| 摘要:Exchange Server2007加入了新的消息过滤特性,在边界网络或DMZ区进行垃圾邮件过滤。Exchange Server 2007中新的服务器角色,Edge Transport Server角色,提供了内置的过滤功能,例如连接过滤、内容过滤、附件过滤、发件人和收件人过滤、SenderID及传输规则等。 |
基于Internet的消息和协作服务无处不在,与此同时,被攻击的风险也不断增加。要保护你组织的消息和协作架构,你需要使用一些消息过滤技术。自从Exchange 2000 Server以来,微软逐渐将消息过滤技术集成在Exchange中。在Exchange Server 2007中,微软提供了一个特殊的服务器角色——EdgeTransport角色——用于进行消息过滤以及为组织的内网网关提供路由服务。要了解这个最新的Edge Transport角色,你需要学习Edge服务器的架构,以及垃圾邮件和内容过滤器的功能。一旦掌握了这些功能,你就可以将Exchange Server 2007中基于网关的消息过滤服务和一些第三方的消息过滤解决方案进行对比,以便判断应该使用哪种方案。
作为消息过滤器的Exchange
许多组织通常都在企业网络的边际上部署消息过滤服务,例如DMZ区。网关过滤器的基本原理很简单:进入企业的邮件通信中的垃圾和病毒越少,效果就越好。在DMZ区过滤消息可以提高安全性,因为这种过滤可以隔离病毒,将垃圾阻塞在内网服务器以外。由于消息过滤可以减少流入到组织的邮件总数,基于DMZ的消息过滤服务同样还可以降低内网消息服务器的负荷。
在上一版本中,Exchange并不是实施DMZ区消息过滤服务的最优解决方案,这有好几个原因。首先,也是最重要的一点,Exchange的消息配置和用户数据(发件人和收件人)的存储是依赖于AD的。如果要使用基于Exchange的DMZ区消息过滤服务,公司就必须在DMZ区部署一台AD服务器。这就意味着公司必须将他们的内部服务暴露在外网中,从安全的角度来看这并不明智。另外一种选择就是在DMZ区中单独部署一个独立的AD森林,但这样你就要在内部AD和DMZ区的AD间同步过滤器的参数,例如内网收件人地址。还有一种选择——这种更为常用,而且设置更为简单——就是使用非微软的消息过滤解决方案,因为它们并不需要AD。
Exchange Server 2007解决了这个AD依赖性的问题,加入了一种Edge服务器,它使用一种名为ADAM(Active Directory Application Mode,AD应用程序模式)的目录来存储配置和收件人数据;并提供了一种名为Edge Sync的易于配置的同步方法,将基于DMZ的ADAM实例和公司的内网AD进行同步。ADAM是一种独立的基于LDAP的目录,我们如果不想部署一个完整的Windows域架构的话,就可以使用它。
另外一个原因是,和某些解决方案例如Symantec Mail Security、Tum bleweed Mail Gate,甚至免费的基于UNIX的Postfix服务相比,基于DMZ的消息过滤服务方面并不是Exchange的强项,上一版本的Exchange消息过滤服务只有一些有限的功能。表1列出的是Exchange各个版本的垃圾邮件和内容过滤功能。不过,Exchange Server 2007加入了重要的垃圾邮件和内容过滤功能,使Exchange完全可以和第三方的消息过滤解决方案媲美了。
表1:不同版本Exchange中的垃圾邮件和内容过滤功能
尽管这里我主要介绍的是Exchange Server 2007 Edge服务器集成的新的垃圾邮件和内容过滤服务,微软还提供了许多其它你可能在消息过滤架构中需要用到的服务。首先,微软提供了一款病毒扫描和垃圾邮件过滤产品,Microsoft Fore front Security for Exchange Server(前身是Sybari的Antigen产品)。在Exchange Server 2007中,如果客户购买了企业客户端访问许可证(CAL)和Volume许可证协议,就可以免费使用ForefrontSecurity。
作为企业CAL的一部分,微软同样还提供了名为Exchange Hosted Filtering(宿主服务,该服务之前是Front Bridge Technologies的一部分)的源消息过滤服务。这个服务对于小型企业和那些不想管理维护他们自己的消息过滤架构的企业来说,是一个不错的选择。
评论表单加载中...
