Фильтрация подключений по умолчанию включена на пограничном транспортном сервере для входящих сообщений из Интернета, которые не проходят проверку подлинности. Такие сообщения обрабатываются как внешние сообщения. Можно отключить фильтр в конфигурациях отдельных компьютеров, используя консоль управления Exchange или командную консоль Exchange.

Если на компьютере включена фильтрация подключений, агент фильтра подключений фильтрует все сообщения, поступающие со всех соединителей приема на этом компьютере. Как было отмечено ранее в данном разделе, фильтр применяется только для сообщений из внешних источников. Внешние источники определяются как источники, не прошедшие проверку подлинности. Такими источниками считаются анонимные источники из Интернета.

Дополнительные сведения о настройке соединителей приема и об определении категорий источников сообщений см. в разделе Получающие соединители.

Не рекомендуется применять фильтры к сообщениям от доверенных партнеров или сообщениям внутри организации. При использовании фильтров для защиты от нежелательной почты всегда есть вероятность ложного срабатывания фильтра. Чтобы снизить вероятность ошибочного отклонения сообщений электронной почты, следует включать агенты фильтрации нежелательных сообщений только в отношении непроверенных и неизвестных источников. Командная консоль Exchange позволяет включать и отключать фильтрацию подключений для сообщений из любых источников.

Дополнительные сведения о настройке фильтрации подключений см. в разделе Инструкции по включению фильтрации подключений.

Как объяснялось в разделе Фильтрация подключений, списки запрещенных IP-адресов и списки разрешенных IP-адресов настраиваются администратором и содержат отдельные IP-адреса или диапазоны IP-адресов, в отношении которых применяется фильтрация подключений. Если исходный IP-адрес совпадает с отдельным IP-адресом или входит в диапазон IP-адресов, находящихся в черном списке IP-адресов, агент фильтрации подключений обрабатывает все заголовки RCPT TO: в сообщении, а затем отклоняет сообщение после команды MAIL FROM. Если исходный IP-адрес соответствует IP-адресу, указанному в списке разрешенных IP-адресов отдельно или в составе диапазона IP-адресов, агент фильтра подключений передает сообщение по назначению без дополнительной обработки другими агентами защиты от нежелательной почты. Дополнительные сведения о совместной работе агентов защиты от нежелательной почты и о порядке их применения см. в разделе Функции защиты от нежелательной почты и вирусов.

Примечание.

Адреса IP версии 6 и диапазоны IP-адресов поддерживаются только в том случае, если на компьютере под управлением Windows Server 2008 развернут Microsoft Exchange Server 2007 с пакетом обновления 1 (SP1) и включены протоколы IP версии 6 и IP версии 4, а сеть поддерживает обе версии IP-адреса. Если в этой конфигурации развернут Exchange Server 2007 с пакетом обновления 1 (SP1), все роли сервера могут обмениваться данными с устройствами, серверами и клиентами, использующими адреса IP версии 6. Если система Windows Server 2008 установлена в конфигурации по умолчанию, поддержка протоколов IP версии 4 и IP версии 6 включена. Если Exchange Server 2007 с пакетом обновления 1 (SP1) установлен в Windows Server 2003, адреса IP версии 6 не поддерживаются. Дополнительные сведения о поддержке адресов IP версии 6 в Exchange Server 2007 с пакетом обновления 1 (SP1) см. в разделе Поддержка протокола IP версии 6 в сервере Exchange Server 2007 с пакетом обновления 1 (SP1) и пакетом обновления 2 (SP2).

Дополнительные сведения о добавлении IP-адресов в список запрещенных IP-адресов или в список разрешенных IP-адресов см. в разделе Инструкции по добавлению IP-адресов в список разрешенных IP-адресов или список заблокированных IP-адресов.

Службы поставщика списков запрещенных IP-адресов и списков разрешенных IP-адресов позволяют уменьшить количество нежелательных сообщений и повысить общий уровень обработки сообщений на пограничном транспортном сервере. Следует проанализировать настройку нескольких служб поставщиков списков запрещенных IP-адресов и служб поставщиков списков разрешенных IP-адресов.

Примечание.
Службы поставщиков списков запрещенных IP-адресов иногда называют службами списков запрещенных адресов реального времени. Службы поставщиков списка разрешенных IP-адресов иногда называют службами списка надежных отправителей.

Для каждой настраиваемой службы поставщика списков запрещенных IP-адресов можно настроить ошибку SMTP 550, которая возвращается отправителю, если IP-адрес отправителя был обнаружен в службе поставщиков списков запрещенных IP-адресов и поэтому заблокирован агентом фильтра подключений. Рекомендуется настроить ошибку SMTP 550 таким образом, чтобы она содержала указание на службу поставщиков списков запрещенных IP-адресов, которая определила IP-адрес отправителя как запрещенный. Такой подход позволяет добросовестным отправителям связаться со службой поставщиков списков запрещенных IP-адресов, чтобы их IP-адрес был удален из списка запрещенных IP-адресов этой службы.

Разные службы поставщиков списков запрещенных IP-адресов могут возвращать различные коды, если в списке запрещенных IP-адресов этой службы обнаружен IP-адрес удаленного сервера, отправляющего сообщение. Большинство служб поставщиков списков запрещенных IP-адресов возвращают один из следующих типов данных: битовая маска или абсолютное значение. В рамках этих типов данных может быть несколько значений, указывающих тип списка, в котором находится предоставленный IP-адрес.

Пример битовой маски

В некоторых организациях роль пограничного транспортного сервера устанавливается на компьютерах, которые не обрабатывают SMTP-запросы непосредственно из Интернета. В этом случае пограничный транспортный сервер находится за другим SMTP-сервером переднего плана, обрабатывающим сообщения, поступающие непосредственно из Интернета. При этом агент фильтра подключений должен иметь возможность извлекать из сообщения правильный исходный IP-адрес. Чтобы получить и оценить исходный IP-адрес, агент фильтра подключений должен разобрать заголовки «Received» из сообщения и сравнить их с известным SMTP-сервером в демилитаризованной зоне.

Если SMTP-сервер, соответствующий положениям RFC, получает сообщение, он обновляет заголовок «Received» данного сообщения, внося в этот заголовок имя домена и IP-адрес отправителя. Поэтому каждый SMTP-сервер, находящийся в цепи между исходным отправителем и пограничным транспортным сервером, добавляет в заголовок Received свою запись.

При настройке демилитаризованной зоны для обеспечения поддержки сервера Microsoft Exchange Server 2007 необходимо указать все IP-адреса SMTP-серверов, расположенных в демилитаризованной зоне. Данные об IP-адресах реплицируются на пограничные транспортные серверы с использованием EdgeSync. При получении сообщений компьютером, на котором выполняется агент фильтра подключений, исходным IP-адресом считается IP-адрес, указанный в заголовке «Received» и не совпадающий ни с одним из IP-адресов SMTP-серверов в демилитаризованной зоне.

Перед запуском фильтрации подключений необходимо указать все внутренние SMTP-серверы для объекта конфигурации транспорта в лесу Active Directory. Для задания внутренних SMTP-серверов используйте параметр InternalSMTPServers с командлетом Set-TransportConfig.

После настройки службы поставщиков списков запрещенных IP-адресов или службы поставщиков списка разрешенных IP-адресов можно проверить правильность настройки фильтрации подключений для работы с конкретной службой. Большинство служб поставщиков списков запрещенных IP-адресов или служб поставщиков списков разрешенных IP-адресов предоставляют тестовые IP-адреса, которые можно использовать для проверки работы этих служб. При выполнении проверки службы поставщиков списков запрещенных IP-адресов или службы поставщиков разрешенных списков IP-адресов агент фильтра подключений формирует DNS-запрос, используя IP-адрес списка запрещенных адресов реального времени, который должен возвращать конкретный отклик. Дополнительные сведения о службах списков запрещенных адресов реального времени см. в разделе Фильтрация подключений. Дополнительные сведения о проверке IP-адресов в службе поставщиков списков запрещенных IP-адресов или поставщиков списков разрешенных IP-адресов см. в разделах Test-IPAllowListProvider и Test-IPBlockListProvider.

Дополнительные сведения о настройке фильтрации подключений с помощью консоли управления Exchange см. в следующих разделах:

• Фильтрация подключений
  
  
• Инструкции по включению фильтрации подключений
  
  
• Инструкции по добавлению IP-адресов в список разрешенных IP-адресов или список заблокированных IP-адресов
  
  
• Инструкции по настройке поставщиков списка разрешенных IP-адресов и поставщиков списка заблокированных IP-адресов.
  
  

Дополнительные сведения о настройке фильтрации подключений с помощью командной консоли Exchange см. в следующих разделах:

• Get-IPAllowListConfig
  
  
• Set-IPAllowListConfig
  
  
• Add-IPAllowListEntry
  
  
• Get-IPAllowListEntry
  
  
• Remove-IPAllowListEntry
  
  
• Add-IPAllowListProvider
  
  
• Get-IPAllowListProvider
  
  
• Remove-IPAllowListProvider
  
  
• Set-IPAllowListProvider
  
  
• Test-IPAllowListProvider
  
  
• Get-IPAllowListProvidersConfig
  
  
• Set-IPAllowListProvidersConfig
  
  
• Get-IPBlockListConfig
  
  
• Set-IPBlockListConfig
  
  
• Add-IPBlockListEntry
  
  
• Get-IPBlockListEntry
  
  
• Remove-IPBlockListEntry
  
  
• Add-IPBlockListProvider
  
  
• Get-IPBlockListProvider
  
  
• Remove-IPBlockListProvider
  
  
• Set-IPBlockListProvider
  
  
• Test-IPBlockListProvider
  
  
• Get-IPBlockListProvidersConfig
  
  
• Set-IPBlockListProvidersConfig