Методы борьбы с нежелательными сообщениями в среде Exchange Server

Введение

Ознакомьтесь с этим руководством по безопасности для компаний среднего размера. Корпорация Майкрософт надеется, что приведенные в документе сведения помогут создать более безопасную и производительную вычислительную среду.

Аннотация

Нежелательные почтовые сообщения (также известные как «спам») — это сообщения, отправляемые из одного и того же источника с целью одновременной рассылки на большое количество почтовых ящиков. Задача отправителя нежелательной почты — доставить сообщение конечному пользователю так, чтобы оно было открыто и прочитано, за что отправитель получает деньги. Существует множество методов, с помощью которых отправители нежелательной почты доставляют сообщения в области, где их трудно обнаружить на уровне шлюза.

По данным статистики 40 и более процентов входящих почтовых сообщений характеризуются как нежелательные. Нарастающий поток нежелательной почты продолжает доставлять немало проблем среднему бизнесу. Нежелательная почта — это не просто неудобство. Такая почта создает дополнительные затраты, потенциально снижая производительность и требуя привлечения ресурсов для борьбы с нежелательными сообщениями.

Поэтому разработка методов борьбы с нежелательной почтой направлена на практическое решение данной проблемы.

Microsoft® Exchange Server 2003 с пакетом обновления 2 (SP2) представляет собой систему, сочетающую различные методы фильтрации нежелательной почты для одной или нескольких сред Exchange Server. Данная система называется Exchange Server 2003 Anti-Spam Framework и сочетает в себе фильтрацию на уровнях соединения, протокола и содержимого.

Подходы в данной системе позволяют администраторам и конечным пользователям осуществлять точную фильтрацию и распределение нежелательной почты по категориям и самим определять, какие сообщения является нежелательными, а какие — действительной деловой почтой.

Основное назначение данной системы — обеспечить администраторов и пользователей достаточно гибкими решениями для применения со стороны сервера и клиента. В данном документе подробно описываются указанные подходы, а также действие каждого подхода в системе и то, как каждый из них работает в сочетании с другими. Документ содержит планы оценки и разработки, а также пошаговое руководство в разделе по развертыванию и управлению.

Примечание.   Корпорация Microsoft также обеспечивает важную службу, способствующую фильтрации нежелательных сообщений. Данная служба называется Exchange Hosted Services или сокращенно EHS. EHS включает в себя четыре отдельных службы, которые осуществляют защиту предприятий среднего бизнеса от вредоносных программ, распространяющихся по электронной почте, обеспечивают сохранение совместимости, осуществляют шифрование данных для сохранения конфиденциальности и сохраняют доступ к почтовому ящику во время и после чрезвычайных ситуаций.
Основным компонентом служб Exchange Hosted Services является распределенная сеть центров данных, расположенных в ключевых узлах магистрали Интернета. Каждый центр данных включает в себя отказоустойчивые серверы, нагрузка между которыми равномерно распределена от узла до узла и от сервера до сервера.
Подробное описание данной службы выходит за рамки настоящего руководства. Для получения более подробных сведений см. технический документ Обзор служб Microsoft Exchange Hosted Services по адресу www.microsoft.com/exchange/services/services.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Обзор

Данный документ состоит из четырех основных разделов, в которых описываются варианты и решения, обеспечивающие практические подходы к фильтрации нежелательной почты в среде Exchange Server. В документе четыре раздела: «Введение», «Определение», «Трудности» и «Решения».

Введение

Данный раздел содержит краткие сведения о документе и обзор его структуры, а также некоторые данные, касающиеся целевой аудитории.

Определение

Данный раздел содержит подробные определения и обзорные сведения о системе Exchange Server 2003 Anti-Spam Framework. Эти подробные сведения помогут освоить решения, описанные в данном документе.

Трудности

В данном разделе описаны некоторые трудности, с которыми сталкиваются предприятия среднего размера при определении стратегий фильтрации нежелательной почты на различных уровнях, которые обеспечивает система фильтрации нежелательной почты.

Решения

В данном разделе описаны практические решения для устранения проблем, вызванных нежелательной почтой. Кроме того, в этом разделе приведена оценка методов и планов разработки, направленных на устранение проблем, а также пошаговые сведения о развертывании и управлении следующими методами:

• защиты на уровне соединения;
  • фильтрации на уровне IP-соединения;
  • черных списков реального времени;
• защиты на уровне протокола;
  • блокирования получателя и отправителя;
  • фильтрации по коду отправителя;
• защиты на уровне содержимого;
  • интеллектуального фильтра сообщений Exchange;
  • фильтрации нежелательной почты в приложении Outlook 2003 и веб-клиенте Outlook.

В дополнение к защите, которую обеспечивает система Exchange Server 2003 Anti-Spam Framework, следует помнить о том, что осведомленность пользователей является важной составляющей борьбы с нежелательной почтой в средах Exchange Server. Данная тема рассматривается в конце раздела «Развертывание и управление».

Для кого предназначено это руководство

Документ предназначен в первую очередь для ИТ-профессионалов и руководителей предприятий среднего размера, ответственных за планирование и реализацию методов фильтрации нежелательной почты в среде Exchange Server. Указанные специалисты могут занимать следующие должности.

• Системные архитекторы. Это специалисты, ответственные за разработку общей инфраструктуры сервера, определение стратегий и политик развертывания сервера, укрепление системы и улучшение взаимодействия в сети.
• Руководители ИТ-отделов. Это специалисты, принимающие технические решения и руководящие ИТ-персоналом, ответственным за создание инфраструктуры, развертывание настольных компьютеров и серверов, администрирование сервера Exchange Server и действия на местах.
• Системные администраторы. Это специалисты, ответственные за планирование и развертывание технологий на серверах Microsoft Exchange Server, а также оценку и рекомендацию новых технологических решений.
• Администраторы служб Exchange Messaging. Люди, ответственные за реализацию системы передачи сообщений в организации и управление этой системой.

Определение

Система Exchange Server 2003 Anti-Spam Framework — это механизм для борьбы с нежелательной почтой в среде Exchange Server. С выпуском сервера Exchange Server 2003 с пакетом обновления 2 (SP2) в систему была добавлена технология фильтрации почты по коду отправителя, являющаяся отраслевым стандартом. Данная технология способствует уменьшению количества нежелательных почтовых сообщений, попадающих в папку входящей почты пользователя.

В данном разделе подробно описана система фильтрации нежелательной почты Exchange Server 2003 Anti-Spam Framework.

Exchange Server 2003 Anti-Spam Framework

Сервер Exchange Server 2003 реализует защиту от нежелательной почты на трех различных уровнях: на уровне соединения, протокола и содержания, как показано на следующем рисунке.

Рис. 1. Три уровня защиты от нежелательной почты

Средства защиты на уровне соединения проверяют компьютер, подключающийся по протоколу SMTP, система защиты на уровне протокола анализирует отправителя и получателя сообщений, а система защиты на уровне содержимого проверяет содержимое сообщения. Каждый из этих типов защиты от нежелательной почты более подробно описан в следующих подразделах.

Защита на уровне соединения

Защита на уровне соединения представляет собой один из наиболее благоприятных уровней для защиты от нежелательной почты, так как остановленное на этом уровне защиты нежелательное сообщение никогда не попадает в организацию. Как показано на следующем рисунке, система защиты на уровне соединения оценивает каждое входящее SMTP-соединение на предмет принадлежности к источнику нежелательной почты.

Рис. 2. Защита на уровне соединения
Увеличить изображение

Если подключающийся через SMTP компьютер определен как источник нежелательной почты или компьютер, который обычно не занимается отправкой сообщений через SMTP, то в подключении может быть отказано. Таким образом, отпадает необходимость в трудоемких проверках входящих сообщений. Для этой цели в Exchange Server 2003 предусмотрены два вида фильтрации на уровне соединения.

Фильтрация по IP-соединению

В Exchange Server 2003 можно явно указать IP-адреса, которым будет отказано в подключении по протоколу SMTP. Данный метод является наиболее простым методом защиты сервера Exchange, так как списки для фильтрации соединений управляются пользователем. Если по какой-либо причине (в том числе по подозрению в рассылке нежелательной почты) необходимо отказывать в установке входящих соединений по протоколу SMTP для определенного компьютера, то такие соединения блокируются именно на этом уровне.

Соединения по протоколу SMTP можно явным образом разрешать. Если необходимо получить почту с SMTP-сервера из черного списка, определенного как источник нежелательной почты, то можно разрешить принятие сообщений с указанного SMTP-сервера, которые в противном случае не принимались бы.

Черные списки реального времени

Более динамичным средством обеспечения защиты на уровне соединения является использование черных списков реального времени (RBL). Черные списки — это списки IP-адресов, которые определены как источники нежелательной почты, открытых пересылок или часть диапазона IP-адресов, которые не должны включать в себя адреса SMTP-узлов, например IP-адреса из модемного пула Microsoft MSN®.

Сторонние поставщики черных списков регистрируют IP-адреса, которые подходят под каждую из этих характеристик. Когда компьютер-отправитель начинает сеанс SMTP-связи с клиентом службы черных списков, клиент отправляет поставщику черных списков запрос по типу системы доменных имен (DNS) с IP-адресом компьютера, запрашивающего соединение. После этого поставщик черных списков дате ответ в виде кода, в котором указано, есть ли соединяющийся компьютер в списке. По коду также можно определить, в каком списке находится SMTP-сервер, запрашивающий соединение.

Фильтрация по черным спискам реального времени описана ниже и проиллюстрирована на следующем рисунке.

1. SMTP-узел подключается к серверу Exchange Server 2003 по протоколу TCP (Transmission Control Protocol) через порт 25.
2. Сервер Exchange Server 2003 запрашивает указанного поставщика черных списков на предмет присутствия подключающегося SMTP-узла в черных списках.
3. Если подключающийся SMTP-сервер не включен в черный список, дается разрешение на соединение. Если указанный компьютер находится в черном списке, то соединение прерывается.

Рисунок 3. Принцип фильтрации по черным спискам реального времени
Увеличить изображение

До появления сервера Exchange Server 2003 с пакетом обновления 2 (SP2) фильтрация на уровне соединения была невозможна, если между Exchange Server и отправляющим объектом существовали брандмауэры или промежуточные SMTP-узлы (в случае расположения сервера Exchange Server внутри периметра сети), так как система фильтрации, существовавшая до версии Exchange Server 2003 с пакетом обновления 2 (SP2) анализировала только подключающийся компьютер. Если между отправителем и сервером Exchange Server существовал промежуточный компьютер (например брандмауэр или другое устройство SMTP), то анализировался только промежуточный компьютер.

С выпуском Exchange Server 2003 с пакетом обновления 2 (SP2) сервер Exchange Server может располагаться где угодно в структуре предприятия среднего бизнеса и при этом осуществлять эффективную фильтрацию соединений. Это достигается предоставлением списков IP-адресов периметра сети и настройкой внутреннего диапазона IP-адресов в диспетчере Exchange. Таким образом, код отправителя и функция черных списков реального времени анализируют IP-адрес компьютера, который подключаются к промежуточному SMTP-узлу, такому как брандмауэр.

Защита на уровне протокола

Рис. 4. Защита на уровне протокола
Увеличить изображение

После того, как SMTP-сообщение прошло защиту на уровне соединения, оно вновь проверяется — на этот раз на уровне протокола SMTP. Диалог SMTP между отправляющим SMTP-узлом и получающим SMTP-узлом анализируется, чтобы удостовериться, что отправитель и получатели разрешены, и чтобы определить доменное имя отправителя по протоколу SMTP.

Блокирование получателей и отправителей.

Еще одним способом вручную уменьшить количество нежелательной почты является определение отдельных отправителей и доменов, от которых не следует принимать сообщения. Можно указывать отдельные адреса SMTP или домены, которые нужно блокировать. С помощью сервера Exchange Server 2003 можно запрещать сообщения, в которых не указан адрес отправителя, а также архивировать отфильтрованные сообщения.

Фильтрация получателей позволяет фильтровать сообщения, отправленные определенному получателю. Кроме того, можно фильтровать получателей, не указанных в каталоге. Однако использование фильтрации для получателей, не указанных в каталоге, может сделать вашу компанию уязвимой для атаки с целью захвата почтовых адресов через SMTP, которую сокращенно называют DHA (directory harvesting attack). Вот как это происходит. Ответы сервера Exchange Server на команды RFC2821 RCPT TO: обрабатываются при поиске верных адресов SMTP. Протокол SMTP подтверждает наличие получателей во время сеанса SMTP ответом 250 2.1.5. Если сообщение отправляется несуществующему получателю, то сервер Exchange Server возвращает сообщение об ошибке 550 5.1.1 User unknown. Следовательно, человек, рассылающий нежелательную почту, может создать автоматическую программу, которая будет использовать часто используемые имена или термины из словаря, чтобы составлять фиктивные адреса электронной почты для определенного домена. После этого такая программа может собрать все электронные адреса, которые возвращают сообщение 250 2.1.5 to RCPT TO: SMTP и игнорировать все адреса, которые вызывают сообщение об ошибке 550 5.1.1 Пользователь неизвестен. Теперь отправитель нежелательной почты может продать все действительные электронные адреса или отправлять на них нежелательную почту.

Данную угрозу можно уменьшить, используя метод, известный как замедление ответов. Функция замедления ответов SMTP в системе Microsoft Windows Server™ 2003 с пакетом обновления 1 (SP1) позволяет администратору вставлять произвольную задержку перед возвратом ответов для протокола SMTP. Атакующий компьютер не выдерживает достаточной паузы до получения ответа.

Более подробные сведения см. в статью Режим замедления ответов SMTP в Microsoft Windows Server 2003 из базы знаний Майкрософт по адресу http://support.microsoft.com/?kbid=842851.

фильтрации по коду отправителя;

Одним из нововведений по защите сервера Exchange Server 2003 от нежелательной почты является фильтрация по коду отправителя. Данная функция сервера Exchange Server 2003 с пакетом обновления 2 (SP2) позволяет проверять, Имеет ли отправляющий SMTP-узел право отправлять сообщения из домена, указанного в адресе отправителя. Многие нежелательные сообщения маскируются, чтобы создать впечатление, что они отправлены из надежного источника. Если получатель обманным путем будет убежден, что сообщение пришло из надежной организации (от представителя банка, службы работы с клиентами и т. п.), то это может привести к разглашению ценной информации, что делает возможной хищение личных сведений или кражу. Код отправителя предназначен для того, чтобы полностью устранить замаскированные сообщения или уменьшить их количество.  

Для работы системы требуются две части кода отправителя. Первая часть — это запись DNS, называемая средой политики отправителей (SPF — sender policy framework). Запись SPF определяет, какие серверы авторизованы для отправки адресов SMTP для вашего домена. Для того чтобы иметь запись SPF, нет необходимости настраивать код отправителя. Вторая часть кода — это SMTP-узел, поддерживающий код отправителя, например сервер Exchange Server 2003 с пакетом обновления 2 (SP2).

Запись SPF добавляется в зону DNS, чтобы другие организации с функцией проверки кода отправителя могли убедиться, что сообщения, заявленные как сообщения из вашего домена, отправлены серверами, авторизованными в вашей записи SPF. Принцип работы данной функции показан на следующих рисунках, сначала без использования записи SPF, а затем с ее использованием.

1. На сервер Exchange Server 2003 с SMTP-узла нежелательных сообщений fabrikam.com отправляется сообщение. Идентификация отправителя включена. Адрес отправителя susanf@nwtraders.com.
2. Сервер Exchange Server запрашивает у DNS (системы доменных имен) запись SPF для nwtraders.com.
3. Поскольку узел nwtraders.com не имеет записи SPF, сообщение проходит проверку идентификатора отправителя.

Рисунок 5. Проникновение нежелательных сообщений в организации, не использующие запись идентификатора пользователя / SPF
Увеличить изображение

Затем компания Northwind Traders вносит запись SPF для nwtraders.com в зону DNS узла nwtraders.com следующим образом.

1. На сервер Exchange Server 2003 с SMTP-узла нежелательных сообщений fabrikam.com отправляется сообщение. Идентификация отправителя включена. Адрес отправителя susanf@nwtraders.com.
2. Сервер Exchange Server запрашивает у DNS (системы доменных имен) запись SPF для nwtraders.com.
3. Поскольку IP-адрес отправителя (208.217.184.82) не входит в список IP-адресов, с которых может быть отправлено сообщение от nwtraders.com, как это определено в записи SPF (131.107.76.156), сообщение проверяется на идентификатор отправителя.

Рис. 6. Распознавание нежелательных сообщений с помощью записи идентификатора пользователя / SPF
Увеличить изображение

Внедрение идентификаторов отправителя поможет значительно уменьшить число нежелательных сообщений подложно отправленных с доменов, имеющих запись SPF. Тем не менее, необходимо помнить, что проверка идентификатора отправителя тем эффективнее, чем больше организаций имеют записи SPF.

На веб-узле Microsoft.com 59 % входящих сообщений, прошедших фильтрацию на уровне соединения, блокируются на уровне протокола.

Защита на уровне содержимого.

Рис. 7. Защита на уровне содержимого
Увеличить изображение

После фильтрации входящего сообщения на уровнях соединения и протокола, применяющихся для выяснения того, является ли оно нежелательным, следует еще один уровень защиты — анализ содержания сообщения, на котором ведется поиск стандартных особенностей, характерных для незатребованных сообщений электронной почты. Создатели нежелательных сообщений приложили немало усилий для разработки новых способов маскировки, которые могут позволить нежелательным сообщениям избежать обнаружения, пройти проверку на уровне содержания и попасть в папку входящих сообщений пользователя.

интеллектуального фильтра сообщений Exchange;

Интеллектуальный фильтр сообщений (IMF) — это фильтр содержания, разработанный специально для сервера Exchange Server. В его основе лежит запатентованная технология машинного обучения, разработанная исследовательским центром Microsoft Research и известная под названием Microsoft SmartScreen®. На сегодняшний день, технология SmartScreen используется в службах MSN и Microsoft Hotmail®, приложении Microsoft Office Outlook® 2003 и сервере Exchange Server. Фильтр IMF был разработан для того, чтобы, основываясь на характеристиках миллионов сообщений, отличать подлинные сообщения электронной почты от нежелательных. Фильтр IMF оценивает возможность того, что входящее сообщение электронной почты является подлинным или нежелательным. В отличие от многих других технологий, фильтр IMF использует характеристики статистически обоснованной выборки сообщений электронной почты. Кроме нежелательных сообщений выборка также содержит подлинные сообщения, что позволяет снизить вероятность ошибки. Фильтр IMF обладает повышенной точностью фильтрации, поскольку он распознает характеристики как подлинных, так и нежелательных сообщений.

Фильтр IMF устанавливается на серверы Exchange Server, принимающие входящие сообщения из Интернета по протоколу SMTP. Когда внешний пользователь отправляет электронные сообщения на сервер Exchange Server с установленным фильтром IMF, фильтр оценивает текстовое содержание сообщения и присваивает ему показатель, который зависит от вероятности того, что полученное сообщение окажется нежелательным. Этот показатель может варьироваться от 1 до 9. Он сохраняется в свойстве сообщения, известном как уровень вероятности нежелательных сообщений (SCL). Показатель опасности сообщения сохраняется при его пересылке на другие серверы Exchange Server. Процесс работы фильтра показан на следующем рисунке.

Рис. 8. Работа интеллектуального фильтра сообщений
Увеличить изображение

После того, как фильтр IMF присвоит сообщению показатель SCL, сообщение оценивается относительно двух пороговых значений, заданных администратором:

1. Настройка блокировки шлюза: блокировка сообщений с показателем SCL равным определенному значению или более высоким. Если оценка SCL сообщения равна установленной или превышает ее, то в отношении сообщения могут быть предприняты следующие действия:
   • архивация;
   • удаление;
   • никаких действий;
   • отклонение.
2. Настройка хранения нежелательной почты: сохранение сообщений с показателем SCL, превышающим определенное значение. Если показатель сообщения превышает указанное значение параметры, то сообщение перемещается в папку нежелательной почты, находящуюся в папке входящих сообщений пользователя. Исключение составляют случаи, когда отправитель данного сообщения входит в список надежных отправителей.

Защита от фишинг-атак

Фишинг — это мошенничество с целью хищения личных данных. Целью организаторов фишинг-атак является раскрытие пользователем ценной личной информации, например номеров кредитных карт, паролей, данных о счете, и т. д., путем убеждения пользователя в необходимости предоставления этой информации под ложными предлогами (например, в виде электронного письма с просьбой подтвердить информацию о банковском счете).

В версии сервера Exchange Server 2003 с пакетом обновления 2 (SP2) функция интеллектуального фильтра дополнена технологией защиты от фишинг-атак. Фишинг-сообщениям дается оценка по шкале SCL, в соответствии с которой в их отношении предпринимаются те или иные действия.

Настройка критериев пользователя

Сервер Exchange Server 2003 с пакетом обновления 2 (SP2) также обладает функцией настройки критериев пользователя, благодаря которой интеллектуальный фильтр сообщений может искать определенные фразы в теле и теме сообщения.

Функция настройки критериев пользователя включается путем помещения файла данных XML, который называется MSExchange.UceContentFilter.xml, в тот же каталог, где находятся файлы MSExchange.UceContentFilter.dll и .dat на сервере с установленным интеллектуальным фильтром сообщений. После запуска виртуального сервера SMTP и инициализации интеллектуального фильтра сообщений загружается файл XML.

Файл XML определяет фразы, на которые при работе интеллектуального фильтра сообщений нужно обратить большее или меньшее внимание. Эта функция позволяет менять настройки интеллектуального фильтра сообщений и, при необходимости, основываясь на ключевых фразах, принимать или отклонять сообщения, которым интеллектуальный фильтр сообщений в противном случае присвоил бы другую оценку SCL.

На веб-узле Microsoft.com интеллектуальным фильтром сообщений блокируются 38 % входящих сообщений, прошедших фильтрацию на уровнях соединения и протокола.

фильтрации нежелательной почты в приложении Outlook 2003 и веб-клиенте Outlook.

После того, как сообщение пройдет защиту от нежелательных сообщений на сервере, клиент Outlook 2003 может приступить к работе с сообщениями, показатель SCL которых равен значению хранения нежелательных сообщений или превышает его. Сообщения, превышающие значение данного параметра сервера, отправляются в папку нежелательных сообщений, находящуюся в папке «Входящие» приложения Outlook 2003.

Приложение Outlook 2003 и веб-клиент Outlook для сервера Exchange Server 2003 дают пользователю возможность составить список надежных отправителей, от которых сообщения будут принимаются всегда, а также список нежелательных отправителей, сообщения электронной почты которых всегда будут отклоняться. При обработке почты в хранилище почтовых ящиков, сервер Exchange доставляет все сообщения от надежных отправителей, вне зависимости от их оценки SCL, в папку «Входящие», а сообщения от нежелательных отправителей — в папку нежелательных сообщений пользователя. Однако, если сообщение электронной почты блокируется на шлюзе, то оно не попадает в папку «Входящие» пользователя, поскольку оно не доходит до хранилища почтовых ящиков.