Filtro delle connessioni nei server Trasporto Edge in Exchange Server
Il filtro di connessione è una funzionalità antispam in Exchange Server che consente o blocca la posta elettronica in base all'origine del messaggio. Il filtro delle connessioni viene eseguito dall'agente filtro connessioni disponibile solo nei server Trasporto Edge e rimane sostanzialmente invariato rispetto a Exchange Server 2010. L'agente Filtro Connessioni si basa sull'indirizzo IP del server di posta di connessione per determinare quale azione, se disponibile, deve essere eseguita su un messaggio in arrivo.
Per impostazione predefinita, l'agente filtro connessioni è il primo agente antispam a valutare un messaggio in ingresso in un server Trasporto Edge. L'indirizzo IP di origine della connessione SMTP viene verificato rispetto agli indirizzi IP consentiti e bloccati. Se l'indirizzo IP di origine è consentito in modo specifico, il messaggio viene inviato ai destinatari dell'organizzazione senza ulteriore elaborazione da parte di altri agenti antispam. Se l'indirizzo IP di origine è bloccato in modo specifico, la connessione SMTP viene interrotta. Se l'indirizzo IP di origine non è specificamente consentito o bloccato, il messaggio scorre attraverso gli altri agenti antispam nel server Trasporto Edge.
Il filtro di connessione confronta l'indirizzo IP del server di posta elettronica di origine con i valori nell'elenco indirizzi IP consentiti, nell'elenco di blocchi IP, nei provider dell'elenco di indirizzi IP consentiti e nei provider dell'elenco di blocchi IP. Per consentire il funzionamento del filtro connessione, è necessario configurare almeno uno di questi quattro archivi dati di indirizzi IP. Se non vengono specificati dati per gli indirizzi IP, è necessario disabilitare l'agente Filtro connessioni. Per altre informazioni, vedere Procedure di filtro delle connessioni nei server Trasporto Edge.
Elenco indirizzi IP bloccati
L'elenco di blocchi IP contiene gli indirizzi IP dei server di posta elettronica che si desidera bloccare. Gli indirizzi IP vengono mantenuti manualmente nell'elenco di blocchi IP. È possibile aggiungere singoli indirizzi IP o intervalli di indirizzi IP. È possibile specificare una data di scadenza che specifichi la durata del blocco di una voce di indirizzo IP. Quando viene raggiunta l'ora di scadenza, la voce dell'indirizzo IP nell'elenco indirizzi IP bloccati viene disabilitata.
Se l'agente filtro connessioni trova l'indirizzo IP di origine nell'elenco indirizzi IP bloccati, la connessione SMTP verrà eliminata dopo l'elaborazione di tutte le intestazioni RCPT TO (destinatari della busta) nel messaggio.
Gli indirizzi IP possono anche essere aggiunti automaticamente all'elenco di blocchi IP dalla funzionalità Reputazione mittente dell'agente di analisi del protocollo. Per ulteriori informazioni, vedere Reputazione del mittente e l'agente analisi del protocollo.
Elenco indirizzi IP consentiti
L'elenco indirizzi IP consentiti contiene gli indirizzi IP dei server di posta elettronica che si desidera designare come origini attendibili della posta elettronica. Email dai server di posta specificati nell'elenco indirizzi IP consentiti è esente dall'elaborazione da parte di altri agenti antispam di Exchange.
Gli indirizzi IP vengono mantenuti manualmente nell'elenco indirizzi IP consentiti. È possibile aggiungere singoli indirizzi IP o intervalli di indirizzi IP. È possibile specificare una data di scadenza che specifichi la durata del consenso a una voce di indirizzo IP. Quando viene raggiunta l'ora di scadenza, la voce nell'elenco indirizzi IP consentiti viene disabilitata.
Provider dell'elenco di blocchi IP
I provider di elenchi di blocchi IP vengono spesso definiti elenchi di blocchi in tempo reale o elenchi di indirizzi RBL. I provider dell'elenco di blocchi IP compilano elenchi di indirizzi IP del server di posta che inviano posta indesiderata. Molti provider di elenchi di indirizzi IP bloccati compilano anche elenchi di indirizzi IP del server di posta elettronica che potrebbero essere usati per la posta indesiderata. Tra questi, i server di posta configurati per l'inoltro aperto, i provider di servizi Internet che assegnano indirizzi IP dinamici e quelli che consentono il traffico del server di posta SMTP dagli account di connessione remota.
Quando si configura il filtro delle connessioni per l'uso di un provider dell'elenco di blocchi IP, l'agente filtro connessioni confronta l'indirizzo IP del server di posta di connessione con l'elenco di indirizzi IP nel provider dell'elenco di indirizzi IP bloccati. In caso di corrispondenza, il messaggio non viene consentito nell'organizzazione. È possibile configurare il filtro delle connessioni per l'uso di più provider di elenchi di indirizzi IP bloccati e assegnare valori di priorità diversi a ogni provider.
L'agente filtro connessioni controlla l'indirizzo IP di origine nell'elenco indirizzi IP consentiti e nell'elenco di blocchi IP. Se l'indirizzo IP non esiste in nessuno dei due elenchi, l'agente filtro connessioni esegue una query sul provider dell'elenco di blocchi IP in base al valore di priorità assegnato. Se l'indirizzo IP è definito in un provider di elenco indirizzi IP bloccati, il server Trasporto Edge attende ed elabora l'intestazione RCPT TO , risponde al server di posta elettronica di invio con un SMTP 550 errore e chiude la connessione. La connessione non viene eliminata immediatamente in modo che il tentativo di connessione possa essere registrato e perché è possibile specificare i destinatari che sono esenti dal blocco dei messaggi da qualsiasi provider dell'elenco di indirizzi IP bloccati.
Se l'indirizzo IP non è definito in uno dei provider dell'elenco di blocchi IP, l'agente filtro contenuto consegna il messaggio all'agente di trasporto successivo nel server Trasporto Edge.
Per ogni provider ip blocklist, è possibile personalizzare l'errore SMTP 550 restituito al mittente quando un messaggio viene bloccato. È consigliabile identificare il provider dell'elenco di blocchi IP che ha identificato l'origine del messaggio come posta indesiderata. Se un server di posta elettronica di origine legittima viene erroneamente identificato come origine della posta indesiderata, l'amministratore può contattare il provider ip blocklistt ed eseguire i passaggi necessari per rimuovere il server di posta elettronica dal provider dell'elenco di indirizzi IP bloccati.
I provider dell'elenco di blocchi IP possono restituire codici diversi per identificare il motivo per cui un indirizzo IP è definito nei relativi elenchi. La maggior parte dei provider dell'elenco di blocchi IP restituisce tipi di dati con maschera di bit o valore assoluto. All'interno di questi tipi di dati, il provider dell'elenco di blocchi IP può usare più valori per classificare l'indirizzo IP in base al tipo di minaccia.
Esistono problemi da considerare quando si usano i provider dell'elenco di blocchi IP:
Interruzioni o ritardi nel servizio provider dell'elenco di blocchi IP possono causare ritardi nell'elaborazione dei messaggi nel server Trasporto Edge. È consigliabile selezionare sempre provider attendibili dell'elenco di indirizzi IP bloccati.
I server di origine noti come legittimi possono essere erroneamente identificati come origini di posta indesiderata. Ad esempio, il server di posta può essere configurato inavvertitamente per agire come inoltro aperto. È consigliabile selezionare sempre i provider dell'elenco indirizzi IP bloccati che forniscono procedure chiare per la valutazione e la rimozione dai servizi.
Esempi di maschere di bit e di valori assoluti
Questa sezione illustra un esempio dei codici di stato restituiti dalla maggior parte dei provider blocklist. Per dettagli sui codici di stato restituiti dal provider, vedere la documentazione per il provider specifico.
Per i tipi di dati maschera di bit, il servizio provider dell'elenco di blocchi IP restituisce un codice di stato 127.0.0. x, dove l'intero x è uno qualsiasi dei valori elencati nella tabella seguente.
Valori e codici di stato per i dati di tipo maschera di bit
| Valore | Codice di stato |
|---|---|
| 1 | L'indirizzo IP si trova in un elenco di blocchi IP. |
| 2 | Il server SMTP è configurato per l'inoltro aperto. |
| 4 | L'indirizzo IP supporta un indirizzo IP di connessione remota. |
Per i tipi valore assoluto, il provider dell'elenco di blocchi IP restituisce risposte esplicite che definiscono il motivo per cui l'indirizzo IP è definito nell'elenco di blocchi. Nella seguente tabella sono illustrati esempi di valori assoluti e risposte esplicite.
Valori e codici di stato per i dati di tipo valore assoluto
| Valore | Risposta esplicita |
|---|---|
| 127.0.0.2 | L'indirizzo IP è un'origine diretta di posta indesiderata. |
| 127.0.0.4 | L'indirizzo IP è un mailer di posta inviata in blocco. |
| 127.0.0.5 | Il server remoto che invia il messaggio supporta gli inoltri aperti a più fasi. |
Provider dell'elenco indirizzi IP consentiti
I provider dell'elenco indirizzi IP consentiti sono noti anche come elenchi sicuri. I provider dell'elenco indirizzi IP consentiti sono configurati esattamente come i provider di elenchi di indirizzi IP bloccati, ma i risultati sono il contrario: definiscono gli indirizzi IP del server di posta elettronica che non sono sicuramente associati all'attività di posta indesiderata. Se l'indirizzo IP del server di posta connesso è definito in un provider allowlis IP, il messaggio è esente dall'elaborazione da parte di altri agenti antispam di Exchange. Per questo motivo, i provider dell'elenco di blocchi IP vengono usati molto più frequentemente rispetto ai provider di indirizzi IP consentiti. Scegliere attentamente i provider ip allowlis.
Testare i provider dell'elenco di blocchi IP e i provider allowlis IP
Dopo aver configurato il filtro delle connessioni per l'uso di un provider dell'elenco di blocchi IP o di un provider dell'elenco di indirizzi IP consentiti, è possibile eseguire test per verificare che i provider funzionino correttamente. La maggior parte dei provider fornisce indirizzi IP di prova che è possibile utilizzare per eseguire il test dei loro servizi. Quando si esegue il test di un provider, l'agente Filtro connessioni esegue una query DNS che dovrebbe dare come risultato una risposta specifica dal provider. Per altre informazioni su come testare gli indirizzi IP in base a un servizio provider ip blocklist o a un servizio provider allowlis IP, vedere Procedure di filtro delle connessioni nei server Trasporto Edge.
Configurazione del filtro connessioni nei server Trasporto Edge che non sono connessi direttamente a Internet
È possibile utilizzare il filtro connessioni nei server Trasporto Edge che non ricevono direttamente la posta elettronica da Internet. In questo scenario, il computer su cui viene eseguito il ruolo del server Trasporto Edge si trova dietro un altro server di posta che riceve ed elabora i messaggi direttamente da Internet. Ad esempio, l'organizzazione potrebbe inviare traffico di posta elettronica tramite un server, un servizio o un'appliance antispam prima che i messaggi raggiungano il server Trasporto Edge. In questo scenario, l'agente Filtro connessioni deve estrarre l'indirizzo IP di origine corretto dal messaggio. A tale scopo, l'agente Filtro connessioni deve analizzare i valori del campo di intestazione Ricevuto nell'intestazione del messaggio e confrontarli con gli indirizzi IP noti del server di posta ubicato tra il server Trasporto Edge e Internet.
Ogni server di posta elettronica che accetta e inoltra un messaggio SMTP nel percorso di recapito, aggiunge il proprio campo intestazione Ricevuto nell'intestazione del messaggio. L'intestazione Ricevuto del messaggio in genere contiene il nome di dominio e l'indirizzo IP del server di posta che ha elaborato il messaggio.
Se il server Trasporto Edge non accetta messaggi direttamente da Internet, è necessario usare il parametro InternalSMTPServers nel cmdlet Set-TransportConfig in un server Cassette postali di Exchange per identificare l'indirizzo IP del server di posta che si trovano tra il server Trasporto Edge e Internet. I dati relativi agli indirizzi IP vengono replicati nei server Trasporto Edge da EdgeSync. Quando i messaggi vengono ricevuti dal server Trasporto Edge, l'agente filtro connessioni presuppone un indirizzo IP in un campo di intestazione Ricevuto che non corrisponde a un valore specificato dal parametro InternalSMTPServers è l'indirizzo IP di origine che deve essere controllato. Pertanto, per consentire il corretto funzionamento del filtro connessioni, è necessario specificare tutti i server SMTP interni.