Concetti relativi al flusso di posta per la protezione da posta indesiderata e antivirus
Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Ultima modifica dell'argomento: 2009-01-22
Se un utente esterno invia messaggi di posta elettronica a un server Microsoft Exchange che esegue le funzionalità di protezione da posta indesiderata, verranno valutate le caratteristiche dei messaggi in ingresso, quindi verranno filtrati i messaggi che si presume siano posta indesiderata o verrà assegnato un livello ai messaggi in base alla probabilità che siano posta indesiderata. Questo livello viene memorizzato come una proprietà del messaggio nota con la definizione di livello di probabilità di posta indesiderata (SCL, Spam Confidence Level). Il livello assegnato viene conservato con il messaggio quando questo viene inviato ad altri server Exchange.
Nella figura 1 viene mostrato l'ordine in cui le funzionalità di protezione da posta indesiderata predefinite e Microsoft Forefront Security per Exchange Server filtrano i messaggi in ingresso da Internet. Per impostazione predefinita, le funzionalità di protezione da posta indesiderata e antivirus sono disposte in questo ordine, ovvero prima i filtri che utilizzano il minor numero di risorse, quindi i filtri che utilizzano il maggior numero di risorse.
Nota
Altre funzionalità di protezione da posta indesiderata aggiuntive potrebbero essere disponibili in futuro. Quando verranno sviluppate nuove funzionalità di protezione da posta indesiderata, verranno incluse nel flusso di posta globale. Inoltre, nella seguente figura e relativa descrizione si suppone che il server Trasporto Edge Exchange Server 2007 sia il primo server SMTP che accetta i messaggi in ingresso. In alcune organizzazioni, il server Trasporto Edge potrebbe essere distribuito dietro un server SMTP di terze parti. Se il server Trasporto Edge di Exchange 2007 viene distribuito dietro un server gateway SMTP di terze parti, è necessaria una configurazione aggiuntiva del server Trasporto Edge di Exchange 2007. In modo specifico, è necessario assicurarsi che tutti i server gateway SMTP siano elencati nella proprietà InternalSMTPServer dell'oggetto TransportConfig. Per ulteriori informazioni, vedere Set-TransportConfig.
Figura 1 Funzionalità di protezione da posta indesiderata predefinite con antivirus che filtrano i messaggi in ingresso da Internet
Come illustrato nella figura 1, i filtri vengono applicati nel seguente ordine quando il server Trasporto Edge prevede l'accesso a Internet:
Un server SMTP si connette a Exchange 2007 e avvia una sessione SMTP.
Filtro connessioni
Filtro mittente
Filtro destinatari
Filtro dell'ID mittente
Filtro contenuto
Filtro degli allegati
Ricerca dei virus
Nota
Sebbene questo dettaglio non sia illustrato nella figura 1, il filtro connessioni raccoglie le informazioni durante due eventi diversi. Nella figura 1 viene illustrato il primo evento durante il quale il filtro connessioni raccoglie dalla connessione le informazioni relative all'indirizzo IP. Nella figura 3 viene illustrata la seconda volta che il filtro contenuto raccoglie le informazioni, ovvero quando l'agente filtro mittente analizza le intestazioni dei messaggi per determinare il primo indirizzo IP esterno. Gli agenti possono monitorare più eventi. Nella figura 1 viene illustrata una visualizzazione di livello elevato dell'ordine approssimativo in cui vengono applicati gli agenti, quando questi sono tutti abilitati, allo scopo di illustrare il flusso di messaggi. Per ulteriori informazioni su eventi specifici e su quali agenti eseguono il monitoraggio degli eventi, vedere Panoramica sugli agenti di trasporto.
Filtro connessioni
Durante la sessione SMTP, Exchange 2007 applica il filtro connessioni utilizzando i seguenti criteri come illustrato nella figura 2.
Figura 2 Flusso di posta del filtro connessioni
L'agente filtro connessioni esamina l'elenco indirizzi IP consentiti definito dall'amministratore. Se l'indirizzo IP del server di invio si trova nell'elenco indirizzi IP consenti definito dall'amministratore, il messaggio viene elaborato dal filtro mittente.
L'agente filtro connessioni esamina l'elenco indirizzi IP bloccati locale. Se l'indirizzo IP del server di invio è presente nell'elenco indirizzi IP bloccati locale, il messaggio viene automaticamente rifiutato e non viene applicato alcun altro filtro.
L'agente filtro connessioni esamina l'elenco degli indirizzi IP consentiti dei provider dell'elenco indirizzi IP consentiti di cui si dispone. Se l'indirizzo IP del server di invio si trova nell'elenco indirizzi IP consenti dei provider, il messaggio viene elaborato dal filtro mittente.
Mediante l'agente filtro connessioni vengono esaminati gli elenchi indirizzi bloccati in tempo reale dei provider configurati. Se l'indirizzo IP del server di invio è presente in un elenco indirizzi bloccati in tempo reale, il messaggio viene rifiutato e non viene applicato alcun altro filtro.
Per ulteriori informazioni, vedere Configurazione del filtro connessioni.
Nota
Se l'agente filtro connessioni viene distribuito in un computer che si trova dietro un altro server con accesso a Internet, vengono richiamati altri filtri, quali il filtro mittente e il filtro destinatari, prima dell'agente filtro connessioni.
Filtro mittente
Una volta applicato il filtro connessioni, in Exchange 2007 viene esaminato l'indirizzo di posta elettronica del mittente in base all'elenco dei mittenti bloccati configurato nel filtro mittente, come illustrato nella figura 3.
Figura 3 Flusso di posta del filtro mittente
L'agente filtro mittente controlla quindi l'indirizzo di posta elettronica del mittente contenuto nei campi di intestazione Da: nella busta del messaggio e nell'intestazione del messaggio. Se il campo di intestazione Da: corrisponde a un indirizzo presente nell'elenco dei mittenti bloccati, il messaggio viene rifiutato a livello di protocollo e non vengono applicati altri filtri.
Nota
Anche se i destinatari nell'organizzazione hanno inserito i mittenti nel proprio Elenco mittenti protetti di Microsoft Office Outlook, il filtro mittente del server Trasporto Edge ha la priorità sull'impostazione di Outlook del destinatario e rifiuterà i messaggi.
Per ulteriori informazioni sul filtro mittente, vedere Configurazione del filtro mittente.
Per ulteriori informazioni sulle buste e sulle intestazioni dei messaggi, vedere Gestione della directory di riproduzione.
Filtri destinatario
Se il filtro dei mittenti non rifiuta il messaggio, Exchange eseguirà di nuovo il filtro connessioni. In Exchange viene quindi applicato l'agente filtro destinatario, come illustrato nella figura 4.
Figura 4 Flusso di posta dei filtri dei destinatari
L'agente filtro destinatario esamina il destinatario in base all'elenco dei destinatari bloccati configurato nelle impostazioni dell'agente filtro destinatario. Se il destinatario corrisponde a uno degli indirizzi di posta elettronica presenti nell'elenco, Exchange 2007 rifiuta il messaggio per quel destinatario. Inoltre, l'agente filtro destinatario controlla se il destinatario è presente nell'organizzazione. In caso contrario, il messaggio viene rifiutato.
Se nel messaggio vengono elencati più destinatari e nessuno di essi si trova nell'elenco dei destinatari bloccati, l'elaborazione del messaggio proseguirà. In caso contrario, se il messaggio è indirizzato per un solo destinatario bloccato, non viene applicato nessun altro filtro.
Quando viene elaborato un messaggio con destinatari bloccati, l'insieme dei destinatari bloccati viene rimosso dal messaggio e il messaggio procede nell'organizzazione. Le risposte di rifiuto di SMTP a livello di protocollo vengono inviate al mittente per ciascun destinatario bloccato. L'agente Reputazione mittente esegue il monitoraggio dell'evento OnReject per calcolare il livello di reputazione del mittente.
Per ulteriori informazioni, vedere Configurazione del filtro destinatari.
Filtro ID mittente
Se il messaggio contiene ancora destinatari validi dopo avere applicato il filtro destinatari, in Exchange 2007 viene eseguito l'ID mittente, come illustrato nella figura 5.
Figura 5 Flusso di posta del filtro ID mittente
In primo luogo, l'agente ID mittente determina il PRA (Purported Responsible Address) del messaggio utilizzando l'algoritmo descritto in RFC 4407. Questo passaggio è necessario per identificare in modo preciso il mittente del messaggio. Il PRA è un indirizzo SMTP, ad esempio kim@contoso.com. L'agente ID mittente esegue quindi una ricerca DNS (Domain Name Service) in base alla parte di dominio del PRA. Se il dominio ha pubblicato un record SPF (Sender Policy Framework), l'agente utilizza il record SPF per valutare il messaggio in base alla specifica RFC 4408. Il risultato della valutazione viene inserito nel messaggio nell'indicatore di protezione della posta indesiderata. Se il dominio non dispone di un record SPF pubblicato, l'agente ID mittente inserisce nel messaggio il risultato "Nessuno" per l'ID mittente. Per ulteriori informazioni sui tipi di indicatori utilizzati per il filtro dell'ID mittente, vedere Indicatori protezione posta indesiderata.
Se il DNS del mittente proviene da un dominio o da un indirizzo bloccato, sono riportate di seguito alcune azioni che è possibile eseguire in base alla configurazione delle azioni dell'ID mittente:
Rifiuta messaggio Se l'azione dell'ID mittente viene impostata su Rifiuta messaggio, il messaggio viene rifiutato e viene inviata una risposta di errore SMTP al server di invio. La risposta di errore SMTP è una risposta del protocollo di 5xx livello con testo che corrisponde allo stato dell'ID mittente.
Elimina messaggio Se l'azione dell'ID mittente viene impostata su Elimina messaggio, il messaggio viene eliminato senza informare dell'eliminazione il server di invio. Infatti, il computer in cui è installato il ruolo del server Trasporto Edge invia un comando SMTP "OK" fittizio al server mittente e quindi elimina il messaggio. Poiché il server mittente assume che il messaggio è stato inviato, non tenta di inviarlo di nuovo nella stessa sessione.
Contrassegna messaggio con risultato ID mittente e continua l'elaborazione Il messaggio viene contrassegnato con il risultato dell'ID mittente e l'elaborazione del messaggio continuerà. I metadati vengono analizzati dall'agente filtro contenuto quando viene calcolato il livello di probabilità di posta indesiderata. Inoltre, la reputazione mittente utilizza i metadati del messaggio per calcolare il livello di reputazione del mittente del messaggio.
Per ulteriori informazioni, vedere Configurazione dell'ID mittente.
Filtro contenuto
Prima che il filtro dei contenuti di Exchange richiami il Filtro messaggi intelligente di Exchange, viene di nuovo applicato il filtro dei mittenti. Il server Exchange applica quindi l'agente filtro contenuto, come illustrato nella figura 6.
Figura 6 Flusso dei messaggi del filtro dei contenuti
L'agente filtro contenuto controlla le seguenti condizioni nel messaggio. Se una delle condizioni è vera, il messaggio ignora il filtro dei contenuti. I messaggi vengono quindi sottoposti alla ricerca di virus.
L'indirizzo IP del mittente si trova nell'elenco indirizzi IP consentiti del filtro connessioni.
Tutti i destinatari si trovano nell'elenco delle eccezioni del filtro dei contenuti.
Il parametro AntiSpamBypassEnabled è impostato su
$True
in tutte le cassette postali dei destinatari.Tutti i destinatari hanno aggiunto questo mittente al proprio elenco Mittenti attendibili di Outlook, che viene aggiornato nel server Trasporto Edge utilizzando l'aggregazione degli elenchi indirizzi attendibili.
Il mittente è un partner attendibile ed è inserito nell'elenco dei mittenti dell'organizzazione che non vengono filtrati.
Oltre alle condizioni appena elencate, se la sessione SMTP è stata autenticata come partner attendibile e se l'amministratore ha concesso l'autorizzazione Ignora anti-spam (Ms-Exch-Bypass-Anti-Spam) ai partner, gli agenti protezione posta indesiderata verranno disabilitati per i messaggi durante questa sessione. L'autorizzazione Ignora anti-spam non è concessa ai partner per impostazione predefinita e deve essere assegnata da un amministratore.
Se un messaggio non soddisfa alcuna delle condizioni descritte, viene applicato il filtro dei contenuti. Il filtro dei contenuti assegna un livello SCL al messaggio. In base a tale livello, si verifica una delle seguenti azioni:
Se il livello SCL del messaggio è maggiore o uguale alla soglia di eliminazione SCL e tale soglia è abilitata, l'agente filtro contenuto eliminerà il messaggio. Non sono previste comunicazioni al livello del protocollo per notificare al sistema mittente o al mittente che il messaggio è stato eliminato. Se il livello SCL è inferiore al valore della soglia di eliminazione SCL, l'agente filtro contenuto non eliminerà il messaggio. L'agente filtro contenuto, invece, confronta il valore SCL e la soglia di rifiuto SCL.
Se il livello SCL del messaggio è maggiore o uguale alla soglia di rifiuto SCL e tale soglia è abilitata, l'agente filtro contenuto eliminerà il messaggio e invierà una risposta di rifiuto al sistema di invio. La risposta di rifiuto può essere personalizzata. In alcuni casi, viene inviato un rapporto di mancato recapito (NDR, non-delivery report) al mittente originale del messaggio. Se il livello SCL è inferiore al valore della soglia di rifiuto SCL, l'agente filtro contenuto non eliminerà il messaggio. L'agente filtro contenuto, invece, confronta il valore SCL e la soglia di quarantena SCL.
Se il livello SCL del messaggio è maggiore o uguale alla soglia di quarantena SCL e tale soglia è abilitata, l'agente filtro contenuto invierà il messaggio alla cassetta postale per la quarantena della posta indesiderata. Per ulteriori informazioni sulla gestione della quarantena della posta indesiderata, vedere Configurazione e gestione della quarantena per la posta indesiderata. Al messaggio verrà quindi applicato il filtro degli allegati.
Per ulteriori informazioni, vedere i seguenti argomenti:
Applicazione del filtro agli allegati
Una volta applicato il filtro dei contenuti, in Exchange viene applicato il filtro degli allegati, come illustrato nella figura 7.
Figura 7 Flusso di posta del filtro degli allegati
È possibile configurare il filtro degli allegati per bloccare gli allegati in base al tipo di contenuto MIME, al nome del file o all'estensione del nome file. Se il filtro degli allegati rileva un tipo di contenuto o un nome file bloccato, si verificherà una seguenti azioni in base alle impostazioni del filtro degli allegati:
Rifiuta Se l'azione è impostata su Rifiuta, non sarà consentito il recapito al destinatario sia del messaggio di posta elettronica che dell'allegato e il sistema invierà al mittente un messaggio di esito negativo con un rapporto di mancato recapito (NDR, Non-Delivery Report). La risposta di rifiuto può essere personalizzata.
Elimina automaticamente Se l'azione è impostata su Elimina automaticamente, non sarà consentito il recapito al desinatario sia del messaggio di posta elettronica che dell'allegato. Al destinatario non viene restituita alcuna notifica del blocco del messaggio di posta elettronica e dell'allegato.
Rimuovi Se l'azione è impostata su Rimuovi, l'allegato viene rimosso dal messaggio di posta elettronica. Consente inoltre di recapitare al destinatario il messaggio e altri allegati che non corrispondono a una voce nell'elenco degli allegati bloccati. Al messaggio di posta elettronica del destinatario viene aggiunta la notifica del blocco dell'allegato.
Se il messaggio non è stato rifutato o eliminato o il filtro degli allegati non ha rilevato tipi di allegati bloccati, il messaggio viene sottoposto alla ricerca antivirus.
Per ulteriori informazioni, vedere Configurazione del filtro degli allegati.
Ricerca dei virus
Una volta applicato il filtro degli allegati o se i destinatari sono stati ignorati dal filtro dei contenuti, viene applicata la ricerca antivirus Forefront Security per Exchange Server, come illustrato nella figura 8.
Figura 8 Flusso di posta della ricerca antivirus Forefront Security per Exchange Server
Forefront Security per Exchange Server è un pacchetto di software antivirus strettamente integrato con Exchange 2007 e offre una protezione antivirus ulteriore per l'ambiente di Exchange. Quando Forefront Security per Exchange Server rileva dei messaggi che potrebbero contenere un virus, il messaggio viene eliminato e viene generato un messaggio di notifica che verrà inviato alla cassetta postale del destinatario.
Per ulteriori informazioni su Forefront Security per Exchange Server, vedere Protezione dell'organizzazione di Microsoft Exchange con Microsoft Forefront Security per Exchange Server (informazioni in lingua inglese).
Filtro della posta elettronica indesiderata di Outlook
Una volta applicati i filtri e sottoposto il messaggio alla ricerca antivirus, il messaggio viene inviato alla cassetta postale del destinatario e viene applicato il filtro della posta elettronica indesiderata, come illustrato nella figura 9.
Figura 9 Flusso di posta del filtro della posta indesiderata di Outlook
Se il livello SCL del messaggio è maggiore o uguale alla soglia della cartella Posta indesiderata SCL e tale soglia è abilitata, il server Cassette postali inserisce il messaggio nella cartella Posta indesiderata dell'utente di Outlook. Se il valore SCL di un messaggio è inferiore ai valori della soglia di eliminazione, rifiuto, quarantena e della cartella Posta indesiderata SCL, il server Cassette postale inserisce il messaggio nella Posta in arrivo dell'utente. Per ulteriori informazioni sulle soglie SCL, vedere Regolazione della soglia del livello di probabilità di posta indesiderata.
Ulteriori informazioni
Per ulteriori informazioni sulle funzionalità di protezione da posta indesiderata e antivirus, vedere i seguenti argomenti: