Firewall intestazioni

  • Articolo

Si applica a: Exchange Server 2013

In Microsoft Exchange Server 2013, il firewall dell'intestazione è un meccanismo che rimuove campi di intestazione specifici dai messaggi in ingresso e in uscita. Esistono due tipi diversi di campi dell'intestazione che sono interessati dal firewall dell'intestazione:

  • X-headers: un'intestazione X è un campo di intestazione non ufficiale definito dall'utente. I campi X-Header non sono menzionati in modo specifico nell'RFC-2822, ma l'utilizzo di un campo di intestazione non definito che inizia con X- è ormai una prassi accettata per aggiungere campi di intestazione non ufficiali al messaggio. Le applicazioni di messaggistica, quali protezione posta indesiderata, antivirus e server di messaggistica, possono aggiungere "X-Header" propri al messaggio. In Exchange, i campi X-header contengono informazioni dettagliate relative alle azioni eseguite sul messaggio dal servizio di trasporto, ad esempio il livello di probabilità di posta indesiderata (SCL, Spam Confidence Level), i risultati del filtro contenuto e lo stato di elaborazione delle regole. Rendere queste informazioni note a fonti non autorizzate potrebbe rappresentare una minaccia per la protezione.

  • Intestazioni di routing: le intestazioni di routing sono campi di intestazione SMTP standard definiti in RFC 2821 e RFC 2822. Le intestazioni di routing contrassegnano un messaggio utilizzando le informazioni sui diversi server di messaggistica utilizzati per recapitare il messaggio al destinatario. Le intestazioni di routing che sono inserite nei messaggi da utenti malintenzionati possono rappresentare in modo erroneo il percorso di routing effettuato da un messaggio per raggiungere un destinatario.

Il firewall dell'intestazione impedisce lo spoofing dei campi X-header relativi ad Exchange rimuovendoli dai messaggi in ingresso nell'organizzazione di Exchange provenienti da origini non attendibili. Il firewall dell'intestazione impedisce la diffusione dei campi X-header relativi ad Exchange rimuovendoli dai messaggi in uscita inviati a destinazioni non attendibili esterne all'organizzazione di Exchange. Il firewall dell'intestazione impedisce inoltre lo spoofing delle intestazioni di routing standard utilizzate per tenere traccia della cronologia di routing di un messaggio.

Campi delle intestazioni di messaggi interessati dal firewall dell'intestazione in Exchange

I seguenti tipi di X-header e intestazioni di routing sono interessati dal firewall dell'intestazione:

  • Intestazioni X dell'organizzazione: questi campi X-header iniziano con X-MS-Exchange-Organization-.

  • X-header della foresta: questi campi X-header iniziano con X-MS-Exchange-Forest-.

    Per esempi sugli X-header dell'organizzazione e della foresta, vedere la sezione X-header dell'organizzazione e X-header della foresta in Exchange alla fine di questo argomento.

  • Ricevuto: intestazioni di routing: un'istanza diversa di questo campo di intestazione viene aggiunta all'intestazione del messaggio da ogni server di messaggistica che ha accettato e inoltrato il messaggio al destinatario. L'intestazione Received: in genere include il nome del server di messaggistica e il timestamp della data.

  • Resent-*: intestazioni di routing: i campi di intestazione inviati sono campi di intestazione informativi che possono essere usati per determinare se un messaggio è stato inoltrato da un utente. Sono disponibili i seguenti campi di intestazione Inviato nuovamente: Resent-Date:, Resent-From:, Resent-Sender:, Resent-To:, Resent-Cc:, Resent-Bcc: e Resent-Message-ID:. I campi Resent- nuovamente vengono utilizzati allo scopo di visualizzare il messaggio al destinatario come se fosse stato inviato direttamente dal mittente originale. Il destinatario può visualizzare l'intestazione del messaggio per individuare chi ha inoltrato il messaggio.

Exchange utilizza due modalità diverse per applicare il firewall intestazioni alle X-header organizzazione e foresta e alle intestazioni di routing presenti nei messaggi:

  • Le autorizzazioni vengono assegnate ai connettori di invio o di ricezione che possono essere utilizzati per mantenere o rimuovere tipi specifici di intestazioni nei messaggi quando il messaggio passa attraverso il connettore.

  • Il firewall dell'intestazione viene implementato automaticamente per tipi specifici delle intestazioni nei messaggi durante altri tipi di invio del messaggio.

Come viene applicato il firewall dell'intestazione ai connettori di ricezione e invio

Il firewall intestazioni viene applicato ai messaggi che passano attraverso i connettori di invio e di ricezione in base ad autorizzazioni specifiche che vengono assegnate ai connettori.

Se l'autorizzazione viene assegnata al connettore di ricezione o di invio, il firewall intestazioni non viene applicato ai messaggi che passano attraverso il connettore. I campi delle intestazioni interessati sono mantenuti nei messaggi.

Se l'autorizzazione non viene assegnata al connettore di ricezione o di invio, il firewall intestazioni viene applicato ai messaggi che passano attraverso il connettore. I campi delle intestazioni interessati sono rimossi dai messaggi.

Nella seguente tabella vengono descritte le autorizzazioni sui connettori di invio e di ricezione, utilizzati per applicare il firewall intestazioni e i campi delle intestazioni interessati.

Tipo connettore Autorizzazione Descrizione
Connettore di ricezione Ms-Exch-Accept-Headers-Organization Questa autorizzazione interessa i campi X-header dell'organizzazione che iniziano con X-MS-Exchange-Organization- nei messaggi in ingresso.
Connettore di ricezione Ms-Exch-Accept-Headers-Forest Questa autorizzazione interessa i campi X-header foresta che iniziano con X-MS-Exchange-Forest- nei messaggi in ingresso.
Connettore di ricezione Ms-Exch-Accept-Headers-Routing L'autorizzazione interessa i campi intestazioni Received: e Resent-*: nei messaggi in ingresso.
Connettore di invio Ms-Exch-Send-Headers-Organization Questa autorizzazione interessa i campi X-header dell'organizzazione che iniziano con X-MS-Exchange-Organization- nei messaggi in uscita.
Connettore di invio Ms-Exch-Send-Headers-Forest Questa autorizzazione interessa i campi X-header foresta che iniziano con X-MS-Exchange-Forest- nei messaggi in uscita.
Connettore di invio Ms-Exch-Send-Headers-Routing L'autorizzazione interessa i campi intestazioni Received: e Resent-*: nei messaggi in uscita.

Firewall intestazioni per messaggi in ingresso su connettori di ricezione

Nella seguente tabella viene descritta l'applicazione predefinita delle autorizzazioni del firewall intestazioni sui connettori di ricezione.

Autorizzazione Entità di sicurezza predefinite di Exchange a cui è stata assegnata l'autorizzazione Gruppo di autorizzazioni con entità di sicurezza come membri Tipo di utilizzo predefinito che consente di assegnare i gruppi di autorizzazioni al connettore di ricezione
Ms-Exch-Accept-Headers-Organization e Ms-Exch-Accept-Headers-Forest
  • Server Trasporto Hub
  • Server Trasporto Edge
  • Exchange Server

    Nota: solo nei server Trasporto hub
 ExchangeServers Internal
Ms-Exch-Accept-Headers-Routing Account utente anonimi Anonimo Internet
Ms-Exch-Accept-Headers-Routing Account utente autenticati ExchangeUsers Client (non disponibile nei server Trasporto Edge)
Ms-Exch-Accept-Headers-Routing
  • Server Trasporto Hub
  • Server Trasporto Edge
  • Exchange Server

    Nota: solo server Trasporto Hub
  • Server protetti esternamente
 ExchangeServers Internal
Ms-Exch-Accept-Headers-Routing Account server partner Partner Internet e Partner

Firewall intestazioni su connettori di ricezione

Per applicare il firewall dell'intestazione ai messaggi in uno scenario del connettore di ricezione personalizzato, utilizzare uno dei seguenti metodi:

  • Create il connettore di ricezione con un tipo di utilizzo che applica automaticamente il firewall intestazioni ai messaggi. Tenere presente che è possibile impostare il tipo di utilizzo durante la creazione del connettore di ricezione.

    • Per rimuovere le X-header dell'organizzazione o le intestazioni X della foresta dai messaggi, creare un connettore di ricezione e selezionare un tipo di utilizzo diverso Internalda .

    • Per rimuovere le intestazioni di routing dai messaggi, eseguire una delle operazioni seguenti:

      • Creare un connettore di ricezione e selezionare il tipo di Customutilizzo . Non assegnare gruppi di autorizzazioni al connettore di ricezione.

      • Modificare un connettore di ricezione esistente e impostare il parametro PermissionGroups sul valore None.

        Tenere presente che se si dispone di un connettore di ricezione senza gruppi di autorizzazioni associati, sarà necessario aggiungere entità di sicurezza al connettore di ricezione come descritto nell'ultimo passaggio.

  • Utilizzare il cmdlet Remove-ADPermission per rimuovere l'autorizzazione Ms-Exch-Accept-Headers-Organization, l'autorizzazione Ms-Exch-Accept-Headers-Forest e l'autorizzazione Ms-Exch-Accept-Headers-Routing dall'entità di sicurezza configurata sul connettore di ricezione. Questo metodo non funziona se l'autorizzazione è stata assegnata all'entità di sicurezza tramite un gruppo di autorizzazioni sul connettore di ricezione, perché non è possibile modificare l'assegnazione delle autorizzazioni o l'appartenenza al gruppo del gruppo di autorizzazioni.

  • Utilizzare il cmdlet Add-ADPermission per aggiungere le appropriate entità di sicurezza necessarie per il flusso di posta sul connettore di ricezione. Verificare che alle entità di sicurezza siano assegnate le autorizzazioni Ms-Exch-Accept-Headers-Organization, Ms-Exch-Accept-Headers-Forest e Ms-Exch-Accept-Headers-Routing. Se necessario, utilizzare il cmdlet Add-ADPermission per negare le autorizzazioni Ms-Exch-Accept-Headers-Organization, Ms-Exch-Accept-Headers-Forest e Ms-Exch-Accept-Headers-Routing alle entità di sicurezza configurate sul connettore di ricezione.

Per ulteriori informazioni, vedere gli argomenti seguenti:

Firewall intestazioni per messaggi in uscita su connettori di invio

Nella seguente tabella viene descritta l'applicazione predefinita delle autorizzazioni del firewall intestazioni sui connettori di invio.

Autorizzazione Entità di sicurezza predefinite di Exchange a cui è stata assegnata l'autorizzazione Tipo di utilizzo predefinito che consente di assegnare i gruppi di autorizzazioni al connettore di invio
Ms-Exch-Send-Headers-Organization e Ms-Exch-Send-Headers-Forest
  • Server Trasporto Hub
  • Server Trasporto Edge
  • Nota sui server Exchange: solo nei server Trasporto Hub
  • Server protetti esternamente
  • Gruppi di protezione universali ExchangeLegacyInterop
 Internal
Ms-Exch-Send-Headers-Routing
  • Server Trasporto Hub
  • Server Trasporto Edge
  • Exchange Server

    Nota: solo nei server Trasporto hub
  • Server protetti esternamente
  • Gruppi di protezione universali ExchangeLegacyInterop
 Internal
Ms-Exch-Send-Headers-Routing Account utente anonimo Internet
Ms-Exch-Send-Headers-Routing Server partner Partner

Firewall intestazioni su connettori di invio

Per applicare il firewall dell'intestazione ai messaggi in uno scenario del connettore di invio personalizzato, utilizzare uno dei seguenti metodi:

  • Create il connettore di invio con un tipo di utilizzo che applica automaticamente il firewall intestazioni ai messaggi. Tenere presente che è possibile impostare il tipo di utilizzo durante la creazione del connettore di invio.

    • Per rimuovere le intestazioni X dell'organizzazione o le intestazioni X della foresta dai messaggi, creare un connettore di invio e selezionare un tipo di utilizzo diverso Internal da o Partner.

    • Per rimuovere le intestazioni di routing dai messaggi, creare un connettore di invio e selezionare il tipo di Customutilizzo . L'autorizzazione Ms-Exch-Send-Headers-Routing viene assegnata a tutti i tipi di utilizzo del connettore di invio ad eccezione di Custom.

  • Rimuovere un'entità di sicurezza che assegna le autorizzazioni Ms-Exch-Send-Headers-Organization, Ms-Exch-Send-Headers-Forest e Ms-Exch-Send-Headers-Routing dal connettore.

  • Utilizzare il cmdlet Remove-ADPermission per rimuovere le autorizzazioni Ms-Exch-Send-Headers-Organization, Ms-Exch-Send-Headers-Forest e Ms-Exch-Send-Headers-Routing da una delle entità di sicurezza configurate sul connettore di invio.

  • Utilizzare il cmdlet Add-ADPermission per negare le autorizzazioni Ms-Exch-Send-Headers-Organization, Ms-Exch-Send-Headers-Forest e Ms-Exch-Send-Headers-Routing a una delle entità di sicurezza configurate sul connettore di invio.

Per ulteriori informazioni, vedere gli argomenti seguenti:

Firewall intestazioni per altre origini del messaggio

I messaggi possono entrare nella pipeline di trasporto di un server Cassette postali o in un server Trasporto Edge senza utilizzare i connettori di invio o i connettori di ricezione. Il firewall intestazioni viene applicato alle altre origini dei messaggi descritte nell'elenco seguente:

  • Directory di ritiro e directory di riesecuzione: la directory di ritiro viene usata dagli amministratori o dalle applicazioni per inviare i file dei messaggi. La directory di riesecuzione viene utilizzata per inviare nuovamente i messaggi esportati dalle code dei messaggi di Exchange. Per ulteriori informazioni sulle directory di prelievo e di riesecuzione, vedere Directory di prelievo e directory di riesecuzione.

    I campi X-header dell'organizzazione, X-header della foresta e intestazioni di routing vengono rimossi dai file dei messaggi nella directory di prelievo.

    Le intestazioni di routing vengono mantenute nei messaggi inviati dalla directory di riesecuzione.

    La rimozione dai messaggi o il mantenimento di X-header dell'organizzazione e della foresta viene controllato dal campo dell'intestazione X-CreatedBy: nel file del messaggio:

    • Se il valore di X-CreatedBy: è MSExchange15, le intestazioni X dell'organizzazione e le X-header della foresta vengono mantenute nei messaggi.
    • Se il valore di X-CreatedBy: non MSExchange15è , le intestazioni X dell'organizzazione e le intestazioni X della foresta vengono rimosse dai messaggi.
    • Se il campo dell'intestazione X-CreatedBy: non esiste nel file dei messaggi, i campi X-header dell'organizzazione e X-header della foresta vengono rimossi dai messaggi.

  • Drop directory: la directory drop viene usata dai connettori esterni nei server Cassette postali per inviare messaggi ai server di messaggistica che non usano SMTP per trasferire i messaggi. Per ulteriori informazioni sui connettori esterni, vedere Connettori esterni.

    I campi X-header dell'organizzazione e X-header della foresta vengono rimossi dai file dei messaggi prima di essere inseriti nella directory di destinazione.

    Le intestazioni di routing vengono mantenute nei messaggi inviati dalla directory di destinazione.

  • Trasporto cassette postali: il servizio Trasporto cassette postali esiste nei server Cassette postali per trasmettere messaggi da e verso le cassette postali nei server Cassette postali. Per altre informazioni sul servizio Trasporto cassette postali, vedere Flusso di posta.

    I campi X-header dell'organizzazione, X-header della foresta e intestazioni di routing vengono rimossi dai messaggi in uscita inviati dalle cassette postali dal servizio Invio trasporto cassette postali.

    Le intestazioni di routing vengono mantenute per i messaggi in ingresso ai destinatari delle cassette postali dal servizio Recapito trasporto cassette postali. Le seguenti intestazioni X-header dell'organizzazione vengono mantenute per i messaggi in ingresso ai destinatari delle cassette postali dal servizio Recapito trasporto cassette postali:

    • X-MS-Exchange-Organization-SCL
    • X-MS-Exchange-Organization-AuthDomain
    • X-MS-Exchange-Organization-AuthMechanism
    • X-MS-Exchange-Organization-AuthSource
    • X-MS-Exchange-Organization-AuthAs
    • X-MS-Exchange-Organization-OriginalArrivalTime
    • X-MS-Exchange-Organization-OriginalSize

  • Messaggi DSN: le intestazioni X dell'organizzazione, le intestazioni X della foresta e le intestazioni di routing vengono rimosse dal messaggio originale o dall'intestazione del messaggio originale collegata al messaggio DSN. Per ulteriori informazioni sui messaggi DSN, vedere DSN e NDR in Exchange 2013.

  • Invio dell'agente di trasporto: le intestazioni X dell'organizzazione, le intestazioni X della foresta e le intestazioni di routing vengono mantenute nei messaggi inviati dagli agenti di trasporto.

X-header dell'organizzazione e X-header della foresta in Exchange

Il servizio Trasporto sui server Cassette postali o i server Trasporto Edge inseriscono campi X-header personalizzati nell'intestazione del messaggio.

I campi X-header dell'organizzazione iniziano con X-MS-Exchange-Organization-. I campi X-header della foresta iniziano con X-MS-Exchange-Forest-. La seguente tabella descrive alcuni campi X-header dell'organizzazione e campi X-header della foresta utilizzati nei messaggi in un'organizzazione Exchange.

Intestazione X Descrizione
X-MS-Exchange-Forest-RulesExecuted Regole di trasporto elaborate nel messaggio.
X-MS-Exchange-Organization-Antispam-Report Riepilogo dei risultati del filtro protezione da posta indesiderata applicato al messaggio dall'agente filtro contenuto.
X-MS-Exchange-Organization-AuthAs Specifica l'origine di autenticazione. Questo campo X-header è sempre presente quando si analizza la protezione di un messaggio. I valori possibili sono Anonymous, Internal, Externalo Partner.
X-MS-Exchange-Organization-AuthDomain Compilato durante l'autenticazione di tipo dominio protetto. Il valore è FQDN del dominio remoto autenticato.
X-MS-Exchange-Organization-AuthMechanism Specifica il meccanismo di autenticazione per l'invio del messaggio. Il valore è un numero esadecimale a due cifre.
X-MS-Exchange-Organization-AuthSource Specifica il nome di dominio completo (FQDN) del server che ha valutato l'autenticazione del messaggio per conto dell'organizzazione.
X-MS-Exchange-Organization-Journal-Report Identifica i rapporti del journal nel trasporto. Appena il messaggio lascia il servizio di trasporto, l'intestazione diventa X-MS-Journal-Report.
X-MS-Exchange-Organization-OriginalArrivalTime Identifica l'ora in cui il messaggio è entrato per la prima volta nell'organizzazione di Exchange.
X-MS-Exchange-Organization-Original-Sender Identifica il mittente originale di un messaggio in quarantena quando entra per la prima volta nell'organizzazione Exchange.
X-MS-Exchange-Organization-OriginalSize Identifica la dimensione originale di un messaggio in quarantena quando entra per la prima volta nell'organizzazione Exchange.
X-MS-Exchange-Organization-Original-Scl Identifica il livello SCL originale di un messaggio in quarantena quando entra per la prima volta nell'organizzazione Exchange.
X-MS-Exchange-Organization-PCL Identifica il livello di probabilità di phishing. I valori possibili per il livello di probabilità di phishing sono compresi fra 1 e 8. Un valore superiore indica un messaggio sospetto. Per ulteriori informazioni, vedere Contrassegni filtro posta indesiderata.
X-MS-Exchange-Organization-Quarantine Indica che il messaggio è stato messo in quarantena nella cassetta postale di quarantena della posta indesiderata e che è stata inviata una notifica sullo stato del recapito (DSN, Delivery Status Notification). Può anche indicare che il messaggio è stato messo in quarantena e rilasciato dall'amministratore. Questo campo X-header impedisce che il messaggio rilasciato venga inviato nuovamente alla cassetta postale di quarantena della posta indesiderata. Per altre informazioni, vedere [Rilasciare messaggi in quarantena dalla cassetta postale di quarantena della posta indesiderata](release-quarantined-messages-from-the-spam-quarantine-mailbox-exchange-2013-help.md.
X-MS-Exchange-Organization-SCL Identifica il livello SCL del messaggio. I valori SCL possibili sono compresi fra 0 e 9. Un valore superiore indica un messaggio sospetto. Con il valore speciale -1 il messaggio viene escluso dall'elaborazione da parte dell'agente filtro contenuto. Per ulteriori informazioni, vedere Filtro contenuto.
X-MS-Exchange-Organization-SenderIdResult Contiene i risultati dell'agente ID mittente. L'agente ID mittente utilizza SPF (Sender Policy Framework) per confrontare l'indirizzo IP di origine del messaggio con il dominio utilizzato nell'indirizzo di posta elettronica del mittente. I risultati dell'ID mittente vengono utilizzati per calcolare il livello di probabilità di posta indesiderata di un messaggio. Per ulteriori informazioni, vedere ID mittente.