Инструмент борьбы со спамом в Exchange 2007

Введение

Exchange Server 2003 представлял некоторые анти-спамовые возможности, которые помогали системным администраторам уменьшать поток нежелательной электронной почты (UCE), вирусов и т.п. Это включало в себя:

Возможность блокирования List Service Provider (список сервисов провайдера) в реальном времени
Глобальные списки разрешения на принятие и запрещение принятия (Global Deny and Accept Lists)
Фильтрация отправителей
Фильтрация входящего трафика
Улучшенная возможность ограничения отправки и ретрансляции на виртуальный SMTP сервер
Интеграция с Outlook 2003, Outlook Web Access Block и Safe Lists
Exchange Intelligent Message Filter (SP2) (интеллектуальный фильтр сообщений)

Хотя эти настройки сохраняются в Active Directory, их нельзя непосредственно переносить на Exchange Server 2007. Но не стоит сильно беспокоиться, Anti Spam Migration Tool поможет справиться с этой работой. С помощью этого инструмента можно считать настройки Active Directory и преобразовать их в соответствующий скрипт Windows PowerShell, которые запускаются на Edge Transport Role или Hub Transport Role Exchange Server 2007.

Список возможного перенесения настроек.

Таблица 1
Connection Filtering (Фильтрация Подключения)	Global Accept and Deny List Configuration – инструмент преобразует списки в соответствующие IPAllowListEntry и IPBlockListEntry Exchange 2007. Для этого для каждого списка создается скрипт. Block List Service Configuration - инструмент преобразовывает каждый Block List Service в соответствующую задачу Add-IPBlockListProvider Exchange 2007 Exception list to block list service rules –преобразовывается в параметр BypassedRecipients объекта IPBlockListProvidersConfig, используя Set-IPBlockListProvidersConfig
Recipient Filtering (Фильтрация приема)	Filter recipients who are not in the directory – преобразовывается в параметр RecipientValidationEnabled объекта RecipientFilterConfig, используя Set-RecipientFilterConfig Block messages that are sent to recipients –преобразовывается в параметры BlockListEnabled и BlockedRecipients объекта RecipientFilterConfig, используя Set-RecipientFilterConfig
Sender Filtering (Фильтрация отправки)	Filter messages with blank sender – конвертируется в параметр BlankSenderBlockingEnabled объекта SenderFilterConfig Drop connection if address matches filter (Разрыв соединения если адрес занесен в фильтр) – не переносится, поскольку не поддерживается в Exchange Server 2007 Archive filtered messages (Архив отфильтрованных сообщений) - не переносится, поскольку не поддерживается в Exchange Server 2007 Accept messages without notifying sender of filtering (Принятие сообщения без уведомления отправителя относительно фильтрации) - не переносится, поскольку не поддерживается в Exchange Server 2007 Block messages from senders (Групповые сообщения от отправителей) – конвертируются в параметры BlockedSenders, BlockedDomains, BlockedDomainsAndSubdomains и Action объекта SenderFilterConfig, используя Set-SenderFitlerConfig
Sender ID Filtering (Фильтрация ID отправителя)	Sender ID validation failure action (Неудачная валидация ID отправителя) – преобразовывается в параметр SpoofedDomainAction объекта SenderIdConfig, используя Set-SenderIDConfig задачу
Intelligent Message Filtering (Интеллектуальная Фильтрация Сообщения)	Gateway Blocking Configuration (Конфигурация блокировки Gateway) - преобразовано в из трех порогов (пределов) SCL, и один из трех SCL разрешенных параметров объекта ContentFilterConfig, используя Set-ContentFilterConfig. Например, если порог SCL установлен 6, и действие установлено Delete, то соответствующая задача выглядит `Set-ContentFilterConfig- SCLDeleteThreshold:6- SCLDeleteEnabled:$true- SCLQuarantineEnabled:$false- SCLRejectEnabled:$false` Custom Weight Entries (пользовательский разрешенный вход) - в Exchange Server 2003 определяется в файле XML MSExchange. UceContentFilter.xml, который находится вместе с файлом Intelligent Message Filter DAT. При перемещении этого файла Вы можете задать параметры для определения месторасположения этого файла. Конвертируется в Add-ContentFilterPhrase.
General settings (Общие настройки)	Perimeter IP List and Internal IP Range Configuration – преобразовывается в параметр InternalSMTPServers объекта TransportConfig, используя Set-TransportConfig

Инсталляция

Прежде, чем инсталлировать инструмент, проверьте следующие требования:

Поддержка операционных систем: Windows Server 2000, Windows Server 2003;
Microsoft .NET Framework 1.1 или выше;
Аккаунт, под которым этот инструмент запускается, должен иметь права чтения AD configuration container и права доступа для чтения к MSExchange.UCEContentFilter.xml.

Установка инструмента предельно проста:

Скачайте Anti Spam Migration Tool Exchange 2007
Запустите Exchange2007AntiSpamMigration.msi, это распакует программу и документацию в указанную папку (по умолчанию C:\Program Files\Exchange2007AntiSpamMigration \)

Инструмент запускается с командной строки.

Exchange2007AntiSpamMigration [/f:] [/o:] [/?]
/f: Optional full path to MSExchange.UCEContentFilter.xml file. If not specified, custom words or phrases are not migrated.
/o: Optional output file name. If not specified, output is written to MigratedSettings.ps1 in current directory.
/? Displays usage.
Exporting Anti-Spam Settings

Чтобы протестировать и запустить инструмент, я должен был установить некоторые анти-спам параметры моей среды Exchange 2003, таким образом, я добавил несколько значений, которые могли быть перемещены позже. Следующие изображения иллюстрируют параметры настройки, которые я сделал.

Рисунок 1: Perimeter IP List

Рисунок 2: Фильтрация отправки

Рисунок 3: Фильтрация подключения

Рисунок 4: Фильтрация получения

Рисунок 5: Интеллектуальная фильтрация

Рисунок 6: Фильтрация Sender ID

После установки нескольких случайных параметров анти-спама в Exchange 2003 я запускаю инструмент. Результат - скрипт PowerShell, который Вы можете видеть на рисунке 8.

Рисунок 7: Работа инструмента

Рисунок 8: Выходной файл

В моей тестовой системе был один Exchange Server 2007, с тремя функциями: Client Access, Mailbox и Hub Transport.

Поскольку в системе не было Edge Transport сервера, который выполняет функции анти-спама по умолчанию, эти функции были возложены на Hub Transport сервер (рисунок 9). Добавить эти функции в Ваш Hub Transport сервер довольно просто. Просто запустите Exchange Management Shell и в папке скриптов (C:\Program Files\Microsoft\Exchange Server\Scripts\install-AntispamAgents.ps1)) Вы найдете скрипт PowerShell для установки анти-спам агентов.

По выполнению этих шагов, Вы увидите Anti-spam таблицу в Exchange Management Console (рисунок 11).

Рисунок 9: Hub Transport без анти-спам таблицы

Рисунок 10: Установка анти-спам таблицы

Рисунок 11: Hub transport с анти-спам таблицей

И так, теперь у нас есть Hub Transport сервер с установленными анти-спам агентами. Остается запустить выходной скрип в Anti Spam Migration Tool (рисунок 12). Как Вы можете видеть, все параметры корректно перенесены.

Рисунок 12: Импортирование настроек

Рисунок 13: Фильтр получения

Рисунок 14: IP Block List Providers

Рисунок 15: Фильтр отправки

Рисунок 16: Фильтр получения

Заключение

Exchange Server 2007 предоставляет более расширенные возможности борьбы со спамом. Если Вы перейдете с Exchange 2003 к этой версии, то Вы получите инструмент с предельными возможностями.

Возможности скриптов в PowerShell по переносу параметров настройки делают этот процесс достаточно простым. В качестве курьеза, хочу сообщить, что в примере Exchange сервера находились в разных массивах. Так что, можно предположить, что инструмент будет работать в самых сложных ситуациях.