Методы борьбы с нежелательными сообщениями в среде Exchange Server

Развертывание и управление

Основной задачей системы защиты от нежелательной почты Microsoft Exchange Server 2003 Anti-Spam Framework является способность анализировать работу каждого из входящих в нее методов и их совместную работу. При правильном понимании возможностей этой системы развертывание и управление этими технологиями позволит предприятиям среднего бизнеса эффективно бороться с нежелательной почтой в среде Microsoft Exchange Server. Пользователи также должны обладать начальными знаниями о борьбе с нежелательной почтой, чтобы управлять клиентскими компьютерами в их рабочей среде. Кроме этого, в данном разделе будет обсуждаться отслеживание и устранение неисправностей интеллектуального фильтра сообщений как часть постоянного процесса управления.

Следующие функции необходимо настраивать как на уровне глобальных настроек, так и на уровне протокола SMTP. В конце данного раздела обсуждаются необходимые пользователю знания.

В этом разделе описываются пошаговые процедуры для настройки:

• защиты на уровне соединения;
  • фильтрации на уровне IP-соединения;
  • черных списков реального времени;
• защиты на уровне протокола;
• блокирования получателя и отправителя;
• фильтрации по коду отправителя;
• защиты на уровне содержимого;
  • интеллектуального фильтра сообщений Exchange;
  • фильтрации нежелательной почты в приложении Outlook 2003 и веб-клиенте Outlook

Защита на уровне соединения

Система Exchange Server 2003 поддерживает фильтрацию соединений, действующую на основе черных списков реального времени. С помощью этой функции входящий IP-адрес сверяется с черным списком реального времени (RBL) поставщика услуг по категориям фильтрации. При обнаружении совпадения в черном списке реального времени, протокол SMTP выдает сообщение об ошибке 550 5.x.x в ответ на команду RCPT TO, после чего отправителю направляется соответствующий ответ об ошибке. Можно использовать несколько фильтров подключения и в определенном порядке.

При создании фильтра подключения необходимо установить правило, которое протокол SMTP использует для запроса DNS в стороннем черном списке реального времени. Фильтр подключения сверяет каждый входящий IP-адрес со сведениями в черном списке, предоставленном сторонним поставщиком. Поставщик черного списка реального времени выдает один из двух следующих ответов.

• Узел не найден. Такой ответ означает, что IP-адрес не занесен в черный список.
• 127.0.0.x. Этот код состояния означает, что данный IP-адрес существует в списке ненадежных отправителей. Число x варьируется в зависимости от поставщика.

Если входящий IP-адрес обнаружен в списке, протокол SMTP выдает сообщение об ошибке 5.x.x в ответ на команду RCPT TO (команда протокола SMTP, которую сервер подключения выдает для определения получателя сообщения).

Поставщики черных списков реального времени

Предприятиям среднего бизнеса следует тщательно выбирать поставщиков, поскольку различные поставщики черных списков реального времени предлагают различные виды списков и услуг. Двумя наиболее известными поставщиками являются Spam Haus (www.spamhaus.org) и Spam Cop (www.spamcop.net).

Ответы на следующие вопросы помогут выбрать нужного поставщика черных списков реального времени.

• Качество составления списка Проверяет ли кто-либо, что IP-адрес, добавленный в список действительно принадлежит нежелательному отправителю? Можно ли самостоятельно добавлять адреса в список?
• Безопасность списка Осуществляются ли проверки безопасности списка? Проверяет ли кто-нибудь, что IP-адреса не были добавлены в список по ошибке или злоумышленно?
• Обновление списка Как осуществляется процесс редактирования списка? Если добавление адреса в список происходит автоматически, то удаление адреса после прекращения получения нежелательной почты также должно быть автоматическим. Как скоро обновляются списки?
• Процесс передачи списка Разрешает ли производитель полные или постепенные передачи типа Berkeley Internet Name Domain (BIND), совместимые с DNS-сервером Windows?
• Поддержка пользователей поставщиком черного списка Какой уровень поддержки предоставляет поставщик?

Фильтрация по IP-соединению

Настройка фильтрации по IP-соединению

1. В диспетчере Exchange разверните контейнер Global Settings (Глобальные параметры).
2. Щелкните правой кнопкой мыши элемент Message Delivery (Доставка сообщений) и щелкните пункт Properties (Свойства).
3. Перейдите на вкладку Connection Filtering (Фильтрация по соединению).
4. В зависимости от того, что необходимо сделать, нажмите кнопку Accept (Принять), Deny (Запретить) или Exception (Исключение). В следующем примере рассматривается запрещение.

5. Выберите пункт Single IP Address (Один IP-адрес) или Group of IP Addresses (Группа IP-адресов), как показано на снимке экрана.

   
   Увеличить изображение

Черные списки реального времени (RBL)

Настройка работы черного списка реального времени на уровне глобальных настроек

1. В диспетчере Exchange разверните контейнер Global Settings (Глобальные параметры).
2. Щелкните правой кнопкой мыши элемент Message Delivery (Доставка сообщений) и щелкните пункт Properties (Свойства).
3. Перейдите на вкладку Connection Filtering (Фильтрация по соединению).

4. Чтобы создать правило для фильтра подключения, нажмите кнопку Add (Добавить). См. снимок экрана.

   
   Увеличить изображение

5. В поле Display Name (Выводимое имя) наберите имя фильтра подключения.
6. В поле DNS Suffix of Provider (DNS-суффикс поставщика) введите DNS-суффикс поставщика (например contoso.com).

7. В поле Custom Error Message to Return (Возвращаемое сообщение об ошибке) можно набрать сообщение об ошибке, которое будет выдаваться отправителю. Не заполняйте это поле, чтобы использовать сообщение об ошибке, выдаваемое по умолчанию:

   <IP-адрес> has been blocked by <Имя правила фильтра подключения>

   Создать специальное сообщение можно с помощью следующих переменных:

   Для того чтобы специальное сообщение выглядело как:

   IP-адрес <IP-адрес> заблокирован следующим поставщиком черного списка реального времени <имя поставщика черного списка,

   в поле Custom Error Message to Return (Возвращаемое сообщение об ошибке) нужно ввести:

   IP-адрес%0 был заблокирован поставщиком черного списка реального времени%2.

   Примечание.   Сервер Exchange заменит %0 на IP-адрес подключения, а %2 на имя поставщика черного списка.

8. Чтобы выбрать коды состояния, получаемые от поставщика черного списка, которые будут соответствовать фильтру подключения, нажмите кнопку Return Status Code (Возвращать код состояния) Появится следующее диалоговое окно.

   

9. Выберите один из следующих пунктов в диалоговом окне Return Status Code (Возвращать код состояния).

   • Match Filter Rule to Any Return Code (Применить правило фильтра к любому возвращенному коду) Данное правило фильтра подключения применяется к любому возвращенному коду состояния, полученному от службы поставщика. Это правило устанавливает значение по умолчанию, при котором фильтру подключения соответствует любой возвращенный код.

     Примеры:

     127.0.0.1. Черный список

     127.0.0.2. Известная открытая пересылка

     127.0.0.4. IP-адрес коммутируемого соединения

   • Match Connection Filter to the Following Mask (Применить фильтр подключения к следующей маске) Данное правило фильтра подключения применяется к возвращенным кодам состояния, полученным от поставщика, с использованием интерпретирующей маски. Введите маску, на основе которой будет осуществляться фильтрация, в соответствии с масками, которые используют поставщики.

     Примеры:

     0000 | 0001. Черный список

     0000 | 0010. Открытая пересылка

     0000 | 0011. Открытая пересылка или черный список

     0000 | 0100. Коммутируемое соединение

     0000 | 0101. Коммутируемое соединение или черный список

     0000 | 0110. Коммутируемое соединение или открытая пересылка

     0000 | 0111. Коммутируемое соединение, открытая пересылка или черный список

   • Match Filter Rule to Any of the Following Responses (Применить правило фильтра к любому из следующих ответов) Данное правило фильтра подключения применяется к возвращенным кодам состояния, полученным от поставщика, с использованием конкретных значений возвращенных кодов состояния.
10. Нажмите кнопку ОК.

Для правильной работы параметры отправителя, получателя, интеллектуального фильтра сообщений и фильтра подключений должны также быть применены на уровне протокола SMTP. Для этого необходимо выполнить следующие действия.

Включение функций фильтрации на уровне протокола SMTP

1. Запустите диспетчер Exchange.
2. Разверните узел Servers (Серверы).
3. Разверните узел <имя сервера> (для настройки необходимого почтового сервера).
4. Разверните узел Protocols (Протоколы).
5. Разверните узел SMTP.
6. Щелкните правой кнопкой мыши элемент Default SMTP Virtual Server (Виртуальный сервер SMTP по умолчанию) и выберите пункт Properties (Свойства).
7. В окне Default SMTP Virtual Server Properties (Свойства виртуального сервера SMTP по умолчанию) нажмите кнопку Advanced (Дополнительно).
8. В окне Advanced (Дополнительно) нажмите кнопку Edit (Изменить).

9. В окне Identification (Идентификация) установите флажок Apply Connection Filter (применять фильтр соединения) чтобы применить ранее установленный фильтр (как показано на снимке экрана).

   
   Увеличить изображение

Защита на уровне протокола

После того, как SMTP-сообщение прошло защиту на уровне соединения, оно вновь проверяется — на этот раз на уровне протокола SMTP. Диалог SMTP между отправляющим SMTP-узлом и получающим SMTP-узлом анализируется, чтобы удостовериться, что отправитель и получатели разрешены, и чтобы определить доменное имя отправителя по протоколу SMTP.

Фильтрация по получателю

Чтобы предотвратить доставку сообщений, отправляемых на определенные адреса получателей, используйте функцию фильтрации по получателю.

Настройка фильтрации получаемых сообщений

1. Запустите диспетчер Exchange.
2. Разверните контейнер Global Settings (Глобальные параметры).
3. Щелкните правой кнопкой мыши элемент Message Delivery (Доставка сообщений) и щелкните пункт Properties (Свойства).
4. Перейдите на вкладку Recipient Filtering (Фильтрация по получателю).
5. Выберите пункт Filter recipients who are not in the Directory (Проводить фильтрацию получателей вне каталога).

6. Нажмите кнопку Add (Добавить) и добавьте адрес получателя (как показано на снимке экрана).

   
   Увеличить изображение

Фильтрация по коду получателя

Чтобы настроить действия фильтра кода получателя, используйте параметры фильтрации по коду получателя. С помощью этих параметров можно настроить действия сервера в отношении сообщений, не прошедших проверку по коду получателя. Функция фильтрации по коду отправителя является отраслевым стандартом, который можно использовать для обеспечения высокой степени защиты от незатребованных коммерческих сообщений электронной почты и фишинг-атак.

По умолчанию для фильтрации по коду отправителя установлено значение Accept (Принять). Можно задействовать фильтр по коду отправителя и внутри периметра сети. Для этого укажите IP-адреса серверов в своей внутренней сети, которые необходимо исключить из списка фильтрации по коду отправителя.

Настройка фильтрации по коду отправителя

1. Запустите диспетчер Exchange.
2. Разверните контейнер Global Settings (Глобальные параметры).
3. Щелкните правой кнопкой мыши элемент Message Delivery (Доставка сообщений) и щелкните пункт Properties (Свойства).
4. Перейдите на вкладку Sender ID Filtering (Фильтрация по коду отправителя).

5. Выберите необходимые параметры фильтрации по коду отправителя (как показано на снимке экрана).

   

Защита на уровне содержимого.

Фильтрация содержимого в системе Exchange Server 2003 с пакетом обновления 2 (SP2) основана на технологии машинного обучения SmartScreen, разработанной исследовательским центром Microsoft Research, которая встроена в интеллектуальный фильтр сообщений (IMF). Сообщения из Интернета попадают на шлюз протокола SMTP сервера Exchange Server и попадают в систему защиты от нежелательной почты Exchange Server Anti-Spam Framework. Предыдущие уровни системы защиты от нежелательной почты в сервере Exchange (фильтрация по соединению, отправителю и получателю) блокируют доставку сообщения до непосредственного получения содержащихся в нем данных. Если сообщение проходит все предыдущие этапы проверки, происходит содержимое сообщения попадает в сеть.

Интеллектуальный фильтр сообщений может точно оценить вероятность того, что входящее почтовое сообщение является безопасным, либо нежелательным.

интеллектуального фильтра сообщений Exchange;

Интеллектуальный фильтр сообщений Exchange является важным компонентом в процессе борьбы с нежелательной почтой. Это SCL-совместимый фильтр, обеспечивающий широкие возможности серверной фильтрации сообщений, специально созданный для борьбы с потоком нежелательной почты. Для получения дополнительных сведений посетите веб-узел интеллектуального фильтра сообщений Exchange по адресу http://go.microsoft.com/fwlink/?linkid=21607.

Настройка интеллектуального фильтра сообщений Exchange

1. Запустите диспетчер Exchange.
2. Разверните контейнер Global Settings (Глобальные параметры).
3. Щелкните правой кнопкой мыши элемент Message Delivery (Доставка сообщений) и щелкните пункт Properties (Свойства).
4. Перейдите на вкладку Intelligent Message Filtering (Интеллектуальная фильтрация сообщений).

5. В элементе Block message with an SCL rating greater than or equal to (Блокировать сообщения с показателем равным или большим) (см. снимок экрана), выберите необходимый показатель.

   Шкала SCL имеет значения от 0 до 9. Чем выше значение, тем больше вероятность того, что сообщение является нежелательным.

   
   Увеличить изображение

фильтрации нежелательной почты в приложении Outlook 2003 и веб-клиенте Outlook.

Приложение Outlook 2003 и веб-клиент Outlook 2003 обладают возможностями, которые помогают защитить пользователей от нежелательной почты. Эти возможности перечислены ниже.

• Управляемые пользователем черные списки и списки надежных отправителей и получателей Черные списки и списки надежных отправителей, применяемые в приложении Outlook 2003 и веб-клиенте Outlook, хранятся в почтовом ящике пользователя. Поскольку обе программы используют один и тот же список, пользователям не нужно создавать две версии.
• Блокирование внешнего содержимого Приложение Outlook 2003 и веб-клиент Outlook 2003 затрудняют отправителям нежелательных сообщений использование маяков для получения электронных адресов. При получении входящих сообщений, содержащих любые данные, которые можно использовать в качестве маяка, обозреватель Outlook и веб-клиент Outlook Web Access выдают предупреждающее сообщение независимо от реального наличия маяка. Если пользователь уверен в безопасности сообщения, он может щелкнуть предупреждение, чтобы загрузить содержимое. Если пользователь не уверен в безопасности сообщения, он может удалить его, не задействовав при этом маяки, которые уведомляют отправителя нежелательной почты.
• Усовершенствованное управление нежелательной почтой С помощью приложения Outlook 2003 пользователи могут создавать правила поиска почтовых сообщений по конкретным фразам и автоматически перемещать сообщения, содержащие эти фразы, из папки «Входящие» в специальную папку (например в папку «Нежелательная почта» или «Удаленные»). Также пользователи могут навсегда удалить подозрительное сообщение вместо его перемещения в специальную папку.
• Фильтр нежелательной почты В приложении Outlook 2003 имеется фильтр нежелательной почты, который выполняет поиск по общим свойствам нежелательной почты. Список этих свойств обновляется при обновлении пакета Office. При обнаружении каждого подозрительного свойства обозреватель Outlook увеличивает значение счетчика. Чем выше этот показатель счетчика для сообщения, тем больше вероятность того, что оно является нежелательным. Настройте уровень защиты от нежелательной почты в диалоговом окне Параметры нежелательной почты.

Настройка фильтра нежелательной почты в приложении Outlook 2003

1. Войдите в меню Действия приложения Outlook 2003.

2. Выберите пункт Нежелательная почта и затем пункт Параметры нежелательной почты (см. снимок экрана).

   
   Увеличить изображение

3. Появится диалоговое окно, изображенное на следующем снимке экрана, которое позволяет выбрать нужный уровень защиты от нежелательной почты.

   
   Увеличить изображение

Настройка фильтра нежелательной почты в веб-клиенте Outlook (OWA)

1. Войдите в учетную запись Outlook Web Access.
2. Щелкните Параметры.
3. Выберите пункт Управление списками отправителей нежелательной почты.

4. Выберите нужный элемент в списке Просмотреть или изменить список (см. снимок экрана).

   
   Увеличить изображение

5. В зависимости от необходимого действия нажмите кнопку Добавить, Изменить или Удалить.

Примечание.   На начальном этапе работы с этими параметрами нежелательной почты или при изменении настроек необходимо регулярно проверять сообщения, удаленные из папки «Входящие», чтобы убедиться в том, что безопасные сообщения не были удалены. Обновления параметров нежелательной почты в обозревателе Outlook 2003 будут перечислены в разделе Обновление Office на веб-узле Microsoft Office Online по адресу http://go.microsoft.com/fwlink/?LinkId=24393.

Отслеживание и устранение неисправностей в интеллектуальном фильтре сообщений

Проблемы отслеживания и устранения неисправностей в интеллектуальном фильтре сообщений системы Microsoft Exchange решаются с помощью компонентов «Просмотр событий» и «Системный монитор». В этом разделе содержатся подробные сведения об отслеживании и устранении неисправностей.

Использование компонента «Просмотр событий»

В журнале приложений и системном журнале компонента «Просмотр событий» содержатся события, связанные с ошибками, предупреждениями и сведениями о работе сервера Exchange, протокола SMTP-службы и других приложений. Чтобы определить причину неисправностей интеллектуального фильтра сообщений, внимательно изучите сведения, содержащиеся в журнале приложений и системном журнале. Интеллектуальный фильтр сообщений записывает события в компонент «Просмотр событий» с помощью исходного транспорта MSExchangeTransport и SMTP-протокола категорий.

Поиск событий в интеллектуальном фильтре сообщений с помощью компонента «Просмотр событий»

1. В меню Пуск выберите пункты Все программы, Администрирование и Просмотр событий.
2. В дереве консоли щелкните пункт Журнал приложений.

3. Чтобы отсортировать записи в журнале в алфавитном порядке и быстро найти запись для служб сервера Exchange, щелкните кнопку Источник в области сведений (см. снимок экрана).

   
   Увеличить изображение

4. Чтобы отфильтровать журнал по записям событий, внесенных в интеллектуальный фильтр сообщений, выберите пункт Фильтр в меню Вид.
5. В пункте Свойства журнала приложений выберите транспорт MSExchangeTransport в списке Событие.
6. В списке Категория выберите пункт Протокол SMTP.

Использование компонента «Системный монитор», а также оповещений и журналов производительности

Интеллектуальный фильтр сообщений имеет несколько счетчиков производительности, которые используются для отслеживания его работы и производительности.

Использование компонента «Системный монитор», а также оповещений и журналов производительности

1.	В меню Пуск выберите пункты Все программы, Администрирование и Производительность.
2.	Выделите пункт Системный монитор и нажмите кнопку +, чтобы добавить счетчики.
3.	В диалоговом окне Добавить счетчики в списке Элемент производительности, выберите пункт MSExchange Intelligent Message Filter (см. снимок экрана). Увеличить изображение

Сведения, необходимые пользователям

Как и в любом другом аспекте, независимо от того, связано ли это с защитой от вирусов, несанкционированного доступа пользователей или нежелательной почты, технология не может быть единственным способом защиты от угроз и атак. Пользователи, обладающие необходимыми знаниями, могут играть важную роль в процессе управления нежелательной почтой. Необходимо инструктировать пользователей о том, как предотвращать и фильтровать нежелательную почту в среде обозревателя Outlook.

Инструкции должны содержать следующие правила:  

• Никогда не отвечать на запросы по электронной почте финансовых или личных сведений.
• никогда и никому не сообщайте пароли;
• не открывайте подозрительные файлы, вложенные в почтовые сообщения.
• Не отвечать на любые подозрительные или нежелательные сообщения электронной почты.
• Настройте параметры нежелательной почты в приложении Outlook 2003, как было описано выше в разделе этого документа «Фильтрация нежелательной почты в приложении Outlook 2003 и веб-клиенте Outlook».

Аннотация

Многие предприятия среднего бизнеса выстраивают свои важные бизнес-процессы с учетом возможностей системы Microsoft Exchange Server 2003. Значительная часть их повседневной деятельности зависит от услуг, которые предоставляет сервер Exchange Server.

Увеличение потока нежелательной почты продолжает вызывать трудности для предприятий среднего бизнеса. Это не только раздражающая помеха — нежелательная почта увеличивает загрузку сетей, а также временные, финансовые и другие затраты отдельных пользователей и целых предприятий во всем мире.

В данном документе указаны способы снижения количества нежелательной почты в среде Exchange Server 2003. Система защиты от нежелательной почты Exchange Server 2003 Anti-Spam Framework сочетает в себе методы защиты от нежелательной почты, позволяющие администраторам и конечным пользователям достаточно эффективно уменьшать количество нежелательной почты и увеличивать производительность.

Ссылки

Загрузить обзорную статью по системе Microsoft Exchange Server 2003 Anti-Spam Framework можно с веб-узла Центра загрузки Майкрософт по адресу http://download.microsoft.com/download/0/E/6/0E6A7113-DDA4-4FD7-AABA-B9E264700225/Anti-Spam.doc (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Тема Улучшенная защита от нежелательной почты в обзоре системы Exchange Server 2003 с пакетом обновления 2 (SP2) находится по адресу www.microsoft.com/exchange/evaluation/sp2/overview.mspx#antispam (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Сведения об интеллектуальном фильтре сообщений системы Exchange (IMF) и обновления для него можно загрузить с веб-узла Microsoft TechNet по адресу www.microsoft.com/technet/prodtechnol/exchange/downloads/2003/imf/default.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Документ Гигиена при обмене сообщениями в корпорации Майкрософт: как ИТ-специалисты корпорации Майкрософт защищаются от нежелательной почты, вирусов и атак через электронную почту можно загрузить с веб-узла Microsoft TechNet по адресу www.microsoft.com/technet/itsolutions/msit/security/messaginghygienewp.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Статья Черные списки реального времени в системе Exchange Server 2003 находится на веб-узле Microsoft TechNet по адресу www.microsoft.com/technet/prodtechnol/exchange/2003/insider/Block_Lists.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Статья базы знаний Майкрософт Как настроить фильтр подключения для использования черных списков реального времени и как настроить фильтр получаемых сообщений на сервере Exchange Server 2003 находится по адресу http://support.microsoft.com/default.aspx?scid=823866 (эта ссылка может указывать на содержимое полностью или частично на английском языке).