Фильтрация получателей на пограничных транспортных серверах
Область применения: Exchange Server 2013 г.
Фильтрация получателей это функция защиты от нежелательной почты в Microsoft Exchange Server 2013, которая по SMTP-заголовку RCPT TO определяет, какое действие, если оно необходимо, следует предпринять в отношении входящего сообщения. Фильтрация получателей ведется агентом фильтрации получателей.
Агент фильтра получателей блокирует сообщения в соответствии с характеристиками получателя в организации. Агент фильтра получателей может предотвратить доставку сообщений в следующих сценариях.
Несуществующие получатели. Вы можете запретить доставку получателям, которых нет в адресной книге организации. Например, может потребоваться остановить доставку в часто используемые имена учетных записей, например administrator@contoso.com или support@contoso.com.
Ограниченные списки рассылки. Вы можете запретить доставку почты из Интернета в списки рассылки, которые должны использоваться только внутренними пользователями.
Почтовые ящики, которые никогда не должны получать сообщения из Интернета. Вы можете запретить доставку почты Из Интернета в определенный почтовый ящик или псевдоним, который обычно используется в организации, например служба технической поддержки.
Агент фильтрации получателей обрабатывает получателей, которые хранятся в одном из или в обоих следующих источниках данных.
Список заблокированных получателей. Определяемый администратором список получателей, которые никогда не должны получать сообщения из Интернета.
Подстановка получателей: запрашивает Active Directory, чтобы убедиться, что получатель существует в организации. На пограничном транспортном сервере для поиска получателей требуется доступ к информации Active Directory, предоставленной из EdgeSync локальному экземпляру служб Active Directory облегченного доступа к каталогам (AD LDS).
При включении агента фильтрации получателей над входящими сообщениями в зависимости от характеристик получателей выполняется одно из следующих действий. Данные о получателях приводятся в заголовке RCPT TO.
Если входящее сообщение содержит получателя, находящегося в списке "Заблокированный получатель", сервер Exchange server отправляет
550 5.1.1 User unknownна отправляющий сервер ошибку сеанса SMTP.Если входящее сообщение содержит получателя, который не совпадает ни с какими получателями в поиске получателей, сервер Exchange server отправляет
550 5.1.1 User unknownна отправляющий сервер ошибку сеанса SMTP.Если получатель отсутствует в списке "Блокировка получателя", а получатель находится в поиске получателей, сервер Exchange server отправляет SMTP-ответ на отправляющий сервер, а следующий агент защиты от нежелательной почты
250 2.1.5 Recipient OKв цепочке обрабатывает сообщение.
Настройка поиска получателей
Один из самых эффективных способов уменьшить объем спама — проверять получателей до приема входящих сообщений из Интернета. Вы включаете блокировку сообщений, отправляемых получателям, которые не существуют в организации Exchange, и блокировку определенных получателей с помощью командлета Set-RecipientFilterConfig в командной консоли Exchange. Дополнительные сведения см. в разделе Управление фильтрацией получателей на пограничных транспортных серверах.
Если в сети периметра установлен пограничный транспортный сервер, рекомендуется настроить экземпляр AD LDS, работающий на пограничном транспортном сервере, для синхронизации с Active Directory. По умолчанию AD LDS устанавливается и настраивается на пограничном транспортном сервере. Однако необходимо настроить AD LDS для связи с присоединенным к домену сервером глобального каталога Active Directory, подписавшись на пограничный транспортный сервер вашей организации. Дополнительные сведения см. в статье Использование пограничного транспортного сервера Exchange 2010 или 2007 в Exchange 2013.
Возможность замедления отклика
Функция поиска получателей позволяет серверу-отправителю определять, действителен ли адрес электронной почты. Как упоминалось ранее, если получатель входящего сообщения является известным получателем, сервер Exchange отправляет 250 2.1.5 Recipient OK обратно SMTP-ответ на отправляющий сервер. Эта возможность предоставляет идеальные условия для атаки для сбора сведений каталога.
Атака на сбор ресурсов каталога — это попытка собрать допустимые адреса электронной почты из определенной организации, чтобы их можно было добавить в базу данных спама. Поскольку весь доход от спама основан на попытке заставить людей открывать сообщения электронной почты, адреса, известные как активные, являются товаром, за который платят злоумышленники или спамеры. Так как протокол SMTP предполагает обратную передачу данных об известных и неизвестных получателях, отправитель нежелательной почты может написать программу автоматического создания адресов электронной почты по словарю или с использованием распространенных имен, генерируя адреса для конкретного домена. Программа собирает все адреса электронной почты, возвращающие 250 2.1.5 Recipient OK SMTP-ответ, и удаляет все адреса электронной почты, возвращающие ошибку сеанса 550 5.1.1 User unknown SMTP. Затем отправитель нежелательной почты продает действительные адреса электронной почты или использует их для рассылки собственной нежелательной почты.
Для защиты от атак с целью сбора действующих адресов на сервере Exchange 2013 используется функция искусственной задержки ответов. Tarpitting — это практика искусственного задержки ответов сервера для определенных шаблонов связи SMTP, которые указывают на большие объемы спама или других нежелательных сообщений. Задача искусственной задержки ответов замедлить процесс взаимодействия для подобного почтового трафика, чтобы увеличить стоимость отправки нежелательной почты. Замедление отклика делает атаки для сбора данных слишком дорогими для работы в автоматическом режиме.
Если тарпитирование не настроено, сервер Exchange Server немедленно возвращает отправителю ошибку 550 5.1.1 User unknown сеанса SMTP, если получатель не находится в поиске получателей. Кроме того, если параметр tarpitting настроен, SMTP ожидает указанное количество секунд, прежде чем возвращает ошибку 550 5.1.1 User unknown . Такая пауза в SMTP-сеансе затрудняет автоматизацию атаки для сбора сведений каталога и делает ее менее выгодной для злонамеренного пользователя. По умолчанию для соединителей получения настроенная задержка равна 5 секундам.
Чтобы настроить задержку до того, как SMTP возвращает ошибку 550 5.1.1 User unknown , необходимо задать интервал тарпитирования с помощью параметра TarpitInterval в командлете Set-ReceiveConnector . Синтаксис:
Set-ReceiveConnector <Receive Connector> -TarpitInterval <00:00:00 to 00:10:00>
Значение по умолчанию — 00:00:05 или 5 секунд. Имя соединителя получения по умолчанию на пограничном транспортном сервере — Default internal receive connector <server name>.
Будьте осторожны, если решите изменить интервал искусственной задержки ответов. Слишком большое значение интервала может нарушить нормальный поток почты, а слишком маленький интервал может быть неэффективен для защиты от атак с целью сбора действующих адресов. При настройке интервала искусственной задержки ответов выполняйте изменение поэтапно и проверяйте результаты. Например, если 5 секунд недостаточно, попробуйте изменить интервал на 10 секунд.
Несколько пространств имен
Агент фильтрации получателей выполняет поиск получателей только для обслуживаемых доменов. Если организация принимает и пересылает сообщения от имени другого домена, который настроен в качестве домена внешней ретрансляции или внутренней ретрансляции, то агент фильтрации получателей не выполняет поиск получателя среди получателей в этих доменах. Однако если получатель указан в черном списке получателей, то он также блокируется агентом фильтрации получателей.
Обратите внимание, что также можно настроить обслуживаемые домены на пограничном транспортном сервере. Если домен настроен как домен внутренней ретрансляции или внешней ретрансляции, то агент фильтрации получателей на пограничных транспортных серверах также выполняет поиск среди получателей в этих доменах.