Агент фильтрации получателей — это агент защиты от нежелательной почты, который включен на компьютерах Microsoft Exchange Server 2007 с установленной ролью сервера «Граничный транспорт». Агент фильтрации получателей на основе данных в SMTP-заголовке RCPT TO определяет, какое действие нужно выполнить (и нужно ли) в отношении входящего сообщения.
Если на сервере граничного транспорта настроены агенты защиты от нежелательной почты, эти агенты обрабатывают сообщения совместно, что позволяет сократить объем нежелательной почты, поступающей в организацию. Дополнительные сведения о планировании и развертывании агентов защиты от нежелательной почты см. в разделе Функции защиты от нежелательной почты и вирусов.
Агент фильтра получателей блокирует сообщения в соответствии с характеристиками получателя в организации. Агент фильтра получателей может предотвратить доставку сообщений в следующих сценариях.
- Несуществующие получатели. Mожно запретить доставку
получателям, которые отсутствуют в адресной книге организации.
Например, можно прекратить доставку для имен учетных записей,
которые часто используются неправильно, например
administrator@contoso.com или support@contoso.com.
- Ограниченно используемые списки рассылки. Можно
предотвратить доставку почты из Интернета по спискам рассылки,
которые могут использоваться только внутренними пользователями.
- Почтовые ящики, которые не должны получать сообщения из
Интернета. Mожно запретить доставку почты из Интернета в
конкретный почтовый ящик или по определенному псевдониму, который
обычно используется внутри организации, например «Секретариат».
Агент фильтрации получателей действует в соответствии с получателями, которые хранятся в одном или в обоих из следующих источников данных:
- Список заблокированных получателей. Определяемый
администратором список получателей, для которых входящие сообщения
из Интернета не должны приниматься.
- Поиск получателя. Проверка наличия получателя в
организации. Для поиска получателя требуется доступ к данным службы
каталогов Active Directory, предоставляемый ADAM
(Active Directory Application Mode) службой EdgeSync.
Дополнительные сведения о списках заблокированных получателей и возможности поиска получателя см. в подразделе «Источники данных о получателях» далее в этом разделе.
При включении агента фильтрации получателей над входящими сообщениями в зависимости от характеристик получателей выполняется одно из следующих действий. Данные о получателях приводятся в заголовке RCPT TO.
- Если во входящем сообщении указан получатель, включенный в
список заблокированных получателей, сервер граничного транспорта
отправляет серверу отправителя сведения об ошибке SMTP-сеанса: 550
5.1.1 User unknown.
- Если во входящем сообщении указан получатель, которого не
удается обнаружить при поиске получателя, сервер граничного
транспорта отправляет серверу отправителя сведения об ошибке
SMTP-сеанса: 550 5.1.1 User unknown.
- Если получатель не включен в список заблокированных получателей
и обнаружен при поиске получателя, сервер граничного транспорта
отправляет серверу отправителя SMTP-отклик; 250 2.1.5 Recipient OK,
после чего сообщение передается для обработки следующему агенту
цепочки защиты от нежелательной почты.
Источники данных о получателях
Как упоминалось ранее, агент фильтрации получателей при проверке получателей входящих сообщений обращается к двум источникам данных: списку заблокированных получателей и базе поиска получателя.
Список заблокированных получателей
Список заблокированных получателей ведется администраторами сервера граничного транспорта. Данные списка заблокированных получателей хранятся в экземпляре ADAM сервера граничного транспорта. Список заблокированных получателей необходимо ввести отдельно на каждом из серверов граничного транспорта.
Получателей, которые должны блокироваться агентом фильтрации получателей, можно указать в консоли управления Exchange на вкладке Заблокированные получатели страницы Свойства фильтрации получателей. Для ввода заблокированных получателей в среде управления Exchange можно применить команду Set-RecipientFilterConfig. Дополнительные сведения о настройке агента фильтрации получателей см. в разделе Настройка фильтрации по получателю.
Поиск получателя
Одним из преимуществ агента фильтрации получателей является возможность проверки наличия получателя входящего сообщения в организации, прежде чем Exchange 2007 отправит это сообщение в организацию. Возможность проверки получателей зависит от источника данных о получателях, доступного серверу граничного транспорта. Поскольку сервер граничного транспорта не присоединен к домену Active Directory и отделен от организации брандмауэром, необходимо настроить источник данных поиска получателя для сервера граничного транспорта.
Для настройки роли сервера граничного транспорта и хранения данных используется ADAM. Дополнительные сведения см. в разделе Использование граничной подписки для занесения в ADAM данных Active Directory.
Возможность замедления отклика
Возможность поиска получателя позволяет серверу отправителя определить, правилен ли конкретный адрес электронной почты. Как упоминалось ранее, если получатель входящего сообщения известен, сервер граничного транспорта отправляет серверу отправителя SMTP-отклик: 250 2.1.5 Recipient OK. Эта возможность предоставляет идеальные условия для атаки для сбора сведений каталога.
Атака для сбора сведений каталога представляет собой попытку узнать действительные адреса электронной почты в конкретной организации, чтобы добавить их в базу данных рассылки нежелательной почты. Так как эффективность нежелательной почты зависит от того, сколько людей прочтет эту почту, действующие адреса являются товаром, за который готовы платить злонамеренные пользователи или отправители нежелательной почты. Так как SMTP-протокол предполагает обратную передачу данных об известных и неизвестных получателях, отправитель нежелательной почты может написать программу автоматического создания адресов электронной почты по словарю или с использованием распространенных имен, генерируя адреса для конкретного домена. Эта программа собирает все адреса электронной почты, возвращающие SMTP-отклик: 250 2.1.5 Recipient OK электронной почты, и исключает адреса, для которых получена ошибка SMTP-сеанса: 550 5.1.1 User unknown. Затем отправитель нежелательной продает действительные адреса электронной почты или использует их для рассылки собственной нежелательной почты.
Чтобы защититься от атак для сбора сведений каталога, в Exchange 2007 включена возможность задержки отклика. Замедление отклика представляет собой практику искусственной задержки отклика сервера при определенных шаблонах взаимодействия по SMTP, которые указывают на высокий уровень нежелательной почты. Цель замедления отклика — замедлить процесс взаимодействия для подобного почтового трафика, чтобы увеличить стоимость отправки нежелательной почты. Замедление отклика делает атаки для сбора данных слишком дорогими для работы в автоматическом режиме.
Если задержка отклика не указана, Exchange Server, не обнаружив пользователя в процессе поиска, сразу отправляет ошибку SMTP-сеанса: 550 5.1.1 User unknown отправителю входящего сообщения. В противном случае (при настроенной задержке) SMTP выжидает заданное количество секунд перед возвращением ошибки 550 5.1.1 User unknown. Такая пауза в SMTP-сеансе затрудняет автоматизацию атаки для сбора сведений каталога и делает ее менее выгодной для злонамеренного пользователя. По умолчанию для соединителей получения настроенная задержка равна 5 секундам.
Чтобы включить задержку отклика и задать время ожидания перед возвращением SMTP ошибки 550 5.1.1 User unknown, с помощью консоли управления Exchange или в среде управления Exchange задайте значение параметра TarpitInterval соединителя получения. Дополнительные сведения об администрировании и настройке получающих соединителей см. в разделе Получающие соединители.
Несколько пространств имен
В некоторых организациях сообщения электронной почты принимаются для нескольких доменов. Например, в одной организации принимаются сообщения как для домена Contoso.com, так и для домена Woodgrovebank.com. Иногда эти организации являются доверенными в отношении всех доменов, для которых они принимают сообщения. В контексте протокола SMTP организация является доверенной в отношении домена, если в ней размещаются почтовые ящики для этого домена, и если она обеспечивает управление ими. Такая связь не распространяется на сервер граничного транспорта. Сервер граничного транспорта может принимать сообщения для нескольких доменов, однако он не может быть доверенным для всех доменов. Например, сервер граничного транспорта можно настроить таким образом, что он будет доверенным для всех получателей в домене Contoso.com, однако для домена Woodgrovebank.com сервер граничного транспорта все же принимает и перенаправляет сообщения.
При включении агента фильтрации получателей этот агент выполняет поиск получателей только в доменах, которые в конфигурации сервера транспорта указаны как доверенные. Если сервер граничного транспорта принимает и перенаправляет сообщения от имени другого домена, но при этом не настроен как доверенный, то агент фильтрации получателей не выполняет поиск получателя. Но если в списке заблокированных получателей указан получатель, не являющийся доверенным, этот получатель также блокируется.
Дополнительные сведения
Для получения дополнительных сведений см. следующие разделы: