Методы борьбы с нежелательными сообщениями в среде Exchange Server

Нежелательные почтовые сообщения (также известные как «спам») — это сообщения, отправляемые из одного и того же источника с целью одновременной рассылки на большое количество почтовых ящиков. Задача отправителя нежелательной почты — доставить сообщение конечному пользователю так, чтобы оно было открыто и прочитано, за что отправитель получает деньги. Существует множество методов, с помощью которых отправители нежелательной почты доставляют сообщения в области, где их трудно обнаружить на уровне шлюза.

По данным статистики 40 и более процентов входящих почтовых сообщений характеризуются как нежелательные. Нарастающий поток нежелательной почты продолжает доставлять немало проблем среднему бизнесу. Нежелательная почта — это не просто неудобство. Такая почта создает дополнительные затраты, потенциально снижая производительность и требуя привлечения ресурсов для борьбы с нежелательными сообщениями.

Поэтому разработка методов борьбы с нежелательной почтой направлена на практическое решение данной проблемы.

Microsoft® Exchange Server 2003 с пакетом обновления 2 (SP2) представляет собой систему, сочетающую различные методы фильтрации нежелательной почты для одной или нескольких сред Exchange Server. Данная система называется Exchange Server 2003 Anti-Spam Framework и сочетает в себе фильтрацию на уровнях соединения, протокола и содержимого.

Подходы в данной системе позволяют администраторам и конечным пользователям осуществлять точную фильтрацию и распределение нежелательной почты по категориям и самим определять, какие сообщения является нежелательными, а какие — действительной деловой почтой.

Основное назначение данной системы — обеспечить администраторов и пользователей достаточно гибкими решениями для применения со стороны сервера и клиента. В данном документе подробно описываются указанные подходы, а также действие каждого подхода в системе и то, как каждый из них работает в сочетании с другими. Документ содержит планы оценки и разработки, а также пошаговое руководство в разделе по развертыванию и управлению.

Примечание. Корпорация Microsoft также обеспечивает важную службу, способствующую фильтрации нежелательных сообщений. Данная служба называется Exchange Hosted Services или сокращенно EHS. EHS включает в себя четыре отдельных службы, которые осуществляют защиту предприятий среднего бизнеса от вредоносных программ, распространяющихся по электронной почте, обеспечивают сохранение совместимости, осуществляют шифрование данных для сохранения конфиденциальности и сохраняют доступ к почтовому ящику во время и после чрезвычайных ситуаций. Основным компонентом служб Exchange Hosted Services является распределенная сеть центров данных, расположенных в ключевых узлах магистрали Интернета. Каждый центр данных включает в себя отказоустойчивые серверы, нагрузка между которыми равномерно распределена от узла до узла и от сервера до сервера.

Подробное описание данной службы выходит за рамки настоящего руководства. Для получения более подробных сведений см. технический документ Обзор служб Microsoft Exchange Hosted Services по адресу www.microsoft.com/exchange/services/services.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).
Обзор

Данный документ состоит из четырех основных разделов, в которых описываются варианты и решения, обеспечивающие практические подходы к фильтрации нежелательной почты в среде Exchange Server. В документе четыре раздела: «Введение», «Определение», «Трудности» и «Решения».
Введение

Данный раздел содержит краткие сведения о документе и обзор его структуры, а также некоторые данные, касающиеся целевой аудитории.
Определение

Данный раздел содержит подробные определения и обзорные сведения о системе Exchange Server 2003 Anti-Spam Framework. Эти подробные сведения помогут освоить решения, описанные в данном документе.
Трудности

В данном разделе описаны некоторые трудности, с которыми сталкиваются предприятия среднего размера при определении стратегий фильтрации нежелательной почты на различных уровнях, которые обеспечивает система фильтрации нежелательной почты.
Решения

В данном разделе описаны практические решения для устранения проблем, вызванных нежелательной почтой. Кроме того, в этом разделе приведена оценка методов и планов разработки, направленных на устранение проблем, а также пошаговые сведения о развертывании и управлении следующими методами:

* защиты на уровне соединения;
o фильтрации на уровне IP-соединения;
o черных списков реального времени;
* защиты на уровне протокола;
o блокирования получателя и отправителя;
o фильтрации по коду отправителя;
* защиты на уровне содержимого;
o интеллектуального фильтра сообщений Exchange;
o
o фильтрации нежелательной почты в приложении Outlook 2003 и веб-клиенте Outlook.

В дополнение к защите, которую обеспечивает система Exchange Server 2003 Anti-Spam Framework, следует помнить о том, что осведомленность пользователей является важной составляющей борьбы с нежелательной почтой в средах Exchange Server. Данная тема рассматривается в конце раздела «Развертывание и управление».
Для кого предназначено это руководство

Документ предназначен в первую очередь для ИТ-профессионалов и руководителей предприятий среднего размера, ответственных за планирование и реализацию методов фильтрации нежелательной почты в среде Exchange Server. Указанные специалисты могут занимать следующие должности.

Системные архитекторы. Это специалисты, ответственные за разработку общей инфраструктуры сервера, определение стратегий и политик развертывания сервера, укрепление системы и улучшение взаимодействия в сети.

* Руководители ИТ-отделов. Это специалисты, принимающие технические решения и руководящие ИТ-персоналом, ответственным за создание инфраструктуры, развертывание настольных компьютеров и серверов, администрирование сервера Exchange Server и действия на местах.
* Системные администраторы. Это специалисты, ответственные за планирование и развертывание технологий на серверах Microsoft Exchange Server, а также оценку и рекомендацию новых технологических решений.
* Администраторы служб Exchange Messaging. Люди, ответственные за реализацию системы передачи сообщений в организации и управление этой системой.

Определение

Система Exchange Server 2003 Anti-Spam Framework — это механизм для борьбы с нежелательной почтой в среде Exchange Server. С выпуском сервера Exchange Server 2003 с пакетом обновления 2 (SP2) в систему была добавлена технология фильтрации почты по коду отправителя, являющаяся отраслевым стандартом. Данная технология способствует уменьшению количества нежелательных почтовых сообщений, попадающих в папку входящей почты пользователя.

В данном разделе подробно описана система фильтрации нежелательной почты Exchange Server 2003 Anti-Spam Framework.
Exchange Server 2003 Anti-Spam Framework

Сервер Exchange Server 2003 реализует защиту от нежелательной почты на трех различных уровнях: на уровне соединения, протокола и содержания, как показано на следующем рисунке.

Три уровня защиты от нежелательной почты
Рис. 1. Три уровня защиты от нежелательной почты

Средства защиты на уровне соединения проверяют компьютер, подключающийся по протоколу SMTP, система защиты на уровне протокола анализирует отправителя и получателя сообщений, а система защиты на уровне содержимого проверяет содержимое сообщения. Каждый из этих типов защиты от нежелательной почты более подробно описан в следующих подразделах.
Защита на уровне соединения

Защита на уровне соединения представляет собой один из наиболее благоприятных уровней для защиты от нежелательной почты, так как остановленное на этом уровне защиты нежелательное сообщение никогда не попадает в организацию. Как показано на следующем рисунке, система защиты на уровне соединения оценивает каждое входящее SMTP-соединение на предмет принадлежности к источнику нежелательной почты.
Защита на уровне соединения
Рис. 2. Защита на уровне соединения

Если подключающийся через SMTP компьютер определен как источник нежелательной почты или компьютер, который обычно не занимается отправкой сообщений через SMTP, то в подключении может быть отказано. Таким образом, отпадает необходимость в трудоемких проверках входящих сообщений. Для этой цели в Exchange Server 2003 предусмотрены два вида фильтрации на уровне соединения.
Фильтрация по IP-соединению

В Exchange Server 2003 можно явно указать IP-адреса, которым будет отказано в подключении по протоколу SMTP. Данный метод является наиболее простым методом защиты сервера Exchange, так как списки для фильтрации соединений управляются пользователем. Если по какой-либо причине (в том числе по подозрению в рассылке нежелательной почты) необходимо отказывать в установке входящих соединений по протоколу SMTP для определенного компьютера, то такие соединения блокируются именно на этом уровне.

Соединения по протоколу SMTP можно явным образом разрешать. Если необходимо получить почту с SMTP-сервера из черного списка, определенного как источник нежелательной почты, то можно разрешить принятие сообщений с указанного SMTP-сервера, которые в противном случае не принимались бы.
Черные списки реального времени

Более динамичным средством обеспечения защиты на уровне соединения является использование черных списков реального времени (RBL). Черные списки — это списки IP-адресов, которые определены как источники нежелательной почты, открытых пересылок или часть диапазона IP-адресов, которые не должны включать в себя адреса SMTP-узлов, например IP-адреса из модемного пула Microsoft MSN®.

Сторонние поставщики черных списков регистрируют IP-адреса, которые подходят под каждую из этих характеристик. Когда компьютер-отправитель начинает сеанс SMTP-связи с клиентом службы черных списков, клиент отправляет поставщику черных списков запрос по типу системы доменных имен (DNS) с IP-адресом компьютера, запрашивающего соединение. После этого поставщик черных списков дате ответ в виде кода, в котором указано, есть ли соединяющийся компьютер в списке. По коду также можно определить, в каком списке находится SMTP-сервер, запрашивающий соединение.
Фильтрация по черным спискам реального времени описана ниже и проиллюстрирована на следующем рисунке.

1. SMTP-узел подключается к серверу Exchange Server 2003 по протоколу TCP (Transmission Control Protocol) через порт 25.

2. Сервер Exchange Server 2003 запрашивает указанного поставщика черных списков на предмет присутствия подключающегося SMTP-узла в черных списках.

3. Если подключающийся SMTP-сервер не включен в черный список, дается разрешение на соединение. Если указанный компьютер находится в черном списке, то соединение прерывается.
Принцип фильтрации по черным спискам реального времени
Рисунок 3. Принцип фильтрации по черным спискам реального времени

До появления сервера Exchange Server 2003 с пакетом обновления 2 (SP2) фильтрация на уровне соединения была невозможна, если между Exchange Server и отправляющим объектом существовали брандмауэры или промежуточные SMTP-узлы (в случае расположения сервера Exchange Server внутри периметра сети), так как система фильтрации, существовавшая до версии Exchange Server 2003 с пакетом обновления 2 (SP2) анализировала только подключающийся компьютер. Если между отправителем и сервером Exchange Server существовал промежуточный компьютер (например брандмауэр или другое устройство SMTP), то анализировался только промежуточный компьютер.

С выпуском Exchange Server 2003 с пакетом обновления 2 (SP2) сервер Exchange Server может располагаться где угодно в структуре предприятия среднего бизнеса и при этом осуществлять эффективную фильтрацию соединений. Это достигается предоставлением списков IP-адресов периметра сети и настройкой внутреннего диапазона IP-адресов в диспетчере Exchange. Таким образом, код отправителя и функция черных списков реального времени анализируют IP-адрес компьютера, который подключаются к промежуточному SMTP-узлу, такому как брандмауэр.
Защита на уровне протокола
Защита на уровне протокола
Рис. 4. Защита на уровне протокола

После того, как SMTP-сообщение прошло защиту на уровне соединения, оно вновь проверяется — на этот раз на уровне протокола SMTP. Диалог SMTP между отправляющим SMTP-узлом и получающим SMTP-узлом анализируется, чтобы удостовериться, что отправитель и получатели разрешены, и чтобы определить доменное имя отправителя по протоколу SMTP.
Блокирование получателей и отправителей.

Еще одним способом вручную уменьшить количество нежелательной почты является определение отдельных отправителей и доменов, от которых не следует принимать сообщения. Можно указывать отдельные адреса SMTP или домены, которые нужно блокировать. С помощью сервера Exchange Server 2003 можно запрещать сообщения, в которых не указан адрес отправителя, а также архивировать отфильтрованные сообщения.

Фильтрация получателей позволяет фильтровать сообщения, отправленные определенному получателю. Кроме того, можно фильтровать получателей, не указанных в каталоге. Однако использование фильтрации для получателей, не указанных в каталоге, может сделать вашу компанию уязвимой для атаки с целью захвата почтовых адресов через SMTP, которую сокращенно называют DHA (directory harvesting attack). Вот как это происходит. Ответы сервера Exchange Server на команды RFC2821 RCPT TO: обрабатываются при поиске верных адресов SMTP. Протокол SMTP подтверждает наличие получателей во время сеанса SMTP ответом 250 2.1.5. Если сообщение отправляется несуществующему получателю, то сервер Exchange Server возвращает сообщение об ошибке 550 5.1.1 User unknown. Следовательно, человек, рассылающий нежелательную почту, может создать автоматическую программу, которая будет использовать часто используемые имена или термины из словаря, чтобы составлять фиктивные адреса электронной почты для определенного домена. После этого такая программа может собрать все электронные адреса, которые возвращают сообщение 250 2.1.5 to RCPT TO: SMTP и игнорировать все адреса, которые вызывают сообщение об ошибке 550 5.1.1 Пользователь неизвестен. Теперь отправитель нежелательной почты может продать все действительные электронные адреса или отправлять на них нежелательную почту.

Данную угрозу можно уменьшить, используя метод, известный как замедление ответов. Функция замедления ответов SMTP в системе Microsoft Windows Server™ 2003 с пакетом обновления 1 (SP1) позволяет администратору вставлять произвольную задержку перед возвратом ответов для протокола SMTP. Атакующий компьютер не выдерживает достаточной паузы до получения ответа.

Более подробные сведения см. в статью Режим замедления ответов SMTP в Microsoft Windows Server 2003 из базы знаний Майкрософт по адресу http://support.microsoft.com/?kbid=842851.
Фильтрации по коду отправителя

Одним из нововведений по защите сервера Exchange Server 2003 от нежелательной почты является фильтрация по коду отправителя. Данная функция сервера Exchange Server 2003 с пакетом обновления 2 (SP2) позволяет проверять, Имеет ли отправляющий SMTP-узел право отправлять сообщения из домена, указанного в адресе отправителя. Многие нежелательные сообщения маскируются, чтобы создать впечатление, что они отправлены из надежного источника. Если получатель обманным путем будет убежден, что сообщение пришло из надежной организации (от представителя банка, службы работы с клиентами и т. п.), то это может привести к разглашению ценной информации, что делает возможной хищение личных сведений или кражу. Код отправителя предназначен для того, чтобы полностью устранить замаскированные сообщения или уменьшить их количество.

Для работы системы требуются две части кода отправителя. Первая часть — это запись DNS, называемая средой политики отправителей (SPF — sender policy framework). Запись SPF определяет, какие серверы авторизованы для отправки адресов SMTP для вашего домена. Для того чтобы иметь запись SPF, нет необходимости настраивать код отправителя. Вторая часть кода — это SMTP-узел, поддерживающий код отправителя, например сервер Exchange Server 2003 с пакетом обновления 2 (SP2). Запись SPF добавляется в зону DNS, чтобы другие организации с функцией проверки кода отправителя могли убедиться, что сообщения, заявленные как сообщения из вашего домена, отправлены серверами, авторизованными в вашей записи SPF. Принцип работы данной функции показан на следующих рисунках, сначала без использования записи SPF, а затем с ее использованием.

1. На сервер Exchange Server 2003 с SMTP-узла нежелательных сообщений fabrikam.com отправляется сообщение. Идентификация отправителя включена. Адрес отправителя susanf @nwtraders.com.

2. Сервер Exchange Server запрашивает у DNS (системы доменных имен) запись SPF для nwtraders.com.

3. Поскольку узел nwtraders.com не имеет записи SPF, сообщение проходит проверку идентификатора отправителя.
Проникновение нежелательных сообщений в организации, не использующие запись идентификатора пользователя / SPF
Рисунок 5. Проникновение нежелательных сообщений в организации, не использующие запись идентификатора пользователя / SPF

Затем компания Northwind Traders вносит запись SPF для nwtraders.com в зону DNS узла nwtraders.com следующим образом.

1. На сервер Exchange Server 2003 с SMTP-узла нежелательных сообщений fabrikam.com отправляется сообщение. Идентификация отправителя включена. Адрес отправителя susanf @nwtraders.com.

2. Сервер Exchange Server запрашивает у DNS (системы доменных имен) запись SPF для nwtraders.com.

3. Поскольку IP-адрес отправителя (208.217.184.82) не входит в список IP-адресов, с которых может быть отправлено сообщение от nwtraders.com, как это определено в записи SPF (131.107.76.156), сообщение проверяется на идентификатор отправителя.
Распознавание нежелательных сообщений с помощью записи идентификатора пользователя / SPF
Рис. 6. Распознавание нежелательных сообщений с помощью записи идентификатора пользователя / SPF

Внедрение идентификаторов отправителя поможет значительно уменьшить число нежелательных сообщений подложно отправленных с доменов, имеющих запись SPF. Тем не менее, необходимо помнить, что проверка идентификатора отправителя тем эффективнее, чем больше организаций имеют записи SPF. На веб-узле Microsoft.com 59 %p входящих сообщений, прошедших фильтрацию на уровне соединения, блокируются на уровне протокола.
Защита на уровне содержимого.
Защита на уровне содержимого
Рис. 7. Защита на уровне содержимого

После фильтрации входящего сообщения на уровнях соединения и протокола, применяющихся для выяснения того, является ли оно нежелательным, следует еще один уровень защиты — анализ содержания сообщения, на котором ведется поиск стандартных особенностей, характерных для незатребованных сообщений электронной почты. Создатели нежелательных сообщений приложили немало усилий для разработки новых способов маскировки, которые могут позволить нежелательным сообщениям избежать обнаружения, пройти проверку на уровне содержания и попасть в папку входящих сообщений пользователя.
Интеллектуальный фильтра сообщений Exchange

Интеллектуальный фильтр сообщений (IMF) — это фильтр содержания, разработанный специально для сервера Exchange Server. В его основе лежит запатентованная технология машинного обучения, разработанная исследовательским центром Microsoft Research и известная под названием Microsoft SmartScreen®. На сегодняшний день, технология SmartScreen используется в службах MSN и Microsoft Hotmail®, приложении Microsoft Office Outlook® 2003 и сервере Exchange Server. Фильтр IMF был разработан для того, чтобы, основываясь на характеристиках миллионов сообщений, отличать подлинные сообщения электронной почты от нежелательных. Фильтр IMF оценивает возможность того, что входящее сообщение электронной почты является подлинным или нежелательным. В отличие от многих других технологий, фильтр IMF использует характеристики статистически обоснованной выборки сообщений электронной почты. Кроме нежелательных сообщений выборка также содержит подлинные сообщения, что позволяет снизить вероятность ошибки. Фильтр IMF обладает повышенной точностью фильтрации, поскольку он распознает характеристики как подлинных, так и нежелательных сообщений.

Фильтр IMF устанавливается на серверы Exchange Server, принимающие входящие сообщения из Интернета по протоколу SMTP. Когда внешний пользователь отправляет электронные сообщения на сервер Exchange Server с установленным фильтром IMF, фильтр оценивает текстовое содержание сообщения и присваивает ему показатель, который зависит от вероятности того, что полученное сообщение окажется нежелательным. Этот показатель может варьироваться от 1 до 9. Он сохраняется в свойстве сообщения, известном как уровень вероятности нежелательных сообщений (SCL). Показатель опасности сообщения сохраняется при его пе
Работа интеллектуального фильтра сообщений
ресылке на другие серверы Exchange Server. Процесс работы фильтра показан на следующем рисунке.
Рис. 8. Работа интеллектуального фильтра сообщений

После того, как фильтр IMF присвоит сообщению показатель SCL, сообщение оценивается относительно двух пороговых значений, заданных администратором:

1.Настройка блокировки шлюза: блокировка сообщений с показателем SCL равным определенному значению или более высоким. Если оценка SCL сообщения равна установленной или превышает ее, то в отношении сообщения могут быть предприняты следующие действия:

* архивация;
* удаление;
* никаких действий;
* отклонение.

2.Настройка хранения нежелательной почты: сохранение сообщений с показателем SCL, превышающим определенное значение. Если показатель сообщения превышает указанное значение параметры, то сообщение перемещается в папку нежелательной почты, находящуюся в папке входящих сообщений пользователя. Исключение составляют случаи, когда отправитель данного сообщения входит в список надежных отправителей.
Защита от фишинг-атак

Фишинг — это мошенничество с целью хищения личных данных. Целью организаторов фишинг-атак является раскрытие пользователем ценной личной информации, например номеров кредитных карт, паролей, данных о счете, и т. д., путем убеждения пользователя в необходимости предоставления этой информации под ложными предлогами (например, в виде электронного письма с просьбой подтвердить информацию о банковском счете).

В версии сервера Exchange Server 2003 с пакетом обновления 2 (SP2) функция интеллектуального фильтра дополнена технологией защиты от фишинг-атак. Фишинг-сообщениям дается оценка по шкале SCL, в соответствии с которой в их отношении предпринимаются те или иные действия.
Настройка критериев пользователя

Сервер Exchange Server 2003 с пакетом обновления 2 (SP2) также обладает функцией настройки критериев пользователя, благодаря которой интеллектуальный фильтр сообщений может искать определенные фразы в теле и теме сообщения.

Функция настройки критериев пользователя включается путем помещения файла данных XML, который называется MSExchange.UceContentFilter.xml, в тот же каталог, где находятся файлы MSExchange.UceContentFilter.dll и .dat на сервере с установленным интеллектуальным фильтром сообщений. После запуска виртуального сервера SMTP и инициализации интеллектуального фильтра сообщений загружается файл XML.

Файл XML определяет фразы, на которые при работе интеллектуального фильтра сообщений нужно обратить большее или меньшее внимание. Эта функция позволяет менять настройки интеллектуального фильтра сообщений и, при необходимости, основываясь на ключевых фразах, принимать или отклонять сообщения, которым интеллектуальный фильтр сообщений в противном случае присвоил бы другую оценку SCL.

На веб-узле Microsoft.com интеллектуальным фильтром сообщений блокируются 38 %p входящих сообщений, прошедших фильтрацию на уровнях соединения и протокола.
Фильтрации нежелательной почты в приложении Outlook 2003 и веб-клиенте Outlook.

После того, как сообщение пройдет защиту от нежелательных сообщений на сервере, клиент Outlook 2003 может приступить к работе с сообщениями, показатель SCL которых равен значению хранения нежелательных сообщений или превышает его. Сообщения, превышающие значение данного параметра сервера, отправляются в папку нежелательных сообщений, находящуюся в папке «Входящие» приложения Outlook 2003.

Приложение Outlook 2003 и веб-клиент Outlook для сервера Exchange Server 2003 дают пользователю возможность составить список надежных отправителей, от которых сообщения будут принимаются всегда, а также список нежелательных отправителей, сообщения электронной почты которых всегда будут отклоняться. При обработке почты в хранилище почтовых ящиков, сервер Exchange доставляет все сообщения от надежных отправителей, вне зависимости от их оценки SCL, в папку «Входящие», а сообщения от нежелательных отправителей — в папку нежелательных сообщений пользователя. Однако, если сообщение электронной почты блокируется на шлюзе, то оно не попадает в папку «Входящие» пользователя, поскольку оно не доходит до хранилища почтовых ящиков.
Трудности

Поток нежелательных, часто оскорбительных, а иногда и мошеннических незатребованных сообщений электронной почты, известных как «нежелательные сообщения», мешает использовать сообщения электронной почты для обеспечения коммуникации и законной электронной коммерции.

Благодаря нежелательным сообщениям, для многих пользователей и целых регионов папка «Входящие» перестала быть хранилищем ценных сообщений. Это связано с тем, что законные деловые сообщения электронной почты теряются в потоке нежелательных сообщений. Для среднего бизнеса нежелательные сообщения повышают стоимость обмена сообщениями, затраты на использование сервера и сети, а также занимают лишнее место на диске.

Проблема, с которой сталкивается средний бизнес, заключается в необходимости пропустить полезные сообщения электронной почты в папку «Входящие» и заблокировать нежелательные. Необходимы средства для борьбы с нежелательными программами в среде Exchange Server.

Microsoft Exchange Server 2003 с пакетом обновления 2 (SP2) использует несколько способов фильтрации для сокращения числа нежелательных сообщений. Это многоуровневые решения для защиты от нежелательных сообщений, включающие защиту на уровнях соединения, протокола и содержимого, о каждом из которых уже говорилось выше. Эти способы обладают гибкостью в применении. Поняв механизм работы каждой из служб, ИТ-администраторы и пользователи смогут устанавливать нужный уровень защиты от нежелательных сообщений. Эти способы позволяют среднему бизнесу обеспечить доступ сообщениям электронной почты и отфильтровать нежелательные сообщения.

Важно, чтобы администраторы и пользователи сервера Exchange понимали принцип работы каждого метода в отдельности и всех вместе для сокращения общего числа нежелательных сообщений, приходящих в папку «Входящие» пользователя. На следующем рисунке показан многоуровневый подход к защите от нежелательных сообщений.
Система фильтрации нежелательной почты Exchange Server 2003 Anti-Spam Framework
Рис. 9. Система фильтрации нежелательной почты Exchange Server 2003 Anti-Spam Framework
Решения

В этом разделе речь пойдет об оценке, разработке, развертывании и управлении решениями системы фильтрации нежелательной почты Microsoft Exchange Server 2003 Anti-Spam Framework для обеспечения защиты от нежелательных сообщений в среде среднего бизнеса.
Оценка

Для эффективной борьбы с нежелательными сообщениями необходимо полностью изучить структуру почтовой системы сервера Exchange Server 2003, включая доступные средства и способы их эффективного использования. Необходимой составляющей процедуры оценки риска является подробное изучение данной среды.

Microsoft Exchange Server 2003 Anti-Spam Framework — это набор способов борьбы с нежелательными сообщениями, включающий в себя фильтрацию на уровнях соединения, протокола и содержимого. Необходимо тщательно изучить принципы работы этих способов защиты вместе и по отдельности. Кроме того, осведомленность пользователей о данных технологиях увеличит шансы их успешного внедрения и управления ими.

Необходимо рассмотреть перечисленные ниже вопросы.

1. Установлен ли сервер Exchange Server 2003?

Для того чтобы воспользоваться преимуществами, которые дает система Exchange Server 2003 Anti-Spam Framework, необходимо установить сервер Exchange Server 2003 на соответствующую платформу Windows.

Примечание. Сервер Microsoft Exchange Server 2003 можно установить в системе Windows 2003 или Windows 2000 с пакетом обновления 3 (SP3) или более поздним. Подробные требования по установке сервера Exchange Server выходят за рамки данного руководства. См. тему Установка новых серверов Exchange 2003 Server на веб-узле Microsoft TechNet по адресу www.microsoft.com/technet/prodtechnol/exchange/guides/Ex2k3DepGuide/a3318f57-3536-4e65-9309-9300cda23c73.mspx?mfr=true (эта ссылка может указывать на содержимое полностью или частично на английском языке).

2. Установлен ли пакет обновления 2 (SP2) для сервера Exchange Server 2003?

пакет обновления 2 (SP2) для сервера Exchange Server 2003 — это накопительное обновление, улучшающее среду обмена сообщениями сервера Exchange Server 2003 с помощью:

* улучшения мобильного доступа к электронной почте;
* совершенствования почтового ящика;
* более надежной защиты от нежелательных сообщений.

Пакет обновления 2 (SP2) обеспечивает улучшенную защиту от нежелательных сообщений, описанную выше в данном документе, которая позволяет обеспечить безопасность и надежность среды обмена сообщениями. Улучшенная защита включает в себя следующие функции.

* Обновленный и интегрированный интеллектуальный фильтр сообщений Exchange, основанный на запатентованной технологии фильтрации SmartScreen, разработанной исследовательским центром Microsoft Research.
* Обновленная поддержка протокола проверки подлинности сообщения электронной почты по коду отправителя, позволяющая защититься от фишинг-атак и подмены.

3. Включен ли виртуальный сервер SMTP по умолчанию в диспетчере Exchange?

Фильтрация получателей, интеллектуальная фильтрация, фильтрация по коду отправителя и фильтрация на уровне соединения настраиваются в общих параметрах. Эти функции также должны быть включены на уровне протокола SMTP. Поэтому включите протокол SMTP, прежде чем применить изменения в работе этих служб.

4. Установлено ли на клиентских компьютерах приложение Outlook 2003?

Серверы могут настраиваться в зависимости от требований, но если у клиентов установлена устаревшая версия Outlook, они не смогут воспользоваться преимуществами средств, предоставляемых системой защиты от нежелательной почты Microsoft Exchange Server 2003 Anti-Spam Framework.

Если все требования для сервера Exchange Server 2003 и его клиентов выполнены, можно использовать следующие службы:

* защиты на уровне соединения;
o фильтрации на уровне IP-соединения;
o черных списков реального времени;
,
* защиты на уровне протокола;
o блокирования получателя и отправителя;
o фильтрации по коду отправителя;
* защиты на уровне содержимого;
o интеллектуального фильтра сообщений Exchange;
o фильтрации нежелательной почты в приложении Outlook 2003 и веб-клиенте Outlook

Разработка

В разделе по оценке было поставлено несколько вопросов о сервере Exchange Server 2003 и требованиях к клиентам для работы с системой защиты от нежелательных сообщений сервера Microsoft Exchange Server 2003.

Решения для борьбы с нежелательными сообщениями в среде Exchange Server также включают в себя средства обеспечения безопасности клиента и обучения пользователя. Все эти подходы нужно использовать для борьбы с нежелательными сообщениями в среде Exchange Server.

Все способы защиты от нежелательных сообщений, предоставляемые системой защиты от нежелательных сообщений Microsoft Exchange Server 2003, могут применяться при выполнении следующих требований.

* Сервер Exchange Server 2003 установлен на соответствующие платформы Windows.
* Приложение Outlook 2003 и веб-клиент Outlook настроены и отрегулированы.
* Применены все новейшие рекомендованные обновления и исправления, включая пакет обновления 2 (SP2).

Более глубокое понимание принципов работы каждой из служб в отдельности и в ходе взаимодействия между собой обеспечит их лучшее внедрение. Данный раздел содержит более подробную информацию об этих службах, которая необходима для их развертывания и управления ими.
Защита на уровне соединения

Сервер Exchange Server 2003 с пакетом обновления 2 (SP2) осуществляет фильтрацию на уровне соединения, в процессе которой IP-адрес подключающегося сервера проверяется по списку запрещенных IP-адресов (черному списку реального времени). Сравнение IP-адресов происходит мгновенно в момент установки сеанса SMTP, что позволяет предприятию блокировать соединение со своим шлюзом на самой ранней стадии отправки сообщения. Связь прерывается еще до того, как с сервера, внесенного в черный список реального времени, будет отправлено сообщение. Такой подход помогает снизить затраты на производительность как на уровне обмена сообщениями, так и на сетевом уровне.

При установке фильтрации на уровне соединения на сервере Exchange Server 2003 с пакетом обновления 2 (SP2) на предприятиях среднего бизнеса можно создавать собственные списки разрешенных и запрещенных отправителей или использовать сторонние базы данных запрещенных IP-адресов.

Большинство серверов Exchange Server 2003 с пакетом обновления 2 (SP2) разворачиваются в пределах организации и не взаимодействуют с Интернетом напрямую. Подобное использование делает фильтрацию на уровне соединения менее полезной, поскольку для данной функции необходим оригинальный IP-адреса отправителя для отправки запроса DNS. В пакете обновления 2 (SP2) этот недостаток устранен с помощью нового алгоритма анализа заголовка, который позволяет отслеживать исходный IP-адрес. Сервер Exchange Server 2003 с пакетом обновления 2 (SP2) с развернутой системой фильтрации на уровне соединения может быть расположен где угодно и выполнять фильтрацию так же, как если бы он находился на периметре организации.
Фильтрация по IP-соединению

На предприятиях среднего бизнеса можно создавать собственные неизменяемые списки запрещенных IP-адресов. Как видно из названия, глобальный запрещающий список содержит определенные IP-адреса и сети, сообщение электронной почты с которых никогда не будет принято организацией. И наоборот, можно создавать глобальный разрешающий список — список IP-адресов и сетей, по отношению к которым организация не применяет функцию блокировки сообщений электронной почты и политики фильтрации. Глобальный разрешающий список контактов может содержать IP-адреса, принадлежащие дочерним компаниям или торговым партнерам, с которыми у предприятия среднего бизнеса установились доверительные отношения. В этой ситуации предприятию не нужны ложные результаты проверки, поэтому проверенные IP-адреса серверов отправителей электронной почты вносятся в глобальный разрешающий список.
Черные списки реального времени

Черный список реального времени — это база данных на основе DNS, содержащая IP-адреса известных и подтвержденных источников нежелательной почты. Черные списки реального времени можно приобрести у компаний, которые занимаются постоянной проверкой Интернета и известных источников нежелательной почты. Обнаруженные IP-адреса, с которых рассылается нежелательная почта, заносятся в базу данных черного списка реального времени. Обычно эти списки предоставляются бесплатно или приобретаются за плату, если администратору необходим расширенный спектр услуг.

Сервер Exchange Server 2003 с пакетом обновления 2 (SP2) позволяет пользоваться сторонними черными списками реального времени. Если сервер Exchange Server 2003 с пакетом обновления 2 (SP2) настроен на работу со сторонними черными списками реального времени, он сверяет IP-адрес сервера, с которого поступает сообщение, с базой данных черного списка и, в случае совпадения, запрещает подключение.

В связи с тем, что принцип работы черного списка реального времени основан на проверке IP-адреса сервера-отправителя, а не содержания сообщения, черные списки реального времени технически представляют собой отдельную категорию программного обеспечения сторонних разработчиков для защиты от нежелательной почты. Черные списки реального времени действуют аналогично шлюзам, закрывая доступ в рабочую среду сообщениям с вредоносных или подозрительных серверов. Сообщение, которое прошло проверку по черным спискам реального времени, проверяется на следующем уровне проверки (например, интеллектуальным фильтром сообщений).

Поскольку количество запросов DNS в связи с черными списками реального времени, которые ежедневно обрабатываются ИТ-специалистами корпорации Майкрософт, составляет десятки миллионов, ИТ-специалисты корпорации Майкрософт регулярно передают копию черного списка на свои локальные DNS-серверы (обычно несколько раз в день). Большинству поставщиков списков, требуются локальные копии черных списков реального времени, способные обработать более 250 000 запросов в день. Передача копии черного списка реального времени называется передачей зоны от поставщика списка. ИТ-специалисты корпорации Майкрософт настроили шлюзы своих серверов Exchange Server 2003 с пакетом обновления 2 (SP2) таким образом, чтобы запросы DNS, связанные с черными списками реального времени, передавались на эти локальные DNS-серверы.
Защита на уровне протокола

После того, как SMTP-сообщение прошло защиту на уровне соединения, оно вновь проверяется — на этот раз на уровне протокола SMTP. Диалог SMTP между отправляющим SMTP-узлом и получающим SMTP-узлом анализируется, чтобы удостовериться, что отправитель и получатели разрешены, и чтобы определить доменное имя отправителя по протоколу SMTP.
Блокирование получателей и отправителей

Функция фильтрации получаемых сообщений на сервере Exchange Server 2003 с пакетом обновления 2 (SP2) позволяет предприятиям среднего бизнеса предотвращать или уменьшать эффект от направленной массированной рассылки писем. Зачастую получатели, на которых направлены такие атаки, даже не нуждаются в получении сообщений из Интернета. Система фильтрации по получателю проверяет сообщения на уровне шлюза, основываясь на том, кому они адресованы.

Хотя фильтрация по получателю сообщений не так эффективна, как решения по борьбе с нежелательной почтой в реальном времени, она может быть чрезвычайно полезной для защиты от массированной рассылки писем. Недавно ИТ-специалисты корпорации Майкрософт с помощью фильтрации по получателю заблокировали миллионы сообщений, адресованных всего нескольким получателям, за один день.
Фильтрации по коду отправителя

Фильтрация по коду отправителя — это протокол проверки подлинности почты, позволяющий устранить проблему подделки и фишинга путем проверки домена, с которого отправляется электронная почта. Функция фильтрации по коду отправителя устанавливает происхождение почтового сообщения путем сравнения IP-адреса отправителя с данными об указанном владельце домена.

Эта функция проверяет подлинность каждого почтового сообщения, отправленного с определенного домена Интернета. Проверка осуществляется путем сопоставления адреса сервера, с которого отправляется электронное письмо, с зарегистрированным списком серверов, авторизованных владельцем домена для отправки электронной почты. Перед тем, как почтовое сообщение получено пользователем, такая проверка автоматически выполняется поставщиком услуг Интернета или почтовым сервером получателя. Результат фильтрации по коду отправителя можно использовать в качестве дополнительных входных данных для проверочных заданий, выполненных почтовым сервером. Если подлинность отправителя подтверждена почтовый сервер может учесть предыдущие случаи, пути прохождения трафика, репутацию отправителя, а также применить обычные фильтры содержимого, чтобы оценить возможность доставки почты получателю.
Защита на уровне содержимого

В идеале нежелательная почта не должна достигать клиентского уровня. В действительности некоторые нежелательные сообщения попадают на компьютеры пользователей. Одна из основных причин, по которой не следует устанавливать параметры фильтрации, при которых будут удаляться все подозрительные сообщения — это схожесть некоторых свойств разрешенных почтовых сообщений (например бюллетеней) со свойствами нежелательной почты. Кроме того, у отдельных пользователей могут быть свои индивидуальные предпочтения, которые невозможно задействовать в корпоративных настройках.
Интеллектуальный фильтр сообщений Exchange

Первоначальный фильтр, через который должно пройти входящее электронное письмо, — это интеллектуальный фильтр сообщений на серверах Exchange Server 2003 с пакетом обновления 2 (SP2), которые находятся на шлюзах среды обмена сообщениями. Интеллектуальный фильтр сообщений использует значения SCL и PCL (вероятность фишинга — один из факторов, влияющих на окончательный показатель SCL), а также встроенную в систему Exchange Server 2003 с пакетом обновления 2 (SP2) функцию проверки по коду отправителя Этот фильтр классифицирует определенные компоненты сообщения выполняет его эвристический анализ и присваивает каждому сообщению показатель SCL от 0 до 9. Чем выше показатель, присваиваемый сообщению, тем больше вероятность того, что оно является нежелательным.

Сервер Exchange Server 2003 с пакетом обновления 2 (SP2) включает в себя последние данные и обновления для интеллектуального фильтра сообщений. Усовершенствования для интеллектуального фильтра сообщений и обновления, выпускаемые каждые две недели, помогают определять нежелательные почтовые сообщения и уменьшать количество ошибок при проверке. Эти усовершенствования содержат новые возможности для борьбы с нежелательной почтой, включающие блокировку фишинг-атак. Цель разработчиков фишинг-схем — обманным способом запрашивать важные личные сведения, маскируясь под надежные веб-узлы.

В среде Exchange Server 2003 с пакетом обновления 2 (SP2) можно настроить фильтрацию сообщений, значения SCL-рейтингов которых выше пороговых значений, настроенных администраторами. Интеллектуальный фильтр сообщений применяет два пороговых значения, установленных в системе Exchange Server 2003 с пакетом обновления 2 (SP2): значение для шлюза и значение для хранения.
Фильтрации нежелательной почты в приложении Outlook 2003 и веб-клиенте Outlook.

* Фильтр нежелательной почты В приложении Outlook 2003 применяется современная технология, разработанная исследовательским центром Microsoft Research, для определения нежелательности сообщения на основании таких факторов, как количество его отправок, а также его содержимое и структура. Фильтр не определяет конкретного отправителя или вид сообщения. Вместо этого он проводит сложный анализ для определения вероятности того, что сообщение будет расценено получателем как нежелательное.

По умолчанию фильтр настроен на низкий уровень, предназначенный для обнаружения наиболее явных нежелательных сообщений. Задержанные фильтром сообщения перемещаются в специальную папку нежелательной почты для последующего рассмотрения. При необходимости можно установить для фильтра более высокий уровень безопасности (при котором могут ошибочно задерживаться безопасные сообщения) или включить в приложении Outlook 2003 функцию удаления поступающих нежелательных сообщений навсегда. Узнайте больше о фильтре нежелательной почты.
* Списки надежных отправителей Если сообщение ошибочно отмечено фильтром как нежелательное, можно добавить адрес его отправителя в список надежных отправителей. Сообщения с электронных адресов и из доменов в списке надежных отправителей никогда не расцениваются как нежелательная почта, независимо от их содержимого. Контакты считаются надежными по умолчанию и сообщения, полученные с этих адресов, не расцениваются как нежелательные. Сообщения, отправляемые внутри организации, также никогда не рассматриваются как нежелательные, если в компании установлен сервер Microsoft Exchange Server. Можно настроить приложение Outlook 2003 на получение сообщений только из списка надежных отправителей, что позволяет эффективно управлять потоком получаемой почты.
* Список заблокированных отправителей Почтовые сообщения, которые поступают с определенных адресов или доменов, можно заблокировать путем добавления адресов отправителей в список заблокированных отправителей. Сообщения от пользователей или доменов, которые внесены в список нежелательных отправителей, будут всегда расцениваться в качестве нежелательных, независимо от содержимого.
* Список надежных получателей Список электронных адресов или группа, членом которой является пользователь, могут быть добавлены в список надежных получателей. Любые сообщения, отправляемые на адреса или в домены из этого списка, не будут считаться нежелательными, независимо от репутации отправителя и содержимого сообщения.
* Автоматическое обновление Обновлять фильтр нежелательных сообщений можно с помощью периодических обновлений от корпорации Майкрософт, что позволяет блокировать нежелательные сообщения новейшими способами. Корпорация Майкрософт следит за своевременной поставкой обновлений для фильтра нежелательных сообщений.

Развертывание и управление

Основной задачей системы защиты от нежелательной почты Microsoft Exchange Server 2003 Anti-Spam Framework является способность анализировать работу каждого из входящих в нее методов и их совместную работу. При правильном понимании возможностей этой системы развертывание и управление этими технологиями позволит предприятиям среднего бизнеса эффективно бороться с нежелательной почтой в среде Microsoft Exchange Server. Пользователи также должны обладать начальными знаниями о борьбе с нежелательной почтой, чтобы управлять клиентскими компьютерами в их рабочей среде. Кроме этого, в данном разделе будет обсуждаться отслеживание и устранение неисправностей интеллектуального фильтра сообщений как часть постоянного процесса управления.

Следующие функции необходимо настраивать как на уровне глобальных настроек, так и на уровне протокола SMTP. В конце данного раздела обсуждаются необходимые пользователю знания.
В этом разделе описываются пошаговые процедуры для настройки:

* защиты на уровне соединения;
o фильтрации на уровне IP-соединения;
o черных списков реального времени;
,
* защиты на уровне протокола;
o блокирования получателя и отправителя;
o фильтрации по коду отправителя;
* защиты на уровне содержимого;
o интеллектуального фильтра сообщений Exchange;
o фильтрации нежелательной почты в приложении Outlook 2003 и веб-клиенте Outlook

Защита на уровне соединения

Система Exchange Server 2003 поддерживает фильтрацию соединений, действующую на основе черных списков реального времени. С помощью этой функции входящий IP-адрес сверяется с черным списком реального времени (RBL) поставщика услуг по категориям фильтрации. При обнаружении совпадения в черном списке реального времени, протокол SMTP выдает сообщение об ошибке 550 5.x.x в ответ на команду RCPT TO, после чего отправителю направляется соответствующий ответ об ошибке. Можно использовать несколько фильтров подключения и в определенном порядке.

При создании фильтра подключения необходимо установить правило, которое протокол SMTP использует для запроса DNS в стороннем черном списке реального времени. Фильтр подключения сверяет каждый входящий IP-адрес со сведениями в черном списке, предоставленном сторонним поставщиком. Поставщик черного списка реального времени выдает один из двух следующих ответов.

* Узел не найден. Такой ответ означает, что IP-адрес не занесен в черный список.
* 127.0.0.x. Этот код состояния означает, что данный IP-адрес существует в списке ненадежных отправителей. Число x варьируется в зависимости от поставщика.

Если входящий IP-адрес обнаружен в списке, протокол SMTP выдает сообщение об ошибке 5.x.x в ответ на команду RCPT TO (команда протокола SMTP, которую сервер подключения выдает для определения получателя сообщения).
Поставщики черных списков реального времени

Предприятиям среднего бизнеса следует тщательно выбирать поставщиков, поскольку различные поставщики черных списков реального времени предлагают различные виды списков и услуг. Двумя наиболее известными поставщиками являются Spam Haus (www.spamhaus.org) и Spam Cop (www.spamcop.net).

Ответы на следующие вопросы помогут выбрать нужного поставщика черных списков реального времени.

* Качество составления списка Проверяет ли кто-либо, что IP-адрес, добавленный в список действительно принадлежит нежелательному отправителю? Можно ли самостоятельно добавлять адреса в список?
* Безопасность списка Осуществляются ли проверки безопасности списка? Проверяет ли кто-нибудь, что IP-адреса не были добавлены в список по ошибке или злоумышленно?
* Обновление списка Как осуществляется процесс редактирования списка? Если добавление адреса в список происходит автоматически, то удаление адреса после прекращения получения нежелательной почты также должно быть автоматическим. Как скоро обновляются списки?
* Процесс передачи списка Разрешает ли производитель полные или постепенные передачи типа Berkeley Internet Name Domain (BIND), совместимые с DNS-сервером Windows?
* Поддержка пользователей поставщиком черного списка Какой уровень поддержки предоставляет поставщик?

Фильтрация по IP-соединению
Настройка фильтрации по IP-соединению

1. В диспетчере Exchange разверните контейнер Global Settings (Глобальные параметры).

2. Щелкните правой кнопкой мыши элемент Message Delivery (Доставка сообщений) и щелкните пункт Properties (Свойства).

3. Перейдите на вкладку Connection Filtering (Фильтрация по соединению).

4. В зависимости от того, что необходимо сделать, нажмите кнопку Accept (Принять), Deny (Запретить) или Exception (Исключение). В следующем примере рассматривается запрещение.

5. Выберите пункт Single IP Address (Один IP-адрес) или Group of IP Addresses (Группа IP-адресов), как показано на снимке экрана.
exchange-server
Черные списки реального времени (RBL)
Настройка работы черного списка реального времени на уровне глобальных настроек

1. В диспетчере Exchange разверните контейнер Global Settings (Глобальные параметры).

2. Щелкните правой кнопкой мыши элемент Message Delivery (Доставка сообщений) и щелкните пункт Properties (Свойства).

3. Перейдите на вкладку Connection Filtering (Фильтрация по соединению).

4. Чтобы создать правило для фильтра подключения, нажмите кнопку Add (Добавить). См. снимок экрана.
exchange-server

5. В поле Display Name (Выводимое имя) наберите имя фильтра подключения.

6. В поле DNS Suffix of Provider (DNS-суффикс поставщика) введите DNS-суффикс поставщика (например contoso.com).

7. В поле Custom Error Message to Return (Возвращаемое сообщение об ошибке) можно набрать сообщение об ошибке, которое будет выдаваться отправителю. Не заполняйте это поле, чтобы использовать сообщение об ошибке, выдаваемое по умолчанию:

has been blocked by <Имя правила фильтра подключения>

Создать специальное сообщение можно с помощью следующих переменных:

Для того чтобы специальное сообщение выглядело как:

IP-адрес заблокирован следующим поставщиком черного списка реального времени <имя поставщика черного списка,

в поле Custom Error Message to Return (Возвращаемое сообщение об ошибке) нужно ввести:

IP-адрес%p0 был заблокирован поставщиком черного списка реального времени%p2. Примечание. Сервер Exchange заменит %p0 на IP-адрес подключения, а %p2 на имя поставщика черного списка.

8. Чтобы выбрать коды состояния, получаемые от поставщика черного списка, которые будут соответствовать фильтру подключения, нажмите кнопку Return Status Code (Возвращать код состояния) Появится следующее диалоговое окно.
exchange-server

9. Выберите один из следующих пунктов в диалоговом окне Return Status Code (Возвращать код состояния).

* Match Filter Rule to Any Return Code (Применить правило фильтра к любому возвращенному коду) Данное правило фильтра подключения применяется к любому возвращенному коду состояния, полученному от службы поставщика. Это правило устанавливает значение по умолчанию, при котором фильтру подключения соответствует любой возвращенный код.

Примеры:

127.0.0.1. Черный список

127.0.0.2. Известная открытая пересылка

127.0.0.4.IP-адрес коммутируемого соединения
* Match Connection Filter to the Following Mask (Применить фильтр подключения к следующей маске) Данное правило фильтра подключения применяется к возвращенным кодам состояния, полученным от поставщика, с использованием интерпретирующей маски. Введите маску, на основе которой будет осуществляться фильтрация, в соответствии с масками, которые используют поставщики.

Примеры:

0000 | 0001. Черный список

0000 | 0010. Открытая пересылка

0000 | 0011. Открытая пересылка или черный список

0000 | 0100. Коммутируемое соединение

0000 | 0101. Коммутируемое соединение или черный список

0000 | 0110. Коммутируемое соединение или открытая пересылка

0000 | 0111. Коммутируемое соединение, открытая пересылка или черный список
* Match Filter Rule to Any of the Following Responses (Применить правило фильтра к любому из следующих ответов) Данное правило фильтра подключения применяется к возвращенным кодам состояния, полученным от поставщика, с использованием конкретных значений возвращенных кодов состояния.

10. Нажмите кнопку ОК.

Для правильной работы параметры отправителя, получателя, интеллектуального фильтра сообщений и фильтра подключений должны также быть применены на уровне протокола SMTP. Для этого необходимо выполнить следующие действия.

Включение функций фильтрации на уровне протокола SMTP

1. Запустите диспетчер Exchange.

2. Разверните узел Servers (Серверы).

3. Разверните узел <имя сервера> (для настройки необходимого почтового сервера).

4. Разверните узел Protocols (Протоколы).

5. Разверните узел SMTP.

6. Щелкните правой кнопкой мыши элемент Default SMTP Virtual Server (Виртуальный сервер SMTP по умолчанию) и выберите пункт Properties (Свойства).

7. В окне Default SMTP Virtual Server Properties (Свойства виртуального сервера SMTP по умолчанию) нажмите кнопку Advanced (Дополнительно).

8. В окне Advanced (Дополнительно) нажмите кнопку Edit (Изменить).

9. В окне Identification (Идентификация) установите флажок Apply Connection Filter (применять фильтр соединения) чтобы применить ранее установленный фильтр (как показано на снимке экрана).
exchange-server
Защита на уровне протокола

После того, как SMTP-сообщение прошло защиту на уровне соединения, оно вновь проверяется — на этот раз на уровне протокола SMTP. Диалог SMTP между отправляющим SMTP-узлом и получающим SMTP-узлом анализируется, чтобы удостовериться, что отправитель и получатели разрешены, и чтобы определить доменное имя отправителя по протоколу SMTP.

Фильтрация по получателю

Чтобы предотвратить доставку сообщений, отправляемых на определенные адреса получателей, используйте функцию фильтрации по получателю.

Настройка фильтрации получаемых сообщений

1. Запустите диспетчер Exchange.

2. Разверните контейнер Global Settings (Глобальные параметры).

3. Щелкните правой кнопкой мыши элемент Message Delivery (Доставка сообщений) и щелкните пункт Properties (Свойства).

4. Перейдите на вкладку Recipient Filtering (Фильтрация по получателю).

5. Выберите пункт Filter recipients who are not in the Directory (Проводить фильтрацию получателей вне каталога).

6. Нажмите кнопку Add (Добавить) и добавьте адрес получателя (как показано на снимке экрана).
exchange-server
Фильтрация по коду получателя

Чтобы настроить действия фильтра кода получателя, используйте параметры фильтрации по коду получателя. С помощью этих параметров можно настроить действия сервера в отношении сообщений, не прошедших проверку по коду получателя. Функция фильтрации по коду отправителя является отраслевым стандартом, который можно использовать для обеспечения высокой степени защиты от незатребованных коммерческих сообщений электронной почты и фишинг-атак.<|p>

По умолчанию для фильтрации по коду отправителя установлено значение Accept (Принять). Можно задействовать фильтр по коду отправителя и внутри периметра сети. Для этого укажите IP-адреса серверов в своей внутренней сети, которые необходимо исключить из списка фильтрации по коду отправителя.
Настройка фильтрации по коду отправителя

1. Запустите диспетчер Exchange.

2. Разверните контейнер Global Settings (Глобальные параметры).

3. Щелкните правой кнопкой мыши элемент Message Delivery (Доставка сообщений) и щелкните пункт Properties (Свойства).

4. Перейдите на вкладку Sender ID Filtering (Фильтрация по коду отправителя).

5. Выберите необходимые параметры фильтрации по коду отправителя (как показано на снимке экрана).
exchange-server
Защита на уровне содержимого.

Фильтрация содержимого в системе Exchange Server 2003 с пакетом обновления 2 (SP2) основана на технологии машинного обучения SmartScreen, разработанной исследовательским центром Microsoft Research, которая встроена в интеллектуальный фильтр сообщений (IMF). Сообщения из Интернета попадают на шлюз протокола SMTP сервера Exchange Server и попадают в систему защиты от нежелательной почты Exchange Server Anti-Spam Framework. Предыдущие уровни системы защиты от нежелательной почты в сервере Exchange (фильтрация по соединению, отправителю и получателю) блокируют доставку сообщения до непосредственного получения содержащихся в нем данных. Если сообщение проходит все предыдущие этапы проверки, происходит содержимое сообщения попадает в сеть.

Интеллектуальный фильтр сообщений может точно оценить вероятность того, что входящее почтовое сообщение является безопасным, либо нежелательным.
Интеллектуальный фильтр сообщений Exchange

Интеллектуальный фильтр сообщений Exchange является важным компонентом в процессе борьбы с нежелательной почтой. Это SCL-совместимый фильтр, обеспечивающий широкие возможности серверной фильтрации сообщений, специально созданный для борьбы с потоком нежелательной почты. Для получения дополнительных сведений посетите веб-узел интеллектуального фильтра сообщений Exchange по адресу http://go.microsoft.com/fwlink/?linkid=21607.
Настройка интеллектуального фильтра сообщений Exchange

1. Запустите диспетчер Exchange.

2. Разверните контейнер Global Settings (Глобальные параметры).

3. Щелкните правой кнопкой мыши элемент Message Delivery (Доставка сообщений) и щелкните пункт Properties (Свойства).

4. Перейдите на вкладку Intelligent Message Filtering (Интеллектуальная фильтрация сообщений).

5. В элементе Block message with an SCL rating greater than or equal to (Блокировать сообщения с показателем равным или большим) (см. снимок экрана), выберите необходимый показатель. Шкала SCL имеет значения от 0 до 9. Чем выше значение, тем больше вероятность того, что сообщение является нежелательным.
exchange-server
Фильтрации нежелательной почты в приложении Outlook 2003 и веб-клиенте Outlook

Приложение Outlook 2003 и веб-клиент Outlook 2003 обладают возможностями, которые помогают защитить пользователей от нежелательной почты. Эти возможности перечислены ниже.

* Управляемые пользователем черные списки и списки надежных отправителей и получателей Черные списки и списки надежных отправителей, применяемые в приложении Outlook 2003 и веб-клиенте Outlook, хранятся в почтовом ящике пользователя. Поскольку обе программы используют один и тот же список, пользователям не нужно создавать две версии.
* Блокирование внешнего содержимого Приложение Outlook 2003 и веб-клиент Outlook 2003 затрудняют отправителям нежелательных сообщений использование маяков для получения электронных адресов. При получении входящих сообщений, содержащих любые данные, которые можно использовать в качестве маяка, обозреватель Outlook и веб-клиент Outlook Web Access выдают предупреждающее сообщение независимо от реального наличия маяка. Если пользователь уверен в безопасности сообщения, он может щелкнуть предупреждение, чтобы загрузить содержимое. Если пользователь не уверен в безопасности сообщения, он может удалить его, не задействовав при этом маяки, которые уведомляют отправителя нежелательной почты.
* Усовершенствованное управление нежелательной почтой С помощью приложения Outlook 2003 пользователи могут создавать правила поиска почтовых сообщений по конкретным фразам и автоматически перемещать сообщения, содержащие эти фразы, из папки «Входящие» в специальную папку (например в папку «Нежелательная почта» или «Удаленные»). Также пользователи могут навсегда удалить подозрительное сообщение вместо его перемещения в специальную папку.
* Фильтр нежелательной почты В приложении Outlook 2003 имеется фильтр нежелательной почты, который выполняет поиск по общим свойствам нежелательной почты. Список этих свойств обновляется при обновлении пакета Office. При обнаружении каждого подозрительного свойства обозреватель Outlook увеличивает значение счетчика. Чем выше этот показатель счетчика для сообщения, тем больше вероятность того, что оно является нежелательным. Настройте уровень защиты от нежелательной почты в диалоговом окне Параметры нежелательной почты.

Настройка фильтра нежелательной почты в приложении Outlook 2003

1. Войдите в меню Действия приложения Outlook 2003.

2. Выберите пункт Нежелательная почта и затем пункт Параметры нежелательной почты (см. снимок экрана).
exchange-server

3. Появится диалоговое окно, изображенное на следующем снимке экрана, которое позволяет выбрать нужный уровень защиты от нежелательной почты.
exchange-server
Настройка фильтра нежелательной почты в веб-клиенте Outlook (OWA)

1. Войдите в учетную запись Outlook Web Access.

2. Щелкните Параметры.

3. Выберите пункт Управление списками отправителей нежелательной почты.

4. Выберите нужный элемент в списке Просмотреть или изменить список (см. снимок экрана).
exchange-server

5. В зависимости от необходимого действия нажмите кнопку Добавить, Изменить или Удалить.

,strong>Примечание. На начальном этапе работы с этими параметрами нежелательной почты или при изменении настроек необходимо регулярно проверять сообщения, удаленные из папки «Входящие», чтобы убедиться в том, что безопасные сообщения не были удалены. Обновления параметров нежелательной почты в обозревателе Outlook 2003 будут перечислены в разделе Обновление Office на веб-узле Microsoft Office Online по адресу http://go.microsoft.com/fwlink/?LinkId=24393.
Отслеживание и устранение неисправностей в интеллектуальном фильтре сообщений

Проблемы отслеживания и устранения неисправностей в интеллектуальном фильтре сообщений системы Microsoft Exchange решаются с помощью компонентов «Просмотр событий» и «Системный монитор». В этом разделе содержатся подробные сведения об отслеживании и устранении неисправностей.
Использование компонента «Просмотр событий»

В журнале приложений и системном журнале компонента «Просмотр событий» содержатся события, связанные с ошибками, предупреждениями и сведениями о работе сервера Exchange, протокола SMTP-службы и других приложений. Чтобы определить причину неисправностей интеллектуального фильтра сообщений, внимательно изучите сведения, содержащиеся в журнале приложений и системном журнале.

Интеллектуальный фильтр сообщений записывает события в компонент «Просмотр событий» с помощью исходного транспорта MSExchangeTransport и SMTP-протокола категорий.
Поиск событий в интеллектуальном фильтре сообщений с помощью компонента «Просмотр событий»

1. В меню Пуск выберите пункты Все программы, Администрирование и Просмотр событий.

2. В дереве консоли щелкните пункт Журнал приложений.

3. Чтобы отсортировать записи в журнале в алфавитном порядке и быстро найти запись для служб сервера Exchange, щелкните кнопку Источник в области сведений (см. снимок экрана).
exchange-server

4. Чтобы отфильтровать журнал по записям событий, внесенных в интеллектуальный фильтр сообщений, выберите пункт Фильтр в меню Вид.

5. В пункте Свойства журнала приложений выберите транспорт MSExchangeTransport в списке Событие.

6. В списке Категория выберите пункт Протокол SMTP.
Использование компонента «Системный монитор», а также оповещений и журналов производительности

Интеллектуальный фильтр сообщений имеет несколько счетчиков производительности, которые используются для отслеживания его работы и производительности.

Использование компонента «Системный монитор», а также оповещений и журналов производительности

1. В меню Пуск выберите пункты Все программы, Администрирование и Производительность.

2. Выделите пункт Системный монитор и нажмите кнопку +, чтобы добавить счетчики.

3. В диалоговом окне Добавить счетчики в списке Элемент производительности, выберите пункт MSExchange Intelligent Message Filter (см. снимок экрана).
exchange-server
Сведения, необходимые пользователям

Как и в любом другом аспекте, независимо от того, связано ли это с защитой от вирусов, несанкционированного доступа пользователей или нежелательной почты, технология не может быть единственным способом защиты от угроз и атак. Пользователи, обладающие необходимыми знаниями, могут играть важную роль в процессе управления нежелательной почтой. Необходимо инструктировать пользователей о том, как предотвращать и фильтровать нежелательную почту в среде обозревателя Outlook.

Инструкции должны содержать следующие правила:

* Никогда не отвечать на запросы по электронной почте финансовых или личных сведений.
* никогда и никому не сообщайте пароли;
* не открывайте подозрительные файлы, вложенные в почтовые сообщения.
* Не отвечать на любые подозрительные или нежелательные сообщения электронной почты.
* Настройте параметры нежелательной почты в приложении Outlook 2003, как было описано выше в разделе этого документа «Фильтрация нежелательной почты в приложении Outlook 2003 и веб-клиенте Outlook».

Аннотация

Многие предприятия среднего бизнеса выстраивают свои важные бизнес-процессы с учетом возможностей системы Microsoft Exchange Server 2003. Значительная часть их повседневной деятельности зависит от услуг, которые предоставляет сервер Exchange Server.

Увеличение потока нежелательной почты продолжает вызывать трудности для предприятий среднего бизнеса. Это не только раздражающая помеха — нежелательная почта увеличивает загрузку сетей, а также временные, финансовые и другие затраты отдельных пользователей и целых предприятий во всем мире.

В данном документе указаны способы снижения количества нежелательной почты в среде Exchange Server 2003. Система защиты от нежелательной почты Exchange Server 2003 Anti-Spam Framework сочетает в себе методы защиты от нежелательной почты, позволяющие администраторам и конечным пользователям достаточно эффективно уменьшать количество.

Добавить комментарий

всё о почтовых и курьерских услугах