Reputazione mittente

Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Ultima modifica dell'argomento: 2006-09-18

La reputazione mittente è una funzionalità di protezione posta indesiderata abilitata nei computer in cui è installato il ruolo del server Trasporto Edge di Microsoft Exchange Server 2007 per bloccare i messaggi in base a molte caratteristiche del mittente. La reputazione mittente si basa su dati permanenti relativi al mittente per determinare l'eventuale operazione da eseguire su un messaggio in arrivo.

Quando vengono configurati su un server Edge Transport, gli agenti protezione posta indesiderata agiscono sui messaggi in modo cumulativo per ridurre il numero di messaggi indesiderati ricevuti dall'organizzazione. Per ulteriori informazioni sulla pianificazione e la distribuzione degli agenti protezione posta indesiderata, vedere Funzionalità di protezione da posta indesiderata e antivirus.

Calcolo del livello di reputazione mittente

Il livello di reputazione mittente (SRL, Sender Reputation Level) viene calcolato dalle seguenti statistiche:

• Analisi HELO/EHLO   I comandi SMTP HELO e EHLO consentono di fornire il nome di dominio, ad esempio Contoso.com, o l'indirizzo IP del server mittente SMTP al server ricevente SMTP. Gli utenti malintenzionati o gli spammer spesso falsificano l'istruzione HELO/EHLO in vari modi. Ad esempio, digitano un indirizzo IP che non corrisponde all'indirizzo IP da cui ha origine la connessione. Gli spammer inoltre inseriscono domini supportati localmente sul server ricevente nell'istruzione HELO nel tentativo di far risultare i domini come appartenenti all'organizzazione. In altri casi, gli spammer modificano il dominio trasmesso nell'istruzione HELO. Il comportamento tipico di un utente autorizzato potrebbe essere quello di utilizzare un gruppo di domini diversi ma relativamente costanti nelle istruzioni HELO.

  Pertanto, l'analisi dell'istruzione HELO/EHLO in base al mittente può indicare che il mittente probabilmente è uno spammer. Ad esempio, un mittente che fornisce numerose istruzioni univoche HELO/EHLO diverse in un intervallo di tempo specifico, è molto più probabile che sia uno spammer. Anche i mittenti che forniscono in modo coerente un indirizzo IP nell'istruzione HELO che non corrisponde all'indirizzo IP di origine come determinato dall'agente Filtro connessioni, è molto probabile che siano spammer, in quanto sono mittenti remoti che nell'istruzione HELO forniscono in modo coerente un nome di dominio locale che si trova nella stessa organizzazione del server Edge Transport.

• Ricerca DNS inversa   La reputazione mittente verifica inoltre che l'indirizzo IP di origine da cui il mittente ha trasmesso il messaggio corrisponda al nome di dominio registrato che il mittente invia nel comando SMTP HELO o EHLO.

  La reputazione mittente esegue una query DNS inversa inviando l'indirizzo IP di origine al DNS. Il risultato restituito dal DNS è il nome di dominio che viene registrato utilizzando l'autorità dei nomi di dominio per l'indirizzo IP. La reputazione mittente confronta il nome di dominio restituito dal DNS con il nome di dominio che il mittente ha inviato nel comando SMTP HELO/EHLO. Se i nomi di dominio non corrispondono, è probabile che il mittente sia uno spammer e il valore di classificazione SRL globale per il mittente viene aumentato.

  L'agente ID mittente esegue un'attività simile, ma il cui esito è positivo se i mittenti autorizzati possono aggiornare l'infrastruttura DNS per identificare tutti i server SMTP di invio della posta elettronica nell'organizzazione. L'esecuzione di una ricerca DNS inversa consente di identificare i potenziali spammer.

• Analisi dei valori di classificazione SCL nei messaggi provenienti da un determinato mittente   Quando l'agente Filtro contenuto elabora un messaggio, assegna un livello di probalilità di posta indesiderata (Spam Confidence Level) al messaggio. La valutazione del livello di probabilità di posta indesiderata è un numero compreso tra 0 e 9. Un valore alto indica una maggiore probabilità che il messaggio sia indesiderato. I dati di ciascun mittente e le valutazioni del livello di sicurezza della protezione contro la posta indesiderata restituiti dai messaggi vengono mantenuti per l'analisi eseguita dalla reputazione mittente. La reputazione mittente calcola le statistiche sul mittente in base al rapporto fra tutti i messaggi provenienti da quel mittente con una valutazione bassa del livello di sicurezza della protezione contro la posta indesiderata nel passato e tutti i messaggi dello stesso mittente con una valutazione alta del livello di sicurezza della protezione contro la posta indesiderata nel passato. Inoltre, il numero di messaggi con valutazione del livello di probabilità di posta indesiderata alta che il mittente ha inviato nell'ultimo giorno viene applicato al livello di reputazione mittente globale.

• Test di proxy aperto del mittente   Un proxy aperto è un server proxy che accetta le richieste di connessione provenienti da chiunque e da qualsiasi luogo e inoltra il traffico come se avesse origine dagli host locali. I server proxy inoltrano il traffico TCP tramite gli host firewall per fornire alle applicazioni utente un accesso trasparente tramite il firewall. Poiché i protocolli proxy sono leggeri e indipendenti dai protocolli delle applicazioni utente, i proxy possono essere utilizzati da molti servizi diversi. I proxy possono anche essere utilizzati per condividere un'unica connessione Internet tra più host. In genere la configurazione dei proxy consente solo agli host considerati attendibili all'interno del firewall di attraversare i proxy.

  I proxy aperti possono esistere a causa di una delle seguenti condizioni:

  • Configurazione errata involontaria

  • Programmi trojan horse dannosi. Un programma trojan horse è un programma che si maschera da programma comune nel tentativo di ricevere informazioni.

  Insieme alla registrazione incompleta nella maggior parte dei casi, i proxy aperti rappresentano per gli utenti malintenzionati l'occasione ideale per nascondere la propria vera identità e avviare attacchi di negazione del servizio (DoS, Denial of Service) o inviare posta indesiderata. Dal momento che sempre più server proxy vengono configurati come “aperti per impostazione predefinita,” i proxy aperti sono diventati sempre più comuni. Gli utenti malintenzionati inoltre possono utilizzare più proxy aperti per mascherare l'indirizzo IP di origine del mittente.

  La reputazione mittente esegue il test di proxy aperto formattando una richiesta SMTP nel tentativo di connettersi al server Trasporto Edge dal proxy aperto. Se una richiesta SMTP viene ricevuta dal proxy, la reputazione mittente si accerta che il proxy sia un proxy aperto e aggiorna la statistica del test di proxy aperto per il mittente.

La reputazione mittente valuta ciascuna di queste statistiche e calcola il livello di sicurezza della protezione contro la posta indesiderata per ogni mittente. Il livello reputazione mittente è un numero compreso tra 0 e 9 che indica la probabilità che uno specifico mittente abbia inviato posta indesiderata o che sia un utente malintenzionato. Il valore 0 indica che il mittente probabilmente non è uno spammer, mentre il valore 9 indica che il mittente probabilmente è uno spammer.

È possibile configurare un limite di blocco tra 0 e 9 in corrispondenza del quale la reputazione mittente invia una richiesta all'agente filtro mittente e quindi blocca il mittente che non potrà inviare messaggi nell'ambito dell'organizzazione. Quando un mittente è bloccato viene aggiunto all'elenco dei mittenti bloccati per un periodo di tempo configurabile. L'elaborazione dei messaggi bloccati dipende dalla configurazione dell'agente Filtro mittente. Le seguenti azioni rappresentano le opzioni di gestione per i messaggi bloccati:

• Rifiuta

• Elimina e archivia

• Accetta e segna come mittente bloccato

Se un mittente viene incluso nell'elenco Blocca o nel servizio reputazione IP di Microsoft, la reputazione mittente invia una richiesta immediata all'agente filtro mittente per bloccare il mittente. Per sfruttare al meglio questa funzionalità, è necessario abilitare e configurare il Servizio di aggiornamento protezione posta indesiderata di Microsoft Exchange.

Per impostazione predefinita, il server Edge Transport imposta un valore di classificazione 0 per i mittenti che non sono stati analizzati. Appena il mittente ha inviato 20 o più messaggi, la reputazione mittente calcola un livello di sicurezza della protezione contro la posta indesiderata basato sulle statistiche elencate in questo argomento.

Utilizzo del livello di sicurezza della protezione contro la posta indesiderata

La reputazione mittente agisce sui messaggi durante due fasi della sessione SMTP:

• Al comando MAIL FROM: Comando SMTP   La reputazione mittente agisce su un messaggio solo se il messaggio è stato bloccato o altrimenti elaborato dall'agente filtro connessioni, filtro mittente, filtro destinatario o dall'agente ID mittente. In questo caso, la reputazione mittente recupera la valutazione del livello di reputazione corrente del mittente dal profilo mittente mantenuto per quel mittente nel database Trasporto Edge. Una volta recuperato e valutato il livello assegnato, la configurazione del server Edge Transport determina il comportamento in una determinata connessione in base alla soglia di blocco.

• Dopo il comando SMTP "fine dei dati"   Il comando SMTP che segnala la fine del trasferimento dati (_EOD) viene specificato quando tutti i dati effettivi del messaggio sono stati inviati. A questo punto della sessione SMTP, molti agenti protezione posta indesiderata hanno elaborato il messaggio. Come prodotto secondario dell'elaborazione della posta indesiderata, le statistiche su cui si basa la reputazione mittente vengono aggiornate. Pertanto, la reputazione mittente dispone dei dati per calcolare o ricalcolare la valutazione del livello di sicurezza della protezione contro la posta indesiderata per il mittente.

Per ulteriori informazioni, vedere Configurazione della reputazione del mittente.

Ulteriori informazioni

Per ulteriori informazioni sulle funzionalità di protezione posta indesiderata in Outlook 2007, vedere i seguenti argomenti:

• Funzionalità di protezione da posta indesiderata e antivirus

• Gestione delle funzionalità protezione da posta indesiderata e antivirus

Per ulteriori informazioni sulla configurazione della reputazione mittente, vedere i seguenti argomenti:

• Configurazione della reputazione del mittente

• Come abilitare la reputazione mittente

• Come impostare il limite per il livello di blocco della reputazione mittente

• Come abilitare o disabilitare il rilevamento di server proxy aperti per la reputazione mittente

• Come configurare l'accesso in uscita per il rilevamento di server proxy aperti per la reputazione del mittente