企業中所建置的Exchange Server 2013,每天都得爭分奪秒地負責處理所有對內和對外的訊息流通,因此它的安全性防護建構極為重要,這其中就包含了令許多企業IT關心的個資維安問題。
Q2:如何設定寄件者篩選功能
關於寄件者篩選器,首先可以先如圖6所示,下達Get-SenderFilterConfig | Format-List Enabled來查看此篩選器目前是否在啟用中。
 |
| ▲圖6 確認寄件者篩選器。 |
接著,開始設定所要封鎖的寄件者。如圖7所示,在此範例中先執行以下的命令參數來封鎖特定的兩個外部寄件者,以及封鎖一個特定的外部網域與一個特定的外部網域並包含其子網域。
繼續執行如下的命令參數,查看目前所設定的三種寄件者的封鎖清單:
 |
| ▲圖7 設定與查看寄件者封鎖清單。 |
接下來,如果想要封鎖主旨為空白的郵件,則如圖8所示執行命令參數「Set-SenderFilterConfig -BlankSenderBlockingEnabled $true」來完成封鎖設定。
 |
| ▲圖8 啟用空白寄件者封鎖。 |
至於目前是否已啟用這項功能,則可下達命令參數「Get-SenderFilterConfig | Format-List BlankSenderBlockingEnabled」來查看。
Q3:如何設定收件者篩選功能
若想要設定收件者篩選功能,可以下達命令「Set-RecipientFilterConfig -Enabled $true」來啟用此篩選器功能。接著,使用命令「Get-RecipientFilterConfig | Format-List Enabled」來查看啟用狀態。
確認以上篩選器啟用之後,如圖9所示執行命令「Set-RecipientFilterConfig -BlockListEnabled $true」來啟用收件者封鎖清單功能。倘若想查看此功能的啟用狀態,執行命令「Get-RecipientFilterConfig | Format-List BlockListEnabled」即可。
 |
| ▲圖9 啟用收件者封鎖清單。 |
一旦啟用收件者封鎖清單功能後,便可以如圖10範例下達命令「Set-RecipientFilterConfig -BlockedRecipients jovi@contoso.com,sandy@contoso.com」來設定封鎖的收件者清單。若想同時進行新增與移除特定清單項目的動作,則可下達類似這樣的範例:
另外,當想要查看目前的收件者封鎖清單時,可下達命令「Get-RecipientFilterConfig | Format-List BlockedRecipients」。
 |
| ▲圖10 設定收件者封鎖清單。 |
如圖11所示,接下來透過命令「Set-RecipientFilterConfig -RecipientValidationEnabled $true」來啟用封鎖送至組織中不存在之收件者的郵件。
 |
| ▲圖11 啟用收件者查閱。 |
如果想查詢目前此篩選功能的啟用狀態,則使用命令「Get-RecipientFilterConfig | Format-List BlockListEnabled」。
Q4:如何設定寄件者識別碼篩選功能
寄件者識別的檢查機制,主要用途在於檢查寄件者來源的DNS紀錄中是否有SPF(Sender of Policy Framework)紀錄,藉此查詢寄件者IP位址的合法性。
一旦發生檢查結果與實際合法的IP位址不符合,則可以進行退信、刪除信件以及標記SCL分數,並且交由下一階段的內容篩選器來處理。以下說明在企業DNS伺服器中建立SPF紀錄的方法。
先在DNS中新增一筆TXT紀錄,其內容範例像是「v=spf1 mx mx:mail.xxx.com.tw -all」,在這段描述中即表示只要由mail.xxx.com.tw所反解的IP位址就是合法的。關於SPF紀錄的建立,可以透過線上SPF產生器來自動產生符合企業環境的紀錄格式。最後,管理員只要將這一些紀錄張貼到DNS的TXT紀錄內即可。
除了上述設定外,還必須在Exchange命令主控台內完成一些必要設定。首先,下達命令「Set-SenderIDConfig -Enabled $true」啟用寄件者識別碼篩選功能,如果想查詢目前啟用狀態,則執行命令「Get-SenderIDConfig | Format-List Enabled」。