Фильтрация подключений на пограничных транспортных серверах в Exchange Server

Фильтрация подключений — это функция защиты от нежелательной почты в Exchange Server, которая разрешает или блокирует электронную почту на основе источника сообщения. Фильтрация подключений выполняется агентом фильтрации подключений, доступным только на пограничных транспортных серверах, и практически не изменяется с Exchange Server 2010 года. Чтобы определить действие для входящего сообщения (если оно необходимо), агент фильтра подключений использует IP-адрес почтового сервера.

По умолчанию агент фильтрации подключений первым оценивает входящее сообщение на пограничном транспортном сервере. Исходный IP-адрес SMTP-подключения сравнивается с разрешенными и заблокированными IP-адресами. Если исходный IP-адрес разрешен, сообщение отправляется получателям в вашей организации без последующей обработки остальными агентами защиты от спама. Если исходный IP-адрес заблокирован, SMTP-подключение отклоняется. Если исходный IP-адрес не разрешен, и не заблокирован, сообщение переходит к другим агентам защиты от спама на пограничном транспортном сервере.

Фильтрация подключений сравнивает IP-адрес исходного почтового сервера со значениями в списке разрешенных IP-адресов, списке блокировок IP-адресов, поставщиках списков разрешенных IP-адресов и поставщиках списков блокировок IP-адресов. Чтобы фильтрация подключений работала, необходимо настроить по крайней мере один из этих хранилищ данных IP-адресов. Если данные IP-адресов не указаны, агент фильтрации подключений следует отключить. Дополнительные сведения см. в статье Процедуры фильтрации подключений на пограничных транспортных серверах.

Запрещенный список IP-адресов

Список блокировок IP-адресов содержит IP-адреса почтовых серверов, которые необходимо заблокировать. Ip-адреса вручную сохраняются в списке блокировок IP-адресов. При этом можно добавить отдельные адреса или диапазоны адресов. Вы можете указать срок действия, определяющий период блокировки IP-адреса или диапазона. Когда срок действия истек, запись IP-адреса в списке блокировок IP-адресов отключается.

Если агент фильтрации подключений находит исходный IP-адрес в списке блокировок IP-адресов, smtp-подключение будет удалено после обработки всех заголовков RCPT TO (получателей конвертов) в сообщении.

IP-адреса также могут автоматически добавляться в список блокировок IP-адресов с помощью функции репутации отправителя агента анализа протоколов. Дополнительные сведения см. в разделе Sender reputation and the Protocol Analysis agent.

Утвержденный список IP-адресов

Список разрешенных IP-адресов содержит IP-адреса почтовых серверов, которые вы хотите назначить надежными источниками электронной почты. Email почтовых серверов, указанных в списке разрешенных IP-адресов, не могут обрабатываться другими агентами exchange antispam.

Вы вручную сохраняете IP-адреса в списке разрешенных IP-адресов. При этом можно добавить отдельные адреса или диапазоны адресов. Вы можете указать срок действия, определяющий период, в течение которого IP-адрес или диапазон будет считаться разрешенным. По достижении срока действия запись в списке разрешенных IP-адресов отключается.

Поставщики списков блокировок IP-адресов

Поставщики списков блокировок IP-адресов часто называются списками блокировок в режиме реального времени или списками больших двоичных данных. Поставщики списков блокировок IP-адресов компилируют списки IP-адресов почтовых серверов, которые отправляют спам. Многие поставщики списков блокировок IP-адресов также компилируют списки IP-адресов почтовых серверов, которые могут использоваться для нежелательной почты. В качестве примера можно привести почтовые серверы, настроенные для открытой ретрансляции, поставщики услуг Интернета (ISP), которые назначают динамические IP-адреса, и ISP, которые разрешают SMTP-трафик почтовых серверов от учетных записей удаленного доступа.

При настройке фильтрации подключений для использования поставщика списка блокировок IP-адресов агент фильтрации подключений сравнивает IP-адрес подключающегося почтового сервера со списком IP-адресов поставщика списка блокировок IP-адресов. Если найдено совпадение, сообщение не будет передано в организацию. Вы можете настроить фильтрацию подключений для использования нескольких поставщиков списков блокировок IP-адресов и назначать разные значения приоритета каждому поставщику.

Агент фильтрации подключений проверяет исходный IP-адрес в списке разрешенных IP-адресов и списке блокировок IP-адресов. Если IP-адрес отсутствует в любом списке, агент фильтрации подключений запрашивает поставщик списка блокировок IP-адресов в соответствии с назначенным приоритетом. Если IP-адрес определен поставщиком списка блокировок IP-адресов, пограничный транспортный сервер ожидает и обрабатывает заголовок RCPT TO , отвечает на отправляющий почтовый сервер с ошибкой SMTP 550 и закрывает подключение. Подключение не удаляется сразу, поэтому попытка подключения может быть зарегистрирована, а также потому, что вы можете указать получателей, для которых сообщения не заблокированы любыми поставщиками списков блокировок IP-адресов.

Если IP-адрес не определен ни в одном из поставщиков списка блокировок IP-адресов, агент фильтрации содержимого передает сообщение следующему агенту транспорта на пограничном транспортном сервере.

Для каждого поставщика списка блокировок IP-адресов можно настроить ошибку SMTP 550 , которая возвращается отправителю при блокировке сообщения. Следует определить поставщика списка блокировок IP-адресов, который определил источник сообщения как спам. Если допустимый исходный почтовый сервер ошибочно идентифицируется как источник нежелательной почты, администратор может обратиться к поставщику списка заблокированных IP-адресов и предпринять необходимые действия, чтобы удалить почтовый сервер из поставщика списка блокировок IP-адресов.

Поставщики списков блокировок IP-адресов могут возвращать различные коды, чтобы определить, почему IP-адрес определен в их списках. Большинство поставщиков списка блокировок IP-адресов возвращают типы данных битовой маски или абсолютного значения. В этих типах данных поставщик списка блокировок IP-адресов может использовать несколько значений для классификации IP-адреса по типу угроз.

При использовании поставщиков списков блокировок IP-адресов следует учитывать следующие проблемы:

  • Сбои или задержки в службе поставщика списка блокировок IP-адресов могут привести к задержкам при обработке сообщений на пограничном транспортном сервере. Всегда следует выбирать надежных поставщиков списков блокировок IP-адресов.

  • Заслуживающие доверия исходные серверы могут быть случайно определены как источники нежелательной почты. Например, почтовый сервер непреднамеренно может быть настроен для открытой ретрансляции. Всегда следует выбирать поставщиков списков блокировок IP-адресов, которые предоставляют четкие процедуры для оценки и удаления из своих служб.

Примеры битовой маски и абсолютных значений

В этом разделе показан пример кодов состояния, возвращаемых большинством поставщиков списков блокировок. Коды состояния, возвращаемые поставщиком, см. в документации для конкретного поставщика.

Для типов данных битовой маски служба поставщика списка блокировок IP-адресов возвращает код состояния 127.0.0. x, где целое число x — это одно из значений, перечисленных в следующей таблице.

Значения и коды состояния для типов данных «битовая маска»

Значение Код состояния
1 IP-адрес находится в списке блокировок IP-адресов.
2 SMTP-сервер настроен в качестве открытого ретранслятора.
4 Данный IP-адрес поддерживает IP-адрес для коммутируемого доступа.

Для абсолютных типов значений поставщик списка блокировок IP-адресов возвращает явные ответы, определяющие, почему IP-адрес определен в списке блокировок. В следующей таблице приводятся некоторые примеры абсолютных значений и откликов в явном виде.

Значения и коды состояния для типов данных «абсолютное значение»

Значение Отклик
127.0.0.2 Данный IP-адрес является непосредственным источником нежелательной почты.
127.0.0.4 Данный IP-адрес является источником массовой рассылки.
127.0.0.5 Удаленный сервер, отправляющий данное сообщение, поддерживает многокаскадные открытые ретрансляции.

Поставщики списка разрешенных IP-адресов

Поставщики списка разрешенных IP-адресов также называются безопасными списками. Поставщики списка разрешенных IP-адресов настраиваются так же, как поставщики списков блокировок IP-адресов, но результаты противоположны: они определяют IP-адреса почтовых серверов, которые определенно не связаны со спамом. Если IP-адрес подключающегося почтового сервера определен поставщиком разрешенных IP-адресов, сообщение освобождается от обработки другими агентами exchange antispam. По этой причине поставщики списков блокировок IP-адресов используются гораздо чаще, чем поставщики разрешенных IP-адресов. Тщательно выбирайте поставщиков разрешенных IP-адресов.

Проверка поставщиков списков блокировок IP-адресов и поставщиков разрешенных IP-адресов

После настройки фильтрации подключений для использования поставщика списка блокировок IP-адресов или поставщика списка разрешенных IP-адресов можно выполнить тесты, чтобы убедиться, что поставщики работают правильно. Большинство поставщиков предоставляют тестовые IP-адреса, которые можно использовать для проверки служб. При тестировании поставщика агент фильтрации подключений отправляет запрос DNS, который должен привести к определенному ответу от поставщика. Дополнительные сведения о том, как проверить IP-адреса в службе поставщика списка блокировок IP-адресов или службы поставщика разрешенных IP-адресов, см. в разделе Процедуры фильтрации подключений на пограничных транспортных серверах.

Настройка фильтрации подключений на пограничных транспортных серверах, не подключенных напрямую к Интернету

Фильтрацию подключений можно использовать на пограничных транспортных серверах, которые не получают электронную почту напрямую из Интернета. В этом случае пограничный транспортный сервер находится за другим почтовым сервером, получающим и обрабатывающим сообщения, поступающие непосредственно из Интернета. Например, ваша организация может отправлять трафик электронной почты через антиспам-сервер, службу или устройство, прежде чем сообщения доходят до пограничного транспортного сервера. При этом агент фильтра подключений должен извлекать из сообщения правильный исходный IP-адрес. Для этого агенту фильтрации подключений требуется проанализировать значения поля заголовка Received и сравнить их с известными IP-адресами почтового сервера, расположенным между пограничным транспортным сервером и Интернетом.

Каждый почтовый сервер, который принимает и ретранслирует SMTP-сообщение на пути доставки, добавляет собственное поле Received в заголовок сообщения. Обычно заголовок Received содержит доменное имя и IP-адрес почтового сервера, который обработал сообщение.

Если пограничный транспортный сервер не принимает сообщения непосредственно из Интернета, необходимо использовать параметр InternalSMTPServers в командлете Set-TransportConfig на сервере почтовых ящиков Exchange, чтобы определить IP-адрес почтового сервера, который находится между пограничным транспортным сервером и Интернетом. Данные об IP-адресах реплицируются на пограничные транспортные серверы с помощью EdgeSync. При получении сообщений пограничным транспортным сервером агент фильтрации подключений предполагает, что IP-адрес в поле Заголовка Получено , который не соответствует значению, указанному параметром InternalSMTPServers , является исходным IP-адресом, который необходимо проверить. Поэтому для корректной работы фильтрации подключений необходимо указать все внутренние SMTP-серверы.