Reputazione del mittente e agente di analisi del protocollo in Exchange Server
La reputazione del mittente fa parte della funzionalità antispam di Exchange che blocca i messaggi in base a molte caratteristiche del mittente. La reputazione del mittente si basa sui dati persistenti relativi al mittente per determinare l'azione da intraprendere nei messaggi in ingresso. L'agente di analisi del protocollo è l'agente che si occupa della funzionalità di reputazione mittente.
Per altre informazioni su come configurare la reputazione del mittente e l'agente di analisi del protocollo, vedere Procedure di reputazione del mittente.
Per impostazione predefinita, l'agente di analisi del protocollo è abilitato nei server Trasporto Edge, ma è possibile abilitarlo nei server Cassette postali. Per ulteriori informazioni, vedere Abilitare la funzionalità antispam sui server Cassette postali.
Calcolo del livello di reputazione del mittente (SRL)
Il livello di reputazione mittente (SRL, Sender Reputation Level) viene calcolato in base alle seguenti statistiche:
Analisi HELO/EHLO: i comandi SMTP HELO ed EHLO sono progettati per fornire il nome di dominio, ad esempio Contoso.com, o l'indirizzo IP del server SMTP di invio al server SMTP ricevente. Gli utenti malintenzionati o gli spammer spesso falsificano l'istruzione HELO/EHLO in vari modi. Ad esempio, digitano un indirizzo IP che non corrisponde all'indirizzo IP da cui ha origine la connessione. Gli spammer, inoltre, inseriscono nell'istruzione HELO domini supportati in locale sul server di destinazione, nel tentativo di far risultare i domini come appartenenti all'organizzazione. In altri casi, gli spammer modificano il dominio trasmesso nell'istruzione HELO. Il comportamento tipico di un utente autorizzato può essere quello di utilizzare un insieme di domini diversi, ma relativamente costanti, nelle istruzioni HELO.
Pertanto, l'analisi dell'istruzione HELO/EHLO su base persender può indicare che il mittente è probabile che sia uno spammer. Ad esempio, è molto più probabile che un mittente che fornisce numerose istruzioni univoche HELO/EHLO diverse in un intervallo di tempo specifico sia uno spammer. Anche i mittenti che forniscono in modo coerente un indirizzo IP nell'istruzione HELO che non corrisponde all'indirizzo IP di origine, come determinato dall'agente di filtro connessioni, hanno maggiori probabilità di essere spammer. I mittenti remoti che forniscono costantemente un nome di dominio locale nell'istruzione HELO che si trova nella stessa organizzazione del server Exchange sono con molta probabilità spammer.
Ricerca DNS inversa: la reputazione del mittente verifica anche che l'indirizzo IP di origine da cui il mittente ha trasmesso il messaggio corrisponda al nome di dominio registrato inviato dal mittente nel comando SMTP HELO o EHLO.
La reputazione mittente esegue una query DNS inversa inviando l'indirizzo IP di origine a DNS. Il risultato restituito da DNS è il nome di dominio registrato utilizzando l'autorità dei nomi di dominio per l'indirizzo IP. La reputazione mittente confronta il nome di dominio restituito da DNS con il nome di dominio che il mittente ha inviato nel comando SMTP HELO/EHLO. Se i nomi di dominio non corrispondono, è probabile che il mittente sia uno spammer e il valore di classificazione SRL globale per il mittente sia aumentato.
L'agente ID mittente esegue un'attività simile, ma il cui esito è positivo se i mittenti autorizzati possono aggiornare l'infrastruttura DNS per identificare tutti i server SMTP di invio della posta elettronica nell'organizzazione. L'esecuzione di una ricerca DNS inversa consente di identificare i potenziali spammer.
Analisi delle classificazioni SCL sui messaggi di un determinato mittente: quando l'agente filtro contenuto elabora un messaggio, assegna una classificazione del livello di attendibilità della posta indesiderata al messaggio. Il livello di probabilità di posta indesiderata è un numero compreso tra 0 e 9. Più alto è il livello, più alta è la probabilità che si tratti di un messaggio di posta indesiderata. I dati di ciascun mittente e le classificazioni del livello di probabilità di posta indesiderata restituiti dai messaggi vengono mantenuti per l'analisi eseguita dalla reputazione mittente. La reputazione mittente calcola le statistiche sul mittente in base al rapporto fra tutti i messaggi provenienti da quel mittente che in passato avevano una classificazione bassa del livello di probabilità di posta indesiderata e tutti i messaggi dello stesso mittente che in passato avevano una classificazione alta del livello di probabilità di posta indesiderata. Inoltre, al livello di reputazione mittente globale viene applicato il numero di messaggi con una classificazione alta del livello di probabilità di posta indesiderata che il mittente ha inviato nell'ultimo giorno.
Test del proxy aperto del mittente: un proxy aperto è un server proxy che accetta le richieste di connessione da qualsiasi posizione e inoltra il traffico come se provenisse dagli host locali. I server proxy inoltrano il traffico TCP tramite gli host firewall per fornire alle applicazioni utente un accesso trasparente attraverso il firewall. Poiché i protocolli proxy sono leggeri e indipendenti dai protocolli delle applicazioni utente, i proxy possono essere utilizzati da molti servizi diversi. I proxy possono anche essere utilizzati per condividere un'unica connessione Internet tra più host. In genere la configurazione dei proxy consente solo agli host considerati attendibili all'interno del firewall di attraversare i proxy. Un mittente legittimo può essere un proxy aperto a causa di una configurazione errata non intenzionale o malware.
I proxy aperti rappresentano per gli utenti malintenzionati l'occasione ideale per nascondere la loro vera identità e avviare attacchi Denial of Service (DoS) o inviare posta indesiderata. Dal momento che sempre più server proxy vengono configurati per essere aperti per impostazione predefinita, i proxy aperti sono diventati sempre più comuni. Gli utenti malintenzionati possono inoltre utilizzare più proxy aperti per mascherare l'indirizzo IP di origine del mittente.
La reputazione mittente esegue il test del proxy aperto formattando una richiesta SMTP nel tentativo di connettersi al server Exchange dal proxy aperto. Se una richiesta SMTP viene ricevuta dal proxy, la reputazione mittente si accerta che il proxy sia un proxy aperto e aggiorna la statistica del test dei proxy aperti per il mittente.
La reputazione mittente valuta ognuna di tali statistiche e calcola un SRL per ogni mittente. Il livello reputazione mittente è un numero compreso tra 0 e 9 che indica la probabilità che uno specifico mittente sia uno spammer o un utente malintenzionato. Il valore 0 indica che il mittente probabilmente non è uno spammer, mentre il valore 9 indica che il mittente probabilmente è uno spammer.
È possibile configurare una soglia di blocco tra 0 e 9 in corrispondenza della quale la reputazione mittente invia una richiesta all'agente Filtro mittente per impedire al mittente di inviare messaggi nell'organizzazione. Quando un mittente viene bloccato, il mittente viene aggiunto all'elenco Mittenti bloccati per un periodo di tempo configurabile. La gestione dei messaggi bloccati dipende dalla configurazione dell'agente Filtro mittente. Le seguenti azioni rappresentano le opzioni di gestione per i messaggi bloccati:
Rifiuta: i messaggi vengono restituiti in un report di mancato recapito (noto anche come rapporto di mancato recapito, notifica dello stato del recapito, DSN o messaggio di mancato recapito)
Elimina: i messaggi vengono eliminati automaticamente senza un rapporto di mancato recapito.
Accetta: i messaggi vengono accettati e contrassegnati come provenienti da un mittente bloccato
Per altre informazioni sull'agente filtro mittente, vedere Filtro mittente.
Se un mittente viene incluso nell'elenco degli indirizzi IP bloccati o nel servizio reputazione IP di Microsoft, Reputazione mittente invia una richiesta immediata all'agente Filtro mittente per bloccarlo. Per sfruttare questa funzionalità, è necessario abilitare e configurare il servizio di aggiornamento antispam di Microsoft Exchange.
Per impostazione predefinita, Reputazione mittente imposta un valore di classificazione 0 per i mittenti che non sono stati analizzati. Dopo che un mittente ha inviato 20 o più messaggi, la reputazione del mittente calcola un oggetto SRL basato sulle statistiche descritte in precedenza in questo argomento.
Quando utilizzare la S.R
La reputazione mittente agisce sui messaggi durante due fasi della sessione SMTP:
Al comando MAIL FROM: SMTP: La reputazione del mittente agisce su un messaggio solo se il messaggio è stato bloccato o ha agito in altro modo dall'agente filtro connessioni, dall'agente filtro mittente, dall'agente filtro destinatari o dall'agente ID mittente. In questo caso, la reputazione mittente recupera la valutazione del livello attuale di reputazione mittente dal profilo mantenuto per quel mittente nel database di Exchange. Una volta recuperata e valutata la classificazione, la configurazione del server Exchange determina il comportamento da tenere a seguito di una determinata connessione in base alla soglia di blocco.
Dopo il comando SMTP "end of data": il comando SMTP end of data transfer (EOD) viene assegnato quando vengono inviati tutti i dati effettivi del messaggio. A questo punto della sessione SMTP, molti degli agenti antispam hanno elaborato il messaggio. Come sottoprodotto dell'elaborazione antispam, vengono aggiornate le statistiche su cui si basa la reputazione del mittente. Pertanto, la reputazione mittente dispone dei dati per calcolare o ricalcolare la classificazione del livello di reputazione per il mittente.
Configurazione del rilevamento di server proxy aperti
Quando la reputazione mittente calcola un livello di reputazione mittente, tenta di connettersi all'indirizzo IP di origine del mittente utilizzando molti protocolli proxy comuni, ad esempio SOCKS4, SOCKS5, HTTP, Telnet, Cisco e Wingate. La reputazione del mittente formatta una richiesta specifica del protocollo nel tentativo di connettersi di nuovo al server Exchange dal server proxy aperto usando una richiesta SMTP. Se una richiesta SMTP viene ricevuta dal server proxy, la reputazione mittente si accerta che il server proxy sia un server proxy aperto e regola il valore del livello di reputazione mittente in base a questo risultato. Per impostazione predefinita, il rilevamento dei server proxy aperti è abilitato nella reputazione del mittente.
Per altre informazioni su come configurare il rilevamento di server proxy aperti, vedere Procedure di reputazione del mittente.
Impostazione della soglia di blocco del livello reputazione mittente
Il livello reputazione mittente è un numero compreso tra 0 e 9 che indica la probabilità che uno specifico mittente sia uno spammer o un utente malintenzionato. È necessario impostare una soglia DELLA S.R.R. per il blocco del mittente per specificare il valore DELLA S.R.R. che causa il blocco di un mittente da parte della reputazione del mittente. Per impostazione predefinita, la soglia di blocco della S.R.R.R. è 7, il che significa che i mittenti con una S.R. pari a 7, 8 o 9 sono bloccati. È consigliabile monitorare l'efficacia della reputazione del mittente e dell'agente di analisi del protocollo al livello predefinito.
In un server Trasporto Edge, se la soglia di blocco DELLA RETE PERIMETRALe viene raggiunta o superata da un determinato mittente, la reputazione del mittente aggiunge il mittente all'elenco di indirizzi IP bloccati nell'agente filtro connessioni. Talvolta, gli spammer inviano gruppi di messaggi di posta indesiderata da un solo mittente. In questo scenario, se la reputazione mittente calcola un livello di reputazione mittente superiore alla soglia di blocco, il mittente viene aggiunto all'elenco di contatti bloccati per una durata configurabile. La durata predefinita è 24 ore. Trascorse le 24 ore, il mittente viene rimosso dall'elenco di contatti bloccati e può di nuovo inviare messaggi.
Quando un mittente viene aggiunto all'elenco indirizzi IP bloccati, la reputazione mittente ne elimina il profilo. La reputazione mittente elimina il profilo perché il rispettivo mittente bloccato indica che il valore del livello di reputazione mittente ha superato la soglia di blocco. In tal caso, è possibile che il mittente bloccato sia aggiunto nuovamente all'elenco indirizzi IP bloccati subito dopo il termine del periodo di blocco del mittente.
Per altre informazioni su come configurare il blocco del mittente, vedere Procedure di reputazione del mittente.