Методы борьбы с нежелательными сообщениями в среде Exchange Server

Трудности

Поток нежелательных, часто оскорбительных, а иногда и мошеннических незатребованных сообщений электронной почты, известных как «нежелательные сообщения», мешает использовать сообщения электронной почты для обеспечения коммуникации и законной электронной коммерции.

Благодаря нежелательным сообщениям, для многих пользователей и целых регионов папка «Входящие» перестала быть хранилищем ценных сообщений. Это связано с тем, что законные деловые сообщения электронной почты теряются в потоке нежелательных сообщений. Для среднего бизнеса нежелательные сообщения повышают стоимость обмена сообщениями, затраты на использование сервера и сети, а также занимают лишнее место на диске.

Проблема, с которой сталкивается средний бизнес, заключается в необходимости пропустить полезные сообщения электронной почты в папку «Входящие» и заблокировать нежелательные. Необходимы средства для борьбы с нежелательными программами в среде Exchange Server.

Microsoft Exchange Server 2003 с пакетом обновления 2 (SP2) использует несколько способов фильтрации для сокращения числа нежелательных сообщений. Это многоуровневые решения для защиты от нежелательных сообщений, включающие защиту на уровнях соединения, протокола и содержимого, о каждом из которых уже говорилось выше. Эти способы обладают гибкостью в применении. Поняв механизм работы каждой из служб, ИТ-администраторы и пользователи смогут устанавливать нужный уровень защиты от нежелательных сообщений. Эти способы позволяют среднему бизнесу обеспечить доступ сообщениям электронной почты и отфильтровать нежелательные сообщения.

Важно, чтобы администраторы и пользователи сервера Exchange понимали принцип работы каждого метода в отдельности и всех вместе для сокращения общего числа нежелательных сообщений, приходящих в папку «Входящие» пользователя. На следующем рисунке показан многоуровневый подход к защите от нежелательных сообщений.

Рис. 9. Система фильтрации нежелательной почты Exchange Server 2003 Anti-Spam Framework
Увеличить изображение

Решения

В этом разделе речь пойдет об оценке, разработке, развертывании и управлении решениями системы фильтрации нежелательной почты Microsoft Exchange Server 2003 Anti-Spam Framework для обеспечения защиты от нежелательных сообщений в среде среднего бизнеса.

Оценка

Для эффективной борьбы с нежелательными сообщениями необходимо полностью изучить структуру почтовой системы сервера Exchange Server 2003, включая доступные средства и способы их эффективного использования. Необходимой составляющей процедуры оценки риска является подробное изучение данной среды.

Microsoft Exchange Server 2003 Anti-Spam Framework — это набор способов борьбы с нежелательными сообщениями, включающий в себя фильтрацию на уровнях соединения, протокола и содержимого. Необходимо тщательно изучить принципы работы этих способов защиты вместе и по отдельности. Кроме того, осведомленность пользователей о данных технологиях увеличит шансы их успешного внедрения и управления ими.

Необходимо рассмотреть перечисленные ниже вопросы.

1. Установлен ли сервер Exchange Server 2003?

   Для того чтобы воспользоваться преимуществами, которые дает система Exchange Server 2003 Anti-Spam Framework, необходимо установить сервер Exchange Server 2003 на соответствующую платформу Windows.

   Примечание.   Сервер Microsoft Exchange Server 2003 можно установить в системе Windows 2003 или Windows 2000 с пакетом обновления 3 (SP3) или более поздним. Подробные требования по установке сервера Exchange Server выходят за рамки данного руководства. См. тему Установка новых серверов Exchange 2003 Server на веб-узле Microsoft TechNet по адресу www.microsoft.com/technet/prodtechnol/exchange/guides/Ex2k3DepGuide/a3318f57-3536-4e65-9309-9300cda23c73.mspx?mfr=true (эта ссылка может указывать на содержимое полностью или частично на английском языке).

2. Установлен ли пакет обновления 2 (SP2) для сервера Exchange Server 2003?

   пакет обновления 2 (SP2) для сервера Exchange Server 2003 — это накопительное обновление, улучшающее среду обмена сообщениями сервера Exchange Server 2003 с помощью:

   • улучшения мобильного доступа к электронной почте;
   • совершенствования почтового ящика;
   • более надежной защиты от нежелательных сообщений.
   Пакет обновления 2 (SP2) обеспечивает улучшенную защиту от нежелательных сообщений, описанную выше в данном документе, которая позволяет обеспечить безопасность и надежность среды обмена сообщениями. Улучшенная защита включает в себя следующие функции.
   • Обновленный и интегрированный интеллектуальный фильтр сообщений Exchange, основанный на запатентованной технологии фильтрации SmartScreen, разработанной исследовательским центром Microsoft Research.
   • Обновленная поддержка протокола проверки подлинности сообщения электронной почты по коду отправителя, позволяющая защититься от фишинг-атак и подмены.
3. Включен ли виртуальный сервер SMTP по умолчанию в диспетчере Exchange?

   Фильтрация получателей, интеллектуальная фильтрация, фильтрация по коду отправителя и фильтрация на уровне соединения настраиваются в общих параметрах. Эти функции также должны быть включены на уровне протокола SMTP. Поэтому включите протокол SMTP, прежде чем применить изменения в работе этих служб.

4. Установлено ли на клиентских компьютерах приложение Outlook 2003?

   Серверы могут настраиваться в зависимости от требований, но если у клиентов установлена устаревшая версия Outlook, они не смогут воспользоваться преимуществами средств, предоставляемых системой защиты от нежелательной почты Microsoft Exchange Server 2003 Anti-Spam Framework.

   Если все требования для сервера Exchange Server 2003 и его клиентов выполнены, можно использовать следующие службы:

   • защиты на уровне соединения;
     • фильтрации на уровне IP-соединения;
     • черных списков реального времени;
   • защиты на уровне протокола;
   • блокирования получателя и отправителя;
   • фильтрации по коду отправителя;
   • защиты на уровне содержимого;
     • интеллектуального фильтра сообщений Exchange;
     • фильтрации нежелательной почты в приложении Outlook 2003 и веб-клиенте Outlook

Разработка

В разделе по оценке было поставлено несколько вопросов о сервере Exchange Server 2003 и требованиях к клиентам для работы с системой защиты от нежелательных сообщений сервера Microsoft Exchange Server 2003.

Решения для борьбы с нежелательными сообщениями в среде Exchange Server также включают в себя средства обеспечения безопасности клиента и обучения пользователя. Все эти подходы нужно использовать для борьбы с нежелательными сообщениями в среде Exchange Server.

Все способы защиты от нежелательных сообщений, предоставляемые системой защиты от нежелательных сообщений Microsoft Exchange Server 2003, могут применяться при выполнении следующих требований.

• Сервер Exchange Server 2003 установлен на соответствующие платформы Windows.
• Приложение Outlook 2003 и веб-клиент Outlook настроены и отрегулированы.
• Применены все новейшие рекомендованные обновления и исправления, включая пакет обновления 2 (SP2).

Более глубокое понимание принципов работы каждой из служб в отдельности и в ходе взаимодействия между собой обеспечит их лучшее внедрение. Данный раздел содержит более подробную информацию об этих службах, которая необходима для их развертывания и управления ими.

Защита на уровне соединения

Сервер Exchange Server 2003 с пакетом обновления 2 (SP2) осуществляет фильтрацию на уровне соединения, в процессе которой IP-адрес подключающегося сервера проверяется по списку запрещенных IP-адресов (черному списку реального времени). Сравнение IP-адресов происходит мгновенно в момент установки сеанса SMTP, что позволяет предприятию блокировать соединение со своим шлюзом на самой ранней стадии отправки сообщения. Связь прерывается еще до того, как с сервера, внесенного в черный список реального времени, будет отправлено сообщение. Такой подход помогает снизить затраты на производительность как на уровне обмена сообщениями, так и на сетевом уровне.

При установке фильтрации на уровне соединения на сервере Exchange Server 2003 с пакетом обновления 2 (SP2) на предприятиях среднего бизнеса можно создавать собственные списки разрешенных и запрещенных отправителей или использовать сторонние базы данных запрещенных IP-адресов.

Большинство серверов Exchange Server 2003 с пакетом обновления 2 (SP2) разворачиваются в пределах организации и не взаимодействуют с Интернетом напрямую. Подобное использование делает фильтрацию на уровне соединения менее полезной, поскольку для данной функции необходим оригинальный IP-адреса отправителя для отправки запроса DNS. В пакете обновления 2 (SP2) этот недостаток устранен с помощью нового алгоритма анализа заголовка, который позволяет отслеживать исходный IP-адрес. Сервер Exchange Server 2003 с пакетом обновления 2 (SP2) с развернутой системой фильтрации на уровне соединения может быть расположен где угодно и выполнять фильтрацию так же, как если бы он находился на периметре организации.

Фильтрация по IP-соединению

На предприятиях среднего бизнеса можно создавать собственные неизменяемые списки запрещенных IP-адресов. Как видно из названия, глобальный запрещающий список содержит определенные IP-адреса и сети, сообщение электронной почты с которых никогда не будет принято организацией. И наоборот, можно создавать глобальный разрешающий список — список IP-адресов и сетей, по отношению к которым организация не применяет функцию блокировки сообщений электронной почты и политики фильтрации. Глобальный разрешающий список контактов может содержать IP-адреса, принадлежащие дочерним компаниям или торговым партнерам, с которыми у предприятия среднего бизнеса установились доверительные отношения. В этой ситуации предприятию не нужны ложные результаты проверки, поэтому проверенные IP-адреса серверов отправителей электронной почты вносятся в глобальный разрешающий список.

Черные списки реального времени

Черный список реального времени — это база данных на основе DNS, содержащая IP-адреса известных и подтвержденных источников нежелательной почты. Черные списки реального времени можно приобрести у компаний, которые занимаются постоянной проверкой Интернета и известных источников нежелательной почты. Обнаруженные IP-адреса, с которых рассылается нежелательная почта, заносятся в базу данных черного списка реального времени. Обычно эти списки предоставляются бесплатно или приобретаются за плату, если администратору необходим расширенный спектр услуг.

Сервер Exchange Server 2003 с пакетом обновления 2 (SP2) позволяет пользоваться сторонними черными списками реального времени. Если сервер Exchange Server 2003 с пакетом обновления 2 (SP2) настроен на работу со сторонними черными списками реального времени, он сверяет IP-адрес сервера, с которого поступает сообщение, с базой данных черного списка и, в случае совпадения, запрещает подключение.

В связи с тем, что принцип работы черного списка реального времени основан на проверке IP-адреса сервера-отправителя, а не содержания сообщения, черные списки реального времени технически представляют собой отдельную категорию программного обеспечения сторонних разработчиков для защиты от нежелательной почты. Черные списки реального времени действуют аналогично шлюзам, закрывая доступ в рабочую среду сообщениям с вредоносных или подозрительных серверов. Сообщение, которое прошло проверку по черным спискам реального времени, проверяется на следующем уровне проверки (например, интеллектуальным фильтром сообщений).

Поскольку количество запросов DNS в связи с черными списками реального времени, которые ежедневно обрабатываются ИТ-специалистами корпорации Майкрософт, составляет десятки миллионов, ИТ-специалисты корпорации Майкрософт регулярно передают копию черного списка на свои локальные DNS-серверы (обычно несколько раз в день). Большинству поставщиков списков, требуются локальные копии черных списков реального времени, способные обработать более 250 000 запросов в день. Передача копии черного списка реального времени называется передачей зоны от поставщика списка. ИТ-специалисты корпорации Майкрософт настроили шлюзы своих серверов Exchange Server 2003 с пакетом обновления 2 (SP2) таким образом, чтобы запросы DNS, связанные с черными списками реального времени, передавались на эти локальные DNS-серверы.

Защита на уровне протокола

После того, как SMTP-сообщение прошло защиту на уровне соединения, оно вновь проверяется — на этот раз на уровне протокола SMTP. Диалог SMTP между отправляющим SMTP-узлом и получающим SMTP-узлом анализируется, чтобы удостовериться, что отправитель и получатели разрешены, и чтобы определить доменное имя отправителя по протоколу SMTP.

Блокирование получателей и отправителей.

Функция фильтрации получаемых сообщений на сервере Exchange Server 2003 с пакетом обновления 2 (SP2) позволяет предприятиям среднего бизнеса предотвращать или уменьшать эффект от направленной массированной рассылки писем. Зачастую получатели, на которых направлены такие атаки, даже не нуждаются в получении сообщений из Интернета. Система фильтрации по получателю проверяет сообщения на уровне шлюза, основываясь на том, кому они адресованы.

Хотя фильтрация по получателю сообщений не так эффективна, как решения по борьбе с нежелательной почтой в реальном времени, она может быть чрезвычайно полезной для защиты от массированной рассылки писем. Недавно ИТ-специалисты корпорации Майкрософт с помощью фильтрации по получателю заблокировали миллионы сообщений, адресованных всего нескольким получателям, за один день.

фильтрации по коду отправителя;

Фильтрация по коду отправителя — это протокол проверки подлинности почты, позволяющий устранить проблему подделки и фишинга путем проверки домена, с которого отправляется электронная почта. Функция фильтрации по коду отправителя устанавливает происхождение почтового сообщения путем сравнения IP-адреса отправителя с данными об указанном владельце домена.

Эта функция проверяет подлинность каждого почтового сообщения, отправленного с определенного домена Интернета. Проверка осуществляется путем сопоставления адреса сервера, с которого отправляется электронное письмо, с зарегистрированным списком серверов, авторизованных владельцем домена для отправки электронной почты. Перед тем, как почтовое сообщение получено пользователем, такая проверка автоматически выполняется поставщиком услуг Интернета или почтовым сервером получателя. Результат фильтрации по коду отправителя можно использовать в качестве дополнительных входных данных для проверочных заданий, выполненных почтовым сервером. Если подлинность отправителя подтверждена почтовый сервер может учесть предыдущие случаи, пути прохождения трафика, репутацию отправителя, а также применить обычные фильтры содержимого, чтобы оценить возможность доставки почты получателю.

Защита на уровне содержимого.

В идеале нежелательная почта не должна достигать клиентского уровня. В действительности некоторые нежелательные сообщения попадают на компьютеры пользователей. Одна из основных причин, по которой не следует устанавливать параметры фильтрации, при которых будут удаляться все подозрительные сообщения — это схожесть некоторых свойств разрешенных почтовых сообщений (например бюллетеней) со свойствами нежелательной почты. Кроме того, у отдельных пользователей могут быть свои индивидуальные предпочтения, которые невозможно задействовать в корпоративных настройках.

интеллектуального фильтра сообщений Exchange;

Первоначальный фильтр, через который должно пройти входящее электронное письмо, — это интеллектуальный фильтр сообщений на серверах Exchange Server 2003 с пакетом обновления 2 (SP2), которые находятся на шлюзах среды обмена сообщениями. Интеллектуальный фильтр сообщений использует значения SCL и PCL (вероятность фишинга — один из факторов, влияющих на окончательный показатель SCL), а также встроенную в систему Exchange Server 2003 с пакетом обновления 2 (SP2) функцию проверки по коду отправителя Этот фильтр классифицирует определенные компоненты сообщения выполняет его эвристический анализ и присваивает каждому сообщению показатель SCL от 0 до 9. Чем выше показатель, присваиваемый сообщению, тем больше вероятность того, что оно является нежелательным.

Сервер Exchange Server 2003 с пакетом обновления 2 (SP2) включает в себя последние данные и обновления для интеллектуального фильтра сообщений. Усовершенствования для интеллектуального фильтра сообщений и обновления, выпускаемые каждые две недели, помогают определять нежелательные почтовые сообщения и уменьшать количество ошибок при проверке. Эти усовершенствования содержат новые возможности для борьбы с нежелательной почтой, включающие блокировку фишинг-атак. Цель разработчиков фишинг-схем — обманным способом запрашивать важные личные сведения, маскируясь под надежные веб-узлы.

В среде Exchange Server 2003 с пакетом обновления 2 (SP2) можно настроить фильтрацию сообщений, значения SCL-рейтингов которых выше пороговых значений, настроенных администраторами. Интеллектуальный фильтр сообщений применяет два пороговых значения, установленных в системе Exchange Server 2003 с пакетом обновления 2 (SP2): значение для шлюза и значение для хранения.

фильтрации нежелательной почты в приложении Outlook 2003 и веб-клиенте Outlook.

• Фильтр нежелательной почты В приложении Outlook 2003 применяется современная технология, разработанная исследовательским центром Microsoft Research, для определения нежелательности сообщения на основании таких факторов, как количество его отправок, а также его содержимое и структура. Фильтр не определяет конкретного отправителя или вид сообщения. Вместо этого он проводит сложный анализ для определения вероятности того, что сообщение будет расценено получателем как нежелательное.

  По умолчанию фильтр настроен на низкий уровень, предназначенный для обнаружения наиболее явных нежелательных сообщений. Задержанные фильтром сообщения перемещаются в специальную папку нежелательной почты для последующего рассмотрения. При необходимости можно установить для фильтра более высокий уровень безопасности (при котором могут ошибочно задерживаться безопасные сообщения) или включить в приложении Outlook 2003 функцию удаления поступающих нежелательных сообщений навсегда. Узнайте больше о фильтре нежелательной почты.

• Списки надежных отправителей Если сообщение ошибочно отмечено фильтром как нежелательное, можно добавить адрес его отправителя в список надежных отправителей. Сообщения с электронных адресов и из доменов в списке надежных отправителей никогда не расцениваются как нежелательная почта, независимо от их содержимого. Контакты считаются надежными по умолчанию и сообщения, полученные с этих адресов, не расцениваются как нежелательные. Сообщения, отправляемые внутри организации, также никогда не рассматриваются как нежелательные, если в компании установлен сервер Microsoft Exchange Server. Можно настроить приложение Outlook 2003 на получение сообщений только из списка надежных отправителей, что позволяет эффективно управлять потоком получаемой почты.
• Список заблокированных отправителей Почтовые сообщения, которые поступают с определенных адресов или доменов, можно заблокировать путем добавления адресов отправителей в список заблокированных отправителей. Сообщения от пользователей или доменов, которые внесены в список нежелательных отправителей, будут всегда расцениваться в качестве нежелательных, независимо от содержимого.
• Список надежных получателей Список электронных адресов или группа, членом которой является пользователь, могут быть добавлены в список надежных получателей. Любые сообщения, отправляемые на адреса или в домены из этого списка, не будут считаться нежелательными, независимо от репутации отправителя и содержимого сообщения.
• Автоматическое обновление Обновлять фильтр нежелательных сообщений можно с помощью периодических обновлений от корпорации Майкрософт, что позволяет блокировать нежелательные сообщения новейшими способами. Корпорация Майкрософт следит за своевременной поставкой обновлений для фильтра нежелательных сообщений.