Нежелательная коммерческая электронная почта, обычно называемая спамом, становится огромной проблемой как для компаний, так и для обычных пользователей. На фильтрацию спама уходит очень много времени. Поэтому важной задачей каждого системного администратора, который отвечает за систему сообщений и совместной работы, является внедрение хорошей систе мы фильтрации почтовых сообщений.
Компания Microsoft предоставляет большое количество средств для фильтрации спама в сервере Exchange Server 2003 Service Pack 2, а также предоставляет решение для уменьшения количества времени, затрачиваемого на фильтрацию спама.
Эти функции включены в сервер Exchange 2003 и, как следствие, они присутствуют и в сервере Small Business Server 2003.
В данной статье мы подробно рассмотрим данные возможности и расскажем, как их внедрить.
Защита от спама на уровне соединений на протяжении многих лет была лучшим решением: спам никогда не проникал в сеть предприятия. Все, что делает данная функция, это отслеживание входящих SMYP-соединений на их принадлежность к спаму. Если SMTP-узел соединения является известным спамером, соединения обрывается.
Exchange-сервер выполняет защиту от спама на уровне соединений двумя способами.
Фильтрация соединений по IP – это настраиваемая функция в сервере Exchange 2003, которая может полностью блокировать SMTP-соединения на основе IP-адресов. Это достаточно устарелый способ, поскольку списки соединений администрируются вручную. Помимо этого вы можете разрешить отдельные SMTP-соединения.
Рисунок 1: Фильтрация по IP-адресу
С помощью сервера Exchange 2003 вы можете воспользоваться новым и более динамичным методом защиты на уровне соединений. Данная функция называется «Списки заблокированных соединений в реальном времени». Это известные спам-ресурсы, открытые ретрансляторы и диапазоны IP-адресов. Но в эти списки не могут входить узлы STMP, являющиеся узлами провайдеров коммутируемого доступа, поскольку иначе это может привести к тому, что тысячи сообщений пользователей коммутируемого доступа будут отклонены.
Списки предоставляются сторонними организациями, которые собирают IP-адреса интернет-доменов SMTP. Когда узел инициирует SMTP-сессию с подписчиком службы списков заблокированных, подписчик выполняет DNS-запрос службы списков к DNS-серверу провайдера списков об IP-адресе узла отправителя. Сервер осуществляет проверку на нахождение узла в списке заблокированных.
Для включения этой функции вам нужно установить Exchange Server 2003 Service Pack 2, поскольку в ранних версиях сервера Exchange 2003 значением обладал только узел соединения, а не узел отправки, что означало, что все брандмауэры и узлы SMTP между двумя узлами могут быть спамерами. Это было решено с помощью настройки списков пограничных IP-адресов и внутренних диапазонов IP-адресов в консоли управления Exchange System Manager.
Рисунок 2: Списки заблокированных соединений (1)
Рисунок 3: Списки заблокированных соединений (2)
Рисунок 4: Списки заблокированных соединений (3)
Рисунок 5: Списки заблокированных соединений (4)
Защита на уровне протокола – другой способ фильтрации спама на следующем уровне защиты: на уровне протокола SMTP. SMTP-трафик между узлами отправителя и получателя анализируется для подтверждения того, что оба узла являются разрешенными.
Первым способом установки защиты на уровне протокола является определение отдельных отправителей или доменов, откуда вы хотите или не хотите принимать сообщения (также известные как «белые» и «черные» списки). Сервер Exchange 2003 может быть настроен на блокирование пустого адреса отправителя и фильтрацию получателей, не находящихся в Active Directory.
Данный метод блокировки предотвращает от атак просмотра каталога (Directory Harvesting Attack – DHA). При такой атаке Exchange-сервер сам отвечает на команды RFC2821 RCPT TO:, проходящие через сервер в поисках нужного IP-адреса. При определении того, что сообщение отослано несуществующему получателю, Exchange-сервер возвращает код «Unknown user» (Неизвестный пользователь). Так у спамеров появляется возможность получить реальный адрес электронной почты, чтобы продать его или использовать в качестве получателя нежелательной почты. Данная угроза может быть устранена с помощью метода ловушки, который внедрен в Windows Server 2003 Service Pack 1. Данная функция позволяет администраторам вставлять задержку перед отправкой ответа протокола SMTP.
Рисунок 6: Фильтрация отправителя
Рисунок 7: Фильтрация получателя
Одной из новых антиспамовых функций сервера Exchange 2003 стала возможность фильтрации на основе идентификатора отправителя (Sender ID), которая поставляется с пакетом обновлений Exchange Server 2003 Service Pack 2. Функция Sender ID пытается подтвердить, что узлу отправителя разрешено отправлять сообщения из SMTP-домена.
Для работы функции Sender ID нужно две вещи. Первое – запись в DNS, известная как условия политики отправителя. Она определяет, какие серверы могут отсылать SMTP со своего домена. Второе – узел SMTP, поддерживающий Sender ID.
Фильтрация по идентификатору отправителя значительно уменьшает спам, если для домена отправителя есть SPF-запись в DNS, но все домены, которые не имеют такой записи, могут столкнуться с проблемами.
Рисунок 8: Фильтрация по идентификатору отправителя
Следующий вариант – использование защиты на уровне содержимого. Это означает, что мы может анализировать содержимое сообщения и производить поиск известных ключей, которые могут идентифицировать нежелательную почту.
В сервере Exchange Server 2003 Service Pack 2 компания Microsoft представила фильтр содержимого, который называется Настраиваемый фильтр сообщений Exchange-сервера (Exchange Intelligent Message Filter – IMF). Он основан на запатентованной технологии исследовательского центра Microsoft. Технология Smart Screen уже используется в MSN, Microsoft Hotmail и Microsoft Office Outlook 2003 и называется Junk Email Filtering (Фильтрация нежелательной почты).
Настраиваемый фильтр сообщений был разработан для разделения сообщений спама и не спама на основе характеристик каждого сообщения.
Сначала фильтр IMF добавляет сообщению уровень уверенности в спаме (Spam Confidence Level — SCL), а затем оценивает два настроенных предела:
Фильтр IMF также предоставляет возможность анти-фишинговой фильтрации. Ее можно детально настроить с помощью функции Custom Weighting (Пользовательская оценка), которая внедрена в XML-файл MSExchange.UceContentFilter.xml. Ее необходимо сохранить в той же самой папке, где хранятся .dll и .dat файлы Exchange-сервера. Фильтр IMF может быть обновлен с помощью службы обновления серверов Windows (Windows Server Update Services – WSUS).
Рисунок 9: Настраиваемый фильтр сообщений
Для очистки клиента Outlook от спама используйте функцию Junk-Email Filtering (Фильтрация нежелательной почты). Сначала она собирает информацию о SCL от фильтра IMF.Помимо этого в ней есть свой собственный фильтр, с помощью которого каждый пользователь может настроить свои белые и черные списки для спама.
Если вы решите внедрять все эти функции защиты от нежелательной почты, вы сможете значительно уменьшить и даже свести к минимуму количество спама в вашей организации, что поможет вам сэкономить время для другой, более важной работы. И что замечательно: все эти функции доступны в сервере Small Business Server 2003.
Источник http://www.msexchange.org