Поделиться через


Общие сведения о фильтрации содержимого

 

Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Последнее изменение раздела: 2016-11-28

Агент фильтрации содержимого обрабатывает входящие сообщения электронной почты и оценивает вероятность того, что входящее сообщение является допустимым или нежелательным. В отличие от многих других технологий фильтрации, агент фильтрации содержимого использует характеристики статистически значимой выборки сообщений электронной почты. Включение признаков допустимых сообщений в этом образце уменьшает риск ошибки. Поскольку агент фильтрации содержимого распознает характеристики допустимых и нежелательных сообщений, точность работы агента фильтрации содержимого очень высокая. Обновления агента фильтрации содержимого периодически появляются в Центре обновления Майкрософт.

Содержание

Использование агента фильтра содержимого

Настройка агента фильтра содержимого

Использование значения вероятности нежелательной почты, отмеченного агентом фильтрации содержимого, в правилах пограничного транспортного сервера

Forefront Protection 2010 для Exchange Server

Использование агента фильтра содержимого

Агент фильтра содержимого — один из нескольких агентов, используемых для противодействия нежелательной почте. Агенты противодействия нежелательной почте настраиваются на компьютере с ролью сервера «Граничный транспорт» таким образом, чтобы обрабатывать сообщения, последовательно уменьшая число нежелательных сообщений, приходящих в организацию. Дополнительные сведения о планировании и развертывании агентов противодействия нежелательной почте см. в разделе Общие сведения о функциях защиты от нежелательной почты и вирусов.

Агент фильтра содержимого назначает каждому сообщению оценку вероятности нежелательной почты (SCL). Оценка SCL — число от 0 до 9. Более высокая оценка SCL означает, что сообщение с большой вероятностью будет нежелательным.

Настройки агента фильтра содержимого могут предусматривать выполнение следующих действий с сообщениями в зависимости от их оценки SCL:

  • Удаление сообщения

  • Отклонение сообщения

  • Изоляция сообщения в карантине

Например, параметры можно настроить так, что сообщения с оценкой SCL, равной 7 и выше, будут удаляться, сообщения с оценкой 6 — отвергаться, а сообщения с оценкой 5 — изолироваться.

Поведение в зависимости от порога SCL можно корректировать, назначая каждому из этих действий разные оценки SCL. Дополнительные сведения о корректировке порогов SCL в соответствии с потребностями организации и об установке порогов SCL для каждого получателя см. в разделе Общие сведения о пороге вероятности нежелательной почты.

ПримечаниеПримечание.
Сообщения, размер которых превышает 11 МБ, не проверяются интеллектуальным фильтром сообщений. Они проходят через фильтр содержимого без проверки. Тем не менее, максимально допустимый размер сообщения, установленный по умолчанию для соединителей получения Exchange 2010, составляет 10 МБ. Таким образом, пороговое значение в 11 МБ для интеллектуального фильтра сообщений не имеет практического значения в конфигурации Exchange по умолчанию.

Разрешенные фразы и блокирующие фразы

Порядок назначения агентом фильтра содержимого значений SCL можно настраивать, задавая пользовательские слова. Пользовательские слова — это отдельные слова или фразы, которые агент фильтра содержимого использует для применения необходимой обработки фильтра. Утвержденные слова или фразы задаются вводом разрешенных фраз, а неразрешенные слова или фразы — вводом блокирующих фраз. Если агент фильтра содержимого обнаруживает во входящем сообщении заданную разрешенную фразу, он автоматически назначает сообщению значение SCL, равное 0. Если агент фильтра содержимого обнаруживает во входящем сообщении заданную блокирующую фразу, он автоматически назначает сообщению оценку SCL, равную 9.

Пользовательские слова и фразы можно вводить в любом сочетании строчных и заглавных букв. Но при проверке содержимого сообщения агент фильтра содержимого игнорирует регистр. Максимальное количество создаваемых пользовательских слов или фраз равно 800.

Проверка почтовых марок Outlook

Агент фильтрации содержимого также включает в себя функцию проверки почтовых марок Microsoft Office Outlook. Это функция вычисления доказательства, которую приложение Outlook применяет к исходящим сообщениям, благодаря чему принимающие системы обмена сообщениями могут отличать законные сообщения от нежелательной почты. Эти функция уменьшает количество ложных распознаваний. В контексте фильтрации нежелательной почты ложное распознавание имеет место, когда фильтр нежелательной почты неправильно определяет сообщение от допустимого отправителя как нежелательную почту. Когда функция проверки почтовых марок Outlook включена, агент фильтра содержимого анализирует входящие сообщения на предмет наличия компьютерной почтовой марки. Наличие допустимого, разрешаемого вычислительного заголовка-задачи в сообщении указывает, что компьютер-клиент, на котором создано сообщение, разрешил вычислительную задачу.

Для вычисления отдельной почтовой марки компьютеру не требуется много времени на обработку. Однако обработка почтовых марок для большого количества сообщений может стать препятствием для злонамеренного отправителя. Злонамеренный пользователь, рассылающий миллионы нежелательных сообщений, вряд ли будет тратить вычислительные ресурсы на решение вычислительных задач для всей своей исходящей нежелательной почты. Таким образом, если сообщение отправителя содержит допустимую, решенную вычислительную почтовую марку, маловероятно, что сообщение пришло от нежелательного отправителя. В этом случае агент фильтра содержимого снижает оценку SCL. Если функция проверки почтовых марок включена, а входящее сообщение не содержит вычислительного заголовка с почтовой маркой или вычислительный заголовок с почтовой маркой недопустим, агент фильтра содержимого не изменяет оценку вероятности нежелательной почты.

Обход получателя, отправителя и домена отправителя

В некоторых организациях должна приниматься вся электронная почта, приходящая на определенные псевдонимы. Если организация работает в области, где приходится обрабатывать значительные объемы нежелательной почты, такой сценарий может привести к проблемам.

Например, пусть компания Woodgrove Bank имеет псевдоним customerloans@woodgrovebank.com, через который осуществляется поддержка по электронной почте внешних клиентов, берущих ссуды. Администраторы Exchange настраивают для агента фильтра содержимого блокирующие фразы, посредством которых отфильтровываются слова и фразы, обычно используемые в нежелательной почте, которую рассылают неразборчивые в средствах кредитные агентства. Чтобы предотвратить блокировку потенциально допустимых сообщений, администраторы задают исключения к фильтру содержимого, введя в конфигурацию агента фильтра содержимого список SMTP-адресов получателей электронной почты.

Можно также указать отправителей и домены отправителей, которые не должны блокироваться агентом фильтра содержимого.

Агрегат надежных списков

В системе Exchange 2010 агент фильтрации содержимого, работающий на пограничном транспортном сервере, для оптимизации фильтрации нежелательной почты использует списки надежных отправителей, списки заблокированных отправителей, списки надежных получателей Outlook и доверенные контакты из Outlook. Объединение списков надежных отправителей — это набор функциональных возможностей противодействия нежелательной почте, совместно используемых в приложении Outlook и системе Exchange 2010. Как можно понять из названия, эти функции собирают данные из надежных списков защиты от нежелательной почты, настраиваемых пользователями Outlook, и делают эти данные доступными для агентов защиты от нежелательной почты на пограничном транспортном сервере. Почтовые сообщения, которые пользователи Outlook получают от контактов, добавленных этими пользователями к их списку надежных получателей, списку надежных отправителей или списку доверенных контактов в Outlook, расцениваются агентом фильтра содержимого как безопасные. Агент фильтрации отправителя также выполняет фильтрацию отправителей для каждого получателя с помощью настроенного пользователем списка заблокированных отправителей. Дополнительные сведения см. в разделе Общие сведения об объединении списков надежных отправителей.

Настройка агента фильтра содержимого

Агент фильтра содержимого можно настраивать с помощью консоли управления Exchange или среды управления Exchange.

ВажноВажно!
Изменения в конфигурации агента фильтра содержимого с помощью консоли управления Exchange или среды управления Exchange можно внести только на локальном компьютере с установленной ролью сервера «Граничный транспорт». Если в организации работает несколько экземпляров роли сервера «Граничный транспорт», следует внести изменения конфигурации фильтра содержимого на каждом компьютере.

Дополнительные сведения о настройке фильтрации содержимого см. в разделе Настройка свойств фильтрации содержимого.

Использование значения вероятности нежелательной почты, отмеченного агентом фильтрации содержимого, в правилах пограничного транспортного сервера

В Exchange 2010 правила транспорта, которые выполняются на пограничных транспортных серверах, применяются к сообщениям агентом пограничных правил для события транспорта SMTP OnEndOfData. Одним из условий правил транспорта для пограничных транспортных серверов является условие сообщения с вероятностью нежелательной почты, которая равна пределу или превышает его. С помощью этого условия правила транспорта можно применять действие правила транспорта к сообщениям с учетом указанного для них значения вероятности нежелательной почты. Агент фильтрации содержимого помечает сообщение значением вероятности нежелательной почты на основе анализа его содержимого. Он используется для проверки того, является ли сообщение нежелательным. Агент фильтрации содержимого также выполняется для события транспорта SMTP OnEndOfData.

ПримечаниеПримечание.
Хотя агент фильтрации содержимого также выполняется для других событий, значение вероятности нежелательной почты назначается сообщению агентом фильтрации содержимого, зарегистрированным для события транспорта SMTP OnEndOfData.

Так как и агент пограничных правил, и агент фильтрации содержимого выполняются для события транспорта SMTP OnEndOfData, последовательность их выполнения определяется на основе их приоритета. По умолчанию агент пограничных правил выполняется перед агентом фильтрации содержимого, чтобы снизить стоимость фильтрации сообщений, которые могут блокироваться агентом пограничных правил. Тем не менее так как при этом агент пограничных правил выполняется до агента фильтрации подключений и значение вероятности нежелательной почты не назначается сообщению, в конфигурации по умолчанию нельзя использовать условие правила транспорта сообщения с вероятностью нежелательной почты, которая равна пределу или превышает его.

Сведения о том, как настроить агент фильтрации содержимого для выполнения перед агентом пограничных правил для события транспорта SMTP OnEndOfData, см. в разделе Предоставление значения вероятности нежелательной почты для правил пограничного транспортного сервера. Это позволит агенту фильтрации содержимого помечать сообщения значением вероятности нежелательной почты, которое может затем читаться условием правила транспорта сообщения с вероятностью нежелательной почты, которая равна пределу или превышает его.

Дополнительные сведения об агентах транспорта и их приоритете см. в разделе Общие сведения об агентах транспорта.

Если настроить для агента фильтрации содержимого более высокий приоритет, чем у агента пограничных правил, на пограничном транспортном сервере могут повыситься затраты на обработку сообщений, так как все принимаемые им сообщения будут оцениваться агентом фильтрации содержимого. Если происходит даже в том случае, если сообщения затем отклоняются правилом транспорта, настроенным для агента пограничных правил. Кроме того, при этом нельзя настроить на пограничном транспортном сервере правило для пометки сообщений со значением вероятности нежелательной почты -1. Это значение указывает агенту фильтрации содержимого на то, что сообщение не требуется оценивать.

Forefront Protection 2010 для Exchange Server

Приложение Microsoft Forefront Protection 2010 для Exchange Server (FPE) объединяет в себе несколько антивирусных ядер в формате многоуровневого полнофункционального решения, помогающего защитить среду обмена сообщениями сервера Microsoft Exchange от вредоносных программ, нежелательной почты и неуместного содержимого. FPE предотвращает распространение вредоносного содержимого путем проверки всех сообщений в реальном времени с минимальным воздействием на производительность сервера Exchange или время доставки сообщений.

Технологию защиты от нежелательной почты FPE можно включить в роли пограничного транспортного сервера Exchange и в роли транспортного сервера-концентратора Exchange. При этом фильтрацию нежелательной почты все же рекомендуется развертывать на пограничных транспортных серверах. Технология подразумевает использование ряда агентов, регистрируемых в Exchange и вызываемых на определенных этапах конвейера SMTP. Приложение FPE также можно объединить с Forefront Online Protection для Exchange (FOPE), чтобы создать дополнительный уровень фильтрации в среде обмена сообщениями.

При развертывании FPE компоненты защиты от нежелательной почты, встроенные в Exchange, отключаются. Дополнительные сведения о работе решения для защиты от нежелательной почты FPE см. в разделе Использование фильтрации нежелательной почты.

 © Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.