Пороговое значение вероятности нежелательной почты

Область применения: Exchange Server 2013 г.

В Microsoft Exchange Server 2013 году можно определить конкретные действия в соответствии с порогами уровня достоверности спама (SCL). Например, на сервере Exchange, на котором запущен агент фильтра содержимого, можно определить разные пороговые значения для отклонения, удаления и помещения сообщений на карантин.

Сочетание этой пороговой конфигурации SCL в агенте фильтра содержимого и конфигурации папки нежелательной Email SCL в почтовом ящике пользователя помогает реализовать более комплексную и точную стратегию защиты от нежелательной почты. Эта более точная и подробная функция настройки порогового значения SCL в Exchange 2013 помогает снизить общие затраты на развертывание и обслуживание решения для защиты от нежелательной почты в организации Exchange.

Агент фильтра содержимого назначает оценку SCL сообщениям в конце цикла защиты от нежелательной почты после того, как другие агенты защиты от нежелательной почты обработали все входящие сообщения. Многие другие агенты защиты от нежелательной почты, которые обрабатывают входящие сообщения до их обработки агентом фильтра содержимого, детерминированы в том, как они действуют с сообщением. Например, на пограничном транспортном сервере агент фильтра подключений отклоняет любое сообщение, отправленное с IP-адреса в списке блокировок в режиме реального времени. Агент фильтра отправителей и агент фильтра получателей обрабатывают сообщения аналогичным детерминированным способом.

В Exchange 2013 эти детерминированные агенты защиты от нежелательной почты обрабатывают сообщения в первую очередь и, следовательно, значительно сокращают количество сообщений, которые должны обрабатываться агентом фильтра содержимого. Дополнительные сведения о том, в каком порядке агенты защиты от нежелательной почты обрабатывают сообщения, см. в разделе Защита от нежелательной почты.

Так как фильтрация содержимого не является точным детерминированным процессом, важно настроить действие, выполняемое агентом фильтра содержимого для различных значений SCL. Тщательно настроив конфигурацию порогового значения SCL, можно свести к минимуму следующее:

• Размер хранилища карантина нежелательной почты
• Количество допустимых сообщений электронной почты, ошибочно помещенных в карантин
• Количество допустимых сообщений электронной почты, которые попадают в папку "Нежелательная Email" пользователя Microsoft Outlook
• Количество сообщений нежелательной почты, поступающих в папку "Входящие" или "Нежелательная Email" пользователя Outlook
• Количество сообщений нежелательной почты, поступающих в папку "Входящие" пользователя Outlook

Действия для пороговых значений вероятности нежелательной почты

Изменив пороговые действия SCL, вы можете повысить уровень действия фильтрации содержимого, выполняемые для сообщений, которые имеют больший риск нежелательной почты. Для работы с этой функцией полезно понимать различные действия для пороговых значений вероятности нежелательной почты и то, как они реализуются.

• Пороговое значение удаления SCL. Если значение SCL для определенного сообщения равно или превышает пороговое значение удаления SCL, агент фильтра содержимого удаляет сообщение. Обмен данными на уровне протокола не сообщает отправляющей системе или отправителю о том, что сообщение было удалено. Если значение SCL для сообщения ниже порогового значения удаления SCL, агент фильтра содержимого не удаляет сообщение. Вместо этого агент фильтра содержимого сравнивает значение SCL с порогом SCL для отклонения.

• Пороговое значение отклонения SCL. Если значение SCL для определенного сообщения равно или выше порогового значения отклонения SCL, агент фильтра содержимого удаляет сообщение и отправляет ответ на отклонение отправляя системе. Ответ об отклонении можно настраивать. В некоторых случаях исходному отправителю сообщения отправляется отчет о недоставке. Если значение SCL для сообщения меньше, чем значение SCL delete и SCL отклоняет пороговые значения, агент фильтра содержимого не удаляет и не отклоняет сообщение. Вместо этого агент фильтра содержимого сравнивает значение вероятности нежелательной почты с порогом вероятности нежелательной почты для карантина.

• Пороговое значение карантина SCL. Если значение SCL для определенного сообщения равно или превышает пороговое значение карантина SCL, агент фильтра содержимого отправляет сообщение в почтовый ящик карантина. администраторы Email должны периодически проверять почтовый ящик карантина. Если значение SCL для сообщения ниже пороговых значений SCL для удаления, отклонения и карантина, агент фильтра содержимого не удаляет, не отклоняет и не помещает сообщение в карантин. Вместо этого агент фильтра содержимого отправляет сообщение на соответствующий сервер почтовых ящиков, где вычисляется значение нежелательной Email папки для каждого получателя.

• Пороговое значение папки нежелательной Email SCL. Если значение SCL для определенного сообщения превышает пороговое значение папки нежелательной Email SCL, сообщение доставляется в папку "Нежелательная Email" пользователя. Если значение SCL для сообщения ниже значений порогового значения папки удаления, отклонения, карантина и нежелательной Email папки, сообщение доставляется в папку "Входящие" пользователя.

Агент фильтра содержимого и папка нежелательной почты обрабатывают значение порога вероятности нежелательной почты по-разному. Агент фильтра содержимого начинает действовать при достижении установленного порогового значения вероятности нежелательной почты. Папка нежелательной почты начинает использоваться при превышении установленного порогового значения вероятности нежелательной почты на 1. Например, если для агента фильтра содержимого настроить удаление при пороговом значении вероятности нежелательной почты, равном 8, все сообщения с пороговым значением вероятности нежелательной почты не менее 8 будут удаляться. Но если вы настроите папку нежелательной почты со значением порога вероятности нежелательной почты 4, все сообщения с вероятностью нежелательной почты не менее 5 перемещаются в папку нежелательной почты.

Например, если для порога удаления SCL задано значение 8, для порога отклонения SCL — 7, для порога карантина SCL — 6, а для порога нежелательной Email папки SCL — значение 4, все сообщения с SCL 5 или ниже будут доставлены в почтовый ящик пользователя. Сообщения со значением SCL 5 помещаются в папку Нежелательной Email пользователя. Сообщения со значением SCL 4 или ниже помещаются в папку "Входящие" пользователя.

Параметры папки удаления, отклонения, карантина и нежелательной Email можно настроить в следующих расположениях:

• В конфигурации агента фильтра содержимого (конфигурация SCL для каждого транспортного сервера): используйте командлет Set-ContentFilterConfig , чтобы включить или отключить и задать пороговые значения для удаления, отклонения и карантина SCL на сервере Exchange Server, на котором запущен агент фильтра содержимого. Со временем при анализе функций и метрик нежелательной почты, предоставляемых функциями ведения журнала и создания отчетов по защите от нежелательной почты, можно внести дополнительные изменения в эти пороговые конфигурации SCL при необходимости.

  Параметры SCL, доступные в командлете Set-ContentFilterConfig , описаны в следующей таблице.

  Параметр	Описание
  SCLDeleteEnabled	Этот параметр включает или отключает удаление сообщения без отчета о недоставлении (NDR), если значение SCL сообщения больше или равно значению, заданному параметром SCLDeleteThreshold . Допустимые входные данные для этого параметра : $true или $false.
  SCLDeleteThreshold	Допустимые входные данные для этого параметра — целое число от 0 до 9 включительно. Значение этого параметра должно быть больше, чем другие пороговые параметры SCL. Этот параметр имеет смысл только в том случае, если значение параметра SCLDeleteEnabled равно $true.
  SCLRejectEnabled	Этот параметр включает или отключает отклонение сообщения с недоставкой, если значение SCL сообщения больше или равно значению, заданному параметром SCLRejectThreshold . Допустимые входные данные для этого параметра : $true или $false.
  SCLRejectThreshold	Допустимые входные данные для этого параметра — целое число от 0 до 9 включительно. Значение этого параметра должно быть меньше параметра SCLDeleteThreshold , но больше, чем другие пороговые параметры SCL. Этот параметр имеет смысл только в том случае, если значение параметра SCLRejectEnabled равно $true.
  SCLQuarantineEnabled	Этот параметр включает или отключает отправку сообщения в почтовый ящик карантина нежелательной почты, если значение SCL сообщения больше или равно значению, заданному параметром SCLQuarantineThreshold . Допустимые входные данные для этого параметра : $true или $false. Дополнительные сведения о почтовом ящике карантина нежелательной почты см. в разделе Карантин нежелательной почты.
  SCLQuarantineThreshold	Допустимые входные данные для этого параметра — целое число от 0 до 9 включительно. Значение этого параметра должно быть меньше параметра SCLRejectThreshold , но больше параметра SCLJunkThreshold в командлетах Set-OrganizationConfig или Set-Mailbox . Этот параметр имеет смысл только в том случае, если значение параметра SCLQuarantineThreshold равно $true.

• В параметрах конфигурации организации (конфигурация SCL для всей организации): используйте командлет Set-OrganizationConfig, чтобы задать пороговое значение папки нежелательной Email SCL для всех почтовых ящиков в организации.

  Параметр SCL, доступный в командлете Set-OrganizationConfig , описан в следующей таблице. Пример использования SCLJunkThreshold см. в разделе Настройка параметров защиты от нежелательной почты в почтовых ящиках.

  Параметр

  Описание

  SCLJunkThreshold

  Этот параметр указывает значение SCL, которое должно быть превышено для перемещения сообщения в папку Нежелательной Email почтового ящика получателя. Допустимые входные данные для этого параметра — целое число от 0 до 9 включительно. Значение этого параметра должно быть меньше других пороговых параметров SCL. Например, если указать значение 4, сообщения со значением SCL 5 или выше перемещаются в папку Нежелательной Email пользователя.

• В почтовых ящиках пользователей (конфигурация SCL для каждого получателя): вы используете командлет Set-Mailbox, чтобы включить или отключить и задать для каждого получателя пороговые значения для удаления, отклонения, карантина и нежелательной Email папок для отдельных почтовых ящиков. Командлет Set-Mailbox можно использовать только для включения или отключения порога нежелательной Email папки SCL в отдельных почтовых ящиках. Пороговые значения SCL для каждого получателя хранятся в Active Directory и реплицируются на подписанные пограничные транспортные серверы службой Microsoft Exchange EdgeSync. Пороговые конфигурации SCL для каждого получателя используются агентом фильтра содержимого, даже если вы настроили конфигурации SCL для каждого транспортного сервера. Таким образом, если вы установили пороговые значения SCL для каждого получателя, агент фильтра содержимого использует пороговые значения SCL для каждого получателя для конкретных пользователей вместо конфигурации SCL в агенте фильтра содержимого. Примеры см. в разделе Настройка параметров защиты от нежелательной почты в почтовых ящиках.

  Примечание.

  Пороговые значения SCL для каждого получателя не применяются к почте, полученной через группы рассылки.

  Те же параметры SCL доступны в командлете Set-Mailbox , которые доступны в командлетах Set-ContentFilterConfig и Set-OrganizationConfig :

  • SCLDeleteEnabled
  • SCLDeleteThreshold
  • SCLRejectEnabled
  • SCLRejectThreshold
  • SCLQuarantineEnabled
  • SCLQuarantineThreshold
  • SCLJunkThreshold

  Однако все параметры SCL в командлете Set-Mailbox также принимают значение $null. Если параметр SCL в почтовом ящике пуст ($null), к почтовому ящику применяется соответствующий параметр агента фильтра содержимого или параметр конфигурации организации. Если параметр SCL в почтовом ящике имеет значение $true или $false, параметр в почтовом ящике переопределяет соответствующий параметр на уровне организации в агенте фильтра содержимого или в конфигурации организации.

  Параметр SCL, доступный только в командлете Set-Mailbox , описан в следующей таблице.

  Параметр

  Описание

  SCLJunkEnabled

  Этот параметр включает или отключает доставку сообщения в папку нежелательной Email пользователя, если значение SCL сообщения больше значения, заданного параметром SCLQuarantineThreshold. Допустимые входные данные для этого параметра : $true, $falseили $null. Обратите внимание, что фильтрация нежелательной почты включена по умолчанию для всех почтовых ящиков пользователей в организации. По умолчанию параметр Enabled имеет значение $true в командлете Set-MailboxJunkEmailConfiguration для всех почтовых ящиков пользователей.

  Дополнительные сведения о настройке пороговых значений SCL для почтового ящика см. в разделе Настройка параметров защиты от нежелательной почты в почтовых ящиках.

Мониторинг пороговых значений вероятности нежелательной почты

Для сбора результирующих данных фильтрации можно использовать несколько встроенных скриптов, расположенных в %ExchangeInstallPath%Scripts папке, например get-AntispamSCLHistogram.ps1. Если данные показывают, что необходимы немедленные изменения, отрегулируйте пороговые значения вероятности нежелательной почты. Или соберите данные и проанализируйте отчеты о спаме, чтобы определить, нужны ли изменения.