【正文】 有法律意義的傳統(tǒng)簽名的數字形式。數字簽名提供下列安全功能：252。 身份驗證：通過簽名來驗證身份。它能夠將該實體與其他所有實體區(qū)分開來，并證明它的唯一性，從而確認“您是誰”這個問題的答案。由于 SMTP 電子郵件中不存在身份驗證，因此無法知道實際上是誰發(fā)送了郵件。數字簽名中的身份驗證使收件人可以知道郵件是聲稱已發(fā)送該郵件的那個人或組織發(fā)送的，從而解決了這一問題。252。 認可：簽名的唯一性可防止簽名的所有者否認簽名。此功能稱為“認可”。因此，簽名所提供的身份驗證提供了一種強制認可的手段。由于 SMTP 電子郵件不提供身份驗證手段，因此無法提供認可功能。發(fā)件人很容易否認自己是某個 SMTP 電子郵件的所有者。 252。 數據完整性：數據完整性是使數字簽名成為可能的特定操作的結果。有了數據完整性服務，當經過數字簽名的電子郵件的收件人驗證數字簽名時，他們可以確信所收到的電子郵件確實是被簽名并發(fā)送出來的那個郵件，并且在傳送過程中未發(fā)生改變。如果郵件在簽名后的傳送過程中發(fā)生了任何改變，該簽名將無效。這樣，數字簽名便能夠提供書面簽名所無法提供的保證功能，因為書面文檔在經過簽名后可能被改變。郵件加密提供了針對信息泄露的解決方案?；?SMTP 的 Internet 電子郵件并不確保郵件的安全性。SMTP Internet 電子郵件可能被在發(fā)送過程中看到它或在所存儲的位置查看到它的任何人閱讀。加密是一種更改信息的方式，它使信息在重新變?yōu)榭勺x或可理解的形式之前無法閱讀或理解。郵件加密提供兩種特定的安全服務：252。 保密性：郵件加密用來保護電子郵件的內容。只有預期的收件人能夠查看該內容，因而該內容是保密的，不會被可能收到或查看到該郵件的其他任何人知道。加密在郵件傳送和存儲過程中均提供保密性。252。 數據完整性：與數字簽名一樣，由于采用了使加密成為可能的特定操作，因此郵件加密提供了數據完整性服務。S/MIME通過數字證書實現郵件的加密和簽名。用于 S/MIME 的數字證書應遵守國際電信同盟 (ITU) 標準。S/MIME 版本 3 明確要求數字證書應遵守 的第 3 版。252。 數字證書用于數字簽名公鑰與用戶私鑰的關系使得收件人可以識別并驗證發(fā)件人的郵件。數字證書通過提供可靠的公鑰分發(fā)和訪問方式來提供對公鑰加密的支持。發(fā)件人對郵件進行簽名時，將提供與數字證書上可用的公鑰關聯(lián)的私鑰。反過來，當收件人驗證郵件上的數字簽名時，將從發(fā)件人的數字證書中獲取公鑰以執(zhí)行驗證。下面兩張圖描述了發(fā)件時的數字簽名和收件時的數字簽名識別。圖：數字證書以及電子郵件的數字簽名圖：數字證書以及驗證電子郵件的數字簽名252。 數字證書用于加密數字證書還通過使公鑰可用于加密過程來支持郵件加密。發(fā)件人可以訪問收件人的公鑰，這使得發(fā)件人可以加密郵件，從而確保只有收件人能夠解密該郵件。與數字簽名一樣，數字證書中的公鑰使得此操作成為可能。下面兩張圖顯示了使用數字證書的支持元素進行加密的一系列活動。圖：數字證書以及電子郵件的加密圖：數字證書以及電子郵件的解密Exchange Server 2007 的郵件安全系統(tǒng)中，組成完整解決方案的是三項技術。它們是：252。 Exchange Server 2007252。 電子郵件客戶端252。 數字證書和PKI圖：組成基于 Exchange Server 2007 的郵件安全系統(tǒng)的技術Exchange Server 2007 主要與電子郵件客戶端交互，而電子郵件客戶端主要與 PKI 交互。組成整個系統(tǒng)需要全部三個部分，并且這三個部分需要協(xié)同工作。Exchange 通過其現有的功能來支持基于標準的郵件安全性。例如，Exchange Server 2007 通過當前對電子郵件客戶端協(xié)議的支持來支持 S/MIME 電子郵件客戶端。對于任何電子郵件客戶端，只要它可以與 Exchange Server 2007 連接，并且還支持 S/MIME，便可用于實現郵件安全系統(tǒng)。 反垃圾郵件功能設計垃圾郵件發(fā)送者或惡意發(fā)件人使用多種技術向組織發(fā)送垃圾郵件。使用單一的工具或方法是無法排除所有垃圾郵件的。Microsoft Exchange Server 2007可以提供一種分層、多向和多面的途徑來減少垃圾郵件和病毒。Exchange Server 2007 包括多種反垃圾郵件功能，這些功能可以協(xié)同工作減少進入組織的垃圾郵件。如果減少了進入組織的垃圾郵件總量，就可以減少病毒爆發(fā)和惡意軟件攻擊的發(fā)生頻率。如果在安裝了邊緣傳輸服務器角色的計算機上排除了大批垃圾郵件，則在沿著郵件流路徑掃描郵件中的病毒和其他惡意軟件時，就可以節(jié)省很多處理資源、帶寬和存儲。減少垃圾郵件的分層途徑是指幾個按特定順序篩選入站郵件的反垃圾郵件及防病毒功能配置。每項功能均對入站郵件的特定特征或相關特征集進行篩選。 Microsoft Exchange Server 2007 默認提供的反垃圾郵件篩選器是按以下順序進行應用： l 連接篩選 連接篩選通過檢查正在試圖發(fā)送郵件的遠程服務器的 IP 地址來確定對入站郵件執(zhí)行的操作。遠程 IP 地址作為簡單郵件傳輸協(xié)議 (SMTP) 會話所需的基本 TCP/IP 連接的副產品可用于連接篩選器代理。連接篩選使用各種 IP 阻止列表、IP 允許列表、以及 IP 阻止提供程序服務或 IP 允許提供程序服務來確定在組織中應當阻止或允許來自特定 IP 的連接。l 發(fā)件人篩選 發(fā)件人篩選會將 MAIL FROM:SMTP 命令上的發(fā)件人與管理員定義的禁止向組織發(fā)送郵件的發(fā)件人或發(fā)件人域列表進行比較，以確定對入站郵件執(zhí)行的操作。 l 收件人篩選 收件人篩選會將 RCPT TO: SMTP 命令上的郵件收件人與管理員定義的收件人阻止列表進行比較。如果找到匹配項，則不允許郵件進入組織。發(fā)件人篩選器還將入站郵件上的收件人與本地收件人目錄進行比較，以確定郵件是否發(fā)往有效的收件人。如果郵件不是發(fā)往有效的收件人，則可以在組織的網絡外圍拒絕郵件。 l 發(fā)件人 ID 發(fā)件人 ID 依賴于發(fā)送服務器的 IP 地址和發(fā)件人的假設負責地址 (PRA) 來確定發(fā)件人是否具有欺騙性質。l 內容篩選 內容篩選使用 Microsoft SmartScreen 技術來評估郵件的內容。內容篩選是 Exchange 內容篩選的基本技術。內容篩選是以 Microsoft Research 有專利權的機器學習技術為基礎的。在其開發(fā)期間，內容篩選了解合法的電子郵件和垃圾郵件的明顯特征。使用 Microsoft 反垃圾郵件更新服務進行定期更新可確保內容篩選在運行時始終包含最新信息。根據數百萬封郵件的特征，內容篩選可以識別出合法郵件和垃圾郵件各自的明顯特征。內容篩選可以準確評估入站電子郵件是合法郵件還是垃圾郵件的概率。垃圾郵件隔離是內容篩選器代理的一項功能，它可減少合法郵件因被錯誤地歸為垃圾郵件而丟失的風險。垃圾郵件隔離為被標識為垃圾郵件的郵件和不應傳遞到組織內用戶郵箱的郵件提供臨時的存儲位置。內容篩選還具有安全列表聚合功能。安全列表聚合功能可以從 Microsoft Outlook 和 Office Outlook Web Access 用戶所配置的反垃圾郵件安全列表中收集數據，并將此數據提供給 Exchange Server 2007 中已安裝了邊緣傳輸服務器角色的計算機上的內容篩選器代理。如果 Exchange 管理員啟用并正確配置安全列表聚合，則內容篩選器代理會將安全的電子郵件傳遞到企業(yè)郵箱，而不進行其他處理。內容篩選器代理將 Outlook 用戶從聯(lián)系人處或從已被其添加到他們的 Outlook 安全發(fā)件人列表或者信任的發(fā)件人處接收的電子郵件標識為安全郵件。其結果是不會將標識為安全的郵件歸為垃圾郵件，也不會無意中從郵件系統(tǒng)中篩選掉。l 發(fā)件人信譽 發(fā)件人信譽依賴于有關發(fā)送服務器 IP 地址的持久數據來確定對入站郵件執(zhí)行的操作。協(xié)議分析代理是實現發(fā)件人信譽功能的基本代理。發(fā)件人信譽級別 (SRL) 是通過計算郵件分析和外部測試所產生的幾個發(fā)件人特征而得到的。SRL 超過可配置閥值的發(fā)件人將被暫時阻止。他們以后的所有連接都被拒絕，時間最長可達 48 小時。除了在本地計算的 IP 信譽，Exchange Server 2007 還利用 IP 信譽反垃圾郵件更新（可通過 Microsoft Update 使用），它提供有關已知發(fā)送垃圾郵件的 IP 地址的發(fā)件人信譽信息。l 附件篩選 附件篩選可以基于附件文件名、文件擴展名或文件 MIME 內容類型來篩選郵件?？梢耘渲酶郊Y選以實現如下目的：阻止郵件及其附件、剝除附件然后允許郵件通過、自動刪除郵件及其附件。Outlook 垃圾郵件篩選 Outlook 垃圾郵件篩選使用 尖端技術評估是否應將郵件視為垃圾郵件，它根據幾個方面的因素進行評估，如：發(fā)送郵件的時間、郵件的內容和結構以及由 Exchange Server 反垃圾郵件篩選器收集的元數據。篩選器捕獲到的郵件被移動到特殊的垃圾郵件文件夾，收件人可以在以后從此處訪問它們。l Microsoft 反垃圾郵件更新服務 目前，Exchange Server 2007 利用經過證實的 Microsoft Update 基礎結構提供附加服務來幫助保留最新的反垃圾郵件組件。 連接篩選連接篩選器代理依靠嘗試連接的遠程服務器的 IP 地址來確定要對入站郵件執(zhí)行的操作。連接篩選器代理將發(fā)送郵件的服務器的 IP 地址與下列任何 IP 地址數據存儲進行比較：l 管理員定義的 IP 允許列表和 IP 阻止列表l IP 阻止列表提供程序l IP 允許列表提供程序 發(fā)件人篩選發(fā)件人篩選器代理作用于來自組織外部特定發(fā)件人的郵件。邊緣傳輸服務器的管理員維護被阻止向組織發(fā)送郵件的發(fā)件人列表。作為管理員，可以阻止單個發(fā)件人 (kim@)、整個域 (*@.) 或域和所有子域 (*@*.)。還可以配置發(fā)件人篩選器代理在發(fā)現來自被阻止發(fā)件人的郵件時應執(zhí)行的操作?？梢耘渲孟铝胁僮鳎簂 可以將發(fā)件人篩選器代理配置為拒絕出現554 發(fā)件人被拒絕SMTP 會話錯誤的 SMTP 請求并斷開連接。l 可以將發(fā)件人篩選器代理配置為接受郵件并更新郵件，以指示郵件來自被阻止的發(fā)件人。因為郵件來自被阻止的發(fā)件人并已作出相應標記，所以，內容篩選器代理在計算垃圾郵件信任級別 (SCL) 時將使用此信息。 收件人篩選收件人篩選器代理根據組織內預期收件人的特征來阻止郵件。在下列方案中的收件人篩選器代理有助于阻止郵件的接收：l 不存在的收件人 可以阻止向不在組織通訊簿中的收件人傳遞郵件。例如，可以阻止向常被誤用的帳戶名稱（如 administrator@ 或 support@）傳遞郵件。l 受限制的通訊組列表 可以阻止向僅由內部用戶使用的通訊組列表傳遞 Internet 郵件。l 從不接收 Internet 郵件的郵箱 可以阻止向通常僅在組織內部使用的特定郵箱或別名（例如 Helpdesk）傳遞 Internet 郵件。收件人篩選器代理對存儲在下列數據源之一或兩者中的收件人執(zhí)行操作：l 收件人阻止列表 由管理員定義的，從不接收 Internet 入站郵件的收件人列表。l 收件人查找 驗證收件人是否在組織內。收件人查找需要訪問由 EdgeSync 提供給 Active Directory Application Mode (ADAM) 的 Active Directory 目錄服務信息。 發(fā)件人 ID 發(fā)件人 ID 主要用于阻止冒充發(fā)件人和域的行為，通常被稱為電子欺騙。欺騙郵件是這樣的電子郵件：其發(fā)送地址已被修改，使其看起來好像來自某個發(fā)件人，而實際上卻來自另一發(fā)件人。欺騙郵件通常包含一個發(fā)件人:地址，聲稱來自某個組織。過去，在 SMTP 會話（如 MAIL FROM:頭）和 RFC 822 郵件數據（如 From:Masato Kawai masato@）中欺騙發(fā)件人:地址都相對較為容易，這是因為系統(tǒng)不會對郵件頭進行驗證。在 Exchange Server 2007 中，發(fā)件人 ID 將使欺騙更加難以實施。啟用發(fā)件人 ID 時，每個郵件都將在郵件的元數據中包含發(fā)件人 ID 狀態(tài)。接收電子郵件時，邊緣傳輸服務器將查詢發(fā)件人的 DNS 服務器，以驗證發(fā)送郵件的 IP 地址是否有權發(fā)送郵件頭中所指定的域的郵件。有權發(fā)送郵件的服務器的 IP 地址稱為假設負責地址 (PRA)。域管理員會在其 DNS 服務器上發(fā)布發(fā)送方策略框架 (SPF) 記錄。SPF 記錄可以標識得到授權的出站電子郵件服務器。如果在發(fā)件人的 DNS 服務器上配置了 SPF 記錄，則邊緣傳輸服務器將分析該 SPF 記錄，并確定發(fā)送郵件的 IP 地址是否有權代表郵件中指定的域發(fā)送電子郵件。 內容篩選 內容篩選對入站電子郵件進行評估，并估算出入站郵件是合法郵件或垃圾郵件的概率。與其他許多篩選技術不同，內容篩選使用統(tǒng)計上重要的電子郵件樣本的特征。此樣本中包含合法郵件可以降低出錯的機率。由于內容篩選既能識別合法郵件的特征，又能識別垃圾郵件的特征，因此準確度得到了提高。 內容篩選機器學習是一個不斷進行的累積過程。通過 Microsoft Update 定期提供內容篩選的更新。內容篩選器代理為每封郵件分配垃圾郵件可信度 (SCL) 分級。SCL 分級是 0 到 9 之間的一個數字。SCL 分級越高，表明郵件越可能是垃圾郵件?？梢詫热莺Y選器代理配置為根據 SCL 分級對郵件執(zhí)行下列操作：l 刪除郵件l 拒絕郵件l 隔離郵件l 標記為垃圾郵件例如，可以決定必須刪除 SCL 分級等于或高于 7 的郵件，必須拒絕 SCL 分級為 6 的郵件，必須隔離 SCL 分級為 5 的郵件。也可以通過為每項操作指定不同的 SCL 分級來調整 SCL 閾值行為。允許短語和阻止短語可以通過配置自定義單詞來自定義內容篩選器代理如何分配 SCL 值。自定義單詞是內容篩選器代理在應用相應篩選器處理時使用的單詞或短語。為允許短語配置經過認可的單詞或短語，為阻止短語配置未經認可的單詞或短語。當內容篩選器代理在入站郵件中檢測到預先配置的允許短語時，內容篩選器代理將自動為該郵