关键字： 垃圾邮件 电子邮件

作为管理员，如何防止垃圾邮件携带恶意软件进入企业，需要付出许多的努力。而GFI公司的Mail Essential Exchange软件可帮助管理员高效的管理企业的电子邮件服务器。 GFI是一家英国软件公司，专注于电子邮件和安全软件。该公司所有的产品功能都提供30天的免费试用。在试用期结束后，软件仍然能够使用，但是功能会受到一定限制。Mail Essentials（ME）软件包可以从该公司的网站上进行下载，而且还可以下载相关帮助文件。ME对于无限制邮箱的公开报价是$1350，另外加上每年20%的软件维护费用。还有25、50、100、250几种邮箱选择。一个25邮箱许可证公开报价仅为$350加维护费。如果企业购买ME公司的Anti-Virus产品或者附件检查软件产品Mail Security的话，还可以获得特别折扣。

ME可以有两种安装方式：SMTP网关模式或者直接安装在Exchange邮件服务器上。两种安装方式都有自己的优点和缺点。SMTP网关模式是把ME安装在一台独立的网关服务器上，因此运行的是独立的邮件服务器软件。网关模式允许把反垃圾邮件功能分配到一台独立的、功能比较弱的服务器上，让Exchange服务器专注于运行Exchange。Native Exchange（本地Exchange）模式是针对Exchange 2000/2003 Exchange服务器，把ME产品安装在Exchange服务器上。这种安装方式让ME把垃圾邮件发送到Outlook中的一个垃圾邮件箱或者垃圾邮件文件夹。提醒：如果还在使用Exchange 5.5，就必须使用ME的SMTP模式。

本文主要介绍SMTP网关模式，因为很多原因，而且他也是笔者比较喜欢的模式。首先，它减轻了主Exchange服务器的垃圾邮件过滤负担，是所有出入电子邮件的第一站。在我的环境中选择它，是因为我知道使用GFI的Mail Security（邮件安全）和Mail Archiving（邮件存档）软件，不需要把所有的软件都安装在Exchange服务器上。拥有一个独立的网关让我可以把Exchange服务器放在防火墙后面，DMZ之外。如果我需要重新启动或者维护我的Exchange服务器的时候，网关服务器仍然可以接收来自互联网的电子邮件。

安装支持组件

由于我们设立了一台独立的网关服务器，安装过程稍微有一点复杂。首先我们需要在服务器上安装IIS（Internet Information Server，互联网信息服务），然后在IIS中设立SMTP。GFI文件很好地解释了这一工作，但是在这里，我们还是要简单介绍一下：

通过添加和删除选项来安装SMTP。SMTP是IIS的下级组件。在Windows Server 2003中选择Application Server——Internet Information Server (IIS)，然后选择SMTP选项（如图01）。安装完成后，Internet Information Services MMC将被用于管理该服务器。

图01

接下来我们配置这台SMTP服务器的属性。打开IIS控制台，然后展开该服务器节点。会出现默认SMTP虚拟服务。右击它，然后选择“属性”。在“常规”中，为该服务器配置一个IP地址。然后点击“访问”。在这里可以配置认证和连接参数。如果希望在网关和主服务器之间建立安全连接，可以在这里进行设置。在这里我们关心的是转发。为了不让网关成为一个开放的中继器，我们希望能指定哪个服务器或者哪些服务器可以通过该服务器转发邮件。点击转发，然后选择增加。你可以指定域中的IP地址或者服务器组。（图02）

图02

完成后，服务器IP将出现在列表里。不要选择“Allow all computers which authenticate to relay,regardless of the list above”（允许所有认证的电脑进行转发，无论它是否在上述列表中）。（如图02）

图03

现在我们将配置SMTP服务器来把邮件转发到主邮件服务器。在默认SMTP服务器（Default SMTP server）下右击“Domains”（域）然后选择“New”（新建）。选择“remote option”（远程选项），然后点击“next”（下一步）。在下面的文本框中输入邮件域的名称。完成后，IIS管理器会把本地域和远程域排列出来（图04）。

图04

用鼠标右键点击新创建的域，然后选择属性。选择“allow incoming mail to be relayed to this domain”和“forward all mail to a smart host”单选按钮。在文本框中输入主服务器的名称，然后就可以接收邮件了。（见图05）

图05

现在我们已经配置了网关服务器，让它能够转发邮件到主邮件服务器。接下来的步骤是配置Exchange或者其他的邮件服务器，让他们把新配置的网关服务器作为邮件中继。（在这个例子中，我们将使用Microsoft Exchange，但是在网关模式下安装的ME可以同任何SMTP服务器协同工作。）

在Exchange System Manager打开SMTP连接器属性。在“常规”中选中“Forward all mail through this connector to the following smart hosts”（把所有通过该连接器的邮件转发到下列主机）选项。添加IP地址，选择新配置的服务器。（如图06）。

图06

最后，测试配置。从一个内部帐号发送一封电子邮件到一个外部邮件地址，比如hotmail或者yahoo帐号。然后再反方向发送一封邮件来测试双向的连接。如果两封邮件都正常收到，那么设置的SMTP邮箱就能够成功接收或者发送邮件到Exchange或者SMTP服务器。

安装ME

现在SMTP中继已经设立起来，我们可以继续去安装真正的ME产品了。下载的文件会解压，然后开始安装过程。如果是首次安装，安装程序将会让你检查是否有更新的版本。GFI发布新版本的速度很快，所以如果下载了软件但并没有当时安装，等到真正安装的时候，所使用的版本就有可能不是最新的了。如果要检查最新版本，就选择“Check for a newer build of GFI Mail Essentials on the GFI Web site”（在GFI网站上检查是否有GFI Mail Essentials的更新版本），否则就选择“do not check for a newer build”，然后继续安装进程。（如图07）接下来一个窗口提示接受许可证协议，只有接受了安装过程才会继续。

图07

接下来一个窗口询问安装路径。（如图08）接受默认路径或者为该软件指定一个安装路径。

图08

接下来的窗口提示输入用户、公司和许可证密码信息。如果是当前用户，可以输入自己的密码，否则就不要更改许可证密码那一栏中，系统默认的“Evaluation”（如图09）。

图09

接下来一个窗口会要求服务器的IP地址和本地域（如图10）

图10

接下来的窗口要求输入一个电子邮件地址来收取管理员电子邮件。这些邮件是一些重要通知。（如图11）如果安装ME的服务器是AD Domain的一部分，安装程序会提示访问活动目录（Active Directory）。GFI可以使用AD或者SMTP地址，为ME设置规则。在这个示例中我们的服务器并不是AD Domain的一部分，所以没有出现提示。

图11

接下来的一个窗口要求安装微软消息队列服务（Microsoft Message Queuing Service）。只有用ME来管理list server（列表服务器），才需要安装它。在本文中，我们关注的是垃圾邮件过滤功能，所以我们在这里没有安装它。（如图12）

图12

接下来的窗口显示了在已经安装的程序中找到的本地电子邮件域。这应该和前面在SMTP服务器中创建的域一致。localhost domain（本地主机域）的创建是缺省的。（见图13）。向导将完成文件拷贝，并显示消息表示SMTP服务需要重启。点击“Finish”（完成），ME的安装就结束了。

图13

管理ME

安装程序安装了几个工具来管理ME产品。ME Configuration MMC是用于管理这一产品的首要工具。另外还提供报告工具、GFI监视器、问题解决程序以及在线帮助系统也被安装在GFI ME组内。

让我们走进ME配置工具。选择“开始”|“程序”|“GFI Mail Essential”|“Mail Essentials Configuration”来打开工具。（如图14）。这里提供了一个清爽的界面来管理这一产品。我发现这个配置工具的操作非常人性化。ME配置分成三个主要的板块：Anti-Spam（反垃圾邮件）、E-mail Management （电子邮件管理）和General（常规）。

图14

首先让我们来看看Anti-SPAM configuration（反垃圾邮件配置）

如同在前面的屏幕截图中所看到的那样，Anti-SPAM（反垃圾邮件）有十个不同的参数或规则来检查垃圾邮件。可以在右边窗口区域内双击每条规则来进行配置，也可以在左边窗口区域内选择该规则，然后选择“properties”（属性）。我们在下面将讨论每个规则，它们的作用，以及它们是如何防范垃圾邮件的。规则使用的顺序也是可以设定的。

每条规则的属性都被分成几个表单。有些表单，比如Actions表单在每条规则中都是一样的。配置过程类似这样：按照需要选择使用每条规则，仔细进行配置，并规定在发现符合该规则的垃圾邮件之后应该采取什么行动。

首先打开Sender Policy Framework（发件人策略架构）。这是在11.0版本中新出现的功能。它通过检查伪造发件人来确定垃圾邮件。Sender Policy Framework功能是一个团体防范垃圾邮件的工作。SPF要求发送者在SPF记录中公开自己的邮件服务器。当邮件到达时，GFI可以检查并确定发件人是否是伪造的。可以在Sender Policy Framework网站上找到更多关于SPF的信息。在配置好SPF后，ME将提示设置perimeter server参数，以帮助SPF工作。在这个示例中，我们已经在perimeter server（网关）上安装了GFI，所以不需要再进行设置。

General Tab（常规表单，如图15）让SPF可以工作在不同的层上。把滑块拖动到顶端，能够设置让SPF不要阻拦信息，这样就关闭了该规则。相反，把滑块拖动到底端，则会阻拦任何没有通过SPF测试的邮件。GFI推荐中级设置，该设置会阻拦那些伪造发件人的邮件。

图15

在Exceptions tab中，可以创建例外的IP地址或者可接受列表。（如图16）。

图16

在Actions tab（如图17）中，可以设置当相关规则被某些邮件“触动”后，该采取哪些行动。这里有一些选项可供考虑：删除邮件、转发到另一个邮箱、转到服务器上的特定文件夹，或者把该邮件标记为“SPAM”（垃圾邮件）。标签选项可以被用于挑选电子邮件发送到用户邮箱的特定文件夹。该功能需要使用规则管理工具来为每个用户邮箱或者一组邮箱设置规则。如果有些用户希望自己处理发送给自己的垃圾邮件，这一功能就会非常有用。

图17

提示：如果ME安装在Exchange 2003上，点击了“转移到用户垃圾邮件文件夹”单选按钮之后，邮件可以被直接指向用户的垃圾邮件文件夹。在这个示例中，我们使用的是网关模式安装，这可能需要使用规则管理工具。

Other tab (见图R)中提供了一些附加选项，比如可以要求登记所采取的行动事件。如果选择了删除邮件，而在事后需要证实该邮件是否被垃圾邮件过滤规则删除的话，这一功能就非常有用了。不幸的是，用户不能恢复被删除的电子邮件，但是可以确认它是否被删除了。

接下来的SPAM filter is the white list（垃圾邮件过滤器是白名单）。（如图18）。白名单在缺省状态下为激活，它也是最古老的垃圾邮件防范技术之一。ME自动地根据发出的邮件来建立白名单。其他选项包括手动增加电子邮件地址或者从列表导入白名单。

图18

白名单也可以根据邮件主体内容的关键字、主题或者发件人的IP地址创建。在企业中，根据邮件标题创建白名单会非常有效，这样可以允许来自员工订阅的列表服务器发送的电子邮件进入。（如图19）。

图19

接下来的过滤器是Directory Harvesting（帐号收集）。这一规则检查那些发往电子邮件服务器中，不存在的收件人的电子邮件。这通常是帐号收集攻击的一个信号，目的是发现特定服务器上的邮件地址。在我的环境中，我们收到大量的垃圾邮件，这些垃圾邮件都是发给已经离开公司的员工的。使用这一过滤规则能够帮助我们直接把这些邮件处理掉，以免我们还要在以后对它们进行处理，判断它们是否合法。可以在“general”（常规）表单中激活这一功能。使用该功能需要AD或者LDAP连接到DC。（如图20）。

图20

Custom Blacklist（自定义黑名单）可以使用该功能为已知的域或者电子邮件创建一个自定义的黑名单。（如图21）。

图21

Bayesian filter（贝叶斯规则过滤）是ME中主要的垃圾邮件过滤功能。Bayesian过滤在缺省状态下是关闭的。（如图22）。GFI推荐至少每周要使用一次该过滤功能，起码直到有3000封邮件通过这一过滤。在这一训练期结束后，就可以正式使用该过滤功能了。

图22

点击“Automatically learn from outbound e-mails”（根据发出的电子邮件自动学习）单选按钮，激活这一过滤功能，让它持续地分析电子邮件模式。升级按钮帮助自动地从GFI升级垃圾邮件数据库。（如图23）。

图23

DNS blacklist（DNS黑名单，如图24）可以检查发送邮件服务器是否是那些被已知的、多个黑名单组织管理服务器。该功能需要正确配置DNS服务器。如果黑名单配置正确而DNS服务器配置有错误的话，就会出现一个暂停，电子邮件处理速度会变得非常慢。所以配置的时候要非常谨慎，可以使用测试按钮来测试连接。可以使用多个列表，但是每个列表都会延长电子邮件处理时间。

图24

Spam URI Real-time Block（垃圾邮件URL实时阻止，见图25）列表规则检查电子邮件，查看邮件中是否包含了已知的、来自于垃圾邮件制造者的URL和URN。可以针对每个列表选择多个检查列表。和DNS黑名单一样，选择越多的检查列表，ME产品的邮件处理时间也越长。

图25

Header Checking rule（标题检查规则）检查电子邮件标题区域、SMTP和MIME。SMTP区域是由发送邮件服务器生成的，MIME区域是由电子邮件客户端生成的。“General tab”和“General Continued”中有八个不同的、可以检查的标准。（如图26）每个检验栏都提供了对相应标准的解释。如果需要每个标准的更详细的说明，可以查看ME文档。

图26

Keyword checking（关键字检查）是最古老的一种对付SPAM（垃圾邮件）的工具。（见图27）很多垃圾邮件都可以通过这一方法被筛选出来。当然这取决于用户的业务，这种方法可能会错误地过滤掉一部分正常的电子邮件。过滤器使用事先定义好的关键字来扫描电子邮件标题和内容。可以通过增加关键字或者条件的方式来帮助过滤器更有效地工作，这样会比仅仅通过一个独立的字来判断邮件要准确得多。例如，可以创建一个条件，在邮件被标记为垃圾邮件之前，根据多个关键字或者词组来判断是否为垃圾邮件。

图27

New Senders rule（新发件人规则）会自动地识别那些来自从来没有发送过邮件的邮件地址发来的邮件。这可能是新联系人发来的正常邮件，也有可能是没有被ME中的其他规则发现的垃圾邮件。（见图28）可以在MIME TO地址中设置例外。

图28

现在我们已经查看了所有的规则，可能想了解应该按照什么顺序处理一封电子邮件呢？可以在左边的区域，用鼠标右键点击“Anti-Spam”（反垃圾邮件），然后选择顺序模块属性。（见图29）。在这里我们可以为每个规则设置从最高优先级到最低优先级的顺序。

图29

电子邮件管理

除了SPAM功能，ME还提供了其他的电子邮件管理功能。扩展的电子邮件管理功能展现在ME产品左边的区域中：List Server（目录服务器）、Disclaimers（拒绝）、Mail Archiving（邮件存档）、Mail Monitoring（邮件监控）、 Auto Replies（自动回复）和Reporting（报告）。

List Server模块管理电子邮件目录服务。我在这次下载中并没有检查这一功能。

Mail Archiving（邮件存档）功能可以为出、入电子邮件存档。（见图30）。存档可以是没有附件的纯文本文件，也可以存储到SQL/MSDE数据库。可以创建一个HTML搜索页来查询存档电子邮件。尽管该功能还很简单，它仍然为那些希望在有限的预算内、存档电子邮件以达到法律要求的企业，提供了相关的存档能力。GFI还提供了一个专用的电子邮件存档产品。

图30

为发出的电子邮件增加disclaimer是ME产品的另一项功能。Disclaimers只是针对发出的电子邮件，可以针对每个域或者每个用户设置这一功能。另一项功能是Auto-Replies（自动回复）。如果所在的是一家服务企业的话，Auto Replies功能就会提供很多便利，它能够自动向发来电子邮件的客户发送一封确认邮件，告之邮件已经收到。

Mail monitoring（邮件监控）可以设置进入或发出的邮件的监视规则。来自特定发件人或者域的电子邮件会被检查，并会将一份拷贝发送到监视邮箱。（见图31）。

图31

常规设置

常规板块提供了版本信息，许可证码的链接并且链接到其他GFI产品的信息。版本信息下面的“General tab”非常有用，它能够自动地检查产品补丁程序和版本升级。

其他组件

在GFI Mail Essentials程序组中还有其他一些工具。GFI monitor为ME引擎提供了一个实时窗口。这里可以看到电子邮件处理的实际过程。（如图32）。这在最初配置和安装的时候很有帮助。

图32

ME Reports tool（ME报告工具）能够生成多种报告，比如用户使用统计、邮件服务器日使用统计和日垃圾邮件统计。日垃圾邮件报告帮助我们深入了解各项规则在检查垃圾邮件方面的效率。Mail Essential Help（ME帮助）是一个Windows帮助版本的PDF手册文件，它可以同ME产品一起下载。Mail Essentials troubleshooter是一个向导式的工具，在出现问题需要帮助的时候提供GFI的指导。向导随后会创建一个zip文件，发送给GFI以供分析。

接下来该干什么？

现在我们已经安装好了反垃圾邮件软件。接下来如何呢？这是一个反垃圾邮件软件厂商没有告诉我们的领域。我们是不是在完成安装之后，就万事大吉了？所有的垃圾邮件就会消失不见，我们就可以转身去处理其他的问题？这很美好，不是吗？现实是一旦软件发现了垃圾邮件，就必须“对它做点什么”。我们是不是只要设置软件，要求把所有规则检查出的垃圾邮件都删除，就高枕无忧了？当然可以这样做。但是可能就会面对一位火冒三丈的高级主管向你发怒，因为他的同事坚持要求他发送的一封电子邮件不见了！

现实是垃圾邮件技术还不完美。如果是一封法律方面的电子邮件被误认为是垃圾邮件，而被删除了，结果会怎么样？在这种情况下，甚至都不能够知道该邮件是否曾经到达预定目标。当然，可以检查日志文件进行确认，如同我在前面提到的那样，然后发现它被删除了。

起码要选择“HOW”和“WHO”（由谁？如何？）来管理垃圾邮件。HOW需要确定需要怎样处理垃圾邮件：把所有的垃圾邮件都发送到一个中央文件夹还是发送到供分析和最终删除用的邮箱？一成不变地根据规则的结论删除它们？还是让一些规则直接删除垃圾邮件，而另外一些则是把垃圾邮件转发到一个垃圾邮件专用邮箱？

WHO需要确认是由IT部门管理垃圾邮件，还是把垃圾邮件作上标记，然后发送给收件人？是否希望你的用户自己处理他们的垃圾邮件？垃圾邮件是否会造成工作效率的降低？现在各大规则发现的垃圾邮件都集中在一起而不是把它们发送到收件人的邮箱。让用户处理自己的垃圾邮件可能会带来很多法律问题。一些员工因为色情垃圾邮件而控告雇主，宣称这些垃圾邮件向他们展示了一些赤裸或者其他令人不快的图片，让他们工作在一种敌意的环境中。这些都是在实施垃圾邮件解决方案的时候需要解决的问题。

一个真实的例子

下面介绍我们是如何在企业里，使用ME来处理垃圾邮件的：首先，我们很早就确定我们不能承受把正当邮件错误地被当作垃圾邮件所造成的损失。我们知道如果我们的垃圾邮件过滤机制会“吃掉”发送给员工或者高级管理人员的正当垃圾邮件的话，我们就会很快失去他们的信任。其次，我们不希望我们的员工自己处理他们的垃圾邮件，因为我们担心法律风险也不愿意降低工作效率。而且很多用户都抱怨自己首先收到垃圾邮件，我们认为他们并不想自己处理这个问题。

在Mail Essentials产品中，我对于Custom Blacklist（自定义黑名单）、DNS Blacklist（DNS黑名单）和Directory Harvesting（帐号收集）功能非常有信心，所以我设置删除所有被这些规则检查确定为垃圾邮件的电子邮件，同时也打开了事件登记功能。并且设置所有的其他规则都把检查出的垃圾邮件发送到一个中央邮箱，该邮箱被命名为spam@mycompany.com。我们的IT帮助人员会每天几次地检查这一邮箱，删除已知的垃圾邮件，把可能是正当的邮件转发给收件人。如果收件人确认该邮件是正当的，该发件人就会被手动地添加到白名单中，这样在下一次，它就不会被认为是垃圾邮件。对于已知垃圾邮件发件人进行归类能够快速地把垃圾邮件和正当电子邮件区分开。由于我们很多员工都会收到同样的垃圾邮件，这样的解决方案能够把所有的垃圾邮件副本集中在一起，很容易被删除。而我们的帮助人员把垃圾邮件管理作为他们日常工作的一部分。

另外，我们使用了ME的存档功能，这样我们就对所有出入我们公司的电子邮件拥有一个纯文本的文件记录，记录中不包含邮件的附件。要注意存档的文本文件，因为文件很快就会变得很大。我们仅仅是每周创建一个新的存档文件，以此保持该文件的大小便于管理。从长期看，我们将会寻找其他的解决方案，但最终解决方案没有到位之前，我们将会一直这样做下去。存档在确定某一封电子邮件到底是被发送还是被留在企业内部也非常有帮助。

对于系统，不要在设置好之后就忘诸脑后。我们使用这个产品超过了一年，并且获得了很大的成功。不幸的是，垃圾邮件管理不是一项在设置好了之后就可以忘在一边的工作。在需要的时候，要花费时间来分析规则并且对它们进行调整。报告机制在说明管理问题的严重程度方面非常有帮助，它还能够帮助管理员了解如何有效地使用各种规则来检查垃圾邮件。list server（列表服务器）、邮件存档、拒绝和报告工具都为这个价格经济的产品增加了价值，让它性价比更为突出。

（责任编辑：陈毅东）

查看本文的国际来源