Общие сведения о репутации отправителя
Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Последнее изменение раздела: 2010-07-07
Репутация отправителя — это функция защиты от нежелательной почты, которая включена на компьютерах с установленной ролью пограничного транспортного сервера MicrosoftExchange Server 2010 и используется для блокировки сообщений в соответствии с различными характеристиками отправителя. Для определения действия, которое нужно предпринять в отношении входящего сообщения, данная функция использует сохраненные сведения об отправителе.
Агенты противодействия нежелательной почте настраиваются на граничном транспортном сервере таким образом, чтобы обрабатывать сообщения совместно, последовательно уменьшая число нежелательных почтовых сообщений, приходящих в организацию. Дополнительные сведения о планировании и развертывании агентов противодействия нежелательной почте см. в разделе Общие сведения о функциях защиты от нежелательной почты и вирусов.
Необходимы сведения о других задачах управления, связанных с управлением транспортными серверами? См. раздел Управление транспортными серверами.
Содержание
Вычисление уровня репутации отправителя
Использование значения SRL
Включение и настройка обнаружения открытых прокси-серверов
Установка порогового значения для блокировки по уровню репутации отправителя
Вычисление уровня репутации отправителя
Уровень репутации отправителя (SRL) рассчитывается исходя из следующей статистики:
Анализ HELO/EHLO. SMTP-команды HELO и EHLO предназначены для предоставления имени домена, например Contoso.com, или IP-адреса SMTP-сервера отправителя принимающему SMTP-серверу. Злонамеренные пользователи, или спамеры, часто разными способами подделывают оператор HELO/EHLO. Например, вводят IP-адрес, не соответствующий IP-адресу, с которого произошло подключение. Кроме того, в попытке представить, будто домены находятся в организации, в оператор HELO спамеры подставляют домены, о которых известно, что они локально поддерживаются на принимающем сервере. В других случаях злоумышленники, рассылающие нежелательную почту, изменяют домен, передаваемый в операторе HELO. Как правило, обычный пользователь использует в операторах HELO разный, но относительно постоянный набор доменов.
Поэтому на основании анализа оператора HELO/EHLO для каждого отправителя можно сделать вывод, что отправитель, возможно, является злонамеренным. Например, отправитель, который в определенный период времени передает много разных уникальных операторов HELO/EHLO, вероятно, является злонамеренным пользователем. Отправители, которые постоянно передают в операторе HELO IP-адрес, который не соответствует исходящему IP-адресу, определенному агентом фильтра подключений, также вероятнее всего будут злоумышленниками, рассылающими нежелательную почту. То же самое можно сказать и об удаленных отправителях, постоянно передающих в операторе HELO имя локального домена, находящегося в той же организации, что и пограничный транспортный сервер.
Обратный запрос DNS. Функция "репутация отправителя" также проверяет соответствие исходящего IP-адреса, с которого отправитель передал сообщение, зарегистрированному имени домена, переданному отправителем в SMTP-команде HELO или EHLO.
Функция "репутация отправителя" выполняет обратный запрос DNS, отправляя в DNS исходящий IP-адрес. Результат, возвращаемый службой DNS, — имя домена, зарегистрированное центром доменных имен для данного IP-адреса. Функция репутации отправителя сравнивает имя домена, возвращенное службой DNS, с именем домена, переданным отправителем в SMTP-команде HELO/EHLO. Если имена доменов не совпадают, то отправитель, вероятно, является пользователем, рассылающим нежелательную почту, и общий уровень репутации отправителя для него должен быть увеличен.
Агент кодов отправителя выполняет подобную задачу, но работает с данными допустимых отправителей, не являющихся злонамеренными пользователями. Агент кодов отправителя обновляет их инфраструктуру DNS, чтобы иметь свежий список всех SMTP-серверов отправителей электронной почты в их организации. Выполняя обратный запрос DNS, можно выявить потенциальных злонамеренных пользователей.
Анализ оценок SCL по сообщениям от конкретного отправителя. Когда агент фильтра содержимого обрабатывает сообщение, он назначает сообщению оценку вероятности нежелательной почты (SCL). Оценка вероятности нежелательной почты — это число от 0 до 9. Более высокая оценка вероятности нежелательной почты означает, что сообщение с большой вероятностью будет нежелательным. Данные о каждом отправителе и оценках SCL их сообщений сохраняются для анализа при помощи функции «Репутация отправителя». Функция «Репутация отправителя» вычисляет статистику для отправителя, определяя соотношение между всеми сообщениями от данного отправителя, которые имели в прошлом низкую оценку SCL, и всеми сообщениями от этого же отправителя, которые имели высокую оценку SCL. Кроме того, количество сообщений с высокой оценкой SCL, пришедших от отправителя за предыдущий день, применяется к общему значению SRL.
Тестирование открытого прокси-сервера отправителя — это открытый прокси-сервер, который принимает запросы на подключение ото всех и из любого места и затем пересылает трафик как если бы он исходил от локальных компьютеров. Прокси-серверы ретранслируют TCP-трафик через брандмауэр, обеспечивая пользовательским приложениям прозрачный доступ через брандмауэр. Поскольку протоколы прокси-серверов — облегченные и независимые от протоколов пользовательского приложения, то прокси-серверы могут использоваться многими различными службами. Прокси-серверы могут также применяться для общего использования одного подключения к Интернету несколькими компьютерами. Прокси-серверы обычно настраиваются так, чтобы пересекать прокси-серверы можно было только с известных брандмауэру доверенных компьютеров.
Прокси-серверы могут быть открытыми по следующим причинам:
Неумышленная неправильная настройка.
Действие троянских вирусов Троянский вирус это программа, которая маскирует свою деятельность под деятельность обычной программы для того, чтобы попытаться завладеть определенной информацией.
При недостаточно тщательном ведении журнала открытые прокси-серверы предоставляют для пользователей-злоумышленников идеальный способ скрыть свои истинные учетные данные, чтобы реализовать атаку типа «отказ в обслуживании» (DoS) или разослать нежелательную почту. Так как все больше прокси-серверов настраивается как открытые по умолчанию, открытые прокси-серверы становятся обычным явлением. Кроме того, чтобы скрыть истинный IP-адрес отправителя, злоумышленник может использовать цепочку из нескольких открытых прокси-серверов.
Когда функция «Репутация отправителя» выполняет тестирование открытого прокси-сервера, она формирует SMTP-запрос, чтобы попытаться установить обратное подключение между открытым прокси-сервером и пограничным транспортным сервером. Если SMTP-запрос от прокси-сервера получен, функция «Репутация отправителя» проверяет, является ли данный прокси-сервер открытым, после чего обновляет статистику проверки открытого прокси-сервера для данного отправителя.
Функция «Репутация отправителя» производит оценку всех данных статистики и подсчитывает значение SRL для каждого отправителя. Уровень репутации отправителя — это число от 0 до 9, отражающее вероятность того, что определенный отправитель является источником нежелательной почты или иным пользователем-злоумышленником. Значение 0 свидетельствует о том, что данный отправитель, скорее всего не является злоумышленником, рассылающим нежелательную почту. Значение 9 свидетельствует о том, что данный отправитель, скорее всего является злоумышленником, рассылающим нежелательную почту.
Можно установить порог блокировки в диапазоне от 0 до 9, по достижении которого функция репутации отправителя отправляет запрос агенту фильтра отправителя и тем самым запрещает отправителю отправлять сообщения в организацию. Когда отправитель заблокирован, он на заданный период добавляется к списку заблокированных отправителей. Порядок обработки заблокированных сообщений зависит от настройки агента фильтра отправителей. При обработке заблокированных сообщений возможны следующие действия:
Отклонить
Удалить и архивировать
Принять сообщение и пометить отправителя как заблокированного
Если отправитель добавлен в черный список IP или список службы репутации IP-адресов, функция репутации отправителя немедленно отправляет запрос агенту фильтра отправителя, чтобы заблокировать этого отправителя. Чтобы воспользоваться этими возможностями, необходимо включить и настроить службу обновления средства защиты от нежелательной почты Microsoft Exchange.
По умолчанию для отправителей, которые не были проанализированы, пограничный транспортный сервер устанавливает оценку 0. После того как от отправителя приходит 20 или более сообщений, функция репутации отправителя рассчитывает значение уровня репутации отправителя, которое основывается на статистике, описанной ранее в этом разделе.
В начало
Использование значения SRL
Функция репутации отправителя обрабатывает сообщения на двух этапах SMTP-сеанса:
SMTP-команда «MAIL FROM:». Функция репутации отправителя обрабатывает сообщение только в случае, если сообщение было заблокировано или иным образом обработано агентом фильтра подключений, агентом фильтра отправителя, агентом фильтра получателя или агентом кодов отправителя. В этом случае функция репутации отправителя извлекает текущую оценку уровня репутации отправителя из профиля данного отправителя, сохраненного в базе данных пограничного транспортного сервера. После получения этой оценки дальнейшие действия, выполняемые при конкретном подключении соответственно порогу блокировки, определяются настройкой граничного транспортного сервера.
После SMTP-команды «конец данных». SMTP-команда о завершении передачи данных (_EOD) передается, когда все фактические данные сообщения отправлены. На этой стадии SMTP-сеанса многие из агентов противодействия нежелательной почте уже обработали сообщение. В результате всех процедур противодействия нежелательной почте статистика, которую использует функция «Репутация отправителя», обновляется. Таким образом, функция «Репутация отправителя» получает обновленные данные для последующего расчета или пересчета значения SRL для отправителя.
Дополнительные сведения см. в разделе Настройка свойств репутации отправителя.
В начало
Включение и настройка обнаружения открытых прокси-серверов
Для расчета уровня репутации отправителя функция репутации отправителя вычисляет несколько характеристик отправителя. Одной из характеристик, оцениваемых функцией репутации отправителя, являются результаты проверки на наличие открытых прокси-серверов. Зачастую злоумышленники, рассылающие нежелательную почту, отправляют письма через открытые прокси-серверы в Интернете. Открытые прокси-серверы позволяют злоумышленникам скрывать реальный сервер, с которого осуществляется отправка сообщений.
При вычислении уровня репутации отправителя агент репутации отправителя пытается подключиться к исходному IP-адресу отправителя с помощью различных общих протоколов прокси-серверов, таких как SOCKS4, SOCKS5, HTTP, Telnet, Cisco и Wingate. Пытаясь выполнить обратное подключение к пограничному транспортному серверу с открытого прокси-сервера с помощью SMTP-запроса, агент репутации отправителя форматирует запрос в соответствии с данным протоколом. Если SMTP-запрос получен от прокси-сервера, агент репутации отправителя проверяет, является ли прокси-сервер открытым прокси-сервером, и корректирует оценку уровня репутации отправителя согласно этому результату. По умолчанию для агента репутации отправителя включено обнаружение открытых прокси-серверов.
Дополнительные сведения о включении функции обнаружения открытых прокси-серверов см. в разделе Настройка свойств репутации отправителя.
Дополнительные сведения о настройке функции обнаружения открытых прокси-серверов см. в разделе Настройка исходящего доступа для обнаружения открытых прокси-серверов и определения репутации отправителя.
В начало
Установка порогового значения для блокировки по уровню репутации отправителя
Уровень репутации отправителя — это число от 0 до 9, отражающее вероятность того, что определенный отправитель является источником нежелательной почты или иным пользователем-злоумышленником. Чтобы блокировать отправителя с помощью уровня репутации отправителя, необходимо задать пороговое значение уровня. Пороговое значение для блокировки по уровню репутации отправителя определяет значение уровня репутации отправителя, при превышении которого агент репутации отправителя должен будет блокировать отправителя. По умолчанию пороговое значение равняется 7. Следует проверить эффективность агента при использовании порогового значения по умолчанию. Может потребоваться изменить это значение для соответствия требованиям конкретной организации. Если установить другие агенты защиты от нежелательной почты на жесткое ограничение, в последующем можно будет установить более высокое пороговое значение для уровня репутации отправителя, чего нельзя сделать в случае, если другие агенты защиты от нежелательной почты не установлены на жесткое ограничение. Дополнительные сведения о настройке средств защиты от нежелательной почты, которая обеспечивает их совместную работу по снижению количества нежелательных сообщений, см. в разделе Общие сведения о функциях защиты от нежелательной почты и вирусов.
При превышении порогового значения блокировки для конкретного отправителя агент репутации отправителя добавляет этого отправителя в черный список IP-адресов агента фильтра подключений. Иногда от имени одного отправителя рассылаются пакеты нежелательной почты. В таком сценарии, если вычисленный уровень репутации отправителя превышает пороговое значение для блокировки, отправитель будет добавлен в черный список отправителей в течение настраиваемого периода времени. По умолчанию продолжительность блокировки равняется 24 часам. Спустя 24 часа отправитель удаляется из черного списка отправителей и снова может отправлять сообщения.
При добавлении отправителя в черный список IP-адресов агент репутации отправителя удаляет профиль отправителя. Агент репутации отправителя удаляет этот профиль, поскольку в существующем профиле заблокированного отправителя указано, что уровень репутации отправителя превышает пороговое значение для блокировки по уровню репутации отправителя. В противном случае заблокированный отправитель был бы вновь добавлен в черный список IP-адресов по окончании периода блокировки отправителя.
Дополнительные сведения см. в разделе Настройка свойств репутации отправителя.
В начало
© Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.