微软内部的消息传递安全机制

此价值卡详细介绍微软信息技术部门 (Microsoft IT) 如何使用 Microsoft® Exchange Server 2003 技术、Microsoft Office Outlook® 2003 和第三方产品，管理其传入的 Internet 电子邮件流量中存在的大量不想接收的电子邮件（垃圾邮件）和被恶意软件 (malware) 感染的邮件。此解决方案通过在网关层进行筛选的方式，减少了通过公司消息传递基础结构路由的垃圾邮件数量。然后，该解决方案再在剩余的邮件中，消除病毒、蠕虫及其常规传播媒介（如：文件附件）所带来的威胁。

本页内容

	收益一览
	垃圾邮件和恶意软件的威胁
	采用的消息传递安全技术
	最佳实践
	全球的微软 IT Exchange 环境

收益一览

微软 IT 部门用 messaging hygiene（消息传递安全机制）这一术语，泛指对抗电子威胁的所有防御机制。微软 IT 部门目前所实施的消息传递安全解决方案带来了以下这些收益：

垃圾邮件和恶意软件的威胁

垃圾邮件和恶意软件（包括病毒、蠕虫、特洛伊木马、宏、脚本和未授权的 ActiveX 控件）大行其道，成为了 Internet 或电子邮件用户越来越关心的一个问题。企业所面临的威胁已不再局限于电子邮件本身，其中还包括与电子邮件有关的其他威胁，如简单邮件传输协议 (SMTP) 层的拒绝服务 (DoS) 攻击、目标邮件炸弹（专门设计来通过数量巨大的电子邮件破坏消息传递系统）及目录收集攻击（企图获得大量的有效电子邮件地址）。从针对个人的身份窃取到针对企业、公司和政府部门的恶意和有组织的攻击，今天没有一名用户能够逃脱与电子邮件有关的安全威胁。

垃圾邮件、病毒和电子邮件攻击对企业造成的影响极为严重，可能会对还未准备应对这些威胁的公司造成灾难性的破坏。垃圾邮件不再只是件令人烦恼的事情，还会使公司付出沉重的代价，而这不仅仅是财务上的损失，还涉及到处理时间、带宽的占用、管理以及资源耗费等方面的影响。同样，病毒和电子邮件攻击轻则会造成停机，重则威胁到公司重要的资源和知识产权。

最近就此课题进行的行业研究显示：

微软 IT 部门认为，问题的实质是不应该只采用单一的机制，而应该采用多种机制来防范这些威胁。这种方法需要结合使用多种微软软件（比如：Exchange Server 2003 和 Outlook 2003）及第三方软件产品，并将这些产品部署在整个消息传递环境的多个层面上（从网关到客户端）。

对防病毒和防垃圾邮件系统体系结构的最新改进，使微软 IT 部门整合了环境中近 50% 需要执行这些功能的服务器。微软 IT 部门还专门选择在 Internet 邮件网关层和客户端层上，加强防御能力。因此，微软 IT 部门能够在提高垃圾邮件防御级别的同时，降低了运营成本。

在撰写本文之时，每天平均从 Internet 提交到微软 IT 部门的电子邮件网关的邮件数量在 800 万到 1000 万封之间。这种多层次的电子邮件筛选方法带来了多种处理传入电子邮件的机制。每种机制都会相继降低所允许通过的电子邮件数量。图 1 展示了微软 IT 部门电子邮件筛选层的效力（截至本文撰写时为止）。

图 1. 微软 IT 部门采用的垃圾邮件筛选流程

以下数据为日平均数值：

完成上一层的筛选后，对其余的电子邮件进行病毒扫描。通过此阶段的电子邮件便会被传递给邮箱服务器，用户可以在这里访问这些电子邮件。电子邮件客户端也会运行筛选软件，从而进一步减少到达用户手中的垃圾邮件数量。当所有筛选器都完成操作后，平均每天总共只有约 15% 的传入 Internet 电子邮件得以保留下来。

有关本 IT 价值卡所介绍的主题的详细信息，请参阅 IT Showcase 白皮书 Messaging Hygiene at Microsoft：http://www.microsoft.com/technet/itsolutions/msit/security/messaginghygienewp.mspx.

采用的消息传递安全技术

目前，微软 IT 部门已经通过当前专为 Internet 电子邮件和电子邮件扫描而设计的基础结构，实现了其在消息传递安全方面的目标。通过选择 Exchange?Server?2003 作为网关层防病毒功能的平台，Microsoft IT 去除了一组专门用于病毒扫描的服务器，从而立即实现了总拥有成本的降低。Exchange Server 2003 平台使微软 IT 部门，能够选择遵循集成方法和使用 Exchange 纯 SMTP 堆栈的第三方防病毒解决方案。此解决方案还集成了 Exchange Server 2003 的某些功能，如：垃圾邮件信任级别 (SCL)。

除内置的垃圾电子邮件筛选器技术之外，Outlook 2003 用户还可以专门为其邮箱，建立“安全发件人列表”和“阻止发件人列表”。“安全发件人列表”包含受信任的电子邮件地址和用户始终要从中接收邮件的域名。与之相反，“阻止发件人列表”包含用户不想从中接收邮件的地址和域名。

为了防范网络层和环境灾难，微软 IT 部门跨多个数据中心，分布了 Internet 网关和消息传递安全基础结构。这种分布方式可防止单点故障的发生，并建立了多个物理和逻辑路径，用以路由和扫描 Internet 电子邮件。

微软 IT 部门在其消息传递安全解决方案中，运用用了下列技术。每种技术后面都附带注明了对应的产品。

连接筛选（Exchange 和第三方服务器）

连接筛选将连接服务器的 Internet 协议 (IP) 地址与拒绝 IP 地址列表（也称为实时阻止列表）相比较。在发起 SMTP 会话时，便立即进行 IP 地址比较，使企业能够在邮件提交的最初阶段，便将连接拒之于网关之外。在实时阻止列表中的服务器提交邮件之前，便丢弃了连接。这种方法在消息传递层和网络层上，实现了性能收益。

发件人筛选 (Exchange)

发件人筛选检查每个传入的电子邮件消息的“发件人”地址，并将其与管理员配置的阻止发件人列表进行对比。此列表包含微软 IT 部门不愿接收其电子邮件的电子邮件地址。通常，此列表包含发送大量不想接收的电子邮件的地址，比如来自与业务无关的站点的电子邮件。微软 IT 部门不认为这些发件人是垃圾邮件发送者 (spammer)，而只是企业不希望接收其电子邮件的域或个人。发件人筛选在缓解来自特定源或电子邮件域的邮箱炸弹攻击风险时非常有用。 在微软 IT 部门的环境中，单单发件人筛选功能每天便可阻止数十万封邮件。

空白发件人筛选 (Exchange)

带有空白“发件人”地址的邮件通常是不合法的。 微软 IT 部门借助 Exchange Server 2003 在网关上阻止这些邮件，从而进一步最小化了环境所收到垃圾邮件的数量。

收件人筛选 (Exchange)

收件人筛选根据收件人等标准，在网关层上拒绝邮件。虽然收件人筛选在防范实时垃圾邮件威胁方面，不如实时防垃圾邮件解决方案那么有效，但是收件人筛选对于减轻邮箱炸弹攻击的风险，却极有帮助。

收件人查找 (Exchange)

在接受传递邮件的任务之前，收件人查找功能首先在协议层检查收件人的有效性；它会拒收发送给不存在的用户的邮件。这一功能节省了系统资源，不用再传递并返回此类电子邮件。

管理员应审慎实施收件人查找功能。它可能会使消息传递环境易遭到目录收集攻击。要减小这种攻击的风险，通常采用的方法是推迟对那些使收件人失效的请求的响应。这种方法可在阻止发送给无效收件人的邮件的同时，防止快速收集电子邮件地址的企图。

智能邮件筛选器 (Exchange)

传入的 Internet 电子邮件必须通过的第一个筛选器就是智能邮件筛选器，它运行在消息传递环境最外面的 Exchange Server 2003 网关服务器上。

防病毒解决方案（第三方服务器和客户端）

微软 IT 部门认为最佳的方案就是在整个网络环境中，采用多层病毒防御策略。在遵循深层防御理念的基础上，微软 IT 部门将其电子邮件防病毒系统，重点放在 SMTP 网关层和客户端层上。

虽然防病毒扫描主要集中在消息传递层上，但要重点注意的是微软 IT 部门还在 Exchange Server 2003 服务器上，执行文件层防病毒扫描。文件层扫描是保护作为基础结构元素的 Exchange 服务器的关键。如果在操作系统层上没有建立防病毒保护，那么常规操作活动（如服务器维护、系统修补或疑难解答等）有时都可能会使服务器感染病毒，从而可能导致消息传递服务可用性降低和数据丢失。

请注意，由于文件层防病毒软件通常不知道 Exchange 特定数据（如 Exchange 数据库和日志文件）的内部结构，因此扫描这种内容往往会导致服务器失败，而且还可能会造成数据损坏。必须专门配置文件层防病毒软件，以排除与 Exchange Server 有关的任何数据，比如：邮箱存储、事务日志、临时目录、消息队列和其他相关的文件位置。

附件删除（Exchange 和 Outlook）

作为防病毒战略的一部分，微软 IT 部门根据附件的文件扩展名和类型，自动从传入的电子邮件消息中，删除某些类型的附件。网关层防病毒软件可自动删除某些特定文件类型的附件（例如 .exe、.cmd, 和 .com），而不管这些附件是否感染了病毒。这些附件会造成较高的病毒感染风险，而在网络的最外面删除这些附件，有助于保护环境免遭未知或新型恶意软件（相应的防病毒签名可能尚未开发或部署）的攻击。删除附件不会影响邮件本身的传递，而且内部收件人会收到相应的通知。

与网关层附件删除的概念相同，Outlook 2003 用户能够阻止各种各样潜在的恶意文件类型，从而避免接收这些文件。

受限的通讯组 (Exchange)

将恶意电子邮件成功提交给大型通讯组，将相同邮件提交给特定的个别收件人相比，所产生的影响更严重得多。微软 IT 部门使用 Exchange Server 2003 所提供的功能，使管理员能够以两种方式，限制电子邮件通讯组。首先，管理员可将通讯组配置为仅接收来自指定发件人列表的邮件。其次，管理员可将通讯组配置为仅接收来自验证用户的邮件。如果发件人未经身份验证，则会阻止发送给受保护通讯组的邮件。微软 IT 部门对那些不需要从 Internet 发送或接收电子邮件的通讯组进行了进一步的限制，即阻止外部用户向这些通讯组发送电子邮件。

垃圾电子邮件筛选器 (Outlook)

用户可对 Outlook 2003 垃圾电子邮件筛选器进行操作自定义。该筛选器可分析到达客户端的邮件，并确定是否将这些邮件当作垃圾邮件处理。用户可自由选择保护级别，范围从无保护到只允许来自安全发件人的邮件。垃圾电子邮件筛选器所捕获的邮件将被直接移至用户的 Outlook 垃圾电子邮件文件夹中，用户可以在此文件夹中，查看或删除邮件。请注意，用户不能在客户端层上，覆盖网关层筛选器操作。如果邮件超出网关的阈值，无论客户端层采用何种设置，都不会传递到用户的“收件箱”中。

取消发件人显示名称解析 (Exchange)

通常，当发件人的地址与 Active Directory 目录服务中的某个代理地址相匹配时，Outlook 2003 客户端便会自动将发件人地址解析为相应的显示名称。 在 Exchange Server 2003 中，管理员能够取消发件人的显示名称自动解析功能。当取消显示名称解析时，将对邮件作上标记，以便 Outlook 2003 不再解析显示名称，而收件人在 Outlook 邮件标题中看到的将 Internet 电子邮件的地址（如 someone@example.com），而不再是“全局地址列表”中的显示名称。这样，收件人可清晰地分辨出从公司外部传入的邮件（可能存在欺诈行为）。

禁用安全通知 (Exchange)

发送给基于 Internet 的发件人的通知会暴露消息传递安全系统的功能，从而产生不必要的安全风险。 此外，发件人的身份通常是无法确认的（因为存在欺骗威胁）；因此，通知电子邮件消息可能会发送给错误的用户，从而可能使他们收到大量的通知消息。最后，当受感染的邮件数量很庞大时，通知可能会在远程系统上造成分布式的 DoS 攻击。

最佳实践

返回页首

全球的微软 IT Exchange 环境

微软的企业规模庞大，结构复杂，并且不断发生着变化。微软 IT 部门的任务非常特别。除了运营保持业务高效运转的世界级设施外，其主要任务就是作为微软的第一个并且是最合适的客户。此任务包括：在 beta 开发的早期阶段，在整个公司中部署，测试整个企业的软件。通过测试向产品组提供有价值的反馈信息，确保为消费者、客户及合作伙伴提供预期的可信赖的服务。以下数据有助于用户了解微软的 IT 环境（所有数字均为近似值）：