Этот раздел содержит обзор настройки фильтрации подключений. Для получения сведений о расширенной настройке см. ссылки в конце подразделов. Дополнительные сведения о работе фильтрации подключений см. в разделе Фильтрация подключений.

Примечание.
С точки зрения настройки компонентов на компьютере с установленной ролью пограничного транспортного сервера фильтрация подключений связана с совокупностью списков запрещенных IP-адресов, списков разрешенных IP-адресов, поставщиков списков запрещенных IP-адресов, а также поставщиков списков разрешенных IP-адресов. Фильтрация подключений используется для расширения сервера.

При настройке фильтрации подключений необходимо выполнить следующие действия.

  1. Включение компонентов фильтрации подключений.

  2. Добавление IP-адресов в списки разрешенных IP-адресов и списки запрещенных IP-адресов.

  3. Настройка поставщиков списков разрешенных IP-адресов и поставщиков списков запрещенных IP-адресов.

  4. Настройка фильтрации подключений на пограничных транспортных серверах, которые не являются первыми точками входа по протоколу SMTP.

  5. Проверка функционирования списка разрешенных IP-адресов и списка запрещенных IP-адресов.

Важно!
Изменения конфигурации фильтрации подключений, выполненные с помощью консоли управления Exchange или командной консоли Exchange, действуют только на локальном компьютере с установленной ролью пограничного транспортного сервера. Если в организации используется несколько экземпляров роли пограничного транспортного сервера, необходимо применить изменения настройки фильтрации подключений отдельно на каждом из соответствующих компьютеров.

Включение компонентов фильтрации подключений

Фильтрация подключений по умолчанию включена на пограничном транспортном сервере для входящих сообщений из Интернета, которые не проходят проверку подлинности. Такие сообщения обрабатываются как внешние сообщения. Можно отключить фильтр в конфигурациях отдельных компьютеров, используя консоль управления Exchange или командную консоль Exchange.

Если на компьютере включена фильтрация подключений, агент фильтра подключений фильтрует все сообщения, поступающие со всех соединителей приема на этом компьютере. Как было отмечено ранее в данном разделе, фильтр применяется только для сообщений из внешних источников. Внешние источники определяются как источники, не прошедшие проверку подлинности. Такими источниками считаются анонимные источники из Интернета.

Дополнительные сведения о настройке соединителей приема и об определении категорий источников сообщений см. в разделе Получающие соединители.

Не рекомендуется применять фильтры к сообщениям от доверенных партнеров или сообщениям внутри организации. При использовании фильтров для защиты от нежелательной почты всегда есть вероятность ложного срабатывания фильтра. Чтобы снизить вероятность ошибочного отклонения сообщений электронной почты, следует включать агенты фильтрации нежелательных сообщений только в отношении непроверенных и неизвестных источников. Командная консоль Exchange позволяет включать и отключать фильтрацию подключений для сообщений из любых источников.

Дополнительные сведения о настройке фильтрации подключений см. в разделе Инструкции по включению фильтрации подключений.

Добавление IP-адресов в списки разрешенных и запрещенных адресов

Как объяснялось в разделе Фильтрация подключений, списки запрещенных IP-адресов и списки разрешенных IP-адресов настраиваются администратором и содержат отдельные IP-адреса или диапазоны IP-адресов, в отношении которых применяется фильтрация подключений. Если исходный IP-адрес совпадает с отдельным IP-адресом или входит в диапазон IP-адресов, находящихся в черном списке IP-адресов, агент фильтрации подключений обрабатывает все заголовки RCPT TO: в сообщении, а затем отклоняет сообщение после команды MAIL FROM. Если исходный IP-адрес соответствует IP-адресу, указанному в списке разрешенных IP-адресов отдельно или в составе диапазона IP-адресов, агент фильтра подключений передает сообщение по назначению без дополнительной обработки другими агентами защиты от нежелательной почты. Дополнительные сведения о совместной работе агентов защиты от нежелательной почты и о порядке их применения см. в разделе Функции защиты от нежелательной почты и вирусов.

Примечание.
Адреса IP версии 6 и диапазоны IP-адресов поддерживаются только в том случае, если на компьютере под управлением Windows Server 2008 развернут Microsoft Exchange Server 2007 с пакетом обновления 1 (SP1) и включены протоколы IP версии 6 и IP версии 4, а сеть поддерживает обе версии IP-адреса. Если в этой конфигурации развернут Exchange Server 2007 с пакетом обновления 1 (SP1), все роли сервера могут обмениваться данными с устройствами, серверами и клиентами, использующими адреса IP версии 6. Если система Windows Server 2008 установлена в конфигурации по умолчанию, поддержка протоколов IP версии 4 и IP версии 6 включена. Если Exchange Server 2007 с пакетом обновления 1 (SP1) установлен в Windows Server 2003, адреса IP версии 6 не поддерживаются. Дополнительные сведения о поддержке адресов IP версии 6 в Exchange Server 2007 с пакетом обновления 1 (SP1) см. в разделе Поддержка протокола IP версии 6 в сервере Exchange Server 2007 с пакетом обновления 1 (SP1) и пакетом обновления 2 (SP2).

Дополнительные сведения о добавлении IP-адресов в список запрещенных IP-адресов или в список разрешенных IP-адресов см. в разделе Инструкции по добавлению IP-адресов в список разрешенных IP-адресов или список заблокированных IP-адресов.

Настройка поставщиков списков разрешенных IP-адресов и поставщиков списков запрещенных IP-адресов

Службы поставщика списков запрещенных IP-адресов и списков разрешенных IP-адресов позволяют уменьшить количество нежелательных сообщений и повысить общий уровень обработки сообщений на пограничном транспортном сервере. Следует проанализировать настройку нескольких служб поставщиков списков запрещенных IP-адресов и служб поставщиков списков разрешенных IP-адресов.

Примечание.
Службы поставщиков списков запрещенных IP-адресов иногда называют службами списков запрещенных адресов реального времени. Службы поставщиков списка разрешенных IP-адресов иногда называют службами списка надежных отправителей.

Для каждой настраиваемой службы поставщика списков запрещенных IP-адресов можно настроить ошибку SMTP 550, которая возвращается отправителю, если IP-адрес отправителя был обнаружен в службе поставщиков списков запрещенных IP-адресов и поэтому заблокирован агентом фильтра подключений. Рекомендуется настроить ошибку SMTP 550 таким образом, чтобы она содержала указание на службу поставщиков списков запрещенных IP-адресов, которая определила IP-адрес отправителя как запрещенный. Такой подход позволяет добросовестным отправителям связаться со службой поставщиков списков запрещенных IP-адресов, чтобы их IP-адрес был удален из списка запрещенных IP-адресов этой службы.

Разные службы поставщиков списков запрещенных IP-адресов могут возвращать различные коды, если в списке запрещенных IP-адресов этой службы обнаружен IP-адрес удаленного сервера, отправляющего сообщение. Большинство служб поставщиков списков запрещенных IP-адресов возвращают один из следующих типов данных: битовая маска или абсолютное значение. В рамках этих типов данных может быть несколько значений, указывающих тип списка, в котором находится предоставленный IP-адрес.

Пример битовой маски

Этот раздел содержит пример кодов состояния, возвращаемых большинством поставщиков списков запрещенных IP-адресов. Коды состояния, возвращаемые поставщиком, см. в документации для конкретного поставщика.

При использовании типа данных «битовая маска» служба поставщиков списков запрещенных IP-адресов возвращает код состояния 127.0.0.x, где целое число x является одним из значений, приведенных в следующей таблице.

Значения и коды состояния для типов данных «битовая маска»

Значение Код состояния

1

IP-адрес включен в список запрещенных IP-адресов.

2

SMTP-сервер настроен в качестве открытого ретранслятора.

4

Данный IP-адрес поддерживает IP-адрес удаленного доступа.

При использовании абсолютных значений служба поставщиков списков запрещенных IP-адресов выдает ответы с прямым указанием причин блокировки IP-адреса. В следующей таблице приводятся примеры абсолютных значений и откликов в явном виде.

Значения и коды состояния для типов данных «абсолютное значение»

Значение Отклик

127.0.0.2

Данный IP-адрес является непосредственным источником нежелательной почты.

127.0.0.4

Данный IP-адрес является источником массовой рассылки.

127.0.0.5

Удаленный сервер, отправляющий данное сообщение, поддерживает многокаскадные открытые ретрансляторы.

Дополнительные сведения о настройке поставщиков списков разрешенных IP-адресов и поставщиков списков запрещенных IP-адресов см. в разделе Инструкции по настройке поставщиков списка разрешенных IP-адресов и поставщиков списка заблокированных IP-адресов..

Настройка фильтрации подключений для пограничных транспортных серверов, которые не являются первой точкой входа по протоколу SMTP

В некоторых организациях роль пограничного транспортного сервера устанавливается на компьютерах, которые не обрабатывают SMTP-запросы непосредственно из Интернета. В этом случае пограничный транспортный сервер находится за другим SMTP-сервером переднего плана, обрабатывающим сообщения, поступающие непосредственно из Интернета. При этом агент фильтра подключений должен иметь возможность извлекать из сообщения правильный исходный IP-адрес. Чтобы получить и оценить исходный IP-адрес, агент фильтра подключений должен разобрать заголовки «Received» из сообщения и сравнить их с известным SMTP-сервером в демилитаризованной зоне.

Если SMTP-сервер, соответствующий положениям RFC, получает сообщение, он обновляет заголовок «Received» данного сообщения, внося в этот заголовок имя домена и IP-адрес отправителя. Поэтому каждый SMTP-сервер, находящийся в цепи между исходным отправителем и пограничным транспортным сервером, добавляет в заголовок Received свою запись.

При настройке демилитаризованной зоны для обеспечения поддержки сервера Microsoft Exchange Server 2007 необходимо указать все IP-адреса SMTP-серверов, расположенных в демилитаризованной зоне. Данные об IP-адресах реплицируются на пограничные транспортные серверы с использованием EdgeSync. При получении сообщений компьютером, на котором выполняется агент фильтра подключений, исходным IP-адресом считается IP-адрес, указанный в заголовке «Received» и не совпадающий ни с одним из IP-адресов SMTP-серверов в демилитаризованной зоне.

Перед запуском фильтрации подключений необходимо указать все внутренние SMTP-серверы для объекта конфигурации транспорта в лесу Active Directory. Для задания внутренних SMTP-серверов используйте параметр InternalSMTPServers с командлетом Set-TransportConfig.

Проверка функционирования списка разрешенных IP-адресов и списка запрещенных IP-адресов

После настройки службы поставщиков списков запрещенных IP-адресов или службы поставщиков списка разрешенных IP-адресов можно проверить правильность настройки фильтрации подключений для работы с конкретной службой. Большинство служб поставщиков списков запрещенных IP-адресов или служб поставщиков списков разрешенных IP-адресов предоставляют тестовые IP-адреса, которые можно использовать для проверки работы этих служб. При выполнении проверки службы поставщиков списков запрещенных IP-адресов или службы поставщиков разрешенных списков IP-адресов агент фильтра подключений формирует DNS-запрос, используя IP-адрес списка запрещенных адресов реального времени, который должен возвращать конкретный отклик. Дополнительные сведения о службах списков запрещенных адресов реального времени см. в разделе Фильтрация подключений. Дополнительные сведения о проверке IP-адресов в службе поставщиков списков запрещенных IP-адресов или поставщиков списков разрешенных IP-адресов см. в разделах Test-IPAllowListProvider и Test-IPBlockListProvider.

Дополнительные сведения

Дополнительные сведения о настройке фильтрации подключений с помощью консоли управления Exchange см. в следующих разделах:

Дополнительные сведения о настройке фильтрации подключений с помощью командной консоли Exchange см. в следующих разделах: