Применимо к: Exchange Server 2010 SP1

Последнее изменение раздела: 2010-07-07

Когда внешний пользователь отправляет сообщения электронной почты на сервер под управлением Microsoft Exchange, на котором запущены средства защиты от нежелательной почты, эти средства накапливают сведения о характеристиках входящих сообщений и на основе этих данных отфильтровывают сообщения, которые определяются как нежелательные, или назначают сообщениям оценку, основанную на вероятности того, что сообщение является нежелательным. Эта оценка сохраняется с сообщением как его свойство, называемое оценка вероятности нежелательной почты. Эта оценка сопровождает сообщение при его отправке на другие серверы Exchange.

На следующем рисунке показан порядок, в котором средства защиты от нежелательной почты по умолчанию и фильтры Microsoft Forefront Protection для Exchange Server фильтруют сообщения, поступающие из Интернета. По умолчанию средства защиты от нежелательной почты и вирусов упорядочены таким образом, что в первую очередь выполняются фильтры, использующие меньшее количество ресурсов, и затем фильтры, использующие большее количество ресурсов.

Примечание.
На следующих рисунках и в пояснениях к ним предполагается, что пограничный транспортный сервер Microsoft Exchange Server 2010 является первым SMTP-сервером, который принимает входящие сообщения. В некоторых организациях пограничный транспортный сервер может быть развернут за сервером SMTP стороннего производителя. При развертывании пограничного транспортного сервера Exchange 2010 за сервером шлюза SMTP стороннего производителя этот пограничный транспортный сервер Exchange 2010 требует дополнительной настройки. В частности, необходимо убедиться, что все серверы шлюза SMTP перечислены в свойстве InternalSMTPServer объекта TransportConfig. Дополнительные сведения см. в разделе Set-TransportConfig.

Дополнительные сведения о других средствах защиты от нежелательной почты и вирусов Exchange см. в статье Microsoft Forefront Protection 2010 для Exchange Server.


Схема фильтрации для защиты от нежелательной почты и вирусов

Как показано на предыдущем рисунке, при подключении SMTP-сервера к Exchange 2010 и инициации сеанса SMTP для пограничного транспортного сервера, подключенного к Интернету, фильтры применяются в следующем порядке:

  • Фильтрация подключения

  • Фильтрация отправителей

  • Фильтрация получателей

  • Фильтрация кода отправителя

  • Фильтрация содержимого

  • Фильтрация репутации отправителей

  • Фильтрация вложений

  • Проверка на вирусы

  • Фильтрация нежелательной почты в Outlook

Примечание.
При фильтрации подключений выполняется сбор данных во время двух различных событий. Во время первого события при фильтрации подключений выполняется сбор сведений об IP-адресах подключения (как показано на предыдущем рисунке). Во втором случае при фильтрации подключений выполняется сбор сведений о том, когда агент фильтрации отправителей анализирует заголовки сообщений, чтобы определить первый внешний IP-адрес (как показано на рисунке в подразделе «Фильтрация отправителей» далее в этом разделе). Агенты могут вести наблюдение за несколькими событиями. Для иллюстрации потока сообщений на предыдущем рисунке приведено высокоуровневое представление примерного порядка применения агентов, когда все агенты включены. Дополнительные сведения о конкретных событиях и агентах, ведущих наблюдение за этими событиями, см. в разделе Общие сведения об агентах транспорта.

Необходимы сведения о задачах управления, связанных с функциями защиты от нежелательной почты и вирусов? См. раздел Управление средствами защиты от нежелательной почты и вирусов.

Содержание

Фильтрация подключений

Фильтрация отправителя

Фильтрация получателей

Фильтрация кода отправителя

Фильтрация содержимого

Фильтрация репутации отправителей

Фильтрация вложений

Проверка на вирусы

Фильтрация нежелательной почты в Outlook

Фильтрация подключений

В течение сеанса SMTP в Exchange 2010 применяется фильтрация подключений с применением критериев, показанных на следующем рисунке.


Схема фильтрации подключений

Применяется следующая процедура.

  1. Агент фильтрации подключений проверяет настроенный администратором белый список IP-адресов. Если IP-адрес отправляющего сервера включен в белый список IP-адресов, настроенный администратором, для сообщения выполняется фильтрация отправителей.

  2. Агент фильтрации подключений проверяет локальный черный список IP-адресов. Если IP-адрес сервера отправителя обнаружен в локальном списке блокируемых IP-адресов, сообщение автоматически отклоняется и прочие фильтры не применяются.

  3. Агент фильтрации подключений проверяет белый список IP-адресов существующих поставщиков белых списков IP-адресов. Если IP-адрес отправляющего сервера включен в белый список IP-адресов, предоставленный поставщиками белых списков IP-адресов, для сообщения выполняется фильтрация отправителей.

  4. Агент фильтрации подключений проверяет настроенные черные списки IP-адресов в реальном времени от поставщиков черных списков IP-адресов. Если IP-адрес отправляющего сервера включен в список черного списка в режиме реальном времени, сообщение отклоняется и прочие фильтры не применяются.

Дополнительные сведения см. в разделе Общие сведения о фильтрации подключений.

Примечание.
Если агент фильтрации подключений развернут на компьютере, расположенном за другим сервером, подключенным к Интернету, другие фильтры, например фильтр отправителей или фильтр получателей, выполняются перед запуском агента фильтрации подключений.

В начало

Фильтрация отправителя

После выполнения фильтрации подключений сервер Exchange 2010 проверяет адрес электронной почты отправителя в черном списке отправителей, настроенном в фильтре отправителей (как показано на следующем рисунке).


Схема фильтрации отправителей

Затем агент фильтрации отправителей проверяет адрес электронной почты отправителя, содержащийся в поле заголовка «От:» в конверте и заголовке сообщения. Если заголовок «От:» включен в черный список отправителей, сервер Exchange 2010 отклоняет сообщение на уровне протокола, и прочие фильтры не применяются.

Примечание.
Даже если получатель в организации добавил отправителя в белый список отправителей Microsoft Outlook, фильтр отправителей на пограничном транспортном сервере переопределит параметр Outlook получателя и отклонит сообщение.

Дополнительные сведения о фильтрации отправителей см. в разделе Общие сведения о фильтрации отправителей.

Дополнительные сведения о конвертах и заголовках сообщений см. в разделе Общие сведения о каталогах раскладки и преобразования.

В начало

Фильтрация получателей

Если фильтр отправителей не отклонил сообщение, сервер Exchange повторно выполняет фильтрацию подключений, а затем Exchange запускает агент фильтрации получателей (как показано на следующем рисунке).


Схема фильтрации получателей

Агент фильтрации получателей проверяет получателей по черному списку получателей, настроенному в параметрах агента фильтрации. Если адрес получателя включен в черный список получателей, сервер Exchange 2010 отклоняет сообщение для этого получателя. Кроме того, агент фильтрации получателей проверяет, существует ли этот получатель в организации. Если получатель отсутствует в организации, сервер Exchange отклоняет сообщение для этого получателя.

Если в сообщении указано несколько получателей и ни один получатель не включен в черный список, обработка сообщения будет продолжена. Если же сообщение предназначено только для одного заблокированного получателя, другие фильтры не применяются.

При обработке сообщения с заблокированными получателями все заблокированные получатели из сообщения удаляются, а сообщение передается в организацию. Для каждого заблокированного получателя отправителю сообщения отправляется уведомление об отклонении на уровне протокола SMTP. Агент репутации отправителей отслеживает событие OnReject для вычисления уровня репутации отправителя (SRL).

Дополнительные сведения см. в разделе Общие сведения о фильтрации получателей.

В начало

Фильтрация кода отправителя

Если после применения фильтра получателей в сообщении остались допустимые получатели, сервер Exchange 2010 запускает агент идентификации отправителей (как показано на следующем рисунке).


Схема фильтрации идентификаторов отправителей

В первую очередь агент идентификации отправителей определяет предполагаемый адрес (PRA) сообщения с помощью алгоритма, описанного в документе RFC 4407. Этот шаг необходимо выполнить для точной идентификации отправителя сообщения. PRA — это SMTP-адрес, например olga@contoso.com. Затем агент идентификации отправителей выполняет поиск в службе DNS на основе домена в адресе PRA. Если этот домен опубликовал запись системы политик отправителя (SPF), агент использует запись SPF для оценки сообщения в соответствии с характеристиками, указанными в RFC 4408. Результат оценки указывается в сообщении, в марке для борьбы с нежелательной почтой. Если домен не опубликовал запись SPF, агент идентификации отправителей применяет к сообщению марку, в которой в качестве кода отправителя указывается «Нет». Для получения дополнительных сведений о типах марок, используемых в фильтрации кода отправителя, см. раздел Общие сведения о пометке нежелательной почты.

Если DNS отправителя входит в список заблокированных доменов или заблокированных адресов, могут выполняться следующие действия, в зависимости от настройки агента:

  • Отклонить сообщение   Если для кода отправителя выбрано действие Отклонить сообщение, сервер Exchange отклоняет сообщение и передает отправляющему серверу ответ об ошибке SMTP. Ответ об ошибке протокола SMTP — это ответ протокола уровня 5xx с текстом, который соответствует состоянию кода отправителя.

  • Удалить сообщение   Если для кода отправителя выбрано действие Удалить сообщение, сервер Exchange удаляет сообщение без уведомления отправляющего сервера. Компьютер с установленной ролью пограничного транспортного сервера отправляет ложную команду SMTP «OK» отправляющему серверу, а затем удаляет сообщение. Так как отправляющий сервер предполагает, что сообщение было доставлено, он не будет повторно отправлять сообщение в том же сеансе.

  • Пометить сообщение результатом проверки кода отправителя и продолжить обработку   Сервер Exchange помечает сообщение результатом проверки кода отправителя и продолжает обработку сообщения. Эти метаданные оцениваются агентом фильтрации содержимого при вычислении уровня вероятности нежелательной почты. Кроме того, метаданные сообщения используются при вычислении уровня репутации отправителя сообщения.

Дополнительные сведения см. в разделе Общие сведения о кодах отправителей.

В начало

Фильтрация содержимого

Перед вызовом агентом фильтрации содержимого Exchange интеллектуального фильтра сообщений Exchange выполняется повторная фильтрация отправителей. Затем сервер Exchange применяет агент фильтрации содержимого (как показано на следующем рисунке).


Поток почты агента фильтра содержимого

Агент фильтра содержимого проверяет выполнение следующих условий для сообщения. Если выполняется по крайней мере одно условие, сообщение не проходит фильтрацию содержимого и фильтрацию вложений. Для таких сообщений затем выполняется проверка на наличие вирусов. Проверяются следующие условия.

  • IP-адрес отправителя есть в списке разрешенных IP-адресов для фильтрации подключений.

  • Все получатели перечислены в списке исключений для фильтрации содержимого.

  • Для параметра AntiSpamBypassEnabled установлено значение $True для почтовых ящиков всех получателей.

  • Все получатели добавили отправителя в белый список отправителей Outlook, который добавлен в список пограничного транспортного сервера путем объединения белых списков отправителей.

  • Отправитель является доверенным партнером и указан в списке отправителей, не проходящих фильтрацию в организации.

Кроме того, если сеанс SMTP прошел проверку подлинности и определен как сеанс доверенного партнера, а администратором выдано разрешение этому партнеру обходить защиту от нежелательной почты (Ms-Exch-Bypass-Anti-Spam), агенты защиты от нежелательной почты для сообщений в этом сеансе будут отключены. Разрешение обходить защиту от нежелательной почты не выдается по умолчанию партнерам, а предоставляется администратором.

Если ни одно из перечисленных условий для сообщения не выполняется, применяется фильтрация содержимого. Фильтрация содержимого приписывает сообщению уровень вероятности нежелательной почты. На основании этой оценки выполняется одно из следующих действий:

  • Если уровень вероятности нежелательной почты равен или превышает порог удаления SCL и порог удаления включен, агент фильтрации содержимого удаляет сообщение. На уровне протокола нет функции, которая сообщала бы отправляющей системе или отправителю, что сообщение было удалено. Если уровень SCL для сообщения ниже значения порога SCL для удаления, агент фильтрации содержимого не удаляет сообщение. Вместо этого агент фильтра содержимого сравнивает значение SCL с порогом SCL для отклонения.

  • Если уровень вероятности нежелательной почты равен или превышает порог отклонения SCL и порог отклонения включен, агент фильтрации содержимого отправляет ответ об отклонении отправляющей системе. Ответ об отклонении можно настраивать. В некоторых случаях исходному отправителю сообщения отправляется отчет о недоставке. Если уровень вероятности нежелательной почты для сообщения ниже значения порога вероятности нежелательной почты для отклонения, агент фильтрации содержимого не отклоняет сообщение. Вместо этого агент фильтра содержимого сравнивает значение вероятности нежелательной почты с порогом вероятности нежелательной почты для карантина.

  • Если уровень вероятности нежелательной почты равен порогу карантина SCL или превышает его и порог карантина включен, агент фильтрации содержимого отправляет сообщение на карантин нежелательной почты. Дополнительные сведения об управлении почтовым ящиком карантина нежелательной почты см. в разделе Общие сведения о фильтрации содержимого. Затем сообщение поступает на фильтр вложений.

Для получения дополнительных сведений см. следующие разделы:

В начало

Фильтрация репутации отправителей

После фильтрации содержимого сервер Exchange выполняет фильтрацию репутации отправителей (как показано на следующем рисунке).


Схема процесса фильтрации репутации отправителя

Функция «Репутация отправителя» выполняет оценку всех статистических данных сообщения и рассчитывает значение SRL для каждого отправителя.

  • Анализ HELO/EHLO

  • Обратный поиск в DNS

  • Анализ оценки SCL для сообщений от определенного отправителя

  • Проверка открытого прокси-сервера отправителя

Уровень репутации отправителя — это число от 0 до 9, отражающее вероятность того, что определенный отправитель является источником нежелательной почты или другим пользователем-злоумышленником. Значение 0 свидетельствует о том, что отправитель, скорее всего, не является злоумышленником, рассылающим нежелательную почту. Значение 9 свидетельствует о том, что отправитель, скорее всего, является злоумышленником, рассылающим нежелательную почту.

Можно установить пороговое значение блокировки уровня репутации отправителя в диапазоне от 0 до 9, по достижении которого функция репутации отправителя отправляет запрос агенту фильтрации отправителей и тем самым запрещает отправителю отправлять сообщения в организацию. Когда отправитель заблокирован, он добавляется в черный список отправителей на заданный период времени. Порядок обработки заблокированных сообщений зависит от настройки агента фильтрации отправителей. При обработке заблокированных сообщений можно выполнить следующие действия.

  • Отклонить

  • Удалить и архивировать

  • Принять сообщение и пометить отправителя как заблокированного

Если отправитель включен в черный список IP-адресов или службы репутации IP-адресов Microsoft, агент репутации отправителей немедленно отправляет запрос агенту фильтрации отправителей, чтобы заблокировать этого отправителя. Чтобы использовать эти функции, необходимо включить и настроить службу обновления средства защиты от нежелательной почты Microsoft Exchange.

По умолчанию для отправителей, которые не были проанализированы, пограничный транспортный сервер устанавливает оценку 0. После того как от отправителя приходит 20 или более сообщений, функция репутации отправителя рассчитывает значение уровня репутации отправителя на основе статистических данных, приведенных выше.

Дополнительные сведения см. в следующих разделах.

В начало

Фильтрация вложений

После фильтрации репутации отправителя сервер Exchange выполняет фильтрацию вложений (как показано на следующем рисунке).


Схема фильтрации вложений

Фильтрацию вложений можно настроить так, чтобы вложения блокировались на основании типа содержимого MIME, имени файла или расширении имени файла. Если фильтр вложений обнаружит заблокированный тип содержимого или имя файла, будет выполнено одно из следующих действий (оно зависит от параметров фильтрации вложений):

  • Отклонить   Если выбрано действие Отклонить, ни сообщение электронной почты, ни вложение не доставляются получателю и система отправляет сообщение о недоставке отправителю. Ответ об отклонении можно настраивать.

  • Автоматически удалить   Если выбрано действие Автоматически удалить, ни сообщение, ни вложение не доставляются получателю. Уведомление о блокировке сообщения электронной почты и вложения отправителю не отправляется.

  • Удалить   Если выбрано действие Удалить, вложение удаляется из сообщения электронной почты. Выбор этого значения позволяет адресату получить сообщение и другие вложения, если они не соответствуют строке черного списка вложений. К сообщению электронной почты добавляется уведомление о блокировке вложения.

Если сообщение не было ни отклонено, ни удалено, и при фильтрации не обнаружено блокированных типов вложений, выполняется проверка сообщения на наличие вирусов.

Для получения дополнительных сведений см. раздел Настройка фильтрации вложений.

В начало

Проверка на вирусы

После фильтрации вложений (или если сообщение для этих получателей не проходило фильтрацию содержимого) выполняется проверка на наличие вирусов Forefront Protection для сервера Exchange (как показано на следующем рисунке).


Схема антивирусной фильтрации Forefront

Forefront Protection для сервера Exchange Server — это пакет антивирусного программного обеспечения, встроенный в Exchange 2010 и обеспечивающий дополнительную защиту среды Exchange от вирусов. Когда Forefront Protection для сервера Exchange Server обнаруживает сообщение, содержащее вирус, система удаляет это сообщение, создает уведомление и отправляет его в почтовый ящик получателя.

Дополнительные сведения см. в статье Microsoft Forefront Protection 2010 для Exchange Server.

В начало

Фильтрация нежелательной почты в Outlook

После применения всех фильтров и проверки сообщения на наличие вирусов оно отправляется в почтовый ящик получателя и проходит фильтрацию нежелательной почты (как показано на следующем рисунке).


Схема фильтрации нежелательной почты в Outlook

Если уровень вероятности нежелательной почты равен или превышает порог нежелательной почты и порог включен, сервер почтовых ящиков помещает сообщение в папку нежелательной почты пользователя в Outlook. Если значение вероятности нежелательной почты для сообщения ниже значений порога вероятности нежелательной почты для удаления, отклонения, карантина и перемещения в папку нежелательной почты, сервер почтовых ящиков помещает сообщение в папку «Входящие» пользователя. Для получения дополнительных сведений о порогах вероятности нежелательной почты см. раздел Общие сведения о пороге вероятности нежелательной почты.

В начало



Поток почты при фильтрации нежелательной почты в Outlook
Поток почты при проверке на наличие вирусов Forefront Protection для сервера Exchange Server
Поток почты при фильтрации вложений
Поток сообщений репутации отправителя
Поток почты при фильтрации содержимого
Поток почты при фильтрации кода отправителя
Поток почты при фильтрации получателей
Поток почты при фильтрации отправителей
Поток почты при фильтрации подключений
Средства защиты от нежелательной почты с фильтрами вирусов для сообщений, поступающих из Интернета