Protezione dalla posta indesiderata
Si applica a: Exchange Server 2013
Gli spammer, o mittenti malintenzionati, usano un'ampia gamma di tecniche per inviare messaggi di posta elettronica indesiderati all'organizzazione. Non esiste un singolo strumento o processo in grado di eliminare tutta la posta indesiderata. Tuttavia, Microsoft Exchange Server 2013 offre un approccio a più livelli, multiprongiato e multiforme per ridurre questi messaggi indesiderati. Exchange usa gli agenti di trasporto per fornire protezione dalla posta indesiderata e gli agenti predefiniti disponibili in Exchange 2013 sono relativamente invariati rispetto a Microsoft Exchange Server 2010.
Per altre funzionalità di protezione dalla posta indesiderata e una gestione più semplice, è possibile scegliere di acquistare Microsoft Exchange Online Protection (EOP). Per un confronto tra le funzionalità di EOP e Exchange 2013, vedere Vantaggi delle funzionalità antivirus in Exchange Online Protection su Exchange Server 2013. Per altre informazioni su Microsoft 365 o Office 365 protezione dalla posta indesiderata, vedere Protezione dalla posta indesiderata in EOP.
Per informazioni sulle funzionalità antimalware predefinite in Exchange 2013, vedere Protezione antimalware.
Agenti di protezione dalla posta indesiderata sui server Cassette postali
Generalmente, gli agenti di protezione dalla posta indesiderata vengono abilitati su un server Cassette postali se l'organizzazione non dispone di un server Trasporto Edge o non esegue alcun filtraggio prima di accettare i messaggi in ingresso. Per ulteriori informazioni, vedere Attivare la funzionalità di protezione dalla posta indesiderata sui server cassette postali.
Come a tutti gli agenti di trasporto, anche agli agenti di protezione dalla posta indesiderata è assegnata una priorità. Un valore più basso indica una priorità più alta e di conseguenza un agente di protezione con priorità 1 agirà su un messaggio prima di un agente con priorità 9. Tuttavia, anche l'evento SMTP in cui viene registrato l'agente di protezione dalla posta indesiderata è importante per stabilire l'ordine di azione degli agenti sui messaggi. Un agente con priorità più bassa registrato in un evento SMTP precedente nella pipeline di trasporto agirà su un messaggio prima di un agente con una priorità più alta ma che è stato registrato in un evento SMTP successivo nella pipeline.
Nel seguente elenco sono indicati gli agenti di protezione dalla posta indesiderata e il loro ordine predefinito di applicazione ai messaggi su un server Cassette postali sulla base del valore di priorità predefinito dell'agente e dell'evento SMTP nella pipeline di trasporto in cui è registrato:
Agente filtro mittente: il filtro mittente confronta il mittente nel comando MAIL FROM: SMTP con un elenco definito dall'amministratore di mittenti o domini mittente a cui non è consentito inviare messaggi all'organizzazione per determinare l'eventuale azione da intraprendere su un messaggio in ingresso. Per ulteriori informazioni, vedere Filtro mittente.
Agente ID mittente: l'ID mittente si basa sull'indirizzo IP del server di invio e sull'indirizzo responsabile (PRA) del mittente per determinare se il mittente è stato falsificato o meno. Per ulteriori informazioni, vedere ID mittente.
Agente filtro contenuto: il filtro contenuto valuta il contenuto di un messaggio. Per ulteriori informazioni, vedere Filtro contenuto.
La quarantena della posta indesiderata è una funzione dell'agente filtro contenuto che riduce il rischio di perdita di messaggi legittimi erroneamente classificati come posta indesiderata. Questa funzionalità fornisce un percorso di archiviazione temporanea per i messaggi identificati come posta indesiderata che non devono essere recapitati alla cassetta postale di un utente all'interno dell'organizzazione. Per ulteriori informazioni, vedere Quarantena posta indesiderata.
Inoltre, il filtro contenuto agisce sulla funzionalità di aggregazione dell'elenco indirizzi attendibili. L'aggregazione dell'elenco di indirizzi attendibili consente di raccogliere i dati dagli elenchi di indirizzi protetti dalla posta indesiderata che gli utenti di Microsoft Outlook e Outlook Web App configurano e rendere tali dati disponibili per l'agente filtro contenuto. Per ulteriori informazioni, vedere Aggregazione dell'elenco indirizzi attendibili.
Agente di analisi del protocollo: l'agente di analisi del protocollo è l'agente sottostante che implementa la funzionalità di reputazione del mittente. La reputazione del mittente si basa sui dati permanenti dell'indirizzo IP del server di invio per stabilire l'eventuale azione da intraprendere su un messaggio in ingresso. Il livello di reputazione mittente (SRL, Sender Reputation Level) viene calcolato da diverse caratteristiche del mittente derivate dall'analisi del messaggio e da verifiche esterne. Per ulteriori informazioni, vedere Reputazione del mittente e l'agente analisi del protocollo.
Anti-spam agents on Edge Transport servers
Se nell'organizzazione è installato un server Trasporto Edge nella rete perimetrale, tutti gli agenti di protezione dalla posta indesiderata disponibili in un server Cassette postali vengono installati e abilitati per impostazione predefinita nel server Trasporto Edge. I seguenti agenti di protezione dalla posta indesiderata sono invece disponibili solo su un server Trasporto Edge:
Agente filtro connessioni: il filtro connessioni controlla l'indirizzo IP del server remoto che sta provando a inviare messaggi per determinare l'eventuale azione da intraprendere su un messaggio in ingresso. Il filtro di connessione usa un elenco di indirizzi IP bloccati, un elenco indirizzi IP consentiti, i servizi del provider dell'elenco indirizzi IP bloccati e i servizi del provider dell'elenco indirizzi IP consentiti per determinare se l'IP di connessione deve essere bloccato o consentito. Per altre informazioni, vedere Filtro delle connessioni nei server Trasporto Edge.
Agente filtro destinatari: il filtro destinatari confronta i destinatari dei messaggi nel comando RCPT TO: SMTP con un elenco di blocchi di destinatari definito dall'amministratore. Se viene rilevata una corrispondenza, il messaggio non può accedere all'organizzazione. Il filtro destinatario confronta i destinatari dei messaggi in ingresso anche con una directory dei destinatari locale per stabilire se il messaggio è indirizzato a destinatari validi. Quando un messaggio non è indirizzato a destinatari validi, viene rifiutato. Per ulteriori informazioni, vedere Filtro destinatari nei server Trasporto Edge.
Nota
Quando il filtro destinatari in un server Cassette postali rileva un destinatario non valido o bloccato in un messaggio contenente altri destinatari validi, il messaggio viene rifiutato. Se si installano agenti antispam in un server Cassette postali viene attivato l'agente filtro destinatari. Se si installano gli agenti di protezione dalla posta indesiderata in un server Cassette postali, l'agente filtro destinatari è abilitato per impostazione predefinita. Per ulteriori informazioni, vedere Abilitare la funzionalità antispam sui server Cassette postali.
Agente filtro allegati: il filtro degli allegati blocca i messaggi in base al nome del file allegato, all'estensione del nome file o al tipo di contenuto MIME del file. È possibile configurare il filtro degli allegati per bloccare il messaggio e l'allegato, rimuovere l'allegato e consentire la trasmissione del messaggio oppure eliminare automaticamente il messaggio e l'allegato. Per altre informazioni, vedere Filtro allegati nei server Trasporto Edge.
Di seguito è riportato l'ordine predefinito di applicazione degli agenti di protezione dalla posta indesiderata sul server Trasporto Edge sulla base del valore di priorità predefinito dell'agente e dell'evento SMTP nella pipeline di trasporto in cui è registrato:
Agente filtro connessioni
Agente filtro mittente
Agente Filtro destinatario
Agente ID mittente
Agente filtro contenuto
Agente di analisi protocollo per reputazione mittente
Agente filtro allegati
Contrassegni filtro posta indesiderata
Gli indicatori di protezione da posta indesiderata permettono di effettuare una diagnosi dei problemi relativi alla posta indesiderata applicando i metadati diagnostici o gli indicatori, come le informazioni specifiche sul mittente, i risultati della convalida puzzle e di filtro contenuto, ai messaggi quando passano attraverso le funzionalità di protezione da posta indesiderata che filtrano i messaggi in ingresso da Internet. Per ulteriori informazioni, vedere Contrassegni filtro posta indesiderata.
Strategia per la protezione dalla posta indesiderata
La strategia di configurazione delle funzionalità di protezione da posta indesiderata e di definizione dell'aggressività delle impostazioni dell'agente di protezione da posta indesiderata richiede una pianificazione e un calcolo accurati. Se tutti i filtri di protezione da posta indesiderata vengono impostati ai livelli più alti e configurati per il rifiuto di tutti i messaggi sospetti, è più probabile che vengano rifiutati i messaggi non indesiderati. Al contrario, se i filtri di protezione da posta indesiderata non vengono impostati a un livello sufficientemente alto e la soglia del livello di probabilità di posta indesiderata a un livello sufficientemente basso, probabilmente non si verificherà una riduzione nella quantità di posta indesiderata che accede all'organizzazione.
Si consiglia di rifiutare un messaggio quando Exchange rileva un problema con il messaggio tramite l'agente filtro connessioni, filtro destinatari o filtro mittente. Questo approccio è migliore rispetto alla messa in quarantena dei messaggi o all'assegnazione di metadati, quali contrassegni di protezione da posta indesiderata, a questi messaggi. Gli agenti filtro connessioni e filtro destinatari bloccano automaticamente i messaggi identificati dai rispettivi filtri. L'agente filtro mittente può essere configurato.
Questa procedura è consigliata poiché il livello di probabilità di posta indesiderata su cui si basano il filtro connessioni, il filtro destinatari o il filtro mittente è relativamente alto. Ad esempio, se l'amministratore ha configurato il blocco di mittenti specifici nel filtro mittente, non è necessario associare i dati relativi al filtro mittente a tali messaggi e continuare a elaborarli. Nella maggior parte delle organizzazioni, i messaggi bloccati vengono rifiutati. Se non si desidera rifiutarli, non occorre inserire i messaggi nell'elenco Mittenti bloccati.
La stessa logica viene applicata ai servizi relativi all'elenco indirizzi bloccati in tempo reale e al filtro destinatari, anche se il livello di protezione su cui si basano non è così alto come quello dell'elenco indirizzi IP bloccati. Più in profondità un messaggio viene trasmesso nel percorso del flusso di posta, più alta è la probabilità di falsi positivi, poiché le funzionalità di protezione da posta indesiderata valutano più variabili. Pertanto, si noterà che configurando le prime funzionalità di protezione da posta indesiderata nella catena di protezione da posta indesiderata in modo più aggressivo, è possibile ridurre la quantità di posta indesiderata. Di conseguenza, si risparmieranno risorse di elaborazione, larghezza di banda e di disco in modo da poter elaborare i messaggi più ambigui.
Infine, è necessario pianificare di monitorare l'efficacia generale delle funzionalità di protezione da posta indesiderata. Con un monitoraggio accurato, è possibile continuare a regolare le funzionalità di protezione da posta indesiderata per un corretto funzionamento nell'ambiente. Con questo approccio, all'avvio si consiglia di pianificare una configurazione non eccessivamente aggressiva delle funzionalità di protezione da posta indesiderata. Questo approccio consente di ridurre al minimo il numero di falsi positivi. Monitorando e regolando le funzionalità di protezione da posta indesiderata, è possibile incrementare l'aggressività relativa al tipo e agli attacchi di posta indesiderata subiti dall'organizzazione.