ForeFront让邮箱服务器远离侵袭三建议

　　在ForeFront产品系列中，笔者最推荐的是FSOCS。这是一种基于服务器的防病毒产品。与Exchange2007服务器结合，能够有效保护即时消息和邮件的安全，让其远离病毒的侵袭。众所周知，病毒与垃圾邮件是邮箱系统部署过程中最让管理员头疼的问题。笔者在这方面稍有一点心得，拿出来跟大家分享。

　　心得一：利用“文件筛选器”来带病毒的附件远离服务器众所周知邮件的附件一直是病毒传播很高的载体。在邮件附件中，如果是图片或者txt文档，里面都可能带有病毒。为了减少病毒对企业的影响，有些企业甚至采取了比较极端的措施。如限制在邮件中携带附件等等。大家在投递简历的时候，或许都有这方面的经历。在投递之前，对方会在网上或者其他途径告之，简历不要以附件的形式发送。这主要的原因就是他们担心会携带病毒。

　　其实在FSOCS文件筛选器的帮助下，可以有效的防止邮件附件携带病毒。一个比较简单的做法就是设置一个规则，让内部用户之间可以在邮件中携带附件;而来自外部用户的邮件或者内部用户跨网络外围向内部发送的邮件，都不允许携带图片、txt文件、可执行文件等附件。简单的说，就是可以设置允许内部用户之间传输文件而阻止内部拥护来自外部用户的所有可执行文件的所有文件类型。具体配置过程如下：

　　第一步：建立文件筛选器的名字。

　　用户在建立筛选器时可以根据向导来创建。首先要做的是给筛选器取一个名字。这个步骤比较简单。笔者之所以在这里单独拿出来，是想给读者提一个醒。如果建立的筛选器比较多，为了后续维护的简便，最好能够事先定义一个命名规则。至少让人一看到名字，而不用看其内部的配置，就能够了解筛选器的用途。特别是不能够使用毫无意义的流水编号。

　　第二步：选择需要筛选器适用的领域。

　　在配置筛选器时，可能需要给不同的用户群配置不同的文件传输规则。如对于设计部门来说，允许其接收来自外部用户的图片附件。而其他用户如果要传输图片的话，必须通过其他形式来传送，如FTP或者即时通信工具等等。故在实际配置的时候，可能需要设置多个文件筛选器，然后将其应用与不同组的用户。

　　第三步：指定允许或者禁止的附件格式。

　　如果不顾三七二十一，一律拒绝附件，显然做的有点绝，有时候会影响用户的正常工作。笔者认为比较好的做法是，有限度的限制。这里的限制包括两个方面的内容。一是用户群之间的限制。如对于企业内部的邮件用户来说，没有限制;而对于企业内部用户接收外部用户的邮件来说，就有附件方面的限制。二是附件格式的限制，如对于那些可执行文件，其风险比较大，就一律拒绝等等。这两个方面结合使用，可以在保障企业邮件安全的同时，尽量减少对员工工作的负面影响。

　　心得二：善用通知功能，让用户和管理员心中有数为了尽量减少邮件和附件的误过滤操作，在FSOCS中还可以设置通知功能。即当接收的邮件如果触犯了某个即定义的约束条件，那么可以让ForeFront发送邮件给用户或者管理员，告诉他们现在有封邮件或者附件怀疑有病毒，已经被其拦截。用户可以先判断一下发件人的地址是否是自己所熟悉的;系统管理员也可以先对可疑的附件进行检查。如果一切没问题的话，可以由管理员手工再次转发这封邮件。加一个手工的判断步骤，可以最大限度的消除ForeFront服务的错误过滤。要实现这个通知的功能，只需要一个配置即可。

　　系统管理员可以打开“通知”对话框。在这个对话框中可以选择邮件的接收者。如可以只选择一个指定的邮箱地址(如系统管理员的邮箱地址)，也可以指定根据“收件人地址”发送。笔者的建议是两个都要选择。毕竟最后的恢复操作是由系统管理员来完成的。而选择“收件人”地址的话，可以省去系统管理员一个个向用户确认的过程。因为在给收件人的通知消息中，有发件人的地址以及被过滤的相关信息。用户凭借这些信息已经可以大致判断邮件是否是垃圾邮件。如此的话，就可以明显降低系统管理员的后续维护工作。

　　心得三：在边缘服务器上配置与部署FSOCS对于集团公司或者有多个办公楼的大型企业来说，为了提高邮件的传输效率，往往会在一些比较关键的位置部署边缘服务器。此时如果部署FSOCS的时候，就需要特别注意。在默认情况下，FSOCS只针对一个特定的区域有效。简单的是或，就是不能够跨越多个边缘服务器。笔者在刚开始接触这个FSOCS的时候，就犯过类似的错误。如只在Exchange服务器上设置了FSOCS，在边缘服务器上没有设置。结果发现，所定义的规则在很多用户那边没有生效。后来经过分析、测试，发现是这个边缘服务器在作怪。

　　这里需要注意，通常情况下边缘服务器角色的每一个实例都需要培植部署FSOCS。注意是每一个实例。如果有一个边缘服务器没有配置，那么这台服务器所连接的用户和运行的服务，将不能够享受到由其带来的好处。另外，如果在边缘服务器的一侧部署有防火墙的话(通常为了服务器的安全都会这么做)，还需要在防火墙上进行配置，允许其运行ForeFront应用程序。其核心的工作，就是开启相关的端口。

　　从以上分析中可以看出，ForeFront的作用更像是一个防火墙。确实如此。不过这里需要说明的是，由于ForeFrontCommunicationsServer是为Exchange量身定做的。所以在过滤的效率与效果上，都会比第三方的防火墙好的多。笔者在以前的工作中有切身的感受。虽然说多了一层过滤规则，肯定会对邮件的处理效率带来负面的影响。但是采用ForeFront的话，基本感觉不到由此带来的负面影响。