Защита от нежелательной почты

  • Статья

Область применения: Exchange Server 2013 г.

Спаммеры или вредоносные отправители используют различные методы для отправки нежелательной электронной почты в вашу организацию. Не существует единого средства или процесса, который устранил бы всю нежелательную почту. Однако Microsoft Exchange Server 2013 году предоставляет многоуровневый, многоуровневый и многоплановый подход к сокращению этих нежелательных сообщений. Exchange использует агенты транспорта для защиты от нежелательной почты, а встроенные агенты, доступные в Exchange 2013, относительно не изменяются по сравнению с Microsoft Exchange Server 2010.

Для получения дополнительных функций защиты от нежелательной почты и упрощения управления можно приобрести Microsoft Exchange Online Protection (EOP). Сравнение функций EOP и Exchange 2013 см. в статье Преимущества функций защиты от нежелательной почты в Exchange Online Protection за Exchange Server 2013 года. Дополнительные сведения о microsoft 365 или Office 365 защиты от нежелательной почты см. в статье Защита от нежелательной почты в EOP.

Сведения о встроенных возможностях защиты от вредоносных программ в Exchange 2013 см. в статье Защита от вредоносных программ.

Агенты защиты от спама на серверах почтовых ящиков

Как правило, вы включаете агенты защиты от нежелательной почты на сервере почтовых ящиков, если в вашей организации нет пограничного транспортного сервера или не выполняется предварительная фильтрация нежелательной почты перед приемом входящих сообщений. Дополнительные сведения см. в разделе Включение функций защиты от нежелательной почты на серверах почтовых ящиков.

Как и всем агентам транспорта, каждому агенту защиты от нежелательной почты присваивается значение приоритета. Более низкое значение указывает на более высокий приоритет, поэтому обычно агент защиты от нежелательной почты с приоритетом 1 будет действовать с сообщением перед агентом защиты от нежелательной почты с приоритетом 9. Однако событие SMTP, в котором зарегистрирован агент защиты от нежелательной почты, также очень важно для определения порядка действий агентов защиты от нежелательной почты в сообщениях. Агент защиты от нежелательной почты с низким приоритетом, зарегистрированный в событии SMTP в начале транспортного конвейера, будет действовать с сообщением перед агентом защиты от нежелательной почты с высоким приоритетом, зарегистрированным в событии SMTP позже в транспортном конвейере.

На основе значения приоритета по умолчанию агента защиты от нежелательной почты и события SMTP в транспортном конвейере, где зарегистрирован агент защиты от нежелательной почты, в следующем списке описываются агенты и порядок их применения к сообщениям на сервере почтовых ящиков.

  1. Агент фильтрации отправителей. Фильтрация отправителей сравнивает отправителя в команде MAIL FROM: SMTP с определенным администратором списком отправителей или доменов отправителей, которым запрещено отправлять сообщения в организацию, чтобы определить, какое действие (если таковое есть) предпринять с входящим сообщением. Дополнительные сведения см. в разделе Фильтрация отправителей.

  2. Агент идентификатора отправителя. Идентификатор отправителя зависит от IP-адреса отправляющего сервера и предполагаемого ответственного адреса (PRA) отправителя, чтобы определить, является ли отправитель подделанным. Дополнительные сведения см. в разделе Sender ID.

  3. Агент фильтра содержимого. Фильтрация содержимого оценивает содержимое сообщения. Дополнительные сведения см. в разделе Фильтрация содержимого.

    Карантин нежелательной почты — это функция агента фильтра содержимого, сокращающая риск потери разрешенных сообщений из-за того, что система сочла их нежелательными. Карантин нежелательной почты обеспечивает временное хранение сообщений, определенных как нежелательная почта, которые не следует доставлять в почтовый ящик пользователя в организации. Дополнительные сведения см. в разделе Карантин спама.

    Фильтрация содержимого также работает с функцией агрегирования списка безопасных. Агрегирование списка безопасности собирает данные из списков защиты от нежелательной почты, настроенных пользователями Microsoft Outlook и Outlook Web App, и делает эти данные доступными агенту фильтра содержимого. Дополнительные сведения см. в разделе Безопасное агрегирование списка.

  4. Агент анализа протоколов. Агент анализа протоколов является базовым агентом, который реализует функцию репутации отправителя. Репутация отправителя основана на IP-адресе отправляющего сервера и определяет, какое действие будет предпринято (если необходимо) в отношении данного входящего сообщения. Уровень репутации отправителя вычисляется исходя из нескольких характеристик отправителя, определяемых в ходе анализа сообщений и внешних проверок. Дополнительные сведения см. в разделе Sender reputation and the Protocol Analysis agent.

Агенты защиты от спама на пограничных транспортных серверах

Если в вашей организации установлен пограничный транспортный сервер в сети периметра, все агенты защиты от нежелательной почты, доступные на сервере почтовых ящиков, устанавливаются и включены по умолчанию на пограничном транспортном сервере. Однако следующие агенты защиты от нежелательной почты доступны только на пограничном транспортном сервере:

  • Агент фильтрации подключений. Фильтрация подключений проверяет IP-адрес удаленного сервера, который пытается отправить сообщения, чтобы определить, какие действия (если таковые есть) предпринять для входящего сообщения. Фильтрация подключений использует список заблокированных IP-адресов, список разрешенных IP-адресов, службы поставщиков списка заблокированных IP-адресов и службы поставщиков списка разрешенных IP-адресов, чтобы определить, следует ли блокировать или разрешать IP-адрес подключения. Дополнительные сведения см. в разделе Фильтрация подключений на пограничных транспортных серверах.

  • Агент фильтра получателей. Фильтрация получателей сравнивает получателей сообщений в команде RCPT TO: SMTP со списком заблокированных получателей, определенным администратором. При обнаружении соответствия сообщение не пропускается в организацию. Фильтр получателей также проверяет получателей, указанных во входящем сообщении, по локальному каталогу получателей, чтобы определить, верно ли указан в сообщении получатель. Если сообщение не адресовано допустимым получателям, оно отклоняется. Дополнительные сведения см. в статье Фильтрация получателей на пограничных транспортных серверах.

    Примечание.

    Хотя агент фильтра получателей доступен на серверах почтовых ящиков, его не следует настраивать. Если при фильтрации получателей на сервере почтовых ящиков в сообщении обнаруживается по крайней мере один недопустимый или заблокированный получатель, сообщение отклоняется. При установке агентов защиты от нежелательной почты на сервере почтовых ящиков агент фильтра получателей включен по умолчанию. Однако он не настроен для блокировки получателей.

  • Агент фильтрации вложений. Фильтрация вложений блокирует сообщения на основе имени файла вложения, расширения имени файла или типа контента MIME файла. Параметры фильтрации вложений можно настроить таким образом, что вложение будет заблокировано вместе с сообщением, отделено от сообщения с доставкой последнего либо удалено вместе с сообщением без отправки уведомления. Дополнительные сведения см. в разделе Фильтрация вложений на пограничных транспортных серверах.

В зависимости от значения приоритета по умолчанию агента защиты от нежелательной почты и события SMTP в транспортном конвейере, где зарегистрирован агент защиты от нежелательной почты, это порядок по умолчанию, в котором агенты защиты от нежелательной почты применяются на пограничном транспортном сервере:

  1. Агент фильтрации подключений

  2. Агент фильтра отправителей

  3. Агент фильтра получателей

  4. Агент идентификации отправителей

  5. Агент фильтрации содержимого

  6. Агент анализа протокола для репутации отправителя

  7. Агент фильтрации вложений

Пометки нежелательной почты

Марки для борьбы с нежелательной почтой позволяют диагностировать проблемы, связанные с нежелательными сообщениями, с помощью диагностических метаданных, или марок, например сведений об отправителе, результатов проверки задачи, результатов фильтрации содержимого, которые применяются к сообщениям, проходящим через функции защиты от нежелательной почты при фильтрации входящих сообщений из Интернета. Дополнительные сведения см. в разделе Метки защиты от спама.

Стратегия защиты от нежелательной почты

Стратегия настройки средств защиты от нежелательной почты и определения степени жесткости настроек требует тщательного планирования и расчета. Если для всех фильтров защиты от нежелательной почты указаны самые строгие значения, чтобы отклонять все подозрительные сообщения, вероятность отклонения обычных сообщений также повышается. С другой стороны, если параметры средств защиты от нежелательной почты недостаточно жесткие и пороговые значения защиты SCL недостаточно низкие, количество входящих в организацию нежелательных сообщений обычно не уменьшается.

Рекомендуется отклонять сообщение, когда Exchange обнаруживает неправильное сообщение с помощью агента фильтрации подключений, агента фильтра получателей или агента фильтра отправителей. Этот подход эффективнее отправки таких сообщений на карантин или назначения им метаданных, таких как марки для борьбы с нежелательной почтой. Агент фильтрации подключений и агент фильтра получателей автоматически блокируют сообщения, определенные соответствующими фильтрами. Агент фильтрации отправителей можно настраивать.

Такой подход является рекомендуемым, так как базовый уровень значения вероятности нежелательной почты (SCL) при фильтрации подключений, фильтрации получателей или фильтрации отправителей относительно высок. Например, при фильтрации отправителей в соответствии с настроенным администратором черным списком отправителей нет причин присваивать выявленным сообщениям данные фильтрации отправителей и продолжать их обработку. В большинстве организаций блокированные сообщения следует отклонять. Если такое отклонение для администратора нежелательно, ему не следует вносить данные отправителей в черный список.

Эта же логика применяется к службам черных списков в режиме реального времени и фильтрации получателей несмотря на то, что базовый уровень надежности в таком случае не так высок, как при использовании черного списка IP-адресов. Необходимо обратить внимание, что по мере продвижения сообщения по пути обработки почты вероятность ложных срабатываний возрастает, так как в средствах защиты от нежелательной почты увеличивается количество оцениваемых переменных. Более жесткая настройка первых нескольких этапов цепи защиты позволяет отклонить большую часть нежелательной почты. Таким образом, ресурсы на обработку, пропускная способность и место на жестком диске высвобождаются для обработки более сомнительных сообщений.

Наконец, следует отметить, что необходимо контролировать общую эффективность работы средств защиты от нежелательной почты. Тщательный контроль позволяет настраивать работу средств защиты от нежелательной почты таким образом, чтобы в совокупности они обеспечивали надежную защиту среды предприятия. При таком подходе следует начинать с относительно мягких параметров настройки средств защиты от нежелательной почты. Это позволяет свести к минимуму число ложных срабатываний. В процессе контроля и настройки этих средств можно сделать их более жесткими в отношении типов нежелательных сообщений, атакам которых подвергается организация.

См. также

Защита от нежелательной почты в EOP