Установка и настройка решений почтовой гигиены на брандмауэре TMG 2010 Firewall - часть 3: Настройка политики антиспама

Во второй части этого цикла статей о решениях почтовой гигиены брандмауэров TMG мы узнали, как включать функции. Когда эта функция включена, она сразу же приступает к работе (если предположить, что вы настроили поддерживающую инфраструктуру на поддержку почтового шлюза TMG). В этой части мы рассмотрим, что доступно при настройке функций антиспама.

Настройка фильтрации спама

Перейдите в закладку Фильтрация спама (Spam Filtering) в средней панели консоли. Здесь вы найдете набор опций Настройка фильтрации спама (Configure Spam Filters). К этим опциям относится следующее:

• IP Allow List: позволяет настроить собрание IP адресов, с которых сообщения всегда будут приниматься
• IP Allow List Providers: позволяет настроить адрес одного или нескольких провайдеров списков разрешенных IP адресов (IP Allow List)
• IP Block List: позволяет настроить список адресов, с которых будет запрещено получение почты
• Content Filtering: позволяет блокировать электронную почту на основе содержимого сообщений
• Recipient Filtering: позволяет управлять доставкой сообщений на основе получателя
• Sender Filtering: позволяет управлять доставкой электронной почты на основе отправителя
• Sender ID: управляет разрешением или запрещением почты на основе наличия записи Sender ID
• Sender Reputation: позволяет разрешать или запрещать почту на основе значения репутации отправителя.

Итак, начнем с опции Белый список IP адресов (IP Allow List).

IP Allow List

В диалоговом окне IP Allow List нажмите на закладку Разрешенные адреса (Allowed Addresses). Здесь вы можете вводить адреса или диапазон адресов, с которых сообщения всегда будут приниматься.

IP Allow List Providers

Выберите опцию Поставщики белых списков IP адресов (IP Allow List Providers) в средней панели консоли. В диалоговом окне IP Allow List Providers перейдите в закладку Поставщики (Providers). Здесь вы можете настроить список провайдеров белых списков IP адресов. Нажмите кнопку Добавить (Add) для добавления записи. Если вы хотите ввести один адрес, вы можете ввести этот адрес в поля Начало (Start) и Конец (End).

В диалоговом окне IP List Provider вы можете ввести следующую информацию:

• Имя поставщика (Provider name). Введите имя поставщика IP Allow List в текстовом поле. Это делается только для идентификации, это значение не используется системой
• Домены поиска (Lookup domain). Это имя домена вашего поставщика IP Allow List
• Сопоставить с любым кодом возврата (Match any return code). Эта опция позволяет системе воспринимать любой код статуса IP адреса, как соответствующий

IP Block List

Выберите опцию Черный список IP адресов (IP Block List) в средней панели консоли брандмауэра TMG. Это вызовет диалоговое окно IP Block List. Перейдите в закладку Блокируемые адреса (Blocked Addresses). Здесь вы можете нажать кнопку Добавить (Add) для добавления одного или нескольких адресов, с которых вы не желаете получать почту. Сообщения с этих адресов будут блокироваться.

Обратите внимание, что в диалоговом окне Черный список IP адресов – диапазон IP адресов (Blocked IP Address ' IP Range) у вас есть возможность выбрать опции:

• Неограниченный срок блокирования этого диапазона адресов (Never let this address expire) or
• Блокировать до (дата и время) - Block until date and time

Это полезно, если вы хотите заблокировать почту с определенных адресов на определенный срок по причине спама, но хотите разрешить прием почты с этих адресов после исправления проблемы.

Перейдите в закладку Провайдеры (Providers). В этой закладке есть опции, подобные тем, которые мы рассмотрели в диалоге IP Allow List, и записи здесь осуществляются таким же способом.

Диалоговое окно IP List Provider здесь также схоже с диалогом для опции IP Allow List, в котором содержится имя провайдера, DNS суффикс и столбец статуса. Для добавления поставщика нажмите кнопку Добавить.

Если вы нажмете на кнопку Сообщения об ошибках (Error Messages), у вас откроется диалог IP Block List Provider Error Message. На данный момент по этой функции нет никакой документации, но, судя по всему, она позволяет вам создавать сообщения об ошибках, которые будут возвращены провайдерам, чьи сообщения были заблокированы.

Вы можете выбрать стандартное сообщение об ошибке или создать собственное сообщение. Если вы решите создать свое сообщение, вам нужно ввести содержание сообщения в текстовое поле и нажать OK.

Фильтрация контента

Выберите опцию Content Filtering в средней панели консоли. У вас откроется диалог Content Filtering. Перейдите в закладку Список слов (Custom Words). В закладке Custom Words нажмите кнопку Добавить (Add). В диалоговом окне Добавьте слово или фразу (Add Word or Phrase) вы можете ввести ключевое слово или фразу, наличие которой в сообщении заблокирует его или разрешит. Обратите внимание, что в этом диалоговом поле есть две кнопки Добавить: одна кнопка предназначена для разрешения сообщения при наличии введенной здесь вами фразы или слова, а вторая используется для добавления слова или фразы, наличие которой всегда будет блокировать сообщение.

Что если вам всегда нужно получать сообщения от определенных отправителей, если их сообщения содержат ключевые слова или фразы? Нет проблем ' вам просто нужно создать исключение.

Перейдите в закладку Исключения (Exceptions). Когда вы нажимаете кнопку Добавить, вы вводите в диалоговое окно Добавление адреса электронной почты (Add E-mail address) адрес электронной почты для отправителя, сообщения которого вы не хотите фильтровать.

Закладка SCL Thresholds. SCL – это сокращение от 'Spam Confidence Level – вероятность нежелательной почты'. Агент фильтрации содержимого использует технологию Microsoft SmartScreen для осмотра каждого сообщения и присваивает ему SCL значение. Это значение может варьироваться от 0 до 9. Чем больше число, тем выше вероятность спама. Фильтр содержимого обрабатывает сообщение после применения всех прочих агентов антиспама Exchange 2010, что снижает количество сообщений, которые необходимо осмотреть агенту Content Filter. Для дополнительной информации о порядке работы агентов антиспама перейдите по этой ссылке.

Можно настраивать действие для порогового значения SCL в соответствие с требованиями вашей организации. Пороговые значения представляют собой SCL значения, при которых будет предпринято действие (удалить, отклонить или поместить в карантин).

Здесь у вас есть три важные опции:

• Удалить сообщения, SCL значение которых больше или равно
• Отклонить сообщения, SCL значение которых больше или равно
• Поместить в карантин сообщения, SCL значение которых больше или равно

Когда вы включаете эти опции, значением по умолчанию будет 9. Это означает, что большинство пребывающих сообщений будет без проблем проходить фильтрацию контента и направляться в пользовательские почтовые ящики. Если, к примеру, вы зададите значение для опции удаления на 7, все сообщения с SCL значением, равным 7 или выше будут удалены.

При удалении сообщений отправитель не получает никаких уведомлений. Когда сообщение отклонено, фильтр содержимого направляет отправляющей системе сообщение о том, что сообщение было отклонено.

У вас также есть возможность отправить отклоненные сообщения на Карантинный почтовый адрес (Quarantine mailbox address). Вам нужно периодические проверять карантинный почтовый ящик и решить, что делать с находящимися там сообщениями.

Если SCL значение ниже значений, заданных в параметрах для удаления, отклонения и карантина, сообщению все равно придется пройти проверку фильтра нежелательной почты, который помещает сообщения в папку нежелательной почты пользователя, в которой отдельные пользователи смогут проверять эти сообщения и решать, отмечать их как спам, или нет. Если SCL значение ниже порогового значения фильтра нежелательной почты, то оно попадает в папку входящих сообщений пользователя.

Здесь не отображается пороговое значение фильтра нежелательной почты; его можно посмотреть с помощью команды Set-Mailbox в Exchange Management Shell. Для дополнительной информации о Set-Mailbox команде перейдите по этой ссылке.

Фильтрация получателей

Вы также можете отфильтровывать почту по получателям. Выберите опцию Фильтрация получателей (Recipient Filtering) в средней панели консоли брандмауэра TMG. У вас откроется диалог Recipient Filtering. Перейдите в закладку Заблокированные получатели (Blocked Recipients). Здесь у вас есть возможность Заблокировать сообщения, отправленные получателям, которые отсутствуют в глобальном списке адресов (Block messages sent to recipients not listed in the Global Address List). Это позволяет вам предотвратить доставку на такие адреса, как administrator@yourdomain.com .

Вы также можете включить опцию блокировать следующих получателей (block the following recipients). Это опция позволяет вам предотвращать доставку внешней почты на адреса, которые должны использоваться только внутри вашей организации. После включения этой опции нужно нажать кнопку Добавить (Add), чтобы добавить адреса электронной почты получателей, которых вы хотите заблокировать.

Фильтрация отправителей (Sender Filtering)

Вы можете фильтровать почту на основе отправителя. Агент фильтрации отправителя использует MAIL FROM: SMTP заголовок для определения того, чьи сообщения блокировать. Вы можете блокировать отдельных отправителей, целые домены и домены с субдоменами. Важно отметить, что MAIL FROM: SMTP заголовок может быть подделан, что позволяет обойти фильтр. Вы можете воспользоваться Sender ID (смотреть следующий раздел) для фильтрации поддельных почтовых сообщений.

Нажмите опцию Фильтрация отправителя (Sender Filtering) в средней панели консоли брандмауэра TMG. В диалоговом окне Sender Filtering перейдите в закладку Заблокированные отправители (Blocked Senders). Здесь нажмите кнопку Добавить, чтобы открыть диалог Blocked sender. Здесь вы можете ввести адрес отдельного пользователя, или же заблокировать целый домен, включая все его субдомены.

Перейдите в закладку Действия (Action), где вы найдете две опции:

• Отклонить сообщение (Reject the message)
• Отметить сообщение пометкой заблокированного отправителя и продолжить обработку (Stamp the message with blocked sender and continue processing)

Вторая опция позволяет другим компонентам почтовой среды принять решение на основании информации этого заголовка. Тот факт, что это сообщение отмечено, как исходящее от заблокированного отправителя, будет учитываться при подсчете SCL значения.

Sender ID

Агент Sender ID использует RECEIVED SMTP заголовок для отправки запроса на DNS отправляющей системы для проверки того, что IP адрес, с которого было отправлено сообщение, авторизирован на отправку сообщений электронной почты с доменов, перечисленных в заголовках. Единственная проблема заключается в том, что администраторы домена должны публиковать записи инфраструктура политики отправителей (SPF) на своих DNS серверах. Для дополнительной информации об использовании Sender ID перейдите по этой ссылке .

Для настройки Sender ID нажмите опцию Sender ID в средней панели консоли брандмауэра TMG. Выберите закладку Действия (Action). Здесь у вас есть три действия на выбор, которые произойдут, если сообщение не пройдет проверку Sender ID:

• Отклонить сообщение (Reject message)
• Отметить сообщение с Sender ID и продолжить обработку (Stamp the message with Sender ID and continue processing)
• Удалить сообщение (Delete message)

Когда сообщение отклоняется, система отправляет SMTP ошибку на сервер отправителя. Когда вы выбираете опцию удаления, сообщение будет удалено без информирования сервера отправителя. Когда сообщение не прошло проверку Sender ID, эта информация используется фильтром нежелательной почты Outlook Junk Mail при подсчете SCL значения.

Репутация отправителя (Sender Reputation)

Агент Sender Reputation использует информацию, которая была опубликована об отправителе, для подсчета уровня репутации отправителя (Sender Reputation Level - SRL). Для настройки Sender Reputation выберите опцию Sender Reputation в средней панели консоли брандмауэра TMG.

Уровень репутации пользователя работает подобно уровню вероятности спама, он тоже может принимать значение от 0 до 9, которое рассчитывается для каждого отправителя, и вы можете настроить пороговое значение, при котором отправитель будет заблокирован в вашей организации. Отправитель добавляется в черный список (Blocked Senders), и вы можете настроить период времени, в течение которого отправитель будет находиться в нем.

В диалоговом окне Sender Reputation выберите закладку Доверительный уровень отправителя (Sender Confidence). Здесь у вас есть возможность Выполнить открытый прокси тест во время определения доверительного уровня отправителя (Perform an open proxy test when determining sender confidence level).

Это интересная опция. Она соединяет IP адрес отправителя с исходящим SMTP сообщением. Если брандмауэр TMG обнаруживает, что SMTP сервер позволяет брандмауэру отправить сообщение на адрес этого сервера, определением будет то, что отправляющий SMTP сервер является открытым SMTP ретранслятором. Открытые серверы ретрансляции SMTP могут использоваться спамерами для отправки спама на любые почтовые домены мира, и должны обязательно уведомлять о том, что происходит с сообщениями, когда они проходят через такой сервер.

Обычно открытые серверы ретрансляции SMTP можно встретить, когда кто-то неправильно настраивает сервер, или был заражен вредоносным ПО, действующим в качестве сервера ретрансляции SMTP. В любом случае, вы не захотите получать сообщения с открытых серверов ретрансляции SMTP, поэтому данную опцию следует оставить включенной.

При настройке пороговых значений лучше сначала оставлять умолчания, а затем повышать пороговое значение блокирования до тех пор, пока у вас не будет достигнут ошибочный позитивный результат, после чего нужно будет немного снизить это значение.

Обратите внимание, что у вас также есть настраиваемое Пороговое действие (Threshold Action). Это значение позволяет вам настраивать то, как долго блокировать отправляющий SMTP сервер, прежде чем снова разрешить получать почту с него. Это обеспечивает немного больше гибкости, поскольку зачастую такие проблемы временны, и нет необходимости блокировать отправителя навсегда.

Заключение

В этой части цикла статей о решении почтовой гигиены брандмауэра TMG мы рассмотрели некоторые опции настройки, доступные для тонкой настройки функции блокирования спама. Существует ряд опций, и не все из них нуждаются в настройке. Самые интересные и полезные связаны с репутацией отправителя, фильтрацией получателя и фильтрацией контента. Большая часть спама отправляется через общеизвестные серверы спама, поэтому блокирование почты на основе репутации отправителя является мощным способом снижения объема получаемых спамерских сообщений на 95%. Фильтрация получателя также является эффективным способом, поскольку спамеры рассылают большое количество спама на адреса электронной почты, которые не существуют в вашей организации. Наконец, функция фильтрации содержимого позволяет сложному анализу сообщений использовать SCL значение, которое может использоваться для определения того, является ли сообщение спамом, а это особенно важно, когда сервер отправки представляет собой взломанный компьютер, являющийся частью зараженной сети (botnet). В следующей части этого цикла статей мы рассмотрим опции фильтрации вирусов и контента.