 Internet 传入消息中的垃圾邮件。第一层将未被判定为垃圾邮件的所有消息转发给专用于电子邮件病毒扫描的下一层 SMTP 服务器。扫描病毒后，第二层将所有无病毒的消息传递给第三层服务器（配置为 SMTP 路由服务器的 Exchange 服务器），这一层用来在内部转发消息。然后，第三层将这些消息传送给 Exchange 邮箱服务器，电子邮件客户端可以在这里访问消息。此体系结构准备就绪后，Microsoft IT 评估了一些第三方反垃圾邮件和防病毒供应商并选择了符合其要求的解决方案（最初在 Microsoft Exchange 2000 Server 和 Microsoft Windows 2000 Server 上运行）。虽然此体系结构在过去的几年内有效地防御了 Internet 电子邮件的威胁，但威胁的不断演进及 Exchange Server 平台的改进促使 Microsoft IT 不断修改其体系结构。Microsoft IT 的目标是： 通过将病毒扫描集成到 Exchange Server 2003 网关平台来降低环境的总拥有成本 (TCO)。 建立 Internet 电子邮件传输的同质性，从消息路由中消除第三方 SMTP 服务器 将解决方案与 Exchange Server 2003 SP2 的其他功能（如垃圾邮件嫌疑度 (SCL)）相集成。 简化 Microsoft IT Internet 电子邮件路由拓扑。 建立基于 Exchange Server 2003 SP2 的可伸缩网关平台，以提供集成的消息传递安全机制功能。当前的消息传递安全机制基础结构目前，Microsoft IT 已通过其针对 Internet 电子邮件和电子邮件扫描的基础结构设计实现了其消息传递安全机制的目标，如 图 3 所示。通过选择 Exchange Server 2003 SP2 作为网关层防病毒功能的平台（后来升级为 Exchange Server 2003 SP2），Microsoft IT 去除了专用的病毒扫描服务器集，从而立即降低了 TCO通过使用 Exchange Server 2003 SP2 平台，Microsoft IT 选择了一个新的第三方防病毒解决方案，它采用了集成方法并使用了 Exchange 的本机 SMTP 堆栈。图 3. 2004 年 7 月之后 Microsoft IT 的消息传递基础结构Exchange Server 2003 SP2 通过下列增强功能加强了垃圾邮件的防御能力： 更新和集成的智能消息筛选器 支持发件人 ID 电子邮件身份验证协议 增强的反垃圾邮件内容筛选，现在包括防网页仿冒筛选与先前消息传递安全机制系统的配置相比，Microsoft IT 当前采用的设计和方法使用了 Exchange 的更多现成功能。目前，除了“智能消息筛选器”外，所有传入的电子邮件消息都要受以下 Exchange Server 2003 SP2 软件提供的额外安全控制措施的制约： 连接筛选和实时第三方黑名单 发件人和收件人筛选，包括空白发件人筛选 收件人查找 发件人 ID 查找 禁止发件人显示名称解析 两周更新一次“智能消息筛选器”反垃圾邮件和防网页仿冒试探法与传统垃圾邮件筛选软件相比，这些控制提供了更多的保护。Microsoft IT 在 Exchange 网关服务器的最外层实现这些控制措施，以最大限度地在这里消除恶意消息。其余消息被转发给 Exchange Server 2003 SP2 SMTP 路由服务器进行病毒扫描，再传递给邮箱服务器。除了加强反垃圾邮件和防病毒保护外，Microsoft IT 目前的网关配置还为 Internet 电子邮件提供了更好的负载平衡和更高的可用性。通过消除对第三方 SMTP 服务器的依赖性，代之以在整个网关基础结构中使用 Exchange Server 2003 SP2 本地传输功能，Microsoft IT 已在其 Exchange Server 2003 SP2 网关服务器和其 Exchange Server 2003 SP2 SMTP 路由服务器之间建立了网状拓扑。为了防范网络层和环境灾难，Microsoft IT 将 Internet 网关和消息传递安全机制基础结构分布于多个数据中心。这样可以防止单点故障，建立可路由和扫描 Internet 电子邮件的多个物理和逻辑路径。反垃圾邮件和防网页仿冒筛选并删除来自 Internet 的垃圾邮件和网页仿冒电子邮件是 Microsoft IT 消息传递基础结构的一项重要功能。因为以 Microsoft 电子邮件域为攻击目标的垃圾邮件在传入消息总量中占有很大比重（约 95%），Microsoft IT 已经选择在其网络最外层（Exchange Server 2003 SP2 网关服务器上）实现垃圾邮件筛选解决方案。通过在尽可能靠近网络边界的地方拦截无用的消息，可以消除通过内部系统处理和传输这些消息的开销，将带宽消耗和处理时间降到最低。Microsoft IT 采用多种方法筛选垃圾邮件，其中包括“智能消息筛选器”。智能消息筛选器传入的 Internet 电子邮件必须通过的第一个筛选器是“智能消息筛选器”，它运行于消息传递环境最外层的 Exchange Server 2003 SP2 网关服务器上。Microsoft 研究小组最初开发智能消息筛选器中的 Smartscreen 技术是为了让 Microsoft Hotmail 使用，Microsoft Hotmail 的垃圾邮件当时已是客户投诉的热点。“智能消息筛选器”采用内置于 Exchange Server 2003 SP2 中的 SCL、PCS 和发件人 ID 框架。“Internet 消息筛选器”将某些特定消息部分进行分类，执行基于试探法的消息分析并为各个被扫描的消息分配一个 SCL 等级。SCL 等级的范围为从 0 到 9。消息的等级越高，就越可能是垃圾邮件。Exchange Server 2003 SP2 将最新的数据和更新合并到“智能消息筛选器”中。对于 IMF 和双周更新的改进，使工作重点始终保持在识别垃圾邮件和减少误报上。这些改进包括新的反垃圾邮件功能，其中包括拦截网页仿冒方案。网页仿冒方案试图通过伪装成合法的 Web 站点以欺骗的手段骗取敏感的个人信息。Exchange Server 2003 SP2 环境可配置为对 SCL 等级超过管理员所配置阈值的消息执行筛选操作。“智能消息筛选器”使用 Exchange Server 2003 SP2 中设置的两个阈值，即网关阈值和存储阈值。设置网关阈值网关阈值由两部分组成： 要执行的操作 触发所配置的操作的 SCL 等级例如，如果网关阈值设置为 8，那么任何 SCL 等级等于或大于 8 的消息都将执行所配置的筛选操作。可能的操作包括： 删除。删除消息且不存档。 拒绝。最初接收整个消息，但如果消息被判定为垃圾邮件，则向发件人发送拒绝通知。 存档。删除消息，但在服务器上保留备份供以后查看。 无操作。对消息不执行任何操作。消息及其 SCL 值将被照常路由。注意：所有传入的电子邮件消息先遇到网关阈值，再遇到存储阈值。删除操作、拒绝操作和存档操作都有其各自固有的优缺点。如果组织决定删除或拒绝 SCL 等级达到或超过某个数值的消息时，这些消息就不会再往前传输了。删除的优势在于消息不写入磁盘，不用进行病毒扫描或在系统内发送，因而不需要花费宝贵的处理时间。但是，删除被视为一种大胆的操作，因为消息从邮件流中被永久删除了，不可能恢复。如果给定阈值的误报（合法邮件被误判为垃圾邮件）数量很少，则删除操作会很有效。与删除类似，拒绝操作也会从邮件流中删除被判别为垃圾邮件的消息。然而，与删除不同的是，拒绝操作以 SMTP 错误（不可传送）消息的形式为发件人提供状态指示。出于安全原因，某些环境可能不希望向垃圾邮件的发件人发送筛选操作通知。Exchange Server 2003 SP2 对“智能消息筛选器”进行了下列改进： 管理员可以为“智能消息筛选器”拒绝操作指定自定义的错误文本。 管理员可以使用自定义的消息加权（也称坏字列表），来自定义筛选器，以筛出含特定字词或短语的消息，并根据需要进行调整，以对特定消息内容进行操作。自定义消息加权基于文件实现，不支持用户界面。在文件内，可以添加特定字词和短语，及其相对的文本部分位置（主题或正文）和其相关的修饰语。组织可以使用存档操作来检查被作为垃圾邮件页拦截的电子邮件并根据误报数量帮助确定要设置的适当 SCL 网关阈值。但是，由于没有适当的工具来检查存档内容和评估误报，因此对于日常操作来说，存档操作的优势被削弱了。通常，最可靠的工具就是人的眼睛，用眼睛实际检查消息的内容。由于每天都有数十万或数百万电子邮件，靠肉眼实际检查每个存档消息是很不现实的。一种替代方法是使用自定义的自动过程，按主题行或其他消息属性对数据进行分类汇总，然后从数千个消息中抽取一个样本进行查看。管理员可以编写用来分类汇总这些数据的基本脚本，以简化这一过程。因为用于存档消息的磁盘空间与环境所接收的电子邮件通信量和垃圾邮件率成正比，因此，拥有大量电子邮件的组织如果计划使用存档操作，就必须认真规划其垃圾邮件筛选网关所需的存储空间。鉴于 Microsoft 消息传递环境每天从 Internet 接收的电子邮件量，Microsoft IT 目前使用网关阈值的删除操作。但 Microsoft IT 在对智能邮件筛选器进行早期测试期间使用的是存档操作。设置存储阈值存储阈值决定着 SCL 等级，当到达邮箱服务器的电子邮件达到此等级，就会被移动到用户邮箱的垃圾邮件文件夹中。设置的存储阈值必须低于网关阈值，才能执行存储路由。例如，如果网关阈值设置为 8，则存储阈值必须设置为 6 才能执行操作。存储设置会对大于存储设置值的 SCL 值执行操作。此行为不同于网关设置，网关设置是在 SCL 值大于或等于 SCL 设置值的情况下执行操作。例如，如果一个接收到的 SCL 等级为 5 的传入消息通过了网关阈值但超过了存储阈值，则将被自动路由到用户的“垃圾邮件”文件夹。等级为 4 或更低的传入消息将直接发送到收件人的收件箱，因为它同时通过了两个阈值。平衡阈值网关阈值和存储阈值之间最为有效的平衡完全取决于组织的消息传递环境网关。我们的目标就是在最大程度降低误报量的同时，尽早在基础结构中最大可能的阻止垃圾邮件的数量。根据特定环境，每个管理员将对“智能消息筛选器”设置进行不同的调整。设置高网关阈值的缺点是，有较多的邮件必须在基础结构中传输，用户最终将在桌面层处理它们。此缺点增加了基础结构多个方面的成本，包括存储、带宽和管理。对于删除合法的电子邮件，Microsoft IT 始终坚持近似零的容差等级。Microsoft IT 使用保守的网关阈值来维护较低的误报率。一般情况下，最好的误报指示器是用户投诉。通常，组织最好在开始时保守地将智能邮件筛选器阈值设置为较高的数值，然后根据需要下调。“智能消息筛选器”提供了详尽的性能计数器列表，管理员可用以检查传入的消息群的 SCL 等级分布情况，从而可以更好地决定如何根据特定环境调整阈值。其他反垃圾邮件防御措施多年前，当垃圾邮件最初给电子邮件用户带来问题时，Microsoft IT 与很多公司一样完全依靠第三方企业级反垃圾邮件软件解决方案。现在，Microsoft IT 在生产环境中使用“智能消息筛选器”。“智能消息筛选器”在 Internet 网关处提供了垃圾邮件防御层。由于新的防病毒和反垃圾邮件体系结构的发展，以及“智能消息筛选器”、连接筛选、实时黑名单、发件人筛选、发件人 ID 查找、收件人查找和附件拦截的采用，Microsoft IT 已经能够大大减少其 Internet 电子邮件中的垃圾邮件量。发件人 ID 框架发件人 ID 是用来应对电子邮件域盗用（模拟）的行业标准框架。发件人 ID 方法根据发送服务器的 IP 地址来验证每条电子邮件消息的起源 Internet 域与其所声明的 Internet 域是否相符，从而去除所有来路不明的消息。通过消除域盗用，有助于保护合法发件人的域名和声望，也有助于接收人有效地识别和筛选垃圾电子邮件和网页仿冒欺骗。实现发件人 ID 框架分为两个阶段： 第 1 阶段通过发布与 Internet 主机通信的 SMTP 网关服务器的发件人 ID 记录来帮助防止企业域名（及声望）被盗用和身份伪造。这有助于保护公司域（及声望）不受盗用和身份伪造的侵害。 第 2 阶段要实现“声称的负责地址”(PRA) 和“邮件来源”检查，在从 Internet 主机提交传入的电子邮件时执行发件人 ID 检查，以验证传入电子邮件的合法性。这样，电子邮件的收件人就可以验证发送端 SMTP 域的可靠性。Microsoft IT 已经开始实现发件人 ID 框架，他们在其运行 Exchange Server 2003 SP2 的域名系统 (DNS) 网关服务器中创建并发布了发件人 ID 框架记录。此服务器可以配置为对传入电子邮件执行发件人 ID 查找。如果发件人 ID 查找失败，可以执行如下操作： 删除。此操作没有提示 不会生成未送达报告 (NDR)。 拒绝。邮件在协议层遭到拒绝。 接受。使用发件人 ID 验证结果标记邮件项，以供智能消息筛选器使用。第一种和第二种操作会删除或拒绝未能通过发件人 ID 验证的邮件（例如，非常明显的盗用）。而其余的邮件项会被标以发件人 ID 状态，并继续传递。最后的操作是将发件人 ID 状态标记在邮件项上（即使是盗用）。会将此状态传送到智能消息筛选器并触发相应的 SCL 分数修改。注意：有关实现发送端 ID 框架的详细信息，请参阅 /senderid。客户端层垃圾邮件筛选理想状态下，垃圾邮件决不会到达客户端层。而实际上，一些垃圾邮件确实可以通过 Microsoft 网络到达用户的台式计算机。其中的一个主要原因就是某些合法的电子邮件消息（如新闻稿）通常带有垃圾邮件的特征，因此将筛选阈值设置得过低以致所有可疑消息都被删除的做法并不明智。此外，用户可能有某些无法通过一组企业级设置就能满足的个人偏好。因为 Microsoft IT 使用的严格性适中的阈值允许某些具有类似垃圾邮件特征的消息最终到达台式计算机，所以 Microsoft IT 在客户端层提供了一个额外的防御层。通过在客户端桌面部署 Smartscreen 反垃圾邮件和防网页仿冒技术，Microsoft Office Outlook 2003 和 Outlook Web Access2003 的用户还可以建立安全发件人列表和发件人黑名单。安全发件人列表包含受信任的电子邮件地址以及域名，对于从这些地址和域发来的邮件，用户总是希望接收。与之相反，发件人黑名单包含那些用户从不希望从其接收邮件的地址和域名。Exchange Server 2003 SP2 会将来自受信任的发件人的所有消息传送到用户收件箱中，而将来自黑名单中发件人的所有消息传送到用户的垃圾邮件文件夹。无论先前分配给消息的 SCL 等级如何，都会按这一规则执行操作。因此，Outlook2003 和 Outlook Web Access2003 的用户可根据其各自的偏好忽略他们邮箱的存储层垃圾邮件筛选。但用户不能忽略客户端层的网关层筛选操作。如果消息超出了网关阈值，无论客户端层如何设置，它都不会被传送到用户的收件箱。用户还可自定义 Outlook2003 垃圾邮件筛选器的操作，当消息到达客户端时，该筛选器会对它们进行分析并确定是否将其视为垃圾邮件。用户可以选择他们所需的保护级别：最低级别为无保护，最高级别为只接收安全发件人的邮件。垃圾邮件筛选器捕获的消息会直接移动到用户的垃圾邮件文件夹，在那里，用户可以查看消息，也可以将它们删除。Outlook2003 可以应对称为 Web 信标的另一种恶意作法，这种方法用来确定和收集有效的电子邮件地址。例如，发件人可能在发给不知情的收件人的电子邮件消息中加入特殊编码图像。图像会在显示时将收件人的有效电子邮件地址通知给发件人。Outlook 2003 不再自动显示图像，因此其用户可免受 Web 信标攻击。防病毒垃圾邮件令人厌烦，它给消息传递环境带来了性能和工作效率问题，而恶意软件（如病毒、蠕虫和特洛伊木马）给所有公司带来的安全威胁都远大于此。一次病毒攻击就足以造成严重的影响，轻者会导致停机进行病毒清理，重者更会削弱基础结构，危及或毁坏敏感数据。组织在解决电子邮件病毒问题之前，可以首先从消息传递环境中消除垃圾邮件，这样会大大减少病毒筛选所需的开销。每一天，Microsoft IT 通常都会处理从 Internet 接收的超过 1200 万封电子邮件。这些消息中有 95 % 以上被判定为垃圾邮件而从邮件流中消除了，因此在网关层扫描病毒之前筛选出垃圾邮件，这样可以极大地缩短处理周期，节约带宽和消息存储空间。体系结构在大多数消息传递拓扑结构中，病毒防御措施可以在多个位置使用。在实施多层消息传递安全机制的同时，Microsoft IT 认为最好在网络环境的多个层次采用防病毒措施。这样做虽然增加了性能开销，但最大程度降低了风险。Microsoft IT 认为在性能和风险之间可以找到一个平衡点。每个组织都必须根据其特定环境决定在哪个层的哪些点上采用防病毒措施。传统上，组织可以在消息传递环境的以下三个层部署防病毒解决方案： 网关 邮箱服务器 客户端根据纵深防御理念，Microsoft IT 选择将其电子邮件反病毒系统集中到 SMTP 网关层和客户端层，如图 4 所示。电子邮件路由方面的 Internet 电子邮件拓扑结构设计及具体优化帮助确保了外部消息传递系统和 Microsoft IT 的托管环境之间交换的任何消息都无法绕过已建立的防病毒控制措施。图 4. Microsoft IT 消息传递基础结构中的防病毒保护点从 Internet 接收的消息首先进行垃圾邮件扫描，然后被转发到基于 Exchange Server 2003 的 SMTP 路由服务器，在那里，所有电子邮件都要进行病毒扫描，然后才能传送到邮箱服务器。尽管有网关层防病毒保护，Microsoft IT 还一直在通过在用户台式计算机的客户端层建立防病毒保护来加强多层防御机制。Microsoft IT 托管环境中的所有客户端计算机都需要安装、配置、运行第三方防病毒软件，并保持更新。通过技术控制和策略不断加强客户端层的防病毒防御措施还使得 Microsoft IT 能够抵御消息传递领域外攻击媒介所带来的与病毒相关的威胁。例如，用户台式计算机上的防病毒软件可帮助防止通过网络连接传播的文件级感染和病毒。为了减少 Microsoft IT 托管环境外部的意外病毒传播和最大限度地降低责任风险，对传出电子邮件也要进行防病毒检查，首先在客户端层进行检查，然后在 SMTP 网关层进行检查。Microsoft 的客户经常向 Microsoft IT 询问：为什么不通过在日常操作中在 Exchange Server 邮箱服务器上运行第三方软件来把防病毒措施的重点放在存储层？由于 Microsoft IT 通过在其生产中使用 Microsoft 测试版软件来对其进行测试，因此这些服务器会不断地变化，例如不断地安装 Exchange Server 软件预发行版。为了确保测试期间出现的任何可能的兼容性问题不会危及消息传递基础结构中的防病毒保护措施，Microsoft IT 目前将其电子邮件防病毒控制集中在客户端和网关层。其他环境应评估其各自对防病毒措施的独特要求，选择不同的层来实施保护。但是，无论组织选用哪种解决方案，采用多层纵深防御方法的安全级别始终比单层方法更有效。除了在网关层和客户端层进行预防性扫描外，在病毒爆发时，Microsoft IT 还可以在 Exchange Server 2003 SP2 邮箱服务器上进行紧急防病毒安全控制和过程。注意：有关这些控制和过程的详细信息，请参阅 IT Showcase 白皮书“事件响应：Microsoft 管理安全性”，网址为 /technet/itsolutions/msit/security/msirsec.mspx。传入和传出电子邮件策略Microsoft IT 对传入和传出电子邮件分别实施不同的扫描策略和过程。因为与传出电子邮件相比，从 Internet 传入的电子邮件的可信度更低，因此传入电子邮件策略的限制性更强。病毒通知是 Microsoft IT 针对传入和传出电子邮件采取不同策略的一个示例。例如，如果从 Internet 传入的消息包含病毒，则感染将被删除，内部收件人会收到通知。通知消息中会提供必要的消息，来识别感染源和可能采取的更正措施。由于以下原因，无法自动通知感染的传入消息的外部发件人： 发件人的身份可能被盗用；因此，通知可能无法传送到消息的实际发送者。 由大量感染了病毒的电子邮件触发的通知可能会导致对地址被盗用的合法发件人拒绝服务。 通知可能会将防病毒系统的功能泄露给可能滥用此信息的外部用户。传入电子邮件的限制性安全策略的另一个示例是附件剥离。附件剥离从传入的 Internet 邮件流中删除具有潜在危险的附件（例如可执行文件），并有助于降低恶意代码通过电子邮件进入环境的风险。本文档稍后部分将介绍附件剥离的详细信息。因为与传入电子邮件相比，传出电子邮件的信任度更高，因此 Microsoft IT 的策略对传出电子邮件的限制较少。某些文件类型的附件通常不从传出消息中剥离。但是，如果在传出消息中检测到病毒感染，就会将感染删除并向内部用户发送通知，询问用户是否对其计算机进行病毒扫描。如果 Microsoft 雇员无意间发出了病毒，Microsoft IT 会通知该内部发件人，以便他或她确定感染源。要针对传入和传出电子邮件实施不同的安全策略，电子邮件防病毒解决方案必须能够识别电子邮件的方向。该解决方案还必须能够根据权威性标准（例如 IP 地址或身份验证）确定被扫描的电子邮件的方向。否则，被盗用的电子邮件可能会干扰病毒扫描系统，使之应用错误的安全策略。Exchange Server 2003 SP2 SMTP 路由服务器Microsoft IT 在决定通过在网关层和客户端层使用多层方法实施病毒防御措施以后，下一步就是确定应使用哪一种技术解决方案。出于性能、互操作性和安全考虑，网关层病毒扫描解决方案的策略侧重于 Exchange Server 2003 SP2 网关平台，尤其是 Microsoft IT 的 Exchange SMTP 路由服务器。对于将防病毒解决方案与 Exchange Server 2003 SP2 平台集成，Microsoft IT 有两种选择： 在传输层使用 Exchange Server 2003 SP2 病毒扫描应用程序编程接口 (VSAPI) 2.5 版本功能 使用 Exchange Server 2003 SP2 中提供的传输事件接收器模型防病毒供应商可选择使用 VSAPI2.5 或传输事件接收器来实现其解决方案。尽管这两种方法提供的特性和功能相似，但它们在最终产品中具有不同含意。例如，如果解决方案使用 VSAPI，它就可以利用 Exchange Server 2003 SP2 提供的消息分析和解码功能。因此，如果供应商不希望参与打开邮件并执行自己的邮件分析等细节问题，将更倾向于使用 VSAPI。如果供应商希望对邮件流进行更多、更精细地控制，就可能改为采用传输事件接收器方法。使用传输事件接收器时，假定防病毒解决方案执行其自身的消息分析、报告、性能监视和其他此类操作。在选择最能满足其环境要求的防病毒软件供应商之前，Microsoft IT 进行了一次广泛的评估。客户根据他们不同的环境而提出各自不同的要求，这些要求可能与 Microsoft IT 的要求大相径庭。但是，某些评估方面可能在很多环境中都很相似。Microsoft IT 选择了 Sybari Antigen for SMTP 作为其环境的病毒扫描解决方案，并决定使用多个病毒扫描引擎（执行消息分析和扫描的消息处理组件）来最大程度地检测和消除病毒感染。以下是 Microsoft IT 在评估阶段所考虑的一些技术因素。功能方面的因素包括： 对病毒和其他恶意软件的检测能力 对各种消息类型、编码和格式的支持 与 Exchange Server 2003 SP2 网关平台集成的能力，包括对多台 SMTP 虚拟服务器的支持 邮件方向认知；对传入、传出及内部邮件采用不同策略 文件筛选及附件拦截能力 容错性；故障恢复能力 对自定义防病毒操作和通知的支持 对多个病毒扫描引擎的支持性能方面的因素包括： 解决方案的整体吞吐量 系统开销 常规负载和峰值负载期间的性能特征可用性和支持方面的因素包括： 远程监控和管理 复杂性和管理开销 供应商的产品技术支援质量 与现有操作工具和进程的集成附件剥离作为防病毒策略的一部分，Microsoft IT 在传入电子邮件消息中根据附件文件的扩展名和类型会自动删除一些类型的附件。网关层防病毒软件会自动剥离某些文件类型的附件（例如 .exe、.cmd 和 .com），无论它们是否感染病毒。这些附件会提高病毒感染的风险，将它们在网络的最外层剥离有助于保护环境远离尚未开发或部署病毒签名的未知恶意软件或新恶意软件。如果将附件剥离，消息本身仍会被传送，内部收件人也会收到相应的通知。Microsoft IT 认为将消息传送给收件人是很重要的，即使其附件已被删除。如果所剥离附件的内容是合法的，收件人可使用其他方法检索该信息，例如让发件人以不同格式重新包装数据或使用其他方法传输文件（如文件传输协议 (FTP)）。某些类型的恶意病毒感染（如蠕虫）可能会生成大量的电子邮件，这些邮件到达同一个电子邮件网关或 SMTP 路由服务器，传递给大量收件人。除了受感染的负载带来的威胁以外，这些消息的数量还经常导致电子邮件系统出现性能问题。对于此种电子邮件，依靠附件剥离或从邮件中删除病毒可以消除感染，但无法减轻其中的拒绝服务攻击。为有效抵御这些威胁，Microsoft IT 实现了将附件剥离与消息删除相集成的解决方案。当大量邮发的病毒引起消息感染时，系统会从邮件流中删除整个消息，因此将环境中的性能开销降至最低。防病毒文件更新基于签名的病毒防御措施不会比病毒定义文件（也称为签名文件或模式文件）的质量更有效。为防止新病毒的威胁，组织必须保持签名文件始终是最新的。另一个重要的注意事项是使用最新的扫描引擎。Microsoft IT 使用拉取方法来下载最新的防病毒签名文件和扫描引擎。拉取机制使 Microsoft IT 能够针对此类下载建立灵活的自定义时间表，帮助保持所有电子邮件病毒扫描系统一致和最新。如果在自动下载之间的时间段内可以获得更新，Microsoft IT 还具备手动拉取下载的能力。这种能力为 Microsoft IT 提供了响应潜在紧急情况所需的灵活性。管理问题对于防病毒管理，Microsoft IT 认为拥有明确的策略并执行明确定义的、有秩序的过程是很重要的。Microsoft IT 尽可能地使过程和步骤自动化。例如，为确保防病毒软件最新且一直运行在所有服务器上，Microsoft IT 已自动化了部署在其网关上的防病毒签名文件和扫描引擎的版本验证过程。如果检测到偏差（例如特定服务器没有运行最新的签名文件），管理员就会收到有关该问题的警报。除监视检测到的病毒数以外，监视每天电子邮件处理量的统计信息也是管理流程的重要组成部分。Microsoft IT 在某一天可能会检测到 20,000 种病毒，而在另一天则检测到 200,000 种病毒。这种趋势很难判断，因为 Microsoft IT 遇到的任何病毒攻击都会直接反映到统计信息中。尽管 Microsoft 经常成为攻击目标，但有时某种特定攻击给其他公司带来的消极影响比 Microsoft 还要大。影响的大小具体取决于攻击的目标域。使用基于每日统计信息的指标，管理员可追溯业界遭受该攻击的日期和时间，然后确定攻击在特定时间内的影响。文件级病毒扫描与消息级病毒扫描本文的重点是消息传递环境；因此有关病毒扫描的讨论主要集中在消息级。但值得注意的是，Microsoft IT 还在文件级 Exchange Server 2003 SP2 服务器执行病毒扫描。此扫描完全独立于消息级扫描，单靠这种扫描无法使消息传递环境免受以电子邮件为载体的病毒的侵扰。文件级扫描对于将 Exchange 服务器本身作为基础结构元素来保护而言是关键的。如果操作系统级