Forstå Beskyttelse mot søppelpost

 

Gjelder: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Emne sist endret: 2012-02-29

Dette emnet gir en oversikt over antisøppelpostfunksjonene tilgjengelig i Microsoft® Forefront® Online Protection for Exchange (FOPE).

FOPE har fire alternativer for håndtering og lagring av spam. Innstillingene for disse alternativene håndteres på domenenivå.

  1. Konfigurere søppepostkarantene: Søppelpostkarantene er det mest brukte alternativet for lagring av søppelpost, fordi det betyr at virksomhetens e-postservere ikke trenger å behandle og lagre denne typen e-post. Brukerne trenger heller ikke gå gjennom søppelpostmeldinger, noe som fører til forbedret produktivitet for alle ansatte. Med dette alternativet omdirigeres e-post identifisert som spam til de enkelte brukernes webbaserte postbokser for spam i FOPE-tjenesten. Søppelpostmeldinger fjernes automatisk fra postboksene etter 15 dager.

  2. Konfigurere X-hode i FOPE: Dette valget leverer e-post normalt, men setter inn en spesiell X-søppelposttopptekst i e-postens topptekst. Du kan legge til egendefinerte X-overskriftskommentarer i meldinger som er identifisert som søppelpost av FOPE-tjenesten. X-hodet settes deretter inn i Internett-overskriften til alle påfølgende søppelpostmeldinger. X-hodealternativet angir hvor mange e-postmeldinger som ble filtrert som søppelpost. Du kan om nødvendig opprette e-postserverregler eller klientsideregler for å filtrere meldinger som er merket med X-Headers.

  3. Forstå omadressering av søppelpost: E-post identifisert som søppelpost, omadresseres til en enkelt SMTP-adresse innenfor domenet. Du kan deretter gå gjennom disse meldingene når det passer deg, fra en plassering som e-postserveren din er vert for.

  4. Forstå emneendring i FOPE: Du kan legge til et identifiserende ord eller uttrykk i emnelinjen til meldinger som er identifisert som søppelpost, for eksempel SØPPELPOST. Deretter kan du om nødvendig opprette klientsideregler for å filtrere søppelpostmeldingene.

Du finner mer informasjon om hvert alternativ under Forstå innstillinger for søppelposthandlinger i FOPE.

FOPE bruker en rettighetsbeskyttet søppelpostteknologi med flere lag for å sørge for at uønskede e-postmeldinger automatisk filtreres før de kommer inn i meldingssystemene til virksomheten din. Når et domene er konfigurert og aktivert for FOPE-tjenesten, tilordnes domenet ditt en MX-post som skal rute e-posten via tjenesten. Dermed trenger du ikke lenger stadig hjelp fra IT-eksperter og administratorer.

FOPE Blokkering av IP-omdømme er den første forsvarslinjen mot uønsket e-post og blokkerer omtrent 90 prosent av innkommende søppelpost ved hjelp av tilkoblingsanalyse og analyse av omdømme.

Alle tilkoblingene til FOPE-nettverket overvåkes nøye, og de evalueres basert på SMTP-kommandoer sendt av tilkoblingsserveren. Ikke-standard tilkoblingsforespørsler som er betydelig forskjellige fra RFC-standardene, og forfalskede tilkoblingsforsøk forkastes umiddelbart. Dette hjelper deg å beskytte nettverkene dine mot denne typen ugyldige tilkoblingsforsøk.

Omdømmebasert blokkering av tilkobling i FOPE bruker en rettighetsbeskyttet liste som er basert på analyse av historiske data, og inneholder adressene til datamaskiner som er tilkoblet Internett og er ansvarlige for mesteparten av søppelposten. I et kontinuerlig samarbeid med Microsoft® Windows Live™ Hotmail® henter FOPE inn søppelpostdata både for individuelle brukere og for selskapet, og bruker deretter disse dataene til å opprette en stor og omfattende omdømmedatabase.

FOPE bruker også IP-omdømmeinformasjon fra andre selskaper og ISP-er for å gi forbedret beskyttelse mot tvilsomme IP-er og botnettangrep, som kommer fra en samling av kompromitterte datamaskiner som kjører programvare i en felles infrastruktur med kommandoer og kontroller. Utsendere av søppelpost oppretter regelmessig skadelige webområder som de bruker til phishing. FOPE bruker et bredt utvalg av kilder for å raskt oppdatere lister med kjente skadelige URL-adresser og deretter oppdatere innholdsfiltrene til å blokkere disse meldingene.

Når en melding har passert kantblokkeringen, må den deretter gå gjennom fire andre nivåer med søppelpostteknologi:

Mange kunder ønsker mer kontroll over e-post som kan inneholde uanstendig grafikk, påvirke personvern eller forsøke å lure brukere til å oppgi sensitive opplysninger. Funksjonen for ekstra søppelpostfiltrering (ASF) i FOPE lar deg bruke filtreringsflagg og karantenemeldinger som inneholder ulike typer aktivt eller mistenkelig innhold. Hvis du vil vite mer om hvilke ASF-filtreringsflagg som er tilgjengelige, se Konfigurere ekstra alternativer for søppelpostfiltrering.

FOPE-tjenesten godkjenner identiteten til avsender av hver enkelt e-postmelding. Hvis en melding ikke kan godkjennes og meldingen er identifisert som en melding fra en forfalsket avsender, er det mer sannsynlig at den kategoriseres som søppelpost. Struktur for avsenderpolicy (SPF) er en industristandard som forhindrer forfalskning av returbaneadresser ved hjelp av identiteten SMTP-e-post fra i e-post. Den gjør det enklere å identifisere forfalskninger. SPF-oppslag hjelper til å kontrollere at enheten som er oppført som avsender, faktisk sendte e-postmeldingen.

Når meldinger inneholder kjente spam-karakteristikker kan de identifiseres og tas fingeravtrykk av. Når en melding har blitt tatt fingeravtrykk av, blir den gitt en unik ID basert på innholdet. Databasen med fingeravtrykk samler inn data fra all søppelpost som er blokkert av FOPE-systemet, noe som forbedrer og finjusterer fingeravtrykksprosessen ettersom stadig flere meldinger behandles. Hvis en melding med et bestemt fingeravtrykk går gjennom systemet for andre gang, registreres fingeravtrykket, og meldingen merkes som søppelpost. Systemet analyserer kontinuerlig innkommende meldinger for å utvikle nye antisøppelpostmetoder. Søppelpostanalyseteamet i FOPE analyserer fingeravtrykkslaget når det oppdages nye forsøk på søppelpost.

FOPE-tjenesten bruker poengberegning til å kategorisere meldinger basert på mer enn 20 000 regler som definerer egenskapene til søppelpost og legitim e-post. Det legges til poeng hvis en melding inneholder søppelpostegenskaper, og det trekkes fra poeng hvis den inneholder egenskaper for legitim e-post. Når en meldings poengsum når en definert terskel, flagges meldingen som søppelpost.

FOPE evaluerer og tildeler poeng for følgende meldingsegenskaper:

  • Uttrykk i meldingsteksten og -emnet, inkludert URL-adresser.

  • Tåkelegging av HTTP, det vil si når URL-adressene til søppelpost er kamuflert som legitime URL-adresser.

  • Misformede overskrifter, det vil si overskrifter som er feilkonstruert.

  • E-postklienttype.

  • Danning av meldingshoder, for eksempel meldings-ID, mottatt, tilfeldige tegn.

  • Opprinnelig e-postserver.

  • Opprinnelig e-postagent.

  • Fra- og SMTP fra-adresse.

Søppelpostteamet endrer gjeldende regler og legger til nye regler etter behov flere ganger om dagen, hver dag.

Det er mange årsaker til en økning av rapporter om manglende levering (NDR-meldinger) som kan påvirke et e-postmiljø. En av e-postadressene i et domene kan for eksempel være påvirket av et forfalskningsforsøk eller den kan være kildeadressen for et DHA-angrep (Directory Harvest Attack). Ethvert av disse problemene kan resultere i en plutselig økning av antallet NDR-meldinger (rapporter om manglende leveringer) som behandles av tjenesten. NDR-Backscatter, som henviser til alle meldingene som mottas når en e-postadresse er forfalsket som avsender av søppelpost, er nå et alvorlig problem for mange virksomheter. I tillegg til regler for gjenkjenning av NDR-meldinger har FOPE en ekstra regel for ekstra søppelpostfiltrering (ASF), som bidrar til å blokkere Backscatter. Dette alternativet vil filtrere ut NDR-meldinger og sende dem til karantene.

For utgående filtreringskunder brukes logikk til å finne NDR-meldinger som er legitime returmeldinger, og disse leveres til den opprinnelige avsenderen uten å aktivere ASF-alternativet. Intelligent gjenkjenning av legitime NDR-meldinger er aktivert som standard for utgående kunder.

 
Vis: