На главную страницу
 
  Главная 
  Новости 
  Статьи  RSS
  Программное обеспечение 
  Форум 
  Опросы 
  Полезные ссылки 
MSExchange.ru ISADocs.ru WinSecurity.ru NetDocs.ru

Exchange 5.5
Exchange 2000
Exchange 2003
Exchange 2007
Общее
Exchange 2010

Поиск по сайту


Авторизация

Запомнить меня на этом компьютере
  Забыли свой пароль?
  Регистрация

Подписка

Изменение параметров

Статистика

Hits 2747458
12151
Hosts 1649545
434
Visitors 229626
498

14
Мониторинг активности принтеров

Главная / Статьи / Exchange 2003 / Усиление защиты среды сервера Exchange 2003 Environment (Часть 3)


SurfCop

Усиление защиты среды сервера Exchange 2003 Environment (Часть 3)

Версия для печати Версия для печати

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.

Если вы хотите ознакомиться с остальными частями этой статьи, то, пожалуйста, прочитайте:

  • Усиление защиты среды сервера Exchange 2003 Environment (Часть 1)
  • Усиление защиты среды сервера Exchange 2003 Environment (Часть 2)
  • Усиление защиты среды сервера Exchange 2003 Environment (Часть 4)

Настраиваемый фильтр сообщений

Настраиваемый фильтр сообщений (Intelligent Message Filter - IMF) был впервые представлен в 2004 году как дополнение к серверу Exchange 2003. Сегодня эта версия не поддерживается, она была заменена версией 2, устанавливаемой автоматически с пакетом обновлений 2 для сервера Exchange 2003 (Exchange Server 2003 Service Pack 2 (SP2)).

IMF – это один из механизмов сервера Exchange 2003, которые действительно может уменьшить количество нежелательной почты рекламного содержания (Unsolicited Commercial Email - UCE), получаемой вашей организацией. Фильтр основан на характеристиках миллионов сообщений, и потому может точно оценить вероятность того, что входящее сообщение является спамом.

Рисунок 1: Топология Exchange-сервера с включенным фильтром IMF

Фильтр IMF устанавливается на серверы Exchange, принимающие входящие сообщения из Интернета для их проверки.

Поскольку работа фильтра основана на вероятности того, что сообщение является спамом, IMF оценивает сообщения по свойству Уровень вероятности спама (Spam Confidence Level - SCL). Данная оценка связывается с сообщением при отправке его на другие Exchange-серверы.

Администратор устанавливает два порога, которые определяют способ обработки сообщений с различным SCL фильтром IMF: шлюзовой порог, который отвечает за действие с сообщением, чей уровень выше уровня данного порога, и порог хранилища сообщений. Если уровень SCL сообщения выше или равен значению шлюзового порога, фильтр выполняет указанное действие. Если уровень сообщения ниже значения шлюзового порога, сообщение отправляется в почтовый ящик получателя на сервере Exchange. В хранилище почтовых ящиков при уровне SCL сообщения выше значения порога хранилища сообщений, сообщение помещается в папку Junk E-mail (Нежелательная почта) пользователя вместо папки Inbox (Входящие).

На стороне клиента, Microsoft Office Outlook 2003 и Microsoft Office Outlook Web Access для сервера Exchange 2003, пользователи сами создают список надежных отправителей, от которых они всегда хотят принимать сообщения, а также список блокированных отправителей, от которых они всегда хотят отклонять сообщения.

Рисунок 2: Поток сообщений при работе фильтра IMF и функции фильтрации Exchange-сервера

Если вы хотите получить дополнительную информацию о фильтре IMF, воспользуетесь ссылками:

  • Руководство по работе с фильтром IMF

Фильтрация (Отправитель, Соединение, Получатель)

Фильтр IMF – это превосходный метод фильтрации спама, но даже до его появления в сервере Exchange 2003 уже были встроенные механизмы фильтрации, а именно:

  • Фильтрация соединений – Фильтрация входящих сообщений путем сравнения IP-адресов со списком блокированных адресов, предоставляемым сторонними службами блокирования адресов в режиме реального времени. Помимо этого вы можете создавать свои списки разрешенных/запрещенных адресов.
  • Фильтрация отправителей – По умолчанию SMTP-соединения, созданные отправителем из списка, обрываются.
  • Фильтрация получателей – Позволяет вам устанавливать ограничения на почту отдельных получателей.

При использовании одновременно всех трех фильтров вы можете блокировать значительное количество нежелательной почты, что уменьшает издержки на отклонение сообщений с помощью более старых технологий. Компания Microsoft выпустила интересный документ, в котором описывается управление большим количеством нежелательной почты и зараженных сообщений во входящем Интернет-трафике: Гигиена сообщений от Microsoft. Согласно этому документу, использование всех трех методов фильтрации блокирует почти 95% входящей нежелательной почты.

Рисунок 3: Фильтрация спама, выполненная ИТ-специалистами Microsoft

Сейчас вы, должно быть, подумали: «Хорошо, вы меня убедили. Как же мне настроить работу этих прекрасных механизмов для фильтрации?» Не будем медлить! Откройте консоль управления Exchange System Manager, найдите в вашей организации Exchange раздел Global Setting (Глобальные настройки) и щелкните правой кнопкой по пункту Message Delivery (Доставка сообщений). Выберите Properties (Свойства) и вы увидите вкладки со всеми настройками для фильтрации по соединению, отправителю и получателю.

Рисунок 4: Свойства Доставки сообщений

Очень часто после настройки люди забывают активировать фильтры: отредактируйте свойства SMTP Virtual Server (Виртуальный SMTP-сервер), на вкладке General (Общие) нажмите Advanced (Дополнительно), а затем Edit (Редактировать). Сложно? Ну, ничего, вам это придется делать всего один раз.

Рисунок 5: Свойства Виртуального SMTP-сервера

Антивирус

Сегодня невозможно обойтись без антивирусной защиты почтовых серверов, поскольку основным средством распространения вирусов стала именно электронная почта. Большинство вирусов распространяются через почтовые системы, т.к. клиенты почтовых сообщений предоставляют как возможности отправки, так и возможности доступа к информации об адресах.

Одним из основных шагов по защите системы обмена сообщениями от вирусов является подготовка антивирусной стратегии. В антивирусную стратегию должно входить обучение пользователей, установка антивирусного программного обеспечения на всех необходимых устройствах (на брандмауэрах, SMTP-шлюзах, на каждом из Exchange-серверов и на каждом клиентском компьютере), а также необходимость проверки актуальности антивирусных программ. При выборе программного обеспечения важно учитывать способность программы распространять обновления, такие как новые файлы подписей, на клиентские компьютеры и серверы без вмешательства пользователя. Таким образом, уменьшается ответственность пользователя и ошибки, вызванные человеческим фактором.

В Exchange-сервер не встроена защита от вирусов, но есть основа для производителей антивирусного программного обеспечения для разработки решений для Exchange-серверов: Virus Scanning Application Programming Interface (VSAPI) 2.5 (Программный интерфейс приложений антивирусного сканирования 2.5).

Одним из распространенных методов для передачи вирусов, которым пользуются вирусописатели, является включение вируса во вложение. Для защиты от таких вирусов Outlook и Outlook Web Access предоставляют следующие функции блокирования вложений:

  • Функции блокирования вложений Outlook – В Outlook 2002 и выше встроена функция блокирования вложений, которая блокирует большинство очевидных типов файлов, таких как .exe, .bat, и .vbs.
  • Функции блокирования вложений Outlook Web Access – В Exchange 2000 Service Pack 2 включена возможность блокирования вложений по типу файла и MIME-типу в OWA. В OWA 200x функция блокирования вложений включена по умолчанию.

Недавно Microsoft приобрела компанию Sybari, известную своим антивирусным и антиспамовым пакетом Sybari Antigen. Следующая версия данного продукта будет встроена в программы Microsoft.

Ограничения списков рассылки

Есть ли в вашей организации список рассылки (Distribution List - DL) в который входит вся Глобальная адресная книга (GAL)? У большинства из моих клиентов есть. А если у вас есть такой список, ограничено ли его использование? Большинство организаций, в которых я работал, не ограничивало возможность того, что кто-либо (включая внешних адресатов) может отослать сообщение на этот огромный список рассылки. Поэтому-то спаммеры и злоумышленники так любят этот список: одно сообщение придет сразу всем работникам предприятия. Помните, что в некоторые списки рассылки входит важная информация (списки администраторов, начальников, руководства и т.п.), и вряд ли вы захотите, чтобы эти люди получали нежелательную почту коммерческого содержания.

В Exchange-сервере есть механизмы, которые позволяют настраивать разрешения списков рассылки, а именно:

  • Запрет на отправку сообщений и ответ на большой список рассылки для определенных пользователей.
  • Запрет на отправку сообщений руководству и на другие списки рассылки для определенных пользователей.
  • Запрет на отправку сообщений членам определенных списков рассылки для определенных пользователей.
  • Защита на отправку сообщений на адрес списка рассылки для аутентифицированных пользователей.

Настроить защиту определенного списка рассылки очень легко. Откройте оснастку Active Directory Users and Computers (Пользователи и компьютеры Active Directory), найдите там список рассылки, откройте Properties (Свойства) и зайдите на вкладку Exchange General (Общие свойства Exchange-сервера).

Рисунок 6: Свойства списка рассылки

Таким простым способом вы можете обезопасить людей от множества неприятностей.

Защита от подделки адресов

Порой некоторые из нас отсылают сообщения друзьям или коллегам, в которых мы притворяемся другими людьми. Естественно, это просто шутка, у нас нет и в мыслях повлиять на безопасность или получить секретную информацию. А это ни что иное, как один из методов, которые используют спаммеры: подделка адресов.

В RFC 2821, определяющей протокол SMTP, ясно сказано, что “Почта, отправляемая по протоколу SMTP, по сути своей, незащищена. Даже обычный пользователь может напрямую общаться с получающими или ретранслирующими SMTP-серверами, а также создавать сообщения, которые могут ввести в заблуждение наивного получателя, который будет считать, что сообщения пришли от кого-то другого”. SMTP не требует подтверждения личности отправителя. В Exchange-сервер 2003 есть функциональность, защищающая от подделки адресов.

По умолчанию сервер Exchange 2003 сохраняет оригинальный метод представления SMTP-сообщения и не разрешает адрес отправителя, если представление анонимно. Если оригинальное сообщение было принято без аутентификации, Exchange 2003 помечается его как неаутентифицированное, и адрес отправителя не разрешается в имя из глобального списка адресов (а поле From (От)), а вместо этого сообщение показывается получателю в формате SMTP (например, [email protected]).

Однако, сервер Exchange 2000 разрешал сообщения, представленные анонимно. По счастью, такое поведение можно исправить путем установки Exchange 2000 SP1 и выше. Пакет обновлений 1 для Exchange 2000 добавляет серверу функцию ResolveP2. Параметр реестра ResolveP2 содержит информацию, которую сервер Exchange 2000 может использовать для «разрешения» указанного адреса в теле сообщения (обозначенное как "P2"), если такой пользователь существует в каталоге сервера Exchange 2000. Статья базы знаний Функция ResolveP2 в сервере Exchange 2000 дает дополнительную информацию о том, как настроить данную функцию.

Другим возможным методом является настройка виртуального SMTP-сервера для выполнения обратного просмотра DNS для входящих сообщений. При этом подтверждается IP-адрес, а полностью определенное доменное имя (FQDN) почтового сервера отправителя сравнивается в доменным именем, указанным в сообщении.

Однако, для обратного просмотра DNS существуют некоторые ограничения:

  • IP-адрес отправителя может не находиться в зоне обратного просмотра DNS или же сервер отправителя имеет несколько имен для одного IP-адреса, не все из которых доступны для обратного просмотра DNS.
  • Обратный просмотр DNS дает Exchange-серверу дополнительную нагрузку.
  • Обратный просмотр DNS требует, чтобы Exchange-сервер мог связываться с зонами обратного просмотра для домена отправителя.
  • Выполнение обратного просмотра reverse DNS для каждого сообщения может вылиться в значительное снижение производительности из-за увеличения времени ожидания.

Дополнительную информацию об использовании обратного просмотра DNS можно получить из статьи Базы знаний "Как защитить сервер Exchange 2000 от нежелательной почты коммерческого содержания".

Возможно, одним из самых эффективных методов борьбы с подделкой адресов является использование Sender ID. Впервые данная функция была представлена в сервере Exchange Server 2003 Service Pack 2. Sender ID усложняет применение подделки адресов, поскольку при включении данной функции, принимая сообщение Exchange-сервер запрашивает DNS-сервер отправителя на подтверждение того, что IP-адрес, с которого было получено письмо, уполномочен отправлять сообщения от имени домена, указанного в заголовке. Можно это рассматривать как расширенную версию обратного просмотра DNS, но вместо опроса зон обратного просмотра проверяется запись типа SPF зоны прямого просмотра. Записи типа SPF идентифицируют почтовые серверы отправки.

Режим замедления

Режим замедления – это возможность искусственной задержки ответа сервера для определенных моделей SMTP-соединений. Он помогает бороться со спамерскими атаками, такими как Атака опроса каталога (Directory Harvest Attack - DHA). При такой атаке запускается программа, которая угадывает все возможные адреса внутри домена и пытается отослать сообщения на все эти адреса. Обычно SMTP-сервер отвечает на несуществующие адреса сообщением "550 User unknown" (Пользователь неизвестен), поэтому после успешной атаки DHA спаммер получает все доступные адреса.


MAIL FROM:
250 2.1.0 [email protected] OK
RCPT TO:
550 5.1.1 User unknown
QUIT

Серьезная атака, вроде DHA из 4-х символов, может быть завершена за 20 минут. При применении задержки в 5 секунд она может занять несколько месяцев.

Включить режим замедления можно, сделав изменения в реестре и перезапустив службу SMTP. Детальную информацию можно взять из статьи Базы знаний “Режим замедления для Microsoft Windows Server 2003”. Я рекомендую изучить еще и эти статьи:

  • Объяснение работы режима замедления в Windows
  • Замедление SMTP-сессии для серверов Windows 2003 и Exchange

Резюме

Дополнительную информацию по теме, рассказанной в этой части статьи, очень легко найти. Это проблема, с которой сталкиваются практически все компании, а значит для ее решения разработано множество продуктов, уменьшающих риски, связанные со спамом и вирусами.

Я настоятельного советую провести собственный поиск, и в том случае, если средств Microsoft не достаточно, попробуйте использовать доступные средства сторонних производителей.

Если вы хотите ознакомиться с остальными частями этой статьи, то, пожалуйста, прочитайте:

  • Усиление защиты среды сервера Exchange 2003 Environment (Часть 1)
  • Усиление защиты среды сервера Exchange 2003 Environment (Часть 2)
  • Усиление защиты среды сервера Exchange 2003 Environment (Часть 4)




Рейтинг:  
5.0 (голосов 1)  
 1   2   3   4   5    

Автор: Руи Силва (Rui J.M. Silva)
Руи Силва (Rui J. Silva) является Старшим Консультантом, работая в основном с Microsoft Technologies at ParaRede, компанией-Золотым Партнером Microsoft в Португалии. Он является сертифицированным MCDBA/MCSA/MCSE:Messaging и признан в качестве Microsoft MVP для Exchange Server, благодаря его вкладу в некоторые технические форумы. Руи тратит немного своего свободного времени на обновление Exchange выделенных блогов http://msmvps.com/ehlo (на английском) и http://ehlo.blogspot.com/ (на португальском).
Эта статья переведена и опубликована с разрешения http://msexchange.org

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.





Работает на «Битрикс: Управление сайтом»
Работает на «Битрикс:
 Управление сайтом»
© MSExchange.ru, 2005-2010