Основные сведения о фильтрации подключений
Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Последнее изменение раздела: 2016-07-21
Агент фильтра подключений является агентом защиты от нежелательной почты, который включен на компьютерах под управлением MicrosoftExchange Server 2010 и установленной ролью пограничного транспортного сервера. Агент фильтра подключений использует IP-адрес удаленного сервера, который пытается выполнить соединение, чтобы определить, какое действие выполнить (если это необходимо) с входящим сообщением. Удаленный IP-адрес доступен для агента фильтра подключений как побочный продукт указанного ниже подключения TCP/IP, которое требуется для SMTP-сеанса. Поскольку агент фильтра подключений должен оценить IP-адрес удаленного сервера, который отсылает обрабатываемое сообщение, агент фильтра подключений, как правило, включен на пограничном транспортном сервере, имеющем выход в Интернет. Однако можно дополнительно настроить параметры таким образом, чтобы агент фильтра подключений применялся в середине цепи обработки входящих сообщений.
Агенты защиты от нежелательной почты настраиваются на пограничном транспортном сервере таким образом, чтобы обрабатывать сообщения совместно, последовательно уменьшая число нежелательных почтовых сообщений, приходящих в организацию. Чтобы снизить избыточность и повысить общее быстродействие и эффективность системы, необходимо понять порядок, в котором агенты обрабатывают входящие сообщения. Эти знания помогут оптимизировать настройку пограничных транспортных серверов. Дополнительные сведения о планировании и развертывании агентов защиты от нежелательной почты см. в статье Общие сведения о функциях защиты от нежелательной почты и вирусов.
Если агент фильтра подключений включен, он выступает в роли первого агента защиты от нежелательной почты, который обрабатывает входящее сообщение.
Когда входящее сообщение поступает на пограничный транспортный сервер с включенным агентом фильтра подключений, исходный IP-адрес данного SMTP-подключения проверяется на наличие в списках разрешенных IP-адресов и в списках заблокированных IP-адресов. Если исходный IP-адрес включен в список заблокированных IP-адресов, данное SMTP-подключение разрывается после обработки всех заголовков RCPT TO в сообщении.
.gif "Примечание") Примечание. |
|---|
| Время разрыва конкретного соединения зависит от параметров настройки остальных компонентов системы защиты от нежелательной почты. Например, можно указать, какие получатели должны всегда получать сообщения электронной почты, даже если исходный IP-адрес заблокирован. Кроме того, можно настроить другие агенты, действия которых основаны на разборе содержимого, получаемого с помощью команды DATA. Агент фильтра подключений всегда разрывает заблокированные подключения в соответствии с общей настройкой параметров защиты от нежелательной почты. |
Если IP-адрес источника не указан ни в одном списке разрешенных IP-адресов или ни в одном списке заблокированных IP-адресов, сообщение продвигается дальше по цепочке обработки агентами защиты от нежелательной почты (если эти агенты настроены).
Необходимы сведения о задачах управления, связанных с функциями защиты от нежелательной почты и вирусов? Ознакомьтесь со статьей Управление средствами защиты от нежелательной почты и вирусов.
Содержание
Списки разрешенных IP-адресов и списки заблокированных IP-адресов
Настройка фильтрации подключений для пограничных транспортных серверов, которые не являются первой точкой входа по протоколу SMTP
Проверка работоспособности списка заблокированных IP-адресов и списка разрешенных IP-адресов
Списки разрешенных IP-адресов и списки заблокированных IP-адресов
Агент фильтра подключений сравнивает IP-адрес сервера, с которого поступило сообщение, с IP-адресами из следующих источников:
формируемые администратором списки разрешенных и заблокированных IP-адресов;
поставщики списка заблокированных IP-адресов;
поставщики списка разрешенных IP-адресов.
Дополнительные сведения о поставщиках списков заблокированных IP-адресов см. в разделе "Поставщики списков заблокированных IP-адресов" далее в этой статье.
Чтобы агент фильтра подключений мог действовать, необходимо создать по крайней мере один такой источник данных об IP-адресах. Если эти источники не содержат IP-адреса, включенные в списки разрешенных или заблокированных IP-адресов, или не настроены поставщики списков заблокированных или разрешенных IP-адресов, следует отключить агент фильтра подключений.
Формируемые администратором списки разрешенных IP-адресов и списки заблокированных IP-адресов
Администраторы пограничных транспортных серверов сопровождают определяемые администраторами списки IP-адресов. Для ввода и удаления IP-адресов, которые необходимо разрешить или заблокировать, можно использовать консоль управления Exchange (EMC) или командную консоль Exchange. IP-адреса можно добавлять в виде отдельных IP-адресов, диапазонов IP-адресов или в виде IP-адреса и маски подсети.
При добавлении IP-адреса или диапазона IP-адресов необходимо занести этот IP-адрес или диапазон IP-адресов в список заблокированных IP-адресов или список разрешенных IP-адресов. Кроме того, можно указать срок действия для каждой создаваемой записи в списке заблокированных IP-адресов. Если задан срок действия, этот срок указывает, сколько будет действовать данная запись списка заблокированных IP-адресов. По истечении срока действия эта запись списка заблокированных IP-адресов отключается.
Используя формируемые администратором списки разрешенных IP-адресов и списки заблокированных IP-адресов, можно настраивать фильтрацию подключений для поддержки следующих сценариев.
Исключение IP-адресов из списков поставщиков списков заблокированных IP-адресов.
Может понадобиться исключить IP-адреса из списков поставщиков списков заблокированных IP-адресов, если в них случайно попали обычные пользователи. Например, пользователь может быть случайно занесен в список заблокированных IP-адресов, если SMTP-сервер был непреднамеренно настроен для работы в качестве открытой ретрансляции. В данном сценарии отправитель попробует исправить сделанную ошибку и исключить IP-адрес из списка поставщика списка заблокированных IP-адресов.
Дополнительные сведения о поставщиках списков заблокированных IP-адресов см. в разделе "Поставщики списков заблокированных IP-адресов" далее в этой статье.
Запрет доступа с IP-адресов, которые являются источником нежелательной почты, однако не включены в списки заблокированных IP-адресов поставщика таких списков.
Иногда может поступать значительное количество нежелательных сообщений из источника, который еще не идентифицирован службой распространения списков заблокированных IP-адресов в реальном времени, на которую вы подписаны.
Поставщики списка заблокированных IP-адресов
Службы поставщиков списка заблокированных IP-адресов могут помочь в решении задачи, связанной с сокращением числа нежелательных почтовых сообщений, поступающих в организацию.
| Примечание. |
|---|
| Службы поставщиков списков заблокированных IP-адресов часто называют службами распространения списков заблокированных IP-адресов в реальном времени или службами RBL. Консоль управления Exchange обращается к службам распространения списков заблокированных IP-адресов в реальном времени как к службам поставщиков списков заблокированных IP-адресов. Термины "службы распространения списков заблокированных IP-адресов в реальном времени", "службы RBL" и "службы поставщиков списков заблокированных IP-адресов" являются эквивалентными. |
Службы поставщиков списка заблокированных IP-адресов составляют списки IP-адресов, с которых в прошлом отправлялась нежелательная почта. Кроме того, некоторые поставщики списка заблокированных IP-адресов предоставляют списки IP-адресов, для которых протокол SMTP настроен на открытую ретрансляцию. Также существуют службы поставщиков списка заблокированных IP-адресов, которые предоставляют списки IP-адресов, поддерживающих коммутируемый доступ. Поставщики услуг Интернета, которые предоставляют своим клиентам услуги коммутируемого доступа, назначают динамические IP-адреса для каждого сеанса коммутируемого подключения. Некоторые поставщики услуг Интернета блокируют SMTP-трафик с учетных записей коммутируемого доступа. Такие поставщики и соответствующие диапазоны IP-адресов, как правило, не добавляются в списки заблокированных IP-адресов. Однако ряд поставщиков услуг Интернета позволяет клиентам отправлять SMTP-трафик с таких учетных записей. Злонамеренный пользователь может воспользоваться этой возможностью для отправки нежелательной почты с динамически назначаемых IP-адресов. Если IP-адрес включен в список заблокированных IP-адресов, злонамеренные пользователи начинают новый сеанс коммутируемого подключения и получают новый IP-адрес. Зачастую один поставщик списка заблокированных IP-адресов может предоставить список IP-адресов, в котором учтены все эти угрозы со стороны отправителей нежелательной почты.
С помощью консоли управления Exchange или командной консоли Exchange можно настроить несколько конфигураций поставщиков списков заблокированных IP-адресов. Для каждой из таких служб необходимо по отдельности настроить конфигурации поставщиков списков заблокированных IP-адресов в консоли управления Exchange или командной консоли Exchange.
Если настройка агента фильтра подключений предусматривает использование поставщика списка заблокированных IP-адресов, перед принятием сообщения в организацию агент фильтра подключений отправляет запрос службе поставщика списка заблокированных IP-адресов, чтобы определить, имеется ли совпадение с подключающимися IP-адресами.
Перед тем как агент фильтра подключений установит связь с поставщиком списка заблокированных IP-адресов, IP-адрес сравнивается с определяемыми администратором списками разрешенных и заблокированных IP-адресов. Если IP-адрес отсутствует в определяемых администратором списке разрешенных IP-адресов или списке заблокированных IP-адресов, агент фильтра подключений запрашивает службы поставщиков списков заблокированных IP-адресов в соответствии с приоритетом, назначенным для каждого из поставщиков. Если IP-адрес присутствует в списке заблокированных IP-адресов поставщика списка заблокированных IP-адресов, пограничный транспортный сервер ожидает заголовок RCPT TO, разбирает его, направляет системе-отправителю ошибку SMTP 550 и закрывает подключение. Если IP-адрес отсутствует в списках всех поставщиков списков заблокированных IP-адресов, подключение обрабатывается следующим агентом в цепи защиты от нежелательных сообщений. Дополнительные сведения о порядке фильтрации входящих сообщений из Интернета стандартными средствами защиты от нежелательной почты см. в статье Общие сведения о функциях защиты от нежелательной почты и вирусов.
Для управления доступом в организацию при использовании агента фильтра подключений рекомендуется использовать одного или нескольких поставщиков списков заблокированных IP-адресов. Использование формируемого администратором списка заблокированных IP-адресов для сопровождения собственного списка заблокированных IP-адресов — очень трудоемкий процесс, который недоступен в большинстве организаций в связи с нехваткой сотрудников. Поэтому рекомендуется использовать внешнюю службу поставщика списка заблокированных IP-адресов, для которой данное направление работы является основным.
Однако такой подход может иметь ряд отрицательных аспектов. Так как агент фильтра подключений должен опрашивать внешний объект при появлении каждого неизвестного IP-адреса, задержки в работе службы поставщиков списка заблокированных IP-адресов могут привести к задержкам в обработке сообщений на пограничном транспортном сервере. В худшем случае такие задержки могут вызвать "пробку" при обработке потока почты на пограничном транспортном сервере.
Еще один отрицательный аспект использования внешней службы поставщиков списка заблокированных IP-адресов заключается в том, что в список заблокированных IP-адресов, формируемый поставщиками, иногда ошибочно добавляются обычные отправители. Например, надежные отправители могут быть добавлены в списки заблокированных IP-адресов, формируемые поставщиками таких списков, в результате неправильной настройки протокола SMTP, при которой SMTP-сервер непреднамеренно настраивается для работы в качестве открытого ретрансляции.
Для каждой настраиваемой службы поставщика списка заблокированных IP-адресов можно настроить ошибку SMTP 550, которая возвращается отправителю, если IP-адрес отправителя был обнаружен в службе поставщика списка заблокированных IP-адресов и поэтому заблокирован агентом фильтра подключений. Рекомендуется настроить ошибку SMTP 550 таким образом, чтобы она содержала указание на службу поставщика списка заблокированных IP-адресов, которая определила IP-адрес отправителя как запрещенный. Такой подход позволяет добросовестным отправителям связаться со службой поставщика списка заблокированных IP-адресов и удалить IP-адрес из этого списка.
Разные службы поставщиков списков заблокированных IP-адресов могут возвращать различные коды, если IP-адрес удаленного сервера, который отправляет сообщение, обнаружен в списке заблокированных IP-адресов этой службы. Большинство служб поставщиков списков заблокированных IP-адресов возвращают один из следующих типов данных: битовую маску или абсолютное значение. В рамках этих типов данных может быть несколько значений, указывающих тип списка, в котором находится предоставленный IP-адрес.
Пример битовой маски
Этот раздел содержит пример кодов состояния, возвращаемых большинством поставщиков списков заблокированных IP-адресов. Сведения о кодах состояния, возвращаемых поставщиком, см. в документации для конкретного поставщика.
При использовании типа данных "битовая маска" служба поставщика списка заблокированных IP-адресов возвращает код состояния 127.0.0.x, где целое число x является одним из значений, приведенных в следующей таблице.
Значения и коды состояния для типов данных «битовая маска»
| Значение | Код состояния |
|---|---|
1 |
IP-адрес включен в список блокировок IP-адресов. |
2 |
SMTP-сервер настроен в качестве открытого ретранслятора. |
4 |
Данный IP-адрес поддерживает IP-адрес коммутируемого доступа. |
При использовании абсолютных значений служба поставщиков списков заблокированных IP-адресов выдает ответы с прямым указанием причин блокировки IP-адреса. В следующей таблице приводятся примеры абсолютных значений и откликов в явном виде.
Значения и коды состояния для данных типа "абсолютное значение"
| Значение | Отклик |
|---|---|
127.0.0.2 |
Данный IP-адрес является непосредственным источником нежелательной почты. |
127.0.0.4 |
Данный IP-адрес является источником массовой рассылки. |
127.0.0.5 |
Удаленный сервер, отправляющий данное сообщение, поддерживает многокаскадные открытые ретрансляции. |
Поставщики списка разрешенных IP-адресов
Входящие сообщения можно также обрабатывать с использованием служб поставщиков списка разрешенных IP-адресов, которые предоставляют списки разрешенных IP-адресов. Списки разрешенных IP-адресов иногда называются списками надежных IP-адресов или белыми списками. Поставщики списка разрешенных IP-адресов формируют списки IP-адресов, которые однозначно не выступают в качестве отправителей нежелательной почты. Если поставщик списка разрешенных IP-адресов возвращает сообщение о совпадении с IP-адресом в белом списке, которое означает, что IP-адрес данного отправителя, скорее всего, принадлежит надежному или "безопасному" отправителю, агент фильтра подключений направляет сообщение следующему агенту в цепи обеспечения защиты от нежелательной почты.
К началу страницы
Настройка фильтрации подключений для пограничных транспортных серверов, которые не являются первой точкой входа по протоколу SMTP
В некоторых организациях роль пограничного транспортного сервера устанавливается на компьютерах, которые не обрабатывают SMTP-запросы непосредственно из Интернета. В этом случае пограничный транспортный сервер находится за другим SMTP-сервером переднего плана, обрабатывающим сообщения, поступающие непосредственно из Интернета. При этом агент фильтра подключений должен иметь возможность извлекать из сообщения правильный исходный IP-адрес. Чтобы получить и оценить исходный IP-адрес, агент фильтра подключений должен разобрать заголовки "Received" из сообщения и сравнить их с известным SMTP-сервером в демилитаризованной зоне.
Когда SMTP-сервер, соответствующий положениям RFC, получает сообщение, он обновляет заголовок "Received" данного сообщения, внося в этот заголовок имя домена и IP-адрес отправителя. Поэтому каждый SMTP-сервер, находящийся в цепи между исходным отправителем и пограничным транспортным сервером, добавляет в заголовок "Received" свою запись.
При настройке демилитаризованной зоны для обеспечения поддержки сервера Exchange 2010 необходимо указать все IP-адреса SMTP-серверов, расположенных в демилитаризованной зоне. Данные об IP-адресах реплицируются на пограничные транспортные серверы с помощью EdgeSync. При получении сообщений компьютером, на котором выполняется агент фильтра подключений, исходным IP-адресом считается IP-адрес, указанный в заголовке "Received" и не совпадающий ни с одним из IP-адресов SMTP-серверов в демилитаризованной зоне.
Перед запуском фильтрации подключений необходимо указать все внутренние SMTP-серверы для объекта конфигурации транспорта в лесу Служба каталогов Active Directory. Для задания внутренних SMTP-серверов используйте командлет Set-TransportConfig с параметром InternalSMTPServers.
К началу страницы
Проверка работоспособности списка заблокированных IP-адресов и списка разрешенных IP-адресов
После настройки службы поставщика списка заблокированных IP-адресов или службы поставщика списка разрешенных IP-адресов можно проверить правильность настройки фильтрации подключений для конкретной службы. Большинство служб поставщиков списков заблокированных IP-адресов или служб поставщиков списков разрешенных IP-адресов предоставляют тестовые IP-адреса, которые можно использовать для проверки работы этих служб. При выполнении проверки службы поставщика списка заблокированных IP-адресов или службы поставщика списка разрешенных IP-адресов агент фильтра подключений формирует DNS-запрос, используя IP-адрес из списка заблокированных адресов в реальном времени, который должен возвращать определенный отклик. Дополнительные сведения о проверке IP-адресов в службе поставщика списка заблокированных IP-адресов или службе поставщика списка разрешенных IP-адресов см. в статьях Test-IPAllowListProvider и Test-IPBlockListProvider.
К началу страницы
© Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.