Forefront Protection 2010 for Exchange – część 4
Autor: Jacek Światowiak
Opublikowano: 2012-03-01
W poprzedniej części cyklu artykułów omówiono zagadnienia dotyczące czterech trybów skanowania w celu wykrycia szkodliwego oprogramowania (wirusów oraz oprogramowania typu spyware). W tym opracowaniu przedstawimy elementy konfiguracyjne mechanizmów ochrony antyspamowej.
Warstwy i mechanizmy antyspamowe w środowisku Exchange oraz Forefront Protection for Exchange
Na poniższym schemacie, który pochodzi z dokumentu Forefront Protection 2010 for Exchange Server Antispam Framework.pdf, zostały przedstawione ogólne warstwy ochrony antyspamowej w środowisku Exchange oraz w produkcie Forefront Protection for Exchange. Zgodnie z tym podziałem wyróżniamy:
- Source Analysis Layer – warstwa analizy źródła (nadawcy),
- Protocol Analysis Layer – warstwa analizy protokolarnej,
- Content Analysis Layer – warstwa analizy zawartości,
- Client Analysis Layer – warstwa analizy (ochrony) od strony klienta (oprogramowania Microsoft Outlook),
*Rys. 1. *Ogólne warstwy ochrony antyspamowej w środowisku Exchange oraz produkcie Forefront Protection for Exchange.**
W skład Source Analysis Layer wchodzą następujące mechanizmy:
- IP Allow/IP Block Lists – listy IP zablokowanych i dozwolonych nadawców,
- DNSBL (DNS Block Lists inaczej nazywany RBL) – dynamiczne listy blokowanych serwerów pocztowych,
- Sender ID Framework – mechanizm bazujący na Sender ID – rekordzie spf,
W warstwie Protocol Analysis Layer możemy wyszczególnić:
- SMTP Tarpitting – mechanizm wbudowany w konektor odbiorczy SMTP Exchange – określa czas opóźnienia, po jakim zgłasza się serwer SMTP przy odbiorze poczty (domyślne opóźnienie to 5 sekund),
- Message submission rate (per IP) – określa maksymalną liczbę wiadomości, które mogą zostać w ciągu minuty odebrane przez konektor odbiorczy (dla roli Edge to 600 wiadomości),
- Sender Filtering – filtrowanie po adresach e-mail nadawców,
- Recipient Filtering – filtrowanie po adresach e-mail odbiorców,
- Backscatter Filtering – filtrowanie sfałszowanych wiadomości (NDR) o niedostarczeniu przesyłki,
- Safelist Enforcement – integracja list zaufanych nadawców, definiowana w indywidualnym profilu Outlook z Exchange (w tym z rolą Edge)
W skład Content Analysis Layer wchodzą następujące mechanizmy:
- Algorytm Fingerprint
- Cludmark Engine
Poniższa tabela przedstawia zestawienie funkcjonalności antyspamowych w środowisku Exchange oraz w produkcie FPE.
Tabela 1. Zestawienie funkcjonalności antyspamowych w środowisku Exchange oraz w produkcie FPE.
Funkcjonalność | Element dostępny na roli Hub transport, Edge lub Full | Komponent dostępny w FPE |
IP Allow List | TAK | TAK |
IP Block LIst | TAK | TAK |
IP Allow /Block List Providers | TAK – wymaga konfiguracji manualnej | TAK – Automatycznie skonfigurowany. Można dodać dodatkowe |
Sender filtering | TAK | TAK |
Recipient filtering | TAK | TAK |
Sender Reputation | TAK | Brak odpowiednika |
Basic Content Filtering (SmartScreen) | TAK – na podstawie dostarczanej raz na tydzień listy z Microsoft Update | |
Premium Anti-spam (Cloudmark) | TAK – na podstawie dostarczanych definicji (co 15 minut) | |
File Filtering (Attachment Filtering) | Tak (ale wyłącznie na Edge) | TAK |
Message Body Filtering | TAK | |
Antywirus i antyspyware | TAK |
Niezależnie od tego, czy zainstalowany został produkt FPE, system będzie pobierał i instalował standardowe uaktualnienia mechanizmu antyspamowego SmartScreen. Przykład takiej aktualizacji został zaprezentowany na Rys. 2.
*Rys. 2. *Przykład aktualizacji standardowego mechanizmu antyspamowego SmartScreen.**
Włączenie mechanizmów antyspamowych
Kolejnym krokiem będzie włączenie mechanizmów antyspamowych. Na Rys. 3. została przedstawiona konsola FPE na poziomie Policy Management | Antispam | Antispam Configure z wyłączoną obsługą mechanizmów antyspamowych**.**
*Rys. 3. *Konsola FPE konfiguracja mechanizmów antyspamowych.**
Po wybraniu opcji Enable Antispam Filtering zostaną zainstalowane zarówno komponenty antyspamowe środowiska Exchange, jak i mechanizmy dostępne w produkcie FPE. Wymagany będzie restart usługi Microsoft Exchange Transport, zgodnie ze schematem, który obrazuje Rys. 4.
*Rys. 4. *Okno informujące o konieczności restartu usługi Exchange Transport.**
Zainstalowane komponenty antyspamowe przedstawione zostały na Rys. 5., który prezentuje widok konsoli Exchange Management Console na poziomie Organization Configuration | Hub transport.
*Rys. 5. *Konsola Exchange, konfiguracja mechanizmów antyspamowych.**
Rys. 6. przedstawia listę agentów transportowych po instalacji komponentów antyspamowych (rola Full, Hub Transport)
*Rys. 6. *Lista agentów transportowych na serwerze Exchange Full.**
Przeznaczenie agentów transportowych zostało sklasyfikowane i opisane w Tabeli 2.
Tabela 2. Przeznaczenie agentów transportowych.
Nazwa agenta | Przeznaczenie |
Connection Filtering Agent | Agent odpowiedzialny za mechanizm Connection Filtering |
Content Filtering Agent | Agent odpowiedzialny za Content Filtering – ale związany z mechanizmami wbudowanymi Exchange – współpraca z mechanizmem SmartScreen Content Filtering Agent jest wyłączany po instalacji FPE i jego rolę przejmuje FSE Content Filtering Agent (nie został wyszczególniony na rysunku) |
Protocol Analysis Agent | Agent odpowiedzialny za mechanizm Protocol Analysis |
Transport Rule Agent | Agent reguł transportowych Exchange |
Text Messaging Routing Agent | Agent odpowiedzialny za obsługę SMS w środowisku Exchange |
Text Messaging Delivery Agent | Agent odpowiedzialny za obsługę SMS w środowisku Exchange |
FSE Routing Agent | Agent FPE odpowiedzialny za mechanizmy antywirusowe/antyspyware’owe i filtrowanie |
Sender Id Agent | Agent odpowiedzialny za mechanizm Sender ID Filtering |
Sender Filter Agent | Agent odpowiedzialny za mechanizm Sender Filtering |
Recipient Filter Agent | Agent odpowiedzialny za mechanizm Recipient Filtering |
W przypadku serwera Edge, może ulec zmianie lista agentów transportowych. Wykaz dodatkowych pozycji na tym serwerze został zaprezentowany na Rys. 7. i omówiony w Tabela 3.
****Rys. 7.****Lista agentów transportowych na serwerze Exchange Edge.**
Tabela 3. Dodatkowi agenci transportowi na serwerze Exchange Edge.
Nazwa agenta | Przeznaczenie |
Addreess Rewriting Inboud Agent | Agent odpowiedzialny za modyfikację (maskowanie/konwersję) nazwy domeny zewnętrznej i wewnętrznej organizacji – dla ruchu wchodzącego |
Edge Rule Agent | Pełni taką samą rolę jak Transport Rule Agent – w przypadku serwera Full i Hub Transport – odpowiada za obsługę reguł transportowych |
Attachment Filtering Agent | Agent odpowiedzialny za filtrowanie załączników poczty e-mail |
Addreess Rewriting Outbound Agent | Agent odpowiedzialny za modyfikację (maskowanie/konwersję) nazwy domeny zewnętrznej i wewnętrznej organizacji – dla ruchu wychodzącego |
Uwaga informacyjna
Agenci FSE Batv Receiving Agent i Agenci FSE Batv Routing Agent zostaną omówieni w dalszej części artykułu.
Konfiguracja connection filteringu
Opcje Connection Filter widziane od strony konsoli FPE zostały przedstawione na Rys. 8.
*Rys. 8. *Opcje Connection Filter widziane od strony konsoli FPE.**
Opcje Connection Filter widziane od strony konsoli Exchange zaprezentowane zostały na Rys. 9.
*Rys. 9. *Opcje Connection Filter widziane od strony konsoli Exchange.**
Zarządzanie listą dozwolonych adresów IP od strony konsoli Exchange obrazuje Rys. 10.
*Rys. 10. *Zarządzanie listą dozwolonych adresów IP od strony konsoli Exchange.**
Sposób nadzorowania listy dozwolonych adresów IP od strony konsoli FPE został przedstawiony na Rys.11.
*Rys. 11. *Zarządzanie listą dozwolonych adresów IP od strony konsoli FPE.**
Zarządzanie listą zablokowanych adresów IP od strony konsoli Exchange zostało zaprezentowane na Rys. 12.
*Rys. 12. *Zarządzanie listą zablokowanych adresów IP od strony konsoli Exchange.**
Rozporządzanie listą zablokowanych adresów IP od strony konsoli FPE przedstawia Rys. 13.
*Rys. 13. *Zarządzanie listą zablokowanych adresów IP od strony konsoli FPE.**
Konfiguracja Sender ID filteringu
Opcje Sender ID Filter widziane od strony konsoli FPE zostały pokazane nas Rys. 14.
*Rys. 14. *Opcje Sender ID Filter widziane od strony konsoli FPE.**
Opcje Sender ID Filter widziane od strony konsoli Exchange prezentuje Rys. 15.
*Rys. 15. *Opcje Sender ID Filter widziane od strony konsoli Exchange.**
Konfiguracja Sender filteringu
Opcje Sender Filter widziane od strony konsoli FPE przedstawiono na Rys. 16.
*Rys. 16. *Opcje Sender Filter widziane od strony konsoli FPE.**
Opcje Sender Filter widziane od strony konsoli Exchange z zakładką Blocked Senders umieszczone zostały na Rys. 17.
*Rys. 17. *Opcje Sender Filter widziane od strony konsoli Exchange z zakładką Blocked Senders.**
Opcje Sender Filter widziane od strony konsoli Exchange z zakładką Action prezentuje Rys. 18.
*Rys. 18. *Opcje Sender Filter widziane od strony konsoli Exchange z zakładką Action.**
Lista zablokowanych nadawców widziana od strony konsoli FPE zobrazowana została na Rys. 19.
*Rys. 19. *Lista zablokowanych nadawców widziana od strony konsoli FPE.**
Listę zablokowanych domen widzianych od strony konsoli FPE przedstawia Rys. 20.
*Rys. 20. *Lista zablokowanych domen widziana od strony konsoli FPE.**
Konfiguracja recipient filteringu
Opcje Recipeint Filter widziane od strony konsoli FPE zaprezentowano na Rys. 21.
*Rys. 21. *Opcje Recipeint Filter widziane od strony konsoli FPE.**
Opcje Recipient Filter widziane od strony konsoli Exchange z zakładką Blocked Recipients zobrazowano na Rys. 22.
*Rys. 22. *Opcje Recipient Filter widziane od strony konsoli Exchange, zakładka Blocked Recipients.**
Lista zablokowanych odbiorców widziana od strony konsoli FPE przedstawiona została na Rys. 23.
*Rys. 23. *Lista zablokowanych odbiorców widziana od strony konsoli FPE.**
Konfiguracja Backscatter filteringu
Opcje Backscatter Filter widziane od strony konsoli FPE zaprezentowano na Rys. 24.
*Rys. 24. *Opcje Backscatter Filter widziane od strony konsoli FPE.**
Generacja nowego klucza dla Backscatter Filter została przedstawiona na Rys. 25.
*Rys. 25. *Generacja nowego klucza dla Backscatter Filter.**
W przypadku, gdy wykorzystujemy w organizacji wiele serwerów Hub Transport Edge, nigdy nie wiemy, poprzez który, poczta wchodzi/wychodzi z organizacji. W celu zapewnienia prawidłowej obsługi mechanizmu Backscatter Filter, trzeba wygenerować klucz na jednym serwerze Edge/Hub Transport, a następnie wyeksportować do pliku .xml (przycisk Export Keys…), po czym należy zaimportować go na pozostałych serwerach Edge/Hub Transport, korzystając z przycisku Import Keys…
Włączenie mechanizmu Backscatter Filter powoduje, że lista agentów transportowych rozszerza się o dwie pozycje: FSE Batv Receive Agent i FSE Batv Routing Agent. Czynność ta została zaprezentowana na Rys. 26.
*Rys. 26. *Lista agentów transportowych po włączeniu Backscatter Filter.**
Tabela 4. Przeznaczenie agentów transportowych FSE Batv Receive Agent i FSE Batv Routing Agent.
Nazwa agenta | Przeznaczenie |
FSE Batv Receive Agent | Agent odpowiadający za odbieranie komunikatów Delivery Status Notifications (DSNs)- BATV (Bounce Address Tag Validation) |
FSE Batv Routing Agent | Agent odpowiedzialny za podejmowanie decyzji, czy odebrany komunikat Delivery Status Notifications (DSNs) został wygenerowany na podstawie przesyłki pochodzącej z danej organizacji Exchange, czy nie |
Konfiguracja Content filteringu
Opcje Content Filter widziane od strony konsoli FPE przedstawiono na Rys. 27.
*Rys. 27. *Opcje Content Filter widziane od strony konsoli FPE.**
Konfiguracja listy dozwolonych odbiorców dla Content filteringu została zaprezentowana na Rys. 28.
*Rys. 28. *Konfiguracja listy dozwolonych odbiorców dla Content filteringu.**
Konfigurację listy dozwolonych nadawców dla Content filteringu przedstawia Rys. 29.
*Rys. 29. *Konfiguracja listy dozwolonych nadawców dla Content filteringu.**
Konfigurację listy dozwolonych domen nadawców dla Content filteringu zaprezentowano na Rys. 30.
*Rys. 30. *Konfiguracja listy dozwolonych domen nadawców dla Content filteringu.**
Wiadomość pocztowa, która przechodzi przez poszczególne poziomy mechanizmów antywirusowych jest odpowiednio klasyfikowana. Komponenty Source i Protocol Analysis muszą podjąć decyzję o przepuszczeniu lub odrzuceniu/usunięciu przesyłki. Do Content Analysis należy oszacowanie współczynnika/poziomu spamu (SCL – Spam Confidence Level), od którego wartości uzależnione są dalsze działania:
- usunięcie
- odrzucenie
- oznakowanie i przesłanie dalej
- przeniesienie do kwarantanny
Definiowanie poziomów dla produktu FPE zaprezentowano na Rys. 31.
*Rys. 31. *Definiowanie poziomów SCL dla produktu FPE.**
W Tabeli 5 zostały wyszczególnione współczynniki spamu, wykorzystywane w środowisku Exchange /FPE.
Tabela 5. Zestawienie współczynników spamu (SCL).
Współczynnik spamu SCL | Wyjaśnienie |
-1 | Zarezerwowany przez Microsoft dla wiadomości wysyłanych wewnątrz organizacji. Współczynnik nie powinien być nadpisywany, gdyż zabezpiecza w ten sposób komunikację wewnętrzną organizacji. |
0 | Przypisane zostało wiadomości, która na pewno nie jest spamem. |
1 do 9 | 1 –prawdopodobieństwo, że wiadomość może być spamem jest najniższe 9 –nie ma wątpliwości, że wiadomość jest spamem |
Uwaga informacyjna
Produkt FPE nie wykorzystuje współczynników od 1 do 4.
FPE Content Filtering a Exchange Content Filtering
Środowisko Exchange posiada analogiczny mechanizm związany z agentem transportowym Content Filter Agent, nawet bez instalacji produktu FPE. Wygląd okien konfiguracyjnych, przedstawiający tę sytuację zawiera Rys. 32. W tym miejscu, jak również na zakładce Action, określamy akcję dla danego poziomu spamu.
*Rys. 32. *Wygląd okien konfiguracyjnych mechanizm Exchange Content Filtering.**
Dodatkowe informacje zostały zawarte na witrynie blogu grupy produktowej ISA/TMG pod adresem internetowym
Po przeprowadzeniu instalacji produktu FPE, mechanizm FPE Content Filtering zastępuje wbudowany mechanizm Exchange Content Filtering, skutkiem czego agent transportowy Content Filter Agent – zostaje wyłączony, a produkt FPE ignoruje ustawienia z konsoli Exchange.
Zarządzanie za pomocą PowerShella
Przy zarządzaniu mechanizmami antyspamowymi dysponujemy dziesięcioma poleceniami Powershella.
Get-FseSpamFiltering | Podaje stan filtrowania spamu |
Set-FseSpamFiltering | Ustawia stan filtrowania spamu |
Get-FseSpamAgentLog | Podaje logi dla wszystkich agentów antyspamowych |
Get-FseSpamConnectionFilter | Podaje opcje konfiguracyjne DNS Block Listy (DNSBL - RBL’e) |
Set-FseSpamConnectionFilter | Ustawia opcje konfiguracyjne DNSBL |
Get-FseSpamContentFilter | Podaje ustawienia dla content filteringu |
Set-FseSpamContentFilter | Zmienia ustawienia dla content filteringu |
Get-FSEBackscatterFilter | Podaje ustawienia filtru Backscatter |
Set-FSEBackscatterFilter | Zmienia ustawienia filtru Backscatter |
New-FSEBackscatterKeys | Generuje nowy klucz dla filtru Backscatter |
Przykłady:
Wywołanie polecenia Get-FseSpamFilering.
Wywołanie polecenia Get-FseSpamConnectionFilter.
Wywołanie polecenia Get-FseSpamContentFilter.
Wywołanie polecenia Get-FseBackScatterFilter.
W następnym artykule naszego cyklu omówione zostaną mechanizmy filtrowania w produkcie FPE.