Informazioni su Filtro destinatario

  • Articolo

 

Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Ultima modifica dell'argomento: 2012-11-30

L'agente Filtro destinatario è un agente per la protezione da posta indesiderata abilitato sui computer che eseguono MicrosoftExchange Server 2010 in cui è installato il ruolo del server Trasporto Edge. L'agente Filtro destinatario utilizza l'intestazione RCPT TO SMTP per determinare l'eventuale azione da eseguire su un messaggio in arrivo.

Quando vengono configurati su un server Trasporto Edge, gli agenti di protezione dalla posta indesiderata agiscono sui messaggi in modo cumulativo per ridurre il numero di messaggi indesiderati ricevuti dall'organizzazione. Per ulteriori informazioni su come pianificare e distribuire gli agenti di protezione dalla posta indesiderata, vedere Informazioni sulle funzionalità per la protezione da posta indesiderata e antivirus.

L'agente Filtro destinatario consente di bloccare i messaggi in base alle caratteristiche del destinatario specificato nell'organizzazione. Inoltre, consente di impedire l'accettazione dei messaggi nei seguenti scenari:

  • Destinatari inesistenti   È possibile impedire che vengano recapitati messaggi a destinatari non inclusi nella rubrica dell'organizzazione. Ad esempio, è possibile interrompere il recapito a nomi account utilizzati spesso in modo errato, quali administrator@contoso.com o support@contoso.com.

  • Liste di distribuzione limitate   È possibile impedire il recapito di posta Internet a liste di distribuzione che devono essere utilizzate solo da utenti interni.

  • Cassette postali che non devono mai ricevere messaggi da Internet   È possibile impedire il recapito di posta Internet a una specifica cassetta postale o alias utilizzato all'interno dell'organizzazione, ad esempio Helpdesk.

L'agente Filtro destinatario agisce sui destinatari archiviati in una delle seguenti origini dati o in entrambe:

  • Elenco dei destinatari bloccati   Un elenco di destinatari definito dall'amministratore in base al quale non devono mai essere accettati messaggi in arrivo provenienti da Internet.

  • Ricerca dei destinatari   Verifica della presenza del destinatario nell'organizzazione. Ricerca dei destinatari richiede l'accesso alle informazioni di Active Directory fornite da EdgeSync a Active Directory Lightweight Directory Services (AD LDS).

Per ulteriori informazioni sugli elenchi di destinatari bloccati e sulla funzionalità di ricerca dei destinatari, vedere la sezione "Origini dati dei destinatari" più avanti in questo argomento.

Quando si abilita l'agente Filtro destinatario, viene eseguita una delle azioni riportate di seguito sui messaggi in arrivo in base alle caratteristiche dei destinatari. Tali destinatari sono indicati dall'intestazione RCPT TO.

  • Se il messaggio in arrivo contiene un destinatario presente nell'elenco dei destinatari bloccati, il server Edge Transport invia al server mittente un errore di sessione SMTP "550 5.1.1 User unknown".

  • Se il messaggio in arrivo contiene un destinatario che non corrisponde ad alcun destinatario nella funzionalità di ricerca dei destinatari, il server Trasporto Edge invia al server mittente un errore di sessione SMTP "550 5.1.1 User unknown".

  • Se il destinatario non è presente nell'elenco dei destinatari bloccati ma è incluso nella funzionalità di ricerca dei destinatari, il server Trasporto Edge invia una risposta SMTP "250 2.1.5 Recipient OK" al server mittente e il messaggio viene elaborato dal successivo agente protezione posta indesiderata della catena.

Per informazioni sulle attività di gestione relative alle funzionalità di protezione dalla posta indesiderata e antivirus, vedere Gestione delle funzionalità protezione da posta indesiderata e antivirus.

Sommario

Configurazione di AD LDS per la ricerca dei destinatari

Origini dati dei destinatari

Funzionalità di tarpitting

Configurazione dell'intervallo di tarpitting

Più spazi dei nomi

Configurazione di AD LDS per la ricerca dei destinatari

Uno dei modi più efficaci per ridurre la quantità di posta indesiderata consiste nel convalidare i destinatari prima di accettare i messaggi in arrivo da Internet. Quindi, è opportuno configurare l'istanza AD LDS eseguita sul server Trasporto Edge per la sincronizzazione con Active Directory. Per impostazione predefinita, AD LDS è installato e configurato nel server Trasporto Edge. Tuttavia, è necessario configurare AD LDS per comunicare con un server di catalogo globale aggiunto al dominio di Active Directory. Generalmente è anche necessario configurare il firewall per abilitare la comunicazione tra porte specifiche e AD LDS. Per ulteriori informazioni, vedere Informazioni sulle sottoscrizioni Edge.

Dopo avere configurato AD LDS per la replica di un elenco di destinatari bloccati da Active Directory, è necessario abilitare il blocco dei messaggi inviati a destinatari non presenti nell'organizzazione Exchange. Per abilitare il blocco dei messaggi, utilizzare la scheda Destinatari bloccati della pagina Proprietà filtro destinatario in Exchange Management Console (EMC). È possibile anche utilizzare il cmdlet Set-RecipientFilterConfig in Exchange Management Shell. Per ulteriori informazioni, vedere Set-RecipientFilterConfig.

Configurazione di AD LDS per la ricerca dei destinatari

Origini dati dei destinatari

Come specificato in precedenza, l'agente Filtro destinatario fa riferimento a due origini dati quando confronta i destinatari nei messaggi in arrivo: l'elenco dei destinatari bloccati e la funzionalità di ricerca dei destinatari.

Elenco dei destinatari bloccati

L'elenco dei destinatari bloccati viene gestito dagli amministratori del server Trasporto Edge. I dati di questo elenco vengono archiviati nell'istanza del server Trasporto Edge di AD LDS. I destinatari bloccati devono essere immessi in ogni computer del server Edge Transport.

È possibile immettere i destinatari da bloccare tramite l'agente Filtro destinatario in EMC nella scheda Destinatari bloccati della pagina Proprietà filtro destinatario. Utilizzare il cmdlet Set-RecipientFilterConfig in Shell per immettere i destinatari. Per ulteriori informazioni su come configurare l'agente Filtro destinatario, vedere Configurazione delle proprietà del filtro destinatario.

Ricerca dei destinatari

Un vantaggio dell'agente Filtro destinatario è la capacità di verificare l'appartenenza dei destinatari di un messaggio in arrivo all'organizzazione prima che Exchange 2010 trasmetta il messaggio all'organizzazione. La capacità di verificare i destinatari presenti nell'organizzazione dipende dall'origine dati del destinatario disponibile nel server Trasporto Edge. Poiché il server Trasporto Edge non è un computer aggiunto al dominio Active Directory e potrebbe essere separato dall'organizzazione tramite un firewall, è necessario configurare un'origine dati della ricerca dei destinatari che sarà utilizzata dal server Trasporto Edge.

Il ruolo del server Trasporto Edge utilizza AD LDS per la configurazione e per l'archiviazione dei dati. Per ulteriori informazioni, vedere Informazioni sulle sottoscrizioni Edge.

Configurazione di AD LDS per la ricerca dei destinatari

Funzionalità di tarpitting

La funzionalità di ricerca dei destinatari consente al server mittente di determinare se un indirizzo di posta elettronica è valido. Come specificato in precedenza, quando il destinatario di un messaggio in arrivo è un destinatario noto, il server Edge Transport invia una risposta SMTP "250 2.1.5 Recipient OK" al server mittente. Questa funzionalità rappresenta un ambiente ideale per attacchi directory harvest.

Un attacco directory harvest è un tentativo di raccogliere indirizzi di posta elettronica validi da una determinata organizzazione in modo da poterli aggiungere a un database di posta indesiderata. Poiché l'invio di posta indesiderata è finalizzato a convincere gli utenti ad aprire tali messaggi di posta elettronica, gli utenti malintenzionati o gli spammer sono disposti a pagare per ottenere elenchi indirizzi attivi. Dal momento che il protocollo SMTP fornisce informazioni su mittenti noti e mittenti sconosciuti, uno spammer può scrivere un programma automatico che utilizza i nomi comuni o i termini del dizionario per creare indirizzi di posta elettronica per un dominio specifico. Il programma raccoglie tutti gli indirizzi di posta elettronica che restituiscono una risposta SMTP "250 2.1.5 Recipient OK" ed elimina tutti quelli che restituiscono un errore di sessione SMTP "550 5.1.1 User unknown". Lo spammer può quindi vendere gli indirizzi di posta elettronica validi o utilizzarli come destinatari di messaggi indesiderati.

Per contrastare gli attacchi directory harvest, Exchange 2010 fornisce la funzionalità di tarpitting. Il tarpitting consiste nel ritardare artificialmente le risposte del server per specifici modelli di comunicazione SMTP che indicano grandi volumi di posta indesiderata o di altri messaggi non graditi. L'obiettivo della funzionalità di tarpitting consiste nel rallentare il processo di comunicazione per questo tipo di traffico di posta elettronica in modo da aumentare il costo sostenuto dall'utente o dall'organizzazione mittente. Questa funzionalità rende gli attacchi directory harvest troppo costosi per consentire di automatizzati in maniera efficace.

Se il tarpitting non è configurato, Exchange Server restituisce immediatamente al mittente un errore di sessione SMTP "550 5.1.1 User unknown" quando un destinatario non è incluso nella ricerca dei destinatari. In alternativa, se il tarpitting è configurato, SMTP attende un numero di secondi specificato prima di restituire l'errore "550 5.1.1 User unknown". Questa pausa nella sessione SMTP rende l'automatizzazione di un attacco directory harvest più difficile e meno conveniente dal punto di vista economico per lo spammer. Per impostazione predefinita, il tarpitting è configurato su 5 secondi per i connettori di ricezione.

Per configurare l'intervallo di attesa prima che SMTP restituisca l'errore "550 5.1.1 User unknown", utilizzare EMC o Shell per impostare il valore TarpitInterval sul connettore di ricezione. Per ulteriori informazioni su come gestire e configurare i connettori di ricezione, vedere Informazioni sui connettori di ricezione.

Configurazione di AD LDS per la ricerca dei destinatari

Configurazione dell'intervallo di tarpitting

Come illustrato in Informazioni su Filtro destinatario, è possibile configurare i connettori di ricezione che elaborano i messaggi in arrivo da Internet per ridurre i tempi di risposta SMTP. Assicurarsi di abilitare la funzionalità di tarpitting sui connettori di ricezione, in particolare se è stata abilitata la funzionalità di ricerca dei destinatari del filtro destinatario. Se non viene abilita la funzionalità di tarpitting ma è stata abilitata la funzionalità di ricerca dei destinatari, l'organizzazione sarà esposta ad attacchi directory harvest, che probabilmente causeranno un aumento della posta indesiderata.

Se si specifica un intervallo di tarpitting su un connettore di ricezione, tale funzionalità verrà abilitata. Il valore predefinito è 5 secondi. Si consiglia di iniziare con questo valore e se si decide di modificarlo, è necessario prestare attenzione. Un intervallo eccessivamente lungo potrebbe determinare l'interruzione del flusso di posta ordinario, mentre un intervallo eccessivamente breve potrebbe non essere abbastanza efficace per contrastare un attacco directory harvest. È possibile modificare il valore dell'intervallo di tarpitting, ma si consiglia di apportare incrementi di dimensioni ridotte.

Se si esegue una versione di Exchange Server precedente a MicrosoftExchange Server 2010 Service Pack 2 (SP2), è possibile impostare l'intervallo di tarpitting nella scheda Sicurezza nelle pagine delle proprietà del connettore di ricezione in EMC oppure utilizzare il cmdlet Set-ReceiveConnector in Exchange Management Shell. Per ulteriori informazioni su come utilizzare EMC per configurare l'intervallo di tarpitting, vedere Configurazione delle proprietà del connettore di ricezione.

Se si sta utilizzando Exchange Server 2010 SP2, o una versione successiva si imposta l'intervallo di tarpitting utilizzando il cmdlet Set-ReceiveConnector in Exchange Management Shell.

Configurazione di AD LDS per la ricerca dei destinatari

Più spazi dei nomi

Alcune organizzazioni accettano messaggi di posta elettronica per più domini. Ad esempio, una singola organizzazione può accettare messaggi per il dominio Contoso.com e per il dominio Woodgrovebank.com. Talvolta le organizzazioni sono autorevoli per tutti i domini per i quali accettano messaggi. Nel contesto di SMTP, l'organizzazione è autorevole per un dominio se ospita e gestisce le cassette postali per tale dominio. Questa relazione si estende al server Edge Transport. Un server Edge Transport può accettare messaggi per più domini, tuttavia non può essere autorevole per tutti i domini. Ad esempio, un server Edge Transport può essere configurato per essere autorevole per tutti i destinatari del dominio Contoso.com ma accetta e inoltra i messaggi per il dominio Woodgrovebank.com.

Quando viene abilitato, l'agente Filtro destinatario esegue la ricerca dei destinatari solo per i domini specificati come autorevoli nella configurazione del server di trasporto. Se un server Trasporto Edge accetta e inoltra i messaggi per conto di un altro dominio, ma non è configurato come server autorevole, l'agente Filtro destinatario non esegue la ricerca dei destinatari. Tuttavia, se un destinatario non autorevole è specificato nell'elenco dei destinatari bloccati, il destinatario resterà bloccato.

Configurazione di AD LDS per la ricerca dei destinatari

 ©2010 Microsoft Corporation. Tutti i diritti riservati.