Exchange 2007边缘传输服务器角色攻略

    一台边缘传输服务器就是放置在您的Exchange Server群中和外界之间的被加固了的Exchange 2007服务器（DMZ区）。它的作用就是帮助把进入公司的电子邮件和从公司发出的电子邮件进行过滤和清洁，删除随之而来的垃圾邮件，病毒和未经授权和许可的内容。下面我们来讲讲如何安装和配置Exchange 2007的边缘传输服务器角色。

　　边缘传输服务器的工作原理:

　　安装边缘传输服务器角色的服务器必须位于网络的边缘，它是在Exchange Server 2007群中的暴露在网络的边缘并和外界网络环境接触的服务器(我们一般都把它放在DMZ区)。当然，这台服务器也仍然可以受到防火墙的保护。

　　在Exchange Server 2003中，在安装Exchange Server之前，NNTP和SMTP这两个服务必须提前被安装在服务器上。而对于Exchange Server 2007来说，NNTP和SMTP这些服务并不需要提前安装。如果先进行安装了NNTP服务，那么再进行安装Exchange Server 2007“预先安装检测”步骤的时候会导致失败。同样，在Exchange Server 2007的安装向导中仍然要检测SMTP服务是否存在，如果存在，那么也会导致Exchange Server 2007服务器的安装失败。SMTP服务被禁止，是因为他是Internet信息服务(Internet Information Service，简称IIS服务)的一个组件。鉴于IIS的容易被攻击的特点，Exchange Server研发小组重新编写了SMTP服务所使用的程序代码。最后，这个全新的被很好改良了的SMTP服务才可以作为Exchange Server 2007的一部分安装在服务器上。

 

　　边缘传输服务器与活动目录的关系:

　　Exchange Server和活动目录之间有很大的一些依从关系。Exchange Server 2007访问活动目录时需要具有某些权限，但边缘传输服务器角色则例外。如果授权一台位于网络边缘的服务器可以对活动目录具有读和写的权限，那么这确实是一件很危险的事情。因此，一台边缘传输服务器使用“活动目录应用程序模式”(Active Directory Application Mode ，简称ADAM)来进行这些操作。也就是说，活动目录的重要组成部分被复制到位于边缘传输服务器旁的活动目录的分区中。因此，边缘传输服务器具备了必要的配置信息，而同时您又降低了把那些敏感、重要的放置在活动目录上的数据暴露在外界网络环境下的危险。

 

　　边缘传输服务器角色规则：

　　在Exchange 2007中提出了角色服务器这项概念，这就是说一台服务器上可以绑定不同的角色，一般说来，一个单一的Exchange 2007服务器可以被绑定多个服务角色，但是边缘传输服务器是个例外。边缘传输服务器需要被加固，因此其它的Exchange 2007服务角色不能和它安装在同一台服务器上。

 

      安装边缘传输服务器：

　　在Exchanage Server 2007的环境中安装一台边缘传输服务器是一件很简单的事情，分为以下几个步骤：

　　1. 在服务器的光驱中插入您的Exchanage Server 2007的安装光盘。之后Windows的自动运行机制就将自动执行光盘中的Setup.exe的安装引导文件。当安装界面出现时，点击“步骤四”：安装微软Exchange，而后进入安装向导。

　　2. 点击下一步，略过安装向导的欢迎界面。

　　3. 同意“终端用户许可协议”，并点击下一步。

　　4. 此时，安装向导会询问您是否愿意安装“错误报告返回”选项。“错误报告返回”将自动给微软公司发送有关于服务器的错误信息报告。决定好了是否要安装这个“错误信息报告”，然后点击下一步。

　　5. 边缘传输服务器角色只能在客户端安装模式下执行，因此您就要选择“客户端Exchanage Server安装”选项，并点击下一步。

　　6. 这时，您会看见屏幕上让您选择您将部署安装哪个Exchanage Server的角色。取消选定所有的角色选项，只选择“边缘传输角色”一项。在进行下一步操作之前，您稍微留意一下屏幕上显示出的“磁盘空间要求”。边缘传输服务器角色只需要724MB大小的磁盘安装空间，但还是最好提前确认一下您的服务器硬盘有充足的空间为好。如果有必要的话，屏幕上会提示您可以进行选择改变安装的盘符。

　　7. 点击下一步，向导自动进行一次快速的排检准备。

　　8. 如果没有任何问题的话，点击“安装”按钮，安装程序就开始复制所需的所有的文件了。

　　9. 当安装结束，点击“完成”结束安装。

 

     创建边缘订阅：

　 边缘传输服务器在安装的时候，不能自动的从活动目录里提取有用的信息。这个工作必要手动来完成。您得创建一个“边缘订阅”。“边缘订阅”是一个通向活动目录数据库的必要的，唯一可信任的方式。(边缘传输服务器总是信任活动目录，但反过来来，活动目录不信任边缘传输服务器。)，一旦边缘订阅被建立起来，Exchanage Server将使用EdgeSync同步服务把从活动目录里的必要的配置信息复制到边缘传输服务器中去。

　　创建边缘订阅的注意事项：

　　在开始创建一个边缘订阅之前，将完全取消了您在边缘传输服务器上应用的所有的客户端配置。特别是当边缘传输服务器上安装了以下几种

类型的服务：

　　1.接受域

　　2.邮件分类

　　3.远程域

　　4.发送连接器

　　在边缘订阅过程中，服务器上的“传输配置”对象下的“内部SMTP服务器”列表也将被重新覆盖修改。

　　另外您还得注意，边缘订阅过程还修改了Exchange命令行管理程序，因此这个程序也不能再用来管理上面所提到的对象了。如果将来您需要修改任何一个对象的话，您就得在一台“非边缘传输服务器”上来进行操作了。然后，您所做的这些修改将通过EdgeSync同步服务复制到边缘传输服务器中去。

　　一般刚刚安装完的边缘传输服务器是不能主动和您的Exchanage Server组织进行通信的，而Exchanage Server组织也不能主动和您的边缘传输服务器进行通信。因此，我们要把边缘传输服务器中的配置信息放置到一个XML的文件中去，然后再把这个XML文件放入到您的Exchanage Server的组织中。

　　如何创建一个边缘订阅：

　　1.在边缘传输服务器上打开Exchange命令行管理程序，然后输入如下的命令：
　　New-EdgeSubscription –filename "C:/edgesync.xml" （命令不用写全，可以用TAB键补全）
　　2.这时，Exchange将给出一个预先的警告。这个警告是告诉您，在这个订阅过程中，什么类型的对象将被重新改写或者删除。当警告询问您是否继续，按“Y”键，命令就将继续执行。
　　3.这时候就会在C盘下建立一个名称为edgesync.xml。
　　4.把这个XML文件拷贝到您准备创建边缘订阅的那台服务器上。
　　5. 当文件被拷贝到本地的硬盘上后，登陆您的Hub传输服务器。
　　6.打开Exchange的管理控制台，找到控制树中的“组织配置”选项下的“Hub传输”选项。
　　7.选择“边缘订阅”一项，然后在可操作窗口里点击“新边缘订阅”链接。
　　新的边缘订阅对话窗会询问您的边缘传输服务器将要成为哪个活动目录的一部分。如果您的组织只包含一个单一的网站，那么问题就很简单了。如果您的组织中有多个网站，那么您得使边缘传输服务器成为其中的一个的成员。对这个活动目录的要求是，在您的网段内，它的速度需要最快，安全性最高。在选定了边缘传输服务器归属哪个活动目录后，下一步就该把先前创建好的那个XML文件插入到这台服务器中来了。
　　8.使用浏览按钮用来浏览，并选择刚才存好的那个edgesync.xml文件。
　　9.在“自动创建边缘订阅的发送连接器”选定后，创建边缘订阅。(在当任何的邮件信息通过边缘传输服务器传到Internet的时候，“发送连接器”就发挥了它的作用。)

 

     把活动目录的数据复制到边缘传输服务器中：

　　出于安全的原因，边缘传输服务器并不接受来自活动目录的全部的东西，但还是仍然有一些项目会被复制到服务器中去，例如：
　　1.安全发件人列表
　　2.远程域列表
　　3.接受域列表
　　4.收件人数据信息，包括电子邮件地址，联系人，通讯列表。

　　当初始复制结束后，Exchange Server就会更新活动目录应用程序模式下的信息了。一定要记得边缘传输服务器不是一个域的控制器。这就意味着活动目录应用程序模式分区通过正常的活动目录复制过程不能进行自动更新。相反，Exchange Server使活动目录应用程序模式分区和活动目录保持同步。EdgeSync同步并不会象真正的活动目录复制进行的那样快。Exchange Server每个小时进行一次“配置相关的数据”的变化的同步;每四个小时进行一次收件人信息的同步。当然，对于一个目录来说，大多数的时候每四个小时进行一次同步更新并不太切合实际。但是，我们可以进行手工的EdgeSync同步。
     把Exchange命令行管理程序打开，输入如下的命令行：
　　Start-EdgeSynchronization
　　既然您已经创建了一个边缘订阅了，您就等待初始化的同步进行完毕就可以了。这个过程所需要的时间，要取决于您的活动目录的大小和您的Exchange Server组织的大小。如果有可能的情况下，尽量使这个同步过程的工作在夜里进行。

    如何保证边缘传输服务器和Hub传输服务器之间的正常通信：

　　1. 首先，打开边缘传输服务器的管理控制台，确认发送连接器创建成功。您在控制台树上能看见的第一个容器就是“边缘传输容器”和“工具容器”栏。

　　2. 查看第二个发送连接器是否创建成功，我们要选择边缘传输容器。窗口的下半部分会显示出一组功能按钮。选择“发送连接器”，来验证一个发送连接器是否被启用。
　　如果您的Exchange Server组织中只包含了一个单一的活动目录网站，那么发送连接器应该是这样的：
　　edgesync – default-first-site-name to Internet 已启用
　　edgesync – Inbound to Default-First-Site-Name 已起用

　　正如上面您所看到的，发送连接器实际上包含了两个不同的组成部分：一个的入站连接器，另外一个是出站连接器。这两个连接器都是自动创建的。

　　如果发送连接器不存在，那么您可以使用“操作窗口”中的“新发送连接器”选项来手工的创建一个。如果发送连接器被禁止使用了，我们也可以重新启用此项服务。

　　但是您创建一个发送连接器之前，一定记得把 “接受域”列表复制到边缘传输服务器上。如果接受域列表已经被同步，但还是找不到发送连接器，您就可能是在创建边缘订阅的时候，忘记了选择“检验工具”来自动创建一个发送连接器了。

　　如果找不到发送连接器，而且接受域列表也没有被同步的话，那肯定是什么地方出现了问题。
　　如果要检验接受域列表，那么打开Hub传输服务器上的Exchange Server命令行管理程序，输入以下命令行：
　　Get-AcceptedDomain
　　Exchange Server会返回一个接受域的列表，这行命令会检索出一个接受域的列表，记住这个列表，然后去打开您的边缘传输服务器Exchange命令行管理程序，执行“Get-AcceptedDomain”这个命令。这时，边缘传输服务器就产生了一个接受域的列表，然后您要做的就是对比两个列表，查看是否相互匹配。如果边缘传输服务器只包含了一部分的接受域列表，那么说明同步可能已经生效，但只是还在进行中，还没有完成罢了。

　　如果给同步服务足够的时间来进行同步，但接受域的列表还是空的，那么肯定是在边缘传输服务器和Hub传输服务器的通信上出现了问题。

   

      给边缘传输服务器配置电子邮件过滤代理：

　　边缘传输服务器的作用基本上是把您的后端的Exchange Server服务器和外界的Internet网隔离。如果您想使您的边缘传输服务器变得更加有用的话，那么就要在垃圾邮件、病毒和恶意插件到达Hub传输服务器之前，把它们统统的过滤掉。
　  在边缘传输服务器上的所有的过滤器都是自动启用的。这就是说，一旦您创建了一个过滤器，那么它就立即生效了。其实我们会很清楚的知道哪些是合法的邮件，哪些是不合法的病毒邮件。当然，也可以选择禁止使用过滤器，但是，这样就会使那些原来可以被拦截的病毒、垃圾邮件和恶意插件等进入到您的Exchange 2007组织中去。
　　边缘传输服务器使用连接过滤器来把垃圾邮件和恶意插件过滤掉。任何进入到边缘传输服务器的接收接连的邮件信息都得通过“连接过滤代理”一关。“连接过滤代理”的工作原理就是在垃圾邮件和恶意插件到达收件人之前，过滤掉所有的这些毒害。
　　当您打开边缘传输服务器上的Exchange管理控制台后，您会看见只有两个容器：边缘传输和工具箱。当您选择边缘传输容器后，详细信息窗口会列出创建一个过滤器的不同选择，您会发现详细信息的窗口里包含了一系列的标签。“反垃圾邮件”这项标签是自动默认选择的;它允许您创建不同类型的垃圾邮件过滤器。

　　内容过滤：其中最有用的一个垃圾邮件过滤器就是“内容过滤器”。它的工作原理就是使用了一个十进位的数学算法来判定一个邮件是否会是垃圾邮件的可能性，然后根据判断的结果来进行过滤。内容过滤和微软的outlook使用相同的垃圾邮件可信度(简称SCL)算法。右键点击“内容过滤”然后选择“属性”。这个属性页包含了三个标签，分别是：自定义过滤词条，例外情况和操作。
　  自定义过滤词条：自定义词条是供您输入一些词语或者词组来标识一封电子邮件是否是垃圾邮件。例如，您输入了“online casino”...。但是您也得清楚，这种自定义词条也会受到本身原理的限制，因为现在好多的垃圾邮件尽量避开了使用这些敏感的词语和词组。
　　例外情况：例外情况标签选项，会允许您输入那些应该被忽略掉的电子邮件地址。例如，假设您现在有一个关于销售人员名单的电子邮件地址，您并不想让这些地址一度被作为垃圾邮件而被过滤掉，现在您就可以在“例外情况”标签这里输入这些电子邮件地址。例外情况是在过滤器上提出申请的。因此只要在例外情况标签里输入一个电子邮件地址使内容过滤不再把申请的邮件作为垃圾邮件而过滤---但是，这也不能阻止其它的过滤器把这些邮件过滤掉。其实，在内容过滤属性页里最重要的一个标签就是“操作”标签。操作标签选项是给您建立一个“门槛”，门槛的里外就是判断是否是垃圾邮件的标准。这个标签基于“垃圾邮件可信度”来删除，拒绝或者是隔离邮件。一个邮件的“垃圾邮件可信度”就是基于这个邮件可能会是垃圾邮件的百分比的几率来判断。例如，一封邮件，如果它的垃圾邮件可信度是9，就意味着这封邮件有90%的可能性会是一封垃圾邮件，而一封邮件的垃圾邮件可信度是3，就意味着这封邮件有30%的可能性会是一封垃圾邮件。在最初配置一个边缘传输服务器的时候，您最好先设置一个最低的门槛进行过滤，逐渐的等到您已经能够很好的把握了哪些是垃圾邮件，那些不是垃圾邮件的时候，再一点点的抬高门槛。在最开始的时候，一般都把垃圾邮件可信度的等级设置为8或者更高。接下来，我把动作稍微放大一些，把垃圾邮件可信度的等级设置成了7或者更高。

　　IP过滤：边缘传输服务器还可以通过发件人的IP地址来过滤邮件。基于IP地址的过滤一共有四种过滤器，分别是：IP允许列表，IP允许列表提供者，IP阻止列表，IP阻止列表提供者。P允许列表里面的地址里发出的邮件永远都不会被认为是垃圾邮件。例如，如果您还在担心您的重要客户的邮件地址丢失的话，那么您就把那个客户的邮件服务器的IP地址输入到IP允许列表中去。这样，它就永远都不会被看作是垃圾邮件而被拒绝或者是删除。IP允许列表提供商单元帮您指定您想使用的任何的IP允许列表的提供商。IP允许列表提供商包含了那些事实上永远都不会发送垃圾邮件的域列表。Exchange Server可以前后对照很多因素来判定一封邮件是否是来自已知的发件人域。IP阻止列表里面的地址里发出的邮件永远都会被认为是垃圾邮件。您可以输入单个的IP地址或者整个一个IP地址段。IP阻止列表提供商单元工作原理和IP允许列表提供者是相同的，除了一点外，那就是它允许您输入任何一个IP阻止列表提供商提供给您的想要被阻止的IP列表。

　　收件人过滤：收件人过滤阻止那些发送到指定收件人的全部的电子邮件。如果您的Exchange邮箱永远都不想接收来自外部的电子邮件的话，这一点就大有用处了。您可以利用收件人过滤来阻止发送到个人邮箱或者是整个域中的电子邮件。（本人就做过这样的事，只让自己公司的域名的邮件之间通信，够严格了吧，呵呵），在收件人过滤属性页也可以让您阻止那些发送到一个没有被Exchange通用地址列表上列出的收件人的任何一封邮件。
　　发件人过滤：发件人过滤可以让您把来自指定发件人的电子邮件过滤掉。这个过滤器使用起来非常的灵活，它可以允许您输入单个的电子邮件地址，整个的域，或者甚至整个的域段。意思就是您可以阻止一个指定的域，例如域名是test.com的域，或者您可以阻止一整个域层，例如.com，或者.net的域。发件人过滤属性页包含了一个操作标签，可以阻止那些来自被阻止的发件人发到您的Exchange Server阻止里的所有邮件。默认设置下，邮件是被拒绝的，但是您也可以先把来自“被阻止发件人”的邮件做上记号，然后再进行各种您想要做的处理。

　　发件人ID过滤:发件人ID过滤是设计用来防止域欺骗技术，域欺骗技术经常是那些垃圾邮件发出者和“钓鱼”诈骗欺骗者使用的技术。发件人ID的工作原理就是对比一封邮件的原始发出地和邮件服务器的IP地址列表的IP地址，看是否是与域的顶域授权的邮件相同。边缘传输服务器的默认设置是先标记此发件人ID的邮件，然后再继续处理这些邮件的。之所以这样做的原因就是虽然发件人ID是一个非常有效的措施来防止垃圾邮件的技术，但是发件人ID技术已经被广泛的采用了。许多的发件人至今还没有去注册他们的邮件服务器的地址。

　　发件人信誉过滤:“发件人信誉过滤器”是一个很有意思的过滤器。它能搜集近来来自个人发件者或者是域发件者的邮件信息。如果这个发件人或者域发件人带有一些看似垃圾邮件的特征，那么这个发件人的信誉就会降低了。除了邮件的历史记录外，一个发件人的信誉的判定还基于这个发件人的邮件服务器是否被配置成了一个开放的代理。当从一个发件人那里收到一封邮件的时候，Exchange Server使用发件人的SMTP(简单邮件传输协议)地址来执行一个对发件人邮件服务器的测试，这个测试用来判断一个邮件服务器是否被配置成为一个开放代理，如图G所示。如果一个邮件服务器被配置成为了一个开放代理，那么这个发件人的信誉就会降低。发件人信誉过滤器可以让您设定一个发件人信誉门槛值。当超过这个门槛值的时，这个发件人就将暂时的被添加到IP阻止列表中去。

   

   为边缘传输服务器建立过滤内容的高级特性:
　　疑问邮件验证:
　　任何进入边缘传输服务器的电子邮件信息都会被分析，并给确定一个垃圾邮件可信度(SCL)的等级，这个等级和这封邮件是否是垃圾邮件的几率有关。我们都知道，有的时候完全合法的邮件也具有一些与垃圾邮件相似的特征，因此有些时候，这些邮件也会被错误的拒收。
　　为了有助于处理这些情况，微软创建了一种用来减少错误概率的机制，称为疑问邮件验证。疑问邮件验证仅仅在用户使用exchange server 2007和outlook 2007产品进行邮件发送的时候才起作用。假设发件人满足这种要求，微软公司的outlook将为每封已发送的邮件盖上一个电子邮戳标记。电子邮戳标记主要是一个基于发送方身份的哈西算法。当边缘传输服务器接收到一封电子邮件信息时，它会作一个检查，看看该邮件是否包含一个电子邮戳。如果该邮件确实包含这样一个电子邮戳，那么此服务器也创建一个基于该电子邮件发送方的数字验证。如果通过这种计算方式得到的数字和数字邮戳的内容相匹配，那么该邮件信息成为垃圾邮件的概率就不大。于是边缘传输服务器就会相应的降低该电子邮件的SCL级别。如果来访的电子邮件不包含电子邮戳，或者该电子邮件包含的电子邮戳是非法的，那么该邮件就不会被自动分类成垃圾邮件。相反，已经为该邮件计算产生的SCL号码继续有用。
　　您可以通过这种方式来激活疑问邮件验证: 在边缘传输服务器上打开Exchange命令行管理程序, 并执行下面的命令：
　　Set-ContentFilterConfig[-OutlookEmailPostmarkValidationEnabled $True
  　如果以后您不希望使用疑问邮件验证功能，那么可以输入下面的命令：
　　Set-ContentFilterConfig[-OutlookEmailPostmarkValidationEnabled $False

　　附件过滤:
　　迄今为止，我所提到的大部分过滤的方法都可以在任何关于反垃圾邮件的产品中找到。下面，我要提到一种区别于边缘传输服务器与其他反垃圾邮件产品的方法，称为附件过滤。尽管每个用户都使用垃圾邮件过滤器，但是一些垃圾邮件创建者把它们的垃圾信息放在电子邮件的附件中，这样，这种邮件极有可能通过垃圾邮件过滤器的检查。最多，这些垃圾信息被忽略，但它们往往包含讨厌的、有害的内容。既然您可能不希望这种类型的垃圾信息到达你们的终端用户，那么您就要配置你们的边缘传输服务器来扫描邮件的附件，这种扫描不仅仅是检查信息本身的内容，而是还要滤除垃圾附件的内容。附件过滤既可以用于接收邮件，又可用于发送邮件。用于过滤接收的邮件的一个首要方法是拦截一些带有特定扩展名的附件，而这些扩展名是您知道的，整个机构中任何人都不应该有的非法的商业需求。至少，您应该拦截一些可执行文件(如.exe,.bat,.com,.pif,等等类型的文件)，作为一种有助于整个组织防病毒的方法。记住，拦截可执行文件并不能完全保证没有病毒入侵您的组织。
　　拦截无用的文件类型和特定文件名:
　　拦截可执行文件只是您所要做的第一步。您也可以拦截无用的文件类型。比如，如果您知道您的组织中没有人使用微软的Excel，那么您就可以拦截扩展名为.xls的文件类型。尽管拦截特定文件扩展名有一定作用，但您也有权拦截特定文件。比如，假如最新的电子邮件病毒是一个带有名为virus.exe的附件的邮件信息，那么您实际上可通过配置Exchange Server来拦截任何名为virus.exe的文件。尽管我如此，您可能已经对预防病毒采取了足够的预防措施，但再小心的组织都可能不小心被感染上病毒。如果这种感染确实发生了，您肯定不希望把这个病毒通过邮件发给您的所有的客户。这个病毒不仅可能感染您的客户，而且在您发给您的客户病毒后，您的客户会慎重考虑是否要继续和您保持生意上的往来。
　　附件过滤也是一种好方法来保障机密文件不被泄漏到组织以外。比如，您公司的内部有一个超级秘密的文件，文件名叫做“abc.doc”,您可以通过拦截该文件名来达到防止有人有意或无意把这个文件用电子邮件发到组织外的目的。但如果有人在发送之前把该文件改名了，那么这个过滤器就对您没有什么用了。
　　为了实现附件过滤，您需要明白三点：
　　1. 您得知道想要拦截的文件名或文件扩展名。
　　2. 您得知道拦截机制是仅应用在邮件接收上，还是邮件发送上，或者两方面一起应用。
　　3. 您得知道当边缘传输服务器发现某个带有附件的电子邮件被拦截时，您将采取什么措施。
　　处理拦截的附件，您有三种方式：
　　1. 拒绝发送该邮件，这样可以防止该邮件发送给收件人，并给发件人发送一个邮件未发送成功的提示信息报告(NDR)
　　2. 剥去该电子邮件的附件，并给收件人发一个声明，告知其该附件被移除。这种方式的好处是，如果该电子邮件包含多个附件，那么没有被拦截的电子邮件附件仍然可以发送给收件人。
　　3. 悄悄删除，和像方式1差不多，只是区别在于悄悄的删除了附件后，这种方式不会发送一个“邮件未发送成功”的信息提示报告。
　　检查文件名或文件扩展名的过滤状态：
　　有几种不同的Exchange命令行管理程序，用来过滤电子邮件附件。在下面的命令中，我们用“filename.ext”来代表您选择的文件。
　　1. 检查某个文件或文件扩展名的状态，看它当前是否被拦截：
　　Get-AttachmentFilterEntry filename.ext
　　2. 拦截某个指定的文件名：
　　Add-AttachmentFilterEntry –name filename.ext –Type FileName
　　3. 去除对某个指定文件名的拦截：
　　Remove-AttachmentFilterEntry –Identity Filename:filename.ext
　　4. 如果您想对某个特定的文件处理扩展名，不用设定文件的类型而只要对文件名做些手脚用扩展名作通配符就可以了。比如，您想拦截扩展名为.exe的文件，您可以使用下面的命令
　　Remove-AttachmentFilterEntry –Identity Filename:*.exe
　　5. 您可以使用Set-AttachmentListConfig 这个命令来对所拦截的文件或文件类型进行拒绝发送、剥除附件或者悄悄删除等动作，然后再采取指定的措施。如果您的行动是拒绝发送，您还可以指定那个“未发送成功”的报告里面的内容，如下面所示：
　　SetAttachmentFilterListConfig –Action Reject –RejectResponse "This attachment is not allowed"

　　当待接收的电子邮件信息被拒绝时：

　　当边缘传输服务器拒绝接收一封电子邮件时，并不是简单的它把扔到垃圾箱。相反，Exchange Server在SMTP未发送成功报告(NDR)中嵌入一条拒绝接收信息。缺省的拒绝接收信息通常是：“Message Rejected Due to Content Restriction”您也许没有意识到，您可以定制信息来满足自己的要求。唯一的限制是，您的信息的长度不可超过240个字符。通过Exchange 命令行管理程序来订制拒绝信息的命令是：
　　Set-ContentFilterConfig –RejectionResponse "I don't want your spam. Stop bothering me."
　　这个要注意的是，您所要发送的实际的信息文本是用引号括起来的。