Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2010-01-18
В Microsoft Exchange Server 2010 под объединением списков надежных отправителей понимается одна из функций защиты от нежелательной почты, доступных в Microsoft Outlook и Exchange. Эта функция позволяет собирать данные списков надежных получателей и отправителей, списков заблокированных отправителей и данные контактов, которые настраиваются пользователями Outlook, и обеспечивает доступ к этим данным для агентов защиты от нежелательной почты на компьютере с установленной ролью пограничного транспортного сервера. Объединение списков надежных отправителей позволяет уменьшить количество ложных срабатываний при фильтрации нежелательной почты, выполняемой пограничным транспортным сервером.
Когда администратор включает и правильно настраивает объединение списка надежных отправителей, агент фильтра содержимого передает безопасные сообщения электронной почты в почтовый ящик предприятия без дополнительной обработки. Сообщения электронной почты, получаемые пользователями Outlook от «контактов», чьи данные были добавлены в списки надежных получателей или отправителей Outlook, определяются агентом фильтра содержимого как безопасные. Outlook Контакт – это лицо внутри организации или за ее пределами, о котором пользователь хранит различные сведения, например: адрес электронной почты, физический адрес, номера телефона и факса или адрес страницы в Интернете.
В Exchange 2010 в процессе объединения списков надежных отправителей на пограничный транспортный сервер также реплицируются списки заблокированных отправителей от отдельных получателей. Это позволяет агенту фильтрации содержимого на пограничном транспортном сервере блокировать поступающие от таких отправителей сообщения.
Объединение списков надежных отправителей позволяет уменьшить количество ложных срабатываний при фильтрации нежелательной почты, выполняемой пограничным транспортным сервером. Ошибочно положительная оценка – это положительный результат фильтра или теста, заключающийся в том, что в теме или в тексте сообщения были найдены признаки, которых на самом деле не содержалось. В контексте фильтрации нежелательной почты ошибочно положительная оценка возникает, когда фильтр нежелательной почты неверно определяет сообщение от допустимого отправителя как нежелательное.
В организациях, где фильтруются многие тысячи сообщений ежедневно, наличие даже небольшой доли ошибочно положительных оценок означает, что пользователи не получат множество сообщений, которые были помечены как нежелательные и помещены в карантин или удалены.
Объединение списков надежных отправителей, вероятно, является наиболее эффективным способом уменьшения числа ошибочно положительных оценок. В Office Outlook 2007 пользователи могут создавать списки надежных отправителей. Списки надежных отправителей содержат имена доменов и адреса электронной почты, от которых пользователь Outlook желает получать сообщения. По умолчанию адреса электронной почты в контактах Outlook и в глобальном списке адресов Exchange Server включены в этот список. По умолчанию Outlook добавляет все внешние контакты, которым пользователь отсылает электронные сообщения, в список надежных отправителей.
Содержание
Сведения, содержащиеся в коллекции списков надежных отправителей пользователя Outlook
Как в Exchange используется коллекция списков надежных отправителей
Хеширование записей коллекции списков надежных отправителей
Включение объединения списка надежных отправителей
Сведения, содержащиеся в
коллекции списков надежных отправителей пользователя Outlook
Коллекция списков надежных отправителей – это объединенные данные из пользовательского списка надежных отправителей, списка надежных получателей, списка блокированных отправителей и внешних контактов. Эти данные хранятся в почтовом ящике Exchange иOutlook.
Следующие сведения хранятся в пользовательской коллекции списков надежных отправителей Outlook:
- Надежные отправители и надежные
получатели. Отправитель указан в заголовке сообщения «От».
Получатель указан в поле «Кому» сообщения электронной почты.
Надежные получатели и надежные отправители представлены полным
SMTP-адресом, например masato@contoso.com. Пользователи Outlook
могут добавлять отправителей и получателей к своим спискам.
- Заблокированные отправители. Как и в случае
надежных отправителей, пользователи могут блокировать нежелательных
отправителей, добавляя их в списки заблокированных
отправителей.
- Надежный домен. Домен является частью
SMTP-адреса, следующей за символом @. Например, contoso.com – это
домен в адресе masato@contoso.com. Пользователи Outlook могут
добавлять домены отправителей к своим спискам надежных
отправителей.
Важно!Exchange позволяет указать с помощью командлета Update-SafeList, следует ли включать доступ к сведениям о надежных доменах для агентов защиты от нежелательной почты на пограничном транспортном сервере. В большинстве случаев не рекомендуется включать домены, так как пользователи могут включить домены крупных поставщиков услуг Интернета (ISP) и таким образом неумышленно предоставить адреса, используемые или подделываемые распространителями нежелательной почты. По умолчанию Exchange не включает домены во время объединения списков надежных отправителей. - Внешние контакты. В объединение списков
надежных отправителей могут быть включены два вида внешних
контактов. Первый вид включает контакты, по которым пользователи
Outlook уже посылали почту. Этот класс контактов добавляется к
списку надежных отправителей только в случае, если пользователь
Outlook выбирает соответствующий параметр в настройках
нежелательной почты Outlook 2007.
Ко второму виду внешних контактов относятся пользовательские контакты Outlook. Пользователи могут добавлять или импортировать эти контакты в Outlook. Этот класс контактов добавляется к списку надежных отправителей только в случае, если пользователь Outlook выбирает соответствующий параметр в настройках фильтра нежелательной почты Outlook 2010 или Outlook 2007.
Как в Exchange используется
коллекция списков надежных отправителей
Коллекция списков надежных отправителей хранится на сервере почтовых ящиков пользователя. Пользователь может поддерживать в коллекции списков надежных отправителей до 1024 уникальных элементов. В Exchange 2010 имеется помощник по обслуживанию почтовых ящиков для параметров нежелательной почты, отслеживающий изменения в коллекции списков надежных отправителей для почтовых ящиков. Затем он реплицирует эти изменения в Служба каталогов Active Directory, где коллекция списков надежных отправителей хранится для каждого объекта пользователя. Когда коллекция списков надежных отправителей размещена в пользовательском объекте в Служба каталогов Active Directory, коллекция дополняется функциональными возможностями Exchange 2010, направленными против нежелательной почты, и оптимизируется для уменьшения объема хранения и репликации. Служба Microsoft Exchange EdgeSync реплицирует коллекцию списков надежных отправителей в экземпляр служб Служба каталогов Active Directory облегченного доступа к каталогам, находящийся на пограничном транспортном сервере. Пограничные транспортные серверы используют данные из коллекций надежных списков во время фильтрации содержимого.
| Важно! |
|---|
| Хотя данные о надежных получателях хранятся в Outlook и могут быть объединены в коллекцию списков надежных получателей в экземпляре служб Active Directory облегченного доступа к каталогам на пограничном транспортном сервере, функции фильтрации содержимого не используют в работе данные о надежных получателях. |
Хеширование записей коллекции
списков надежных отправителей
Списки надежных отправителей проходят одностороннее хэширование (SHA-256) перед сохранением в качестве наборов массивов в трех атрибутах объекта пользователя, msExchSafeSenderHash, msExchSafeRecipientHash и msExchBlockedSendersHash, в качестве большого двоичного объекта. Когда данные хэшируются, создаются выходные данные фиксированной длины. Эти данные чаще всего уникальны. Для хеширования записей коллекции списков надежных отправителей создается 4-байтный хеш. Когда сообщение получено из Интернета, Exchange хэширует адрес отправителя и сравнивает его с хэшами, которые были сохранены от имени пользователя Outlook, которому было отправлено это сообщение. Если отправитель соответствует хэшу надежных отправителей, сообщение не подвергается фильтрации содержимого. Если отправитель совпадает с хэшем заблокированных отправителей, сообщение блокируется.
Одностороннее хеширование записей коллекции списков надежных отправителей выполняет следующие важные функции:
- Оно уменьшает объем хранения и репликации. В
большинстве случаев размер хэша меньше размера хэшированных данных.
Поэтому сохранение и передача хешированной версии записи коллекции
списков надежных отправителей экономит место при хранении и время
при репликации. Например, если в пользовательской коллекции списков
надежных отправителей содержится 200 записей, пользователь создает
около 800 байтов хэшированных данных, сохраняющихся и реплицируемых
в Служба каталогов Active Directory.
- Оно делает пользовательские коллекции списков надежных
отправителей недоступными для злоумышленников. Так как по
значениям, хэшированным в одностороннем порядке, невозможно
восстановить изначальные SMTP-адреса и SMTP-домены, коллекции
списков надежных отправителей не предоставляют полноценные адреса
электронной почты злоумышленникам, проникшим на пограничный
транспортный сервер.
Включение объединения списка
надежных отправителей
Объединение списков надежных отправителей по умолчанию включено в Exchange 2010. В отличие от Exchange Server 2007, не требуется вручную запускать командлет Update-SafeList для хэширования и записи данных коллекции списков надежных отправителей в Служба каталогов Active Directory. В Exchange 2010 это выполняет в фоновом режиме помощник по обслуживанию почтовых ящиков для параметров нежелательной почты.
Объединение списков надежных отправителей можно запустить вручную с помощью командлета UpdateSafelist. Командлет Update-SafeList считывает коллекцию списков надежных отправителей из почтового ящика пользователя, хэширует каждую запись, сортирует записи для быстрого поиска, а затем преобразует хэш в двоичный атрибут. Наконец, командлет Update-SafeList сравнивает созданный двоичный атрибут с каждым значением, хранящимся в атрибуте. Если два значения совпадают, командлет Update-SafeList не обновляет значение пользовательского атрибута за счет применения данных объединения списка надежных отправителей. Если значения отличаются, командлет Update-SafeList обновляет значение объединения списка надежных отправителей.
Чтобы данные объединения списка надежных отправителей в Служба каталогов Active Directory были доступны пограничным транспортным серверам в демилитаризованной зоне, необходимо установить и настроить службу Microsoft Exchange EdgeSync, чтобы данные объединения списка надежных отправителей могли быть реплицированы в службах Active Directory облегченного доступа к каталогам.