Поделиться через

Брандмауэр заголовков

  • Статья

Область применения: Exchange Server 2013 г.

В Microsoft Exchange Server 2013 г. брандмауэр заголовков — это механизм, который удаляет определенные поля заголовков из входящих и исходящих сообщений. Существует два типа полей заголовка, на которые влияет брандмауэр заголовков.

  • X-заголовки. X-заголовок — это определяемое пользователем неофициальное поле заголовка. X-заголовки отдельно не упоминаются в RFC 2822, однако использование неопределенных полей заголовков, начинающихся с X-, стало общепринятым способом включения неофициальных полей заголовков в сообщения. Приложения для обмена сообщениями, такие как приложения для защиты от нежелательной почты и вирусов, а также серверы обмена сообщениями, могут включать в сообщение собственные X-заголовки. В Exchange поля X-заголовка содержат сведения о действиях, выполняемых с сообщением службой транспорта, таких как уровень достоверности нежелательной почты (SCL), результаты фильтрации содержимого и состояние обработки правил. Раскрытие этих сведений неавторизованным источникам может представлять угрозу безопасности.

  • Заголовки маршрутизации. Заголовки маршрутизации — это стандартные поля заголовков SMTP, определенные в RFC 2821 и RFC 2822. Заголовки маршрутизации добавляют к сообщению сведения о различных серверах обмена сообщениями, которые использовались для его доставки получателю. Заголовки маршрутизации могут вставлять в сообщения злоумышленники, чтобы исказить сведения о маршруте сообщения при доставке к получателю.

Брандмауэр заголовков предотвращает подделку связанных с Exchange X-заголовков, удаляя их из входящих сообщений, поступающих в организацию Exchange из ненадежных источников. Он также предотвращает разглашение связанных с Exchange X-заголовков, удаляя их из исходящих сообщений, отправляемых ненадежным адресатам за пределы организации Exchange. Кроме того, брандмауэр заголовков предотвращает подделку стандартных заголовков маршрутизации, используемых для отслеживания маршрута сообщения.

Поля заголовка сообщения, на которые влияет брандмауэр заголовков в Exchange

Брандмауэр заголовков влияет на следующие типы X-заголовков и заголовков маршрутизации.

  • Организация X-заголовков. Эти поля X-заголовков начинаются с X-MS-Exchange-Organization-.

  • Заголовки леса X: эти поля X-заголовков начинаются с X-MS-Exchange-Forest-.

    Примеры X-заголовков организации и леса см. в разделе X-заголовки организации и леса в Exchange в конце этой статьи.

  • Получено: заголовки маршрутизации. Другой экземпляр этого поля заголовка добавляется в заголовок сообщения каждым сервером обмена сообщениями, который принял и переадресовал сообщение получателю. Заголовок Received: обычно включает имя сервера обмена сообщениями и отметку даты и времени.

  • Resent-*: заголовки маршрутизации. Поля заголовков resent — это информационные поля заголовков, которые можно использовать для определения того, было ли отправлено сообщение пользователем. Доступны следующие поля заголовков Resent: Resent-Date:, Resent-From:, Resent-Sender:, Resent-To:, Resent-Cc:, Resent-Bcc: и Resent-Message-ID:. Поля Resent- применяются для того, чтобы сообщение выглядело так, как если бы оно было отправлено непосредственно исходным отправителем. Просмотрев заголовок сообщения, получатель может узнать, кто переслал сообщение.

В Exchange используются два способа применения брандмауэра заголовков к X-заголовкам организации и леса и заголовкам маршрутизации в сообщениях.

  • Соединителям отправки или получения назначаются разрешения, которые могут быть использованы для сохранения или удаления конкретных типов заголовков, когда сообщение проходит через соединитель.

  • Брандмауэр заголовков автоматически применяется к конкретным типам заголовков во время передачи сообщений иным образом.

Способ применения брандмауэра заголовков к соединителям получения и отправки

Брандмауэр заголовков применяется к сообщениям, которые проходят через соединители отправки и получения, на основании специальных разрешений, назначенных соединителям.

Если соединителю получения или отправки назначено разрешение, брандмауэр заголовков не применяется к сообщениям, которые проходят через соединитель. Соответствующие поля заголовка сохраняются в сообщениях.

Если соединителю получения или отправки не назначено разрешение, брандмауэр заголовков применяется к сообщениям, которые проходят через соединитель. Соответствующие поля заголовка удаляются из сообщений.

В следующей таблице описываются разрешения для соединителей отправки и получения, используемые для применения брандмауэра заголовков, а также соответствующие поля заголовка.

Тип соединителя Разрешение Описание
Соединитель приема Ms-Exch-Accept-Headers-Organization Это разрешение влияет на поля X-заголовка организации, которые начинаются с текста X-MS-Exchange-Organization-, во входящих сообщениях.
Соединитель приема Ms-Exch-Accept-Headers-Forest Это разрешение влияет на поля X-заголовка леса, которые начинаются с текста X-MS-Exchange-Forest-, во входящих сообщениях.
Соединитель приема Ms-Exch-Accept-Headers-Routing Это разрешение влияет на поля заголовков маршрутизации Received: и Resent-*: во входящих сообщениях.
Соединитель отправления Ms-Exch-Send-Headers-Organization Это разрешение влияет на поля X-заголовка организации, которые начинаются с текста X-MS-Exchange-Organization-, в исходящих сообщениях.
Соединитель отправления Ms-Exch-Send-Headers-Forest Это разрешение влияет на поля X-заголовка леса, которые начинаются с текста X-MS-Exchange-Forest-, в исходящих сообщениях.
Соединитель отправления Ms-Exch-Отправка-Заголовки-Маршрутизация Это разрешение влияет на поля заголовков маршрутизации Received: и Resent-*: в исходящих сообщениях.

Брандмауэр заголовков для входящих сообщений на соединителях получения

В следующей таблице описывается используемый по умолчанию способ применения разрешений брандмауэра заголовков на соединителях получения.

Разрешение Субъекты безопасности Exchange по умолчанию, которым назначено разрешение Группа разрешений, членами которой являются участники безопасности Тип использования по умолчанию, назначающий группы разрешений соединителю получения
Ms-Exch-Accept-Headers-Organization и Ms-Exch-Accept-Headers-Forest
  • Транспортные серверы-концентраторы
  • Пограничные транспортные серверы
  • Серверы Exchange

    Примечание. Только на транспортных серверах-концентраторах
 ExchangeServers Internal
Ms-Exch-Accept-Headers-Routing Учетная запись анонимного пользователя Anonymous Internet
Ms-Exch-Accept-Headers-Routing Учетные записи пользователей, прошедших проверку подлинности ExchangeUsers Client (недоступно для пограничных транспортных серверов)
Ms-Exch-Accept-Headers-Routing
  • Транспортные серверы-концентраторы
  • Пограничные транспортные серверы
  • Серверы Exchange

    Примечание. Только транспортные серверы концентратора
  • Серверы с внешней безопасностью
 ExchangeServers Internal
Ms-Exch-Accept-Headers-Routing Учетная запись сервера-участника Partner Internet и Partner

Брандмауэр заголовков на настраиваемых соединителях получения

Если требуется применить брандмауэр заголовков к сообщениям в сценарии настраиваемого соединителя получения, воспользуйтесь любым из указанных ниже способов.

  • Создайте соединитель получения с типом использования, который автоматически применяет брандмауэр заголовков к сообщениям. Обратите внимание, что тип использования можно задать только при создании соединителя получения.

    • Чтобы удалить X-заголовки организации или леса X-заголовков из сообщений, создайте соединитель получения и выберите тип использования, отличный Internalот .

    • Для удаления заголовков маршрутизации из сообщений выполните одно из следующих действий.

      • Создайте соединитель получения и выберите тип Customиспользования . Не назначайте соединителю получения никаких групп разрешений.

      • Измените существующий соединитель получения и задайте для параметра PermissionGroups значение None.

        Обратите внимание, что если соединителю получения не назначена группа разрешений, в него необходимо добавить субъекты безопасности, как описано на последнем шаге.

  • С помощью командлета Remove-ADPermission удалите разрешения Ms-Exch-Accept-Headers-Organization, Ms-Exch-Accept-Headers-Forest и Ms-Exch-Accept-Headers-Routing из субъекта безопасности, который настроен на соединителе получения. Этот способ нельзя использовать, если разрешение было назначено субъекту безопасности с помощью группы разрешений на соединителе получения, поскольку вы не можете изменить назначения разрешений или членство в группе разрешений.

  • С помощью командлета Add-ADPermission добавьте субъекты безопасности, необходимые для потока обработки почты на соединителе получения. Убедитесь, что никаким субъектам безопасности не назначены разрешения Ms-Exch-Accept-Headers-Organization, Ms-Exch-Accept-Headers-Forest и Ms-Exch-Accept-Headers-Routing. При необходимости отмените с помощью командлета Add-ADPermission разрешения Ms-Exch-Accept-Headers-Organization, Ms-Exch-Accept-Headers-Forest и Ms-Exch-Accept-Headers-Routing для субъектов безопасности, настроенных на соединителе получения.

Дополнительные сведения приведены в следующих разделах:

Брандмауэр заголовков для исходящих сообщений на соединителях отправки

В следующей таблице описывается используемый по умолчанию способ применения разрешений брандмауэра заголовков на соединителях отправки.

Разрешение Субъекты безопасности Exchange по умолчанию, которым назначено разрешение Тип использования по умолчанию, назначающий субъекты безопасности соединителю отправки
Ms-Exch-Send-Headers-Organization и Ms-Exch-Send-Headers-Forest
  • Транспортные серверы-концентраторы
  • Пограничные транспортные серверы
  • Exchange Server Примечание. Только на транспортных серверах-концентраторах
  • Серверы с внешней безопасностью
  • Универсальная группа безопасности ExchangeLegacyInterop
 Internal
Ms-Exch-Отправка-Заголовки-Маршрутизация
  • Транспортные серверы-концентраторы
  • Пограничные транспортные серверы
  • Серверы Exchange

    Примечание. Только на транспортных серверах-концентраторах
  • Серверы с внешней безопасностью
  • Универсальная группа безопасности ExchangeLegacyInterop
 Internal
Ms-Exch-Отправка-Заголовки-Маршрутизация Учетная запись анонимного пользователя Internet
Ms-Exch-Отправка-Заголовки-Маршрутизация Серверы-участники Partner

Брандмауэр заголовков на настраиваемых соединителях отправки

Если требуется применить брандмауэр заголовков к сообщениям в сценарии настраиваемого соединителя отправки, воспользуйтесь любым из указанных ниже способов.

  • Создайте соединитель отправки с типом использования, который автоматически применяет брандмауэр заголовков к сообщениям. Обратите внимание, что тип использования можно задать только при создании соединителя отправки.

    • Чтобы удалить X-заголовки организации или леса X-заголовки из сообщений, создайте соединитель отправки и выберите тип использования, отличный от Internal или Partner.

    • Чтобы удалить заголовки маршрутизации из сообщений, создайте соединитель Отправки и выберите тип Customиспользования . Разрешение Ms-Exch-Send-Headers-Routing назначается всем типам использования соединителя отправки, кроме Custom.

  • Удалите из соединителя субъект безопасности, который назначает разрешения Ms-Exch-Send-Headers-Organization, Ms-Exch-Send-Headers-Forest и Ms-Exch-Send-Headers-Routing.

  • С помощью командлета Remove-ADPermission удалите разрешения Ms-Exch-Send-Headers-Organization, Ms-Exch-Send-Headers-Forest и Ms-Exch-Send-Headers-Routing для одного из субъектов безопасности, настроенного на соединителе отправки.

  • С помощью командлета Add-ADPermission отмените разрешения Ms-Exch-Send-Headers-Organization, Ms-Exch-Send-Headers-Forest и Ms-Exch-Send-Headers-Routing для одного из субъектов безопасности, настроенного на соединителе отправки.

Дополнительные сведения приведены в следующих разделах:

Брандмауэр заголовков для других источников сообщений

Сообщения могут поступать в транспортный конвейер на сервере почтовых ящиков или пограничном транспортном сервере без использования соединителей отправки или получения. Брандмауэр заголовков применяется к таким источникам сообщений, как описано в следующем списке.

  • Каталог pickup и каталог воспроизведения. Каталог Pickup используется администраторами или приложениями для отправки файлов сообщений. Каталог преобразования используется для повторной отправки сообщений, экспортированных из очередей сообщений Exchange. Дополнительные сведения о каталогах Pickup и Replay см. в разделах Каталог Pickup и Каталог воспроизведения.

    X-заголовки организации и леса, а также заголовки маршрутизации, удаляются из файлов сообщений в каталоге раскладки.

    Заголовки маршрутизации сохраняются в сообщениях, отправленных каталогом преобразования.

    Сохранением и удалением X-заголовков организации и леса в каталоге преобразования управляет поле заголовка X-CreatedBy: в файле сообщения.

    • Если значение X-CreatedBy: равно MSExchange15, X-заголовки организации и леса X-заголовки сохраняются в сообщениях.
    • Если значение X-CreatedBy: не MSExchange15равно , X-заголовки организации и леса X-заголовки удаляются из сообщений.
    • Если поле заголовка X-CreatedBy: отсутствует в файле сообщения, X-заголовки организации и леса удаляются из сообщений.

  • Drop directory. Каталог drop используется внешними соединителями на серверах почтовых ящиков для отправки сообщений на серверы обмена сообщениями, которые не используют SMTP для передачи сообщений. Дополнительные сведения о внешних соединителях см. в разделе Внешние соединители.

    X-заголовки организации и леса удаляются из файлов сообщений до того как они попадают в транзитный каталог.

    Заголовки маршрутизации сохраняются в сообщениях, отправленных транзитным каталогом.

  • Транспорт почтовых ящиков. Служба транспорта почтовых ящиков существует на серверах почтовых ящиков для передачи сообщений в почтовые ящики и из них на серверах почтовых ящиков. Дополнительные сведения о транспортной службе почтовых ящиков см. в разделе Поток обработки почты.

    X-заголовки организации и леса, а также заголовки маршрутизации, удаляются из исходящих сообщений, которые отправляются из почтовых ящиков службой отправки почтовых ящиков.

    Заголовки маршрутизации сохраняются во входящих сообщениях для получателей почтовых ящиков службой доставки почтовых ящиков. Следующие X-заголовки организации и леса сохраняются во входящих сообщениях для получателей почтовых ящиков службой доставки почтовых ящиков.

    • X-MS-Exchange-Organization-SCL
    • X-MS-Exchange-Organization-AuthDomain
    • X-MS-Exchange-Organization-AuthMechanism
    • X-MS-Exchange-Organization-AuthSource
    • X-MS-Exchange-Organization-AuthAs
    • X-MS-Exchange-Organization-OriginalArrivalTime
    • X-MS-Exchange-Organization-OriginalSize

  • Сообщения DSN. Заголовки X организации, X-заголовки леса и заголовки маршрутизации удаляются из исходного сообщения или исходного заголовка сообщения, присоединенного к сообщению DSN. Дополнительные сведения о сообщениях DSN см. в разделе DSN и NDR в Exchange 2013.

  • Отправка агента транспорта. Заголовки X организации, X-заголовки леса и заголовки маршрутизации сохраняются в сообщениях, отправляемых агентами транспорта.

X-заголовки организации и леса в Exchange

Транспортная служба на серверах почтовых ящиков или пограничных транспортных серверах вставляет настраиваемые поля X-заголовка в заголовок сообщения.

X-заголовки организации начинаются с X-MS-Exchange-Organization-. X-заголовки леса начинаются с X-MS-Exchange-Forest-. В следующей таблице описаны некоторые X-заголовки организации и леса, используемые в сообщениях в организации Exchange.

X-заголовок Описание
X-MS-Exchange-Forest-RulesExecuted Правила транспорта, действующие для сообщения.
X-MS-Exchange-Organization-Antispam-Report Итоговый отчет по результатам применения фильтра нежелательной почты к сообщению агентом фильтра содержимого.
X-MS-Exchange-Organization-AuthAs Указывает источник проверки подлинности. Этот X-заголовок всегда присутствует, если выполнена оценка безопасности сообщения. Возможные значения: Anonymous, Internal, Externalили Partner.
X-MS-Exchange-Organization-AuthDomain Заполняется во время проверки подлинности безопасного домена. Значением является полное доменное имя удаленного домена, прошедшего проверку подлинности.
X-MS-Exchange-Organization-AuthMechanism Определяет способ проверки подлинности, используемый при отправке сообщения. Его значением является двухзначное шестнадцатеричное число.
X-MS-Exchange-Organization-AuthSource Определяет полное доменное имя сервера, оценившего проверку подлинности сообщения от лица организации.
X-MS-Exchange-Organization-Journal-Report Определяет отчеты журналов для транспорта. Как только сообщение покидает транспортную службу, этот заголовок становится заголовком X-MS-Journal-Report.
X-MS-Exchange-Organization-OriginalArrivalTime Определяет время первого поступления сообщения в организацию Exchange.
X-MS-Exchange-Organization-Original-Sender Определяет исходного отправителя сообщения, отправленного на карантин, на момент его первого поступления в организацию Exchange.
X-MS-Exchange-Organization-OriginalSize Определяет исходный размер сообщения, отправленного на карантин, на момент его первого поступления в организацию Exchange.
X-MS-Exchange-Organization-Original-Scl Определяет исходную вероятность нежелательной почты для сообщения, отправленного на карантин, на момент его первого поступления в организацию Exchange.
X-MS-Exchange-Organization-PCL Определяет вероятность фишинга. Значения вероятности фишинга могут находится в диапазоне от 1 до 8. Чем больше значение, тем более подозрительным является сообщение. Дополнительные сведения см. в разделе Метки защиты от спама.
X-MS-Exchange-Organization-Quarantine Показывает, что сообщение помещено в почтовый ящик карантина нежелательной почты и отправлено уведомление о доставке. Или он может указывать на то, что сообщение было отправлено на карантин и освобождено администратором. Данное поле X-заголовка предотвращает повторное попадание освобожденного сообщения в почтовый ящик карантина нежелательной почты. Дополнительные сведения см. в разделе [Освобождение сообщений в карантине из почтового ящика карантина нежелательной почты](release-quarantined-messages-from-the-spam-quarantine-mailbox-exchange-2013-help.md.
X-MS-Exchange-Organization-SCL Определяет вероятность нежелательной почты для сообщения. Значения порога вероятности нежелательной почты могут находится в диапазоне от 0 до 9. Чем больше значение, тем более подозрительным является сообщение. Специальное значение -1 предотвращает обработку сообщения агентом фильтрации содержимого. Дополнительные сведения см. в разделе Фильтрация содержимого.
X-MS-Exchange-Organization-SenderIdResult Содержит результаты обработки агентом идентификации отправителей. Агент идентификации отправителей использует инфраструктуру политики отправителей для сравнения исходного IP-адреса сообщения с доменом, указанным в адресе электронной почты отправителя. На основе результатов обработки агентом идентификации отправителей для сообщения вычисляется вероятность нежелательной почты. Дополнительные сведения см. в разделе Sender ID.