Configurazione del filtro connessioni
Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Ultima modifica dell'argomento: 2007-07-06
In questo argomento è inclusa una panoramica della configurazione del filtro connessioni. Per una configurazione personalizzata o più avanzata, vedere i collegamenti forniti in ogni sezione di questo argomento. Per ulteriori informazioni sul funzionamento del filtro connessioni, vedere Filtro connessioni.
Nota
Dal punto di vista dei componenti configurabili su un computer in cui è installato il ruolo del server Trasporto Edge, il filtro connessioni fa riferimento a un insieme di elenchi indirizzi IP bloccati, di elenchi indirizzi IP consentiti e relativi provider. Filtro connessioni è utilizzato per estendere le funzionalità del server.
Quando si configura Filtro connessioni è necessario eseguire la procedura seguente:
Abilitare i componenti del filtro connessioni.
Aggiungere indirizzi IP agli elenchi indriizzi IP consentiti e agli elenchi indriizzi IP bloccati.
Configurare i provider dell'elenco indirizzi IP consentiti e i provider dell'elenco indirizzi IP bloccati.
Configurare Filtro connessioni per i server Trasporto Edge che non sono il primo punto di ingresso SMTP (Simple Mail Transfer Protocol).
Verificare la funzionalità relativa agli indirizzi IP bloccati e agli indirizzi IP consentiti.
Importante
Le modifiche di configurazione apportate al filtro connessioni utilizzando Exchange Management Console o Exchange Management Shell vengono applicate solo al computer locale in cui è installato il ruolo del server Trasporto Edge. Se nell'organizzazione sono presenti più istanze del ruolo del server Trasporto Edge, è necessario applicare le modifiche di configurazione del filtro connessioni a ogni computer.
Abilitazione dei componenti del filtro connessioni
Per impostazione predefinita, il filtro connessioni è abilitato sul server Trasporto Edge per i messaggi in arrivo provenienti da Internet ma non autenticati. Questi messaggi vengono gestiti come messaggi esterni. È possibile disabilitare il filtro nelle configurazioni dei singoli computer utilizzando Exchange Management Console o Exchange Management Shell.
Quando il filtro connessioni è abilitato su un computer, il relativo agente filtra tutti i messaggi trasmessi attraverso tutti i connettori di ricezione sul computer. Come indicato in precedenza, vengono filtrati solo i messaggi provenienti da origini esterne. Per origini esterne si intendono le origini non autenticate. Tali origini sono considerate origini Internet anonime.
Per ulteriori informazioni sulla configurazione dei connettori di ricezione e sulla determinazione delle categorie di origini dei messaggi, vedere Connettori di ricezione.
Si consiglia di non filtrare i messaggi provenienti da partner attendibili o dall'interno dell'organizzazione. Quando si eseguono i filtri protezione da posta indesiderata, è sempre possibile che vengano individuati falsi positivi. Per ridurre la possibilità di gestire in modo errato messaggi di posta elettronica sicuri, è necessario abilitare gli agenti protezione posta indesiderata in modo che vengano eseguiti solo sui messaggi provenienti da origini sconosciute o potenzialmente non attendibili. Exchange Management Shell consente di abilitare e disabilitare il filtro connessioni sui messaggi provenienti da qualsiasi origine.
Per ulteriori informazioni sull'abilitazione di Filtro connessioni, vedere Come abilitare il Filtro connessioni.
Aggiunta di indirizzi IP agli elenchi indriizzi IP bloccati e consentiti
Come illustrato in Filtro connessioni, gli elenchi indirizzi IP bloccati e consentiti vengono definiti dall'amministratore e specificano gli indirizzi IP e gli intervalli di indirizzi IP utilizzati dal filtro connessioni. Se un indirizzo IP di origine corrisponde a un indirizzo IP o a un intervallo indirizzi IP incluso nell'elenco Blocca indirizzi IP, l'agente filtro contenuti elabora tutte le intestazioni RCPT TO: presenti nel messaggio, rifiutandolo dopo il comando MAIL FROM. Se un indirizzo IP di origine corrisponde a un indirizzo IP o a un intervallo di indirizzi IP incluso nell'elenco di indirizzi IP consentiti, il messaggio verrà inviato alla destinazione senza essere ulteriormente elaborato da altri agenti protezione posta indesiderata. Per ulteriori informazioni sul funzionamento combinato degli agenti di protezione posta indesiderata e sul relativo ordine di applicazione, vedere Funzionalità di protezione da posta indesiderata e antivirus.
Nota
L'utilizzo di indirizzi IP e di intervalli indirizzi IP in formato IPv6 (Internet Protocol Version 6) è supportato solo se sul computer che esegue Windows Server 2008 è distribuito Microsoft Exchange Server 2007 Service Pack 1 (SP1), entrambi i formati IPv6 e IPv4 (Internet Protocol Version 4) sono abilitati e la rete li supporta entrambi. Exchange 2007 SP1 è distribuito in questa configurazione, tutti i ruoli dei server possono inviare e ricevere dati da dispositivi, server e client che utilizzano indirizzi in formato IPv6. L'installazione predefinita di Windows Server 2008 abilita il supporto per i formati IPv4 e IPv6. Se Exchange 2007 SP1 è installato in Windows Server 2003, gli indirizzi in formato IPv6 non sono supportati. Per ulteriori informazioni sul supporto di Exchange 2007 SP1 per gli indirizzi in formato IPv6, vedere Supporto IPv6 in Exchange 2007 SP1 e SP2.
Per ulteriori informazioni sull'aggiunta di indirizzi IP all'elenco indirizzi IP bloccati e all'elenco indirizzi IP consentiti, vedere Come aggiungere indirizzi IP agli elenchi di indirizzi IP consentiti e agli elenchi di indirizzi IP bloccati.
Configurazione dei provider dell'elenco indirizzi IP bloccati e dei provider dell'elenco indirizzi IP consentiti
I servizi provider dell'elenco indirizzi IP bloccati e dell'elenco indirizzi IP consentiti consentono di ridurre la posta indesiderata e di aumentare le procedure di elaborazione globale dei messaggi nei server Trasporto Edge. È consigliabile prendere in considerazione la configurazione di più servizi dei provider degli elenchi indirizzi IP bloccati e consentiti.
Nota
I servizi multipli dei provider dell'elenco indirizzi IP bloccati vengono spesso denominati servizi dell'elenco di blocco degli indirizzi in tempo reale (RBL). I servizi multipli dei provider dell'elenco indirizzi IP consentiti vengono spesso denominati servizi dell'elenco degli indirizzi attendibili.
Per ogni servizio provider configurato, è possibile personalizzare l'errore 550 SMTP restituito al mittente nel caso in cui l'indirizzo IP del mittente corrisponda a un servizio provider dell'elenco indirizzi IP bloccati e venga successivamente bloccato dall'agente filtro connessioni. Si consiglia di personalizzare l'errore 550 SMTP per individuare il servizio provider dell'elenco indirizzi IP bloccati che consente di identificare il mittente come indirizzo IP bloccato. In questo modo i mittenti autorizzati potranno contattare il servizio provider per essere rimossi dall'elenco indirizzi IP bloccati.
Quando l'indirizzo IP di un server remoto che invia un messaggio corrisponde a un indirizzo IP contenuto nell'elenco indirizzi IP bloccati, i codici restituiti dal servizio provider dell'elenco indirizzi IP bloccati può variare in base al tipo di servizio provider. La maggior parte dei servizi provider dell'elenco indirizzi IP bloccati restituiscono uno dei seguenti tipi di dati: una maschera di bit oppure un valore assoluto. All'interno di questi tipi di dati, possono essere presenti più valori indicanti il tipo di elenco in cui è contenuto l'indirizzo IP inviato.
Esempio di maschera di bit
In questa sezione viene illustrato un esempio dei codici di stato restituiti dalla maggioranza dei provider degli elenchi di blocco. Vedere la documentazione del provider specifico sui codici di stato restituiti dal provider.
Per i dati di tipo maschera di bit, il servizio provider dell'elenco indirizzi IP bloccati restituisce il codice di stato 127.0.0.x, dove il numero intero x indica uno dei valori elencati nella seguente tabella.
Valori e codici di stato per i dati di tipo maschera di bit
| Valore | Codice di stato |
|---|---|
1 |
L'indirizzo IP è contenuto in un elenco indirizzi IP bloccati. |
2 |
Il server SMTP è configurato per l'inoltro aperto. |
4 |
L'indirizzo IP supporta un indirizzo IP di connessione remota. |
Per i tipi di valori assoluti, il servizio provider dell'elenco indirizzi IP bloccati restituisce risposte esplicite basate sulla causa del blocco dell'indirizzo IP. Nella seguente tabella sono illustrati alcuni esempi di valori assoluti e risposte esplicite.
Valori e codici di stato per i dati di tipo valore assoluto
| Valore | Risposta esplicita |
|---|---|
127.0.0.2 |
L'indirizzo IP è un'origine diretta di posta indesiderata. |
127.0.0.4 |
L'indirizzo IP è un mailer di posta inviata in blocco. |
127.0.0.5 |
Il server remoto che invia il messaggio supporta gli inoltri aperti a più fasi. |
Per ulteriori informazioni su come configurare i provider dell'elenco indirizzi IP consentiti e bloccati vedere Come configurare i provider dell'elenco indirizzi IP consentiti e i provider dell'elenco indirizzi IP bloccati.
Configurazione di Filtro connessioni per i server Trasporto Edge che non sono il primo punto di ingresso SMTP
In alcune organizzazioni il ruolo del server Trasporto Edge viene installato su computer che non elaborano le richieste SMTP direttamente su Internet. In questo scenario, il computer su cui viene eseguito il ruolo del server Trasporto Edge si trova dietro un altro server front-end SMTP che elabora i messaggi in arrivo direttamente da Internet. In questo scenario, l'agente filtro connessioni deve essere in grado di estrarre l'indirizzo IP di origine corretto dal messaggio. Per estrarre e valutare l'indirizzo IP di origine, l'agente filtro connessioni deve analizzare le intestazioni Ricevuto del messaggio e confrontare tali intestazioni con i server SMTP noti nella rete perimetrale.
Se un server SMTP conforme con RFC riceve un messaggio, l'intestazione Ricevuto del messaggio viene aggiornata con il nome di dominio e l'indirizzo IP del mittente. Per ogni server SMTP tra il mittente e il computer di origine in cui viene eseguito il ruolo del server Trasporto Edge, pertanto, viene aggiunta un'altra voce di intestazione Ricevuto.
Quando si configura la rete perimetrale per supportare Microsoft Exchange Server 2007, è necessario specificare tutti gli indirizzi IP dei server SMTP presenti nella rete perimetrale. I dati relativi agli indirizzi IP vengono replicati nei server Trasporto Edge da EdgeSync. Quando il computer che esegue l'agente filtro connessioni riceve messaggi, l'indirizzo IP nell'intestazione Ricevuto che non corrisponde all'indirizzo IP di un server SMTP nella rete perimetrale viene considerato l'indirizzo IP di origine.
È necessario specificare tutti i server SMTP interni sull'oggetto di configurazione trasporto nella foresta di Active Directory prima di eseguire Filtro connessioni. Specificare i server SMTP interni utilizzando il parametro InternalSMTPServers sul cmdlet Set-TransportConfig.
Test della funzionalità degli elenchi indirizzi IP bloccati e consentiti
Dopo aver configurato un servizio provider dell'elenco indirizzi IP bloccati o consentiti, è possibile verificare che Filtro connessioni sia configurato correttamente per il servizio specifico. La maggior parte dei servizi provider dell'elenco indirizzi IP bloccati o dell'elenco indirizzi IP consentiti fornisce indirizzi IP di prova che possono essere utilizzati per verificare i servizi. Quando si esegue una verifica di un servizio provider dell'elenco indirizzi IP bloccati o consentiti, Filtro connessioni esegue una query DNS basata sull'indirizzo IP dell'elenco indirizzi bloccati in tempo reale che dovrebbe fornire una risposta specifica. Per ulteriori informazioni sui servizi RBL, vedere Filtro connessioni. Per ulteriori informazioni sulla verifica degli indirizzi IP di un servizio provider dell'elenco indirizzi IP bloccati o dell'elenco indirizzi IP consentiti, vedere Test-IPAllowListProvider e Test-IPBlockListProvider.
Ulteriori informazioni
Per ulteriori informazioni sulla configurazione di Filtro connessioni utilizzando Exchange Management Console, vedere gli argomenti seguenti:
Per ulteriori informazioni sulla configurazione del filtro connessioni utilizzando Exchange Management Shell, vedere i seguenti argomenti: