Exchange 2013 IPBlockListProvider阻止一些(但不是全部)匹配的IP

我已经configuration了我们的Exchange 2013边缘传输服务器,以使用包括Spamhaus在内的多个IPBlockListProviders。 虽然他们大部分时间都工作得很好,但仍然有一些电子邮件尽pipe与其中一个阻止列表提供者相匹配。

以最近从IP 66.248.197.240收到的电子邮件为例,这些邮件绝对是Spamhaus SBL以及其他一些邮件( http://mxtoolbox.com/SuperTool.aspx?action=blacklist%3a66.248.197.240&run =工具页 ),并由边缘服务器正确识别:

[PS] C:\Users\Administrator>Test-IPBlockListProvider -Identity "Spamhaus" -IPAddress 66.248.197.240 Provider ProviderResult Matched -------- -------------- ------- Spamhaus {127.0.0.3} True 

我已经证实,我没有使用任何公共的DNS转发器(如谷歌的),所以这不是一个全部或没有被阻止的问题。

最令人困惑的是,这种configuration适用于大多数在SBL上收到的消息:

 [PS] C:\Program Files\Microsoft\Exchange Server\V15\Scripts>.\get-AntispamTopRBLProviders.ps1 Name Value ---- ----- Spamhaus 4594 SpamCop 48 

有趣的是,似乎有一个显着差异的事情是修改传输代理的优先级,这样连接过滤代理就是第一个。 这是我当前的configuration,以防万一:

 [PS] C:\Program Files\Microsoft\Exchange Server\V15\Scripts>Get-TransportAgent Identity Enabled Priority -------- ------- -------- Connection Filtering Agent True 1 Sender Id Agent True 2 Sender Filter Agent True 3 Recipient Filter Agent True 4 Content Filter Agent True 5 Address Rewriting Inbound Agent True 6 Edge Rule Agent True 7 Attachment Filtering Agent True 8 Address Rewriting Outbound Agent True 9 Protocol Analysis Agent True 10 

我在下面的SBL中包含了来自IP地址的邮件的完整信息头(与我的服务器的身份编辑)。 很明显,包含我所有的垃圾邮件过滤function都会影响邮件到达邮箱服务器所需的时间(在这种情况下,在提交和发送之间需要8秒),但似乎并不足够。

 X-Ms-Exchange-Organization-Network-Message-Id: 32388ce4-005a-4090-a363-08d2612d1e23 X-Ms-Exchange-Organization-Authas: Anonymous Pm-Xs: 15766241f_7460962er.x15766241 X-Ms-Exchange-Organization-Avstamp-Enterprise: 1.0 Vr-Yhkrg: 15766241s-15766241e_i7460962 X-Ms-Exchange-Organization-Prd: heliq240.emited.work X-Ms-Exchange-Organization-Pcl: 2 Return-Path: Remote-Job-Op@heliq240.emited.work X-Ms-Exchange-Organization-Scl: 1 Mime-Version: 1.0 Ybu-Efa: c3195284488a449ed165c2c50f18376bb-ec3195284488a449ed165c2c50f18376b.u15766241 Okul-Lfp: 15766241y.15766241n_c7460962 X-Ms-Exchange-Organization-Senderidresult: None X-Ms-Exchange-Organization-Antispam-Report: DV:3.3.14519.472;SID:SenderIDStatus None;OrigIP:66.248.197.240 Message-Id: <c3195284488a449ed165c2c50f18376b.15766241.7460962@heliq240.emited.work> X-Ms-Exchange-Organization-Authsource: edgeserver.mydomain.com Content-Type: multipart/alternative; boundary="15766241" Received-Spf: None (edgeserver.mydomain.com: Remote-Job-Op@heliq240.emited.work does not designate permitted sender hosts) Received: from mailboxserver.mydomain.com (192.168.1.2) by mailboxserver.mydomain.com (192.168.1.2) with Microsoft SMTP Server (TLS) id 15.0.847.32 via Mailbox Transport; Wed, 20 May 2015 10:59:49 -0500 Received: from mailboxserver.mydomain.com (192.168.1.49) by mailboxserver.mydomain.com (192.168.1.49) with Microsoft SMTP Server (TLS) id 15.0.847.32; Wed, 20 May 2015 10:59:43 -0500 Received: from edgeserver.mydomain.com (192.168.1.4) by mailboxserver.mydomain.com (192.168.1.49) with Microsoft SMTP Server (TLS) id 15.0.847.32 via Frontend Transport; Wed, 20 May 2015 10:59:43 -0500 Received: from heliq240.emited.work (66.248.197.240) by edgeserver.mydomain.com (192.168.1.4) with Microsoft SMTP Server id 15.0.847.32; Wed, 20 May 2015 10:59:41 -0500 New telecommuting opportunities available today - 05/20/15 

有什么build议么?

另外,这是我在任何Stack Exchange站点上的第一篇文章。 我希望这个问题是值得的,并在正确的网站。 如果没有,请让我知道!

我build议你检查一下你的AllowLists,因为看起来你对一个(可能启用的)BlockList有一个很大的打击。 我的直觉是,你必须在传输stream程中有一个成功validation消息的规则。 由于连接filter是最高的列表中,我认为降压停在那里。