Informazioni sul filtro connessioni
Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Ultima modifica dell'argomento: 2016-07-21
L'agente Filtro connessioni è un agente di protezione da posta indesiderata abilitato nei computer in cui è installato il ruolo del server Trasporto Edge di MicrosoftExchange Server 2010. Si basa sull'indirizzo IP del server remoto a cui sta tentando di connettersi per determinare l'eventuale azione da intraprendere per un messaggio in arrivo. L'indirizzo IP remoto è disponibile all'agente Filtro connessioni come prodotto secondario della connessione TCP/IP sottostante necessaria per la sessione SMTP. Poiché l'agente Filtro connessioni deve valutare l'indirizzo IP del server remoto che sta inoltrando il messaggio per renderlo valido, l'agente Filtro connessioni viene solitamente abilitato nel server di accesso a Internet Trasporto Edge. Tuttavia, è possibile procedere con un'ulteriore configurazione per eseguire l'agente Filtro connessioni in maggiore profondità nel percorso in ingresso del messaggio.
Quando vengono configurati su un server Trasporto Edge, gli agenti di protezione dalla posta indesiderata agiscono sui messaggi in modo cumulativo per ridurre il numero di messaggi indesiderati ricevuti dall'organizzazione. Per ridurre la ridondanza e migliorare le prestazioni generali del sistema ed aumentarne l'efficienza, è necessario comprendere l'ordine seguito dagli agenti per valutare i messaggi in ingresso, così da poter ottimizzare la configurazione dei server Trasporto Edge. Per ulteriori informazioni sulla pianificazione e la distribuzione degli agenti di protezione dalla posta indesiderata, vedere Informazioni sulle funzionalità per la protezione da posta indesiderata e antivirus.
Quando si abilita l'agente Filtro connessioni, è necessario tenere presente che è il primo agente protezione posta indesiderata da eseguire quando viene analizzato un messaggio in ingresso.
Quando un messaggio in ingresso viene inviato a un server Trasporto Edge in cui è abilitato l'agente Filtro connessioni, l'indirizzo IP di origine della connessione SMTP viene controllato in base all'elenco degli indirizzi IP bloccati e a quello degli indirizzi IP consentiti. Se l'indirizzo IP di origine è incluso in un elenco di indirizzi IP bloccati, la connessione SMTP verrà interrotta dopo l'elaborazione di tutte le intestazioni RCPT TO presenti nel messaggio.
Nota
Il momento in cui una determinata connessione viene interrotta può dipendere da altre configurazioni di protezione da posta indesiderata. È possibile ad esempio specificare quali destinatari ricevono sempre messaggi di posta elettronica sebbene l'indirizzo IP di origine sia bloccato. Inoltre è possibile che siano stati configurati altri agenti che si basano sul contenuto da analizzare del comando DATA. L'agente Filtro connessioni interrompe sempre le connessioni bloccate in base alla configurazione di protezione da posta indesiderata generale.
Se l'indirizzo IP di origine non è incluso né nell'elenco degli indirizzi IP consentiti né in quello degli indirizzi IP bloccati, il messaggio passa ad altri agenti protezione posta indesiderata, se configurati.
Per informazioni sulle attività di gestione relative alle funzionalità di protezione dalla posta indesiderata e antivirus, Vedere Gestione delle funzionalità protezione da posta indesiderata e antivirus.
Sommario
Elenchi di indirizzi IP consentiti ed elenchi di indirizzi IP bloccati
Configurazione di Filtro connessioni per i server Trasporto Edge che non sono il primo punto di ingresso SMTP
Test della funzionalità degli elenchi indirizzi IP bloccati e consentiti
Elenchi di indirizzi IP consentiti ed elenchi di indirizzi IP bloccati
L'agente Filtro connessioni mette a confronto l'indirizzo IP del server che invia un messaggio ai seguenti archivi di dati degli indirizzi IP:
Elenchi di indirizzi IP consentiti ed elenchi di indirizzi IP bloccati definiti dall'amministratore
Provider dell'elenco indirizzi IP bloccati
Provider dell'elenco indirizzi IP consentiti
Per ulteriori informazioni sui provider dell'elenco degli indirizzi IP bloccati, vedere "Provider dell'elenco indirizzi IP bloccati" più avanti in questa sezione.
È necessario configurare almeno uno di questi archivi di dati degli indirizzi IP affinché l'agente Filtro connessioni sia operativo. Se gli archivi di dati degli indirizzi IP non contengono gli indirizzi IP presenti negli elenchi degli indirizzi IP consentiti o in quelli degli indirizzi IP bloccati o se non è ancora stato configurato alcun provider degli elenchi di indirizzi IP bloccati o di quelli degli indirizzi IP consentiti, è allora necessario disabilitare l'agente Filtro connessioni.
Elenchi di indirizzi IP consentiti ed elenchi di indirizzi IP bloccati definiti dall'amministratore
Gli amministratori dei server Trasporto Edge mantengono gli elenchi degli indirizzi IP definiti dall'amministratore. È possibile inserire o eliminare qualsiasi indirizzo IP da consentire o bloccare utilizzando Exchange Management Console (EMC) o Exchange Management Shell. È possibile aggiungere gli indirizzi IP singolarmente, secondo un intervallo di indirizzi IP oppure secondo l'indirizzo IP e la subnet mask.
Quando si aggiunge un indirizzo IP o un intervallo di indirizzi IP, è necessario specificare l'indirizzo IP o l'intervallo di indirizzi IP come indirizzo dell'elenco di indirizzi IP bloccati o consentiti. Inoltre, è possibile specificare una data di scadenza per ciascuna voce dell'elenco di indirizzi IP bloccati che si crea. La data di scadenza che viene impostata specifica il periodo di attività della voce dell'elenco indirizzi IP bloccati. Quando viene raggiunta la data di scadenza, la voce dell'elenco indirizzi IP bloccati viene disabilitata.
Utilizzando gli elenchi degli indirizzi IP consentiti e gli elenchi degli indirizzi IP bloccati definiti dall'amministratore, è possibile configurare il filtro connessioni per supportare i seguenti scenari:
Per escludere gli indirizzi IP dagli elenchi di indirizzi IP bloccati dei provider dell'elenco di indirizzi IP bloccati
Può essere necessario escludere gli indirizzi IP dagli elenchi di indirizzi IP bloccati dei provider dell'elenco di indirizzi IP bloccati quando si inserisce involontariamente alcuni mittenti autorizzati in un elenco di indirizzi IP bloccati di un provider di elenchi di indirizzi IP bloccati. È possibile ad esempio che alcuni mittenti autorizzati siano stati involontariamente inclusi in un elenco di indirizzi IP bloccati quando un server SMTP è stato involontariamente configurato per l'inoltro aperto. In uno scenario simile, probabilmente il mittente tenterà di correggere la configurazione e di rimuovere l'indirizzo IP dall'elenco degli indirizzi IP bloccati dei provider dell'elenco di indirizzi IP bloccati.
Per ulteriori informazioni sui provider dell'elenco degli indirizzi IP bloccati, vedere "Provider dell'elenco indirizzi IP bloccati" più avanti in questa sezione.
Per negare l'accesso dagli indirizzi IP che rappresentano una fonte di messaggi di posta elettronica non desiderata ma che non sono inclusi negli elenchi di indirizzi IP bloccati di un provider dell'elenco di indirizzi IP bloccati
Talvolta, è possibile ricevere una grande quantità di messaggi indesiderati da un'origine non ancora identificata da un servizio elenco indirizzi bloccati in tempo reale sottoscritto.
Provider dell'elenco indirizzi IP bloccati
I servizi dei provider dell'elenco indirizzi IP bloccati possono facilitare la riduzione del numero dei messaggi di posta indesiderata ricevuti dalla propria organizzazione.
Nota
I servizi provider dell'elenco indirizzi IP bloccati vengono spesso denominati servizi dell'elenco indirizzi bloccati in tempo reale. In Exchange Management Console i servizi dell'elenco indirizzi bloccati in tempo reale vengono indicati come servizi provider dell'elenco indirizzi IP bloccati. Le espressioni "servizi dell'elenco indirizzi bloccati in tempo reale" e "servizi provider dell'elenco indirizzi IP bloccati" si equivalgono.
I servizi provider dell'elenco indirizzi IP bloccati compilano gli elenchi degli indirizzi IP da cui in passato ha avuto origine la posta indesiderata. Inoltre, alcuni provider dell'elenco indirizzi IP bloccati forniscono elenchi di indirizzi IP per i quali il server SMTP è configurato per l'inoltro aperto. Esistono anche i servizi provider dell'elenco indirizzi IP bloccati che forniscono elenchi di indirizzi IP che supportano la connessione remota. I provider di servizi Internet (ISP) che forniscono servizi di connessione remota ai propri client assegnano gli indirizzi IP dinamici per ciascuna sessione di connessione remota. Alcuni ISP bloccano il traffico SMTP da account di connessione remota. Questi ISP e gli intervalli di indirizzi IP di connessione remota dell'operatore non vengono in genere aggiunti agli elenchi degli indirizzi IP bloccati. Tuttavia alcuni ISP consentono ai client di inviare il traffico SMTP da account di connessione remota. Gli utenti malintenzionati traggono vantaggio dagli ISP che consentono al traffico SMTP di inviare la posta indesiderata agli indirizzi IP assegnati dinamicamente. Quando l'indirizzo IP viene incluso in un elenco di indirizzi IP bloccati, gli utenti malintenzionati avviano un'altra sessione di connessione remota ricevendo un nuovo indirizzo IP. Generalmente un singolo provider dell'elenco indirizzi IP bloccati può fornire un elenco degli indirizzi IP che protegga dagli attacchi di posta indesiderata.
È possibile eseguire più configurazioni dei provider dell'elenco di indirizzi IP bloccati utilizzando EMC o Shell. Per ciascun servizio è richiesta una configurazione separata del provider dell'elenco di indirizzi IP bloccati utilizzando EMC o Shell.
Quando si configura l'agente Filtro connessioni per utilizzare un provider dell'elenco indirizzi IP bloccati, l'agente Filtro connessioni esegue le query nel servizio provider dell'elenco indirizzi IP bloccati per determinare se esiste una corrispondenza con gli indirizzi IP prima che il messaggio venga accettato nell'organizzazione.
Prima che il provider dell'elenco indirizzi bloccati venga contattato dall'agente Filtro connessioni per verificare un indirizzo IP, questo viene prima confrontato con l'elenco degli indirizzi IP consentiti e con quello degli indirizzi IP bloccati definiti dall'amministratore. Se l'indirizzo IP non è presente in nessun elenco, l'agente Filtro connessioni esegue le query nei servizi provider dell'elenco indirizzi IP bloccati in base al livello di priorità assegnato a ciascun provider. Se l'indirizzo IP è incluso nell'elenco degli indirizzi IP bloccati di un provider dell'elenco indirizzi IP bloccati, il server Trasporto Edge attende e analizza l'intestazione RCPT TO, restituisce al sistema mittente un errore SMTP 550 e chiude la connessione. Se l'indirizzo IP non è incluso negli elenchi di indirizzi IP bloccati di nessun provider dell'elenco indirizzi IP bloccati, l'agente successivo presente nella catena di protezione da posta indesiderata elabora la connessione. Per ulteriori informazioni sull'ordine in cui gli agenti di protezione posta indesiderata e antivirus filtrano i messaggi in ingresso, vedere Informazioni sulle funzionalità per la protezione da posta indesiderata e antivirus.
Quando si utilizza l'agente Filtro connessioni, è opportuno servirsi di uno o più provider dell'elenco indirizzi IP bloccati per gestire l'accesso alla propria organizzazione. L'utilizzo di un elenco di indirizzi bloccati definito dall'amministratore per mantenere il proprio elenco di indirizzi IP bloccati richiede tempi piuttosto lunghi oltre a risultare praticamente impossibile nella maggior parte delle organizzazioni in termini di risorse umane. Si consiglia, quindi, l'utilizzo di un servizio provider dell'elenco indirizzi IP bloccati esterno il cui unico scopo è quello di mantenere gli elenchi degli indirizzi IP bloccati.
Tuttavia l'utilizzo di un provider dell'elenco indirizzi IP bloccati può presentare alcuni svantaggi. Poiché l'agente Filtro connessioni deve eseguire una query di un'entità esterna per ciascun indirizzo IP sconosciuto, le interruzioni o i ritardi del servizio provider dell'elenco indirizzi IP bloccati possono causare un rallentamento nell'elaborazione dei messaggi nel server Trasporto Edge. Nel peggiore dei casi, interruzioni o ritardi simili potrebbero provocare colli di bottiglia del flusso di posta nel server Trasporto Edge.
L'altro svantaggio derivante dall'utilizzo di un servizio provider dell'elenco indirizzi IP bloccati esterno è che a volte alcuni mittenti autorizzati vengono aggiunti per errore agli elenchi degli indirizzi IP bloccati dei provider dell'elenco indirizzi IP bloccati. Ad esempio, i mittenti autorizzati possono essere aggiunti agli elenchi degli indirizzi IP bloccati mantenuti dai provider dell'elenco indirizzi IP bloccati in seguito a una configurazione SMTP errata in cui il server SMTP è stato involontariamente configurato per l'inoltro aperto.
Per ogni servizio provider configurato, è possibile personalizzare l'errore 550 SMTP restituito al mittente nel caso in cui l'indirizzo IP del mittente corrisponda a un servizio provider dell'elenco indirizzi IP bloccati e venga successivamente bloccato dall'agente filtro connessioni. Si consiglia di personalizzare l'errore 550 SMTP per individuare il servizio provider dell'elenco indirizzi IP bloccati che consente di identificare il mittente come indirizzo IP bloccato. In questo modo i mittenti autorizzati potranno contattare il servizio provider per essere rimossi dall'elenco indirizzi IP bloccati.
Diversi servizi provider dell'elenco di indirizzi IP bloccati possono restituire codici diversi quando l'indirizzo IP di un server remoto che invia un messaggio corrisponde a un indirizzo IP contenuto nell'elenco di indirizzi IP bloccati del servizio provider dell'elenco di indirizzi IP bloccati,. La maggior parte dei servizi provider dell'elenco indirizzi IP bloccati restituisce uno dei seguenti tipi di dati: una maschera di bit oppure un valore assoluto. All'interno di questi tipi di dati, possono essere presenti più valori indicanti il tipo di elenco in cui è contenuto l'indirizzo IP inviato.
Esempio di maschera di bit
In questa sezione viene illustrato un esempio dei codici di stato restituiti dalla maggioranza dei provider degli elenchi di indirizzi bloccati. Per dettagli sui codici di stato restituiti dal provider, vedere la documentazione per il provider specifico.
Per i dati di tipo maschera di bit, il servizio provider dell'elenco indirizzi IP bloccati restituisce il codice di stato 127.0.0.x, dove il numero intero x indica uno dei valori elencati nella seguente tabella.
Valori e codici di stato per i dati di tipo maschera di bit
| Valore | Codice di stato |
|---|---|
1 |
L'indirizzo IP è contenuto in un elenco indirizzi IP bloccati. |
2 |
Il server SMTP è configurato per l'inoltro aperto. |
4 |
L'indirizzo IP supporta un indirizzo IP di connessione remota. |
Per i tipi di valori assoluti, il servizio provider dell'elenco indirizzi IP bloccati restituisce risposte esplicite basate sulla causa del blocco dell'indirizzo IP. Nella seguente tabella sono illustrati alcuni esempi di valori assoluti e risposte esplicite.
Valori e codici di stato per i dati di tipo valore assoluto
| Valore | Risposta esplicita |
|---|---|
127.0.0.2 |
L'indirizzo IP è un'origine diretta di posta indesiderata. |
127.0.0.4 |
L'indirizzo IP è un mailer di posta inviata in blocco. |
127.0.0.5 |
Il server remoto che invia il messaggio supporta gli inoltri aperti a più fasi. |
Provider dell'elenco indirizzi IP consentiti
È inoltre possibile gestire i messaggi in ingresso utilizzando i servizi provider dell'elenco indirizzi IP bloccati che forniscono gli elenchi degli indirizzi IP consentiti. Gli elenchi degli indirizzi IP consentiti sono a volte denominati elenchi indirizzi attendibili o "white list" per utilizzare il linguaggio dell'industria del software. I provider dell'elenco indirizzi IP bloccati mantengono gli elenchi di quegli indirizzi IP di cui è stata accertata la non associazione ad attività di spam. Quando un provider dell'elenco indirizzi IP bloccati restituisce una corrispondenza di un indirizzo IP consentito che indica che l'indirizzo IP del mittente è con ogni probabilità legittimo o attendibile, l'agente Filtro connessioni inoltra il messaggio all'agente successivo della catena di protezione da posta indesiderata.
Inizio pagina
Configurazione di Filtro connessioni per i server Trasporto Edge che non sono il primo punto di ingresso SMTP
In alcune organizzazioni il ruolo del server Trasporto Edge viene installato su computer che non elaborano le richieste SMTP direttamente su Internet. In questo scenario, il computer su cui viene eseguito il ruolo del server Trasporto Edge si trova dietro un altro server front-end SMTP che elabora i messaggi in arrivo direttamente da Internet. In questo scenario, l'agente filtro connessioni deve essere in grado di estrarre l'indirizzo IP di origine corretto dal messaggio. Per estrarre e valutare l'indirizzo IP di origine, l'agente filtro connessioni deve analizzare le intestazioni Ricevuto del messaggio e confrontare tali intestazioni con i server SMTP noti nella rete perimetrale.
Se un server SMTP conforme con RFC riceve un messaggio, l'intestazione Ricevuto del messaggio viene aggiornata con il nome di dominio e l'indirizzo IP del mittente. Per ogni server SMTP tra il mittente e il computer di origine in cui viene eseguito il ruolo del server Trasporto Edge, pertanto, viene aggiunta un'altra voce di intestazione Ricevuto.
Quando si configura la rete perimetrale per supportare Exchange 2010, è necessario specificare tutti gli indirizzi IP dei server SMTP presenti nella rete perimetrale. I dati relativi agli indirizzi IP vengono replicati nei server Trasporto Edge da EdgeSync. Quando il computer che esegue l'agente filtro connessioni riceve messaggi, l'indirizzo IP nell'intestazione Ricevuto che non corrisponde all'indirizzo IP di un server SMTP nella rete perimetrale viene considerato l'indirizzo IP di origine.
È necessario specificare tutti i server SMTP interni sull'oggetto di configurazione trasporto nella foresta di Active Directory prima di eseguire il filtro connessioni. Specificare i server SMTP interni utilizzando il parametro InternalSMTPServers sul cmdlet Set-TransportConfig.
Inizio pagina
Test della funzionalità degli elenchi indirizzi IP bloccati e consentiti
Dopo aver configurato un servizio provider dell'elenco indirizzi IP bloccati o consentiti, è possibile verificare che Filtro connessioni sia configurato correttamente per il servizio specifico. La maggior parte dei servizi provider dell'elenco indirizzi IP bloccati o dell'elenco indirizzi IP consentiti fornisce indirizzi IP di prova che possono essere utilizzati per verificare i servizi. Quando si esegue una verifica di un servizio provider dell'elenco indirizzi IP bloccati o consentiti, Filtro connessioni esegue una query DNS basata sull'indirizzo IP dell'elenco indirizzi bloccati in tempo reale che dovrebbe fornire una risposta specifica. Per ulteriori informazioni sulla verifica degli indirizzi IP di un servizio provider dell'elenco indirizzi IP bloccati o dell'elenco indirizzi IP consentiti, vedere Test-IPAllowListProvider e Test-IPBlockListProvider.
Inizio pagina
©2010 Microsoft Corporation. Tutti i diritti riservati.