Главная Exchange/UC, Новое Forefront Protection 2010 для Exchange Server (Часть 2)
  • Forefront Protection 2010 для Exchange Server (Часть 2)

    Spam-a-tin-ofВ предыдущей части статьи мы начали разговор о вариантах защиты от спама в случае использования Forefront Protection 2010 для Exchange Server. И становились на блоке проверок “Анализ протокола”, сочетающего  в себе средства протокола SMTP и фишки от от Forefront. С этого момента и продолжаем, следующая проверка “Limiting Submission Rate”.

     

    Limiting Submission Rate

    По-умолчанию сервера в роли Edge настроены на пример не более 600 сообщений в минуту с одного IP-адреса. Тем не менее, в некоторых случаях, например, в случае  спам-атаки, потребуется уменьшить это значение. Получить доступ к этому параметру, который задается для каждого коннектора можно через EMS. Меняется от тоже только через EMS.

    Get-ReceiveConnector | fl Name,MessageRateLimit

    Set-ReceiveConnector -Identity “Default Edge RConnector” -MessageRateLimit 100

    FF1

    На серверах с ролью HUB параметр MessageRateLimit хотя и существует, но по-умолчанию не ограничивается. (допустимые значения от 1 до 2147483647)

    Другие важные опции Exchange, позволяющие  управлять входящим почтовым трафиком:

    MaxInboundConnectionsPerSource. Определяет максимальное количество подключений, созданных на одном коннекторе с одного IP адреса. Стандартное значение этого параметра составляет 20.

    Set-ReceiveConnector –Identity “Connector Name”  -MaxInboundConnectionsPerSource 10

    MaxInboundConnection. Определяет, сколько соединений коннектор получения будет принимать одновременно. Стандартное значение этого параметра составляет 5000.

    Set-ReceiveConnector –Identity “Connector Name”  -MaxInboundConnection 200

    MaxInboundConnectionPercentagePersource. Беря в расчет значение  MaxInboundConnection, этот параметр указывает, сколько подключений можно установить с одного IP адреса. Стандартное значение этого параметра 2%. (т.е 5000*2%=100 соединений)

    Set-ReceiveConnector –Identity “Connector Name”  -MaxInboundConnectionPercentagePerSource 4

    FF1-1

    MaxRecipientsPerMessage. Максимальное количество получателей (адресов) которые могут быть указаны в одном сообщении. Стандартное значение этого параметра составляет 200.

    Set-ReceiveConnector –Identity “Connector Name”  -MaxRecipientsPerMessage 20

    MaxMessageSize. Максимальный размер сообщения, которое может быть передано по этому коннектору приему, по умолчанию значение равно  10 мегабайтам.

    Set-ReceiveConnector –Identity “Connector Name”  -MaxMessageSize 5MB

    По сути все  эти параметры имеют весьма опосредованное отношение к борьбе со спамом и уж тем более вообще не имеют отношения к Forefront фильтрации, но все же знать их нужно, т.к антиспам это комплекс мер и такие мелочи тоже могут влиять на конечный результат.

    Напоминаю, что мы идем по порядку применения фильтров и параметров и сейчас находящимся в блоке анализа протокола. Следующая опция это Safelists Enforcements.

    FF-Pic6

    Safelists Enforcements

    У пользователей в Outlook существует возможность сформировать список надежных отправителей, разрешить верить контактам и добавлять в надежные всех, с кем вступали в переписку.

    FF1-2

    Кроме надежных отправителей, так же можно задать надежных получателей и список черных (заблокированных ) отправителей. Записи из списка надежных отправителей процессом Mailbox Assistant заливается в Active Directory откуда при первой же синхронизации через EdgeSync уходят на Edge сервер с FPE  на борту.

    Если отправитель засветился в “Надежных отправителях”, то в логах его письма получал SCL рейтинг –1 и попадут в папку входящие. Естественно вы должны понимать, что на отбивку проверками этапа “Source Analysis” это никак не влияет.

    FF1-4

    Имейте ввиду, что о надежных отправителях (Safe Senders) Edge сервер узнает только после отработки командлета Update-SafeList и выполнения синхронизации с Edge сервером. (Start-edgeSyncronization) Вендор советует создавать скрипт из двух командлетов, который будет несколько раз в день запускать на внутреннем Exchange и тем самым форсировать обновления Safe Senders на Edge.

    Список заблокированных отправителей (Blocked Senders List): список доменных имен и почтовых адресов, которые пользователь хочет заблокировать. Адреса электронной почты и имена доменов в этом списке будут постоянно расцениваться, как отправители нежелательной почты или спама и запихиваться папку Junk Email. Информация о блокируемых отправителях не выгружается на Edge и используется в конкретном ящике.

    Самое веселье у меня началось, когда после добавления адресов в Blocked Senders List , письма от отравителей по прежнему попадали в папку входящие. Этой проблеме посвящена отдельная статья в базе знаний Outlook's "Blocks Sender" functionality and Exchange's IMF stop working after installing Forefront Protection for Exchange.

    Для решения этой проблемы пришлось в Forefront Shell выполнить команду:

    New-FseExtendedOption -Name CFAllowBlockedSenders -Value true

    После чего все заблокированные отправители стали попадать в нужную папку.

    111

    Списки надежных получателей (Safe Recipients List). Как человек привыкший к ORF, я долго ломал себе мозг что за надежные получатели чем они отличаются от надежных отправителей. Барабанная дробь…. Оказало, люди из списка Safe Recipients List не будут попадать в ваш Junk Email. Но наличие в этом списке не дает гарантии, что письмо от этого отправителя не будет отфильтровано проверкой по контенту на уровне сервера, еще до того, как оно окажется в вашем ящике.

    Sender Filtering

    Как способ борьбы со спамом фильтрация по отправителю вещь бесполезная, но все же отдельная важная опция в этом фильтре есть. Это “Block messages with an empty sender address”. Т.е если представиться кто то забылся, то  сообщения этого отправителя приняты не будут.

    FF1-5

    Если же кто то из администраторов руками добавит адрес в список блокируемых, то на попытку отправки каждый раз заброкированному отправителю будет возвращаться NDR c  “Diagnostic-Code: smtp;554 5.1.0 Sender denied” Да и будет абсолютно не важно задан этот отправителя в белом списке или нет, если администратор добавил в блок лист, то письмо не дойдет.

    Recipient Filtering

    Фильтрация по получателю позволяет еще на Edge сервере отбросить ту почту, которая приходит на левые адреса. Поскольку перебор по словарю вещь частая, такая фильтрация будет четко отвечать:  550 5.1.1 User unknown

    FF1-6

    У данной опции раньше был недостаток, устанавливая такую проверку вы попадали в неловкую ситуацию с ящиками  у которых стоит опция “Hide from Exchange Address List”. Они не выгружались на Edge и он их не видел. Сейчас адреса выгружаются и проблем с этим я не заметил. Но все нужно понимать, что возврат на каждый неверный адрес User unknown оставляет возможность используя словарь составить  адресную книгу вашей организации, взяв принцип “если не вернул User unknown, значит адрес такой есть”. Опять же User unknown будет возвращаться при попытке доставки снаружи на адрес, который был руками прописал в Blocked Recipients.

    Backscatter filtering

    Есть одна проблемка “небольшая”, заключается она в том, что любой желающий может в глобальном масштабе отправить почту от имени любого желающего. Т.е Ваня Писюнкин может смело слать с адреса bgates@microsoft.com и тому подобное. Существует несколько “костылей” для решения этой проблемы. Один под названием “callback verification” перед тем как принять письмо проверяет “а есть ли мальчик?” и решает проблему только если произошла попытка отправки от имени несуществующего адреса. Другой “костыль” SPF запись позволяет прописать те IP и имена серверов с которых разрешена отправка от имени вашего домена. В данном случае при наличии SPF  записи этот способ поможет.

    Но остаются сообщения DSN (Delivery Status Notification), которые будут возвращаться на адрес указанный в  P1 MAIL FROM. DSN сообщения существуют для оповещения пользователя об ошибках и задержках, которые появляются при доставке сообщений.

     

    BackscatterMailFlow

    Допустим Ваня Писюнкин  от имени bgates@microsoft.com отправил письмо своему другу. Ящик друга при этом не принял письмо, (допустим переполнен) а Delivery Status Notification (Failure) пойдет на адрес того, кто был подставлен в P1 MAIL FROM. И таком случае ничего не подозревающий bgates@microsoft.com может увидеть в своем ящике ненужные сообщения.

    FF1-7

    Итак в Forefront Protection 2010 for Exchange проявился новый фильтр Backscatter Filter, который по-умолчанию отключен.  При включении фильтра генерируется ключ, который должен быть доставлен на все Edge сервера общающиеся с внешним миром. Далее в каждое исходящее сообщение добавляется маркер (в P1.MailFrom адрес), который создается на основе адреса отправителя, ключа и временных данных. При получении DSN  он проверяется на наличие маркера и его корректности. Если DSN не проходит проверку, то на Edge сервере его путь и оканчивается. В дополнении можно указать домены с которых DSN должен приниматься при любом раскладе и домены с которых DSN принимать не нужно совсем.

    Продолжение следует…

    MCT/MVP Илья Рудь

    P.S Возможно статью придется подправить, есть в некоторых местах сомнения.

    • Рубрика: Exchange/UC,Новое
    • Автор: Илья Рудь
    • Дата: Воскресенье 22 Апр 2012

Комментарии

  1. Пипец, установил New-FseExtendedOption -Name CFAllowBlockedSenders -Value true на Edge и теперь почта копится в sumbission с «Сообщение было отложено агентом классификатора».

    Удалил уже атрибут и все равно все висит! Что делать?

  2. Понятия не имею. Перезапуск службы транспорта?

  3. Не помогает.

  4. Почта пошла только после fscutility /disable.

  5. Не самый лучший вариант) если разберетесь с причиной проблемы напишите пожалуйста в комментариях.

  6. 🙂 Я рассчитывал у вас помощь получить.

    Пользователи говорят, что утренняя почта так и не дошла до них.

  7. В качестве бесплатного совета: не делайте изменений системы в понедельник утром. 🙂

  8. Сделал в выходной. 🙂

  9. Нашел недошедшую почту в c$\Program Files (x86)\Microsoft Forefront Protection for Exchange Server\Data\Archive\Undeliverable\in

    Интересно, как ее распулять по адресатам?

  10. Разослал.

  11. Прошу меня извинить. Оказался Kaspersky Endpoint Protection 8. Какое-то время все хорошо работало ведь. Он обновил модули и ...

    Имя сбойного приложения: FSCTransportScanner.exe, версия: 11.0.727.0, отметка времени: 0x4ecad75f

    Имя сбойного модуля: avs.ppl, версия: 8.1.0.649, отметка времени 0x4eb25efc

    Код исключения: 0xc0000005

    Смещение ошибки: 0x000148e7

    Идентификатор сбойного процесса: 0x11d0

    Время запуска сбойного приложения: 0x01cd216ab423dc8f

    Путь сбойного приложения: C:\Program Files (x86)\Microsoft Forefront Protection for Exchange Server\FSCTransportScanner.exe

    Путь сбойного модуля: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 for Windows\avs.ppl

    Код отчета: f70c458d-8d5d-11e1-ab38-00255d01cd0a

  12. В прошлый раз говорил что нет акцента на различиях базового функционала и FF. Опять тоже самое... Наводит на мысль что таковых просто нет 🙂

  13. Если честно, то я считаю FF for Exchange 2010 фуфлом, потому что там удобных инструментов управления, как в ORF.

    Единственное, что я использую в FF, чего нет в ORF 4.4, это антивирусная проверка почты.

    А ведь поначалу думал, откажемся от ORF, но потом стало все понятно... работать с Powershell, чтобы понять что случилось с тем или иным письмом, почему оно отбилось, извольте...

  14. *нет удобных инструментов управления и отображения информации

  15. Да, еще в FF добил глюк с конечным списком белых адресов\доменов отправителей. Новая строка просто не создается.

  16. ORF — конечно, работающая штуковина. Но это, скорее, для случая «один сервер».

  17. Инструменты для просмотра результатов слабое место FF. Я решал это путем написания утилиты которая вытаскивает из логов нужную инфу. Хотя конечно сам факт что то то приходится писать самому уже позор.

  18. Владислав, в пятой версии ORF, которая скоро выйдет, обещают синхронизацию конфигов между экземплярами программы на различных серверах.

  19. Илья, спасибо за труд, но много ошибок в тексте, например «Set-ReceiveConnector –Identity “Connector Name” -MaxConnectionPercentagePerSource 4» пропущено Inbound или «об ошибках и задержках, которые появляются при доставке сообщений сообщений.» Перечитайте незамыленным взгялдом 🙂

    нго реально почти весь функционал я нашел и без FFP

  20. Опечатки исправил.

    По поводу FFE. Собственно вы платите за антивирус и cloudmark. Все остальное есть изначально в Exchange.

  21. очень хорошая функция Recipient Filtering, расскажите схему при которой типичному перебору по словарю ответов приходить не будет. Стоит Эксчендж 2010+форефрон 2010 на одной машине и EDGE отдельно в DMZ на другой (почта ходит все ок) но не разобрался как сделать так чтобы все-таки ответы на несуществующие ящики не приходили. Обнаружил два варианта либо ответ шлет наш сервер #550 5.1.1 RESOLVER.ADR.RecipNotFound; not found ## (Введенный адрес электронной почты не удалось найти. Проверьте адрес и попытайтесь повторно отправить это сообщение. Если ошибка повторится, обратитесь в службу поддержки.) либо почтовик от которого приходило письмо SMTP error from remote mail server after RCPT TO::

    host mail.mydomain.ru [46.182.25.91]: 550 5.1.1 User unknown.

    Опишите полностью схему, где этот фильтр и в какое положение установить, ведь он есть как на самом почтовике так и на EDGE и Forefront.

  22. replicabags replica three divided interior compartments also make it easy to stay organized while looking impossibly chic. A great summer travel bag for trips to

  23. boring. Definitely for the Type A girl, the Badgley Mischka “Elisabe” bag is a no-fuss, super-rigid take on white. An overall great look louis vuitton

Опубликовать

Я не робот.