【IT专家网独家】我们虽然可以在企业内部的邮箱服务器上对邮件实现过滤，但是这毕竟信息已经到了企业的内部网络。其实，我们完全可以在边缘服务器上，就对邮件进行过滤。如此的话，一些无用的信息、甚至是一些攻击信息，就会被屏蔽在企业的边缘服服务器外面，即企业的外部网络上。

　　这也是Exchange server 2007在边缘服务器上的一个重要应用。根据这个特点，可以大大的提高企业邮箱服务器的安全性。下面，笔者结合连接过滤与协议过滤两个特性，来谈谈如何通过边缘服务器的过滤条件把病毒邮件与垃圾邮件挡在门外。

　　一、 在服务器上实现IP地址过滤。

　　在邮箱服务器的边缘服务器角色中，有一张IP地址列表。在这张列表中，存储着允许访问与不允许访问的所有IP地址列表。

　　在边缘服务器上实现IP地址连接过滤的话，有两个特点，我们需要注意。

　　一是在接受信息或者开始通信之前，边缘服务器就会判断此连接是否被禁止。如边缘服务器在接受或者发送邮件之前，会先进行三次握手，以彼此建立通信关系。而利用IP地址实现过滤，就是在这个握手的过程中实现的。当双方在握手的过程中，边缘服务器一发现对方的IP地址是自己IP地址过滤列表中所禁止的，马上就会不管三七二十一，就把这个禁止掉。这不像根据邮件地址过滤那样。邮件地址过滤是双方已经建立了联系，对方已经把邮件发送到了邮箱服务器。而IP地址过滤是在双方建立通信联系之前进行过滤的。这两者之间有本质的区别。最大的区别就是一个IP地址可以对应很多邮件地址。也就是说，若基于邮件地址过滤的话，同一个IP地址所对应的邮件地址服务器可能会拒绝很多次;而若基于IP地址进行过滤的话，则边缘服务器只需要拒绝一个IP地址就可以了，基于这个IP地址的所有邮件地址都回被边缘服务器无情的拒绝掉。

　　二是基于IP地址的过滤，会覆盖其他所有的反垃圾邮件设置，也就是说，其具有最高的优先级别。其实，这跟IP地址过滤的原理相关的。像上面我们所说，IP地址邮件过滤是在双方通信之前的握手过程中实现的过滤。在对方的邮件内容、发信人地址等等都还没有传送到边缘服务器的时候，就已经判断是否需要接收这份邮件。既然邮件内容、发信人地址等等都还没有收到，那么针对这些内容的策略也就根本不能起任何作用了。也就是说，某个邮电地址为AA@abc.com，其对应的IP地址为222.222.222.222(这个IP地址为虚拟，若有雷同，纯属巧合)。若在IP地址过滤的时候，把这个IP地址设置为“禁止”，则即使后面收件人过滤中，允许接收这个邮件地址的邮件，但是，边缘服务器仍然会拒绝这个邮件，因为其所对应的IP地址是不允许的。可见，基于IP地址的过滤条件，在所有的过滤条件中，具有最高的优先级别。

　　真因为基于IP地址的过滤策略，具有最高的优先级别，所以，在使用这个策略的使用，需要注意以下内容：

　　1、因为这个策略，被禁止的邮件不会保存在邮件服务器上，供邮箱管理员进行校对，所以，对于这个基于IP过滤的策略，要谨慎使用。在没有百分之百的把握下，不要采用这个 IP过滤策略。虽然其在反垃圾邮件与反病毒邮件上具有突出的表现，但是，这个守门员是“四肢发达，头脑简单”的，他不会对邮件进行职能的判断。他唯一的好处就是“六亲不认”。

　　2、针对IP地址过滤的安全策略，其会拒绝这个IP地址邮箱服务器发送过来的所有邮件。如新浪邮箱，也许有人会利用这个邮箱发送广告等垃圾邮件，但是，毕竟其大部分用户是好用户，不会发送垃圾邮件。若我们因一个人发送垃圾邮件，就把这整个新浪邮箱服务器发送的邮件全部拒绝掉，就有点“株连九族”的嫌疑。这显然是不合适的。

　　总之，这个基于IP地址过滤的邮箱安全策略，虽然用处比较大，效果比较明显，但是，在使用过程中，还是需要小心为上，不能采取“株连九族”的政策。