【正文】 有法律意義的傳統(tǒng)簽名的數(shù)字形式。數(shù)字簽名提供下列安全功能：252。 身份驗(yàn)證：通過(guò)簽名來(lái)驗(yàn)證身份。它能夠?qū)⒃搶?shí)體與其他所有實(shí)體區(qū)分開(kāi)來(lái)，并證明它的唯一性，從而確認(rèn)“您是誰(shuí)”這個(gè)問(wèn)題的答案。由于 SMTP 電子郵件中不存在身份驗(yàn)證，因此無(wú)法知道實(shí)際上是誰(shuí)發(fā)送了郵件。數(shù)字簽名中的身份驗(yàn)證使收件人可以知道郵件是聲稱(chēng)已發(fā)送該郵件的那個(gè)人或組織發(fā)送的，從而解決了這一問(wèn)題。252。 認(rèn)可：簽名的唯一性可防止簽名的所有者否認(rèn)簽名。此功能稱(chēng)為“認(rèn)可”。因此，簽名所提供的身份驗(yàn)證提供了一種強(qiáng)制認(rèn)可的手段。由于 SMTP 電子郵件不提供身份驗(yàn)證手段，因此無(wú)法提供認(rèn)可功能。發(fā)件人很容易否認(rèn)自己是某個(gè) SMTP 電子郵件的所有者。 252。 數(shù)據(jù)完整性：數(shù)據(jù)完整性是使數(shù)字簽名成為可能的特定操作的結(jié)果。有了數(shù)據(jù)完整性服務(wù)，當(dāng)經(jīng)過(guò)數(shù)字簽名的電子郵件的收件人驗(yàn)證數(shù)字簽名時(shí)，他們可以確信所收到的電子郵件確實(shí)是被簽名并發(fā)送出來(lái)的那個(gè)郵件，并且在傳送過(guò)程中未發(fā)生改變。如果郵件在簽名后的傳送過(guò)程中發(fā)生了任何改變，該簽名將無(wú)效。這樣，數(shù)字簽名便能夠提供書(shū)面簽名所無(wú)法提供的保證功能，因?yàn)闀?shū)面文檔在經(jīng)過(guò)簽名后可能被改變。郵件加密提供了針對(duì)信息泄露的解決方案?；?SMTP 的 Internet 電子郵件并不確保郵件的安全性。SMTP Internet 電子郵件可能被在發(fā)送過(guò)程中看到它或在所存儲(chǔ)的位置查看到它的任何人閱讀。加密是一種更改信息的方式，它使信息在重新變?yōu)榭勺x或可理解的形式之前無(wú)法閱讀或理解。郵件加密提供兩種特定的安全服務(wù)：252。 保密性：郵件加密用來(lái)保護(hù)電子郵件的內(nèi)容。只有預(yù)期的收件人能夠查看該內(nèi)容，因而該內(nèi)容是保密的，不會(huì)被可能收到或查看到該郵件的其他任何人知道。加密在郵件傳送和存儲(chǔ)過(guò)程中均提供保密性。252。 數(shù)據(jù)完整性：與數(shù)字簽名一樣，由于采用了使加密成為可能的特定操作，因此郵件加密提供了數(shù)據(jù)完整性服務(wù)。S/MIME通過(guò)數(shù)字證書(shū)實(shí)現(xiàn)郵件的加密和簽名。用于 S/MIME 的數(shù)字證書(shū)應(yīng)遵守國(guó)際電信同盟 (ITU) 標(biāo)準(zhǔn)。S/MIME 版本 3 明確要求數(shù)字證書(shū)應(yīng)遵守 的第 3 版。252。 數(shù)字證書(shū)用于數(shù)字簽名公鑰與用戶私鑰的關(guān)系使得收件人可以識(shí)別并驗(yàn)證發(fā)件人的郵件。數(shù)字證書(shū)通過(guò)提供可靠的公鑰分發(fā)和訪問(wèn)方式來(lái)提供對(duì)公鑰加密的支持。發(fā)件人對(duì)郵件進(jìn)行簽名時(shí)，將提供與數(shù)字證書(shū)上可用的公鑰關(guān)聯(lián)的私鑰。反過(guò)來(lái)，當(dāng)收件人驗(yàn)證郵件上的數(shù)字簽名時(shí)，將從發(fā)件人的數(shù)字證書(shū)中獲取公鑰以執(zhí)行驗(yàn)證。下面兩張圖描述了發(fā)件時(shí)的數(shù)字簽名和收件時(shí)的數(shù)字簽名識(shí)別。圖：數(shù)字證書(shū)以及電子郵件的數(shù)字簽名圖：數(shù)字證書(shū)以及驗(yàn)證電子郵件的數(shù)字簽名252。 數(shù)字證書(shū)用于加密數(shù)字證書(shū)還通過(guò)使公鑰可用于加密過(guò)程來(lái)支持郵件加密。發(fā)件人可以訪問(wèn)收件人的公鑰，這使得發(fā)件人可以加密郵件，從而確保只有收件人能夠解密該郵件。與數(shù)字簽名一樣，數(shù)字證書(shū)中的公鑰使得此操作成為可能。下面兩張圖顯示了使用數(shù)字證書(shū)的支持元素進(jìn)行加密的一系列活動(dòng)。圖：數(shù)字證書(shū)以及電子郵件的加密圖：數(shù)字證書(shū)以及電子郵件的解密Exchange Server 2007 的郵件安全系統(tǒng)中，組成完整解決方案的是三項(xiàng)技術(shù)。它們是：252。 Exchange Server 2007252。 電子郵件客戶端252。 數(shù)字證書(shū)和PKI圖：組成基于 Exchange Server 2007 的郵件安全系統(tǒng)的技術(shù)Exchange Server 2007 主要與電子郵件客戶端交互，而電子郵件客戶端主要與 PKI 交互。組成整個(gè)系統(tǒng)需要全部三個(gè)部分，并且這三個(gè)部分需要協(xié)同工作。Exchange 通過(guò)其現(xiàn)有的功能來(lái)支持基于標(biāo)準(zhǔn)的郵件安全性。例如，Exchange Server 2007 通過(guò)當(dāng)前對(duì)電子郵件客戶端協(xié)議的支持來(lái)支持 S/MIME 電子郵件客戶端。對(duì)于任何電子郵件客戶端，只要它可以與 Exchange Server 2007 連接，并且還支持 S/MIME，便可用于實(shí)現(xiàn)郵件安全系統(tǒng)。 反垃圾郵件功能設(shè)計(jì)垃圾郵件發(fā)送者或惡意發(fā)件人使用多種技術(shù)向組織發(fā)送垃圾郵件。使用單一的工具或方法是無(wú)法排除所有垃圾郵件的。Microsoft Exchange Server 2007可以提供一種分層、多向和多面的途徑來(lái)減少垃圾郵件和病毒。Exchange Server 2007 包括多種反垃圾郵件功能，這些功能可以協(xié)同工作減少進(jìn)入組織的垃圾郵件。如果減少了進(jìn)入組織的垃圾郵件總量，就可以減少病毒爆發(fā)和惡意軟件攻擊的發(fā)生頻率。如果在安裝了邊緣傳輸服務(wù)器角色的計(jì)算機(jī)上排除了大批垃圾郵件，則在沿著郵件流路徑掃描郵件中的病毒和其他惡意軟件時(shí)，就可以節(jié)省很多處理資源、帶寬和存儲(chǔ)。減少垃圾郵件的分層途徑是指幾個(gè)按特定順序篩選入站郵件的反垃圾郵件及防病毒功能配置。每項(xiàng)功能均對(duì)入站郵件的特定特征或相關(guān)特征集進(jìn)行篩選。 Microsoft Exchange Server 2007 默認(rèn)提供的反垃圾郵件篩選器是按以下順序進(jìn)行應(yīng)用： l 連接篩選 連接篩選通過(guò)檢查正在試圖發(fā)送郵件的遠(yuǎn)程服務(wù)器的 IP 地址來(lái)確定對(duì)入站郵件執(zhí)行的操作。遠(yuǎn)程 IP 地址作為簡(jiǎn)單郵件傳輸協(xié)議 (SMTP) 會(huì)話所需的基本 TCP/IP 連接的副產(chǎn)品可用于連接篩選器代理。連接篩選使用各種 IP 阻止列表、IP 允許列表、以及 IP 阻止提供程序服務(wù)或 IP 允許提供程序服務(wù)來(lái)確定在組織中應(yīng)當(dāng)阻止或允許來(lái)自特定 IP 的連接。l 發(fā)件人篩選 發(fā)件人篩選會(huì)將 MAIL FROM:SMTP 命令上的發(fā)件人與管理員定義的禁止向組織發(fā)送郵件的發(fā)件人或發(fā)件人域列表進(jìn)行比較，以確定對(duì)入站郵件執(zhí)行的操作。 l 收件人篩選 收件人篩選會(huì)將 RCPT TO: SMTP 命令上的郵件收件人與管理員定義的收件人阻止列表進(jìn)行比較。如果找到匹配項(xiàng)，則不允許郵件進(jìn)入組織。發(fā)件人篩選器還將入站郵件上的收件人與本地收件人目錄進(jìn)行比較，以確定郵件是否發(fā)往有效的收件人。如果郵件不是發(fā)往有效的收件人，則可以在組織的網(wǎng)絡(luò)外圍拒絕郵件。 l 發(fā)件人 ID 發(fā)件人 ID 依賴于發(fā)送服務(wù)器的 IP 地址和發(fā)件人的假設(shè)負(fù)責(zé)地址 (PRA) 來(lái)確定發(fā)件人是否具有欺騙性質(zhì)。l 內(nèi)容篩選 內(nèi)容篩選使用 Microsoft SmartScreen 技術(shù)來(lái)評(píng)估郵件的內(nèi)容。內(nèi)容篩選是 Exchange 內(nèi)容篩選的基本技術(shù)。內(nèi)容篩選是以 Microsoft Research 有專(zhuān)利權(quán)的機(jī)器學(xué)習(xí)技術(shù)為基礎(chǔ)的。在其開(kāi)發(fā)期間，內(nèi)容篩選了解合法的電子郵件和垃圾郵件的明顯特征。使用 Microsoft 反垃圾郵件更新服務(wù)進(jìn)行定期更新可確保內(nèi)容篩選在運(yùn)行時(shí)始終包含最新信息。根據(jù)數(shù)百萬(wàn)封郵件的特征，內(nèi)容篩選可以識(shí)別出合法郵件和垃圾郵件各自的明顯特征。內(nèi)容篩選可以準(zhǔn)確評(píng)估入站電子郵件是合法郵件還是垃圾郵件的概率。垃圾郵件隔離是內(nèi)容篩選器代理的一項(xiàng)功能，它可減少合法郵件因被錯(cuò)誤地歸為垃圾郵件而丟失的風(fēng)險(xiǎn)。垃圾郵件隔離為被標(biāo)識(shí)為垃圾郵件的郵件和不應(yīng)傳遞到組織內(nèi)用戶郵箱的郵件提供臨時(shí)的存儲(chǔ)位置。內(nèi)容篩選還具有安全列表聚合功能。安全列表聚合功能可以從 Microsoft Outlook 和 Office Outlook Web Access 用戶所配置的反垃圾郵件安全列表中收集數(shù)據(jù)，并將此數(shù)據(jù)提供給 Exchange Server 2007 中已安裝了邊緣傳輸服務(wù)器角色的計(jì)算機(jī)上的內(nèi)容篩選器代理。如果 Exchange 管理員啟用并正確配置安全列表聚合，則內(nèi)容篩選器代理會(huì)將安全的電子郵件傳遞到企業(yè)郵箱，而不進(jìn)行其他處理。內(nèi)容篩選器代理將 Outlook 用戶從聯(lián)系人處或從已被其添加到他們的 Outlook 安全發(fā)件人列表或者信任的發(fā)件人處接收的電子郵件標(biāo)識(shí)為安全郵件。其結(jié)果是不會(huì)將標(biāo)識(shí)為安全的郵件歸為垃圾郵件，也不會(huì)無(wú)意中從郵件系統(tǒng)中篩選掉。l 發(fā)件人信譽(yù) 發(fā)件人信譽(yù)依賴于有關(guān)發(fā)送服務(wù)器 IP 地址的持久數(shù)據(jù)來(lái)確定對(duì)入站郵件執(zhí)行的操作。協(xié)議分析代理是實(shí)現(xiàn)發(fā)件人信譽(yù)功能的基本代理。發(fā)件人信譽(yù)級(jí)別 (SRL) 是通過(guò)計(jì)算郵件分析和外部測(cè)試所產(chǎn)生的幾個(gè)發(fā)件人特征而得到的。SRL 超過(guò)可配置閥值的發(fā)件人將被暫時(shí)阻止。他們以后的所有連接都被拒絕，時(shí)間最長(zhǎng)可達(dá) 48 小時(shí)。除了在本地計(jì)算的 IP 信譽(yù)，Exchange Server 2007 還利用 IP 信譽(yù)反垃圾郵件更新（可通過(guò) Microsoft Update 使用），它提供有關(guān)已知發(fā)送垃圾郵件的 IP 地址的發(fā)件人信譽(yù)信息。l 附件篩選 附件篩選可以基于附件文件名、文件擴(kuò)展名或文件 MIME 內(nèi)容類(lèi)型來(lái)篩選郵件?？梢耘渲酶郊Y選以實(shí)現(xiàn)如下目的：阻止郵件及其附件、剝除附件然后允許郵件通過(guò)、自動(dòng)刪除郵件及其附件。Outlook 垃圾郵件篩選 Outlook 垃圾郵件篩選使用 尖端技術(shù)評(píng)估是否應(yīng)將郵件視為垃圾郵件，它根據(jù)幾個(gè)方面的因素進(jìn)行評(píng)估，如：發(fā)送郵件的時(shí)間、郵件的內(nèi)容和結(jié)構(gòu)以及由 Exchange Server 反垃圾郵件篩選器收集的元數(shù)據(jù)。篩選器捕獲到的郵件被移動(dòng)到特殊的垃圾郵件文件夾，收件人可以在以后從此處訪問(wèn)它們。l Microsoft 反垃圾郵件更新服務(wù) 目前，Exchange Server 2007 利用經(jīng)過(guò)證實(shí)的 Microsoft Update 基礎(chǔ)結(jié)構(gòu)提供附加服務(wù)來(lái)幫助保留最新的反垃圾郵件組件。 連接篩選連接篩選器代理依靠嘗試連接的遠(yuǎn)程服務(wù)器的 IP 地址來(lái)確定要對(duì)入站郵件執(zhí)行的操作。連接篩選器代理將發(fā)送郵件的服務(wù)器的 IP 地址與下列任何 IP 地址數(shù)據(jù)存儲(chǔ)進(jìn)行比較：l 管理員定義的 IP 允許列表和 IP 阻止列表l IP 阻止列表提供程序l IP 允許列表提供程序 發(fā)件人篩選發(fā)件人篩選器代理作用于來(lái)自組織外部特定發(fā)件人的郵件。邊緣傳輸服務(wù)器的管理員維護(hù)被阻止向組織發(fā)送郵件的發(fā)件人列表。作為管理員，可以阻止單個(gè)發(fā)件人 (kim@)、整個(gè)域 (*@.) 或域和所有子域 (*@*.)。還可以配置發(fā)件人篩選器代理在發(fā)現(xiàn)來(lái)自被阻止發(fā)件人的郵件時(shí)應(yīng)執(zhí)行的操作?？梢耘渲孟铝胁僮鳎簂 可以將發(fā)件人篩選器代理配置為拒絕出現(xiàn)554 發(fā)件人被拒絕SMTP 會(huì)話錯(cuò)誤的 SMTP 請(qǐng)求并斷開(kāi)連接。l 可以將發(fā)件人篩選器代理配置為接受郵件并更新郵件，以指示郵件來(lái)自被阻止的發(fā)件人。因?yàn)猷]件來(lái)自被阻止的發(fā)件人并已作出相應(yīng)標(biāo)記，所以，內(nèi)容篩選器代理在計(jì)算垃圾郵件信任級(jí)別 (SCL) 時(shí)將使用此信息。 收件人篩選收件人篩選器代理根據(jù)組織內(nèi)預(yù)期收件人的特征來(lái)阻止郵件。在下列方案中的收件人篩選器代理有助于阻止郵件的接收：l 不存在的收件人 可以阻止向不在組織通訊簿中的收件人傳遞郵件。例如，可以阻止向常被誤用的帳戶名稱(chēng)（如 administrator@ 或 support@）傳遞郵件。l 受限制的通訊組列表 可以阻止向僅由內(nèi)部用戶使用的通訊組列表傳遞 Internet 郵件。l 從不接收 Internet 郵件的郵箱 可以阻止向通常僅在組織內(nèi)部使用的特定郵箱或別名（例如 Helpdesk）傳遞 Internet 郵件。收件人篩選器代理對(duì)存儲(chǔ)在下列數(shù)據(jù)源之一或兩者中的收件人執(zhí)行操作：l 收件人阻止列表 由管理員定義的，從不接收 Internet 入站郵件的收件人列表。l 收件人查找 驗(yàn)證收件人是否在組織內(nèi)。收件人查找需要訪問(wèn)由 EdgeSync 提供給 Active Directory Application Mode (ADAM) 的 Active Directory 目錄服務(wù)信息。 發(fā)件人 ID 發(fā)件人 ID 主要用于阻止冒充發(fā)件人和域的行為，通常被稱(chēng)為電子欺騙。欺騙郵件是這樣的電子郵件：其發(fā)送地址已被修改，使其看起來(lái)好像來(lái)自某個(gè)發(fā)件人，而實(shí)際上卻來(lái)自另一發(fā)件人。欺騙郵件通常包含一個(gè)發(fā)件人:地址，聲稱(chēng)來(lái)自某個(gè)組織。過(guò)去，在 SMTP 會(huì)話（如 MAIL FROM:頭）和 RFC 822 郵件數(shù)據(jù)（如 From:Masato Kawai masato@）中欺騙發(fā)件人:地址都相對(duì)較為容易，這是因?yàn)橄到y(tǒng)不會(huì)對(duì)郵件頭進(jìn)行驗(yàn)證。在 Exchange Server 2007 中，發(fā)件人 ID 將使欺騙更加難以實(shí)施。啟用發(fā)件人 ID 時(shí)，每個(gè)郵件都將在郵件的元數(shù)據(jù)中包含發(fā)件人 ID 狀態(tài)。接收電子郵件時(shí)，邊緣傳輸服務(wù)器將查詢發(fā)件人的 DNS 服務(wù)器，以驗(yàn)證發(fā)送郵件的 IP 地址是否有權(quán)發(fā)送郵件頭中所指定的域的郵件。有權(quán)發(fā)送郵件的服務(wù)器的 IP 地址稱(chēng)為假設(shè)負(fù)責(zé)地址 (PRA)。域管理員會(huì)在其 DNS 服務(wù)器上發(fā)布發(fā)送方策略框架 (SPF) 記錄。SPF 記錄可以標(biāo)識(shí)得到授權(quán)的出站電子郵件服務(wù)器。如果在發(fā)件人的 DNS 服務(wù)器上配置了 SPF 記錄，則邊緣傳輸服務(wù)器將分析該 SPF 記錄，并確定發(fā)送郵件的 IP 地址是否有權(quán)代表郵件中指定的域發(fā)送電子郵件。 內(nèi)容篩選 內(nèi)容篩選對(duì)入站電子郵件進(jìn)行評(píng)估，并估算出入站郵件是合法郵件或垃圾郵件的概率。與其他許多篩選技術(shù)不同，內(nèi)容篩選使用統(tǒng)計(jì)上重要的電子郵件樣本的特征。此樣本中包含合法郵件可以降低出錯(cuò)的機(jī)率。由于內(nèi)容篩選既能識(shí)別合法郵件的特征，又能識(shí)別垃圾郵件的特征，因此準(zhǔn)確度得到了提高。 內(nèi)容篩選機(jī)器學(xué)習(xí)是一個(gè)不斷進(jìn)行的累積過(guò)程。通過(guò) Microsoft Update 定期提供內(nèi)容篩選的更新。內(nèi)容篩選器代理為每封郵件分配垃圾郵件可信度 (SCL) 分級(jí)。SCL 分級(jí)是 0 到 9 之間的一個(gè)數(shù)字。SCL 分級(jí)越高，表明郵件越可能是垃圾郵件。可以將內(nèi)容篩選器代理配置為根據(jù) SCL 分級(jí)對(duì)郵件執(zhí)行下列操作：l 刪除郵件l 拒絕郵件l 隔離郵件l 標(biāo)記為垃圾郵件例如，可以決定必須刪除 SCL 分級(jí)等于或高于 7 的郵件，必須拒絕 SCL 分級(jí)為 6 的郵件，必須隔離 SCL 分級(jí)為 5 的郵件。也可以通過(guò)為每項(xiàng)操作指定不同的 SCL 分級(jí)來(lái)調(diào)整 SCL 閾值行為。允許短語(yǔ)和阻止短語(yǔ)可以通過(guò)配置自定義單詞來(lái)自定義內(nèi)容篩選器代理如何分配 SCL 值。自定義單詞是內(nèi)容篩選器代理在應(yīng)用相應(yīng)篩選器處理時(shí)使用的單詞或短語(yǔ)。為允許短語(yǔ)配置經(jīng)過(guò)認(rèn)可的單詞或短語(yǔ)，為阻止短語(yǔ)配置未經(jīng)認(rèn)可的單詞或短語(yǔ)。當(dāng)內(nèi)容篩選器代理在入站郵件中檢測(cè)到預(yù)先配置的允許短語(yǔ)時(shí)，內(nèi)容篩選器代理將自動(dòng)為該郵