Exchange反垃圾邮件实训.docx

1、Exchange反垃圾邮件实训湖南科技职业技术学院软件学院Exchange反垃圾邮件实训 （第六组）组员姓名:贺志平（组长） 傅兵兵（副组长） 黄迎晖 袁吉 张鸿 2010年4月10日目录湖南科技职业技术学院软件学院 1引言 3第一章 反垃圾邮件调查分析 41.1 反垃圾邮件技术 51.2 反垃圾邮件机理大全 5第二章 反垃圾邮件常用技术 62.1 过滤技术 62.2 反垃圾邮件的对策 7第三章 项目设计 83.1.设计需求 83.2 设计原则 8第四章 项目实施 104.1 浏览邮件服务器状态 114.1.1 查看服务器版本和反垃圾邮件相关组件 114.1.2 反垃圾邮件应用在SMTP虚拟服

2、务器上 124.1.4 启用Exchange 2003的邮件跟踪功能 134.2 浏览客户机状态 144.2.1 查看Outlook 2003当前反垃圾邮件设置状况 144.2.2 安装邮件群发软件模拟测试状况 154.2.3 观察测试邮件 174.3 测试Outlook自动识别垃圾邮件功能 174.3.1 设定发件人的安全级别 184.4 熟悉使用Telnet命令发送邮件 204.5 使用Exchange 2003连接筛选器 214.5.1 配置Exchange 2003使用阻止名单服务 224.5.2 通过Exchange 2003过滤特定邮件地址发来的邮件 234.5.3 设置Excha

3、nge 2003过滤发送给特定收件人的邮件 264.6 Exchange 2003智能邮件过滤器（IMF） 284.6.1 在Outlook 2003中看到邮件的SCL值 284.7 Exchange 2003通过发件人ID筛选 314.7.1 在Outlook 2003中查看发件人ID状态值 314.8 使用网络监视器查看网络流量 334.8.1 使用“网络监视器”捕获网络流量 334.8.2 发送测试邮件 36结论 38引言 电子邮件是最常用的网络应用之一，已经成为网络交流沟通的重要途径。但是，垃圾邮件（spam）烦恼着大多数人，近来的调查显示，93%的被调查者都对他们接收到的大量垃圾邮件

4、非常不满。一些简单的垃圾邮件事件也造成了很有影响的安全问题。日益增加的垃圾邮件现在会造成1年94亿美元的损失（来自chinabyte上一则新闻的数据），根据中国互联网协会反垃圾邮件规范的定义，以下4种情况属于垃圾邮件：一、收件人事先没有提出要求或者同意接受的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件；二、收件人无法拒收的电子邮件；三、隐藏发件人身份、地址、标题等信息的电子邮件；四、含有虚假的信息源、发件人、路由等信息的电子邮件。对于垃圾邮件，无论是国际社会还是国内社会都给予了高度的关注。在一些国家甚至已经出台了反垃圾邮件的法律，但垃圾邮件依然是屡禁不止且肆虐猖獗。一、垃圾邮件严重危害互

5、联网发展1，占用大量的传输、存储和运算资源，造成巨大的资源浪费2，对信息安全系统的有效性形成重大挑战3，曾一度使得国内外互联互通性遭到严重破坏4，垃圾邮件还损害了ISP的市场形象，造成无形资产流失二、垃圾邮件严重损害了用户的利益1，垃圾邮件具有反复性、强制性、欺骗性、不健康性，其传播速度快，严重干扰了个人的正常生活2，浪费了用户的时间、精力和金钱3，用户对邮件服务满意度降低三、垃圾邮件危害了现实社会少数别有用心者利用垃圾邮件散播各种虚假信息或有害信息，严重危害了社会的稳定。既然垃圾邮件的危害如此之大，那么，我们也应当采取什么措施。就拿本次的实训来说，我们就会主要以反垃圾邮件为主。我们将运用反垃

6、圾邮件常用的技术(如：发件人地址过滤，关键词过滤，群发过滤，域名反查，地址效验，IP过滤，文件大小过滤)进行实验。第1章 反垃圾邮件调查分析 据中国互联网协会反垃圾邮件中心（www.anti-）发布的2008年第一季度反垃圾邮件状况调查显示：企业用户收到的垃圾邮件中，67.41%都带有附件，其附件类型主要是：压缩文件、Word文档、文本文档、Excel文档，所占比例分别为：31.03%、27.07%、22.93%、15.34%。这些数据反映出，面向企业垃圾邮件内容主要是以附件形式传播，因为附件易于躲开部分技术拦击，同时也更容易提高接收者的阅读率。图1-1图1-21.1 反垃圾邮件技术 垃圾邮件

7、对信息安全、工作效率、企业运营成本和终端用户服务造成了重大影响，成为当今个企业面临的安全难题之一。本质上垃圾邮件实际上是网络业务被滥用的一种。虽然防垃圾邮件也是网络防攻击和业务控制的一部分，但是由于该问题日益严重有必要将其作为网络安全关键技术之一加以研究。本次对反垃圾邮件的一些主流技术进行介绍并分析反垃圾邮件技术。说简单一点，垃圾邮件(SPAM Email) 就是批量发送的未征得收信人同意的电子邮件。垃圾邮件的发送方式归纳起来有以下几种情况：其一，垃圾邮件发送者利用宽带连接，建立SMTP服务器，大量发送垃圾邮件;其二，病毒邮件、蠕虫邮件，利用操作系统或者应用系统的漏洞，大量转发含带病毒的邮件;

8、其三，邮件服务器Openrelay漏洞被人利用进行垃圾邮件的发送;其四，利用IDC提供的邮件服务，以正常用户的方式进行垃圾邮件的发送。1.2 反垃圾邮件机理大全到现在为止，目前国际上主要有哪些技术手段能够帮助我们抵御垃圾邮件呢?下面我们来大致了解一下：1，IP地址、域名、邮件地址黑白名单方式这种技术手段是最传统的方式，它通过黑名单技术对垃圾邮件进行屏蔽，通过白名单技术对允许的邮件进行放行。2，基于信头、信体、附件的内容过滤方式该项技术目前尚不成熟，因为现在的群发程序自动生成和发送的垃圾邮件对于发件人、收件人、邮件主题甚至邮件内容都是随机生成的，使得该种技术目前应用范围日趋狭窄。3，基于统计分析

9、的贝叶斯算法技术基于统计的原则，采用标记权重的方式，根据对用户认为的垃圾邮件和非垃圾邮件进行统计计算，生成过滤规则，具有学习渐进的功能，可以逐渐取得好的效果。4，基于连接频率的动态规则方式由于一个正常用户发送邮件的数量和频率远远低于垃圾邮件发送者，因此我们可以根据垃圾邮件发送具有一定时间内邮件数量和邮件连接频率都非常大的情况，从频率和数量对垃圾发送者的连接行为进行控制。第2章 反垃圾邮件常用技术2.1 过滤技术 过滤技术是目前反垃圾邮件用到的主要技术。电子邮件通常具有几个重要特征，标准电子邮件地址(包括收发件人邮箱名、收发人邮箱服务器IP地址或域名)、主题、信件内容(包括正文、关键字、附件)等

10、相关字段，这些特征是过滤技术判断、分析、统计和提取的依据。目前的防垃圾邮件系统主要是通过启发式过滤技术来实现。该技术主要是对邮件进行来源过滤和内容过滤。对于上文中提到的第一、第三种垃圾邮件，启发式过滤技术可以根据其来源特征进行过滤。这种方式可以在邮件完全提交之前就进行阻断，能有效保护网络资源。内容过滤就是对邮件正文进行内容匹配，能够有效防止第二种垃圾邮件。对于那些一时无法识别和处理的特殊垃圾邮件，比如第四种垃圾邮件还需要技术人员通过人工方式进行处理。下面就过滤方面讲一下策略。一 发件人地址过滤 这是最基本的反垃圾邮件手段，通过设置一个庞大的发件人地址黑名单来实现，不过现在很多垃圾邮件是通过本地

11、smtp服务器发送的，不需要服务器认证，发件人地址本身可以随便伪造，所以这种过滤的效果不是很好。 二 关键词过滤 分为两种：一种是对邮件主题进行过滤，当来信主题中含有特定关键词的时候即判为垃圾邮件。不过现在的垃圾邮件标题起得都很好，“看上去”都不像垃圾邮件，这个办法也就不太好用了。另一种是对邮件正文进行过滤，因为垃圾邮件的正文总要包含广告、色情等等垃圾信息，所以这种过滤方式比较有效，不过执行这种过滤方式就得把垃圾邮件收取下来，无法在远程管理的时候就把垃圾信件过滤掉。用becky的远程管理也是一样，双击邮件的时候其实已经把相应的信件收下来了。另外，某些垃圾邮件（例如法x功发来的邮件）对正文采用了

12、特殊的处理（比如在关键词中间插入符号，像“政. 府. ”什么的），或者是在附件中放上宣传内容的zip包，这样就不好过滤了。三 群发过滤对于个人用户来说，就是扫描来信的邮件头，如果收件人/抄送人大于某个指定的数量，便判为垃圾邮件。对于服务器而言，就是在一个相当短的时间里收到从同一个发送或回信地址发出的信件，或者在一个相当短的时间里收到从不同发送或回信地址发出的一定数量相同内容的信件，则该这些信件即被判为垃圾邮件。四 域名反查 对比邮件头中的Helo字段和来信的IP地址，发现不一致即判为垃圾邮件。这个对于个人用户来说，是不好做到的五 地址校验 对来信人的发送地址和回信地址进行校验，如果这些地址根本

13、不存在，即判为垃圾邮件。这个对于个人用户来说，也是不好做到的。六 过滤 列出那些spammer经常使用的发信代理服务器，将从黑名单中的IP地址发出的信件判为垃圾邮件。七 文件大小过滤将超过一定字节的信件判为垃圾邮件，容易误判。2.2 反垃圾邮件的对策 防止垃圾邮件，人们可以从订阅服务、网关、服务器端和客户端四方面入手。订阅服务: 对付垃圾邮件最好的解决方法是阻止其传输。国外许多用户通过向ICP/ISP订阅服务，可以有效阻止垃圾邮件到达服务器。为了鉴别哪些邮件是垃圾邮件，ICP/ISP通常会建立一个特殊账号用于吸引垃圾邮件。这个账号收到的所有信息都先被“定住”，然后被用户网络的代理所过滤。在这类

14、服务中，用户不需要安装专用硬件或软件。基于服务器的软件: 这些软件通常运行于邮件服务器或是一台单独的机器上，它们检查邮件头和发送的信息并且阻止那些无效信息。众多基于服务器的过滤软件都参考了一个众所周知的垃圾邮件制造者或策源地的列表，并最终把来自这些地方的信息筛除。最流行的列表是在邮件滥用预防系统(MAPS: Mail Abuse Prevention Systems)中有个黑洞列表(Blackhole List)。MAPS可以删除其DNS列表中的垃圾邮件制造者的服务提供商的地址，来阻止垃圾邮件对后端系统的干扰。这种过滤产品可以在信息通过之前，根据MAPS的域名服务器来检查入境信息的头信息，查看

15、基于服务器的垃圾过滤软件的列表。硬件网关: 如果用户有大量邮件需要接收，这些用户可以采用一种基于硬件的邮件过滤网关。它比基于软件的网关产品更有优势的地方是能够处理更大量信息。这种设备安置在路由器和服务器之间，以过滤垃圾信息。有些硬件邮件过滤网关可以扫描发出的邮件，有些只能扫描进入的邮件。它们的过滤规则各不相同，通常是根据内容或者行为制定，部分设备还可以扫描病毒。客户端: 客户端是防垃圾邮件的最后一道防线，用户可以采用客户过滤软件。在客户端的过滤方法中，人们可利用一些常见的电子邮件客户端工具的分拣和过滤功能来设定规则，把接收下来的电子邮件进行检查和匹配，从发件地址、主题、正文内容中的关键词，对那

16、些符合垃圾邮件特征的电子邮件，执行自动删除操作，或者加装某些客户端工具，利用邮件下载协议(POP3或IMAP4)的一些特定指令先下载邮件的头部信息进行垃圾邮件的判断和识别，这样客户端就不需要将电子邮件完全下载才能进行识别和处理了。第三章 项目设计本实验使用antispam-server、antispam-client 两台虚拟机。一共做八个实验。这八个实验分别指：熟悉测试邮件环境 ，Outlook 2003反垃圾邮件功能，Exchange 2003对连接进行筛选，Exchange 2003对发件人进行筛选，Exchange 2003对收件人进行筛选，Exchange 2003智能邮件过滤器（I

17、MF），Exchange 2003通过发件人ID筛选和使用网络监视器查看网络流量。3.1.设计需求首先，我们要浏览服务器的状态和客服机状态，然后我们要测试Outlook自动识别垃圾邮件功能，接下来要熟悉使用Telnet命令发送邮件，接着使用Exchange 2003连接筛选器，然后使用Exchange 2003发件人筛选器接着使用Exchange 2003收件人筛选器，然后限制向邮件组发送邮件。接着在Outlook 2003中看到邮件的SCL值，使用IMF筛选器过滤垃圾邮件，然后在Outlook 2003中查看发件人ID状态值，接着使用发件人ID筛选器，最后使用网络监视器。3.2 设计原则我们

18、需要注意的是如何在Microsoft Exchange 2000上防范垃圾邮件。下面就由几点来说明一下。1防止恶意转发这里的恶意转发（Relay）是指一个Internet上的SMTP服务器连接到你的邮件服务器来试图发送邮件到另外一个外部的电子邮件域。许多垃圾邮件散播者并不用他们自己的邮件服务器来发送垃圾邮件，而是寻找Internet上那些Open-Relay的邮件服务器来以大量群发的方式转发垃圾邮件。这样他们自己的邮件服务器可以在一定程度上被隐藏起来，而真正受害的将是那些被用来恶意转发垃圾邮件的Open-Relay服务器。默认情况下Exchange不是，也不应该是Open-Relay。处于Op

19、en-Relay状态的邮件服务器会造成很大的危害性，主要有两点。第一，收信方会认为你的邮件服务器在散播垃圾邮件，从而在他们的服务器端阻隔所有来自你的服务器或域的连接请求。这样你的服务器就不能向那些域发信了。而且更糟的是你的邮件服务器的IP地址还很有可能会被加入到Internet上公开的Open-Relay服务器黑名单（Black List）上，所造成的后果是你会发现许多外部域都拒收来自你服务器的邮件，你需要花费一定的人力财力才能将自己的服务器从黑名单上去除。第二，一般一封垃圾邮件是群发的，收件人会有成百上千个。垃圾邮件散播者通过你的邮件服务器转发垃圾邮件，他们只需用很少的网络带宽向你的服务器发

20、一封信，然后你的服务器若是允许转发，那么它将会占用大量的网络带宽来将这份信转发到所有的外部收信人那里。由于正常的网络带宽被过度占用，情况严重时会造成服务器停止响应，影响内部用户邮件的正常使用。我们可以通过以下的步骤来确保Exchange服务器不处于Open-Relay状态2设置IP地址限制对于从Internet上收到的垃圾邮件，我们可以在Outlook中打开其邮件选项对话框，查看其Internet信头。从信头中我们可以得到发送这封垃圾邮件的服务器的IP地址，从而我们可以在Exchange服务器上限制来自这个IP地址的连接。3限制每个连接所能发送的最大邮件数和每封邮件的最大收件人数我们知道，垃圾

21、邮件通常是以群发的形式发给大量的收件人。在Exchange服务器上，我们可以通过限制每个SMTP连入请求所能发送的最大邮件数和每封邮件的最大收件人数，来从一定程度上制止垃圾邮件的蔓延。 4使用过滤器阻止垃圾邮件另外，Exchange服务器还为我们提供了过滤器功能，可用于阻隔来自特定邮件地址、域名的邮件或是发件人为空的邮件（发件人为空是许多垃圾邮件的特征之一）。第4章 项目实施实验涉及的Exchange 2003邮件服务器具体配置如下： 活动目录域：此域中的域控制器即为Exchange 2003邮件服务器： antispam- IP: 192.168.0.2 根域中的第一台域控制器。同时具备五个

22、操作主机角色、全局编目GC功能、以及DNS服务功能。 客户机：antispam-client此为邮件客户端，安装Outlook 2003、垃圾邮件模拟发送工具 antispam- IP:192.168.0.3 确认安装微软补丁（KB902953） 虚拟机配置：该实验在Microsoft Vitrual PC 2004虚拟机环境中运行。为保证性能，主机要求1G内存，10G空闲硬盘空间。该实验用到以下虚拟硬盘文件： AntiSPAM-Server.vhd Exchange 2003 Server硬盘镜像文件。 AntiSPAM-Server.vmc Exchange 2003 Server虚拟机配

23、置文件。 AntiSpam-Client.vhd Outlook 2003客户机硬盘镜像文件。 AntiSpam-Client.vmc Outlook 2003客户机虚拟机配置文件。4.1 浏览邮件服务器状态首先，启动以下两台台虚拟机：antispam-server、antispam-client。并以帐户Administrator、口令Password01！4.1.1 查看服务器版本和反垃圾邮件相关组件登录域控制器antispam-server。点击“开始”-“程序”-“Microsoft Exchange”-“系统管理器”。展开”管理组”-“第一管理组”-“服务器”。查看服务器版本。如图4

24、-1-1所示：图4-1-1 展开”全局设置”-“邮件传递”。右击“邮件传递”-“属性”。查看”发件人筛选”、”收件人筛选”、”连接筛选”、”发件人ID筛选”、”智能邮件筛选”等选项卡。如图4-1-2所示:图4-1-24.1.2 反垃圾邮件应用在SMTP虚拟服务器上展开”管理组”-“第一管理组”-“服务器”-“协议”-“SMTP”-“默认SMTP虚拟服务器”。右击“默认SMTP虚拟服务器”-“属性”。在“常规”选项卡下，点击”高级”按钮。“编辑”地址。查看各筛选器的应用状况。如图4-1-3-4-1-5所示：图4-1-3图4-1-4图4-1-54.1.4 启用Exchange 2003的邮件跟踪功

25、能展开”管理组”-“第一管理组”-“服务器”-“ANTISPAM-SERVER”。打开“属性”对话框。屁用邮件跟踪服务。如图4-1-6所示：图4-1-64.2 浏览客户机状态4.2.1 查看Outlook 2003当前反垃圾邮件设置状况打开Outlook 2003。按住”CTRL”。右击任务栏上Outlook图标。在弹出菜单中，点击”连接状态”。在”Exchange Server连接状态”对话框中，查看服务器连接状态。发送测试邮件。点选“工具”“选项”。在“首选参数”下，选择“垃圾电子邮件”按钮。设置当前垃圾邮件保护级别为低。如图4-2-1-图4-2-2所示：图4-2-1 图4-2-24.2.

26、2 安装邮件群发软件模拟测试状况打开客户机C:TOOLSYIHU。双击安装邮件群发软件。打开记事本，生成一个.txt地址文件，每行一个邮件地址（如administrator）如图4-2-3所示：图4-2-3运行群发软件。在“地址文件”选项卡中，载入生成的地址文件如图4-2-4所示：图4-2-4在“邮件内容”选项卡中，填入邮件的主题和内容。如图4-2-5所示：图4-2-5 在“服务器”选项卡中，选择“服务器增加”。在“发件人地址”中，填写“red”在“收件人名称”中，填写“Red Sender”。在“SMTP中继服务器”中，填写“192.168.0.2”，端口号选择“25”。点击“开始”按钮，发

27、送测试邮件。如图4-2-6所示：图4-2-64.2.3 观察测试邮件打开Outlook 2003。点击“发送/接受”按钮。查看接受邮件的主题、发件人和邮件内容。如图4-2-7所示：图4-2-74.3 测试Outlook自动识别垃圾邮件功能 调整邮件级别，并发送测试垃圾邮件。一，调整垃圾邮件保护级别为“低”，发送测试垃圾邮件打开Outlook 2003。点选“工具”“选项”。在“首选参数”下，选择“垃圾电子邮件”按钮。设置当前垃圾邮件保护级别为“低”。通过垃圾邮件发送软件发送主题为“Adult”邮件正文为“Graphics”的email到administrator。此垃圾邮件将被认为是正常的邮件

28、进入“收件箱”目录。二，调整垃圾邮件保护级别为“高”，发送测试垃圾邮件点选“工具”“选项”。在“首选参数”下，选择“垃圾电子邮件”按钮。设置当前垃圾邮件保护级别为“高”。图4-3-1所示：图4-3-1通过垃圾邮件发送软件发送主题为“Adult”邮件正文为“Graphics”的email到administrator。此垃圾邮件将被认为是正常的邮件进入“垃圾邮件”目录。4.3.1 设定发件人的安全级别点击“垃圾邮件”目录，右击其中的垃圾邮件。在弹出菜单中，选择“垃圾邮件”“将发件人添加到安全发件人名单”。如图4-3-2所示：图4-3-2点选“工具”“选项”。在“首选参数”下，选择“垃圾电子邮件”按

29、钮。在“安全发件人”选项卡下，查看red是否已经处于列表之中。如图4-3-3所示：图4-3-3重复发送先前的垃圾邮件。该邮件将被正常接受到“收件箱”。如图4-3-4所示：图4-3-4 调整垃圾邮件保护级别为“低”，使用“阻止发件人”阻止垃圾邮件。点选“工具”“选项”。在“首选参数”下，选择“垃圾电子邮件”按钮。设置当前垃圾邮件保护级别为“低”。选择“阻止发件人”，添加red 于阻止列表之中。重复发送先前的垃圾邮件。该邮件将被接受到“垃圾邮件”目录。如图4-3-5 图4-3-54.4 熟悉使用Telnet命令发送邮件 为考察之后连接筛选器的实验结果，我们将在在本节实验中使用Telnet命令手工发

30、送测试邮件。 切换到antispam-client客户机，启动Command命令窗口。运行“Telnet 192.168.0.2 25”命令。SMTP命令：ehlo。SMTP命令：mail from: a。SMTP命令：rcpt to: itg。SMTP命令：data SMTP命令：quit 如图4-4-1所示：图4-4-1 启动Outlook 2003 。点击“发送/接受”，查看手工发送的邮件是否收到。如图4-4-2所示：图4-4-24.5 使用Exchange 2003连接筛选器 配置Windows DNS服务器模拟RBL提供方，新建名为“myRBL.com”的正向查找区域并建立A记录。选择“开始”“所有程序”“管理工具”“DNS”。右击“正向查找区域”“新建区域”。选择“主要区域”。如图4-5-1所示：图4-5-1 在“区域名称”中输入“myRBL.com”。点击“确定”，完成新建向导。如图4-5-2所示：图4-5-2右击新建的“myRBL.com”区域，选择“新建主机(A)”。在“名称”栏，填写“3.0.168.192”。在“IP地址栏”，填写“127.0.0.2”。点击“确认”，完成新建向导。关闭DNS管理工具。如图4-5-3所示：图4-5-34.5.1 配置Exchange 2003使用阻止名单服务切换到虚拟机antispam-server。启动“E