Aggregazione dell'elenco indirizzi attendibili

  • Articolo

In Exchange Server, l'aggregazione dell'elenco indirizzi attendibili si riferisce agli indirizzi di posta elettronica del mittente e del destinatario raccolti dalle opzioni di Email indesiderata di tutti gli utenti in Microsoft Outlook, Outlook sul web o nel cmdlet Set-MailboxJunkEmailConfiguration e condivisi con gli agenti antispam predefiniti di Exchange. L'aggregazione dell'elenco sicuro è sostanzialmente invariata rispetto a Exchange Server 2010.

Quando si abilita e si configura l'aggregazione degli elenchi attendibili, Exchange può eseguire le azioni seguenti in base ai dati di aggregazione dell'elenco di sicurezza:

  • Recapitare i messaggi in arrivo da mittenti identificati come sicuri senza ulteriore elaborazione antispam (che potrebbe potenzialmente identificare i messaggi come posta indesiderata).

  • Bloccare i messaggi in ingresso provenienti da mittenti identificati come dannosi.

Per configurare l'aggregazione dell'elenco di sicurezza, vedere Procedure di aggregazione degli elenchi attendibili.

Nel contesto del filtro della posta indesiderata, un falso positivo è un messaggio legittimo identificato come posta indesiderata. Per le organizzazioni che filtrano centinaia di migliaia di messaggi da Internet ogni giorno, anche una piccola percentuale di falsi positivi significa che gli utenti potrebbero non ricevere molti messaggi legittimi. L'aggregazione dell'elenco indirizzi attendibili è probabilmente il modo più efficace per ridurre i falsi positivi.

Informazioni archiviate nella raccolta dell'elenco di sicurezza dell'utente

Una raccolta di elenchi attendibili è costituito dai dati combinati dall'elenco Mittenti attendibili dell'utente, dall'elenco Destinatari attendibili, dall'elenco Mittenti bloccati e (facoltativamente) dai contatti esterni. Questi dati sono archiviati in Outlook e nella cassetta postale di Exchange. Per altre informazioni sull'aggiunta e la rimozione di voci dalla raccolta di elenchi attendibili di un utente, vedere Usare Exchange Management Shell per configurare la raccolta di elenchi attendibili in una cassetta postale.

Le informazioni seguenti vengono archiviate nella raccolta dell'elenco di sicurezza di un utente:

  • Mittenti attendibili: indirizzo di posta elettronica SMTP nel campo Da: .

  • Destinatari sicuri: indirizzo di posta elettronica SMTP nel campo A : .

  • Mittenti bloccati: proprio come i mittenti sicuri, gli utenti possono bloccare i mittenti indesiderati aggiungendoli all'elenco Mittenti bloccati.

  • Dominio sicuro: fa parte dell'elenco Mittenti attendibili, ma invece di un indirizzo di posta elettronica SMTP (masato@contoso.com), viene specificato il dominio del mittente (lcontoso.com).

    Nota: per impostazione predefinita, Exchange non include domini sicuri durante l'aggregazione dell'elenco di sicurezza. È tuttavia possibile configurare l'aggregazione dell'elenco di sicurezza per includere i dati del dominio sicuro. Per ulteriori informazioni, vedere Configurare il filtro del contenuto per usare i dati dei dominio attendibili.

  • Contatti esterni: due tipi di informazioni di contatto esterno possono essere inclusi nella raccolta dell'elenco di sicurezza:

    • Destinatari a cui l'utente ha inviato posta elettronica: questi indirizzi di posta elettronica vengono aggiunti all'elenco Mittenti attendibili se l'utente seleziona Aggiungi automaticamente le persone che e-mail all'elenco Mittenti attendibili nelle opzioni Email posta indesiderata in Outlook.

    • Contatti nella cartella Contatti dell'utente: questi indirizzi di posta elettronica vengono aggiunti all'elenco Mittenti attendibili se l'utente seleziona Considera attendibile anche la posta elettronica dai contatti nelle opzioni Email posta indesiderata in Outlook, Outlook sul web o nel cmdlet Set-MailboxJunkEmailConfiguration.

Utilizzo della raccolta degli elenchi indirizzi attendibili da parte di Exchange

La raccolta degli elenchi indirizzi attendibili è archiviata sul server di cassette postali dell'utente. Un utente può disporre di un massimo di 1024 voci univoche in una raccolta degli elenchi indirizzi attendibili. Exchange dispone di un assistente cassetta postale, denominato Assistente cassetta postale Opzioni Email posta indesiderata, che monitora le modifiche alla raccolta dell'elenco indirizzi attendibili per le cassette postali nel server. L'assistente replica tali modifiche in Active Directory, dove la raccolta degli elenchi indirizzi attendibili è archiviata in ciascun oggetto utente. La raccolta safelist è ottimizzata per l'archiviazione e la replica ridotte al minimo. Se nella rete perimetrale è presente un server Trasporto Edge sottoscritto, il servizio Microsoft Exchange EdgeSync replica la raccolta degli elenchi indirizzi attendibili nell'istanza Lightweight Directory Services (AD LDS) di Active Directory sul server Trasporto Edge.

Gli agenti antispam di Exchange seguenti usano la raccolta di elenchi attendibili:

  • L'agente filtro contenuto usa i dati dell'elenco Mittenti attendibili per recapitare i messaggi da tali mittenti senza ulteriore elaborazione (non necessaria).

  • L'agente filtro mittente usa i dati dell'elenco Mittenti bloccati per rifiutare o eliminare i messaggi da tali mittenti. Per altre informazioni, vedere Procedure di filtro dei mittenti.

Nota: anche se l'elenco Destinatari attendibili può essere incluso nell'aggregazione dell'elenco indirizzi attendibili, l'agente filtro contenuto non agisce sui dati dei destinatari sicuri.

Hashing delle voci della raccolta degli elenchi indirizzi attendibili

Le voci della raccolta degli elenchi indirizzi attendibili vengono sottoposte a hashing (SHA-256) unidirezionale prima di essere archiviate come set di array in tre attributi dell'oggetto utente, msExchSafeSenderHash, msExchSafeRecipientHash e msExchBlockedSendersHash, come oggetto binario di grandi dimensioni. Quando i dati vengono sottoposti a hashing, viene generato un output con lunghezza fissa, molto probabilmente univoco. Per l'hashing delle voci della raccolta degli elenchi indirizzi attendibili, viene generato un hash a 4 byte. Quando un messaggio viene ricevuto da Internet, Exchange esegue l'hash dell'indirizzo di posta elettronica del mittente e lo confronta con gli hash archiviati per conto della cassetta postale di destinazione. Se il mittente corrisponde a un hash dei mittenti attendibili, il messaggio supera il filtro contenuto. Se il mittente corrisponde a un hash dei mittenti bloccati, il messaggio viene bloccato.

L'hashing unidirezionale delle voci della raccolta degli elenchi indirizzi attendibili consente di portare a termine le seguenti importanti funzioni:

  • Riduce al minimo lo spazio di archiviazione e replica: la maggior parte delle volte, l'hash riduce le dimensioni dei dati. Quindi, il salvataggio e la trasmissione di una versione sottoposta a hashing di una voce della raccolta degli elenchi indirizzi attendibili consente di ottimizzare lo spazio di archiviazione e i tempi di replica. Ad esempio, un utente che dispone di 200 voci nella propria raccolta degli elenchi indirizzi attendibili creerà circa 800 byte di dati sottoposti a hashing archiviati e replicati in Active Directory.

  • Rende inutilizzabili le raccolte dell'elenco di sicurezza degli utenti da parte di utenti malintenzionati: poiché i valori hash unidirezionali sono impossibili da decodificare nell'indirizzo SMTP o nel dominio originale, le raccolte di elenchi attendibili non producono indirizzi di posta elettronica utilizzabili per utenti malintenzionati che potrebbero compromettere un server exchange.

Abilitazione dell'aggregazione degli elenchi indirizzi attendibili

L'aggregazione dell'elenco sicuro è abilitata per impostazione predefinita. I dati della raccolta dell'elenco di sicurezza sono scritti in Active Directory dall'assistente cassetta postale Opzioni Email indesiderata. A differenza delle versioni precedenti di Exchange, non è necessario eseguire manualmente il cmdlet Update-SafeList per eseguire l'hash e scrivere i dati della raccolta degli elenchi attendibili in Active Directory.

È comunque possibile eseguire manualmente l'aggregazione dell'elenco di sicurezza usando il cmdlet Update-Safelist . Tuttavia, è necessario tenere presente il traffico di replica che potrebbe essere generato quando si esegue questo comando. L'esecuzione di Update-Safelist in più cassette postali in cui gli elenchi di sicurezza sono molto usati potrebbe generare una quantità significativa di traffico di rete. Se si esegue il comando su più cassette postali, è consigliabile effettuare l'operazione negli orari di scarso traffico e non di ufficio.

Il cmdlet Update-SafeList consente di leggere la raccolta degli elenchi indirizzi attendibili dalla cassetta postale dell'utente, di sottoporre a hashing tutte le voci, di ordinarle per agevolare la ricerca e quindi di convertire il valore hash in un attributo binario. Infine, il cmdlet Update-SafeList consente di confrontare l'attributo binario creato con qualsiasi valore memorizzato nell'attributo. Se i due valori sono identici, il cmdlet Update-SafeList non consente di aggiornare il valore dell'attributo dell'utente con i dati di aggregazione dell'elenco indirizzi attendibili. Se i valori dei due attributi sono diversi, il cmdlet Update-SafeList consente di aggiornare il valore dell'aggregazione dell'elenco indirizzi attendibili.

Per altre informazioni sull'uso di Update-SafeList, vedere Procedure di aggregazione safelist.