Forefront Server Security Support Blog

Questa é la traduzione di un post  del nostro collega Paul Gruner  tratto dal blog in Inglese

Questo articolo spiega in che maniera Intelligent Message Filtering (IMF) di Exchange e Advanced Spam Manager (ASM) di Antigen si integrano. In particolare la maniera in cui vengono applicate e gestite le valutazioni dello Spam Confidence Level (SCL).

 

Come funziona IMF

Il processo per cui IMF blocca le mail si svolge in due fasi. Il filtro esegue una scansione delle mail ed assegna a ciascun messaggio un valore di Spam Confidence Level (SCL) che varia da 0 a 9, il valore 0 indica “non spam”, ed aumenta a seconda delle caratteristiche di spam del messaggio sino a 9 usato per messaggi classificati “sicuramente spam”.

Il valore SCL viene poi utilizzato per determinare come deve essere trattato il messaggio.

Le mail possono essere processate in due punti:

•       Quando arrivano al server Gateway – all´ingresso della nostra organizzazione il messaggio puó essere eliminato, e/o archiviato (in Quarantina) a seconda del suo valore SCL. Il messaggio non verrá visto dall´utente finale.

•        Nel server di Mailbox – a seconda del suo valore SCL il messaggio viene consegnato nella cartella di Posta Indesiderata dell´Outlook 2003 (e successivi)

Un tipico scenario potrebbe essere il seguente:

•        il Gateway ha un treshold (valore di soglia) impostato per archiviare mail con un valore SCL uguale o maggiore a 7.

•        il server Mailbox ha un treshold di 4, quindi invia tutte le mail con un SCL uguale o maggiore a  4 alla cartella di Posta Indesiderata.

•        Tutte le alter mail (con SCL da 0 a 3) vengono consegnata nella cartella di Posta in Arrivo.

I valori di threshold posono essere adattati dall´amministratore alle esigenze della propria organizzazione, inoltre il Gateway può essere impostato perché non effettui nessuna azione, in questa maniera tutte le mail con un SCL superiore al treshold del server di Mailbox verranno consegnate nella cartella di Posta Indesiderata.

 

Come funziona Advanced Spam Manager (ASM)

Il motore SpamCure (componente di ASM) non esegue una valutazione sul grado di SCL dei messaggi; invece di un calcolo che genera una graduazione da 0 a 9, Spam Cure utilizza un processo  specifico e accurato che restituisce un valore YES/NO, ai messaggi riconosciuti come spam viene assegnato un SCL di 9. Alle altre mail si assegna un SCL uguale a 0. Inoltre ASM permette altri modi di trattare le mail, il messaggio puó essere eliminato e/o messo in Quarantina, puó essere marchiato nell´oggetto o nel corpo del messaggio, ecc.

Per questo POST supponiamo di utilizzare la cartella di Posta Indesiderata di Outlook 2003.

 

 

 

Utilizzo di IMF e ASM insieme.

Quando IMF ed ASM sono installati sullo stesso server Gateway, IMF analizza il messaggio per primo, ed assegna un valore SCL ad ogni messaggio, il messaggio viene poi passato ad ASM che esegue un´altra scansione, ASM applica il suo SCL solo se ritiene che il messaggio é spam (quindi 9), altrimenti lascia il valore SCL assegnato da IMF, é importante notare che ASM in nesun caso assegna un valore SCL inferiore a quello giá assegnato da IMF neanche quando identifica il messaggio come non spam.

 

Per capire meglio come funzionano i vari componenti vediamo cosa succede in una tipica organizzazione dove noi siamo gli amministratori.

•        Abbiamo impostato IMF nel Gateway per rifiutare tutti i messaggi con SCL 8 o 9 (treshold 8). Questi sono valori SCL molto alti, la possibilità che messaggi marchiati 8 o 9 siano Falsi Positivi é molto bassa.

•      Abbiamo impostato lo Store perché consegni I messagi con SCL uguale o maggiore a 5 nella cartella di Posta Indesiderata

 •     Tutti imessaggi con SCL da 0 a 4 vengono consegnati nella cartella di Posta in Arrivo

•        Advanced Spam Manager é impostato per aggiungere il suo SCL a tutti i messaggi riconosciuti come spam.

 

Possiamo facilmente seguire gli eventi che si succedono quando le mail arrivano nella nostra organizzazione dove abbiamo due reti contro lo spam:

1.       Appena entrata la mail viene controllata da IMF, la nostra prima rete. Tutti i messaggi che ricevono un SCL uguale a 8 o 9 vengono eliminati. Gli altri ricevono un SCL da 0 a 7.

2.     I messaggi vengono passati ad ASM che esegue un altro controllo totalmente indipendente da quelo di IMF, qui può succedere una delle seguenti cose:

a)      Il messaggio viene identificato come spam da ASM. Il valore SCL viene impostato a 9, la mail viene catturata dalla seconda rete.

b)      Messaggi che sono stati identificati come non spam (0-4) da IMF vengono analizzati da ASM. Eventuali spam che non sono stati catturati dalla prima rete possono essere catturati da ASM nella seconda rete.

 c)   I messaggi che ASM non considera spam mantengono il valore SCL assegnatogli da IMF, quindi ció che ASM non riesce a catturare é comunque identificato da IMF.

3.       Le mail arrivano allo Store. Tutte quelle a cui IMF ha assegnato un SCL tra 5 e 7 e quelle a cui ASM ha assegnato un SCL uguale a 9 vengono consegnate nella cartella Posta Indesiderata. Le altre, con SCL da 0 a 4 vengono consegnate nella cartella di Posta in Arrivo

 

Come giá accennato, I parametri di sopra possono essere adattati alle diverse esigenze. Potreste optare per una delle seguenti possibilitá:  

·         impostare il Gateway perché non rifiuti niente in maniera da eliminare anche la piú piccola possibitá di cancellare messaggi legittimi

·         o impostare il Gateway perché metta in Quarantina i messaggi con SCL 8 o 9 invece che eliminarli, cosí che se necessario si possano recuperare.

•        Aumentare o diminuire I valori di threshold nello Store in maniera da fare più o meno selezione sui messaggi che devono essere consegnati nella cartella di Posta in Arrivo piuttosto che in quella di Posta Indesiderata

 

Alcuni articoli collegati :

·         Exchange IMF: http://technet.microsoft.com/en-us/exchange/bb288484.aspx   

·         Configuring the Exchange Intelligent Message Filter: http://technet.microsoft.com/en-us/library/bb914061.aspx

·         How to verify the Intelligent Message Filter SCL rating in Outlook 2003: http://support.microsoft.com/kb/895091

·         Anti-Spam updates in Forefront Security for Exchange Server: http://support.microsoft.com/kb/941271/en-us

·         Information about the types of anti-spam updates that are available for Exchange 2007: http://support.microsoft.com/kb/925474/en-us

·         Anti-Spam and Antivirus Functionality: http://technet.microsoft.com/en-us/library/aa997658(EXCHG.80).aspx

·         Understanding Anti-Spam and Antivirus Mail Flow: http://technet.microsoft.com/en-us/library/aa997242(EXCHG.80).aspx

·         Managing Anti-Spam and Antivirus Features: http://technet.microsoft.com/en-us/library/aa996604(EXCHG.80).aspx

·         How to Configure Anti-Spam Automatic Updates: http://technet.microsoft.com/en-us/library/bb125199.aspx

 

 

Ambito di validitá:

Microsoft Antigen for Exchange 9.0

Microsoft Antigen for Exchange 9.0 Service Pack 1

Microsoft Antigen for SMTP 9.0

Microsoft Antigen for Exchange 9.0 Service Pack 1

 

 

Saluti,

Paul Gruner

Microsoft CSS (Customer Service and Support)