Фильтрация подключений на пограничных транспортных серверах
Область применения: Exchange Server 2013 г.
Фильтрация подключений это функция защиты от нежелательной почты Microsoft Exchange Server 2013, которая пропускает или блокирует сообщения электронной почты в зависимости от их источника. Фильтрацию подключений выполняет агент фильтра подключений, доступный только на пограничных транспортных серверах. Для определения действия с входящим сообщением (если оно необходимо) агент фильтра подключений обрабатывает IP-адрес почтового сервера.
По умолчанию агент фильтрации подключений является первым агентом защиты от нежелательной почты при оценке входящего сообщения на пограничном транспортном сервере. Исходный IP-адрес SMTP-подключения сравнивается со списком разрешенных и заблокированных IP-адресов. Если исходный IP-адрес находится в списке разрешенных IP-адресов, обработка больше не требуется. Затем отправляется сообщение. Если исходный IP-адрес заблокирован, SMTP-подключение будет удалено. Если исходный IP-адрес не разрешен или заблокирован, сообщение проходит через другие агенты защиты от нежелательной почты на пограничном транспортном сервере.
Фильтрация подключений сравнивает IP-адрес исходного почтового сервера со значениями в следующих хранилищах данных:
- Список разрешенных IP-адресов
- Список блокировок IP-адресов
- Поставщики списка разрешенных IP-адресов
- Поставщики списка блокировок IP-адресов
Настройте по крайней мере одно хранилище данных IP-адресов для работы фильтрации подключений. Если данные IP-адресов не указаны, агент фильтрации подключений следует отключить. Дополнительные сведения см. в разделе Управление фильтрацией подключений на пограничных транспортных серверах.
Список блокировок IP-адресов
Список блокировок IP-адресов содержит IP-адреса почтовых серверов, которые необходимо заблокировать. Ip-адреса в списке блокировок IP-адресов сохраняются вручную. При этом можно добавить отдельные адреса или диапазоны адресов. Вы можете указать срок действия, определяющий период блокировки IP-адреса или диапазона. По достижении срока действия запись IP-адреса в списке блокировок IP-адресов отключается.
Если агент фильтрации подключений находит исходный IP-адрес в списке заблокированных IP-адресов, SMTP-подключение будет удалено после обработки всех заголовков RCPT TO (получателей конвертов) в сообщении.
IP-адреса также могут автоматически добавляться в список заблокированных IP-адресов с помощью функции репутации отправителя агента анализа протоколов. Дополнительные сведения см. в разделе Sender reputation and the Protocol Analysis agent.
Список разрешенных IP-адресов
Список разрешенных IP-адресов содержит IP-адреса почтовых серверов, которые необходимо назначить в качестве надежных источников электронной почты. Email с почтовых серверов, указанных в списке разрешенных IP-адресов, освобождаются от обработки другими агентами Exchange для защиты от нежелательной почты.
Ip-адреса в списке разрешенных IP-адресов сохраняются вручную. При этом можно добавить отдельные адреса или диапазоны адресов. Вы можете указать срок действия, определяющий период, в течение которого IP-адрес или диапазон будет считаться разрешенным. По достижении срока действия запись в списке разрешенных IP-адресов отключается.
Поставщики списка блокировок IP-адресов
Поставщики списка блокировок IP-адресов часто называются списками блокировок в режиме реального времени или списками больших двоичных данных. Поставщики списков блокировок IP-адресов компилируют списки IP-адресов почтовых серверов, которые отправляют спам. Многие поставщики списка блокировок IP-адресов также компилируют списки IP-адресов почтовых серверов, которые могут использоваться для нежелательной почты. В качестве примера можно привести почтовые серверы, настроенные для открытой ретрансляции, поставщики услуг Интернета (ISP), которые назначают динамические IP-адреса, и ISP, которые разрешают SMTP-трафик почтовых серверов от учетных записей удаленного доступа.
При настройке фильтрации подключений для использования поставщика списка блокировок IP-адресов агент фильтрации подключений сравнивает IP-адрес подключающегося почтового сервера со списком IP-адресов поставщика списка блокировок IP-адресов. Если найдено совпадение, сообщение не будет передано в организацию. Вы можете настроить фильтрацию подключений для использования нескольких поставщиков списка блокировок IP-адресов и назначать разные значения приоритета каждому поставщику.
Агент фильтрации подключений проверяет исходный IP-адрес в списке разрешенных IP-адресов и списке блокировок IP-адресов. Если IP-адрес отсутствует в любом списке, агент фильтрации подключений запрашивает поставщик списка блокировок IP-адресов в соответствии с назначенным приоритетом. Если IP-адрес определен в поставщике списка блокировок IP-адресов, пограничный транспортный сервер ожидает и обрабатывает заголовок RCPT TO , отвечает на отправляющий почтовый сервер с ошибкой SMTP 550 и закрывает подключение. Подключение не удаляется сразу, чтобы попытка подключения могла быть зарегистрирована, и вы можете указать получателей, для которых сообщения не заблокированы любыми поставщиками списков блокировок IP-адресов.
Если IP-адрес не определен ни в одном из поставщиков списка блокировок IP-адресов, агент фильтрации содержимого передает сообщение следующему агенту транспорта на пограничном транспортном сервере.
Для каждого поставщика списка блокировок IP-адресов можно настроить ошибку SMTP 550 , которая возвращается отправителю при блокировке сообщения. Определите поставщика списка заблокированных IP-адресов, который идентифицировал источник сообщения как спам. Если допустимый исходный почтовый сервер ошибочно идентифицируется как источник нежелательной почты, администратор может обратиться к поставщику списка заблокированных IP-адресов и выполнить необходимые действия, чтобы удалить почтовый сервер из поставщика списка блокировок IP-адресов.
Поставщики списка блокировок IP-адресов могут возвращать различные коды, чтобы определить, почему IP-адрес определен в их списках. Большинство поставщиков списка блокировок IP-адресов возвращают типы данных битовой маски или абсолютного значения. В этих типах данных поставщик списка блокировок IP-адресов может использовать несколько значений для классификации IP-адреса по типу угроз.
При использовании поставщиков списка блокировок IP-адресов следует учитывать следующие проблемы:
Сбои или задержки в службе поставщика списка блокировок IP-адресов могут привести к задержкам при обработке сообщений на пограничном транспортном сервере. Выберите надежные поставщики списка блокировок IP-адресов.
Заслуживающие доверия исходные серверы могут быть случайно определены как источники нежелательной почты. Например, почтовый сервер непреднамеренно может быть настроен для открытой ретрансляции. Выберите поставщиков списка блокировок IP-адресов, которые предоставляют четкие процедуры для оценки и удаления из своих служб.
Примеры битовой маски и абсолютных значений
В этом разделе показан пример кодов состояния, возвращаемых большинством поставщиков списков блокировок. Коды состояния, возвращаемые поставщиком, см. в документации для конкретного поставщика.
Для типов данных битовой маски служба поставщика списка блокировок IP-адресов возвращает код состояния 127.0.0. x, где целое число x — это одно из значений, перечисленных в следующей таблице.
| Значение | Код состояния |
|---|---|
| 1 | IP-адрес находится в списке заблокированных IP-адресов. |
| 2 | SMTP-сервер настроен в качестве открытого ретранслятора. |
| 4 | Данный IP-адрес поддерживает IP-адрес для коммутируемого доступа. |
Для типов абсолютных значений поставщик списка блокировок IP-адресов возвращает явные ответы, определяющие, почему IP-адрес определен в списках блокировок. В следующей таблице приводятся некоторые примеры абсолютных значений и откликов в явном виде.
| Значение | Отклик |
|---|---|
| 127.0.0.2 | Данный IP-адрес является непосредственным источником нежелательной почты. |
| 127.0.0.4 | Данный IP-адрес является источником массовой рассылки. |
| 127.0.0.5 | Удаленный сервер, отправляющий данное сообщение, поддерживает многокаскадные открытые ретрансляции. |
Поставщики списка разрешенных IP-адресов
Поставщики списка разрешенных IP-адресов также называются безопасными списками или списками разрешений. Поставщики списка разрешенных IP-адресов настраиваются так же, как поставщики списка заблокированных IP-адресов, но результаты противоположны: они определяют IP-адреса почтовых серверов, которые определенно не связаны со спамом. Если IP-адрес подключающегося почтового сервера определен поставщиком списка разрешенных IP-адресов, сообщение освобождается от обработки другими агентами Exchange для защиты от нежелательной почты. По этой причине поставщики списка блокировок IP-адресов используются гораздо чаще, чем поставщики списка разрешенных IP-адресов. Тщательно выберите поставщиков списка разрешенных IP-адресов.
Тестирование поставщиков списка блокировок IP-адресов и поставщиков списка разрешенных IP-адресов
После настройки фильтрации подключений для использования поставщика списка заблокированных IP-адресов или поставщика списка разрешенных IP-адресов можно выполнить тесты, чтобы убедиться, что поставщики работают правильно. Большинство поставщиков предоставляют тестовые IP-адреса, которые можно использовать для проверки служб. При тестировании поставщика агент фильтрации подключений отправляет запрос DNS, который должен привести к определенному ответу от поставщика. Дополнительные сведения о проверке IP-адресов в службе поставщика списка заблокированных IP-адресов или в службе поставщика списка разрешенных IP-адресов см. в разделе Управление фильтрацией подключений на пограничных транспортных серверах.
Настройка фильтрации подключений на пограничных транспортных серверах, не подключенных напрямую к Интернету
Фильтрацию подключений можно использовать на пограничных транспортных серверах, которые не получают электронную почту напрямую из Интернета. В этом случае пограничный транспортный сервер находится за другим почтовым сервером, получающим и обрабатывающим сообщения, поступающие непосредственно из Интернета. Например, организация может отправлять трафик электронной почты через сервер, службу или устройство защиты от нежелательной почты, перед тем как он попадает на пограничный транспортный сервер. При этом агент фильтра подключений должен извлекать из сообщения правильный исходный IP-адрес. Чтобы извлечь исходный IP-адрес из сообщения, агент фильтрации подключений должен проанализировать значения поля "Получено " в заголовке сообщения и сравнить эти значения с известными IP-адресами почтового сервера, который находится между пограничным транспортным сервером и Интернетом.
Каждый почтовый сервер, который принимает и ретранслирует SMTP-сообщение на пути доставки, добавляет собственное поле Received в заголовок сообщения. Обычно заголовок Received содержит доменное имя и IP-адрес почтового сервера, который обработал сообщение.
Если пограничный транспортный сервер не принимает сообщения непосредственно из Интернета, необходимо использовать параметр InternalSMTPServers в командлете Set-TransportConfig на сервере почтовых ящиков Exchange 2013, чтобы определить IP-адрес почтового сервера, который находится между пограничным транспортным сервером и Интернетом. Данные об IP-адресах реплицируются на пограничные транспортные серверы с помощью EdgeSync. При получении сообщений пограничным транспортным сервером агент фильтрации подключений предполагает, что IP-адрес в поле Заголовка Получено , который не соответствует значению, указанному параметром InternalSMTPServers , является исходным IP-адресом, который необходимо проверить. Поэтому для корректной работы фильтрации подключений необходимо указать все внутренние SMTP-серверы.