Использование правил пограничного транспорта для управления вирусами
Применимо к: Exchange Server 2010
Последнее изменение раздела: 2009-11-25
Для защиты организации от вирусов можно использовать агент пограничных правил, а также правила транспорта в Microsoft Exchange Server 2010.
Новые вирусы, угрожающие работе организаций, возникают каждый день. Для минимизации ущерба, наносимого вирусами, необходимо оказывать оперативное противодействие вирусам. Несмотря на быструю реакцию, между моментом появления вируса и моментом создания соответствующего антивирусного решения всегда проходит какое-то количество времени. Этот период, в течение которого вирус создает незримую угрозу и не может быть уничтожен, называют вирусной угрозой «нулевого дня».
В то же самое время вирусы, которые циркулируют в Интернете на протяжении многих лет, также представляют серьезную угрозу для организаций. Несмотря на то что значительная часть этих вирусов распознается антивирусными программами, всегда имеется вероятность того, что эти программы могут быть ошибочно отключены или иметь устаревшую базу данных, либо может произойти ситуация, при которой эти программы станут недоступными.
Правила транспорта, выполняющиеся на компьютерах с установленной ролью пограничного транспортного сервера, позволяют управлять ситуациями, связанными с угрозами вирусов «нулевого дня», как до возникновения таких угроз, так и на протяжении всего времени их действия.
Для получения дополнительных сведений о правилах транспорта см. следующие разделы:
Необходимы сведения о задачах управления, связанных с функциями защиты от нежелательной почты и вирусов? См. раздел Управление средствами защиты от нежелательной почты и вирусов.
Осуществление контроля за угрозой вируса
Большинство вирусов содержат уникальные характеристики, определяющие их как вирусы, например, определенные адреса электронной почты в поле заголовка сообщения «От», темы или вложения. Правила транспорта могут быть настроены таким образом, чтобы сначала идентифицировать потенциально опасные сообщения (используя для этого уникальные характеристики вируса), а затем применять соответствующее действие к таким сообщениями. В число таких действий входят отправка сообщения в почтовый ящик карантина, полное удаление сообщения из системы или добавление предупреждения в тему письма.
Выявление угрозы вируса
Очень важно выявить как можно большее количество инфицированных сообщений еще в пограничной сети, то есть на пограничных транспортных серверах. Это позволит снизить расходы на обработку сообщений, возникающие после того, как эти сообщения попадут в организацию Exchange. Расходов на хранение инфицированного сообщения на внутреннем сервере или на проверку такого сообщения антивирусной программой можно избежать, если это сообщение может быть выявлено уже на пограничном транспортном сервере, а затем отклонено или удалено.
Прежде чем создавать правило транспорта, которое позволит выявлять угрозы вирусов, необходимо изучить информацию об этом вирусе и выяснить, какими уникальными характеристиками этот вирус обладает, чтобы затем их использовать при создании правила транспорта. В данном списке указаны некоторые характерные особенности вирусов:
Ограниченное число строк в теме сообщения или в тексте сообщения
В поле заголовка "От" или "Кому" указан определенный адрес электронной почты
Определенное поле заголовка сообщения имеет определенное значение
Важно!
При указании уникальных характеристик конкретного вируса необходимо всегда следить за тем, чтобы эти характеристики не совпадали с содержимым допустимых сообщений.
Дополнительные сведения о типах содержимого сообщений, которые можно проверять на пограничном транспортном сервере с помощью правил транспорта, см. в разделе Предикаты правил транспорта.
Осуществление контроля за угрозой вируса с использованием правил транспорта
После того как были определены уникальные характеристики вируса, необходимо создать правило транспорта, в соответствии с которым к этому вирусу будет применяться определенное действие. Действия, которые применяются к сообщениям определенного рода, регулируются нормами, принятыми в данной организации.
Предупреждение
Если было принято решение разорвать SMTP-соединение, или удалить или отклонить сообщение, тогда это сообщение не будет получено. Если необходимо воспрепятствовать доставке сообщения, не прибегая при этом к его удалению, правило транспорта можно настроить так, чтобы это сообщение доставлялось в почтовый ящик карантина.
Для получения дополнительных сведений о действиях, которые можно запрограммировать на пограничном транспортном сервере с использованием правил транспорта, см. раздел Действия правил транспорта.
Дополнительные сведения о том, каким образом можно управлять и настраивать правила транспорта, которые используются для выявления и реагирования на потенциально опасные сообщения, см. в разделах:
- Создание правила транспорта
- Просмотр правил транспорта
- Изменение правила транспорта
- Удаление правила транспорта
- Настройка заявления об отказе
В данных разделах представлена информация, которая поможет управлять правилами транспорта и совершенствовать их:
Использование служб Exchange Hosted Services
Политики обмена сообщениями транспорта расширяются с помощью служб, доступных из служб Microsoft Exchange Hosted Services.
В состав группы Exchange Hosted Services входят четыре различные службы:
- служба Hosted Filtering, помогающая организациям защититься от вредоносного программного обеспечения, содержащегося в электронной почте;
- служба Hosted Archive, помогающая соблюдать требования по хранению данных;
- служба Hosted Encryption, помогающая шифровать данные для обеспечения конфиденциальности;
- служба Hosted Continuity, помогающая сохранять доступ к электронной почте во время и после аварийных ситуаций.
Эти службы интегрируются с любыми локальными серверами Exchange, которые управляются внутренними или размещенными службами электронной почты Exchange, предлагаемыми поставщиками служб. Дополнительные сведения о службах Exchange Hosted Services см. в разделе Microsoft Exchange Hosted Services.