Репутация отправителя и агент анализа протоколов в Exchange Server

  • Статья

Функция защиты от спама на основе репутации отправителя в Exchange блокирует сообщения в зависимости от характеристик отправителя. Чтобы определить, какое действие следует предпринять в отношении входящего сообщения, она использует сохраненные сведения об отправителе. Эта функция основана на использовании агента анализа протокола.

Дополнительные сведения о настройке репутации отправителя и агента анализа протоколов см. в разделе Процедуры репутации отправителя.

По умолчанию агент анализа протокола включен на пограничных транспортных серверах, но его также можно включить на серверах почтовых ящиков. Дополнительные сведения см. в разделе Включение функций защиты от нежелательной почты на серверах почтовых ящиков.

Вычисление уровня репутации отправителя (SRL)

Уровень репутации отправителя (SRL) рассчитывается исходя из следующей статистики:

  • Анализ HELO/EHLO. Команды HELO и EHLO SMTP предназначены для предоставления доменного имени, например Contoso.com, или IP-адреса отправляющего SMTP-сервера принимающему SMTP-серверу. Злонамеренные пользователи, или спамеры, часто разными способами подделывают оператор HELO/EHLO. Например, вводят IP-адрес, не соответствующий IP-адресу, с которого произошло подключение. Кроме того, в попытке представить, будто домены находятся в организации, в оператор HELO спамеры подставляют домены, о которых известно, что они локально поддерживаются на принимающем сервере. В других случаях злоумышленники, рассылающие нежелательную почту, изменяют домен, передаваемый в операторе HELO. Как правило, обычный пользователь использует в операторах HELO разный, но относительно постоянный набор доменов.

    Поэтому на основании анализа оператора HELO/EHLO для каждого отправителя можно сделать вывод, что он, возможно, рассылает нежелательную почту. Например, отправитель, который в определенный период времени передает много разных уникальных операторов HELO/EHLO, вероятно, рассылает нежелательную почту. Отправители, последовательно предоставляющие в операторах HELO IP-адрес, не совпадающий с настоящим IP-адресом, определенным агентом фильтрации подключений, вероятно, также рассылают нежелательную почту. Удаленные отправители, постоянно предоставляющие имя локального домена в операторе HELO в той же организации, на которой расположен сервер Exchange, вероятно, также рассылают нежелательную почту.

  • Обратный поиск DNS. Репутация отправителя также проверяет, соответствует ли исходный IP-адрес, с которого отправитель передал сообщение, зарегистрированным доменным именем, которое отправитель отправляет в команде SMTP HELO или EHLO.

    Функция "репутация отправителя" выполняет обратный запрос DNS, отправляя в DNS исходящий IP-адрес. Результат, возвращаемый службой DNS, — имя домена, зарегистрированное центром доменных имен для данного IP-адреса. Функция репутации отправителя сравнивает имя домена, возвращенное службой DNS, с именем домена, переданным отправителем в SMTP-команде HELO/EHLO. Если имена доменов не совпадают, то отправитель, вероятно, является пользователем, рассылающим нежелательную почту, и общий уровень репутации отправителя для него должен быть увеличен.

    Агент идентификатора отправителя выполняет аналогичную задачу, но успех агента идентификатора отправителя зависит от законных отправителей, чтобы обновить инфраструктуру DNS для идентификации всех SMTP-серверов отправки электронной почты в своей организации. Выполняя обратный поиск DNS, вы можете помочь определить потенциальных спамеров.

  • Анализ оценок SCL сообщений от определенного отправителя. Когда агент фильтра содержимого обрабатывает сообщение, он присваивает сообщению оценку уровня достоверности нежелательной почты (SCL). Оценка вероятности нежелательной почты — это число от 0 до 9. Более высокая оценка вероятности нежелательной почты означает, что сообщение с большой вероятностью будет нежелательным. Данные о каждом отправителе и оценках SCL их сообщений сохраняются для анализа при помощи функции «Репутация отправителя». Функция «Репутация отправителя» вычисляет статистику для отправителя, определяя соотношение между всеми сообщениями от данного отправителя, которые имели в прошлом низкую оценку SCL, и всеми сообщениями от этого же отправителя, которые имели высокую оценку SCL. Кроме того, количество сообщений с высокой оценкой SCL, пришедших от отправителя за предыдущий день, применяется к общему значению SRL.

  • Проверка открытого прокси-сервера отправителя. Открытый прокси-сервер — это прокси-сервер, который принимает запросы на подключение от любого пользователя в любом месте и пересылает трафик так, как если бы он поступил с локальных узлов. Прокси-серверы ретранслируют TCP-трафик через брандмауэр, обеспечивая пользовательским приложениям прозрачный доступ через брандмауэр. Поскольку протоколы прокси-серверов — облегченные и независимые от протоколов пользовательского приложения, то прокси-серверы могут использоваться многими различными службами. Прокси-серверы могут также применяться для общего использования одного подключения к Интернету несколькими компьютерами. Прокси-серверы обычно настраиваются так, чтобы пересекать прокси-серверы можно было только с известных брандмауэру доверенных компьютеров. Разрешенный отправитель может быть открытым прокси-сервером из-за непреднамеренной неправильной настройки или вредоносной программы.

    Открытые прокси-серверы предоставляют для пользователей-злоумышленников идеальный способ скрыть свои истинные учетные данные, чтобы реализовать атаку типа «отказ в обслуживании» (DoS) или разослать нежелательную почту. Так как все больше прокси-серверов настраивается как открытые по умолчанию, открытые прокси-серверы становятся обычным явлением. Кроме того, чтобы скрыть истинный IP-адрес отправителя, злоумышленник может использовать цепочку из нескольких открытых прокси-серверов.

    Когда функция репутации отправителя выполняет тест открытого прокси-сервера, она форматирует SMTP-запрос, чтобы подключиться к серверу Exchange с открытого прокси-сервера. Если SMTP-запрос от прокси-сервера получен, функция репутации отправителя убеждается, что сервер является открытым, и обновляет статистику проверки для этого отправителя.

Репутация отправителя взвешивает каждую из этих статистических данных и вычисляет SRL для каждого отправителя. Уровень репутации отправителя — это число от 0 до 9, отражающее вероятность того, что пользователь рассылает нежелательную почту или выполняет другие вредоносные действия. Значение 0 указывает, что отправитель, скорее всего, не будет спамом; значение 9 указывает, что отправитель, скорее всего, будет спамом.

Вы можете установить пороговое значение для блокировки от 0 до 9, при котором функция репутации отправителя отправляет запрос агенту фильтрации отправителей и тем самым запрещает отправителю отправлять сообщения в организацию. Когда отправитель заблокирован, он на заданный период времени добавляется в список заблокированных отправителей. Способ обработки заблокированных сообщений зависит от настройки агента фильтрации отправителей. Заблокированные сообщения можно:

  • Отклонение: сообщения возвращаются в отчете о недоставке (также известном как недоставка, уведомление о состоянии доставки, DSN или сообщение о отказе).

  • Удалить. Сообщения автоматически удаляются без недоставки.

  • Принять: сообщения принимаются и помечаются как поступающие от заблокированного отправителя

Дополнительные сведения об агенте фильтрации отправителей см. в статье Фильтрация отправителей.

Если отправитель добавлен в список заблокированных IP-адресов или службу репутации IP-адресов (Майкрософт), функция репутации отправителя немедленно отправляет запрос агенту фильтрации отправителей, чтобы его заблокировать. Чтобы воспользоваться этой функцией, необходимо включить и настроить службу обновления средства защиты от спама Microsoft Exchange.

По умолчанию для отправителей, которые не были проанализированы, функция репутации отправителя устанавливает оценку 0. После того как от отправителя приходит 20 или более сообщений, она рассчитывает значение уровня репутации отправителя, которое основывается на статистике, описанной ранее в этой статье.

Когда следует использовать SRL

Функция репутации отправителя обрабатывает сообщения на двух этапах SMTP-сеанса:

  • В команде MAIL FROM: SMTP репутация отправителя действует на сообщение только в том случае, если сообщение было заблокировано или иным образом действовало агентом фильтрации подключений, агентом фильтра отправителей, агентом фильтра получателей или агентом идентификатора отправителя. В этом случае репутация отправителя получает текущую оценку SRL отправителя из профиля отправителя, сохраненного для этого отправителя на сервере Exchange Server. После получения и оценки этой оценки конфигурация сервера Exchange определяет поведение, которое происходит при конкретном подключении в соответствии с пороговым значением блока.

  • После команды SMTP "конец данных": команда SMTP конца передачи данных (EOD) выполняется при отправке всех фактических данных сообщения. На этой стадии SMTP-сеанса многие агенты защиты от спама уже обработали сообщение. В результате выполнения этих процедур статистика, используемая функцией репутации отправителя, обновляется. Таким образом, эта функция получает обновленные данные для последующего расчета или пересчета значения SRL для отправителя.

Настройка обнаружения открытых прокси-серверов

Когда агент репутации отправителя вычисляет уровень репутации отправителя, он пытается подключиться к исходному IP-адресу отправителя с помощью распространенных протоколов прокси-серверов, таких как SOCKS4, SOCKS5, HTTP, Telnet, Cisco и Wingate. Чтобы подключиться к серверу Exchange с открытого прокси-сервера с помощью SMTP-запроса, агент репутации отправителя форматирует запрос в соответствии с протоколом. Если SMTP-запрос получен от прокси-сервера, агент репутации отправителя убеждается, что прокси-сервер является открытым, и корректирует оценку уровня репутации отправителя согласно этому результату. По умолчанию для агента репутации отправителя включено обнаружение открытых прокси-серверов.

Дополнительные сведения о настройке обнаружения открытых прокси-серверов см. в разделе Процедуры репутации отправителя.

Установка порогового значения для блокировки по уровню репутации отправителя

Уровень репутации отправителя — это число от 0 до 9, отражающее вероятность того, что пользователь рассылает нежелательную почту или выполняет другие вредоносные действия. Вам необходимо настроить пороговое значение для блокировки по уровню репутации отправителя, чтобы указать значение уровня репутации, при котором отправитель будет заблокирован. По умолчанию пороговое значение для блокировки равно 7, что означает, что отправители с уровнями репутации 7, 8 или 9 будут заблокированы. Рекомендуется отслеживать эффективность функции репутации отправителей и агента анализа протокола на уровне по умолчанию.

На пограничном транспортном сервере, если пороговое значение блока SRL достигнуто или превышено конкретным отправителем, репутация отправителя добавляет отправителя в список заблокированных IP-адресов в агенте фильтрации подключений. Иногда спамеры отправляют пакеты спама от одного отправителя. В этом сценарии, если репутация отправителя вычисляет значение SRL, превышающее пороговое значение блока SRL, отправитель добавляется в список заблокированных отправителей в течение настраиваемого времени. По умолчанию продолжительность блокировки равняется 24 часам. Через 24 часа отправитель удаляется из списка заблокированных отправителей и может отправлять сообщения снова.

При добавлении отправителя в список блокировок IP-адресов агент репутации отправителя удаляет профиль отправителя. Агент репутации отправителя удаляет этот профиль, поскольку в существующем профиле заблокированного отправителя указано, что уровень репутации отправителя превышает пороговое значение для блокировки по уровню репутации отправителя. В противном случае заблокированный отправитель был бы вновь добавлен в список блокировок IP-адресов по окончании периода блокировки отправителя.

Дополнительные сведения о настройке блокировки отправителей см. в статье Процедуры репутации отправителя.