Если вы хотите ознакомиться с остальными частями этой статьи, то, пожалуйста, прочитайте:
Настраиваемый фильтр сообщений (Intelligent Message Filter — IMF) был впервые представлен в 2004 году как дополнение к серверу Exchange 2003. Сегодня эта версия не поддерживается, она была заменена версией 2, устанавливаемой автоматически с пакетом обновлений 2 для сервера Exchange 2003 (Exchange Server 2003 Service Pack 2 (SP2)).
IMF – это один из механизмов сервера Exchange 2003, которые действительно может уменьшить количество нежелательной почты рекламного содержания (Unsolicited Commercial Email — UCE), получаемой вашей организацией. Фильтр основан на характеристиках миллионов сообщений, и потому может точно оценить вероятность того, что входящее сообщение является спамом.
Рисунок 1: Топология Exchange-сервера с включенным фильтром IMF
Фильтр IMF устанавливается на серверы Exchange, принимающие входящие сообщения из Интернета для их проверки.
Поскольку работа фильтра основана на вероятности того, что сообщение является спамом, IMF оценивает сообщения по свойству Уровень вероятности спама (Spam Confidence Level — SCL). Данная оценка связывается с сообщением при отправке его на другие Exchange-серверы.
Администратор устанавливает два порога, которые определяют способ обработки сообщений с различным SCL фильтром IMF: шлюзовой порог, который отвечает за действие с сообщением, чей уровень выше уровня данного порога, и порог хранилища сообщений. Если уровень SCL сообщения выше или равен значению шлюзового порога, фильтр выполняет указанное действие. Если уровень сообщения ниже значения шлюзового порога, сообщение отправляется в почтовый ящик получателя на сервере Exchange. В хранилище почтовых ящиков при уровне SCL сообщения выше значения порога хранилища сообщений, сообщение помещается в папку Junk E-mail (Нежелательная почта) пользователя вместо папки Inbox (Входящие).
На стороне клиента, Microsoft Office Outlook 2003 и Microsoft Office Outlook Web Access для сервера Exchange 2003, пользователи сами создают список надежных отправителей, от которых они всегда хотят принимать сообщения, а также список блокированных отправителей, от которых они всегда хотят отклонять сообщения.
Рисунок 2: Поток сообщений при работе фильтра IMF и функции фильтрации Exchange-сервера
Если вы хотите получить дополнительную информацию о фильтре IMF, воспользуетесь ссылками:
Фильтр IMF – это превосходный метод фильтрации спама, но даже до его появления в сервере Exchange 2003 уже были встроенные механизмы фильтрации, а именно:
При использовании одновременно всех трех фильтров вы можете блокировать значительное количество нежелательной почты, что уменьшает издержки на отклонение сообщений с помощью более старых технологий. Компания Microsoft выпустила интересный документ, в котором описывается управление большим количеством нежелательной почты и зараженных сообщений во входящем Интернет-трафике: Гигиена сообщений от Microsoft. Согласно этому документу, использование всех трех методов фильтрации блокирует почти 95% входящей нежелательной почты.
Рисунок 3: Фильтрация спама, выполненная ИТ-специалистами Microsoft
Сейчас вы, должно быть, подумали: «Хорошо, вы меня убедили. Как же мне настроить работу этих прекрасных механизмов для фильтрации?» Не будем медлить! Откройте консоль управления Exchange System Manager, найдите в вашей организации Exchange раздел Global Setting (Глобальные настройки) и щелкните правой кнопкой по пункту Message Delivery (Доставка сообщений). Выберите Properties (Свойства) и вы увидите вкладки со всеми настройками для фильтрации по соединению, отправителю и получателю.
Рисунок 4: Свойства Доставки сообщений
Очень часто после настройки люди забывают активировать фильтры: отредактируйте свойства SMTP Virtual Server (Виртуальный SMTP-сервер), на вкладке General (Общие) нажмите Advanced (Дополнительно), а затем Edit (Редактировать). Сложно? Ну, ничего, вам это придется делать всего один раз.
Рисунок 5: Свойства Виртуального SMTP-сервера
Сегодня невозможно обойтись без антивирусной защиты почтовых серверов, поскольку основным средством распространения вирусов стала именно электронная почта. Большинство вирусов распространяются через почтовые системы, т.к. клиенты почтовых сообщений предоставляют как возможности отправки, так и возможности доступа к информации об адресах.
Одним из основных шагов по защите системы обмена сообщениями от вирусов является подготовка антивирусной стратегии. В антивирусную стратегию должно входить обучение пользователей, установка антивирусного программного обеспечения на всех необходимых устройствах (на брандмауэрах, SMTP-шлюзах, на каждом из Exchange-серверов и на каждом клиентском компьютере), а также необходимость проверки актуальности антивирусных программ. При выборе программного обеспечения важно учитывать способность программы распространять обновления, такие как новые файлы подписей, на клиентские компьютеры и серверы без вмешательства пользователя. Таким образом, уменьшается ответственность пользователя и ошибки, вызванные человеческим фактором.
В Exchange-сервер не встроена защита от вирусов, но есть основа для производителей антивирусного программного обеспечения для разработки решений для Exchange-серверов: Virus Scanning Application Programming Interface (VSAPI) 2.5 (Программный интерфейс приложений антивирусного сканирования 2.5).
Одним из распространенных методов для передачи вирусов, которым пользуются вирусописатели, является включение вируса во вложение. Для защиты от таких вирусов Outlook и Outlook Web Access предоставляют следующие функции блокирования вложений:
Недавно Microsoft приобрела компанию Sybari, известную своим антивирусным и антиспамовым пакетом Sybari Antigen. Следующая версия данного продукта будет встроена в программы Microsoft.
Есть ли в вашей организации список рассылки (Distribution List — DL) в который входит вся Глобальная адресная книга (GAL)? У большинства из моих клиентов есть. А если у вас есть такой список, ограничено ли его использование? Большинство организаций, в которых я работал, не ограничивало возможность того, что кто-либо (включая внешних адресатов) может отослать сообщение на этот огромный список рассылки. Поэтому-то спаммеры и злоумышленники так любят этот список: одно сообщение придет сразу всем работникам предприятия. Помните, что в некоторые списки рассылки входит важная информация (списки администраторов, начальников, руководства и т.п.), и вряд ли вы захотите, чтобы эти люди получали нежелательную почту коммерческого содержания.
В Exchange-сервере есть механизмы, которые позволяют настраивать разрешения списков рассылки, а именно:
Настроить защиту определенного списка рассылки очень легко. Откройте оснастку Active Directory Users and Computers (Пользователи и компьютеры Active Directory), найдите там список рассылки, откройте Properties (Свойства) и зайдите на вкладку Exchange General (Общие свойства Exchange-сервера).
Рисунок 6: Свойства списка рассылки
Таким простым способом вы можете обезопасить людей от множества неприятностей.
Порой некоторые из нас отсылают сообщения друзьям или коллегам, в которых мы притворяемся другими людьми. Естественно, это просто шутка, у нас нет и в мыслях повлиять на безопасность или получить секретную информацию. А это ни что иное, как один из методов, которые используют спаммеры: подделка адресов.
В RFC 2821, определяющей протокол SMTP, ясно сказано, что “Почта, отправляемая по протоколу SMTP, по сути своей, незащищена. Даже обычный пользователь может напрямую общаться с получающими или ретранслирующими SMTP-серверами, а также создавать сообщения, которые могут ввести в заблуждение наивного получателя, который будет считать, что сообщения пришли от кого-то другого”. SMTP не требует подтверждения личности отправителя. В Exchange-сервер 2003 есть функциональность, защищающая от подделки адресов.
По умолчанию сервер Exchange 2003 сохраняет оригинальный метод представления SMTP-сообщения и не разрешает адрес отправителя, если представление анонимно. Если оригинальное сообщение было принято без аутентификации, Exchange 2003 помечается его как неаутентифицированное, и адрес отправителя не разрешается в имя из глобального списка адресов (а поле From (От)), а вместо этого сообщение показывается получателю в формате SMTP (например, rui@msexchange.org).
Однако, сервер Exchange 2000 разрешал сообщения, представленные анонимно. По счастью, такое поведение можно исправить путем установки Exchange 2000 SP1 и выше. Пакет обновлений 1 для Exchange 2000 добавляет серверу функцию ResolveP2. Параметр реестра ResolveP2 содержит информацию, которую сервер Exchange 2000 может использовать для «разрешения» указанного адреса в теле сообщения (обозначенное как «P2»), если такой пользователь существует в каталоге сервера Exchange 2000. Статья базы знаний Функция ResolveP2 в сервере Exchange 2000 дает дополнительную информацию о том, как настроить данную функцию.
Другим возможным методом является настройка виртуального SMTP-сервера для выполнения обратного просмотра DNS для входящих сообщений. При этом подтверждается IP-адрес, а полностью определенное доменное имя (FQDN) почтового сервера отправителя сравнивается в доменным именем, указанным в сообщении.
Однако, для обратного просмотра DNS существуют некоторые ограничения:
Дополнительную информацию об использовании обратного просмотра DNS можно получить из статьи Базы знаний «Как защитить сервер Exchange 2000 от нежелательной почты коммерческого содержания«.
Возможно, одним из самых эффективных методов борьбы с подделкой адресов является использование Sender ID. Впервые данная функция была представлена в сервере Exchange Server 2003 Service Pack 2. Sender ID усложняет применение подделки адресов, поскольку при включении данной функции, принимая сообщение Exchange-сервер запрашивает DNS-сервер отправителя на подтверждение того, что IP-адрес, с которого было получено письмо, уполномочен отправлять сообщения от имени домена, указанного в заголовке. Можно это рассматривать как расширенную версию обратного просмотра DNS, но вместо опроса зон обратного просмотра проверяется запись типа SPF зоны прямого просмотра. Записи типа SPF идентифицируют почтовые серверы отправки.
Режим замедления – это возможность искусственной задержки ответа сервера для определенных моделей SMTP-соединений. Он помогает бороться со спамерскими атаками, такими как Атака опроса каталога (Directory Harvest Attack — DHA). При такой атаке запускается программа, которая угадывает все возможные адреса внутри домена и пытается отослать сообщения на все эти адреса. Обычно SMTP-сервер отвечает на несуществующие адреса сообщением «550 User unknown» (Пользователь неизвестен), поэтому после успешной атаки DHA спаммер получает все доступные адреса.
…
MAIL FROM:<rui@msexchange.org>
250 2.1.0 rui@msexchange.org….Sender OK
RCPT TO: <bogususer@msexchange.org>
550 5.1.1 User unknown
QUIT
Серьезная атака, вроде DHA из 4-х символов, может быть завершена за 20 минут. При применении задержки в 5 секунд она может занять несколько месяцев.
Включить режим замедления можно, сделав изменения в реестре и перезапустив службу SMTP. Детальную информацию можно взять из статьи Базы знаний “Режим замедления для Microsoft Windows Server 2003”. Я рекомендую изучить еще и эти статьи:
Дополнительную информацию по теме, рассказанной в этой части статьи, очень легко найти. Это проблема, с которой сталкиваются практически все компании, а значит для ее решения разработано множество продуктов, уменьшающих риски, связанные со спамом и вирусами.
Я настоятельного советую провести собственный поиск, и в том случае, если средств Microsoft не достаточно, попробуйте использовать доступные средства сторонних производителей.
Источник http://www.msexchange.org
Tags: dns, Exchange, redirect, spam, virus