Microsoft 的邮件清理

客户端层防病毒措施

Microsoft IT 的多层防御方法要求在客户端层进行病毒扫描，这既包括办公室中的台式机，也包括远程使用的膝上型计算机。除了运行 Outlook 2003 之外，所有客户端系统还都运行防病毒软件来防范病毒侵袭。

eTrust 防病毒软件

Microsoft IT 对客户端层防病毒软件实施的策略很严格。为了能够访问公司网络，所有 Microsoft 员工都需要在客户端计算机（例如台式计算机和膝上型计算机）上安装和配置 Computer Associates eTrust Antivirus，并使其保持更新。如果用户当前在系统上运行着 eTrust 软件，该软件将实时扫描所有文件。它对用户是完全透明的，能够不间断地进行扫描，并能够在更新推出后检索更新。

Microsoft IT 使用登录脚本框架以确保所有员工在客户端计算机上安装并运行 eTrust。当用户尝试登录到公司网络时，登录脚本会在系统上运行安全检查，包括检查客户端层防病毒服务的状态。Microsoft IT 还通过使用内部开发的工具和过程不间断地监视公司网络。在每天的固定时段，每一台连接到网络的计算机都要经过扫描，以检查修补级别是否符合要求以及 eTrust 防病毒软件是否存在。如果客户端系统没有运行 eTrust，用户将接收到一个通知，通知中会提示用户安装最新防病毒软件。如果用户没有在给定的时段内安装该软件，Microsoft IT 将拒绝用户对网络的访问，其网络访问权直到该用户的系统符合要求后才会恢复。

Outlook 2003

与在网关层一样，在客户端上使用附件管理功能增强病毒扫描对确保用户计算机的安全是至关重要的。Outlook 2003 已改进了旧版本的附件阻止功能。与网关层附件剥离构思一样，Outlook 为用户提供了阻止接收各种潜在恶意文件类型的能力。有关附件阻止的详细信息，请参阅 Microsoft 知识库文章“Cannot Open Attachments in Microsoft Outlook”（在 Microsoft Outlook 中无法打开附件），网址为 http://support.microsoft.com/default.aspx?scid=kb;zh-cn;829982。

除了阻止附件之外，Outlook 2003 还限制以编程方式访问通讯簿，从而最大限度地减小了恶意代码通过向通讯簿中的收件人分发电子邮件进行传播的可能性。如果当前登录用户以外的用户或 Outlook 2003 以外的某个外部程序在访问 Outlook 通讯簿，Outlook 2003 会自动在用户屏幕上显示通知。

Outlook 2003 还解决了一个称为“Web 信标”的恶意行为（一种用于确定和收集有效电子邮件地址的方法）。例如，发件人将包含特制编码映像的电子邮件发送给收件人，而收件人对此浑然不觉。该映像被编码为在映像显示时将收件人的有效电子邮件地址告诉给发件人。Outlook 2003 用户不会受到 Web 信标的攻击，因为映像不会再自动显示。

Microsoft IT 通过提前阻止 Outlook 客户端的旧版本访问其 Exchange 服务器，加强了对其邮件服务基础结构中的客户端版本的日常控制。通过维护电子邮件客户端软件的版本控制，可以确保用户能够利用 Outlook 最新版本中内置的安全功能。

其他邮件清理技术

综合性的邮件清理策略不仅能够防御病毒和垃圾邮件，还能防御其他与电子邮件相关的威胁，例如“邮件炸弹”，即使用大量无用的电子邮件瘫痪某个特定的收件人或整个电子邮件系统，以图达到关闭系统的目的。此类攻击的危害不仅限于令人讨厌；它不是垃圾邮件，而是有目标的拒绝服务攻击。

另一类型的威胁是“目录搜集攻击”，它试图通过分析服务器对电子邮件提交命令的响应来发现大量有效收件人地址。当垃圾邮件发件人使用各种可能存在的由字母和数字组成的用户名向电子邮件服务器发送垃圾邮件时，就会发生目录搜集攻击。当电子邮件服务器被配置为将无法传递的邮件返回发件人时，垃圾邮件发件人就可分析接收到的结果以确定哪些电子邮件地址没有被返回，因而就能确认这些地址是有效的。

要抵御这些类型的威胁，仅有反垃圾邮件和防病毒解决方案是不够的。现在，Microsoft IT 使用本节所介绍的 Exchange Server 2003 的安全功能来抵御这类威胁以及一些相似的威胁。

连接筛选

Exchange Server 2003 包含一个称为连接筛选的功能，此功能将连接服务器的 IP 地址和拒绝的 IP 地址列表（也称为实时阻止列表）相比较。当 SMTP 会话启动时，立即进行 IP 地址比较，从而使组织能够在邮件提交的最初阶段阻止这些邮件连接到其网关。在实时阻止列表中的服务器提交邮件之前，连接已经停止。此方法可使邮件层和网络层的负载都得到减轻。

通过手动创建一个全局接受列表和一个全局拒绝列表，或者通过使用第三方维护的已知被阻止 IP 地址（也称为实时阻止列表）数据库，组织可以在 Exchange Server 2003 上建立连接筛选。

全局接受列表和全局拒绝列表

组织可以创建自己的静态拒绝 IP 地址列表。顾名思义，全局拒绝列表包含组织从来不想接受其电子邮件的特定 IP 地址和网络。相反，组织也可以创建一个全局接受列表，列表中包含组织不想对其应用电子邮件阻止或筛选策略的 IP 地址和网络。全局接受列表中可以包括分支组织的 IP 地址或组织信任的商业合作伙伴的 IP 地址。这样，如果组织不想冒误报的风险，就可以将受信任的发件人的电子邮件服务器 IP 地址添加到组织的全局接受列表中。

注意：除了使用全局接受列表和全局拒绝列表之外，组织还可以配置 Exchange Server 2003，使其根据 IP 地址接受或拒绝连接。可以在各个 SMTP 虚拟服务器上定义此配置，并可使其优先于全局接受列表、全局拒绝列表和实时阻止列表的全局 IP 筛选功能。

实时阻止列表

实时阻止列表是基于域名系统 (DNS) 的已知经过验证的垃圾邮件源的 IP 地址数据库。可以从专门进行不间断监视 Internet 并记录已知垃圾邮件源的公司获得实时阻止列表。如果检测到令人讨厌的 IP 地址，就会将它们添加到实时阻止列表数据库。这些列表通常可免费获得；但如果邮件管理员希望获得扩展服务，则需要交纳一些费用。