В этом разделе содержатся сведения, касающиеся управления функциями защиты от нежелательной почты в Forefront TMG. Лица, рассылающие нежелательную почту, используют множество различных технологий отправки такой почты в организации. Поэтому не существует отдельного средства или процесса, способного обеспечить полную защиту от нежелательных сообщений. Forefront TMG предлагает многоуровневый, многосторонний и многогранный подход к решению задачи по сокращению количества нежелательной почты. Этот подход подразумевает настройку нескольких функций защиты от нежелательной почты, обеспечивающих фильтрацию входящих сообщений в определенном порядке. Каждая функция фильтрует сообщения по определенному условию или набору условий, которым может соответствовать входящее сообщение.

Перечисленные ниже процедуры описывают способ доступа ко вкладке «Фильтрация нежелательной почты» и настройку необходимых фильтров.

Предварительные требования

Прежде чем приступать к настройке фильтров нежелательной почты, выполните следующие действия.

  • Установите роль пограничного транспортного сервера Exchange и Forefront Protection 2010 for Exchange Server (FPES) на каждом сервере Forefront TMG в массиве, как описано в разделе Установка необходимых компонентов для защиты электронной почты.

  • Создайте исходные SMTP-маршруты с помощью мастера политики электронной почты, как описано в разделе Настройка SMTP-маршрутов.

  • Включите защиту от нежелательной почты с помощью мастера политики электронной почты или щелкнув Включить фильтрацию нежелательной почты в области Задачи на вкладке Фильтрация нежелательной почты.

Доступ к вкладке «Фильтрация нежелательной почты»

Доступ к вкладке «Фильтрация нежелательной почты»

  1. В дереве консоли управления Forefront TMG щелкните узел Политика электронной почты.

  2. В области сведений перейдите на вкладку Фильтрация нежелательной почты.

  3. Щелкните в списке фильтр, который требуется настроить, и настройте его в соответствии с приведенными ниже инструкциями.

Настройка белого списка IP-адресов

Белый список IP-адресов используется для создания списка конкретных IP-адресов, для которых сервер Forefront TMG должен отправлять входящие сообщения по назначению без дополнительной обработки другими агентами защиты от нежелательной почты.

Настройка белого списка IP-адресов

  1. Щелкните Белый список IP-адресов, а затем на вкладке Общие проверьте, установлено ли для параметра Состояние значение Включено.

  2. На вкладке Разрешенные адреса нажмите кнопку Добавить. Введите диапазон IP-адресов, после чего нажмите кнопку ОК, чтобы добавить этот диапазон в список Удаленные IP-адреса.

  3. Нажмите кнопку ОК. Чтобы сохранить изменения, в области Принять изменения нажмите кнопку Применить.

Настройка поставщиков белых списков IP-адресов

Поставщики белых списков IP-адресов — это службы, предоставляющие списки IP-адресов, которые определенно не связаны с рассылкой нежелательной почты. Если поставщик белого списка IP-адресов включен, сообщения проверяются по мере их поступления на пограничный транспортный сервер.

Настройка поставщиков белых списков IP-адресов

  1. Щелкните Поставщики белых списков IP-адресов, а затем на вкладке Общие проверьте, установлено ли для параметра Состояние значение Включено.

  2. На вкладке Поставщики нажмите кнопку Добавить, чтобы добавить нового поставщика белых списков IP-адресов.

  3. Введите следующую информацию:

    • Имя поставщика — в этом поле указывается имя службы поставщика белых списков IP-адресов. Это имя предназначено для удобства определения поставщика.

    • Поиск в домене — в этом поле указывается имя домена, которое запрашивает агент фильтра подключений для обновленного белого списка IP-адресов.

    • Сопоставить с любым кодом возврата — при выборе этого параметра агент фильтра подключений обрабатывает любой код состояния IP-адреса, возвращаемый службой поставщика белых списков IP-адресов, как совпадение.

    • Сопоставить следующей маске — при выборе этого параметра агент фильтра подключений действует только для сообщений, имеющих код состояния возврата 127.0.0.x, где целое число x может быть любым из следующих значений:

      1 — IP-адрес присутствует в белом списке IP-адресов.

      2 — SMTP-сервер настроен на функционирование в качестве открытого ретранслятора.

      4 — IP-адрес поддерживает IP-адрес коммутируемого набора.

    • Сопоставить с любым из следующих откликов — при выборе этого параметра агент фильтра подключений действует только для сообщений, имеющих тот же код состояния IP-адреса, что и возвращаемый службой поставщика белых списков IP-адресов.

  4. Нажмите кнопку ОК, а затем в области Принять изменения — кнопку Применить.

Настройка черного списка IP-адресов

Черный список IP-адресов служит для указания IP-адресов, которые не могут отправлять сообщения на данный сервер. Если IP-адрес источника соответствует IP-адресу или диапазону IP-адресов из черного списка IP-адресов, Forefront TMG завершает SMTP-сеанс после обработки всех заголовков RCPT TO: в сообщении.

Настройка черного списка IP-адресов

  1. Щелкните Черный список IP-адресов, а затем на вкладке Общие проверьте, установлено ли для параметра Состояние значение Включено.

  2. На вкладке Заблокированные адреса нажмите кнопку Добавить и введите SMTP-адрес или диапазон адресов, которые требуется блокировать. Если необходимо установить дату истечения срока действия, в области Срок действия щелкните Блокировать до указанной даты и времени и выберите нужную дату и время.

  3. Нажмите кнопку ОК, чтобы добавить заблокированные адреса в список Заблокированные адреса.

  4. Нажмите кнопку ОК. Чтобы сохранить изменения, в области Принять изменения нажмите кнопку Применить.

Настройка поставщиков черных списков IP-адресов

Поставщики черных списков IP-адресов — это службы, предоставляющие списки IP-адресов, которые имеют отношение к рассылке нежелательной почты. Помимо стандартного черного списка IP-адресов, можно использовать несколько других служб поставщиков черных списков.

Рекомендуется самые надежные службы поставщиков черных списков помещать в начале списка для оптимизации производительности. Когда Forefront TMG встречает совпадение с черным списком IP-адресов, Forefront TMG прекращает отправку запросов другим поставщикам.

Настройка поставщиков черных списков IP-адресов

  1. Щелкните Поставщики черных списков IP-адресов, а затем на вкладке Общие проверьте, установлено ли для параметра Состояние значение Включено.

  2. На вкладке «Поставщики» нажмите кнопку «Добавить», чтобы добавить нового поставщика белых списков IP-адресов.

  3. Введите следующую информацию:

    • Имя поставщика — в этом поле указывается имя службы поставщика черных списков IP-адресов. Это имя предназначено для удобства определения поставщика.

    • Поиск в домене — в этом поле указывается имя домена, которое запрашивает агент фильтра подключений для обновленного черного списка IP-адресов.

    • Сопоставить с любым кодом возврата — при выборе этого параметра агент фильтра подключений обрабатывает любой код состояния IP-адреса, возвращаемый службой поставщика черных списков IP-адресов, как совпадение.

    • Сопоставить следующей маске — при выборе этого параметра агент фильтра подключений действует только для сообщений, имеющих код состояния возврата 127.0.0.x, где целое число x может быть любым из следующих значений:

      1 — IP-адрес присутствует в черном списке IP-адресов.

      2 — SMTP-сервер настроен на функционирование в качестве открытого ретранслятора.

      4 — IP-адрес поддерживает IP-адрес коммутируемого набора.

    • Сопоставить с любым из следующих откликов — при выборе этого параметра агент фильтра подключений действует только для сообщений, имеющих тот же код состояния IP-адреса, что и возвращаемый службой поставщика черных списков IP-адресов.

  4. Нажмите кнопку ОК, а затем в области Принять изменения — кнопку Применить.

Настройка фильтрации содержимого

Фильтр нежелательного содержимого оценивает входящие сообщения электронной почты и определяет вероятность того, является ли сообщение надежным или нежелательным. Фильтр присваивает каждому входящему сообщению, которое поступает из Интернета, значение вероятности нежелательной почты. Это число от 1 до 9; чем оно выше, тем больше вероятность того, что данное сообщение является нежелательным.

Агент фильтрации содержимого можно настроить для выполнения следующих действий с сообщениями в зависимости от значения вероятности нежелательной почты:

  • Удаление сообщения

  • Отклонение сообщения

  • Помещение сообщения на карантин

Например, можно указать, что сообщения, которым присвоена вероятность нежелательной почты 7 или выше, должны удаляться; сообщения с оценкой 6 — отклоняться и сообщения с оценкой 5 — помещаться на карантин.

Поведение фильтра в зависимости от вероятности нежелательной почты можно изменить, присвоив другие значения каждому из этих действий. Использование низких значений может привести к отклонению большого количества сообщений в качестве нежелательных; в то же время использование высоких значений позволит множеству сообщений миновать фильтр.

Фильтр содержимого является последним фильтром, проверяющим входящие сообщения. По этой причине настройка пороговых значений вероятности нежелательной почты и соответствующих действий является крайне важной. Если установить слишком высокие пороговые значения, количество нежелательной почты, приходящей в организацию, сократится лишь незначительно. Если установить слишком низкие пороговые значения, появляется риск блокировки сообщений от надежных отправителей.

На странице свойств Фильтрация содержимого можно настраивать следующие параметры.

  • Настраиваемые слова — определение настраиваемых и ключевых слов для маркировки сообщений как подлежащих или не подлежащих фильтрации.

  • Исключения — определение получателей, для которых фильтрация содержимого выполняться не будет.

  • Действие — настройка пороговых значений вероятности нежелательной почты и действий с сообщениями на основе этих значений.

Настройка фильтрации содержимого

  1. Щелкните Фильтрация содержимого, а затем на вкладке Общие проверьте, установлено ли для параметра Состояние значение Включено.

  2. На вкладке Настраиваемые слова можно выполнять следующие действия.

    • Чтобы указать разрешенное слово или фразу, в области Сообщения, содержащие эти слова и фразы, не будут заблокированы щелкните Добавить. Введите слово или фразу, вероятность появления которых в нежелательном сообщении крайне мала, и нажмите кнопку ОК.

      Примечание.
      Когда Forefront TMG обнаруживает в сообщении разрешенное слово или фразу, этому сообщению присваивается значение вероятности нежелательной почты 1.
    • Чтобы указать запрещенное слово или фразу, в области Сообщения, содержащие эти слова и фразы, будут заблокированы, если только они не содержат слово или фразу из указанного выше списка щелкните Добавить. Введите слово или фразу, вероятность появления которых в нежелательном сообщении высока, и нажмите кнопку ОК.

      Примечание.
      Когда Forefront TMG обнаруживает в сообщении запрещенное слово или фразу, этому сообщению присваивается значение вероятности нежелательной почты 9.
  3. Чтобы указать получателей, которые должны быть исключены из фильтрации содержимого, на вкладке Исключения щелкните Добавить, введите SMTP-адрес и нажмите кнопку ОК. Выполните эти действия для каждого адреса электронной почты, который требуется исключить из фильтрации содержимого.

  4. Чтобы настроить пороговые значения вероятности нежелательной почты, перейдите на вкладку Действие, включите действия при фильтрации и установите подходящие пороговые значения для организации. Можно настроить следующие параметры.

    • Удалить сообщения, имеющие уровень вероятности нежелательной почты SCL больший или равный — удаляет сообщения, но не сообщает серверу-отправителю об удалении. Компьютер, на котором установлена роль пограничного транспортного сервера, передает ложную SMTP-команду «ОК» на сервер-отправитель, и лишь затем удаляет сообщение. Поскольку сервер-отправитель считает, что сообщение отправлено, он не повторяет попыток отправки этого сообщения в пределах одного сеанса. Пороговым значением вероятности нежелательной почты по умолчанию является 9.

    • Отклонять сообщения, уровень вероятности нежелательной почты которых равен или больше — отклоняет сообщения и отправляет серверу-отправителю ответ с указанием SMTP-ошибки. Пороговым значением вероятности нежелательной почты по умолчанию является 9.

    • Переместить в папку карантина сообщения, имеющие уровень вероятности нежелательной почты SCL больший или равный — помещает сообщения в папку карантина и отправляет их на почтовый ящик карантина для нежелательных сообщений, указанный в поле Адрес почтового ящика карантина. Пороговым значением вероятности нежелательной почты по умолчанию является 9.

  5. Нажмите кнопку ОК. Чтобы сохранить изменения, в области Принять изменения нажмите кнопку Применить.

Настройка фильтрации получателей

Фильтрация получателей используется для предотвращения принятия сообщений в следующих случаях.

  • Несуществующие получатели — предотвращение доставки сообщений получателям, отсутствующим в глобальном списке адресов. Например, можно предотвратить доставку сообщений на адреса, которыми часто злоупотребляют (такие как administrator@contoso.com или support@contoso.com).

    Примечание.
    • Эта возможность доступна только в том случае, если массив Forefront TMG подписан для организации Microsoft Exchange.

    • Дополнительные сведения о глобальном списке адресов см. в разделе Общие сведения о списках адресов в документации Microsoft Exchange 2007.

  • Списки ограниченной рассылки — можно предотвратить доставку сообщений из Интернета на адреса из списка рассылки, который доступен только внутренним пользователям.

    Примечание.
    • Эта возможность доступна только в том случае, если массив Forefront TMG подписан для организации Microsoft Exchange.

    • Дополнительные сведения о списках ограниченной рассылки см. в разделе Фильтрация получателей в документации Microsoft Exchange 2007.

  • Почтовые ящики, не получающие сообщения из Интернета — можно предотвратить доставку сообщений из Интернета в определенные почтовые ящики или на определенные псевдонимы, используемые только внутри организации (например, служба поддержки).

Настройка фильтрации получателей

  1. Щелкните Фильтрация получателей, а затем на вкладке Общие проверьте, установлено ли для параметра Состояние значение Включено.

  2. На вкладке Заблокированные получатели выполните следующие действия.

    • Чтобы обеспечить автоматическую блокировку сообщений, поступающих на адреса только для внутреннего использования, установите флажок Блокировать сообщения, отправленные получателям, не включенным в глобальный список адресов.

    • Чтобы включить блокировку получателей, установите флажок Блокировать следующих получателей. Щелкните Добавить и введите SMTP-адрес получателя, а затем нажмите кнопку ОК для добавления этого получателя в черный список получателей.

  3. Нажмите кнопку ОК. Чтобы сохранить изменения, в области Принять изменения нажмите кнопку Применить.

Настройка фильтрации отправителей

Фильтр отправителей позволяет блокировать отдельных отправителей (например, kim@contoso.com), целые домены (например, .contoso.com) или домены вместе с поддоменами (например, *.contoso.com). Также можно настроить действия, выполняемые фильтром при обнаружении сообщения от заблокированного отправителя. Можно настроить следующие действия.

  • Отклонение SMTP-запроса с ошибкой SMTP-сеанса «554 5.1.0 Sender Denied» (отказано отправителю) с последующим закрытием подключения.

  • Маркировка сообщения как полученного от «заблокированного отправителя» и дальнейшая обработка. Поскольку сообщение поступило от заблокированного отправителя и имеет соответствующую пометку, агент фильтрации содержимого будет учитывать эту информацию при расчете значения вероятности нежелательной почты.

Важно.
SMTP-заголовки MAIL FROM: могут быть подделаны. По этой причине не следует полагаться только на агент фильтрации отправителей. Используйте агент фильтрации отправителей совместно с агентом идентификации отправителей. Агент идентификации отправителей использует IP-адрес источника сервера-отправителя в попытке проверить, соответствует ли домен в SMTP-заголовке MAIL FROM: зарегистрированному домену. Дополнительные сведения об агенте идентификации отправителей см. в разделе Настройка идентификации отправителей ниже.

Настройка фильтрации отправителей

  1. Щелкните Фильтрация отправителей, а затем на вкладке Общие проверьте, установлено ли для параметра Состояние значение Включено.

  2. На вкладке Заблокированные отправители нажмите кнопку Добавить.

    1. Чтобы заблокировать отдельного отправителя, выберите параметр Индивидуальный адрес электронной почты, а затем введите соответствующий адрес в текстовое поле (например, kim@contoso.com).

    2. Чтобы заблокировать домен, выберите параметр Домен и введите имя домена в текстовое поле (например, contoso.com). Если требуется заблокировать все поддомены указанного в текстовом поле домена (например, mail.contoso.com), установите флажок Включить все дочерние домены.

  3. Чтобы заблокировать входящие сообщения от отправителей, не указывающих отправителя и домен в SMTP-заголовке MAIL: FROM, установите флажок Блокировать сообщения с пустым полем «От».   Эта функция позволяет предотвратить атаки типа «отказ в обслуживании» на SMTP-сервер организации. Большинство надежных SMTP-сообщений поступает с SMTP-серверов, предоставляющих имя отправителя и домен в SMTP-команде MAIL FROM.

  4. На вкладке Действие выберите действие при получении сообщения от отправителя или домена из списка Заблокированные отправители.

    Примечание.
    Параметром по умолчанию является Отклонение сообщения.
  5. Чтобы сохранить изменения, нажмите кнопку ОК, а затем в области Принять изменения — кнопку Применить.

Настройка идентификации отправителей

Идентификация отправителей позволяет проверить, соответствует ли домен, с которого отправлено сообщение, заявленному. Это необходимо для борьбы с олицетворением отправителей и доменов — практикой, которую также часто называют подделыванием. Подделанное сообщение электронной почты — это сообщение с измененным адресом отправителя, который указывает на другого отправителя, отличного от истинного.

Идентификация отправителей значительно усложняет задачу фальсификации адресов. Если идентификация включена, Forefront TMG проверяет адрес сервера, отправившего сообщение, и сравнивает его со списком зарегистрированных серверов, которым владелец домена разрешил отправку электронной почты.

Можно настроить функцию идентификации отправителей для выполнения одного из следующих действий при обнаружении подделанного сообщения либо возврате временной ошибки.

  • Отклонение сообщения — это действие по умолчанию. Оно отклоняет сообщение и передает на сервер-отправитель ответ с указанием SMTP-ошибки. Это ответ протокола уровня 5xx с текстом, соответствующим состоянию идентификации отправителей.

  • Удаление сообщения — удаляет сообщение, не информируя об этом сервер-отправитель. Сервер, на котором установлена роль пограничного транспортного сервера, передает ложную SMTP-команду «ОК» на сервер-отправитель, и лишь затем удаляет сообщение. Поскольку сервер-отправитель считает, что сообщение отправлено, он не повторяет попыток отправки этого сообщения в пределах одного сеанса.

  • Маркировка сообщения по результатам идентификации отправителей и продолжение обработки — состояние идентификации отправителей включается в метаданные всех входящих сообщений организации. Эти метаданные оцениваются фильтром содержимого при расчете значения вероятности нежелательной почты. Кроме того, метаданные сообщения используются при расчете уровня репутации отправителя для данного сообщения.

Настройка идентификации отправителей

  1. Щелкните Идентификация отправителей , а затем на вкладке Общие проверьте, установлено ли для параметра Состояние значение Включено.

  2. На вкладке Действие выберите действие в случае отрицательного результата идентификации отправителя.

    Примечание.
    Параметром по умолчанию является Отклонение сообщения.
  3. Чтобы сохранить изменения, нажмите кнопку ОК и закройте диалоговое окно, а затем в области Принять изменения — нажмите кнопку Применить.

Настройка репутации отправителей

Репутация отправителей подразумевает постоянное наблюдение за отправителями и их последними взаимодействиями с SMTP-сервером, например количеством отправленных им нежелательных и надежных сообщений. На основе этих данных об отправителе (его репутации) принимается решение, какое действие с входящим сообщением должно быть предпринято.

Фильтр репутации отправителей рассчитывает уровень репутации отправителя для данного сообщения. Это число от 0 до 9, отражающее вероятность того, что тот или иной отправитель рассылает нежелательные или вредоносные сообщения. Значение 0 указывает на то, что сообщение, скорее всего, не является нежелательным. Значение 9 указывает на то, что сообщение, скорее всего, является нежелательным.

Тестирование открытых прокси-серверов

Фильтр репутации отправителей использует ряд критериев при расчете уровня репутации отправителя. Одним из необязательных элементов расчета репутации является тест для открытых прокси-серверов. Открытый прокси-сервер — это прокси-сервер, который принимает запросы на подключение от любых отправителей и из любых расположений и пересылает трафик как поступающий с локальных узлов. Открытые прокси-серверы могут существовать при следующих условиях.

  • Непреднамеренная неправильная настройка

  • Вредоносные программы типа «Троянский конь». Вредоносная программа типа «Троянский конь» (программа-троян) — это программа, которая маскируется под другую распространенную программу в целях получения информации.

Зачастую при недостаточном уровне ведения журнала открытые прокси-серверы оказываются идеальным способом для злоумышленников скрыть свою личность при запуске атак типа «отказ в обслуживании» или рассылке нежелательных сообщений.

Настройка порогового значения уровня репутации отправителя

Можно задать пороговое значение для блокировки отправителя на основе уровня его репутации. Это значение определяет уровень репутации, при превышении которого отправитель блокируется. По умолчанию пороговым значением является 7. При установке пороговых значений репутации отправителей следует проявлять осторожность. Слишком низкий порог может привести к непреднамеренной блокировке надежных отправителей. Слишком высокий порог — к пропуску отправителей вредоносных или нежелательных сообщений. Если уровень репутации сообщения равен пороговому значению или превышает его, отправитель будет добавлен в серный список IP-адресов на период от 0 до 48 часов. Значение по умолчанию составляет 24 часа.

Совет.
Следует проконтролировать эффективность работы агента при установленном значении по умолчанию, а затем изменить его в соответствии с требованиями организации.

Настройка репутации отправителей

  1. Щелкните Репутация отправителей, а затем на вкладке Общие проверьте, установлено ли для параметра Состояние значение Включено.

  2. На вкладке Доверительный уровень отправителя установите или снимите флажок Выполнить тест открытого прокси-сервера при определении доверительного уровня отправителя.

  3. На вкладке Действие перетащите ползунок Пороговое значение для блокировки по уровню репутации отправителя на нужную позицию.

  4. В разделе Пороговые действия щелкните стрелку Вверх или Вниз в поле Если превышено пороговое значение блокировки по репутации отправителя, добавить отправителя в черный список IP-адресов на следующий период (в часах), чтобы задать промежуток времени, в течение которого отправитель будет оставаться в черном списке.

    Совет.
    Если задать количество часов 0, можно отслеживать репутацию отправителя без прерывания потока входящих сообщений.
  5. Чтобы сохранить изменения, нажмите кнопку ОК, а затем в области Принять изменения — кнопку Применить.

См. также


© Корпорация Майкрософт, 2009 Все права защищены.