【正文】 有法律意義的傳統(tǒng)簽名的數(shù)字形式。數(shù)字簽名提供下列安全功能：252。 身份驗證：通過簽名來驗證身份。它能夠?qū)⒃搶嶓w與其他所有實體區(qū)分開來，并證明它的唯一性，從而確認(rèn)“您是誰”這個問題的答案。由于 SMTP 電子郵件中不存在身份驗證，因此無法知道實際上是誰發(fā)送了郵件。數(shù)字簽名中的身份驗證使收件人可以知道郵件是聲稱已發(fā)送該郵件的那個人或組織發(fā)送的，從而解決了這一問題。252。 認(rèn)可：簽名的唯一性可防止簽名的所有者否認(rèn)簽名。此功能稱為“認(rèn)可”。因此，簽名所提供的身份驗證提供了一種強(qiáng)制認(rèn)可的手段。由于 SMTP 電子郵件不提供身份驗證手段，因此無法提供認(rèn)可功能。發(fā)件人很容易否認(rèn)自己是某個 SMTP 電子郵件的所有者。 252。 數(shù)據(jù)完整性：數(shù)據(jù)完整性是使數(shù)字簽名成為可能的特定操作的結(jié)果。有了數(shù)據(jù)完整性服務(wù)，當(dāng)經(jīng)過數(shù)字簽名的電子郵件的收件人驗證數(shù)字簽名時，他們可以確信所收到的電子郵件確實是被簽名并發(fā)送出來的那個郵件，并且在傳送過程中未發(fā)生改變。如果郵件在簽名后的傳送過程中發(fā)生了任何改變，該簽名將無效。這樣，數(shù)字簽名便能夠提供書面簽名所無法提供的保證功能，因為書面文檔在經(jīng)過簽名后可能被改變。郵件加密提供了針對信息泄露的解決方案?；?SMTP 的 Internet 電子郵件并不確保郵件的安全性。SMTP Internet 電子郵件可能被在發(fā)送過程中看到它或在所存儲的位置查看到它的任何人閱讀。加密是一種更改信息的方式，它使信息在重新變?yōu)榭勺x或可理解的形式之前無法閱讀或理解。郵件加密提供兩種特定的安全服務(wù)：252。 保密性：郵件加密用來保護(hù)電子郵件的內(nèi)容。只有預(yù)期的收件人能夠查看該內(nèi)容，因而該內(nèi)容是保密的，不會被可能收到或查看到該郵件的其他任何人知道。加密在郵件傳送和存儲過程中均提供保密性。252。 數(shù)據(jù)完整性：與數(shù)字簽名一樣，由于采用了使加密成為可能的特定操作，因此郵件加密提供了數(shù)據(jù)完整性服務(wù)。S/MIME通過數(shù)字證書實現(xiàn)郵件的加密和簽名。用于 S/MIME 的數(shù)字證書應(yīng)遵守國際電信同盟 (ITU) 標(biāo)準(zhǔn)。S/MIME 版本 3 明確要求數(shù)字證書應(yīng)遵守 的第 3 版。252。 數(shù)字證書用于數(shù)字簽名公鑰與用戶私鑰的關(guān)系使得收件人可以識別并驗證發(fā)件人的郵件。數(shù)字證書通過提供可靠的公鑰分發(fā)和訪問方式來提供對公鑰加密的支持。發(fā)件人對郵件進(jìn)行簽名時，將提供與數(shù)字證書上可用的公鑰關(guān)聯(lián)的私鑰。反過來，當(dāng)收件人驗證郵件上的數(shù)字簽名時，將從發(fā)件人的數(shù)字證書中獲取公鑰以執(zhí)行驗證。下面兩張圖描述了發(fā)件時的數(shù)字簽名和收件時的數(shù)字簽名識別。圖：數(shù)字證書以及電子郵件的數(shù)字簽名圖：數(shù)字證書以及驗證電子郵件的數(shù)字簽名252。 數(shù)字證書用于加密數(shù)字證書還通過使公鑰可用于加密過程來支持郵件加密。發(fā)件人可以訪問收件人的公鑰，這使得發(fā)件人可以加密郵件，從而確保只有收件人能夠解密該郵件。與數(shù)字簽名一樣，數(shù)字證書中的公鑰使得此操作成為可能。下面兩張圖顯示了使用數(shù)字證書的支持元素進(jìn)行加密的一系列活動。圖：數(shù)字證書以及電子郵件的加密圖：數(shù)字證書以及電子郵件的解密Exchange Server 2007 的郵件安全系統(tǒng)中，組成完整解決方案的是三項技術(shù)。它們是：252。 Exchange Server 2007252。 電子郵件客戶端252。 數(shù)字證書和PKI圖：組成基于 Exchange Server 2007 的郵件安全系統(tǒng)的技術(shù)Exchange Server 2007 主要與電子郵件客戶端交互，而電子郵件客戶端主要與 PKI 交互。組成整個系統(tǒng)需要全部三個部分，并且這三個部分需要協(xié)同工作。Exchange 通過其現(xiàn)有的功能來支持基于標(biāo)準(zhǔn)的郵件安全性。例如，Exchange Server 2007 通過當(dāng)前對電子郵件客戶端協(xié)議的支持來支持 S/MIME 電子郵件客戶端。對于任何電子郵件客戶端，只要它可以與 Exchange Server 2007 連接，并且還支持 S/MIME，便可用于實現(xiàn)郵件安全系統(tǒng)。 反垃圾郵件功能設(shè)計垃圾郵件發(fā)送者或惡意發(fā)件人使用多種技術(shù)向組織發(fā)送垃圾郵件。使用單一的工具或方法是無法排除所有垃圾郵件的。Microsoft Exchange Server 2007可以提供一種分層、多向和多面的途徑來減少垃圾郵件和病毒。Exchange Server 2007 包括多種反垃圾郵件功能，這些功能可以協(xié)同工作減少進(jìn)入組織的垃圾郵件。如果減少了進(jìn)入組織的垃圾郵件總量，就可以減少病毒爆發(fā)和惡意軟件攻擊的發(fā)生頻率。如果在安裝了邊緣傳輸服務(wù)器角色的計算機(jī)上排除了大批垃圾郵件，則在沿著郵件流路徑掃描郵件中的病毒和其他惡意軟件時，就可以節(jié)省很多處理資源、帶寬和存儲。減少垃圾郵件的分層途徑是指幾個按特定順序篩選入站郵件的反垃圾郵件及防病毒功能配置。每項功能均對入站郵件的特定特征或相關(guān)特征集進(jìn)行篩選。 Microsoft Exchange Server 2007 默認(rèn)提供的反垃圾郵件篩選器是按以下順序進(jìn)行應(yīng)用： l 連接篩選 連接篩選通過檢查正在試圖發(fā)送郵件的遠(yuǎn)程服務(wù)器的 IP 地址來確定對入站郵件執(zhí)行的操作。遠(yuǎn)程 IP 地址作為簡單郵件傳輸協(xié)議 (SMTP) 會話所需的基本 TCP/IP 連接的副產(chǎn)品可用于連接篩選器代理。連接篩選使用各種 IP 阻止列表、IP 允許列表、以及 IP 阻止提供程序服務(wù)或 IP 允許提供程序服務(wù)來確定在組織中應(yīng)當(dāng)阻止或允許來自特定 IP 的連接。l 發(fā)件人篩選 發(fā)件人篩選會將 MAIL FROM:SMTP 命令上的發(fā)件人與管理員定義的禁止向組織發(fā)送郵件的發(fā)件人或發(fā)件人域列表進(jìn)行比較，以確定對入站郵件執(zhí)行的操作。 l 收件人篩選 收件人篩選會將 RCPT TO: SMTP 命令上的郵件收件人與管理員定義的收件人阻止列表進(jìn)行比較。如果找到匹配項，則不允許郵件進(jìn)入組織。發(fā)件人篩選器還將入站郵件上的收件人與本地收件人目錄進(jìn)行比較，以確定郵件是否發(fā)往有效的收件人。如果郵件不是發(fā)往有效的收件人，則可以在組織的網(wǎng)絡(luò)外圍拒絕郵件。 l 發(fā)件人 ID 發(fā)件人 ID 依賴于發(fā)送服務(wù)器的 IP 地址和發(fā)件人的假設(shè)負(fù)責(zé)地址 (PRA) 來確定發(fā)件人是否具有欺騙性質(zhì)。l 內(nèi)容篩選 內(nèi)容篩選使用 Microsoft SmartScreen 技術(shù)來評估郵件的內(nèi)容。內(nèi)容篩選是 Exchange 內(nèi)容篩選的基本技術(shù)。內(nèi)容篩選是以 Microsoft Research 有專利權(quán)的機(jī)器學(xué)習(xí)技術(shù)為基礎(chǔ)的。在其開發(fā)期間，內(nèi)容篩選了解合法的電子郵件和垃圾郵件的明顯特征。使用 Microsoft 反垃圾郵件更新服務(wù)進(jìn)行定期更新可確保內(nèi)容篩選在運(yùn)行時始終包含最新信息。根據(jù)數(shù)百萬封郵件的特征，內(nèi)容篩選可以識別出合法郵件和垃圾郵件各自的明顯特征。內(nèi)容篩選可以準(zhǔn)確評估入站電子郵件是合法郵件還是垃圾郵件的概率。垃圾郵件隔離是內(nèi)容篩選器代理的一項功能，它可減少合法郵件因被錯誤地歸為垃圾郵件而丟失的風(fēng)險。垃圾郵件隔離為被標(biāo)識為垃圾郵件的郵件和不應(yīng)傳遞到組織內(nèi)用戶郵箱的郵件提供臨時的存儲位置。內(nèi)容篩選還具有安全列表聚合功能。安全列表聚合功能可以從 Microsoft Outlook 和 Office Outlook Web Access 用戶所配置的反垃圾郵件安全列表中收集數(shù)據(jù)，并將此數(shù)據(jù)提供給 Exchange Server 2007 中已安裝了邊緣傳輸服務(wù)器角色的計算機(jī)上的內(nèi)容篩選器代理。如果 Exchange 管理員啟用并正確配置安全列表聚合，則內(nèi)容篩選器代理會將安全的電子郵件傳遞到企業(yè)郵箱，而不進(jìn)行其他處理。內(nèi)容篩選器代理將 Outlook 用戶從聯(lián)系人處或從已被其添加到他們的 Outlook 安全發(fā)件人列表或者信任的發(fā)件人處接收的電子郵件標(biāo)識為安全郵件。其結(jié)果是不會將標(biāo)識為安全的郵件歸為垃圾郵件，也不會無意中從郵件系統(tǒng)中篩選掉。l 發(fā)件人信譽(yù) 發(fā)件人信譽(yù)依賴于有關(guān)發(fā)送服務(wù)器 IP 地址的持久數(shù)據(jù)來確定對入站郵件執(zhí)行的操作。協(xié)議分析代理是實現(xiàn)發(fā)件人信譽(yù)功能的基本代理。發(fā)件人信譽(yù)級別 (SRL) 是通過計算郵件分析和外部測試所產(chǎn)生的幾個發(fā)件人特征而得到的。SRL 超過可配置閥值的發(fā)件人將被暫時阻止。他們以后的所有連接都被拒絕，時間最長可達(dá) 48 小時。除了在本地計算的 IP 信譽(yù)，Exchange Server 2007 還利用 IP 信譽(yù)反垃圾郵件更新（可通過 Microsoft Update 使用），它提供有關(guān)已知發(fā)送垃圾郵件的 IP 地址的發(fā)件人信譽(yù)信息。l 附件篩選 附件篩選可以基于附件文件名、文件擴(kuò)展名或文件 MIME 內(nèi)容類型來篩選郵件?？梢耘渲酶郊Y選以實現(xiàn)如下目的：阻止郵件及其附件、剝除附件然后允許郵件通過、自動刪除郵件及其附件。Outlook 垃圾郵件篩選 Outlook 垃圾郵件篩選使用 尖端技術(shù)評估是否應(yīng)將郵件視為垃圾郵件，它根據(jù)幾個方面的因素進(jìn)行評估，如：發(fā)送郵件的時間、郵件的內(nèi)容和結(jié)構(gòu)以及由 Exchange Server 反垃圾郵件篩選器收集的元數(shù)據(jù)。篩選器捕獲到的郵件被移動到特殊的垃圾郵件文件夾，收件人可以在以后從此處訪問它們。l Microsoft 反垃圾郵件更新服務(wù) 目前，Exchange Server 2007 利用經(jīng)過證實的 Microsoft Update 基礎(chǔ)結(jié)構(gòu)提供附加服務(wù)來幫助保留最新的反垃圾郵件組件。 連接篩選連接篩選器代理依靠嘗試連接的遠(yuǎn)程服務(wù)器的 IP 地址來確定要對入站郵件執(zhí)行的操作。連接篩選器代理將發(fā)送郵件的服務(wù)器的 IP 地址與下列任何 IP 地址數(shù)據(jù)存儲進(jìn)行比較：l 管理員定義的 IP 允許列表和 IP 阻止列表l IP 阻止列表提供程序l IP 允許列表提供程序 發(fā)件人篩選發(fā)件人篩選器代理作用于來自組織外部特定發(fā)件人的郵件。邊緣傳輸服務(wù)器的管理員維護(hù)被阻止向組織發(fā)送郵件的發(fā)件人列表。作為管理員，可以阻止單個發(fā)件人 (kim@)、整個域 (*@.) 或域和所有子域 (*@*.)。還可以配置發(fā)件人篩選器代理在發(fā)現(xiàn)來自被阻止發(fā)件人的郵件時應(yīng)執(zhí)行的操作?？梢耘渲孟铝胁僮鳎簂 可以將發(fā)件人篩選器代理配置為拒絕出現(xiàn)554 發(fā)件人被拒絕SMTP 會話錯誤的 SMTP 請求并斷開連接。l 可以將發(fā)件人篩選器代理配置為接受郵件并更新郵件，以指示郵件來自被阻止的發(fā)件人。因為郵件來自被阻止的發(fā)件人并已作出相應(yīng)標(biāo)記，所以，內(nèi)容篩選器代理在計算垃圾郵件信任級別 (SCL) 時將使用此信息。 收件人篩選收件人篩選器代理根據(jù)組織內(nèi)預(yù)期收件人的特征來阻止郵件。在下列方案中的收件人篩選器代理有助于阻止郵件的接收：l 不存在的收件人 可以阻止向不在組織通訊簿中的收件人傳遞郵件。例如，可以阻止向常被誤用的帳戶名稱（如 administrator@ 或 support@）傳遞郵件。l 受限制的通訊組列表 可以阻止向僅由內(nèi)部用戶使用的通訊組列表傳遞 Internet 郵件。l 從不接收 Internet 郵件的郵箱 可以阻止向通常僅在組織內(nèi)部使用的特定郵箱或別名（例如 Helpdesk）傳遞 Internet 郵件。收件人篩選器代理對存儲在下列數(shù)據(jù)源之一或兩者中的收件人執(zhí)行操作：l 收件人阻止列表 由管理員定義的，從不接收 Internet 入站郵件的收件人列表。l 收件人查找 驗證收件人是否在組織內(nèi)。收件人查找需要訪問由 EdgeSync 提供給 Active Directory Application Mode (ADAM) 的 Active Directory 目錄服務(wù)信息。 發(fā)件人 ID 發(fā)件人 ID 主要用于阻止冒充發(fā)件人和域的行為，通常被稱為電子欺騙。欺騙郵件是這樣的電子郵件：其發(fā)送地址已被修改，使其看起來好像來自某個發(fā)件人，而實際上卻來自另一發(fā)件人。欺騙郵件通常包含一個發(fā)件人:地址，聲稱來自某個組織。過去，在 SMTP 會話（如 MAIL FROM:頭）和 RFC 822 郵件數(shù)據(jù)（如 From:Masato Kawai masato@）中欺騙發(fā)件人:地址都相對較為容易，這是因為系統(tǒng)不會對郵件頭進(jìn)行驗證。在 Exchange Server 2007 中，發(fā)件人 ID 將使欺騙更加難以實施。啟用發(fā)件人 ID 時，每個郵件都將在郵件的元數(shù)據(jù)中包含發(fā)件人 ID 狀態(tài)。接收電子郵件時，邊緣傳輸服務(wù)器將查詢發(fā)件人的 DNS 服務(wù)器，以驗證發(fā)送郵件的 IP 地址是否有權(quán)發(fā)送郵件頭中所指定的域的郵件。有權(quán)發(fā)送郵件的服務(wù)器的 IP 地址稱為假設(shè)負(fù)責(zé)地址 (PRA)。域管理員會在其 DNS 服務(wù)器上發(fā)布發(fā)送方策略框架 (SPF) 記錄。SPF 記錄可以標(biāo)識得到授權(quán)的出站電子郵件服務(wù)器。如果在發(fā)件人的 DNS 服務(wù)器上配置了 SPF 記錄，則邊緣傳輸服務(wù)器將分析該 SPF 記錄，并確定發(fā)送郵件的 IP 地址是否有權(quán)代表郵件中指定的域發(fā)送電子郵件。 內(nèi)容篩選 內(nèi)容篩選對入站電子郵件進(jìn)行評估，并估算出入站郵件是合法郵件或垃圾郵件的概率。與其他許多篩選技術(shù)不同，內(nèi)容篩選使用統(tǒng)計上重要的電子郵件樣本的特征。此樣本中包含合法郵件可以降低出錯的機(jī)率。由于內(nèi)容篩選既能識別合法郵件的特征，又能識別垃圾郵件的特征，因此準(zhǔn)確度得到了提高。 內(nèi)容篩選機(jī)器學(xué)習(xí)是一個不斷進(jìn)行的累積過程。通過 Microsoft Update 定期提供內(nèi)容篩選的更新。內(nèi)容篩選器代理為每封郵件分配垃圾郵件可信度 (SCL) 分級。SCL 分級是 0 到 9 之間的一個數(shù)字。SCL 分級越高，表明郵件越可能是垃圾郵件?？梢詫?nèi)容篩選器代理配置為根據(jù) SCL 分級對郵件執(zhí)行下列操作：l 刪除郵件l 拒絕郵件l 隔離郵件l 標(biāo)記為垃圾郵件例如，可以決定必須刪除 SCL 分級等于或高于 7 的郵件，必須拒絕 SCL 分級為 6 的郵件，必須隔離 SCL 分級為 5 的郵件。也可以通過為每項操作指定不同的 SCL 分級來調(diào)整 SCL 閾值行為。允許短語和阻止短語可以通過配置自定義單詞來自定義內(nèi)容篩選器代理如何分配 SCL 值。自定義單詞是內(nèi)容篩選器代理在應(yīng)用相應(yīng)篩選器處理時使用的單詞或短語。為允許短語配置經(jīng)過認(rèn)可的單詞或短語，為阻止短語配置未經(jīng)認(rèn)可的單詞或短語。當(dāng)內(nèi)容篩選器代理在入站郵件中檢測到預(yù)先配置的允許短語時，內(nèi)容篩選器代理將自動為該郵