Protezione antispam in Exchange Server

  • Articolo

Gli spammer, o mittenti malintenzionati, usano un'ampia gamma di tecniche per inviare messaggi di posta elettronica indesiderati all'organizzazione. Non esiste un singolo strumento o processo in grado di eliminare tutta la posta indesiderata. Tuttavia, Microsoft Exchange offre un approccio a più livelli e multiforme per ridurre questi messaggi indesiderati. Exchange usa gli agenti di trasporto per fornire protezione antispam e gli agenti predefiniti disponibili in Exchange Server 2016 e Exchange Server 2019 sono relativamente invariati rispetto a Exchange Server 2010. In Exchange 2016 ed Exchange 2019 la configurazione e la gestione di questi agenti sono disponibili solo in Exchange Management Shell.

Per altre funzionalità antispam e una gestione più semplice, è possibile acquistare Exchange Online Protection (EOP), che fa parte di Microsoft 365 e Office 365. Per altre informazioni su Microsoft 365 o Office 365 protezione antispam, vedere Protezione dalla posta indesiderata in EOP.

Agenti antispam nei server Cassette postali

In genere, si abilitano gli agenti antispam in un server Cassette postali se l'organizzazione non dispone di un server Trasporto Edge o se non esegue altri filtri antispam sui messaggi in ingresso. Per ulteriori informazioni, vedere Abilitare la funzionalità antispam sui server Cassette postali.

Come tutti gli agenti di trasporto, a ogni agente antispam viene assegnato un valore di priorità. Un valore inferiore indica una priorità più alta, quindi in genere un agente antispam con priorità 1 agisce su un messaggio prima di un agente antispam con priorità 9. Tuttavia, anche l'evento SMTP nella pipeline di trasporto in cui è registrato l'agente antispam è molto importante per determinare l'ordine in cui l'agente antispam agisce sui messaggi. Un agente antispam con priorità bassa registrato all'inizio della pipeline di trasporto agisce sui messaggi prima di un agente antispam con priorità elevata registrato più avanti nella pipeline di trasporto.

In base al valore di priorità predefinito dell'agente e all'evento SMTP in cui è registrato l'agente, questo è l'ordine in cui gli agenti antispam vengono applicati ai messaggi nei server Cassette postali:

  1. Agente filtro mittente: il filtro mittente confronta il server di invio con un elenco di mittenti o domini del mittente a cui non è consentito inviare messaggi all'organizzazione. Per ulteriori informazioni, vedere Filtro mittente.

  2. Agente ID mittente: l'ID mittente si basa sull'indirizzo IP del server di invio e sull'indirizzo responsabile (PRA) del mittente per determinare se l'indirizzo di posta elettronica di invio è contraffatto. Per ulteriori informazioni, vedere ID mittente.

  3. Agente filtro contenuto: l'agente filtro contenuto assegna un livello di attendibilità della posta indesiderata (SCL) a ogni messaggio in base ai dati provenienti da messaggi legittimi e di posta indesiderata. Per ulteriori informazioni, vedere Filtro contenuto.

    La quarantena della posta indesiderata è un componente dell'agente filtro contenuto che riduce il rischio di perdita di messaggi legittimi erroneamente classificati come posta indesiderata. La quarantena della posta indesiderata fornisce un percorso di archiviazione temporaneo per i messaggi sospetti, in modo che un amministratore possa esaminare i messaggi. Per ulteriori informazioni, vedere Quarantena della posta indesiderata in Exchange Server.

    Il filtro contenuto usa anche la funzionalità di aggregazione dell'elenco di indirizzi attendibili. L'aggregazione dell'elenco indirizzi attendibili raccoglie i dati dell'elenco indirizzi attendibili configurati dagli utenti in Microsoft, Outlook e Outlook sul Web e rende queste informazioni disponibili per l'agente filtro contenuto. Per altre informazioni, vedere Aggregazione dell'elenco di indirizzi attendibili.

  4. Agente di analisi del protocollo (reputazione del mittente): l'agente di analisi del protocollo è l'agente che fornisce la reputazione del mittente. La reputazione del mittente usa diversi test per calcolare un livello di reputazione del mittente (SRL) sui messaggi in ingresso che determina l'azione da intraprendere su tali messaggi. Per ulteriori informazioni, vedere Reputazione del mittente e l'agente analisi del protocollo.

Agenti antispam nei server Trasporto Edge

Se nell'organizzazione è installato un server Trasporto Edge nella rete perimetrale, tutti gli agenti antispam disponibili in un server Cassette postali vengono installati e abilitati per impostazione predefinita nel server Trasporto Edge. Tuttavia, gli agenti antispam seguenti sono disponibili solo nei server Trasporto Edge:

  • Agente filtro connessioni: il filtro delle connessioni usa un elenco di blocchi IP, un elenco indirizzi IP consentiti, provider dell'elenco indirizzi IP bloccati e provider dell'elenco indirizzi IP consentiti per determinare se una connessione deve essere bloccata o consentita. Per altre informazioni, vedere Filtro delle connessioni nei server Trasporto Edge.

  • Agente filtro destinatari: il filtro destinatari usa un elenco di destinatari bloccati per identificare i messaggi che non sono autorizzati a entrare nell'organizzazione. Il filtro destinatario usa anche la directory del destinatario locale per rifiutare i messaggi inviati a destinatari non validi. Per ulteriori informazioni, vedere Filtro destinatari nei server Trasporto Edge.

    Nota

    Quando il filtro destinatari in un server Cassette postali rileva un destinatario non valido o bloccato in un messaggio contenente altri destinatari validi, il messaggio viene rifiutato. Se si installano agenti antispam in un server Cassette postali viene attivato l'agente filtro destinatari. Tuttavia, quest'ultimo non viene configurato per bloccare destinatari.

  • Agente filtro allegati: il filtro degli allegati blocca i messaggi o gli allegati in base al nome del file allegato, all'estensione o al tipo di contenuto MIME. Per altre informazioni, vedere Filtro allegati nei server Trasporto Edge.

In base al valore di priorità predefinito dell'agente antispam e all'evento SMTP nella pipeline di trasporto in cui è registrato l'agente, questo è l'ordine in cui gli agenti antispam vengono applicati ai messaggi nei server Trasporto Edge:

  1. Agente filtro connessioni

  2. Agente filtro mittente

  3. Agente Filtro destinatario

  4. Agente ID mittente

  5. Agente filtro contenuto

  6. Agente di analisi del protocollo (reputazione del mittente)

  7. Agente filtro allegati

Indicatori antispam

I francobolli antispam vengono applicati ai messaggi e usati dagli agenti antispam. È possibile visualizzare i francobolli antispam per diagnosticare i problemi correlati alla posta indesiderata. Per ulteriori informazioni, vedere Indicatori antispam.

Strategia per l'approccio antispam

Antispam è un atto di bilanciamento tra il blocco dei messaggi indesiderati e la concessione di messaggi legittimi. Se si configurano le funzionalità antispam in modo troppo aggressivo, è probabile che si blocchino troppi messaggi legittimi (falsi positivi). Se si configurano le funzionalità antispam in modo troppo debole, è probabile che si consenta una quantità eccessiva di posta indesiderata nell'organizzazione.

Queste sono alcune procedure consigliate da considerare quando si configurano le funzionalità antispam predefinite in Exchange:

  • Rifiutare i messaggi identificati dall'agente filtro connessioni, dall'agente filtro destinatari e dall'agente filtro mittente anziché mettere in quarantena i messaggi o applicare stamp antispam. Questo approccio è consigliato per questi motivi:

    • I messaggi identificati dalle impostazioni predefinite del filtro connessioni, del filtro destinatario o del filtro mittente in genere non richiedono altri test per determinare se sono indesiderati. Ad esempio, se è stato configurato il filtro mittente per bloccare mittenti specifici, non c'è motivo di continuare a elaborare i messaggi provenienti da tali mittenti. Se non si desidera che i messaggi vengano rifiutati, non li si sarebbe inseriti nell'elenco mittenti bloccati.

    • La configurazione di un livello più aggressivo per gli agenti antispam che riscontrano messaggi nelle prime fasi della pipeline di trasporto consente di risparmiare risorse di elaborazione, larghezza di banda e disco. Più lontano nella pipeline di trasporto viaggia un messaggio, maggiore è il numero di variabili che le funzionalità antispam rimanenti devono valutare per identificare correttamente il messaggio come posta indesiderata. Rifiutare i messaggi ovvi in anticipo in modo da poter elaborare messaggi ambigui in un secondo momento.

  • È necessario monitorare l'efficacia delle funzionalità antispam ai livelli di configurazione correnti. Il monitoraggio consente di reagire alle tendenze e aumentare o diminuire l'aggressività delle impostazioni. È consigliabile iniziare con le impostazioni predefinite per ridurre al minimo il numero di falsi positivi. Quando si monitora la quantità di posta indesiderata e falsi positivi, è possibile aumentare l’aggressività delle impostazioni in base al tipo di spam e di attacchi di posta indesiderata che l'organizzazione verifica.

Vedere anche

Protezione dalla posta indesiderata in EOP