Zaštita od neželjene pošte u razmjeni 2013, 2016 RBL

U ovom ćemo članku govoriti o značajkama rada i postavljanja RBL filtre u Exchangeu 2013/2016. Prisjetimo se ukratko što je RBL.. RBL (Realtime Blackhole List) usluga je koja pohranjuje bazu podataka koja sadrži popis IP adresa poslužitelja pošte koji se vide u neželjenoj pošti. Najčešće se pristup RBL-u vrši pomoću DNS protokola, pa se te usluge također nazivaju DNSBL (DNS popisi blokova).

Nakon primitka pisma od nepoznatog pošiljatelja, poslužitelj pošte može automatski provjeriti takve popise i blokirati poštu s IP adresa navedenih u bazi podataka RBL usluga. Ako adresa pošiljatelja odgovara vrijednosti na nekom od RBL popisa, vaš Exchnage poslužitelj će prikazati SMTP poruku o pogrešci kao odgovor na naredbu RCPT TO 550 5.x.x, a pošiljatelj će dobiti odgovarajući čiper.

Filtriranjem veze na temelju popisa IP adresa u sustavu Exchange 2016 i 2013 upravlja agent za filtriranje veze. zastupnik veza filtriranje To uključuje:

  • IP blok arena - crni popis IP adresa s kojih se pošta ne prihvaća (zabranjeni pošiljatelji);
  • IP dopustiti arena - bijela lista IP adresa (dopušteni pošiljatelji);
  • RBL provajderi - popis pružatelja RBL-a.

Prva dva popisa su statična i ručno ih održava Exchange administrator. Popis pružatelja RBL podataka sadrži popis izvora RBL trećih strana s kojima se mora konzultirati nakon primitka pisma.

U sustavu Exchange 2007/2010 filtriranje antispala bilo je omogućeno pomoću skripte instalirati-AntispamAgents.ps1, oba su sredstva za filtriranje (filtriranje veze i filtriranje sadržaja) instalirana na istom poslužitelju s ulogom Hub Transport. U sustavu Exchange 2013 transportna uloga je podijeljena na 2 komponente: transport s prednjim i stražnjim transportom, a funkcionalnost filtriranja neželjene pošte podijeljena je u 2 dijela. Filtriranje veze izvodi se na Front End poslužitelju, a filtriranje sadržaja vrši se na Back End-u (uključuje IMF filter - Exchange Intelligent Message Filter i agent za otkrivanje virusa - Malware Agent).

U programu Exchange 2013 ako su uloge CAS i poštanskog sandučića instalirane na istom poslužitelju, skripta Install-AntispamAgents.ps1 instalira samo agent za filtriranje sadržaja. To znači da funkcionalnost filtriranja RBL neće biti dostupna..

Da biste instalirali agent za filtriranje veze, morate koristiti cmdlet instalirati-TransportAgent:

Install-TransportAgent -Name "Agent za filtriranje povezivanja" -TransportService FrontEnd -TransportAgentFactory "Microsoft.Exchange.Transport.Agent.ConnectionFiltering.ConnectionFilteringAgentFactory" -AssemblyPath "C: \ Programske datoteke \ Microsoft \ Exchange Server \ V15 \ Agencije za upravljanje \ V15 \ Agencije za usluge Microsoft.Exchange.Transport.Agent.Hygiene.dll "

jer u programu Exchange 2016 sve su uloge (osim Edge transporta) kombinirane, tako da ako nemate namjenski poslužitelj s ulogom Edge Transport, morat ćete instalirati antispam agente koristeći skriptu install-AntispamAgents.ps1 na sve poslužitelje. Zatim usluga Exchange Transport mora navesti adrese internih SMTP poslužitelja koje treba zanemariti prilikom provjere neželjene pošte:

Set-TransportConfig -InternalSMTPServers @ Add = "192.168.100.25", "192.168.0.25"

Nakon što instalirate agent, trebate ga omogućiti i ponovo pokrenuti uslugu Front End transporta:

Omogući-TransportAgent -TransportService FrontEnd-Identitet "Agent za filtriranje veze"
Ponovno pokrenite uslugu MSExchangeFrontEndTransport

Možete provjeriti je li sredstvo za filtriranje veze instalirano i radi na sljedeći način:

Get-TransportAgent -TransportService FrontEnd

Zatim trebate odrediti popis korištenih RBL usluga.

primjedba. Najpopularniji pružatelji RBL trenutno su Spamhaus i SpamCop..

Add-IPBlockListProvider -Name zen.spamhaus.org -LookupDomain zen.spamhaus.org -AnyMatch $ true -Enabled $ True

Za promjenu teksta chippera vraćenog pošiljatelju koristimo sljedeću naredbu:
Set-IPBlockListProvider zen.spamhaus.org -RejectionResponse "Vašu IP adresu navodi Spamhaus Zen. Možete je izbrisati na stranici http://www.spamhaus.org/lookup/"

Možete dodati nekoliko pružatelja RBL odjednom, prethodno se upoznavši s njihovim značajkama i politikom komercijalne uporabe.
Popis korištenih RBL-ova može se utvrditi na sljedeći način:

Get-IPBlockListProvider

Možete li provjeriti postoji li određena IP adresa na RBL popisu na sljedeći način:

Test-IPBlockListProvider -Identitet zen.spamhaus.org -IPAdresa x.x.x.x

Dnevnici agenta filtra veze povezani su prema zadanim postavkama u mapu
C: \ programske datoteke \ Microsoft \ Exchange Server \ V15 \ TransportRoles \ Dnevnici \ FrontEnd \ AgentLog.

Možete dobiti informacije o tome tko je od pružatelja usluga RBL-a odbio pismo pretraživanjem datoteka * .log u ovom direktoriju. Da biste pronašli datoteku dnevnika s navedenom adresom e-pošte, otvorite cmd i pokrenite naredbe:

cd "C: \ programske datoteke \ Microsoft \ Exchange Server \ V15 \ TransportRoles \ Dnevnici \ FrontEnd \ AgentLog"
pronađi / c "[email protected]" * .log | pronađi ":" | pronađi / v ": 0"

Zatim otvorite pronađenu datoteku dnevnika u bilo kojem uređivaču teksta i pretraživanjem odbijene adrese e-pošte možete odrediti pružatelja RBL koji je blokirao poruku i vrijeme blokiranja.

Ovaj primjer pokazuje da je pismo odbio pružatelj usluge zen.spamhaus.org.

spam @ mail.ru ,, user @ winitpro.ru, 1, Agent za filtriranje veze, OnRcptCommand, RejectCommand ", 550 5.7.1 Primatelj nije autoriziran, vaš IP je pronađen na popisu blokova", BlockLictProvider, zen.spamhaus.org,,,

Nakon nakupljanja primarnih podataka (obično je potrebno dva do tri dana, ovisno o količini prometa e-pošte), možete dobiti statistiku o rezultatima filtriranja neželjene pošte RBL pomoću skripte Get-AntispamTopRBLProviders.ps1.

.\ get-AntispamTopRBLProviders.ps1 -lokacija "C: \ programske datoteke \ Microsoft \ Exchange Server \ V15 \ TransportRoles \ Dnevnici \ FrontEnd \ AgentLog"

Prvi put kada počnete koristiti filtriranje RBL-om, morate pažljivo proučiti zapise filtriranja zbog lažnih pozitivnih rezultata kako ne biste blokirali poštu kod partnera. Te pouzdane adrese e-pošte ili imena domena možete dodati u bijelu listu Exchange:

Set-ContentFilterConfig -BypassedSenderDomains partner1.ru, partner2.com, partner3.net

Ili dodajte IP adresu određenog SMTP poslužitelja pouzdanim:

IPAllowListEntry -IPAdresa x.x.x.x

Pored toga, za dobivanje statistika o filtriranju poruka pomoću filtera Agenta Filtering Agent možete koristiti sljedeće unaprijed definirane skripte PowerShell-a:

  • get-AntispamFilteringReport.ps1
  • get-AntispamSCLHistogram.ps1
  • get-AntispamTopBlockedSenderDomains.ps1
  • get-AntispamTopBlockedSenderIPs.ps1
  • get-AntispamTopBlockedSenders.ps1
  • get-AntispamTopRBLProviders.ps1
  • get-AntispamTopRecipients.ps1

Da biste onemogućili ulazno filtriranje, morate onemogućiti agent za filtriranje veze:

Disable-TransportAgent -TransportService FrontEnd -Ientity "Agent za filtriranje veze"

RBL popisi prilično su učinkovit način u borbi protiv neželjene pošte, ali u većini slučajeva za potpunu zaštitu od neželjene pošte trebate ih koristiti zajedno s drugim načinima borbe protiv neželjene pošte. Uz RBL, na Exchangeu možete ručno blokirati određene adrese pošiljatelja ili domene.