Office 365. Администрирование Forefront Online Protection для Exchange Online Часть 9

Правила дополнительной фильтрации спама (Additional spam filtering (ASF)), основываются на таких свойствах сообщения как теги HTML или перенаправление URL, которые очень часто встречаются в нежелательной почте. Дальше мы рассмотрим все установки гораздо более подробно.

Итак, пожалуй, начнем. Когда включается одна из установок дополнительной фильтрации спама, рассматривается возможность более агрессивной фильтрации нежелательной почты, то есть уже нежелательной почты приходит такое большое количество, что происходит реальная помеха бизнесу. В таком случае любые почтовые сообщения фильтруются по выставленным установкам дополнительной фильтрации спама и не могут быть игнорированы, как в случае некорректного распознавания нежелательной почты. Данные сообщения нежелательной почты помещаются в специальную папку с использованием сервиса карантина и периодически о появлении нежелательных сообщений, уведомляется администратор почты, если таковой имеется, или системный администратор организации. У администратора организации есть возможность создать дополнительные разрешающие правила разрешающие чтобы почтовые сообщения игнорировали некоторые установки на уровне выбранного домена, включая установки дополнительной фильтрации спама (ASF). Но нужно отметить, что если выбранный домен использует установки дополнительной фильтрации спама (ASF), то сообщения будут помещаться как спам, и в заголовке об этом будут присутствовать необходимые поля. То есть даже если спам будет пропущен/выпущен, то не факт что такое сообщение достигнет адресата, потому что на уровне партнера организации могут быть выставлены более жесткие правила фильтрации нежелательной почты.

Итак, чтобы перейти к настройке установок дополнительной фильтрации спама (ASF), нажмите кнопку «Изменить» на рисунке 36з, рядом с надписью «Действие нежелательной почты». Откроется окно «Параметры дополнительной фильтрации нежелательной почты (ASF)» (рисунок 38). Перед тем как перейдем к установкам дополнительной фильтрации спама (ASF), давайте разберемся, в каких состояниях они могут находиться, всего таких насчитывается три штуки однако:

1. Выключено (Выкл), – тут все понятно, выбранная установка дополнительной фильтрации спама (ASF) не работает.
2. Включено (Вкл), – установка дополнительной фильтрации спама (ASF) включена, и почтовое сообщение будет фильтроваться в соответствии с ней, Почтовое сообщение может маркироваться как нежелательное, или у данного почтового сообщения может быть увеличен рейтинг, в зависимости, конечно же, от установки дополнительной фильтрации спама (ASF).
3. Проверка, – установка дополнительной фильтрации спама (ASF) включена, но действий по фильтрации над почтовым сообщением не происходит. В теме почтового сообщения или в X-заголовке появляется сообщение о наличии нежелательного сообщения, но почтовое сообщение все равно доставляется адресату.

Как уже упоминалось ранее, некоторые установки дополнительной фильтрации спама (ASF) увеличивают рейтинг почтового сообщения. Чем выше рейтинг, тем больше шансов, что Forefront Online Protection для Exchange Online промаркирует сообщение как спам. Другие установки дополнительной фильтрации спама (ASF) сразу же маркируют почтовое сообщение как нежелательное и посылают его в карантин. Рассмотрим все установки дополнительной фильтрации спама (ASF). Есть еще одна полезная ссылка на лучшие практики конфигурирования Forefront Online Protection для Exchange Online (https://technet.microsoft.com/en-us/library/ff715282.aspx), рекомендую прочитать.

Итак, по порядку появления на рисунке 39, установки дополнительной фильтрации спама (ASF):

1. Ссылки на изображения на удаленных сайтах (идентификатор 0), – данная установка указывает, что по клику на изображении в постовом сообщении, происходит попытка перехода на удаленный сайт, в котором может исполняться нежелательный или просто подозрительный код, или сам HTML-код сообщения не содержит рисунка, а он уже потом подгружается с удаленного сайта. Не всегда такое сообщение может быть нежелательным, к примеру, когда пользователь сознательно подписывается на вполне законных основаниях на рассылку ему новостной ленты понравившегося ему веб-сайта. Однако, если такие ссылки содержатся в письме, то рейтинг письма все равно увеличивается. К примеру, если письмо было модифицировано и вместо легитимной картинки показывается реклама, которую пользователь совсем видеть может и не хочет. Относится к секции «Увеличить показатель нежелательной почты».
2. Числовой IP-адрес в URL-адресе (идентификатор 10), – в почтовом сообщении содержится числовой IP-адрес в URL-адресе, указывающий на какой-то другой контент. Также увеличивает рейтинг сообщения. Любая коммерческая организация строго следит за своей репутацией и не может допустить того, чтобы регистрация её доменного имени по какой-то причине было уничтожено. Поэтому, если в письме содержится подобная строка, это крайне подозрительно. Но на 100% утверждать, что это спам нельзя, потому что это может быть ненамеренная ошибка технического специалиста, или по причине передачи тестового сообщения с вновь разворачиваемого сервера. Относится к секции «Увеличить показатель нежелательной почты».
3. Перенаправление URL-адреса на другой порт, (идентификатор 11), – в почтовом сообщении есть URL-адрес, который перенаправляет пользователя, на какой либо нестандартный порт, Стандартными считаются 80 (HTTP), 8080(proxy port или альтернативный порт HTTP), 443(HTTPS). Опять же на 100 процентов утверждать, что это спам нельзя. Вполне возможно, что это служебный веб-сайт этой же организации, с другим доменным именем. Относится к секции «Увеличить показатель нежелательной почты».
4. URL-адрес сайта .biz или .info , (идентификатор 12), – как видно из названия, может увеличивается рейтинг почтового сообщения, если в URL-адресе внутри почтового сообщения есть сайты .biz или .info. С моей точки зрения достаточно странная установка, так как эти домены верхнего уровня вполне легитимны. Ключевое слово здесь «может увеличиваться», что предполагает что сервис Forefront Online Protection для Exchange Online может распознать спам в зависимости от сайтов в этих доменах, но пока более подробной информации обнаружено не было. Относится к секции «Увеличить показатель нежелательной почты».
5. Пустые сообщения, (идентификатор 1), – такое почтовое сообщение сразу помечается как спам, то есть если тема сообщения или тело сообщения пустое, нет какого-либо форматирования тела сообщения, нет вложений в почтовое сообщение. Относится к секции «Пометить как нежелательную почту».
6. JavaScript или VBScript в HTML, (идентификатор 2), – любое почтовое сообщение в котором используется JavaScript или Visual Basic Script Edition в HTML, может быть промаркировано как нежелательное. Оба данных скриптовых языка, в случае использования внутри почтового сообщения автоматически могут стать причиной определённых нежелательных действий, которые могут быть обработаны браузером по всему документу. Также в скриптах часто идет обращение к динамически создаваемому контенту, что также может привести к нежелательным событиям на целевом компьютере. Относится к секции «Пометить как нежелательную почту».
7. Тэги Frame или IFrame в HTML, (идентификатор 3), – любое почтовое сообщение, которое использует <Frame> или <IFrame> в теге HTML, может быть промаркировано как нежелательное. Данные теги чаще всего используются веб-сайтами или почтовыми сообщениями в формате HTML, для разметки предлагаемой к просмотру в браузере странице, или выделения области картинок. Также могут содержать нежелательный код. Относится к секции «Пометить как нежелательную почту».
8. Тэги Object в HTML, (идентификатор 4), – любое почтовое сообщение, которое использует <Object > в теге HTML, может быть промаркировано как нежелательное. Данный тег чаще всего используются веб-сайтами или почтовыми сообщениями в формате HTML, для включение дополнительных плагинов или попросту других приложений запускаемых в коде HTML. Также могут содержать нежелательный код. Относится к секции «Пометить как нежелательную почту».
9. Отображать тэг Embed в HTML, (идентификатор 5), – любое почтовое сообщение, которое использует в теге HTML, может быть промаркировано как нежелательное. Данный тег чаще всего используются веб-сайтами или почтовыми сообщениями в формате HTML, позволяющий различным типам документов с абсолютно различными типами данных быть встроенными в единый документ HTML, для примера можно привести картинки, музыкальные файлы, звуковые файлы и так далее. Также могут содержать нежелательный код. Относится к секции «Пометить как нежелательную почту».
10. Отображать тэг Form в HTML, (идентификатор 6), – любое почтовое сообщение, которое использует <Form> в теге HTML, может быть промаркировано как нежелательное. Данный тег чаще всего используются веб-сайтами или почтовыми сообщениями в формате HTML, для создания форм веб-сайта. В почтовом сообщении может содержаться указанный тег, с включенным в него нежелательной информации, которая будет отображаться. Также могут содержать нежелательный код.Относится к секции «Пометить как нежелательную почту».
11. Веб-ошибки в HTML, (идентификатор 7), – любое почтовое сообщение, которое содержит веб-ошибки, может быть промаркировано как нежелательное. Данные ошибки отображаются тогда, когда почтовое сообщение должно быть отображено для прочтения. Веб-ошибки очень часто делают невидимыми для получателя, потому добавляются в почтовые сообщения в виде изображения с очень маленьким разрешением по высоте и широте. Нужно отметить, что вполне легитимные новости могут использовать данную технику, для сохранения привлекательного внешнего вида почтового сообщения. Также могут содержать нежелательный код. Относится к секции «Пометить как нежелательную почту».
12. Применить список секретных слов, (идентификатор 8,9), – любое почтовое сообщение, которое содержит слова, состоящие в списке «секретных» может быть промаркировано как нежелательное. О работе со списком «секретных слов» будет ясно немного ниже по тексту. Относится к секции «Пометить как нежелательную почту».
13. Жесткий отказ записи SPF, (идентификатор 13), – любое почтовое сообщение, может не пройти проверку с помощью записи SPF и промаркировано как нежелательное. Фильтр определяет, был ли домен-получатель обвернутый во входящем сообщений опубликован в записи SPF(формат v=spf1 текстовая строка). Если нет такой записи, то почтовое сообщение пропускает данную проверку. Если же запись есть, то проверяется соответствие IP-адреса почтового сервера домена отправителя SPF-записи, с IP-адресом почтового сервера домена отправителя указанного в письме при разрешении имен. Если в списке указанном домене нет опубликованной SPF-записи, совпадающей с SPF-домена получателя, то почтовое сообщение маркируется как нежелательное. Нужно отметить, что данное действие может происходить ошибочно из–за неверной записи SPF. Так что если все сообщения приходящие от одного и того же домена маркируются как спам, нужно проверить данную запись на корректность формирования в своем домене организации и сверится с записью SPF, полученной от администратора домена организации партнера. Относится к секции «Пометить как нежелательную почту».

Полезные ссылки:

• Портал Офис 365 https://portal.microsoftonline.com/
• Управление организацией — бета-версия BPOS Standard http://help.outlook.com/ru-ru/140/ff657678.aspx
• Office 365 for midsize businesses and enterprises https://www.microsoft.com/en-us/office365/enterprise-solutions/enterprise-plans.aspx#fbid=g_sY900-UYl
• Ограничения для сообщений, почтовых ящиков и получателейhttp://help.outlook.com/ru-ru/140/dd630704.aspx
• Ограничения суточного потока получателей и общего объема почтыhttp://help.outlook.com/ru-ru/140/ff381292.aspx
• Отправка широковещательных сообщений всем пользователямhttp://help.outlook.com/ru-ru/140/dd439355.aspx
• Edit Company Preferences https://technet.microsoft.com/en-us/library/ff715088.aspx
• Managing Company Contacts https://technet.microsoft.com/en-us/library/ff714961.aspx
• Configuring Inbound Multi-SMTP Profiles https://technet.microsoft.com/en-us/library/ff715241.aspx
• Using FOPE Connectors to Configure Advanced Email Flow Scenarioshttps://technet.microsoft.com/en-us/library/gg430167.aspx
• Configuring Filtering Settings https://technet.microsoft.com/en-us/library/ff715131.aspx
• Add IP Address Restrictions https://technet.microsoft.com/en-us/library/ff715073.aspx
• Create a Password Policy https://technet.microsoft.com/en-us/library/ff715216.aspx
• Transfer Settings https://technet.microsoft.com/en-us/library/ff714990.aspx
• Configuring Language and Time Zone Preferences in FOPEhttps://technet.microsoft.com/en-us/library/ff715265.aspx
• Understanding Domain Service Settings in FOPE https://technet.microsoft.com/en-us/library/ff715138.aspx
• Configure Deferral Notifications https://technet.microsoft.com/en-us/library/ff715172.aspx
• Configuring Directory-Based Edge Blocking https://technet.microsoft.com/en-us/library/ff715005.aspx
• Understanding Spam Action Settings in FOPE https://technet.microsoft.com/en-us/library/ff715242.aspx
• Configuring Additional Spam Filtering Options https://technet.microsoft.com/en-us/library/ff714985.aspx
• Create an E-mail Footer for Outbound E-mail https://technet.microsoft.com/en-us/library/ff715251.aspx
• Configure Quarantine Settings https://technet.microsoft.com/en-us/library/ff715159.aspx
• Configuring Filters in FOPE https://technet.microsoft.com/en-us/library/ff715197.aspx
• FOPE 11.1 New Features https://technet.microsoft.com/en-us/library/gg430162.aspx
• Feature Set Comparison for FOPE Deployments https://technet.microsoft.com/en-us/library/gg685488.aspx

Автор: Дмитрий Пронькин