Репутация отправителя
Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Последнее изменение раздела: 2006-09-18
«Репутация отправителя» — это функция противодействия нежелательной почте, которая задействована на компьютерах с установленной ролью пограничного транспортного сервера Microsoft Exchange Server 2007 и которая используется для блокировки сообщений в соответствии с заданными характеристиками отправителя. Для определения действия, которое нужно предпринять в отношении входящего сообщения, данная функция использует сохраненные сведения об отправителе.
Агенты противодействия нежелательной почте настраиваются на граничном транспортном сервере таким образом, чтобы обрабатывать сообщения совместно, последовательно уменьшая число нежелательных почтовых сообщений, приходящих в организацию. Дополнительные сведения о планировании и развертывании агентов противодействия нежелательной почте см. в разделе Функции защиты от нежелательной почты и вирусов.
Вычисление уровня репутации отправителя
Уровень репутации отправителя (SRL) рассчитывается исходя из следующей статистики:
Анализ HELO/EHLO. SMTP-команды HELO и EHLO предназначены для предоставления имени домена, например Contoso.com, или IP-адреса SMTP-сервера отправителя принимающему SMTP-серверу. Злонамеренные пользователи, или спамеры, часто разными способами подделывают оператор HELO/EHLO. Например, вводят IP-адрес, не соответствующий IP-адресу, с которого произошло подключение. Кроме того, в попытке представить, будто домены находятся в организации, в оператор HELO спамеры подставляют домены, о которых известно, что они локально поддерживаются на принимающем сервере. В других случаях злонамеренные пользователи изменяют домен, передаваемый в операторе HELO. Типичное поведение допустимого пользователя может состоять в том, что в операторах HELO он использует разный, но относительно постоянный набор доменов.
Поэтому на основании анализа оператора HELO/EHLO для каждого отправителя можно сделать вывод, что отправитель, возможно, является злонамеренным. Например, отправитель, который в определенный период времени передает много разных уникальных операторов HELO/EHLO, вероятно, является злонамеренным пользователем. Отправители, которые постоянно передают в операторе HELO IP-адрес, который не соответствует исходящему IP-адресу, определенному агентом фильтра подключений, также вероятнее всего будут злонамеренными пользователями. То же можно сказать и об удаленных отправителях, постоянно передающих в операторе HELO имя локального домена, находящегося в той же организации, что и граничный транспортный сервер.
Обратный запрос DNS. Функция "репутация отправителя" также проверяет соответствие исходящего IP-адреса, с которого отправитель передал сообщение, зарегистрированному имени домена, переданному отправителем в SMTP-команде HELO или EHLO.
Функция "репутация отправителя" выполняет обратный запрос DNS, отправляя в DNS исходящий IP-адрес. Результат, возвращаемый службой DNS, — имя домена, зарегистрированное центром доменных имен для данного IP-адреса. Функция "репутация отправителя" сравнивает имя домена, возвращенное DNS, с именем домена, переданным отправителем в SMTP-команде HELO/EHLO. Если имена доменов не совпадают, то отправитель, вероятно, является злонамеренным пользователем и общая оценка SRL для него должна быть увеличена.
Агент кодов отправителя выполняет подобную задачу, но работает с данными допустимых отправителей, не являющихся злонамеренными пользователями. Агент кодов отправителя обновляет их инфраструктуру DNS, чтобы иметь свежий список всех SMTP-серверов отправителей электронной почты в их организации. Выполняя обратный запрос DNS, можно выявить потенциальных злонамеренных пользователей.
Анализ оценок SCL по сообщениям от конкретного отправителя. Когда агент фильтра содержимого обрабатывает сообщение, он назначает сообщению оценку вероятности нежелательной почты (SCL). Оценка SCL — это число от 0 до 9. Чем больше оценка SCL, тем больше вероятность, что сообщение является нежелательным. Данные о каждом отправителе и оценках SCL их сообщений сохраняются для анализа при помощи функции «Репутация отправителя». Функция «Репутация отправителя» вычисляет статистику для отправителя, определяя соотношение между всеми сообщениями от данного отправителя, которые имели в прошлом низкую оценку SCL, и всеми сообщениями от этого же отправителя, которые имели высокую оценку SCL. Кроме того, количество сообщений с высокой оценкой SCL, пришедших от отправителя за предыдущий день, применяется к общему значению SRL.
Тестирование открытого прокси-сервера отправителя — это открытый прокси-сервер, который принимает запросы на подключение ото всех и из любого места и затем пересылает трафик как если бы он исходил от локальных компьютеров. Прокси-серверы ретранслируют TCP-трафик через брандмауэр, обеспечивая пользовательским приложениям прозрачный доступ через брандмауэр. Поскольку протоколы прокси-серверов — облегченные и независимые от протоколов пользовательского приложения, то прокси-серверы могут использоваться многими различными службами. Прокси-серверы могут также применяться для общего использования одного подключения к Интернету несколькими компьютерами. Прокси-серверы обычно настраиваются так, чтобы пересекать прокси-серверы можно было только с известных брандмауэру доверенных компьютеров.
Прокси-серверы могут быть открытыми по следующим причинам:
Неумышленная неправильная настройка
Действие троянских вирусов Троянский вирус это программа, которая маскирует свою деятельность под деятельность обычной программы для того, чтобы попытаться завладеть определенной информацией.
При недостаточно тщательном ведении журнала открытые прокси-серверы предоставляют для злонамеренных пользователей идеальный способ скрыть свои истинные учетные данные, чтобы реализовать атаку «отказ в обслуживании» (DoS) или разослать нежелательную почту. Так как все больше прокси-серверов настраивается как открытые по умолчанию, открытые прокси-серверы становятся обычным явлением. Кроме того, чтобы скрыть истинный IP-адрес отправителя, злоумышленник может использовать цепочку из нескольких открытых прокси-серверов.
Когда функция «Репутация отправителя» выполняет тестирование открытого прокси-сервера, она формирует SMTP-запрос, чтобы попытаться установить обратное подключение между открытым прокси-сервером и пограничным транспортным сервером. Если SMTP-запрос от прокси-сервера получен, функция «Репутация отправителя» проверяет, является ли данный прокси-сервер открытым, после чего обновляет статистику проверки открытого прокси-сервера для данного отправителя.
Функция «Репутация отправителя» производит оценку всех данных статистики и подсчитывает значение SRL для каждого отправителя. SRL — это число от 0 до 9, отражающее вероятность того, что определенный отправитель является спамером или иным злонамеренным пользователем. Значение 0 говорит о том, что данный отправитель, скорее всего не является спамером. Значение 9 говорит о том, что данный отправитель, скорее всего является спамером.
Можно установить порог блокировки в диапазоне от 0 до 9, по достижении которого функция «Репутация отправителя» отправляет запрос агенту фильтра отправителя и тем самым запрещает отправителю отправлять сообщения в организацию. Когда отправитель заблокирован, он на заданный период добавляется к списку заблокированных отправителей. Порядок обработки заблокированных сообщений зависит от настройки агента фильтра отправителей. При обработке заблокированных сообщений возможны следующие действия:
Отклонить
Удалить и архивировать
Принять сообщение и пометить отправителя как заблокированного
Если отправитель включен в список Microsoft Block List или IP Reputation Service, функция «Репутация отправителя» немедленно отправляет запрос агенту фильтра отправителя, чтобы заблокировать этого отправителя. Чтобы воспользоваться этими возможностями, необходимо включить и настроить средство корпорации Майкрософт для автоматических обновлений для противодействия нежелательной почте — Microsoft Exchange Anti-spam Update Service.
По умолчанию для отправителей, которые не были проанализированы, граничный транспортный сервер устанавливает оценку 0. После того как от отправителя приходит 20 или больше сообщений, функция «Репутация отправителя» рассчитывает значение SRL, которое основывается на статистике, описанной ранее в этом разделе.
Использование значения SRL
Функция «Репутация отправителя» обрабатывает сообщения на двух этапах SMTP-сеанса:
SMTP-команда «MAIL FROM:». Функция «Репутация отправителя» обрабатывает сообщение только в случае, если сообщение было заблокировано или иным образом обработано агентом фильтра подключений, агентом фильтра отправителя, агентом фильтра получателя или агентом кодов отправителя. В этом случае функция «Репутация отправителя» извлекает текущую оценку SRL отправителя из профиля данного отправителя, сохраненного в базе данных пограничного транспорта. После получения этой оценки дальнейшие действия, выполняемые при конкретном подключении соответственно порогу блокировки, определяются настройкой граничного транспортного сервера.
После SMTP-команды «конец данных». SMTP-команда о завершении передачи данных (_EOD) передается, когда все фактические данные сообщения отправлены. На этой стадии SMTP-сеанса многие из агентов противодействия нежелательной почте уже обработали сообщение. В результате всех процедур противодействия нежелательной почте статистика, которую использует функция «Репутация отправителя», обновляется. Таким образом, функция «Репутация отправителя» получает обновленные данные для последующего расчета или пересчета значения SRL для отправителя.
Для получения дополнительных сведений см. раздел Настройка репутации отправителя.
Дополнительные сведения
Для получения дополнительных сведений о средствах защиты от нежелательных сообщений в Outlook 2007 см. следующие разделы:
Для получения дополнительных сведений о настройке репутации отправителя см. следующие разделы: