Microsoft Exchange Server 2010 obsahuje širokou škálu antispamových funkcí. Správným nastavením těchto technologií organizace všech velikostí získávají velmi mocný nástroj v boji s nevyžádanou poštou, což se odráží ve vyšší produktivitě práce uživatelů elektronické pošty.

Podmínky pro využití antispamových funkcí

Ochrana proti nevyžádané poště je rozdělena podle způsobu fungování do jednotlivých, tzv. antispam agentů. Každý agent má své vlastní unikátní nastavení, každý antispamový agent může být také bez ohledu na stav ostatních agentů vypnut či naopak zapnut. Antispamoví agenti jsou ve výchozím nastavení automaticky instalováni pouze v rámci volitelné role Edge. Pokud v Exchange organizaci tato role chybí, je možné a podporované doinstalování agentů na serveru v roli Hub Transport pomocí následujícího postupu:

  1. Přihlásíme se na Hub Transport server
  2. Start -> Programy -> Microsoft Exchange Server 2010 -> Exchange Management Shell (EMS)
  3. Spustíme příkaz Install-AntispamAgents.ps1
  4. Provedeme restart služby "Microsoft Exchange Transport"

Filtrování dle připojení (Connection filtering)

Tento způsob ochrany je založen na důvěryhodnosti IP adresy serveru, který elektronickou poštu odesílá. Nastavení se skládá z následujících kroků:

Konfigurace IP adres interních SMTP serverů

V případě, že před Exchange serverem s instalovaným Connection filtering nebo Sender ID agentem existují další interní SMTP servery, je potřeba IP adresy těchto serverů uvést v nastavení:

  1. EMC (Exchange Management Console): Organization Configuration -> Hub Transport -> Global Settings -> Transport Settings -> Message Delivery

clip_image002

Konfigurace interních SMTP serverů

Konfigurace RBL (real-time block list)

Na Internetu existuje celá řada placených i neplacených služeb, které vedou evidenci důvěryhodných či naopak rizikových IP adres z hlediska rozesílání spamu. Tuto službu může náš Exchange Server dotazovat pro ověření IP adresy příchozího SMTP připojení. Je doporučeno vybrat 2-3 poskytovatele s vysokou reputací a garantovaným SLA. Pokud počet dotazů nepřesáhne 300 000 dotazů denně, je možné pro úvodní nastavení použít například široce využívaný RBL zen.spamhaus.org.

Vlastní nastavení pak provedeme:

  1. V EMC: Organization Configuration -> Hub Transport -> Anti-Spam -> IP Block List Providers dle následujícího obrázku:

clip_image004

Nastavení RBL

Konfigurace IP Allow List

Pro snížení rizika zablokování pošty v případě, že se například obchodní partner ocitne se svým poštovním serverem na některém z RBL, je doporučeno IP adresy SMTP serverů klíčových partnerů přidat do IP allow listu dle následujícího návodu:

  1. EMC: Server Configuration -> Hub transport -> ServerName -> Anti-spam -> IP Allow List

clip_image006

Konfigurace IP Allow List

Služba Sender Reputation

Tato kontrola IP adres má dva zdroje dat:

  • Pomocí MU/WSUS získáváme aktuální seznam IP a jejich reputací na základě dat ze služby Hotmail
  • Server vytváří vlastní hodnocení IP na základě průměrného SCL zpráv přijatých z této IP, sledování anomálií v rámci SMTP relace atd.

Můžeme nastavit jak hodně restriktivně se má tato ochrana chovat a na jak dlouho zablokovat IP adresu se špatnou reputací. Protože například freemaily mívají běžně vysoké průměrné SCL, doporučuji nastavit tento typ ochrany ze začátku málo restriktivně a blokovat IP třeba jen na 4h. Pokud je vše v pořádku, můžete zkusit postupné zpřísnění nastavení.

clip_image008

Nastavení Sender Reputation

Filtrování dle odesílatele (Sender filtering)

Tato ochrana je založena na testování e-mailové adresy odesílatele uvedené v hlavičce zprávy. Pokud chci globálně zakázat příjem zpráv z konkrétních e-mailových adres či celých domén, mohu je uvést zde:

  1. EMC: Organization Configuration -> Hub transport -> Anti-spam -> Sender Filtering

Minimálně je doporučeno filtrovat zprávy, které nemají uvedenou adresu odesílatele vůbec.

clip_image010

Konfigurace Sender Filteringu

Filtrování dle příjemce (Recipient filtering)

Tato ochrana je založena na testování e-mailové adresy příjemce uvedené v hlavičce zprávy. Pokud je požadováno zakázat příjem zpráv z Internetu pro konkrétní e-mailové adresy interních uživatelů, mohu je uvést zde:

  1. EMC: Organization Configuration -> Hub transport -> Antispam -> Recipient Filtering

Velmi důležitou volbou je zde “Block messages sent to recipients not listed in the Global Address List”. Rozesílatelé spamu se totiž často pokouší posílat poštu na sice existující doménu, ale neexistující e-mailové adresy. Exchange server samozřejmě takovouto zprávu nedoručí, ale přesto je jejím zpracováním zbytečně zatěžován včetně zodpovědnosti za odeslání NDR.

Řešením je kontrola existujících e-mailových adres ještě před vlastním přijetím zprávy. Tuto volbu tedy rozhodně nastavíme.

clip_image011

Blokování zpráv na neexistující adresy

Filtrování dle Sender ID (SenderID filtering)

Sender ID filtering kontroluje odchozí IP adresu SMTP serveru oproti seznamu schválených IP adres pro odesílání v doméně odesílatele. Tyto adresy jsou volitelně zveřejněny v DNS pomocí tzv. Sender ID TXT záznamu.

Pokud se zjistí, že e-mail je odeslán z neautorizované IP adresy, jedná se s vysokou pravděpodobností o nevyžádanou poštu a mohu s ní tak provést dvě akce:

  • Odmítnout (není doporučeno)
  • Smazat (není doporučeno)
  • Označit a znevýhodnit v rámci content filteringu a výsledného skóre SCL

clip_image013

Nastavení reakce na Sender ID kontrolu

Filtrování dle obsahu (Content filtering)

Filtrování dle vlastního obsahu zprávy je velmi důležitou součástí ochrany proti nevyžádané poště. Pokročilý algoritmus se snaží ohodnotit na základě rozpoznaných charakteristických znaků nevyžádané pošty nebo známých spamových kampaní číslem SCL (Spam Confidence Level) pravděpodobnost toho, zda se jedná o korektní e-mailovou zprávu či naopak spam. SCL = 0 znamená korektní zprávu, SCL = 9 naopak značí v podstatě 100% pravděpodobnost, že se jedná o zprávu nevyžádanou. Správce pak pro jednotlivé úrovně SCL určuje akci, která se má provést. Na výběr je z následujících možností:

  • Zprávu smazat bez NDR
  • Zprávu odmítnout
  • Zprávu umístit do karantény
  • Zprávu doručit uživateli, ale do zvláštní složky „Nevyžádaná pošta”

Nastavení akce

Dle praktických zkušeností je pro většinu firem nejvýhodnější následující seznam akcí, které uvádím včetně doporučených úrovní SCL:

  • Zprávu smazat bez NDR – SCL = 9
  • Zprávu odmítnout – SCL = 7, 8
  • Zprávu doručit uživateli, ale do zvláštní složky „Nevyžádaná pošta” – SCL = 4, 5, 6

Karanténu je doporučeno nepoužívat, pokud to není nezbytně nutné. Používání karantény totiž značně zatěžuje správce systému údržbou karanténní schránky, kterou je nutné pravidelně kontrolovat a také čistit.

První dvě akce nastavíme v EMC: Organization Configuration -> Hub transport -> Anti-spam -> Content Filtering.

clip_image015

Reakce filtrování obsahu dle SCL

SCL pro doručování do složky Nevyžádaná pošta se pak nastavuje pomocí EMS příkazem:
Set-OrganizationConfig -SCLJunkThreshold 4

Konfigurace povolených a blokovaných slov

Pomocí nastavení povolených slov je možné dramaticky snížit tzv. false-positive (chybné zablokování korektní zprávy). Každá organizace by se měla zamyslet s ohledem na její předmět podnikání a vydefinovat si často používaná povolená slova. Pro firmu prodávající razítka to může být: razítko, razítka, objednávka atp.

Pokud je ve zprávě nalezené povolené slovo, SCL je automaticky nastaveno na hodnotu 0. Naopak pokud zpráva obsahuje blokované slovo, SCL bude stanoveno na úrovni 9.

Vše nastavíme v EMC: Organization Configuration -> Hub transport -> Antispam -> Content Filtering -> Custom Words

clip_image017

Určení povolených slov

Specifikace výjimek pro konkrétní uživatele

V případě potřeby mohu také nastavit seznam příjemců pošty, pro které se bude filtrování obsahu zcela ignorovat.

clip_image019

Výjimky pro filtrování obsahu

Nastavení vlastního textu NDR při zamítnutí zprávy

Zajímavou možností je také nastavení vlastního textu pro NDR, který se posílá odesílateli při zamítnutí na základě obsahu.

Vlastní text nastavíme pomocí EMS příkazem:
Set-ContentFilterConfig -RejectionResponse "Zprava byla vyhodnocena diky svemu obsahu jako spam"

Vybrané tipy pro optimalizaci antispamu

V předcházejících kapitolkách jsme popsali základní nastavení antispamu, které je nutné provést víceméně vždy. V závěrečné části se zaměříme na rozšiřující nastavení, která nám pomohou využít všechny výhody Exchange 2010 antispamu opravdu na maximum.

Premium Antispam

Pokud má firma k dispozici pro své uživatele Exchange Enterprise CAL nebo Forefront Protection 2010 for Exchange Server, může využívat tzv. Premium Antispam, což zahrnuje následující výhody:

  • Denní aktualizace IMF content filteru (standardně jen 1x za 14 dní)
  • Několikrát denně IP reputation aktualizace
  • Několikrát denně aktualizace spamových kampaní

Jak premium antispam zapnout? V EMC najdeme v sekci Server Configuration -> Hub transport -> ServerName příkaz kontextového menu: Enable Anti-spam Updates. Dále nás již vede průvodce viz obrázek.

clip_image020

Aktivace Premium antispamu

SafeList Aggregation

Uživatel rozhraní Outlook Web Acces či Microsoft Office Outlook má možnost vytvořit si seznamy důvěryhodných odesílatelů (Safe Senders). Klient pak zprávy z těchto adres uživateli doručí vždy přímo do Doručené pošty. Jako uživatel tak mám možnost razantně ovlivňovat, jaké zprávy dojdou do Doručené pošty a jaké ne. Důležité je také vysvětlit, že bezpeční odesílatelé Uživatele A nejsou bezpečnými odesílateli pro uživatele B.

Na rozdíl od předchozí verze, v Exchange Server 2010 dochází automaticky pomocí Mailbox Assistant službě k publikování těchto seznamů z uživatelských schránek do Active Directory a následně tedy i do Exchange organizace.

Individuální nastavení SCL akcí pro konkrétní schránku

V některých případech je požadováno nastavit jiné hranice SCL pro určené schránky. Nejen, že to je možné, ale dokonce můžeme pro konkrétního uživatele i jednotlivé typy filtrování zapnout/vypnout. Nastavení se provádí výhradně pomocí EMS. Uvedeme si 2 příklady:

  • Set-mailbox id "Miroslav Knotek" –SCLRejectEnabled $false –SCLQuarantineEnabled $false –SCLDeleteEnabled $false – žádná zpráva pro Miroslava Knotka nebude ani smazána, ani odmítnuta ani předána do karantény
  • Set-mailbox id "Miroslav Knotek" –SCLRejectThreshold 5 – zprávy pro Miroslava Knotka se budou odmítat již proSCL = 5

Whitelisting domény nebo adresy odesílatele

Pokud chci vynechat z filtrování obsahu konkrétní e-mailové adresy odesílatele či celé domény, mohu toto nastavit v EMS pomocí příkazů

Set-contentfilterconfig -BypassedSenderDomains microsoft.com
Set-contentfilterconfig -BypassedSenders knotek@kpcs.cz


- Martin Pavlis


Další díl seriálu:
Exchange Server 2010 seriál – Instalace (část I.)
Exchange Server 2010 seriál - Založení databází pro poštovní schránky a jejich konfigurace (část II.)
Exchange Server 2010 seriál - Doménová jména a práce s nimi (část III.)
Exchange Server 2010 seriál - Nastavení odesílání a přijímání poštovních zpráv (část IV.)