Настроюємо захист проти спаму в Exchange 2007, Kvazar s Blog

Думки, статті, роздуми...

проти

Настроюємо захист проти спаму в Exchange 2007

Існує велика кількість програмних продуктів різних компаній, спрямованих на боротьбу зі спамом у поштових системах, побудованих на базі Microsoft Exchange 2007. Проте всі вони платні, що за нинішнього режиму суворої економії в компаніях є стримуючим фактором їх впровадження. У той же час, до складу Exchange 2007 входить ряд інструментів, що забезпечують, при належному налаштуванні, не менший рівень захисту від спаму, ніж платні аналоги.

настроюємо
Для включення функцій боротьби зі спамом на сервері за участю «Hub Transport» запустіть Exchange Management Shell, перейдіть до каталогу, де встановлений Exchange (за замовчуванням — C: Program Files Microsoft Microsoft Exchange Server), потім в підкаталог Scripts і виконайте команду – Install-AntispamAgents.ps1 Потім виконайте – Restart-Service MSExchangeTransport

Після цього в консолі керування сервером Exchange стане доступна вкладка Antispam, а також стане можливим налаштування фільтрів за допомогою Exchange Management Shell (EMS).

Засоби захисту від спаму Exchange 2007

захист

  • Content filtering (Фільтрування вмісту) – нова версія фільтра Exchange Intelligent Message Filter, що вперше з'явився в Exchange 2003. Оцінює вміст вхідних повідомлень і відповідно до статично значимого набору повідомлень визначає рівень визначеності спаму, присвоюючи рейтинг від 0 до 9. Є можливість об'єднання надійних відправників та створення карантину небажаної пошти;
  • Sender reputation (Репутація відправника) – перевірка повідомлень за трьома різними критеріями з фільтрацією після визначення рейтингу виходячи з аналізу мінімум 20повідомлень відправника;
  • Attachment filtering (Фільтрування вкладень) – дозволяє заборонити доставку вкладень із зазначеними розширеннями. Ця можливість відсутня при налаштуванні захисту на сервері за участю Hub Transport.

Set-TransportAgent -Identity » Content filtering »-Priority 3

Розглянемо конфігурування всіх вищезазначених засобів захисту для досягнення максимального результату, а також деякі налаштування, які також допоможуть підвищити ефективність захисту.

Налаштування фільтрації підключень

Add-IPAllowListEntry -IPAddress 10.0.8.67

Add-IPAllowListEntry -IPRange 10.3.5.0/23

Налаштування фільтрації відправників

Фільтрація одержувачів

Ідентифікація коду відправника

  • Підтвердити стан – ця дія застосовується за замовчуванням, усі повідомлення, залежно від результатів перевірки, одержують стан коду відправника, який враховується при подальшому обчисленні SCL іншими фільтрами;
  • Відхилити – повідомлення відхиляється з надсиланням повідомлення про помилку серверу відправника;
  • Видалити – повідомлення видаляється без попередження, однак серверу-відправнику надсилається фіктивна команда про доставку пошти.

Управління фільтром здійснюється з EMС, або за допомогою командлет PowerShell. Для відхилення явно підроблених повідомлень виконайте команду:

Set-SenderIDConfig -SpoofedDomainAction Reject

Наступне налаштування неможливо виконати в EMC, воно доступне лише в Exchange Managemnt Shell. Щоб видалити повідомлення, для яких неможливо перевірити код відправника через тимчасові помилки, наприклад, відсутність DNS, виконайте:

Set-SenderIDConfig -TempErrorAction Delete

Set-SenderIDConfig-BypassedRecipients "[email protected], [email protected]" для додавання конкретних відправників, або Set-SenderIDConfig - BypassedSenderDomains "domain1.com, domain2.com" для додавання всіх відправників домену. Кожен із списків може містити не більше 800 записів електронної пошти або доменів відправників.

Фільтрація вмісту

Для коректної та ефективної роботи фільтра необхідно виконати ряд налаштувань:

1. Налаштування карантину небажаної пошти

2. Об'єднання списку надійних відправників

3. Встановлення порогових значень SLC та дій при їх перевищенні

4. Налаштування списку заблокованих слів та винятків

Для налаштування карантину рекомендується спочатку створити окрему базу даних поштових скриньок, щоб запобігти виникненню проблем з надсиланням та отриманням пошти користувачів при переповненні бази. Далі потрібно створити окремого користувача та його поштову скриньку розмістити у створеній групі зберігання спаму, причому обліковий запис користувача можна відразу відключити. Останнім кроком є ​​призначення створеної поштової скриньки фільтру вмісту для перенаправлення небажаної пошти. Отже, для створення бази даних за допомогою Exchnage Management Shell виконайте:

New-MailboxDatabase -Name Spam_Database -StorageGroup MAIL-SERVER-NAME\MAILBOX-SG

потім для підключення створеної бази - Mount-Database -Identity Spam_Database

Безумовно, всі дії можна виконувати і за допомогою EMC.

спаму

Після створення бази та поштової скриньки для карантину небажаної пошти налаштуйте фільтр для пересилання всіх повідомлень, SLC рівень яких вищий за налаштований, у скриньку карантину. Для цього використовується команда:

Set-ContentFilterConfig [email protected]

При установці порогових значень, я рекомендував би виставити спочатку практично максимальні значення, як наприклад на наведеному малюнку, для недопущення випадків помилкового спрацьовування при надходженні пошти від надійних відправників. Згодом, при заповненні списку надійних відправників, можливе зниження порогів, аж до 7,6, 4 для повідомлень, що видаляються, відхиляються і сповіщаються в карантин відповідно.

Для налаштування відображення вихідного відправника на робочій станції адміністратора потрібно створити спеціальну форму Outlook, для чого потрібно створити в блокноті файл та заповнити його таким вмістом:

[Description] MessageClass=IPM.Note CLSID= DisplayName=Quarantine Extension Form Category=Standard Subcategory=Form Comment=Ці форми можуть бути оригінальними Address to be viewed as column LargeIcon=IPML.ico SmallIcon=IPMS.ico Version=1.0 Locale=enu Hidden=1 Owner=Microsoft Corporation Contact=Your Name [Platforms] Platform1=Win16 Platform2=NTx86 Platform9=Win95 [Platform.Win16] CPU=ix86 OSVersion=Win3. 1 [Platform.NTx86] CPU=ix86 OSVersion=WinNT3.5 [Platform.Win95] CPU=ix86 OSVersion=Win95 [Properties] Property01=OriginalSenderAddress [Property.OriginalSenderAddress] Type=30 NmidInteger=0x0067 DisplayName=Original SenderAddress [Verbs] Verb .1] DisplayName=& Open Code=0 Flags=0 Attribs=2 [Extensions] Extensions1=1 [Extension.1] Type=30 NmidPropset= NmidInteger=1 Value=1000000000000000

Збережіть файл під ім'ям QTNE.cfg в С:\Program Files\Microsoft Office\OFFICE12\FORMS\код_мови (наприклад, дляукраїнської мови це буде C: Program Files Microsoft Office OFFICE12 FORMS 1049). В Outlook 2007 відкрийте: Сервіс >> Параметри >> Додатково >> Загальні >> Додаткові форми >> Диспетчер форм >> Встановити та знайдіть збережений файл

настроюємо
QTNE.cfg, після чого підтвердіть натисканням ОК і закрийте всі вікна. Тепер ви можете, приєднавши поштову скриньку спаму, настроїти відображення додаткового поля «Початковий відправник»

Далі необхідно налаштувати об'єднання списку надійних відправників Outlook. Це дозволить виключити фільтрацію повідомлень, на які користувачами надсилалися повідомлення, а також вручну внесені до списку надійних відправників в Outlook. Для налаштування необхідно створити на сервері Exchnage файл safelist.bat з таким вмістом:

З:\Program Files\Microsoft Command Shell\v1.0\Powershell.exe" -psconsolefile "З:\Program Files\Microsoft\Exchange Server\bin\exshell.psc1" -command

«get-mailbox where update-safelist» Потім потрібно задати виконання цього файлу за розкладом у планувальнику завдань поштового сервера, наприклад, у робочі дні о 10.00 та о 15.00.

Для налаштування порогових значень фільтра можна використовувати EMC або здійснити налаштування за допомогою команд:

Set-ContentFilterConfig -SCLRejectEnabled $true -SCLRejectThreshold 8 — відхиляти повідомлення з рівнем SLC 8 або вище Set-ContentFilterConfig -SCLDeleteEnabled $true -SCLDeleteThreshold 9 — видаляти повідомлення з рівнем SLC ineEnabled $true - SCLQuarantineThreshold 7 - поміщати в карантин повідомлення з рівнем SLC 7 або вище

Set-ContentFilterConfig -BypassedSenders [email protected] Set-ContentFilterConfig -BypassedSenderDomains milta.ru

Налаштуванняфільтра репутації відправника

Цей фільтр оцінює вхідні повідомлення за наведеними нижче параметрами:

  • Аналіз HELO/EHLO
  • Зворотний запит DNS
  • Аналіз оцінок SCL за повідомленнями від конкретного відправника
  • Тестування відкритого проксі-сервера відправника

Як тільки кількість листів від конкретного відправника досягає двадцяти, фільтр підраховує середнє значення SLC, і якщо отримана оцінка перевищує заданий в a фільтрі поріг, блокує відправника. Налаштування здійснюється через EMC або командами:

Налаштування фільтрації вкладень

Якщо вкладення не відповідає одному із заданих критеріїв фільтра, до нього може застосовуватися одна з трьох дій:

  • Блокування самого повідомлення та вкладення
  • Видалення вкладення без блокування повідомлення
  • Видалення повідомлення та вкладення без попередження

Фільтрація може здійснюватися як розширення вкладення, так і за типом MIME. Для фільтрації повідомлення, що містить файл з розширенням EXE, виконайте команду

Add-AttachmentFilterEntry -Name *.EXE -Type FileName

Щоб фільтрувати зображення JPEG типу MIME, виконайте

Add-AttachmentFilterEntry -Name image/jpeg -Type ContentType

Додаткові налаштування

Get-ReceiveConnector “Internet ReceiveConnector” Get-ADPermission -user “NT AUTHORITY\Anonymous Logon” where Remove-ADPermission

На цьому хотілося б закінчити, хоча тема захисту від спаму, безперечно, невичерпна. Спробуйте, варіювати різні налаштування виходячи з ситуації, і ви зможете відсікати до 99% спаму тільки вбудованим засобами захисту. У мене, наприклад, цей показник дорівнює 98,25% 🙂

Для подальшого аналізу роботифільтрів ви можете використовувати наявні у складі Exchange скрипти. Докладніше про це я розповів раніше у статті «Збір статистики роботи фільтрів антиспаму в Microsoft Exchange Server 2007»