Aggregazione degli elenchi indirizzi attendibili

Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Ultima modifica dell'argomento: 2008-01-22

In Microsoft Exchange Server 2007, l'espressione aggregazione dell'elenco indirizzi attendibili fa riferimento a un insieme di funzionalità di protezione posta indesiderata condivise da Microsoft Office Outlook e Exchange. Si tratta di una funzionalità che consente di raccogliere gli elenchi Destinatari protetti o Mittenti protetti contro la posta indesiderata configurati dagli utenti di Outlook rendendo questi dati disponibili per gli agenti protezione posta indesiderata e antivirus nel computer in cui è installato il ruolo del server Trasporto Edge. L'aggregazione dell'elenco indirizzi attendibili consente di ridurre le istanze di falsi positivi durante l'esecuzione del filtro di protezione posta indesiderata elaborato dal server Trasporto Edge.

Quando un amministratore di Exchange abilita e configura correttamente l'aggregazione degli elenchi indirizzi attendibili, l'agente Filtro contenuto trasmette i messaggi di posta sicuri alla cassetta postale dell'azienda senza ulteriori elaborazioni. I messaggi di posta che gli utenti di Outlook ricevono dai contatti aggiunti ai propri elenchi Destinatari protetti o Mittenti protetti di Outlook o resi attendibili vengono identificati dall'agente Filtro contenuto come sicuri. Un contatto di Outlook è una persona esterna o interna all'organizzazione dell'utente di cui l'utente può memorizzare vari tipi di informazioni, quali l'indirizzo di posta elettronica, l'indirizzo civico, i numeri di telefono e fax oltre alla pagina Web e agli URL.

L'aggregazione dell'elenco indirizzi attendibili consente di ridurre le istanze di falsi positivi durante l'esecuzione del filtro di protezione posta indesiderata elaborato dal server Trasporto Edge. Un falso positivo è una prova positiva o il risultato di un filtro presente nell'oggetto o nel corpo di dati che non dispone dell'attributo per cui sono stati eseguiti il filtro o la prova. Nell'ambito dei filtri per la posta indesiderata, si verifica un falso positivo quando un filtro per la posta indesiderata identifica erroneamente come indesiderato un messaggio proveniente da un mittente autorizzato.

Nelle organizzazioni in cui vengono filtrati ogni giorno centinaia di migliaia di messaggi da Internet, anche una minima percentuale di falsi positivi comporta per gli utenti la mancata ricezione di molti messaggi identificati erroneamente come posta indesiderata che vengono messi in quarantena o eliminati.

L'aggregazione degli elenchi indirizzi attendibili è la funzionalità più efficace per ridurre i falsi positivi. Outlook 2003 e la versione successiva di Outlook, inclusa in Office 2007, consente agli utenti di creare gli elenchi Mittenti protetti. Gli elenchi Mittenti protetti consentono di specificare un elenco di nomi di dominio e gli indirizzi di posta elettronica da cui l'utente di Outlook desidera ricevere messaggi. Per impostazione predefinita, gli indirizzi di posta elettronica presenti in Contatti in Outlook e nell'elenco indirizzi globali di Exchange Server sono considerati sicuri dal filtro per la posta indesiderata. I contatti non vengono, tuttavia, effettivamente aggiunti all'elenco a meno che non vengano inviati a tali indirizzi dei messaggi con la casella di controllo Aggiungi automaticamente i destinatari dei miei messaggi all'elenco Mittenti attendibili selezionata. Per impostazione predefinita, tutti i contatti esterni ai quali l'utente invia messaggi vengono aggiunti da Outlook nell'elenco Mittenti protetti.

Informazioni archiviate nella raccolta degli indirizzi attendibili di utenti di Outlook

Una raccolta degli elenchi indirizzi attendibili è costituita dai dati combinati provenienti dall'elenco Mittenti protetti, dall'elenco Destinatari protetti, dall'elenco Mittenti bloccati e da contatti esterni. Questi dati sono archiviati in Outlook e nella cassetta postale di Exchange.

I seguenti tipi di informazioni sono archiviati in una raccolta degli elenchi indirizzi protetti di un utente di Outlook:

• Mittenti attendibili e destinatari attendibili Da: l'intestazione del messaggio indica un mittente. A: campo del messaggio di posta elettronica che indica il destinatario. Sia i mittenti che i destinatari protetti sono rappresentati dagli indirizzi completi SMTP, come ad esempio masato@contoso.com. Gli utenti di Outlook possono aggiungere mittenti e destinatari nei relativi elenchi di indirizzi protetti.

• Dominio protetto   Il dominio è la parte di un indirizzo SMTP che segue il simbolo @. Ad esempio, contoso.com è il dominio dell'indirizzo masato@contoso.com. Gli utenti di Outlook possono aggiungere domini di mittenti nei relativi elenchi di indirizzi protetti.

  Importante

  Microsoft Exchange Server 2007 Service Pack 1 (SP1) fornisce una funzionalità che consente di specificare se includere i dati relativi al dominio protetto negli agenti protezione posta indesiderata nel server Trasporto Edge utilizzando il cmdlet Update-SafeList. Nella maggior parte dei casi si sconsiglia di includere domini, in quanto potrebbero venire inclusi domini di grandi provider di servizi Internet (ISP) che potrebbero fornire accidentalmente degli indirizzi utilizzati o contraffatti dagli spammer.

• Contatti esterni   Nell'aggregazione degli elenchi indirizzi attendibili possono essere inclusi due tipi di contatti esterni. Il primo tipo comprende i contatti a cui gli utenti di Outlook hanno inviato messaggi di posta elettronica. Questa classe di contatti viene aggiunta all'elenco Mittenti protetti solo se un utente di Outlook seleziona l'opzione corrispondente dalle impostazioni relative alla posta indesiderata di Outlook 2003 o Exchange 2007.

  Il secondo tipo di contati esterni comprende i contatti degli utenti di Outlook. Gli utenti possono aggiungere o importare questi contatti in Outlook. Questa classe di contatti viene aggiunta all'elenco Mittenti protetti solo se un utente di Outlook seleziona l'opzione corrispondente relativa alle impostazioni del filtro per la posta indesiderata di Outlook 2003 o Outlook 2007.

Utilizzo della raccolta degli elenchi indirizzi attendibili da parte di Exchange

La raccolta degli elenchi indirizzi attendibili è archiviata nel server di cassetta postale dell'utente. Nella versione di produzione (RTM) di Microsoft Exchange Server 2007 un utente può avere fino a 1.024 voci univoche in una raccolta degli elenchi indirizzi attendibili. In Microsoft Exchange Server 2007 Service Pack 1 (SP1) il limite è di 3.072 voci univoche.

In versioni precedenti di Exchange Server il server della cassetta postale dell'utente aveva accesso alla raccolta degli elenchi indirizzi attendibili durante l'esecuzione del filtro per la posta indesiderata, per consentire la trasmissione dei messaggi di posta elettronica provenienti dai mittenti inclusi nell'elenco Mittenti protetti.

In Exchange 2007, la raccolta degli elenchi indirizzi attendibili è archiviata nella cassetta postale dell'utente, ma è possibile trasferirla nel servizio directory Active Directory, dove la raccolta degli elenchi indirizzi attendibili è archiviata in ogni oggetto utente. Quando la raccolta degli elenchi indirizzi attendibili è archiviata nell'oggetto utente in Active Directory, è aggregata con la funzionalità di protezione posta indesiderata di Exchange 2007 ed è ottimizzata per l'archiviazione e la replica minima così da consentire al server Trasporto Edge di elaborare l'aggregazione degli elenchi indirizzi attendibili. L'agente Filtro contenuto nel server Trasporto Edge può accedere alla raccolta degli elenchi indirizzi attendibili per ciascun destinatario. Il servizio EdgeSync di Microsoft Exchange replica la raccolta degli elenchi indirizzi attendibili nell'istanza Active Directory Application Mode (ADAM) del server Trasporto Edge.

Hashing delle voci della raccolta degli elenchi indirizzi attendibili

Le voci della raccolta degli elenchi indirizzi attendibili vengono sottoposte a hashing (SHA-256) unidirezionale prima di venire archiviate come set di matrici in due attributi dell'oggetto utente, msExchangeSafeSenderHash e msExchangeSafeRecipientHash, come oggetto binario di grandi dimensioni. Quando i dati vengono sottoposti a hashing, viene generato un output con lunghezza fissa, molto probabilmente univoco. Per l'hashing delle voci della raccolta degli elenchi indirizzi attendibili, viene generato un hash a 4 byte. Quando un messaggio viene ricevuto da Internet, Exchange Server sottopone a hashing l'indirizzo del mittente e lo confronta con gli hash archiviati per conto dell'utente di Outlook a cui è stato inviato il messaggio. Se un hash in ingresso corrisponde, il messaggio ignora il filtro Contenuto.

L'hashing unidirezionale delle voci della raccolta degli elenchi indirizzi attendibili elabora le seguenti importanti funzioni:

• Riduce al minimo lo spazio di archiviazione e di replica   Quasi sempre, l'hashing riduce la dimensione dei dati sottoposti a hashing. Quindi, il salvataggio e la trasmissione di una versione di una voce della raccolta degli elenchi indirizzi attendibili sottoposta a hashing consente di ottimizzare lo spazio di archiviazione e i tempi di replica. Ad esempio, un utente che dispone di 200 voci nella propria raccolta degli elenchi indirizzi attendibili creerà circa 800 byte di dati sottoposti a hashing archiviati e replicati in Active Directory.

• Non consente l'utilizzo delle raccolte degli elenchi indirizzi attendibili agli utenti malintenzionati   Poiché è impossibile decodificare i valori hash nell'indirizzo o nel dominio originale SMTP, le raccolte degli elenchi indirizzi attendibili non consentono l'utilizzo di indirizzi di posta elettronica agli utenti malintenzionati che potrebbero compromettere un server Trasporto Edge.

Abilitazione dell'aggregazione degli elenchi indirizzi attendibili

Per abilitare l'aggregazione dell'elenco indirizzi attendibili, è possibile eseguire il cmdlet Update-SafeList di Exchange Management Shell nella cassetta postale di un utente. Il cmdlet Update-SafeList consente di leggere la raccolta degli elenchi indirizzi attendibili dalla cassetta postale dell'utente, di sottoporre a hashing tutte le voci, di ordinarle per eseguire una ricerca facile e quindi di convertire il valore hash in un attributo binario. Infine, il cmdlet Update-SafeList consente di confrontare l'attributo binario creato per i valori memorizzati nell'attributo. Se i due valori sono identici, il cmdlet Update-SafeList non consente di aggiornare il valore dell'attributo dell'utente con i dati dell'aggregazione dell'elenco indirizzi attendibili. Se i due valori sono diversi, il cmdlet Update-SafeList consente di aggiornare il valore dell'aggregazione dell'elenco indirizzi attendibili. Questa logica, secondo cui i valori binari vengono confrontati prima degli aggiornamenti, consente di ridurre al minimo l'utilizzo di risorse nella replica di Active Directory. Gli aggiornamenti periodici assicurano che l'aggregazione dll'elenco indirizzi attendibili più aggiornata si trovi in Active Directory. Per ulteriori informazioni sulla configurazione del cmdlet Update-Safelist per eseguire aggiornamenti periodici, vedere Come configurare l'aggregazione degli elenchi indirizzi attendibili.

Per rendere i dati dell'aggregazione dell'elenco indirizzi attendibili in Active Directory disponibili per i server Trasporto Edge della rete perimetrale, è necessario installare e configurare il servizio EdgeSync di Microsoft Exchange in modo che i dati dell'aggregazione dell'elenco indirizzi attendibili siano replicati in ADAM.

Ulteriori informazioni

Per ulteriori informazioni, vedere i seguenti argomenti:

• Come configurare l'aggregazione degli elenchi indirizzi attendibili

• Utilizzo di una sottoscrizione di Edge per inserire dati di Active Directory in ADAM