Exchange Server 管理智能邮件筛选器

2015/02/09 23:12
阅读数 34
过年期间,空闲的时候,连到公司的邮箱看看,有没有新陈的邮件,却发现一堆乱七八槽的邮件.很是郁闷.看来博主在防外部垃圾邮件的工作做的还不是很好啊!再来复习一下相关的知识吧!因为公司使用的是Exchange2003邮件服务器,所以提供点文章给自己吧!
一、智能邮件筛选器概述
智能邮件筛选器,IMF (Intelligent Message Filter)是微软使用Microsoft Research技术通过对邮件进行扫描然后判定SCL(Spam Confidence Level:垃圾邮件信任级别)分值来判断邮件是否为UCE(unsolicited commercial e-mail:非请求商业电子邮件)从而达到减少垃圾邮件的目的。IMF内部有一个字典库,在扫描邮件的过程中通过对比字典库来判断邮件的SCL值,SCL值从0到9,(也有-1的时候,组织内之间相互传送的邮件SCl值为-1)SCL值越高意味着就越近似一封垃圾邮件,就目前的效果来看IMF不愧为智能邮件筛选器,判断SCL值得准确率非常高。
通过下图(图一)我们可以看到智能邮件筛选在邮件传入过程中的位置
clip_image001
(图一)
邮件在通过了连接筛选和发件人收件人筛选之后,到达智能邮件筛选。通过智能筛选器的邮件才开始进入Exchange 存储,也就说邮件才开始到了用户的界面。
二、启用智能邮件筛选器
    1、在Exchange 2003 SP2之后智能邮件筛选器是默认安装的,我们可以在Exchange管理器中的全局设置-邮件传递-智能邮件筛选中启用它。(如图二) 网管联盟www.bitsCN.com
clip_image002
(图二)
从上面我们可以看到两个阀值的设置选择和一个处理方式的选择。
阻止SCL分级大于或者等于以下值得邮件是指当IMF通过对邮件的扫描判定的SCL值大于或者等于你这里选择的数值的时候该邮件将被阻止,阻止的方式你可以通过下面的选项来选择“存档、拒绝、删除、无操作”
存档―是指将这些邮件存在特定的文件夹(默认存在Exchange install folder\Mail root\vsi 1\UceArchive  也可以修改此位置,修改办法后面会提到),邮件存放格式为.eml,可以通过OE或者Notepad来打开,如果发现有被误判的正常邮件可以将该邮件Copy到Pickup目录下重新提交邮件。
拒绝---是指拒绝接收这些邮件,系统退信产生NDR
删除---是指删除这些邮件,邮件虽然被接收但是会被删除。
无操作---意味着邮件将被传送到用户邮箱,也就是说IMF没有阻止功能不应用。
移动SCL分级大于或等于以下值的邮件,是指将这个分值范围内的邮件传送至用户的“垃圾邮件文件夹”需要注意的是用户的客户端是使用MAPI方式的Outlook 2003或者OWA才可以,早期的Outlook不支持”垃圾邮件文件夹”,使用POP3收发的用户亦无法接收垃圾邮件文件夹的内容,这部分用户可以在OWA上查看垃圾邮件文件夹。
网管网bitsCN.com
注:此处设置的分值必须小于上面设置的阻止分值。
2、需要在Exchange 网关服务器的SMTP虚拟服务器上启用智能邮件筛选才能发挥功效。如图三
clip_image003
图三
以上就上完成了对Exchange Server的IMF基本设置。
三、调整智能邮件筛选器的设置
1、如何设置智能邮件筛选器的阀值。
很多公司因为业务不同对IMF阀值得设置也不尽相同,设置一个有效的准确地阀值可以让智能邮件筛选器更好的发挥功效,判断的标准是什么呢,其实你可以通过参考性能监视器的几个数值来设置阀值。
在性能监视器中添加“MSExchange Intelligent Message Filter”性能对象中的Total Messages Assigned an SCL Rating of X 计数器,这里显示的就是经智能邮件筛选器扫描并且被分配的垃圾邮件信任级别 (SCL) 分级为 x(x 是从 0 到 9 的垃圾邮件分级)的邮件总数。
如下图(图四),你可以依据这里显示的数值来设置适当的阀值。
网管网bitsCN.com
clip_image004
图四
下面是MSExchange Intelligent Message Filter中的计数器的功能说明
计数器 描述
Total Messages Scanned for UCE 经智能邮件筛选器扫描的邮件总数。如果该数字为 0 或非常低,智能邮件筛选器可能运行不正常。
Messages Scanned for UCE/sec 每秒经智能邮件筛选器扫描的邮件数。此计数器指出智能邮件筛选器的运行速度。
Total UCE Messages Deleted 在网关删除的邮件总数。此计数器说明智能邮件筛选器已将这些邮件识别为 UCE,并已根据管理员指定的操作将其删除。如果配置智能邮件筛选器对在网关被识别为 UCE 的邮件执行另一操作,此计数器将显示 0。
UCE Messages Deleted/sec 每秒被智能邮件筛选器删除的邮件数。此计数器说明智能邮件筛选器删除被识别为 UCE 的邮件的速度。如果未配置智能邮件筛选器删除被识别为 UCE 的邮件,此计数器将显示 0。 54ne.com
Total UCE Messages Rejected 在网关拒绝的邮件总数。此计数器说明智能邮件筛选器已将这些邮件识别为 UCE,并已根据管理员指定的操作将其拒绝。如果配置智能邮件筛选器对在网关被识别为 UCE 的邮件执行另一操作,此计数器将显示 0。
UCE Messages Rejected/sec 每秒被智能邮件筛选器拒绝的邮件数。此数字说明智能邮件筛选器拒绝被识别为 UCE 的邮件的速度。如果未配置智能邮件筛选器拒绝识别为 UCE 的邮件,此计数器将显示 0。
Total UCE Messages Archived 在网关存档的邮件总数。此计数器说明智能邮件筛选器已将这些邮件识别为 UCE,并已根据管理员指定的操作将其存档。如果配置智能邮件筛选器对在网关被识别为 UCE 的邮件执行另一操作,此计数器将显示 0。
UCE Messages Archived/sec 每秒被智能邮件筛选器存档的邮件数。此计数器说明智能邮件筛选器存档被识别为 UCE 的邮件的速度。如果未配置智能邮件筛选器存档被识别为 UCE 的邮件,此计数器将显示 0。
54com.cn
% UCE out of Total Messages Scanned 被智能邮件筛选器识别为 UCE 的邮件占扫描邮件总数的百分比。
% UCE of Messages Scanned in the previous 30 minutes 前 30 分钟内被智能邮件筛选器识别为 UCE 的邮件占扫描邮件数的百分比。
Total Messages Assigned an SCL Rating of X 经智能邮件筛选器扫描并且被分配的垃圾邮件信任级别 (SCL) 分级为 x(x 是从 0 到 9 的垃圾邮件分级)的邮件总数。
2、自定义IMF设置
    1)、自定义阻止邮件的存档位置
如果将IMF阻止的邮件设置为存档,默认存在Exchange install folder\Mail root\vsi          1\UceArchive,通过修改注册表中HKLM\Software\Microsoft\Exchange\ ContentFilter,(如果没 有该项需要手动建立),新建字符串值"ArchiveDir"内容为你要存档的位置如”C:\Archive”
中国网管联盟www_bitscn_com
2)、自动更新IMF版本
在 注 册 表 中 找 到HKLM\Software\Microsoft\Exchange,新建DWord值 ContentFilterState=1
更改了之后你可以通过Microsoft Update来更新IMF的版本,注意是Microsoft Update不是Windows Update.可以查看HKLM\Software\Microsoft\Exchange\ContentFilterVersion来判断IMF目前的版本.
3)、保存存档邮件的SCL分值
配置IMF在保存邮件时一同保存邮件的SCL等级,要使IMF自动保存SCL值,请修改如下注
册表:HKLM\Software\Microsoft\Exchange\ContentFilter 新增Dword键ArchiveSCL值为1.
4)、筛选已经通过SMTP身份验证的邮件
默认情况下,智能邮件筛选器仅筛选通过匿名连接发送的邮件并为其分配 SCL 分级。已通过身份验证的用户发送的邮件将绕过智能邮件筛选器。如果希望智能邮件筛选器为通过已进行身份验证的连接发送的邮件分配 SCL 分级,可以创建一个注册表项 DWORD 值 CheckAuthSessions,并为它分配值 1。
feedom.net
HKLM\Software\Microsoft\Exchange\ContentFilter 新建Dword值 CheckAuthSessions=1
3、IMF Archive Manager
     IMF Archive Manager可以提供图形界面来查看归档邮件,下载地址如下
http://www.gotdotnet.com/workspaces/workspace.aspx?id=e8728572-3a4e-425a-9b26-a3fda0d06fee
运行安装文件,系统提示输入PICKUP目录和UCE归档目录位置(图五)
clip_image005
图五
安装完成之后如下图(图六)
clip_image006
图六
通过设置邮件保存SCL值之后(设置方法在三ΚΛ)),在这里还可以看到邮件的SCL值以及可能是垃圾邮件的%概率。
如果非垃圾邮件可是使用Resubmit重新提交邮件。另外软件还具有Report的功能。
4、添加自定义邮件筛选字典
   IMF可以让用户自定义一些特殊字词的筛选字典,来满足不同企业的特殊需求。用户可以编辑一个MSExchange.UceContentFilter.xml文件,来使用这个功能,首先你需要注册一个MSExchange.UceContentFilter.dll的文件,在Exchange Install Folder\Bin\MSCFV2\ 有这个文件,使用Regsvr32 MSExchange.UceContentFilter.dll来注册这个文件。然后就可以新建一个MSExchange.UceContentFilter.xml文件,内容格式如下例 网管联盟www.bitsCN.com
<?xml version="1.0" encoding="UTF-16"?>
<CustomWeightEntries xmlns="http://schemas.microsoft.com/2005/CustomWeight">
     <CustomWeightEntry Type="BODY" Change="1" Text="Tortured with health problems?"/>
     <CustomWeightEntry Type="BODY" Change="-2" Text=" Cigar Sampler and Bonus Gifts for Xmas"/>
     <CustomWeightEntry Type="BODY" Change=”4" Text="Special offer"/>
     <CustomWeightEntry Type="BODY" Change="-7" Text="Gratis piller"/>
中国网管联盟www.bitscn.com
     <CustomWeightEntry Type="SUBJECT" Change="MIN" Text="Free Pills"/>
     <CustomWeightEntry Type="BOTH" Change="MAX" Text="Cheap Viagra"/>
</CustomWeightEntries>
以上是一个范例,在这里面定义了6条规则,记住下表中的关键字定义
value De.ion
Type=”BODY” 定义Search的范围是“BODY”
Type=”SUBJECT” 定义Search的范围是“Subject”
Type=”BOTH” 定义Search的范围是“BODY”+“Subject”
Change 更改SCL值,这也是最主要的。更改设置都在这里操作,比如上面实例中的“-7”就是将SCL值-7,假如这个邮件的原SCL值为9,那么经过这一条规则之后,该邮件的SCL值就成了2,同样的正数就是往上加SCL值,需要注意的是“MIN”意味着SCL值为0,也就是肯定可以通过筛选,允许通过“MAX”即为SCL值最大为9,肯定被筛选掉,拒绝通过。
Text 定义Search的关键字(supports Unicode phrases up to 1,000 characters)
网管网bitsCN_com
你就可以根据你公司的业务情况和垃圾邮件的状况来定义这些关键字了。(这里需要注意的是使用Notepad编辑XML文件一定要保存为Unicode格式)
5、垃圾邮件回复工具
   IMF肯定会产生误判的状况,将正常的业务邮件判断为垃圾邮件,并且保存到了UceArchive目录,然而普通用户无法访问到这个目录。如何让用可以看到这些存档的邮件,并从中找到误判邮件进行正常的邮件恢复呢,垃圾邮件回复工具可以帮助你做到信件不漏接。这个工具的下载地址如下
http://www.microsoft.com/taiwan/exchange/promo/imf.htm
目前只有英文版和繁体中文版下载。
因为这个软件的设置比较多,而且已经有成型的安装操作说明,在这里就不再赘述。操作说明在下面的地址可以下载到
http://download.microsoft.com/download/1/a/3/1a332484-8d8c-4745-9f22-602f095d9fc2/IMF-Admin-Guide-v1.doc
大致讲一下就是使可以通过Web的方式来访问被存档的邮件,并且进行相关操作,如下图所示(图七)
clip_image007
图七
6、排除或选择特定收件人进行IMF操作
IMF是针对每个收件人的邮件都进行筛选,事实上有些企业对某些收件人尤其是一些Sales部门不希望进行IMF的筛选,以避免某些商务邮件会被IMF误判为垃圾邮件,失去潜在的商机。默认的IMF不提供这项功能,但是微软为正版用户提供了这个HotFix, 通过它你可以设置一组排除列表或者一组允许列表,两者只能取一,通过设置可以使IMF只扫描允许列表中收件人的邮件,或者不扫描排除列表中收件人的邮件。 54com.cn
具体如何获得这个HotFix,请参阅以下地址
http://support.microsoft.com/kb/912587/en-us
另外在KB中也写到了需要修改的注册表键值具体操作请参见以上知识库文章。
通过以上的一些设置,优化可以更好的发挥IMF的功效,虽然与专门的反垃圾邮件产品相比IMF还不够完善,但是作为Exchange中的一个组件能够发挥这么大功效已经不错了,别忘了它还是免费的。
展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部