Когда внешний пользователь отправляет сообщения электронной почты на сервер Microsoft Exchange, на котором действуют средства защиты от нежелательной почты, эти средства накапливают сведения о характеристиках входящих сообщений и на основе этих данных отфильтровывают сообщения, которые определяются как нежелательные, или назначают сообщениям оценку, основанную на вероятности того, что это сообщение является нежелательным. Эта оценка сохраняется вместе с сообщением как свойство, называемое вероятностью нежелательной почты. Эта оценка сопровождает сообщение при его отправке на другие серверы Exchange.

На рис. 1 показан порядок, в котором стандартные средства защиты от нежелательной почты и фильтры Microsoft Forefront Security для Exchange Server фильтруют сообщения, поступающие из Интернета. По умолчанию функции защиты от нежелательной почты и вирусов упорядочены таким образом, что сначала идут фильтры, использующие меньшее количество ресурсов, и затем фильтры, использующие большее количество ресурсов.

Примечание.
В будущем могут появиться дополнительные средства защиты от нежелательной почты. По мере разработки новых средств защиты от нежелательной почты они будут включаться в общий поток обработки электронной почты. Кроме того, на приведенном ниже рисунке и в пояснениях к нему предполагается, что пограничный транспортный сервер Exchange Server 2007 является первым сервером SMTP, который принимает входящие сообщения. В некоторых организациях пограничный транспортный сервер может быть развернут за сервером SMTP стороннего производителя. При развертывании пограничного транспортного сервера Exchange 2007 за сервером шлюза SMTP стороннего производителя этот пограничный транспортный сервер Exchange 2007 требует дополнительной настройки. В частности, необходимо убедиться в том, что все серверы шлюза SMTP перечислены в свойстве InternalSMTPServer объекта TransportConfig. Дополнительные сведения см. в разделе Set-TransportConfig.

схема фильтров защиты от нежелательной почты и вирусов

Как показано на рис. 1, для пограничного транспортного сервера, стоящего на выходе в Интернет, фильтры применяются в следующем порядке:

  • Сервер SMTP подключается к Exchange 2007 и начинает сеанс SMTP.

  • Фильтрация подключения

  • Фильтрация отправителей

  • Фильтрация получателей

  • Фильтрация кода отправителя

  • Фильтрация содержимого

  • Фильтрация вложений

  • Проверка на вирусы

Примечание.
Хотя этот момент и не отражен на рис. 1, фильтр подключения осуществляет сбор сведений при двух различных событиях. Первое событие, при котором фильтр подключения осуществляет сбор сведений, показано на рис. 1, где фильтр подключения получает от подключения сведения об IP-адресе. Второй случай, когда фильтр подключения осуществляет сбор сведений, показан на рис. 3, когда агент фильтра отправителя выполняет синтаксический разбор заголовков сообщения, чтобы определить первый внешний IP-адрес. Агенты могут вести наблюдение за несколькими событиями. Для иллюстрации потока сообщений на рис. 1 приведено высокоуровневое представление примерного порядка применения агентов, когда все агенты включены. Дополнительные сведения о конкретных событиях и агентах, ведущих наблюдение за этими событиями, см. в разделе Обзор агентов транспорта.

Фильтрация подключений

В течение сеанса SMTP в Exchange 2007 применяется фильтрация подключений с применением критериев, показанных на рис. 2.


схема фильтрации подключений
  1. Агент фильтра подключений проверяет настроенный администратором список разрешенных IP-адресов. Если IP-адрес отправляющего сервера есть в списке разрешенных IP-адресов, составленном администратором, сообщение передается в фильтр отправителей.

  2. Агент фильтра подключений проверяет локальный список блокируемых IP-адресов. Если IP-адрес сервера отправителя обнаружен в локальном списке блокируемых IP-адресов, сообщение автоматически отклоняется и прочие фильтры не применяются.

  3. Агент фильтра подключений проверяет список разрешенных IP-адресов имеющихся поставщиков списков разрешенных IP-адресов. Если IP-адрес отправляющего сервера есть в списке разрешенных IP-адресов, предоставленном поставщиками списков разрешенных IP-адресов, сообщение передается в фильтр отправителя.

  4. Агент фильтра подключений проверяет настроенные администратором списки блокировки в режиме реального времени от поставщиков списков блокируемых IP-адресов. Если IP-адрес сервера отправителя входит в список RBL, сообщение отклоняется и прочие фильтры не применяются.

Для получения дополнительных сведений см. раздел Настройка фильтрации подключения.

Примечание.
Если агент фильтра содержимого развернут на компьютере, расположенном за другим сервером, стоящим на выходе в Интернет, другие фильтры, например, фильтр отправителя или фильтр получателей, запускаются до агента фильтра подключений.

Фильтрация отправителя

После того как был применен фильтр подключений, Exchange 2007 проверяет адрес электронной почты отправителя по списку заблокированных отправителей, который настроен в фильтрации отправителя, как показано на рис. 3.


схема фильтрации отправителей

Затем агент фильтра отправителя проверяет адрес электронной почты отправителя, содержащийся в поле заголовка «От:» в конверте сообщения или в заголовке сообщения. Если адрес хотя бы одного заголовка «От:» числится в списке заблокированных отправителей, Exchange 2007 отклоняет сообщение на уровне протокола, и прочие фильтры не применяются.

Примечание.
Даже если получатель в вашей организации поместил отправителя в список надежных отправителей Microsoft Office Outlook, фильтрация отправителей на пограничном транспортном сервере, имеющая преимущество перед параметрами Outlook получателя, отклонит сообщение.

Для получения дополнительных сведений о фильтрации отправителя см. раздел Настройка фильтрации отправителей.

Для получения дополнительных сведений о конвертах и заголовках сообщений см. раздел Управление каталогом повтора.

Фильтрация получателей

Если при фильтрации отправителя сообщение не было отклонено, Exchange запускает фильтрацию подключений еще раз. Затем Exchange применяет фильтрацию получателей, как показано на рис. 4.


схема фильтрации получателей

Агент фильтра получателей проверяет получателей по списку блокированных получателей, настроенному в параметрах агента фильтра. Если адрес получателя входит в список заблокированных получателей, Exchange 2007 отклоняет сообщение для этого конкретного получателя. Кроме того, агент фильтра получателей проверяет, есть ли получатель в организации. Если получатель не входит в организацию, Exchange отклоняет сообщение для этого конкретного получателя.

Если в сообщении указано несколько получателей и ни один получатель не включен в список заблокированных, обработка сообщения будет продолжена. Если же сообщение предназначено только для одного заблокированного получателя, другие фильтры не применяются.

При обработке сообщения с заблокированными получателями все заблокированные получатели из сообщения удаляются, а сообщение передается в организацию. Для каждого заблокированного получателя отправителю сообщения отправляется уведомление об отклонении на уровне протокола SMTP. Агент репутации отправителей осуществляет наблюдение за событием OnReject для вычисления уровня репутации отправителя.

Для получения дополнительных сведений см. раздел Настройка фильтрации по получателю.

Фильтрация кода отправителя

Если после применения фильтра получателей в сообщении остались допустимые получатели, Exchange 2007 запускает фильтрацию кода отправителя, как показано на рис. 5.


Схема фильтрации кодов отправителей

Сначала агент кода отправителя определяет обозначенный ответственный адрес (PRA) сообщения по алгоритму, описанному в RFC 4407. Это действие необходимо для точной идентификации отправителя сообщения. PRA — это адрес SMTP, например kim@contoso.com. Затем агент кода отправителя выполняет просмотр DNS на основании домена в адресе PRA. Если этот домен опубликовал запись системы политик отправителя (SPF), агент использует запись SPF для оценки сообщения в соответствии с характеристиками, указанными в RFC 4408. Результат оценки указывается в сообщении, в марке для борьбы с нежелательной почтой. Если домен не опубликовал запись SPF, агент кода отправителя ставит на сообщении марку, в которой в качестве кода отправителя указывается «Отсутствует». Для получения дополнительных сведений о типах марок, используемых в фильтрации кода отправителя, см. раздел Марки для борьбы с нежелательной почтой.

Если DNS отправителя входит в список заблокированных доменов или заблокированных адресов, могут выполняться следующие действия, в зависимости от настройки агента:

  • Отклонить сообщение   Если в качестве действия для кода отправителя выбрано Отклонить сообщение, сервер Exchange Server отклоняет сообщение и посылает отправляющему серверу отклик об ошибке SMTP. Отклик об ошибке SMTP — это отклик протокола уровня 5xx с текстом, соответствующим состоянию кода отправителя.

  • Удалить сообщение   Если в качестве действия для кода отправителя выбрано Удалить сообщение, Exchange удаляет сообщения, не уведомляя об этом отправляющий сервер. В действительности компьютер с установленной ролью пограничного транспортного сервера отправляет ложную команду SMTP «OK» отправляющему серверу, а затем удаляет сообщение. Так как отправляющий сервер предполагает, что сообщение было доставлено, он не будет пытаться отправить сообщение в том же сеансе.

  • Пометить сообщение результатом проверки кода отправителя и продолжить обработку   Exchange помечает сообщение результатом проверки кода отправителя и продолжает обработку сообщения. Эти метаданные оцениваются агентом фильтра содержимого при вычислении уровня вероятности нежелательной почты. Кроме того, метаданные сообщения используются при вычислении уровня репутации отправителя сообщения.

Для получения дополнительных сведений см. раздел Настройка идентификатора отправителя.

Фильтрация содержимого

Прежде чем фильтрация содержимого вызовет интеллектуальный фильтр сообщений Exchange, выполняется повторная фильтрация отправителя. Затем сервер Exchange применяет агент фильтра содержимого, как показано на рис. 6.


поток почты агента фильтрации содержимого

Агент фильтра содержимого проверяет выполнение следующих условий для сообщения. Если выполняется хотя бы одно условие, сообщение не проходит фильтрацию содержимого. Такие сообщения затем поступают на проверку на вирусы.

  • IP-адрес отправителя есть в списке разрешенных IP-адресов для фильтрации подключений.

  • Все получатели перечислены в списке исключений для фильтрации содержимого.

  • Для параметра AntiSpamBypassEnabled установлено значение $True для почтовых ящиков всех получателей.

  • Все получатели добавили отправителя в список надежных отправителей в Outlook, который был добавлен в список пограничного транспортного сервера путем объединения списков надежных отправителей.

  • Отправитель является доверенным партнером и указан в списке отправителей, не проходящих фильтрацию в организации.

В дополнение к перечисленным условиям, если сеанс SMTP прошел проверку подлинности и был определен как сеанс доверенного партнера, а администратором было выдано разрешение этому партнеру обходить защиту от нежелательной почты (Ms-Exch-Bypass-Anti-Spam), агенты защиты от нежелательной почты для сообщений в данном сеансе будут отключены. Разрешение обходить защиту от нежелательной почты не выдается партнерам по умолчанию, оно должно предоставляться администратором.

Если ни одно из перечисленных условий для сообщения не выполняется, применяется фильтрация содержимого. Фильтрация содержимого приписывает сообщению оценку вероятности нежелательной почты. На основании этой оценки выполняется одно из следующих действий:

  • Если оценка вероятности нежелательной почты равна или превышает порог удаления и порог удаления включен, агент фильтра содержимого удаляет сообщение. На уровне протокола нет функции, которая сообщала бы отправляющей системе или отправителю, что сообщение было удалено. Если оценка SCL для сообщения ниже, чем значение порога SCL для удаления, агент фильтра содержимого не удаляет сообщение. Вместо этого агент фильтра содержимого сравнивает значение SCL с порогом SCL для отклонения.

  • Если оценка вероятности нежелательной почты равна или превышает порог отклонения и порог отклонения включен, агент фильтра содержимого отправляет ответ об отклонении отправляющей системе. Ответ об отклонении можно настраивать. В некоторых случаях исходному отправителю сообщения отправляется отчет о недоставке. Если оценка вероятности нежелательной почты для сообщения ниже, чем значение порога вероятности нежелательной почты для отклонения, агент фильтра содержимого не отклоняет сообщение. Вместо этого агент фильтра содержимого сравнивает значение вероятности нежелательной почты с порогом вероятности нежелательной почты для карантина.

  • Если оценка вероятности нежелательной почты равна порогу карантина или превышает его, и порог карантина включен, агент фильтра содержимого отправляет сообщение на карантин. Для получения дополнительных сведений об управлении карантином нежелательной почты см. раздел Настройка карантина для нежелательной почты и управление им. Затем сообщение поступает на фильтр вложений.

Для получения дополнительных сведений см. следующие разделы:

Фильтрация вложений

После фильтрации содержимого Exchange выполняет фильтрацию вложений, как показано на рис. 7.


схема фильтрации вложений

Фильтрацию вложений можно настроить так, чтобы вложения блокировались на основании типа содержимого MIME, имени файла или расширении имени файла. Если фильтр вложений обнаружит заблокированный тип содержимого или имя файла, будет выполнено одно из следующих действий (оно зависит от параметров фильтрации вложений):

  • Отклонение   Если в качестве действия выбрано отклонение, ни сообщение электронной почты, ни вложение не доставляются получателю и система посылает сообщение о невыполненной доставке отправителю. Ответ об отклонении можно настраивать.

  • Автоматическое удаление   Если в качестве действия выбрано автоматическое удаление, ни сообщение, ни вложение не доставляются получателю. Уведомление о блокировке сообщения электронной почты и вложения отправителю не посылается.

  • Удаление   Если в качестве действия выбрано удаление, вложение удаляется из сообщения электронной почты. Выбор этого значения позволяет адресату получить само сообщение и другие вложения, если они не соответствуют строке списка блокировки вложений. К сообщению электронной почты добавляется уведомление о блокировке вложения.

Если сообщение не было ни отклонено, ни удалено, и при фильтрации блокированных типов вложений обнаружено не было, оно проверяется на вирусы.

Для получения дополнительных сведений см. раздел Настройка параметров фильтрации вложений.

Проверка на вирусы

После фильтрации вложений (или если сообщение для данных получателей не проходило фильтрацию содержимого) выполняется проверка на вирусы Forefront Security для сервера Exchange, как показано на рис. 8.


схема упреждающей антивирусной фильтрации

Forefront Security для Exchange Server — это пакет антивирусного программного обеспечения, встроенный в Exchange 2007 и обеспечивающий дополнительную защиту среды Exchange от вирусов. Когда Forefront Security для Exchange Server обнаруживает сообщение, содержащее вирус, система удаляет сообщение, создает уведомление и отправляет его на почтовый ящик получателя.

Дополнительные сведения о Forefront Security для сервера Exchange Server см. в статье Защита организации Microsoft Exchange с помощью Microsoft Forefront Security для сервера Exchange Server(на английском языке).

Фильтрация нежелательной почты в Outlook

После того как все фильтры применены и сообщение проверено на вирусы, оно отправляется в почтовый ящик получателя, где выполняется фильтрация нежелательной почты, как показано на рис. 9.


схема фильтрации нежелательной почты в Outlook

Если оценка вероятности нежелательной почты равна или превышает порог фильтрации нежелательной почты и использование порога фильтрации включено, сервер почтовых ящиков помещает сообщение в пользовательскую папку нежелательной почты в Outlook. Если значение вероятности нежелательной почты для сообщения ниже значений порога вероятности нежелательной почты для удаления, отклонения, карантина и перемещения в папку нежелательной почты, сервер почтовых ящиков помещает сообщение в папку «Входящие» пользователя. Для получения дополнительных сведений о порогах вероятности нежелательной почты см. раздел Настройка порога вероятности нежелательной почты.

Дополнительные сведения



Рисунок 9.   Поток почты при фильтрации нежелательной почты в Outlook
Рисунок 8.   Поток почты при проверке на вирусы Forefront Security для сервера Exchange
Рисунок 7.   Поток почты при фильтрации вложений
Рисунок 6.   Поток почты при фильтрации содержимого
Рисунок 5.   Поток почты при фильтрации кода отправителя
Рисунок 4.   Поток почты при фильтрации получателей
Рисунок 3.   Поток почты при фильтрации отправителя
Рисунок 2.   Поток почты при фильтрации подключений
Рисунок 1.   Стандартные функции защиты от нежелательной почты и фильтры вирусов для сообщений, поступающих из Интернета