Share via

Рекомендации по настройке FOPE

  • Статья

 

Применимо к: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Дата изменения раздела: 2013-05-17

Данный раздел содержит сведения о том, как воспользоваться всеми преимуществами службы Forefront Online Protection for Exchange (FOPE) и настроить ее для безотказной работы. Видео с инструкциями по настройке параметров, описанных в этом разделе, см. на веб-странице Рекомендации по настройке Forefront Online Protection for Exchange (возможно, на английском языке).

Инструмент синхронизации каталогов

Бесплатное средство синхронизации службы каталогов дает возможность безопасно и автоматически синхронизировать действительные адреса прокси-серверов пользователей (а также доступных списков надежных отправителей) между локальными доменными службами Active Directory, службами FOPE и Exchange Hosted Archive. Чтобы загрузить инструмент синхронизации каталогов, посетите веб-страницу https://www.microsoft.com/downloads/details.aspx?FamilyID=3cda6dcc-1124-4e0b-b991-de9d85ed12e1&DisplayLang=en (возможно, на английском языке)

После установки инструмента синхронизации каталогов его можно использовать для передачи списка пользователей и их адресов электронной почты в сеть с размещенными службами. Затем переданный список пользователей можно использовать для блокировки границы на основе каталога путем задания режима блокировки границы на основе каталога "Отклонить", доступа к карантину или в службах архивации.

Если в организации не установлены доменные службы Microsoft Windows Active Directory, в качестве источника "Список пользователей" можно задать значение Admin Center или Secure FTP (альтернативные параметры передачи списков пользователей).

Дополнительные сведения, например общие сведения, инструкции по установке и сведения о поддержке средства синхронизации службы каталогов FOPE, см. в разделе Средство синхронизации службы каталогов.

Параметры записи SPF

Запись SPF предоставляет механизм проверки узлов отправителей и предназначена для предотвращения несанкционированного использования имени домена при отправке сообщений электронной почты, т. е. спуфинга. Ниже приведены советы по настройке параметров записи SPF.

  1. Если домены используются для отправки электронной почты за пределы сети через сеть фильтрации, в запись SPF можно добавить выражение "spf.messaging.microsoft.com", а также отдельные IP-адреса сервера исходящей почты. Запись SPF предоставляет механизм проверки узлов отправителей и предназначена для предотвращения несанкционированного использования имени домена при отправке сообщений электронной почты, т. е. спуфинга.

    Важно!

    Эти инструкции применимы только для доменов отправки электронной почты через сеть фильтрации.

  2. Поскольку запись SPF используется для того, чтобы проверить, имеет ли право конкретный IP-адрес отправлять электронную почту для указанного домена, в запись SPF также необходимо добавить исходящие IP-адреса сети фильтрации. Самый простой способ добавить весь набор IP-адресов — использовать выражение "include: spf.messaging.microsoft.com" в записи SPF.

  3. Кроме того, можно указать все IP-адреса сервера исходящей почты. Эти IP-адреса требуются для доставки электронной почты остальным клиентам FOPE. Каждый IP-адрес должен быть доставлен через выражение ip4. Например, чтобы добавить адрес "127.0.0.1" в качестве разрешенного исходящего IP-адреса отправки, необходимо добавить в запись SPF выражение "ip4:127.0.0.1". Если полный список авторизованных IP-адресов известен, при добавлении используйте ключ –all (жесткий отказ). Если полный список авторизованных IP-адресов неизвестен, при добавлении используйте ключ ~all (мягкий отказ).

    Пример:

    В домене Contoso.com три сервера исходящей почты:

    127.0.0.1

    127.0.0.2

    127.0.0.3

    Исходная запись SPF для Contoso:

    "v=spf1 ip4:127.0.0.1 ip4:127.0.0.2 ip4:127.0.0.3 -all"

    Запись SPF для Contoso после реализации маршрутизации электронной почты через FOPE:

    "v=spf1 include:spf.messaging.microsoft.com ip4:127.0.0.1 ip4:127.0.0.2 ip4:127.0.0.3 -all"

Параметры сетевого подключения

В этом подразделе приведены советы по настройке бесперебойной передачи данных в службу Hosted Filtering.

  • На SMTP-сервере задайте тайм-аут подключения 60 секунд.

  • Поскольку правила брандмауэра разрешают только входящие SMTP-соединения с IP-адресов, используемых службой Hosted Filtering, рекомендуется настроить SMTP-сервер для приема максимального числа одновременных входящих подключений от службы.

  • Если для отправки исходящей почты сервер использует службу Hosted Filtering, рекомендуется настроить сервер для отправки не более 50 сообщений на одно подключение и для использования не более 50 одновременных подключений. При нормальных условиях работы эти параметры позволят гарантировать, что сервер обеспечивает бесперебойную передачу данных в службу.

Безопасность

Ограничения IP-адресов

Доступ к службе, на которую оформлена подписка, можно разрешить только пользователям, подключающимся к веб-сайтам с указанных IP-адресов. В этом случае доступ с остальных IP-адресов будет запрещен, что позволит уменьшить вероятность несанкционированного доступа. Параметры ограничений IP-адресов доступны на уровне организации, домена и пользователя.

Политики паролей

Для всех учетных записей, а в особенности для учетных записей администраторов, необходимо использовать надежные пароли. Следующие рекомендации могут помочь в создании надежных паролей:

  • наличие строчных и прописных букв, чисел и специальных символов (?, !, @, $);

  • срок действия паролей должен быть небольшим, например 3, 4 или 6 месяцев.

Параметры дополнительной фильтрации нежелательной почты

Администратор может задать параметры дополнительной фильтрации нежелательной почты (ASF). По умолчанию рекомендуется отключить все параметры ASF со следующими возможными исключениями.

  • Ссылки на изображения на удаленных сайтах — этот параметр рекомендуется для пользователей, получающих большое количество маркетинговых сообщений, рекламы или информационных бюллетеней, содержащих материалы с характеристиками нежелательной почты.

  • Устойчивый отказ записи SPF — этот параметр рекомендуется для организаций с проблемой получения фишинговых сообщений.

  • Проверка подлинности с адреса — этот параметр рекомендуется включить организациям с проблемой фишинга, особенно в случае подделки данных их внутренних пользователей. Тем не менее в общем случае рекомендуется, чтобы пользователи включали этот параметр в ответ на эскалацию вместо его включения по умолчанию.

Дополнительные сведения об этих и других параметрах ASF см. в разделе Настройка параметров дополнительной фильтрации нежелательной почты.

Совет

Чтобы реализовать максимальный уровень блокировки нежелательной почты, включите параметры дополнительной фильтрации нежелательной почты в тестовом режиме и определите требуемые значения. Клиентам с большой долей нежелательной почты перед настройкой этих параметров в рабочей среде рекомендуется протестировать их.

Клиенты должны отправлять все нежелательные сообщения электронной почты, пересылаемые с настольных компьютеров в службу Hosted Filtering, в отдел анализа нежелательной почты по адресу abuse@messaging.microsoft.com.

Кроме того, клиенты могут разрешить пользователям устанавливать средство сообщения о нежелательной почте. При использовании с приложением Microsoft® Office Outlook® средство сообщения о нежелательной почте позволяет быстро отправлять нежелательные сообщения электронной почты по адресу abuse@messaging.microsoft.com для анализа с целью повышения эффективности работы службы фильтрации нежелательной почты.

Здесь можно загрузить средство отчетов о нежелательной почте: https://go.microsoft.com/fwlink/?LinkID=147248

Администратор может настроить домен для отображения ссылки для загрузки средства сообщения о нежелательной почте при входе на веб-сайт карантина.

Дополнительные сведения о средстве сообщения о нежелательной почте см. в разделе Надстройка отчетов о нежелательной почте для Microsoft Office Outlook.

Сообщения о ложных срабатываниях

Большинство сообщений, отправленных в виде ложных срабатываний, на самом деле являются нежелательными сообщениями, которые были тщательно отфильтрованы, но, тем не менее, требуются получателям.

Чтобы получить сведения о типах и количестве сообщений, переданных службе Hosted Filtering в качестве ложных срабатываний, администраторы должны настроить функцию отправки копии сообщения о ложном срабатывании фильтра нежелательной почты.

Важно!

Прежде чем отправить сообщение о ложном срабатывании, пользователи должны выполнить вход на веб-сайт карантина, чтобы просмотреть его. После просмотра сообщение можно переслать по адресу false_positive@messaging.microsoft.com.

При отправке сообщения о ложном срабатывании по адресу false_positive@messaging.microsoft.com необходимо включить текст сообщения и все заголовки Интернета.

Фильтры политик

Правила политики

Помимо фильтрации нежелательной почты и защиты от вирусов, правила политики центра администрирования FOPE позволяют применять конкретные политики организации путем настройки правил фильтрации. Можно создать определенный набор правил, которые идентифицируют сообщения электронной почты и предпринимают конкретные действия при обработке сообщений электронной почты службой Hosted Filtering. Например, можно создать правило политики, которое будет отклонять все входящие сообщения электронной почты, содержащие некоторое слово или фразу в поле "Тема". Кроме того, фильтры правил политики позволяют добавлять большие списки значений и управлять ими (например, адреса электронной почты, домены и ключевые слова) для нескольких правил политики путем загрузки файла (словаря).

Правила политики можно настраивать для различных критериев электронной почты:

  • имена и значения полей заголовка;

  • IP-адреса отправителей, домены и адреса электронной почты;

  • домены и адреса электронной почты получателей;

  • имена и расширения файлов вложений;

  • тема сообщения, текст сообщения и прочие свойства сообщения (размер, число получателей).

Дополнительные сведения о правилах политики см. в разделе Правила политики.

Предотвращение фишинга и спуфинга

Фильтр политики можно использовать для защиты корпоративных сетей от атак электронной почты и защиты конфиденциальной информации пользователей.

Дополнительная антифишинговая защита может быть реализована путем обнаружения личных сведений в сообщениях электронной почты, отправляемых из домена организации. Например, для обнаружения передачи личных финансовых сведений или сведений, которые могут нарушать конфиденциальность, можно использовать следующие регулярные выражения:

  • \d\d\d\d\s\d\d\d\d\s\d\d\d\d\s\d\d\d\d (MasterCard Visa)

  • \d\d\d\d\s\d\d\d\d\d\d\s\d\d\d\d\d (American Express)

  • \d\d\d\d\d\d\d\d\d\d\d\d\d\d\d\d (любое число из 16 цифр)

  • \d\d\d\-\d\d\-\d\d\d\d (номер страхового свидетельства)

Для защиты от нежелательной почты и фишинга можно блокировать входящие сообщения электронной почты, отправляемые от имени домена организации. Чтобы предотвратить рассылку сообщений с поддельными адресами отправителей, создайте правило отклонения для сообщений, пересылаемых из домена организации в тот же самый домен.

Важно!

Это правило следует создавать только в том случае, если из Интернета на почтовый сервер организации отправляются только нежелательные сообщения.

Блокирование расширений

Фильтр политики можно использовать для защиты корпоративных сетей от атак электронной почты и защиты конфиденциальной информации пользователей.

Предотвращение угроз за счет блокировки расширений файлов должно обеспечивать, как минимум, блокировку следующих расширений. EXE, PIF, SCR, VBS.

Для усиления защиты рекомендуется блокировать некоторые или все следующие расширения: ADE, ADP, ANI, BAS, BAT, CHM, CMD, COM, CPL, CRT, EXE, HLP, HT, HTA, INF, INS, ISP, JOB, JS, JSE, LNK, MDA, MDB, MDE, MDZ, MSC, MSI, MSP, MST, PCD, PIF, REG, SCR, SCT, SHS, URL, VB, VBE, VBS, WSC, WSF, WSH.

См. также

Понятия

Вход в Центр администрирования FOPE в первый раз

Другие ресурсы

Видео — рекомендации по настройке Forefront Online Protection for Exchange