Настройка внутреннего spam фильтра Exchange Server 2016

20 февраля 2017
Примечание

1 ноября 2016 г. корпорация Майкрософт перестала выпускать обновления определений спама для фильтров SmartScreen в Exchange и Outlook. Существующие определения спама для SmartScreen останутся, но их эффективность будет снижаться с течением времени.

Дополнительные сведения см. в статье Прекращение поддержки SmartScreen в Outlook и Exchange.

Функция фильтрации содержимого оценивает входящие сообщения, определяя вероятность нежелательной почты. В отличие от других технологий фильтрации, фильтрация содержимого основана на характеристиках из статистически значимой выборки обыкновенных и нежелательных сообщений. Фильтрация содержимого в Exchange Server 2016 обеспечивается агентом фильтрации содержимого и по сути не отличается от Exchange Server 2010. Обновления для агента фильтрации содержимого периодически появляются в Центре обновления Майкрософт.

По умолчанию агент фильтрации содержимого включен на пограничных транспортных серверах, но его также можно включить на серверах почтовых ящиков.

Используем сценарий PowerShell Install-AntispamAgents.ps1 для установки и включения встроенных агентов защиты от спама Exchange на сервере почтовых ящиков.

Следующие агенты защиты от спама доступны в службе транспорта на серверах почтовых ящиков Exchange 2016, но не установлены по умолчанию:

  • Агент фильтра содержимого
  • Агент фильтра отправителей
  • Агент идентификации отправителей
  • Агент анализа протокола для репутации отправителя

Мы можем установить эти агенты защиты от спама на сервере почтовых ящиков с помощью сценария командной консоли Exchange, что важно, если эти агенты — наша единственная защита от спама. Как правило, нам не нужно устанавливать агенты защиты от спама на сервере почтовых ящиков, если в нашей организации используются другие фильтры спама для входящей почты.

Как это сделать (подробнее здесь).

Шаг 1. Запускаем сценарий PowerShell Install-AntispamAgents.ps1

Выполняем следующую команду в командной консоли Exchange на сервере почтовых ящиков:

& $env:ExchangeInstallPath\Scripts\Install-AntiSpamAgents.ps1

Шаг 2. Перезапускаем службу транспорта Microsoft Exchange

Выполняем следующую команду в командной консоли Exchange на сервере почтовых ящиков:

Restart-Service MSExchangeTransport

Шаг 3. Указываем внутренние SMTP-серверы нашей организации

Необходимо указать IP-адреса всех внутренних SMTP-серверов, которые должен игнорировать агент Sender ID. Достаточно указать IP-адрес по крайней мере одного внутреннего SMTP-сервера. Если сервер почтовых ящиков, на котором работают агенты защиты от спама, является единственным SMTP-сервером в организации. Чтобы добавить IP-адреса внутренних SMTP-серверов, не изменяя существующие значения, выполняем следующую команду в командной консоли Exchange на сервере почтовых ящиков:

Set-TransportConfig -InternalSMTPServers @{Add=”10.0.1.10″,”10.0.1.11″}

Шаг 4. Дальнейшие действия

Теперь на сервере почтовых ящиков должны быть установлены и запущены агент фильтра содержимого, агент Sender ID, агент фильтра отправителей и агент анализа протокола (репутации отправителей). Чтобы убедиться в этом, выполняем следующую команду в командной консоли Exchange на сервере почтовых ящиков:

Get-TransportAgent

Get-ContentFilterConfig | Format-Table Name,Enabled; Get-SenderFilterConfig | Format-Table Name,Enabled; Get-SenderIDConfig | Format-Table Name,Enabled; Get-SenderReputationConfig | Format-Table Name,Enabled

Далее, используя статью  настраиваем отбой сообщений и уведомление отправителю о том что его сообщение было распознано как спам.

Установка сообщения отправителю:

Set-ContentFilterConfig -RejectionResponse “Your message was rejected because it appears to be SPAM.”

Проверяем командой:

Get-ContentFilterConfig | Format-List *Reject*

В моем случае я получил ответ

RejectionResponse  : Your message was rejected because it appears to be SPAM.

SCLRejectThreshold : 8

SCLRejectEnabled   : False

Что говорит о том, что данный функционал отключен. Проверяем данный фильтр в целом командой:

Get-ContentFilterConfig | fl

В ответе я вижу, что отключен не только отбой с уведомлением, но и удаление явного спама.

Включать данный функционал или нет каждый решает сам, так как возможна потеря легитимных писем. Я включаю функционал отбоя с уведомлением, но оставляю выключенным функционал удаления командой:

set-ContentFilterConfig -SCLRejectEnabled $true

Тут меня постигла неудача, ошибка:

The SCL reject threshold must be greater than the SCL quarantine threshold.

Смотрим рекомендуемые параметры в статье здесь и назначаем параметры по умолчанию, в дальнейшем их можно корректировать в соответствии с анализом работы вашего сервера, статья о метках , выполняем команды настройки:

set-ContentFilterConfig -SCLRejectThreshold 7

set-ContentFilterConfig -SCLQuarantineThreshold 6

set-ContentFilterConfig -SCLDeleteThreshold 8

Проверяем

Get-ContentFilterConfig | fl

И повторяем

set-ContentFilterConfig -SCLRejectEnabled $true

Далее указываем список доменов или конкретных почтовых ящиков, которым мы всецело доверяем, примеры приведены в данной статье

Set-ContentFilterConfig -BypassedSenderDomains microsoft.com,soft.ru

Для добавления к уже существующему списку используем команду:

Set-ContentFilterConfig –BypassedSenderDomains @{Add=”intel.com”, “nokia.com”}

Кроме того, мы можем настроить работу с поставщиками списков заблокированных IP-адресов, так называемые спам листы, подробнее об этом в статье. Я данным функционалом воспользоваться не могу в виду отсутствия пограничного транспортного сервера. Пара примеров.

Пример 1

В этом примере добавляется поставщик списка заблокированных IP-адресов, а также настраивается ответ отклонения. Поставщик списка заблокированных IP-адресов предоставляет значение параметра LookupDomain.

Add-IPBlockListProvider –Name “Contoso.com Block List” –LookupDomain blocklist.contoso.com –RejectionResponse “Source IP address is listed at the Contoso.com block list provider”

Пример 2

В этом примере добавляется поставщик списка заблокированных IP-адресов, а также настраивается возвращаемое поставщиком значение битовой маски. Поставщик списка заблокированных IP-адресов предоставляет значения параметров LookupDomain и BitmaskMatch.

Add-IPBlockListProvider -Name “Fabrikam.com Block List” -LookupDomain blocklist.fabrikam.com -BitmaskMatch 127.1.0.1

В конце отмечу, что описание всех процедур и команд можно посмотреть на сайте https://technet.microsoft.com/ru-ru/ воспользовавшись поиском.

А также не забываем о стратегии защиты от нежелательной почты

Защита от нежелательной почты — это баланс между блокированием нежелательных сообщений и разрешением подлинных. Если настроить слишком много функций строгой защиты от нежелательной почты, высока вероятность блокировки множества подлинных сообщений (ложных срабатываний). Если же сделать защиту слишком свободной, в организацию будет проникать много спама.

Ниже приводятся некоторые рекомендации, которые следует учитывать при настройке встроенных функций защиты от нежелательной почты в Exchange.

  • Отклоняйте сообщения, обнаруженные агентом фильтра подключений, агентом фильтрации получателей и агентом фильтрации отправителей. Не помещайте их в карантин и не применяйте к ним метки нежелательной почты. Этот подход рекомендуется по следующим причинам:
  • Как правило, сообщения, обнаруженные при использовании параметров по умолчанию для фильтрации подключений, получателей и отправителей, можно считать нежелательными без дальнейших проверок. Например, если для фильтрации отправителей настроена блокировка определенных отправителей, нет необходимости продолжать обработку сообщений от этих отправителей. Если отклонять эти сообщения нежелательно, то не следует добавлять соответствующие адреса в список заблокированных отправителей.
  • Повышенный уровень защиты для агентов, обрабатывающих сообщения на ранних этапах транспортного конвейера, позволяет экономить вычислительные ресурсы, полосу пропускания и дисковые ресурсы. Чем дальше сообщение проходит по транспортному конвейеру, тем больше переменных приходится учитывать оставшимся компонентам защиты от нежелательной почты, чтобы успешно определить сообщение как спам. Отклоняйте очевидный спам как можно раньше, чтобы оставить время для подозрительных сообщений.
  • Необходимо отслеживать эффективность функций защиты от нежелательной почты на их текущих уровнях конфигурации. Мониторинг позволяет реагировать на тенденции, а также повышать и понижать интенсивность защиты. Для начала следует использовать параметры по умолчанию, чтобы свести к минимуму число ложных срабатываний. По мере отслеживания количества спама и ложных срабатываний вы можете повышать интенсивность защиты в зависимости от типов спама и атак, наблюдаемых в организации.

 

Успехов!

Смотрите также:

DHCP relay в cisco и немного о подключении Cisco IP phone в разрыв кабеля
О подключении Cisco IP phone

Расскажем о своем опыте по администрированию и настройке DHCP Relay в Cisco, подключении Cisco IP phone в разрыв кабеля между коммуникатором и компьютером.

установка эксчендж сервер 2016
Услуги настройки Exchange Server 2016

Услуги установки и настройки Exchange Server 2016, обеспечивающего широкие возможности Outlook на телефонах, планшетах, компьютерах и в интернете.

настройка шифрования корпоративной почты
Безопасность корпоративной почты

Пакет "Защита и шифрование электронной почты для организаций" обеспечит конфиденциальность переписки внутри организации и со сторонними адресатами. Предложим наилучшие в вашем случае системы, методы и программы защиты корпоративной электронной почты, подберем необходимое аппаратное и программное обеспечение

ИТ-аутсорсинг
IT-аутсорсинг

Поручив нам IT аутсорсинг обслуживания компьютерного и сетевого оборудования, вы получите в свое распоряжение действительно высококвалифицированных специалистов и при этом сократите затраты на ИТ, как минимум, на 30-40%