Поделиться через


Общие сведения о фильтрации подключений

Применимо к: Exchange Server 2010

Последнее изменение раздела: 2010-01-22

Агент фильтра подключений является агентом защиты от нежелательной почты, который включен на компьютерах с сервером Microsoft Exchange Server 2010 и установленной ролью пограничного транспортного сервера. Агент фильтра подключений использует IP-адрес удаленного сервера, который пытается выполнить соединение, чтобы определить, какое действие выполнить (и нужно ли выполнить) с входящим сообщением. Удаленный IP-адрес доступен для агента фильтра подключений как сопутствующая информация подключения TCP/IP, которое требуется для SMTP-сеанса. Поскольку агент фильтра подключений должен оценить IP-адрес удаленного сервера, который отсылает обрабатываемое сообщение, агент фильтра подключений, как правило, включен на пограничном транспортном сервере, имеющем выход в Интернет. Однако можно дополнительно настроить параметры таким образом, чтобы агент фильтра подключений применялся в середине цепи обработки входящих сообщений.

Если настроены агенты защиты от нежелательной почты на сервере «Граничный транспорт», эти агенты последовательно обрабатывают сообщения, что позволяет сократить объем нежелательной почты, поступающей в организацию. Чтобы снизить избыточность и повысить общее быстродействие и эффективность системы, необходимо понять порядок, в котором агенты обрабатывают входящие сообщения. Эти знания помогут оптимизировать настройку серверов «Граничный транспорт». Дополнительные сведения о планировании и развертывании агентов защиты от нежелательной почты см. в разделе Общие сведения о функциях защиты от нежелательной почты и вирусов.

Если агент фильтра подключений включен, он выступает в роли первого агента защиты от нежелательной почты, который обрабатывает входящее сообщение.

Когда входящее сообщение поступает на сервер «Граничный транспорт» с включенным агентом фильтра подключений, исходный IP-адрес данного SMTP-подключения проверяется на наличие в списках разрешенных IP-адресов и в списках заблокированных IP-адресов. Если исходный IP-адрес включен в список разрешенных IP-адресов, сообщение отправляется по адресу назначения без последующей обработки остальными агентами защиты от нежелательных сообщений. Если исходный IP-адрес включен в список заблокированных IP-адресов, данное SMTP-подключение разрывается после обработки всех заголовков RCPT TO в сообщении.

Bb124320.note(ru-ru,EXCHG.140).gifПримечание.
Время разрыва конкретного соединения зависит от параметров настройки остальных компонентов системы защиты от нежелательной почты. Например, можно указать, какие получатели должны всегда получать сообщения электронной почты, даже если исходный IP-адрес заблокирован. Кроме того, можно настроить другие агенты, действия которых основаны на разборе содержимого, получаемого с помощью команды DATA. Агент фильтра подключений всегда разрывает заблокированные подключения в соответствии с общей настройкой параметров защиты от нежелательной почты.

Если IP-адрес источника не указан ни в одном белом списке IP-адресов или ни в одном черном списке IP-адресов, сообщение продвигается дальше по цепочке обработки агентами защиты от нежелательной почты (если эти агенты включены).

Необходимы сведения о задачах управления, связанных с функциями защиты от нежелательной почты и вирусов? См. раздел Управление средствами защиты от нежелательной почты и вирусов.

Содержание

Списки заблокированных IP-адресов и списки разрешенных IP-адресов

Настройка фильтрации подключений для пограничных транспортных серверов, которые не являются первой точкой входа по протоколу SMTP

Проверка работоспособности черного списка IP-адресов и белого списка IP-адресов

Списки заблокированных IP-адресов и списки разрешенных IP-адресов

Агент фильтра подключений сравнивает IP-адрес сервера, с которого поступило сообщение, с IP-адресами из следующих источников:

  • формируемые администратором списки заблокированных IP-адресов и списки разрешенных IP-адресов;
  • поставщики списка заблокированных IP-адресов;
  • поставщики списка разрешенных IP-адресов.

Дополнительные сведения о поставщиках списков заблокированных IP-адресов см. в подразделе «Поставщики списков заблокированных IP-адресов» далее в этом разделе.

Чтобы агент фильтра подключений мог действовать, необходимо создать, по крайней мере, один такой источник данных об IP-адресах. Если эти источники не содержат IP-адреса, включенные в белые списки IP-адресов или черные списки IP-адресов, или не настроены поставщики черных списков IP-адресов или белых списков IP-адресов, следует отключить агент фильтра подключений.

Формируемые администратором списки заблокированных IP-адресов и списки разрешенных IP-адресов

Администраторы серверов «Граничный транспорт» сопровождают определяемые администраторами списки IP-адресов. Для ввода и удаления IP-адресов, которые необходимо разрешить или заблокировать, можно использовать консоль управления Exchange (EMC) или командную консоль Exchange. IP-адреса можно добавлять в виде отдельных IP-адресов, диапазонов IP-адресов или в виде IP-адреса и маски подсети.

При добавлении IP-адреса или диапазона IP-адресов необходимо занести этот IP-адрес или диапазон IP-адресов в черный список IP-адресов или белый список IP-адресов. Кроме того, можно указать срок действия для каждой создаваемой записи в черном списке IP-адресов. Если задан срок действия, этот срок указывает, сколько будет действовать данная запись черного списка IP-адресов. По истечении срока действия эта запись черного списка IP-адресов отключается.

Используя формируемые администратором списки разрешенных IP-адресов и списки заблокированных IP-адресов, можно настраивать фильтрацию подключений для поддержки следующих сценариев.

  • Исключение IP-адресов из списков поставщиков черных списков IP-адресов.   
    Может понадобиться исключить IP-адреса из списков поставщиков черных списков IP-адресов, если в них случайно попали обычные пользователи. Например, пользователь может быть случайно занесен в список заблокированных IP-адресов, если SMTP-сервер был непреднамеренно настроен для работы в качестве открытого ретранслятора. В данном сценарии отправитель попробует исправить сделанную ошибку и исключить IP-адрес из списка поставщика черных списков IP-адресов.
    Дополнительные сведения о поставщиках списков заблокированных IP-адресов см. в подразделе «Поставщики списков заблокированных IP-адресов» далее в этом разделе.
  • Запрет доступа с IP-адресов, которые являются источником нежелательной почты, однако не включены в черные списки IP-адресов поставщиков таких списков.   
    Иногда может поступать значительное количество нежелательных сообщений из источника, который еще не идентифицирован службой распространения черных списков IP-адресов в реальном времени, на которую подписана компания.

Поставщики списка заблокированных IP-адресов

Службы поставщиков списка заблокированных IP-адресов могут помочь в решении задачи, связанной с сокращением числа нежелательных почтовых сообщений, поступающих в организацию.

Bb124320.note(ru-ru,EXCHG.140).gifПримечание.
Службы поставщиков черных списков IP-адресов часто называют службами распространения черных списков IP-адресов в реальном времени или службами RBL. Консоль управления Exchange обращается к службам распространения черных списков IP-адресов в реальном времени как к службам поставщиков черных списков IP-адресов. Термины «службы распространения черных списков IP-адресов в реальном времени», «службы RBL» и «службы поставщиков черных списков IP-адресов» являются эквивалентными.

Службы поставщиков списка заблокированных IP-адресов составляют списки IP-адресов, с которых в прошлом отправлялась нежелательная почта. Кроме того, некоторые поставщики списка заблокированных IP-адресов предоставляют списки IP-адресов, для которых протокол SMTP настроен на открытую ретрансляцию. Также существуют службы поставщиков списка заблокированных IP-адресов, которые предоставляют списки IP-адресов, поддерживающих доступ через удаленное подключение. Поставщики услуг Интернета, которые предоставляют своим клиентам услуги удаленного доступа, назначают динамические IP-адреса для каждого сеанса удаленного подключения. Некоторые поставщики услуг Интернета блокируют SMTP-трафик с учетных записей удаленного доступа. Такие поставщики и соответствующие диапазоны IP-адресов, как правило, не добавляются в черные списки IP-адресов. Однако ряд поставщиков услуг Интернета позволяет клиентам отправлять SMTP-трафик с таких учетных записей. Злонамеренный пользователь может воспользоваться этой возможностью для отправки нежелательной почты с динамически назначаемых IP-адресов. Если IP-адрес включен в список заблокированных IP-адресов, злонамеренные пользователи начинают новый сеанс удаленного подключения и получают новый IP-адрес. Зачастую один поставщик списка заблокированных адресов может предоставить список IP-адресов, в котором учтены все эти угрозы со стороны отправителей нежелательной почты.

С помощью консоли управления Exchange или командной консоли Exchange можно настроить несколько конфигураций поставщиков черных списков IP-адресов. Для каждой из таких служб необходимо по отдельности настроить конфигурации поставщиков черных списков IP-адресов в консоли управления Exchange или командной консоли Exchange.

Если настройка агента фильтра подключений предусматривает использование поставщика списка заблокированных IP-адресов, перед принятием сообщения в организацию агент фильтра подключений запрашивает службу поставщика списка заблокированных IP-адресов, чтобы определить, имеется ли совпадение с подключающимися IP-адресами.

Перед тем, как агент фильтра подключений установит связь с поставщиком списка заблокированных IP-адресов, IP-адрес сравнивается с определяемым администратором списком разрешенных IP-адресов и списком заблокированных IP-адресов. Если IP-адрес отсутствует в определяемом администратором белом списке IP-адресов или черном списке IP-адресов, агент фильтра подключений запрашивает службы поставщиков черных списков IP-адресов в соответствии с приоритетом, назначенным для каждого из поставщиков. Если IP-адрес присутствует в списке заблокированных IP-адресов поставщика списка заблокированных IP-адресов, сервер «Граничный транспорт» ожидает заголовок RCPT TO и разбирает его, направляет системе-отправителю ошибку SMTP 550 и закрывает подключение. Если IP-адрес отсутствует в черных списках всех поставщиков черных списков IP-адресов, подключение обрабатывается следующим агентом в цепи защиты от нежелательных сообщений. Дополнительные сведения о порядке фильтрации стандартными средствами защиты входящих сообщений из Интернета от нежелательной почты см. в разделе Общие сведения о функциях защиты от нежелательной почты и вирусов.

При использовании агента фильтра подключений рекомендуется для управления доступом в организацию использовать одного или нескольких поставщиков черных списков IP-адресов. Использование формируемого администратором черного списка IP-адресов для сопровождения собственного черного списка IP-адресов — очень трудоемкий процесс, который недоступен в большинстве организаций в связи с нехваткой сотрудников. Поэтому рекомендуется использовать внешнюю службу поставщика черного списка IP-адресов, для которой это основное направление работы.

Однако такой подход может иметь ряд отрицательных аспектов. Так как агент фильтра подключений должен опрашивать внешний объект при появлении каждого неизвестного IP-адреса, задержки в работе службы поставщиков списка заблокированных IP-адресов могут привести к задержкам в обработке сообщений на сервере «Граничный транспорт». В худшем случае такие задержки могут вызвать «пробку» при обработке потока почты на сервере «Граничный транспорт».

Еще один отрицательный аспект использования внешней службы поставщиков списка заблокированных IP-адресов заключается в том, что в список заблокированных IP-адресов, формируемый поставщиками, иногда ошибочно добавляются обычные отправители. Например, надежные отправители могут быть добавлены в черные списки IP-адресов, формируемые поставщиками черных списков IP-адресов, в результате неправильной настройки протокола SMTP, при которой SMTP-сервер непреднамеренно настраивается для работы в качестве открытого ретранслятора.

Для каждой настраиваемой службы поставщика черного списка IP-адресов можно настроить ошибку SMTP 550, которая возвращается отправителю, если IP-адрес отправителя был обнаружен в службе поставщика черного списка IP-адресов и поэтому заблокирован агентом фильтра подключений. Рекомендуется настроить ошибку SMTP 550 таким образом, чтобы она содержала указание на службу поставщика черного списка IP-адресов, которая определила IP-адрес отправителя как запрещенный. Такой подход позволяет добросовестным отправителям связаться со службой поставщика черного списка IP-адресов и удалить IP-адрес из черного списка IP-адресов.

Разные службы поставщиков черных списков IP-адресов могут возвращать различные коды, если IP-адрес удаленного сервера, который отправляет сообщение, обнаружен в черном списке IP-адресов этой службы. Большинство служб поставщиков черных списков IP-адресов возвращают один из следующих типов данных: битовая маска или абсолютное значение. В рамках этих типов данных может быть несколько значений, указывающих тип списка, в котором находится предоставленный IP-адрес.

Пример битовой маски

Этот раздел содержит пример кодов состояния, возвращаемых большинством поставщиков черных списков IP-адресов. Коды состояния, возвращаемые поставщиком, см. в документации для конкретного поставщика.

При использовании типа данных «битовая маска» служба поставщика черного списка IP-адресов возвращает код состояния 127.0.0.x, где целое число x является одним из значений, приведенных в следующей таблице.

Значения и коды состояния для типов данных «битовая маска»

Значение Код состояния

1

IP-адрес включен в черный список IP-адресов.

2

SMTP-сервер настроен в качестве открытого ретранслятора.

4

Данный IP-адрес поддерживает IP-адрес для коммутируемого доступа.

При использовании абсолютных значений служба поставщиков черных списков IP-адресов выдает ответы с прямым указанием причин блокировки IP-адреса. В следующей таблице приводятся примеры абсолютных значений и откликов в явном виде.

Значения и коды состояния для типов данных «абсолютное значение»

Значение Отклик

127.0.0.2

Данный IP-адрес является непосредственным источником нежелательной почты.

127.0.0.4

Данный IP-адрес является источником массовой рассылки.

127.0.0.5

Удаленный сервер, отправляющий данное сообщение, поддерживает многокаскадные открытые ретрансляции.

Поставщики списка разрешенных IP-адресов

Входящие сообщения можно также обрабатывать с использованием служб поставщиков списка разрешенных IP-адресов, которые предоставляют списки разрешенных IP-адресов. Белые списки IP-адресов иногда называются списками надежных IP-адресов или белыми списками. Поставщики списка разрешенных IP-адресов формируют списки IP-адресов, которые однозначно не выступают в качестве отправителей нежелательной почты. Если поставщик белого списка IP-адресов возвращает сообщение о совпадении с IP-адресом в белом списке, которое означает, что IP-адрес данного отправителя, скорее всего, принадлежит надежному или «безопасному» отправителю, агент фильтра подключений направляет сообщение следующему агенту в цепи обеспечения защиты от нежелательной почты.

В начало

Настройка фильтрации подключений для пограничных транспортных серверов, которые не являются первой точкой входа по протоколу SMTP

В некоторых организациях роль пограничного транспортного сервера устанавливается на компьютерах, которые не обрабатывают SMTP-запросы непосредственно из Интернета. В этом случае пограничный транспортный сервер находится за другим SMTP-сервером переднего плана, обрабатывающим сообщения, поступающие непосредственно из Интернета. При этом агент фильтра подключений должен иметь возможность извлекать из сообщения правильный исходный IP-адрес. Чтобы получить и оценить исходный IP-адрес, агент фильтра подключений должен разобрать заголовки «Received» из сообщения и сравнить их с известным SMTP-сервером в демилитаризованной зоне.

Когда SMTP-сервер, соответствующий положениям RFC, получает сообщение, он обновляет заголовок «Received» данного сообщения, внося в этот заголовок имя домена и IP-адрес отправителя. Поэтому каждый SMTP-сервер, находящийся в цепи между исходным отправителем и пограничным транспортным сервером, добавляет в заголовок «Received» свою запись.

При настройке демилитаризованной зоны для обеспечения поддержки Exchange 2010 необходимо указать все IP-адреса SMTP-серверов, расположенных в демилитаризованной зоне. Данные об IP-адресах реплицируются на пограничные транспортные серверы с помощью EdgeSync. При получении сообщений компьютером, на котором выполняется агент фильтра подключений, исходным IP-адресом считается IP-адрес, указанный в заголовке «Received» и не совпадающий ни с одним из IP-адресов SMTP-серверов в демилитаризованной зоне.

Перед запуском фильтрации подключений необходимо указать все внутренние SMTP-серверы для объекта конфигурации транспорта в лесу Active Directory. Для задания внутренних SMTP-серверов используйте командлет Set-TransportConfig с параметром InternalSMTPServers.

В начало

Проверка работоспособности черного списка IP-адресов и белого списка IP-адресов

После настройки службы поставщика черного списка IP-адресов или службы поставщика белого списка IP-адресов можно проверить правильность настройки фильтрации подключений для конкретной службы. Большинство служб поставщиков черных списков IP-адресов или служб поставщиков белых списков IP-адресов предоставляют тестовые IP-адреса, которые можно использовать для проверки работы этих служб. При выполнении проверки службы поставщика черного списка IP-адресов или службы поставщика белого списка IP-адресов агент фильтра подключений формирует DNS-запрос, используя IP-адрес черного списка реального времени, который должен возвращать конкретный отклик. Дополнительные сведения о проверке IP-адресов в службе поставщика черного списка IP-адресов или службе поставщика белого списка IP-адресов см. в разделах Test-IPAllowListProvider и Test-IPBlockListProvider.

В начало