Главная Exchange/UC, Security, Без рубрики, Новое Forefront Protection 2010 для Exchange Server (Часть 3)
  • Forefront Protection 2010 для Exchange Server (Часть 3)

    Logo

    После того как письмо прошло проверку источника и проверку протокола начинается время фильтров контентной проверки. В качестве старой корпоративной традиции Microsoft купила антиспам решение и интегрировала его в десятую версию ForeFront. В комментариях к прошлым статьям спрашивали “чем же антиспам FF отличается от Edge агентов?”. Собственно ответ – Cloudmark Authority Engine, один из основных инструментов борьбы со спамом в FF.

     

    Данный “движек”  был интегрирован с другими уже существующими анти-спам агентами. Cloudmark  начинает работать сразу после фильтра SenderID  и выносит финальный вердикт о валидности сообщения. SCL рейтинг, который присваивается сообщениям проверкой Cloudmark  имеет обратную совместимость, дабы он распознавался предыдущими версиями Exchange и Outlook. Все пользовательские приложения, разработанные независимым поставщикам и использующие  SCL, будут продолжать работать без дополнительных изменений или обновлений.

    Pic1

    Поскольку Cloudmark  заменяет проверку по контенту, стандартная проверка отключается. Существует несколько принципиальных отличий между проверкой по контенту, которая есть в стандартном Exchange и проверкой Cloudmark, которая появляется с установкой ForeFront.

    Первое, и самое главное, это то, как Cloudmark агент оценивает письма и расставляет рейтинги SCL.  Здесь наблюдается порялизация на краях рейтинга (напоминаю что SCL имеет значения от –1 до 9). Обычно чуть менее 10% писем получают легитимный рейтинг  и около 90% получают черную метку в виде рейтинга SCL  9. Средние оценки SCL от 5 до 8 получает около 1% писем, что может удивить тех, кто работал с Exchange 2007 и привык к более ровному распределению оценок. Тем не менее, основное преимущество от нового Cloudmark агента это уменьшение  количества почты попадаемой в карантинный почтовый ящик и папку Junk , причем уменьшение настолько, что папка Junk  становится практически ненужной.

    На основе своих внутренних тестирований Microsoft заявляет,  что на один миллион входящих сообщений в карантин попадает порядка 50 штук.  Так что проверка Cloudmark  идет под девизом “доверься мне и не задавай вопросов”.

    Следующее отличие заключается в подходе к обновлениям Cloudmark. Если верить документации данный фильтр получает информацию каждые 45 секунд и собирается данная информация с серверов раскиданных по 145 точкам, распределенным по миру.

    Cloudmark
    Настройка Cloudmark так же минималистична и все что может сделать администратора:

    1. Включить или отключить проверку по контенту Cloudmark

    2. Включить или отключить отсылку информации о работе антиспама.

    3. Указать порог вероятного спама и действия если письмо получит такую оценку. Изначально спамом считает все что получило рейтинг от 5 до 8. Эти письма попадают в карантин ForeFront, доступ к которому осуществляется через консоль самого ForeFront. Все что имеет рейтинг от 0 до 4 будет попадать в  почтовый ящик клиента. Напомню, что в Junk по-умолчанию попадает все что имеет рейтинг 6 и выше. (задается на уровне конфигурации организации и никак не связанно с ForeFront) Т.е в нашем случае Junk всегда будет пустой.

    карантин

    4. Можно указать, что делать с почтой, получившей рейтинг 9. Вариантов два, а именно Reject и Delete. При выборе Delete письмо принимается и тут же удаляется, естественно никаких ошибок при этом отправителю не генерируется, так как формально письмо принято. Вообще правильней делать Reject, так как отправитель должен знать, что вы его бортанули, но поскольку так же стоит вопрос раскрытия данных для злоумышленников давать однозначный совет сложно.

    5. В качестве тюнинга администратору дается возможность задать белые списки отправителей и получателей, чья почта будет пропускаться мимо Cloudmark. Ну допустим есть адрес postmaster, почта на который принимается без вопросов, он и может быть прописал в белом списке получателей.

    Когда письмо попадает в Cloudmark первое что проверяется это отпечаток (fingerprint). Обновления идущие каждые 45 секунд  передают отпечатки спамерских писем, наиболее актуальных рассылок, которые сейчас производятся. На вопрос о принципах работы механизма на сайте Cloudmark дается хороший ответ.

    – But how does their spam filtering technology (its fingerprinting algorithm) work?

    – Well, it’s a secret.

    Насколько я понял fingerprinting это сравнение хэшей писем, хотя это догадка. Если письмо прошло проверку  и не засветилось отпечатком, до далее в ход идет эвристика. При прохождении эвристики письму присваивается оценочный рейтинг SCL и в зависимости от оценки сообщение либо пойдет в ящик пользователю, либо в карантин, либо будет удалено.

    Logs

    Одной из проблем в ForeFront это отсутствие нормального просмотра логов. Т.е все что вам дается это командлет Get-FSESpamAgentLog. Дабы не копаться тысячах записей банальную фильтрацию приходится делать через Where. Возможно есть решения более, но я пока использую самописный скрипт на PoweShell фильтрующий по дате, получателю и отправителю и работающий через GUI. Не самый удобный вариант при большом потоке, но лучше чем ничего. Почему майкрософт в свой системе не дает того, что в бюджетных антиспамах идет как должное мне не понятно.

     

    MCT/MVP Илья Рудь

Комментарии

  1. Спасибо, теперь все встало на свои места.

  2. Спасибо, Илья, теперь все стало более понятно.

  3. Илья, спасибо, очень полезная информация.
    Но вот вопрос, на который я нигде не могу найти хоть сколько-нибудь внятного ответа: какова эффективность Cloudmark’а в наших реалиях, то есть в условиях тотального доминирования отечественного спама? Стоит ли вообще игра свеч, работает ли данный движок против русскоязычного спама или совершенно беспомощен?

  4. Эффективность антиспама вещь очень субьективная. Судя по отзывам у Cloudmark’а с эффективность все впорядке.

  5. А FF ставится на какие роли ? и куда целесообразно
    mbx edge ht ?

  6. Минимум на Edge. Максимум на Edge, Hub, Mailbox.

  7. Фильтрация по контенту вызывает у нас много ложных срабатываний, а жаль. Придется искать альтернативу.

  8. Илья, поделись, пожалуйста, сценарием powershell для просмотра логов.

  9. Илья, не могли бы Вы выложить скрипт PoweShell для просмотра логов

  10. Спасибо за труд
    Хотел перейти на этот продукт, но сразу же столкнулся с проблемой
    А именно – консоль ставится только на х86
    А у меня и рабочка и сервера на 64…

  11. Покажите пожалуйста, пример вашего скрипта ps , для логов ?

  12. Утилита для просмотра логов
    https://github.com/majorno/FPE-Log-Viewer/releases