Konfiguracja filtrowania połączeń

Opublikowano: 28 marca 2007

Zawartość strony

	Wstęp
	Włączanie komponentów filtrowania połączeń
	Dodawanie adresów IP do list zablokowanych i dozwolonych adresów IP
	Konfiguracja dostawców list zablokowanych i dozwolonych adresów IP
	Przykład z maską bitów
	Konfiguracja filtrowania połączeń dla serwerów Edge Transport nie będących pierwszymi punktami wejścia SMTP
	Testowanie działania list zablokowanych i dozwolonych adresów IP
	Przeczytaj pozostałe części tej publikacji

Wstęp

Niniejszy artykuł stanowi omówienie konfiguracji filtrowania połączeń. Specjalistyczne, bardziej zaawansowane konfiguracje opisują artykuły, do których łącza można znaleźć w poszczególnych skecjach niniejszego artykułu. Więcej informacji o tym, jak działa filtrowanie połączeń można znaleźć w artykule Connection Filtering (j.ang.).

Uwaga:

Z perspektywy konfigurowalnych komponentów komputera z zainstalowaną rolą serwera Edge Transport, funkcja filtrowania połączeń oznacza kolekcję list zablokowanych adresów IP, list dozwolonych adresów IP, dostawców list zablokowanych adresów IP oraz dostawców list dozwolonych adresów IP.Filtrowanie połączeń używane jest w celu rozszerzenia funkcji serwera.

Aby skonfigurować filtrowanie połączeń, należy przeprowadzić następującą procedurę:

1. Włączenie komponentów filtrowania połączeń.
2. Dodanie adresów IP do list dozwolonych i blokowanych adresów IP.
3. Konfiguracja dostawców list dozwolonych i blokowanych adresów IP.
4. Konfiguracja filtrowania połączen dla serwerów Edge Transport nie będących pierwszymi punktami wejścia protokołu SMTP.
5. Przetestowanie działania list zablokowanych i dozwolonych adresów IP.

Ważne:

Zmiany w konfiguracji filtrowania połączeń wprowadzone przy użyciu konsoli Exchange Management Console lub powłoki Exchange Management Shell mają zastosowanie jedynie wobec lokalnego komputera z zainstalowaną rolą serwera Edge Transport. Jeśli w danej organizacji działa więcej serwerów z rolą serwera Edge Transport, należy skonfigurować filtrowanie połączeń na każdym z nich.

 Do początku strony

Włączanie komponentów filtrowania połączeń

Domyślnie filtrowanie połączeń na serwerze Edge Transport jest włączone dla nieuwierzytelnionych wiadomości przychodzących z Internetu. Wiadomości te traktowane są jako wiadomości zewnętrzne. Filtr można wyłączyć na wybranych komputerach przy użyciu konsoli Exchange Management Console lub powłoki Exchange Management Shell.

Kiedy filtrowanie połączeń na danym komputerze jest włączone, agent Connection Filter filtruje wszystkie wiadomości przechodzące przez konektory Receive na danym komputerze. Jak wcześniej wspomniano, filtrowane są jedynie wiadomości przychodzące ze źródeł zewnętrznych. Źródła zewnętrzne definiuje się jako źródła nieuwierzytelnione. Są one traktowane jako anonimowe źródła internetowe.

Więcej informacji o konfiguracji konektorów Receive i określania kategorii źródeł wiadomości można znaleźć w artykule Receive Connectors (j.ang.).

Filtrowanie wiadomości od zaufanych partnerów i wiadomości wysyłanych wewnątrz organizacji nie jest zalecane. W wypadku filtrów antyspamowych zawsze istnieje ryzyko wystąpienia błędów pierwszego rodzaju (błędne odfiltrowanie wiadomości nie będących spamem). Aby zmniejszyć szanse na błędną klasyfikację zwykłych wiadomości jako spamu, należy uruchomić agentów antyspamowych jedynie wobec nieznanych i podejrzanych źródeł. Filtrowanie wiadomości z wybranego źródła można włączyć lub wyłączyć za pomocą powłoki Exchange Management Shell.

 Do początku strony

Dodawanie adresów IP do list zablokowanych i dozwolonych adresów IP

Jak wyjaśniono w artykule Connection Filtering (j.ang.), listy zablokowanych i dozwolonych adresów IP to listy zdefiniowane przez administratora, wymieniające adresy IP bądź ich zakresy, które podlegają filtrowaniu połączeń. Jeśli adres IP źródła pasuje do adresu IP lub zakresu adresów IP na liście zablokowanych adresów IP, agent Connection Filter rozłącza sesję SMTP po przetworzeniu wszystkich nagłówków RCPT TO: w danej wiadomości. Jeśli adres IP źródła pasuje do adresu IP lub zakresu adresów IP na liście dozwolonych adresów IP, agent Connection Filter wysyła wiadomość do celu bez przetwarzania jej przez innych agentów antyspamowych. Więcej informacji o współdziałaniu agentów antyspamowych i kolejności, w jakiej są stosowane można znaleźć w artykule Tworzenie i wdrażanie list filtra wiadomości-śmieci w programie Outlook 2007.

 Do początku strony

Konfiguracja dostawców list zablokowanych i dozwolonych adresów IP

Usługi dostawców list zablokowanych i dozwolonych adresów IP mogą pomóc w zmniejszeniu liczby spamu i zwiększeniu wydajności przetwarzania wiadomości na serwerze Edge Transport. Warto rozważyć konfigurację kilku usług dostawców list zablokowanych i dozwolonych adresów IP.

Uwaga:

Usługi dostawców list zablokowanych adresów IP są czasem określane jako usługi list zablokowanych czasu rzeczywistego (RBL). Usługi dostawców list dozwolonych adresów IP są czasem określane jako usługi bezpiecznych list.

Dla każdej skonfigurowanej usługi dostawcy list zablokowanych adresów IP można określić osobny, informujący o błędzie komunikat SMTP 550, wysyłany do nadawcy, którego adres IP znajduje się na danej liście po zablokowaniu wiadomości przez agenta Connection Filter. Zalecane jest określenie błędu SMTP 550 w taki sposób, aby wskazywał on usługę dostawcy list zablokowanych adresów IP, która zidentyfikowała nadawcę jako adres przeznaczony do zablokowania. Dzięki temu nadawcy, którzy na liście znajdą się omyłkowo, będą mogli skontaktować się z dostawcą list zablokowanych adresów IP w celu usunięcia ich adresu z listy blokowanych adresów IP dostawcy.

Różne usługi dostawców list zablokowanych adresów IP mogą zwracać różne kody, gdy adres IP zewnętrznego serwera wysyłającego wiadomość pasuje do adresu IP na liście zablokowanych adresów IP usługi dostawcy list zablokowanych adresów IP. Większość usług dostawców list zablokowanych adresów IP zwraca jeden z następujących typów danych: maskę bitów lub wartość bezwzględną. W ramach tych typów danych mogą mieścić się różne wartości określające typ listy, na której znajduje się dany adres IP.

 Do początku strony

Przykład z maską bitów

W niniejszej sekcji znajdują się przykładowe kody stanu zwracane przez większość dostawców list zablokowanych adresów IP. Kody stanu używane przez danego dostawcę można znaleźć w dostarczanej przez niego dokumentacji.

Dla danych typu maska bitów, usługa dostawcy list zablokowanych adresów IP zwraca kod stanu 127.0.0.x, gdzie liczba całkowita x to jedna z wartości wymienionych w poniższej tabeli.

Wartości i kody stanu dla danych typu maska bitów

Dla danych typu wartość bezwzględna, usługa dostawcy list zablokowanych adresów IP zwraca bezpośrednie odpowiedzi zależne od przyczyny blokady danego adresu IP. Poniższa tabela przedstawia klika przykładów wartości bezwzględnych i bezpośrednich odpowiedzi.

Wartości i kody stanu dla danych typu wartość bezwzględna

 Do początku strony

Konfiguracja filtrowania połączeń dla serwerów Edge Transport nie będących pierwszymi punktami wejścia SMTP

W niektórych organizacjach rola serwera Edge Transport instalowana jest na komputerach, które nie przetwarzają żądań SMTP bezpośrednio w Internecie. W tym scenariuszu, serwer Edge Transport znajduje się za drugim, wysuniętym serwerem SMTP, który przetwarza wiadomości bezpośrednio z Internetu. Agent Connection Filter musi w takim wypadku być w stanie wydobyć z wiadomości prawidłowy, pierwotny adres IP nadawcy. Aby wydobyć i ocenić pierwotny adres IP, agent Connection Filter musi przetworzyć nagłówki Received wiadomości i porównać je ze znanym serwerem SMTP w sieci granicznej.

Kiedy serwer SMTP zgodny z RFC otrzymuje wiadomość, serwer aktualizuje jej nagłówek Received, dopisując do niego nazwę domeny i adres IP nadawcy. Dlatego serwer SMTP wprowadza do nagłówka Received dodatkowe dane dla każdego serwera SMTP znajdującego się pomiędzy pierwotnym nadawcą a serwerem Edge Transport.

Konfigurując sieć graniczną do pracy z Microsoft Exchange Server 2007, należy podać IP adresy wszystkich znajdujących się w niej serwerów SMTP. Dane adresów IP replikowane są na serwerach Edge Transport przez EdgeSync. Gdy wiadomości trafią na komputer, na którym działa agent Connection Filter, znajdujący się w nagłówku Received adres IP, który nie pasuje do żadnego z podanych adresów serwerów SMTP, zostanie uznany za pierwotny adres IP nadawcy.

Przed uruchomieniem filtrowania połączeń należy określić wszystkie wewnętrzne serwery SMTP w obiekcie konfiguracji przekazu w drzewie Active Directory. Wewnętrzne serwery SMTP można wskazać za pomocą parametru InternalSMTPServerskomandletu Set-TransportConfig (j.ang.).

 Do początku strony

Testowanie działania list zablokowanych i dozwolonych adresów IP

Po skonfigurowaniu usługi dostawcy list zablokowanych lub dozwolonych adresów IP, można je przetestować, aby się upewnić, że filtrowanie połączeń dla danej usługi jest odpowiednio skonfigurowane. Większość dostawców list zablokowanych i dozwolonych adresów IP dostarcza adresy testowe, których można użyć do testów. Podczas testowania usługi dostawcy list zablokowanych lub dozwolonych adresów IP, agent Connection Filter wysyła kwerendę Domain Name System (DNS) opartą na adresie IP z listy zablokowanych czasu rzeczywistego (RBL), która powinna zwrócić określoną odpowiedź. Więcej informacji o usługach RBL można znaleźć w artykule Connection Filterring (j.ang.). Więcej informacji o testowaniu usług dostawców list zablokowanych i dozwolonych adresów IP można znaleźć w artykułach Test-IPAllowListProvider (j.ang.) i Test-IPBlockListProvider (j.ang.).

 Do początku strony

Przeczytaj pozostałe części tej publikacji

• Jak włączyć filtrowanie połączeń
• Jak dodać adresy IP do listy dozwolonych lub blokowanych adresów
• Jak skonfigurować dostawców list dozwolonych lub blokowanych adresów

Do początku strony