Уровень репутации отправителя (SRL) рассчитывается исходя из следующей статистики:

• Анализ HELO/EHLO.   SMTP-команды HELO и EHLO предназначены для предоставления имени домена, например Contoso.com, или IP-адреса SMTP-сервера отправителя принимающему SMTP-серверу. Злонамеренные пользователи, или спамеры, часто разными способами подделывают оператор HELO/EHLO. Например, вводят IP-адрес, не соответствующий IP-адресу, с которого произошло подключение. Кроме того, в попытке представить, будто домены находятся в организации, в оператор HELO спамеры подставляют домены, о которых известно, что они локально поддерживаются на принимающем сервере. В других случаях злоумышленники, рассылающие нежелательную почту, изменяют домен, передаваемый в операторе HELO. Как правило, обычный пользователь использует в операторах HELO разный, но относительно постоянный набор доменов.
  
  Поэтому на основании анализа оператора HELO/EHLO для каждого отправителя можно сделать вывод, что отправитель, возможно, является злонамеренным. Например, отправитель, который в определенный период времени передает много разных уникальных операторов HELO/EHLO, вероятно, является злонамеренным пользователем. Отправители, которые постоянно передают в операторе HELO IP-адрес, который не соответствует исходящему IP-адресу, определенному агентом фильтра подключений, также вероятнее всего будут злоумышленниками, рассылающими нежелательную почту. То же самое можно сказать и об удаленных отправителях, постоянно передающих в операторе HELO имя локального домена, находящегося в той же организации, что и пограничный транспортный сервер.
  
  
• Обратный запрос DNS.   Функция "репутация отправителя" также проверяет соответствие исходящего IP-адреса, с которого отправитель передал сообщение, зарегистрированному имени домена, переданному отправителем в SMTP-команде HELO или EHLO.
  
  Функция "репутация отправителя" выполняет обратный запрос DNS, отправляя в DNS исходящий IP-адрес. Результат, возвращаемый службой DNS, — имя домена, зарегистрированное центром доменных имен для данного IP-адреса. Функция репутации отправителя сравнивает имя домена, возвращенное службой DNS, с именем домена, переданным отправителем в SMTP-команде HELO/EHLO. Если имена доменов не совпадают, то отправитель, вероятно, является пользователем, рассылающим нежелательную почту, и общий уровень репутации отправителя для него должен быть увеличен.
  
  Агент кодов отправителя выполняет подобную задачу, но работает с данными допустимых отправителей, не являющихся злонамеренными пользователями. Агент кодов отправителя обновляет их инфраструктуру DNS, чтобы иметь свежий список всех SMTP-серверов отправителей электронной почты в их организации. Выполняя обратный запрос DNS, можно выявить потенциальных злонамеренных пользователей.
  
  
• Анализ оценок SCL по сообщениям от конкретного отправителя.   Когда агент фильтра содержимого обрабатывает сообщение, он назначает сообщению оценку вероятности нежелательной почты (SCL). Оценка вероятности нежелательной почты — это число от 0 до 9. Более высокая оценка вероятности нежелательной почты означает, что сообщение с большой вероятностью будет нежелательным. Данные о каждом отправителе и оценках SCL их сообщений сохраняются для анализа при помощи функции «Репутация отправителя». Функция «Репутация отправителя» вычисляет статистику для отправителя, определяя соотношение между всеми сообщениями от данного отправителя, которые имели в прошлом низкую оценку SCL, и всеми сообщениями от этого же отправителя, которые имели высокую оценку SCL. Кроме того, количество сообщений с высокой оценкой SCL, пришедших от отправителя за предыдущий день, применяется к общему значению SRL.
  
  
• Тестирование открытого прокси-сервера отправителя — это открытый прокси-сервер, который принимает запросы на подключение ото всех и из любого места и затем пересылает трафик как если бы он исходил от локальных компьютеров. Прокси-серверы ретранслируют TCP-трафик через брандмауэр, обеспечивая пользовательским приложениям прозрачный доступ через брандмауэр. Поскольку протоколы прокси-серверов — облегченные и независимые от протоколов пользовательского приложения, то прокси-серверы могут использоваться многими различными службами. Прокси-серверы могут также применяться для общего использования одного подключения к Интернету несколькими компьютерами. Прокси-серверы обычно настраиваются так, чтобы пересекать прокси-серверы можно было только с известных брандмауэру доверенных компьютеров.
  
  Прокси-серверы могут быть открытыми по следующим причинам:
  
  
  • Неумышленная неправильная настройка.
    
    
  • Действие троянских вирусов Троянский вирус это программа, которая маскирует свою деятельность под деятельность обычной программы для того, чтобы попытаться завладеть определенной информацией.
    
    
  При недостаточно тщательном ведении журнала открытые прокси-серверы предоставляют для пользователей-злоумышленников идеальный способ скрыть свои истинные учетные данные, чтобы реализовать атаку типа «отказ в обслуживании» (DoS) или разослать нежелательную почту. Так как все больше прокси-серверов настраивается как открытые по умолчанию, открытые прокси-серверы становятся обычным явлением. Кроме того, чтобы скрыть истинный IP-адрес отправителя, злоумышленник может использовать цепочку из нескольких открытых прокси-серверов.
  
  Когда функция «Репутация отправителя» выполняет тестирование открытого прокси-сервера, она формирует SMTP-запрос, чтобы попытаться установить обратное подключение между открытым прокси-сервером и пограничным транспортным сервером. Если SMTP-запрос от прокси-сервера получен, функция «Репутация отправителя» проверяет, является ли данный прокси-сервер открытым, после чего обновляет статистику проверки открытого прокси-сервера для данного отправителя.
  
  

Функция «Репутация отправителя» производит оценку всех данных статистики и подсчитывает значение SRL для каждого отправителя. Уровень репутации отправителя — это число от 0 до 9, отражающее вероятность того, что определенный отправитель является источником нежелательной почты или иным пользователем-злоумышленником. Значение 0 свидетельствует о том, что данный отправитель, скорее всего не является злоумышленником, рассылающим нежелательную почту. Значение 9 свидетельствует о том, что данный отправитель, скорее всего является злоумышленником, рассылающим нежелательную почту.

Можно установить порог блокировки в диапазоне от 0 до 9, по достижении которого функция репутации отправителя отправляет запрос агенту фильтра отправителя и тем самым запрещает отправителю отправлять сообщения в организацию. Когда отправитель заблокирован, он на заданный период добавляется к списку заблокированных отправителей. Порядок обработки заблокированных сообщений зависит от настройки агента фильтра отправителей. При обработке заблокированных сообщений возможны следующие действия:

• Отклонить
  
  
• Удалить и архивировать
  
  
• Принять сообщение и пометить отправителя как заблокированного
  
  

Если отправитель добавлен в черный список IP или список службы репутации IP-адресов, функция репутации отправителя немедленно отправляет запрос агенту фильтра отправителя, чтобы заблокировать этого отправителя. Чтобы воспользоваться этими возможностями, необходимо включить и настроить службу обновления средства защиты от нежелательной почты Microsoft Exchange.

По умолчанию для отправителей, которые не были проанализированы, пограничный транспортный сервер устанавливает оценку 0. После того как от отправителя приходит 20 или более сообщений, функция репутации отправителя рассчитывает значение уровня репутации отправителя, которое основывается на статистике, описанной ранее в этом разделе.

В начало