Обслуживаемые домены и списки надежных отправителей
Вы могли заметить, что, начиная с Exchange 2010, Outlook по-другому работает со списком надежных отправителей. Пользователи больше не могут добавлять домены в список надежных отправителей Outlook.
Рисунок 1: Добавление обслуживаемого домена с список надежных отправителей в Outlook
Это было сделано для сдерживания спама, т.к. мы все видели, как типичный спамер подделывает письма, как будто бы они были отправлены из вашего собственного домена. Добавление вашего собственного домена в список надежных отправителей будет исключать все проверки на спам на стороне клиента Outlook, пропуская сообщение от нигерийского принца (который подделывает письма, использую ваш собственный домен) в папку "Входящие". Это не есть хорошо, если, конечно, вы не хотели добиться именно этого результата.
Правильная запись SPF и наши анти-спам агенты (особенно агент SenderID) могли бы в значительной степени блокировать эти типы спама. Однако многие заказчики не используют прелести SPF.
Вы можете узнать больше о фильтрации с помощью SenderID в статьях Sender ID и Общие сведения о кодах отправителей. С помощью Sender ID Framework SPF Record Wizard вы можете создать запись SPF для вашего домена. |
В Exchange 2010 вы все еще МОЖЕТЕ добавить отдельные почтовые адреса из ваших собственных обслуживаемых доменов в список надежных отправителей, вы только не можете добавить домен целиком, как показано на скриншоте выше.
Что случится, если вы решите добавить целый домен?
Если вы попытаетесь сделать это через Shell, то вы получите следующую ошибку:
“<@yourdomain.com>” is your e-mail address or domain and can’t be added to your Safe Senders and Recipients list.
Рисунок 2: Если вы попытаетесь добавить обслуживаемый домен в список надежных отправителей, используя Shell, то вы получите ошибку
Мы расскажем вам, почему мы генерируем ошибку.
Что произойдет, когда пользователь сделает это через Outlook? Сначала Outlook позволит пользователю добавить домен.
Рисунок 3: Хотя пользователь может добавлять обслуживаемый домен в список надежных отправителей, он автоматически удаляется через несколько минут
Однако спустя несколько минут эта запись волшебным образом пропадает.
Исчезновение списка надежных отправителейВ Exchange 2010 SP1 была обнаружена ошибка: когда пользователь добавлял обслуживаемый домен в его список надежных отправителей, могла исчезнуть не только эта запись, но все остальные записи в списке. Это было исправлено в E2010 SP1 RU3v3. |
Разрешение серверам приложений отправлять от имени вашего собственного домена
Многие заказчики имеют различные приложения, которые анонимно отправляют письма на Exchange с почтовых адресов из ваших обслуживаемых доменов.
Некоторые из вас имеют настолько много адресов обслуживаемых доменов, что не следует даже пытаться добавить все эти адреса в список надежных отправителей в Outlook, чтобы исключить их попадание в папку Нежелательной почты.
Теперь, когда мы не можем добавить весь домен, какие есть другие варианты?
• Мы знаем, что добавление всех адресов вручную – это возможный, хотя и тягостный вариант
• Второй вариант – это запретить фильтрацию на стороне клиента Outlook (да уж, не очень хорошая идея, так что не будем серьезно рассматривать ее.
• Третья и лучшая возможность – это установить анти-спам агенты на ваши транспортные серверы и добавить IP-адреса ваших серверов приложений в список IP Allow list агента фильтрации соединений как описано ниже.
Когда IP-адрес отправляющего SMTP-хоста находится в IP Allow List на Exchange, он пропускает все проверки на спам (исключая sender/recipient filtering), и Content Filter агент устанавливает SCL равным -1 на сообщение, которое будет принимать Outlook.
Вот как будет выглядеть заголовок сообщения:
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Organization-Antispam-Report: IPOnAllowList
X-MS-Exchange-Organization-SCL: -1
Так что запустите Install-AntispamAgents.ps1 из папки Scripts на вашем транспортном сервере, и затем добавьте IP-адреса или подсети ваших серверов приложений в список IP Allow List.
Рисунок 4: Добавьте IP-адреса или подсети внутренних серверов приложений в список IP Allow List, используя EMC
Если используете Shell, то примените следующую команду для добавления IP-адреса в список IP Allow List:
Add-IPAllowListEntry –IPAddress 192.168.10.120
Что не следует делать: использовать Externally Secured Authentication
Сейчас я знаю, о чем вы подумали: "Почему бы нам не добавить Externally Secured Authentication как тип аутентификации на принимающем коннекторе, указав в коннекторе диапазон удаленных IP-адресов равным адресам серверов приложений и на том успокоиться?"
Не так быстро! Видите ли, в то время как Externally Secured дает отправляющему IP-адресу расширенное право ms-Exch-Bypass-Anti-Spam, это только обходит проверки на спам в Exchange, но не в Outlook. И Outlook поместит такое сообщение в папку нежелательной почты.
Также обратите внимание, что Externally Secured не помечает сообщение любым заголовком SCL X-headers, так что SCL не будет равным -1 и не будет вызывать пропуск проверок Outlook. Единственный заголовок, который будет создан для этого типа аутентификации, показан ниже:
X-MS-Exchange-Organization-AuthAs: Internal
Если вы все еще не разобрались в проверках на спам в Exchange и Outlook, изучите статью Exchange anti-spam myths revealed.
Большое спасибо Таку Чоу за техническое рецензирование этой статьи.
Том Керн
Перевод: Илья Сазонов, MVP