Идентификатор отправителя в Exchange Server

  • Статья

Для обнаружения спуфинга используется технология Sender ID. Спуфинг — это подделка адреса отправителя сообщения. Раньше было довольно просто отправлять поддельные электронные сообщения, так как адрес отправителя в заголовке сообщения не проверялся. Технология Sender ID определяет, не подделан ли адрес отправителя, используя заголовок SMTP RECEIVED и запрос записей DNS для домена отправителя. Идентификатор отправителя в Exchange Server предоставляется агентом идентификатора отправителя и практически не изменяется с Exchange Server 2010 года.

По умолчанию агент Sender ID включен на пограничных транспортных серверах, но его также можно включить на серверах почтовых ящиков. Дополнительные сведения см. в разделе Включение функций защиты от нежелательной почты на серверах почтовых ящиков.

Дополнительные сведения о настройке агента идентификатора отправителя см. в разделе Процедуры идентификатора отправителя.

Использование кода отправителя для противодействия спуфингу

Когда сервер Exchange получает входящее сообщение, агент Sender ID проверяет IP-адрес отправителя, запрашивая записи DNS для домена отправителя. Такая проверка подтверждает, что сообщение получено с IP-адреса, авторизованного для этого домена отправителя. IP-адрес авторизованного сервера-отправителя известен как адрес PRA.

Администраторы публикуют записи инфраструктуры политики отправителей (SPF) в системе DNS, которые определяют авторизованные серверы исходящих сообщений для домена. Если запись SPF доступна в системе DNS для домена отправителя, агент Sender ID анализирует эту запись, чтобы определить, разрешено ли отправлять электронную почту с исходного IP-адреса для домена, указанного в адресе электронной почты отправителя. Дополнительные сведения о том, что содержит запись SPF и как создать запись SPF, см. в разделе Платформа политики отправителей: синтаксис записи SPF.

Значения состояния кода отправителя

Агент Sender ID генерирует состояние Sender ID для сообщения. Состояние Sender ID может иметь следующие значения:

  • Пройти. IP-адрес и PRA прошли проверку проверки идентификатора отправителя.

  • Нейтральный. Опубликованные данные идентификатора отправителя явно неубедительна.

  • Обратимый сбой. IP-адрес для PRA может находиться в недопустимом наборе.

  • Сбой: IP-адрес запрещен. Адрес PRA не найден во входящем сообщении или домен отправителя не существует.

  • Нет. В DNS для домена отправителя не существует опубликованных данных SPF.

  • TempError: произошел временный сбой DNS, например недоступный DNS-сервер.

  • PermError: недопустимая запись DNS, например ошибка в формате записи.

Примечание. Если исходный IP-адрес отсутствует, невозможно задать состояние идентификатора отправителя. Exchange продолжает обрабатывать сообщение без учета состояния идентификатора отправителя, и сообщение не возвращается или отклоняется. В этом случае состояние Sender ID не определяется, а событие регистрируется в журнале приложения.

Состояние Sender ID добавляется к метаданным сообщения, а затем преобразуется в свойство MAPI. Фильтр нежелательной почты в Outlook использует свойство MAPI во время вычисления вероятности нежелательной почты (SCL).

Outlook не отображает состояние Sender ID и не помечает сообщение как нежелательное на основе лишь значения Sender ID. Вместо этого Outlook использует значение состояния Sender ID только при вычислении вероятности нежелательной почты для сообщения.

Дополнительные сведения о том, как состояние идентификатора отправителя отображается в сообщениях, см. в разделе Метки защиты от спама.

Параметры кода отправителя для обработки поддельной почты и недостижимых серверов DNS

Вы можете настроить действия, которые будут выполняться, когда агент идентификатора отправителя идентифицирует сообщения, содержащие поддельные отправителя (состояние идентификатора отправителя — Fail), и когда dns-сервер не может быть достигнут (состояние идентификатора отправителя — TempError):

  • Состояние метки. Агент идентификатора отправителя метит состояние идентификатора отправителя в метаданных сообщения и позволяет продолжить доставку сообщения. Этот параметр установлен по умолчанию.

  • Отклонить. Агент идентификатора отправителя отклоняет сообщение с сообщением об ошибке SMTP уровня 5 XX , который включает текст, соответствующий состоянию идентификатора отправителя.

  • Удалить. Агент идентификатора отправителя автоматически удаляет сообщение без ответа об ошибке SMTP. Exchange Server отправляет фиктивную команду SMTP OK на исходный сервер, а затем удаляет сообщение. Так как исходный сервер считает, что сообщение отправлено, он не повторяет отправку сообщения в том же сеансе.

Дополнительные сведения о том, как настроить действие, выполняемое для поддельной почты и недоступных DNS-серверов, см. в статье Процедуры идентификатора отправителя.

Обновление службы DNS, подключенной к Интернету, для поддержки технологии Sender ID в организации

Эффективность технологии Sender ID зависит от конкретных данных службы DNS. Чем больше организаций настраивают записи SPF для своих доменов, тем эффективнее технология Sender ID может распознавать поддельные сообщения.

Чтобы поддержать инфраструктуру Sender ID, необходимо создать записи SPF для доменов, из которых отправляются сообщения в вашей организации. Дополнительные сведения о создании и развертывании записей SPF см. в разделе Платформа политики отправителей: синтаксис записей SPF.

Указание доменов получателей и отправителей для исключения из фильтрации кодов отправителей

Вы можете исключить определенных получателей и домены отправителей из фильтрации идентификаторов отправителей с помощью командлета Set-SenderIdConfig в командной консоли Exchange. Дополнительные сведения см. в разделе Процедуры идентификатора отправителя.