Exchange 2003配置连接筛选以使用实时阻止列表

本文分步讨论 Microsoft Exchange Server 2003 中连接筛选和收件人筛选的配置选项。本文还讨论在启用实时阻止列表 (RBL) 连接筛选或收件人筛选时所产生的邮件流程。

连接筛选的工作原理

连接筛选是简单邮件传输协议 (SMTP) 所使用的一条规则，用于确定计算机的 Internet 协议 (IP) 地址是否显示在实时阻止列表 (RBL) 上。RBL 是由某实体创建的数据库，用于记录未经请求的商业电子邮件 (UCE) 或批量电子邮件的潜在来源。UCE 也称为垃圾邮件。UCE 或批量电子邮件的某些潜在来源包括配置为“开放”中继或拨号帐户的电子邮件服务器。

SMTP 使用连接筛选对发送邮件服务器的 IP 地址执行域名系统 (DNS) 查询。Exchange Server 2003 向 RBL 提供程序发送查询以确定发送邮件服务器的主机记录（也称为 A 记录）是否显示在 RBL 中。RBL 提供程序会检查其 DNS 记录以确定其中是否存在发送邮件服务器的主机记录。RBL 提供程序按下列格式查找该主机记录： 例如，如果发送邮件服务器的 IP 地址为 172.16.21.5 并且如果 RBL 提供程序的 DNS 后缀是 contoso.com，则 Exchange 2003 会查询 5.21.16.172.contoso.com。

RBL 提供程序返回下列响应之一：

%26#8226;	“Host Not Found”（未找到主机）：如果请求的 IP 地址没有位于 RBL 提供程序的 DNS 中，则该提供程序会返回此响应。
%26#8226;	“127.0.0.Status code”：如果请求的 IP 地址位于 RBL 提供程序的 DNS 中，则该提供程序会返回此响应。Status code 指出违规类型。由于目前没有统一的标准，因此该状态代码可能因各提供程序而异。

如果 IP 地址位于 RBL 提供程序的 DNS 中，则 SMTP 会返回以下错误信息以响应发送邮件服务器的 RCPT TO 命令： 可以使用多个连接筛选器设置应用各筛选器的优先顺序。如果使用多个 RBL 提供程序，则按它们在 Exchange 2003 中的显示顺序逐一进行查询。如果 Exchange Server 从上一提供程序获得匹配项，则不会查询列表中的其他 RBL 提供程序。

创建连接筛选器

要在 Exchange 2003 中创建连接筛选器，请按照下列步骤操作：

1.	启动 Exchange 系统管理器。
2.	展开“全局设置”，右键单击“邮件传递”，然后单击“属性”。
3.	单击“连接筛选”选项卡。
4.	要创建连接筛选规则，请单击“添加”。
5.	在“显示名称”框中，键入连接筛选器的名称。
6.	在“提供程序的 DNS 后缀”框中，键入提供程序追加到 IP 地址中的 DNS 后缀。
7.	在“自定义要返回的错误消息”框中，键入要返回给发件人的自定义错误信息。 如果要使用默认的错误信息，请将该字段保留为空。默认的错误信息如下： IP address has been blocked by Rule name of the connection filter 可以使用下列变量生成自定义消息： %26#8226; %0：发送邮件服务器的 IP 地址 %26#8226; %1：连接筛选器的规则名称 %26#8226; %2：RBL 提供程序 例如，如果在“自定义要返回的错误消息”框中键入 The IP address %0 was rejected by the Realtime Block List provider %2.，则将生成以下自定义错误信息： The IP address IP address was rejected by the Realtime Block List provider RBL provider.
8.	要配置从 RBL 提供程序接收的、要与此连接筛选器匹配的返回状态代码，请单击“返回状态代码”，然后执行下列操作之一： %26#8226; 单击“筛选规则与所有返回代码都匹配”以设置连接筛选器与所有返回状态都匹配的默认值。 %26#8226; 单击“筛选规则与下列掩码匹配”，然后键入要按其进行筛选的位掩码。该位掩码基于提供程序使用的位掩码。 注意：位掩码仅检查单个值。如果设置了一个在 IP 地址显示在两个列表中的情况下返回的位掩码值，则该位掩码只匹配与两个设置同时匹配的 IP 地址。 %26#8226; 单击“筛选规则与下列响应匹配”，然后键入要用其进行筛选的返回代码。 在配置完“返回状态代码”对话框中的各项后，单击“确定”。
9.	单击“确定”两次。
10.	如果收到以下消息，请单击“确定”： 默认情况下不启用连接、收件人和发件人筛选，因此对于特定的 SMTP 虚拟服务器 IP 地址分配，必须手动启用这些筛选。有关如何启用上述任一筛选类型的更多信息，请阅读其相关帮助。

连接筛选器例外

可以用下列方法创建连接筛选规则例外：

%26#8226;	根据 SMTP 地址允许传递邮件。
%26#8226;	根据发送邮件服务器的 IP 地址允许传递邮件。
%26#8226;	根据发送邮件服务器的 IP 地址拒绝传递邮件。

使用该功能可以覆盖 RBL 设置。如果要允许刚从 RBL 站点删除的域向本地域发送电子邮件，则该功能十分有用。

要根据 SMTP 地址允许传递邮件，请按照下列步骤操作：

1.	在“邮件传递属性”对话框的“连接筛选”选项卡上，单击“例外”，然后单击“添加”。
2.	键入 SMTP 地址，或使用通配符以允许特定域中的所有用户向您的组织发送电子邮件。 例如，要接受来自 contoso.com 的所有邮件，请键入 *@contoso.com。

要根据发送邮件服务器的 IP 地址允许传递邮件，请按照下列步骤操作：

1.	在“连接筛选”选项卡上，单击“接受”，然后单击“添加”。
2.	单击“一个 IP 地址”以添加一个 IP 地址，或单击“一组 IP 地址”以添加整个子网。

要根据发送邮件服务器的 IP 地址拒绝传递邮件，请按照下列步骤操作：

1.	在“连接筛选”选项卡上，单击“拒绝”，然后单击“添加”。
2.	单击“一个 IP 地址”以添加一个 IP 地址，或单击“一组 IP 地址”以添加整个子网。 注意：全局接受列表可覆盖全局拒绝列表。如果将全局接受列表或全局拒绝列表与提供程序服务结合使用，则 Exchange 2003 会相应地接受或拒绝连接但不检查任何连接筛选规则。

创建收件人筛选器

如果使用收件人筛选，则可以阻止邮件传递到组织内的电子邮件地址，并可以筛选定向到组织外电子邮件地址的邮件。收件人筛选只适用于来自匿名连接的邮件。

要创建收件人筛选，请按照下列步骤操作：

1.	启动 Exchange 系统管理器。
2.	展开“全局设置”，右键单击“邮件传递”，然后单击“属性”。
3.	单击“收件人筛选”选项卡。
4.	要根据特定电子邮件地址筛选电子邮件，请单击“添加”，键入该电子邮件地址，然后单击“确定”。
5.	要筛选定向到组织外电子邮件地址的邮件，请单击以选中“筛选不在目录中的收件人”复选框。

将连接筛选器或收件人筛选器或这两者应用于适当的 SMTP 虚拟服务器

必须在要应用这些设置的所有 SMTP 虚拟服务器上启用连接筛选器和收件人筛选器。要将筛选器应用于 SMTP 虚拟服务器，请按照下列步骤操作：

1.	启动 Exchange 系统管理器。
2.	依次展开“服务器”、“Server Name”、“协议”和“SMTP”。
3.	右键单击要应用筛选的 SMTP 虚拟服务器，然后单击“属性”。
4.	在“常规”选项卡上，单击“高级”。
5.	单击要向其应用筛选的 IP 地址，然后单击“编辑”。
6.	在“标识”对话框中，单击以选中“应用连接筛选器”或“应用收件人筛选器”复选框。
7.	依次单击“确定”、“确定”、“应用”，然后单击“确定”。
8.	在应用筛选器后重新启动 SMTP 虚拟服务器。
9.	对要应用筛选器的每一虚拟服务器分别重复步骤 2 至 8。

启用连接筛选或收件人筛选时的邮件流程

下面的 SMTP 会话示例阐述了在启用 RBL 连接筛选器或收件人筛选器时所产生的邮件流程。该示例演示了为响应 SMTP 客户端命令而产生的流程：

%26#8226;	SMTP 命令： telnet mail1.contoso.org 25 产生的邮件流程如下： Exchange Server 确定是否允许发件人计算机访问 SMTP 虚拟服务器。如果来访计算机显示在拒绝访问 SMTP 虚拟服务器的计算机的列表中，Exchange Server 就会关闭连接。要查看该列表，请按照下列步骤操作： 1. 启动 Exchange 系统管理器。 2. 依次展开“管理组”、“服务器”、Exchange Server 计算机、“协议”和“SMTP”，右键单击 SMTP 虚拟服务器，然后单击“属性”。 3. 单击“访问”选项卡，然后单击“连接”。 4. 在选中“以下列表除外”选项后，查看“计算机”列表中显示的 IP 地址。
%26#8226;	SMTP 命令： EHLO domain.com
%26#8226;	SMTP 命令： MAIL FROM:joe@domain.com 产生的邮件流程如下： 1. Exchange Server 检查“邮件传递属性”对话框的“连接筛选”选项卡上的“全局接受”和“拒绝列表配置”设置： %26#8226; 如果发件人的 IP 地址显示在“接受列表”对话框中，则将邮件标记为已通过拒绝列表和 RBL。 %26#8226; 如果发件人的 IP 地址显示在“拒绝列表”对话框中，Exchange Server 就会关闭连接，然后向发件人返回以下错误信息： 550 5.7.0 Access Denied 2. Exchange Server 检查“邮件传递属性”对话框的“发件人筛选”选项卡上的“发件人”列表。如果发件人的 IP 地址显示在该列表中，Exchange Server 就会关闭连接，然后向发件人返回以下错误信息： 554 5.1.0 Sender Denied
%26#8226;	SMTP 命令： RCPT TO:sally@contoso.org 产生的邮件流程如下： 1. Exchange Server 检查阻止列表服务规则的例外列表中的 SMTP 地址。要查看该列表，请单击“邮件传递属性”对话框的“连接筛选”选项卡上的“例外”。如果发件人的 SMTP 地址显示在该列表中，Exchange Server 就会绕过 RBL。 2. Exchange Server 检查收件人是否显示在“邮件传递属性”对话框的“收件人筛选”选项卡上的“收件人”列表中。如果邮件收件人显示在该列表中，Exchange Server 就会向发件人返回以下错误信息： 550 5.7.1 Requested action not taken:mailbox not available 3. Exchange Server 检查 RBL。如果发件人来自被阻止的域，Exchange Server 就会关闭连接并向发件人返回以下错误信息： 550 5.7.1 169.254.1.253 has been blocked by default. 4. Exchange Server 确定是否选中了“邮件传递属性”对话框的“收件人筛选”选项卡上的“筛选不在目录中的收件人”复选框。如果选中了该复选框，并且收件人未显示在 Active Directory 目录服务中，则 Exchange Server 会向发件人返回以下错误信息： 550 5.1.1 User unknown 在这种情况下，Exchange Server 不关闭连接，并且发件人可以继续尝试向其他电子邮件地址传递邮件。
%26#8226;	SMTP 命令： DATA . 注意：在该命令中， 表示回车与换行。通常，回车与换行是在按 Enter 键时手动生成的。 产生的邮件流程如下： Exchange Server 检查 SMTP 地址是否显示在“邮件传递属性”对话框的“发件人筛选”选项卡上的“发件人”列表中。如果发件人显示在该列表中，Exchange Server 就会关闭连接，然后向发件人返回以下错误信息： 554 5.1.0 Sender Denied
%26#8226;	SMTP 命令： QUIT 产生的邮件流程如下： 如果邮件满足所有条件，Exchange 就会接受该邮件。然后，Exchange Server 会将该邮件传递到相应的邮箱。