首先讓我們先來學一下，如何在Exchange Server 2016的郵箱服務器角色上，有效防范惡意軟件的入侵。

其實在我們最初安裝Exchange Server 2016時，系統(tǒng)便已經(jīng)出現(xiàn)了像“惡意軟件碼防護設(shè)置”頁面，其內(nèi)容主要提醒我們?nèi)粢褂闷渌嫒莘啦《拒浖募?，便可以選擇停用此惡意軟件篩選器功能，不過默認是啟用的。

不過，若是您在安裝階段選擇停用了它，仍然可以在之后執(zhí)行“$env:ExchangeInstall PathScriptsEnable-Antimalwarescanning.ps1”命令，以執(zhí)行啟用此功能的腳本程序。

惡意軟件篩選器設(shè)置

關(guān)于安裝后的惡意軟件篩選器的基礎(chǔ)管理，只要通過“Exchange系統(tǒng)管理中心”的“保護”頁面中，即可選擇是否要啟用或停用任一策略設(shè)置。您可以選擇添加策略或是直接修改默認的策略設(shè)置，而其配置摘要信息也都可以直接在該頁面中找到。

在“設(shè)置”頁面中首先可以設(shè)置“惡意軟件碼偵測響應”，一般來說我們會選擇“刪除所有附件并使用默認警示文字”即可，而非采用默認的“刪除整個郵件”。

進一步可以設(shè)置“自定義通知”，來取代要給發(fā)件人以及管理者的默認通知信息內(nèi)容。您只要將“使用自定義的通知文字”勾選，輸入自定義的發(fā)件人名稱、發(fā)件人地址、主旨以及郵件本文。

關(guān)于惡意軟件篩選器策略，除了可以經(jīng)由“Exchange系統(tǒng)管理中心”來管理之外，也可以通過Exchange Management Shell界面的相關(guān)命令，來進行更高級的管理。首先您可以執(zhí)行“Get-MalwareFilterPolicy” 來取得目前所有策略的清單，若想要查看特定策略設(shè)置的完整信息(如Default)，則可以執(zhí)行“Get-MalwareFilterPolicy Default | FL”命令即可。

您如果想要添加一個惡意軟件篩選器策略，可以參考以下的命令。此例主要采用默認的刪除整封惡意郵件設(shè)置，然后設(shè)置啟用內(nèi)部發(fā)件人的管理員通知機制，并選定該管理員的Email地址：“New-MalwareFilter Policy -Name "LAB03 Malware Filter Policy"-EnableInternalSenderAd minNotifications $true-InternalSenderAdmin Address admin@lab03.com”。

還可以針對不同收件者網(wǎng)域，創(chuàng)建不同的惡意軟件篩選器規(guī)則。例如可以執(zhí)行以下命令參數(shù)，讓lab02.com的收件者網(wǎng)域使用一個新建且名為“LAB02 Recipients”的規(guī)則，而此規(guī)則隸屬于現(xiàn) 行 的“LAB03 Malware Filter Policy”策略。

New-MalwareFilterRule-Name "LAB02 Recipients"-MalwareFilterPolicy"L A B 0 2 M a l w a r e F i l t e r P o l i c y"-RecipientDomainIs lab02.com

Set-MalwareFilterRule" LAB02 Recipients"-ExceptIfSentToMemberOf"LAB02 Human Resources"

如果您需要暫時性的停止惡意軟件篩選器的功能，只要執(zhí)行“Set-MalwareFilteringServer郵箱服務器名稱 -Bypass Filtering $True”命 令即可，此時若您執(zhí)行“Get-MalwareFilteringServer |FL BypassFiltering”命令，便會發(fā)現(xiàn)BypassFiltering的域值已為True。換句話說，當需要恢復正常運作時，只要將此域值設(shè)置為False即可。

如果您改使用第三方廠商所提供的安全防護產(chǎn)品，則可以將內(nèi)置的惡意軟件篩選器進行停用，只要執(zhí)行命令“& $env:ExchangeInstall PathScriptsDisable- Antimalwarescanning.ps1”，來執(zhí)行停用此代理程序的腳本即可。

垃圾郵件篩選器安裝

如何在Exchange Server 2016郵箱服務器上安裝垃圾郵件篩選器的代理程序，請在開啟Exchange Server 2016的命令控制臺之后，執(zhí)行“& $env:ExchangeInstall PathScriptsInstall-AntiSpamAgents.ps1”命 令即可。其中可以看見有許多相關(guān)的代理程序，在成功安裝之后都有分別提醒我們，需要重新啟動Exchange傳輸服務才能真正生效。

重新啟動Exchange傳輸服務的最快方法，就是執(zhí) 行“Restart-Service MSExchangeTransport”命令即可。當然此服務的重新啟動也可以從“服務管理員”圖形界面中，選取“Microsoft Exchange Transport”服務項，然后點擊重新啟動的按鈕。

圖4 檢查所有傳輸代理程序

至于如何知道目前究竟啟用了哪些與AntiSpam以及AntiMalware有關(guān)的代理程序呢。很簡單！只要如圖4所示執(zhí)行“Get-TransportAgent”命令，便可以知道所有傳輸代理程序的啟用情形。您也可以只查看特定的傳輸代理程序是否在啟用狀態(tài)，例如您可以執(zhí) 行“Get-TransportAgent"Malware Agent"”命令，來查看目前惡意軟件篩選器是否已在啟用中。

封鎖特定發(fā)件人的來信

對于未知的外部郵件是否為垃圾郵件，Exchange Server的垃圾郵件篩選器將會自動判斷，但是對于那已知道的垃圾郵件名單，肯定要封鎖在先。讓我們來看看以下這個常見的封鎖例子。

筆者通過以下Set-SenderFilterConfig命 令的相關(guān)參數(shù)，告訴Exchange傳輸服務封鎖來自amylee@abc.com與eric@123.com.cn兩位發(fā)件人的所由來信，然后再封鎖來自test.com網(wǎng)域的所有來信，以及封鎖sexy.com.tw與其子域的所有來信：

Set-SenderFilter Config -BlockedSenders amylee@abc.com,eric@123.com.cn -Blocked D o m a i n s t e s t.c o m-B l o c k e d D o m a i n s A n d Subdomains sexy.com.tw

想要隨時知道目前我們究竟設(shè)置了哪一些封鎖名單，只要執(zhí)行以下列命令范例即可：

Get-SenderFilter Config | FL BlockedSende rs,BlockedDomains,Blocke dDomainsAndSubdomains

如果你想要封鎖主旨為空白的郵件，執(zhí)行命令參數(shù)“Set-SenderFilterConfig-BlankSenderBlocking Enabled $true”，設(shè)置值默認為停用(False)。查看此設(shè)置結(jié)果請執(zhí)行“Get-SenderFilterConfig |FL BlankSenderBlocking Enabled”命令。

隔離郵箱設(shè)置

根據(jù)外來Email的內(nèi)容來決定郵件的接收、拒絕、刪除及隔離的條件判斷是由第三階段的內(nèi)容篩選功能負責處理，其依據(jù)是SCL（Spam Confidence Level）評 分，執(zhí) 行“Get-Content FilterConfig | FL SCL*”命令查看目前系統(tǒng)設(shè)置。

接下來筆者執(zhí)行以下命令來將刪除的SCL功能啟用并設(shè)置為9分，拒絕分數(shù)為7分，而隔離分數(shù)則修改為5分。最后執(zhí)行命令“Get-ContentFilterConfig | FL SCL*”查看是否已成功設(shè)置。

S e t-C o n t e n t FilterConfig -SCLDelete Enabled $true -SCLDelete Threshold 9 -SCLReject Enabled $true -SCL R e j e c t T h r e s h o l d 7-SCLQuarantine Enabled$true -SCLQuarantine Threshold 5

確認完成了隔離SCL功能的啟用與設(shè)置后，還必須進一步設(shè)置隔離郵箱的Email地址，否則遭隔離的Email將不知保存在哪個郵箱。執(zhí)行命令“Set-ContentFilterConfig-Q u a r a n t i n e M a i l b o x Quarantine@lab03.com”來完成設(shè)置即可，其中Quarantine@lab03.com便是需要預先創(chuàng)建好的用戶郵箱。想要查看目前隔離郵箱的設(shè)置值，請執(zhí)行“Get-ContentFilterConfig| F o r m a t-L i s t QuarantineMailbox”查詢。