Общие сведения о функциях защиты от нежелательной почты и вирусов
Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Последнее изменение раздела: 2016-11-28
Отправители нежелательной почты, иначе называемые злонамеренными отправителями, применяют различные методики, чтобы доставить свои сообщения в организации. Не существует единого средства или процесса, который устранил бы всю нежелательную почту. Microsoft Exchange Server 2010 на основе функций Exchange Server 2007 создает многоуровневый, комплексный подход к защите от нежелательной почты и вирусов. Exchange 2010 включает в себя различные функции защиты от нежелательной почты и вирусов, совместная работа которых позволяет сократить количество нежелательных сообщений в организации.
Решение задачи снижения частоты проникновения вирусов и атак вредоносных программ в организации начинается с сокращения общего объема нежелательной почты, попадающей в нее. Исключение основной части таких сообщений на компьютере с установленной ролью пограничного транспортного сервера высвобождает значительные ресурсы на обработку, пропускную способность и место на жестком диске, необходимые для проверки сообщений на наличие вирусов и вредоносных программ в потоке дальнейшего движения электронной почты.
Разделение защиты от нежелательных сообщений на уровни предполагает применение нескольких средств защиты от нежелательной почты и вирусов, которые фильтруют входящие сообщения в определенном порядке. Каждое из средств применяет к входящему сообщению фильтр по отдельной характеристике или набору связанных характеристик.
В следующих разделах приводится краткое описание каждой стандартной функции защиты от нежелательной почты и вирусов.
Необходимы сведения о других задачах управления, связанных с управлением транспортными серверами? См. раздел Управление транспортными серверами.
Содержание
Фильтры защиты от нежелательной почты и вирусов
Марки для борьбы с нежелательной почтой
Центр обновления Майкрософт для служб борьбы с нежелательной почтой
Использование служб Exchange Hosted Services
Стратегия по защите от нежелательной почты
Фильтры защиты от нежелательной почты и вирусов
Фильтры защиты от нежелательной почты и вирусов применяются в следующем порядке. Для получения дополнительных сведений см. раздел Общие сведения о защите потока почты от нежелательной почты и вирусов. Применяется следующий порядок.
Фильтрация подключений При фильтрации подключений выполняется проверка IP-адреса удаленного сервера, который пытается отправить сообщение, для определения того, какое действие требуется выполнить (при необходимости) по отношению к входящему сообщению. Удаленный IP-адрес доступен для агента фильтрации подключений как сопутствующие сведения о подключении TCP/IP, которое требуется для сеанса SMTP. Фильтрация подключений использует различные черные и белые списки IP-адресов, а также службы поставщиков черных и белых списков IP-адресов, чтобы определить, необходимо ли заблокировать или разрешить подключение, инициируемое с определенного IP-адреса, в организации.
Фильтрация отправителей — при этом виде фильтрации сравнивается отправитель, указанный в SMTP-заголовке «MAIL FROM:» с определяемым администратором списком отправителей или доменов отправителей, которым запрещено отправлять сообщения в данную организацию, что позволяет определить, какие действия должны быть предприняты (если необходимо) в отношении данного входящего сообщения.
Фильтрация получателей — при фильтрации получателей сравниваются получатели, указанные в SMTP-заголовке «RCPT TO:» с созданным администратором списком заблокированных получателей. При обнаружении соответствия сообщение не пропускается в организацию. Фильтр получателей также проверяет получателей, указанных во входящем сообщении, по локальному каталогу получателей, чтобы определить, верно ли указан в сообщении получатель. Если получатели в сообщении указаны неправильно, сообщение может быть отклонено в демилитаризованной зоне организации.
Код отправителя Код отправителя основан на IP-адресе отправляющего сервера и адресе PRA отправителя и позволяет определить, не подменен ли отправитель. Адрес PRA вычисляется по следующим заголовкам сообщения:
Resent-Sender:
Resent-From:
Sender:
From:
Для получения дополнительных сведений о PRA см. раздел Общие сведения о кодах отправителей и в RFC 4407.
Фильтрация содержимого — при фильтрации содержимого используется технология Microsoft SmartScreen, которая позволяет получить доступ к содержимому сообщения. В основе фильтрации содержимого Exchange лежит интеллектуальный фильтр сообщений. Интеллектуальный фильтр сообщений основан на запатентованной технологии самообучения, разработанной исследовательской лабораторией Microsoft. При разработке этой технологии в интеллектуальном фильтре сообщений был реализован механизм распознавания отличительных характеристик допустимых и нежелательных сообщений. Регулярное обновление с помощью службы обновления средств защиты от нежелательной почты Microsoft Exchange обеспечивает использование обновленных данных во время работы интеллектуального фильтра сообщений. Основываясь на характеристиках миллионов сообщений, интеллектуальных фильтр сообщений распознает признаки как допустимых, так и нежелательных сообщений. Интеллектуальный фильтр сообщений может точно определить вероятность того, что входящее сообщение электронной почты является допустимым или нежелательным.
Карантин нежелательной почты — это функция агента фильтра содержимого, сокращающая риск потери разрешенных сообщений из-за того, что система сочла их нежелательными. Карантин нежелательной почты обеспечивает временное хранение сообщений, определенных как нежелательная почта, которые не следует доставлять в почтовый ящик пользователя в организации.
Для фильтрации содержимого используется также общий список безопасности. Для создания общего списка безопасности выполняется сбор данных в настраиваемых пользователями Microsoft Outlook и Outlook Web App списках надежных отправителей в отношении нежелательной почты. Затем эти данные передаются агенту фильтрации содержимого на компьютерах с установленной ролью пограничного транспортного сервера Exchange 2010.
Если администратор Exchange подключил и правильно настроил общие списки безопасности, агент фильтрации содержимого передает безопасные сообщения в почтовый ящик предприятия без дальнейшей обработки. Сообщения электронной почты, получаемые пользователями Outlook от пользователей в списке контактов или от пользователей, чьи данные были добавлены в списки надежных отправителей Outlook или определены как доверенные, агент фильтрации содержимого считает безопасными. Безопасные сообщения не могут попасть в группу нежелательных, и поэтому они не могут быть случайно отфильтрованы из системы обмена сообщениями.
Репутация отправителя Репутация отправителя основана на IP-адресе отправляющего сервера и определяет, какое действие будет предпринято (если необходимо) в отношении данного входящего сообщения. В основе функции репутации отправителя лежит агент анализа протокола. Уровень репутации отправителя вычисляется исходя из нескольких характеристик отправителя, определяемых в ходе анализа сообщений и внешних проверок.
Отправитель, уровень репутации которого превышает заданный порог, временно блокируется. Все последующие подключения отклоняются в течение до 48 часов.
Помимо репутации IP-адресов, вычисляемой локально, сервер Exchange 2010 также использует обновления репутации IP-адресов для системы защиты от нежелательной почты из Центра обновления Microsoft, содержащие сведения об IP-адресах, с которых отправляются нежелательные сообщения.
Фильтрация вложений Фильтрация вложений выполняется по имени файла, расширению файла или типу MIME содержимого. Параметры фильтрации вложений можно настроить таким образом, что вложение будет заблокировано вместе с сообщением, отделено от сообщения с доставкой последнего либо удалено вместе с сообщением без отправки уведомления.
Microsoft Forefront Protection 2010 для Exchange ServerForefront для сервера Exchange Server (FPE) — это пакет антивирусного программного обеспечения, встроенный в Exchange 2010 и обеспечивающий дополнительную защиту среды Exchange от вирусов. Антивирусная защита, выполняемая Forefront Protection для Exchange Server, не зависит от параметров языка. Однако в этом продукте существует 11 языков для установки и администрирования, а также для уведомления конечных пользователей. Дополнительные сведения см. в разделе Microsoft Forefront Protection 2010 для Exchange Server.
Фильтрация нежелательной почты в Outlook Фильтрация нежелательной почты в Outlook использует современную технологию для определения того, следует ли рассматривать сообщение как нежелательное или нет. Решение принимается с учетом нескольких факторов, таких как время отправки сообщения, содержимое и структура сообщения, а также метаданных, собранных фильтрами защиты от нежелательной почты Exchange Server. Сообщения, не прошедшие через фильтры, удаляются в специальную папку нежелательной почты, и получатель может впоследствии просмотреть эти сообщения.
В начало
Марки для борьбы с нежелательной почтой
Марки для борьбы с нежелательной почтой позволяют диагностировать проблемы, связанные с нежелательными сообщениями, с помощью диагностических метаданных, или марок, например сведений об отправителе, результатов проверки задачи, результатов фильтрации содержимого, которые применяются к сообщениям, проходящим через функции защиты от нежелательной почты при фильтрации входящих сообщений из Интернета. Такие марки отображаются для почтового клиента конечного пользователя, в них закодированы сведения об отправителе, версия файла определения фильтра нежелательной почты, результаты проверки задачи Outlook и результаты фильтрации содержимого.
В начало
Центр обновления Майкрософт для служб борьбы с нежелательной почтой
Exchange 2010 позволяет использовать дополнительные службы для обновления компонентов, отвечающих за защиту от нежелательной почты. Они используют проверенную инфраструктуру обновлений Microsoft.
Обновления стандартного фильтра нежелательной почты в Microsoft Exchange 2010 позволяют обновлять фильтр каждые две недели через Центр обновления Microsoft.
Программа Forefront Security для службы обновления средств защиты от нежелательной почты Exchange Server использует расширенные функции и ежедневно обновляет фильтр содержимого через Центр обновления Microsoft. Кроме того, эта служба включает в себя обновление служб подписи нежелательной почты и репутации IP. Эти обновления не являются обязательными и выпускаются несколько раз в день. Обновления подписи нежелательной почты содержат сведения о недавних рассылках нежелательной почты. Обновления службы репутации IP предоставляют сведения о репутации отправителя и об IP-адресах, с которых отправляется нежелательная почта.
Примечание. |
---|
Для использования службы с расширенными функциями необходимо наличие корпоративной лицензии клиентского доступа Exchange. |
В начало
Использование служб Exchange Hosted Services
Фильтрация нежелательной почты может быть полностью или частично реализована в виде службы Microsoft Exchange Hosted Services.
В состав группы Exchange Hosted Services входят четыре различные службы:
служба Hosted Filtering, помогающая организациям защититься от вредоносного программного обеспечения, содержащегося в электронной почте;
служба Hosted Archive, помогающая соблюдать требования к хранению данных;
служба Hosted Encryption, помогающая шифровать данные для обеспечения конфиденциальности;
служба Hosted Continuity, помогающая сохранять доступ к электронной почте во время и после аварийных ситуаций.
Эти службы интегрируются с любыми локальными серверами Exchange, которые управляются внутренними или размещенными службами электронной почты Exchange, предлагаемыми поставщиками служб. Дополнительные сведения о службах Exchange Hosted Services см. в разделе Microsoft Exchange Hosted Services.
В начало
Стратегия по защите от нежелательной почты
Стратегия настройки средств защиты от нежелательной почты и определения степени жесткости настроек требует тщательного планирования и расчета. Если для всех фильтров защиты от нежелательной почты указаны самые строгие значения, чтобы отклонять все подозрительные сообщения, вероятность отклонения обычных сообщений также повышается. С другой стороны, если параметры средств защиты от нежелательной почты недостаточно жесткие и пороговые значения защиты SCL недостаточно низкие, количество входящих в организацию нежелательных сообщений обычно не уменьшается.
Чтобы отклонять нежелательные сообщения при их обнаружении сервером Exchange, рекомендуется применять агент фильтрации подключений, агент фильтрации получателей или агент фильтрации отправителей. Этот подход эффективнее отправки таких сообщений на карантин или назначения им метаданных, таких как марки для борьбы с нежелательной почтой. Агент фильтрации подключений и агент фильтрации получателей автоматически блокируют сообщения, выявленные соответствующими фильтрами. Агент фильтрации отправителей можно настраивать.
Такой подход является рекомендуемым, так как базовый уровень значения вероятности нежелательной почты (SCL) при фильтрации подключений, фильтрации получателей или фильтрации отправителей относительно высок. Например, при фильтрации отправителей в соответствии с настроенным администратором черным списком отправителей нет причин присваивать выявленным сообщениям данные фильтрации отправителей и продолжать их обработку. В большинстве организаций блокированные сообщения следует отклонять. Если такое отклонение для администратора нежелательно, ему не следует вносить данные отправителей в черный список.
Эта же логика применяется к службам черных списков в режиме реального времени и фильтрации получателей несмотря на то, что базовый уровень надежности в таком случае не так высок, как при использовании черного списка IP-адресов. Необходимо обратить внимание, что по мере продвижения сообщения по пути обработки почты вероятность ложных срабатываний возрастает, так как в средствах защиты от нежелательной почты увеличивается количество оцениваемых переменных. Более жесткая настройка первых нескольких этапов цепи защиты позволяет отклонить большую часть нежелательной почты. Таким образом, ресурсы на обработку, пропускная способность и место на жестком диске высвобождаются для обработки более сомнительных сообщений.
Наконец, следует отметить, что необходимо контролировать общую эффективность работы средств защиты от нежелательной почты. Тщательный контроль позволяет настраивать работу средств защиты от нежелательной почты таким образом, чтобы в совокупности они обеспечивали надежную защиту среды предприятия. При таком подходе следует начинать с относительно мягких параметров настройки средств защиты от нежелательной почты. Это позволяет свести к минимуму число ложных срабатываний. В процессе контроля и настройки этих средств можно сделать их более жесткими в отношении типов нежелательных сообщений, атакам которых подвергается организация.
В начало
© Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.