Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2010-01-18
Агент фильтрации получателей — это агент защиты от нежелательной почты, который включен на компьютерах под управлением Microsoft Exchange Server 2010 с установленной ролью пограничного транспортного сервера. Агент фильтрации получателей на основе данных в SMTP-заголовке RCPT TO определяет, какое действие необходимо выполнить по отношению к входящему сообщению (если требуется).
Если на сервере граничного транспорта настроены агенты защиты от нежелательной почты, эти агенты обрабатывают сообщения совместно, что позволяет сократить объем нежелательной почты, поступающей в организацию. Дополнительные сведения о планировании и развертывании агентов защиты от нежелательной почты см. в разделе Общие сведения о функциях защиты от нежелательной почты и вирусов.
Агент фильтра получателей блокирует сообщения в соответствии с характеристиками получателя в организации. Агент фильтра получателей может предотвратить доставку сообщений в следующих сценариях.
- Несуществующие получатели Mожно
запретить доставку получателям, которые отсутствуют в адресной
книге организации. Например, можно прекратить доставку для имен
учетных записей, которые часто используются неправильно, например
administrator@contoso.com или support@contoso.com.
- Ограниченно используемые списки рассылки. Можно
предотвратить доставку почты из Интернета по спискам рассылки,
которые могут использоваться только внутренними пользователями.
- Почтовые ящики, которые не должны получать сообщения из
Интернета Mожно запретить доставку почты из
Интернета в определенный почтовый ящик или по определенному
псевдониму, который обычно используется в организации, например
«Служба технической поддержки».
Агент фильтрации получателей обрабатывает получателей, которые хранятся в одном из или в обоих следующих источниках данных.
- Список заблокированных получателей. Определяемый
администратором список получателей, для которых входящие сообщения
из Интернета не должны приниматься.
- Поиск получателя. Проверка наличия получателя в
организации. Для поиска получателя требуется доступ к данным Служба
каталогов Active Directory, передаваемым службам (Служба каталогов
Active Directory облегченного доступа к каталогам (AD LDS)
службой EdgeSync.
Дополнительные сведения о списках заблокированных получателей и возможности поиска получателя см. в подразделе «Источники данных о получателях» далее в этом разделе.
При включении агента фильтрации получателей над входящими сообщениями в зависимости от характеристик получателей выполняется одно из следующих действий. Данные о получателях приводятся в заголовке RCPT TO.
- Если во входящем сообщении указан получатель, включенный в
список заблокированных получателей, сервер граничного транспорта
отправляет серверу отправителя сведения об ошибке SMTP-сеанса: 550
5.1.1 User unknown.
- Если во входящем сообщении указан получатель, которого не
удается обнаружить при поиске получателя, пограничный транспортный
сервер доставляет на отправляющий сервер сообщение об ошибке сеанса
SMTP: «550 5.1.1. Неизвестный пользователь».
- Если получатель не включен в черный список получателей и
обнаружен при поиске получателя, пограничный транспортный сервер
доставляет на отправляющий сервер ответ SMTP: «250 2.1.5.
Получатель существует». Затем сообщение передается на обработку
следующему агенту защиты от нежелательной почты.
Необходимы сведения о задачах управления, связанных с функциями защиты от нежелательной почты и вирусов? См. раздел Управление средствами защиты от нежелательной почты и вирусов.
Содержание
Настройка служб Active Directory облегченного доступа к каталогам для поиска получателей
Источники данных о получателях
Возможность замедления отклика
Настройка интервала искусственной задержки ответов
Настройка служб Active Directory облегченного доступа к каталогам для поиска получателей
Один из наиболее эффективных способов уменьшения объема нежелательной почты состоит в проверке получателей до приема входящих сообщений из Интернета. Поэтому рекомендуется настроить экземпляр служб Active Directory облегченного доступа к каталогам, который выполняется на пограничном транспортном сервере, для синхронизации со службой каталогов Служба каталогов Active Directory. По умолчанию службы Active Directory облегченного доступа к каталогам устанавливаются и настраиваются на пограничном транспортном сервере. Однако необходимо настроить службы AD LDS для связи с присоединенным к домену Служба каталогов Active Directory сервером глобального каталога. Обычно необходимо также настроить брандмауэр, чтобы включить определенные порты для связи со службами AD LDS. Дополнительные сведения см. в разделе Общие сведения о пограничных подписках.
После настройки служб AD LDS для репликации черного списка получателей из Служба каталогов Active Directory необходимо включить блокировку сообщений, отправляемых получателям, отсутствующим в организации Exchange. Блокировку сообщений можно включить на вкладке Заблокированные получатели страницы Свойства фильтрации получателей в консоли управления Exchange. Блокировку сообщений можно также включить с помощью командлета Set-RecipientFilterConfig в командной консоли Exchange. Дополнительные сведения см. в разделе Set-RecipientFilterConfig.
Источники данных о получателях
Как упоминалось ранее, агент фильтрации получателей при проверке получателей входящих сообщений обращается к двум источникам данных: списку заблокированных получателей и базе поиска получателя.
Список заблокированных получателей
Черный список получателей ведется администраторами пограничного транспортного сервера. Данные черного списка получателей хранятся в экземпляре служб AD LDS на пограничном транспортном сервере. Список заблокированных получателей необходимо ввести отдельно на каждом из серверов граничного транспорта.
Получателей, которые должны блокироваться агентом фильтрации получателей, можно указать в консоли управления Exchange на вкладке Заблокированные получатели страницы Свойства фильтрации получателей. Указать заблокированных получателей можно в командной консоли Exchange с помощью командлета Set-RecipientFilterConfig. Дополнительные сведения о настройке агента фильтрации получателей см. в разделе Настройка свойств фильтрации получателей.
Поиск получателя
Одним из преимуществ агента фильтрации получателей является возможность проверки наличия получателя входящего сообщения в организации, прежде чем сервер Exchange 2010 отправит это сообщение в организацию. Возможность проверки получателей зависит от источника данных о получателях, доступного пограничному транспортному серверу. Так как пограничный транспортный сервер не присоединен к домену Служба каталогов Active Directory и может быть отделен от организации брандмауэром, необходимо настроить источник данных поиска получателя для пограничного транспортного сервера.
Для настройки роли пограничного транспортного сервера и хранения данных используются службы AD LDS. Дополнительные сведения см. в разделе Общие сведения о пограничных подписках.
Возможность замедления отклика
Возможность поиска получателя позволяет серверу отправителя определить, правилен ли конкретный адрес электронной почты. Как упоминалось ранее, если получатель входящего сообщения известен, сервер граничного транспорта отправляет серверу отправителя SMTP-отклик: 250 2.1.5 Recipient OK. Эта возможность предоставляет идеальные условия для атаки для сбора сведений каталога.
Атака для сбора сведений каталога представляет собой попытку узнать действительные адреса электронной почты в конкретной организации, чтобы добавить их в базу данных рассылки нежелательной почты. Так как эффективность нежелательной почты зависит от того, сколько людей прочтет эту почту, действующие адреса являются товаром, за который готовы платить злоумышленники, рассылающие нежелательную почту. Так как SMTP-протокол предполагает обратную передачу данных об известных и неизвестных получателях, отправитель нежелательной почты может написать программу автоматического создания адресов электронной почты по словарю или с использованием распространенных имен, генерируя адреса для конкретного домена. Эта программа собирает все адреса электронной почты, возвращающие SMTP-отклик: 250 2.1.5 Recipient OK электронной почты, и исключает адреса, для которых получена ошибка SMTP-сеанса: 550 5.1.1 User unknown. Затем отправитель нежелательной продает действительные адреса электронной почты или использует их для рассылки собственной нежелательной почты.
Для защиты от атак с целью сбора действующих адресов на сервере Exchange 2010 используется функция искусственной задержки ответов. Замедление отклика представляет собой практику искусственной задержки отклика сервера при определенных шаблонах взаимодействия по SMTP, которые указывают на высокий уровень нежелательной почты. Задача искусственной задержки ответов — замедлить процесс взаимодействия для подобного почтового трафика, чтобы увеличить стоимость отправки нежелательной почты. Замедление отклика делает атаки для сбора данных слишком дорогими для работы в автоматическом режиме.
Если искусственная задержка ответов не настроена, сервер Exchange Server немедленно доставляет отправителю сообщение об ошибке сеанса SMTP «550 5.1.1. Неизвестный пользователь», если не найдет пользователя. В противном случае (при настроенной задержке) SMTP выжидает заданное количество секунд перед возвращением ошибки 550 5.1.1 User unknown. Такая пауза в SMTP-сеансе затрудняет автоматизацию атаки для сбора сведений каталога и делает ее менее выгодной для злонамеренного пользователя. По умолчанию для соединителей получения настроенная задержка равна 5 секундам.
Чтобы указать время ожидания перед возвращением сообщения об ошибке сеанса SMTP «550 5.1.1. Неизвестный пользователь», установите значение TarpitInterval для соединителя получения в консоли управления Exchange или командной консоли Exchange. Дополнительные сведения об администрировании и настройке получающих соединителей см. в разделе Общие сведения о соединителях приема.
Настройка интервала искусственной задержки ответов
Как описано в разделе Общие сведения о фильтрации получателей, можно настроить соединители получения, обрабатывающие входящие сообщения из Интернета, для замедления ответа SMTP. Убедитесь, что функция искусственной задержки ответов включена на соединителях получения, в частности при включении функции просмотра получателей для фильтрации получателей. Если искусственная задержка ответов отключена, но при этом включена функция просмотра получателей, организация станет уязвимой для атак с целью сбора действующих адресов. Атака с целью сбора действующих адресов скорее всего приведет к росту объема нежелательной почты.
При указании интервала искусственной задержки ответов на соединителе получения включается искусственная задержка ответов. Значение по умолчанию — 5 секунд. Рекомендуется начинать с установки значения, равного 5 (секундам). Будьте осторожны, если решите изменить это значение. Слишком большое значение интервала может нарушить нормальный поток почты, а слишком маленький интервал может быть неэффективен для защиты от атак с целью сбора действующих адресов. При решении изменить интервал искусственной задержки ответов выполняйте изменение поэтапно с небольшим увеличением.
Интервал искусственной задержки ответов можно установить в консоли управления Exchange на вкладке Безопасность страницы «Свойства соединителя получения». Дополнительные сведения об использовании консоли управления Exchange для настройки интервала искусственной задержки ответов см. в разделе Настройка свойств соединителя получения.
Установить интервал искусственной задержки ответов можно также с помощью командлета Set-ReceiveConnector в командной консоли Exchange.
Несколько пространств имен
В некоторых организациях сообщения электронной почты принимаются для нескольких доменов. Например, в одной организации принимаются сообщения как для домена Contoso.com, так и для домена Woodgrovebank.com. Иногда эти организации являются доверенными в отношении всех доменов, для которых они принимают сообщения. В контексте протокола SMTP организация является доверенной в отношении домена, если в ней размещаются почтовые ящики для этого домена, и если она обеспечивает управление ими. Такая связь не распространяется на сервер граничного транспорта. Сервер граничного транспорта может принимать сообщения для нескольких доменов, однако он не может быть доверенным для всех доменов. Например, сервер граничного транспорта можно настроить таким образом, что он будет доверенным для всех получателей в домене Contoso.com, однако для домена Woodgrovebank.com сервер граничного транспорта все же принимает и перенаправляет сообщения.
При включении агента фильтрации получателей он выполняет поиск получателей только в доменах, которые в конфигурации транспортного сервера указаны как доверенные. Если пограничный транспортный сервер принимает и пересылает сообщения от имени другого домена, но при этом он не настроен как доверенный, то агент фильтрации получателей не выполняет поиск получателя. Но если в черном списке получателей указан получатель, не являющийся доверенным, этот получатель также блокируется.