Репутация отправителя и агент анализа протокола
Область применения: Exchange Server 2013 г.
Репутация отправителя является частью функции защиты от нежелательной почты Exchange, которая блокирует сообщения в соответствии со многими характеристиками отправителя. Репутация отправителя основана на имеющихся сведениях об отправителе и определяет, какое действие будет предпринято (если это требуется) в отношении данного входящего сообщения. Функция репутации отправителя основана на использовании агента анализа протокола.
При настройке агентов защиты от нежелательной почты на сервере Exchange агенты действуют на сообщениях совокупно, чтобы уменьшить количество нежелательных сообщений, поступающих в организацию.
Вычисление уровня репутации отправителя
Уровень репутации отправителя (SRL) рассчитывается исходя из следующей статистики:
Анализ HELO/EHLO. Команды HELO и EHLO SMTP предназначены для предоставления доменного имени, например Contoso.com, или IP-адреса отправляющего SMTP-сервера принимающему SMTP-серверу. Злонамеренные пользователи, или спамеры, часто разными способами подделывают оператор HELO/EHLO. Например, вводят IP-адрес, не соответствующий IP-адресу, с которого произошло подключение. Кроме того, в попытке представить, будто домены находятся в организации, в оператор HELO спамеры подставляют домены, о которых известно, что они локально поддерживаются на принимающем сервере. В других случаях злоумышленники, рассылающие нежелательную почту, изменяют домен, передаваемый в операторе HELO. Как правило, обычный пользователь использует в операторах HELO разный, но относительно постоянный набор доменов.
Таким образом, анализ инструкции HELO/EHLO для каждого отправителя может свидетельствовать о том, что отправитель, скорее всего, будет спаммером. Например, отправитель, который в определенный период времени передает много разных уникальных операторов HELO/EHLO, вероятно, рассылает нежелательную почту. Отправителям, которые постоянно предоставляют IP-адрес в инструкции HELO, который не соответствует исходному IP-адресу, как определено агентом фильтра подключений, также с большей вероятностью будут спаммерами. Удаленные отправители, постоянно предоставляющие имя локального домена в операторе HELO в той же организации, на которой расположен сервер Exchange, вероятно, также рассылают нежелательную почту.
Обратный поиск DNS. Репутация отправителя также проверяет, соответствует ли исходный IP-адрес, с которого отправитель передал сообщение, зарегистрированным доменным именем, которое отправитель отправляет в команде SMTP HELO или EHLO.
Функция "репутация отправителя" выполняет обратный запрос DNS, отправляя в DNS исходящий IP-адрес. Результат, возвращаемый службой DNS, имя домена, зарегистрированное центром доменных имен для данного IP-адреса. Функция репутации отправителя сравнивает имя домена, возвращенное службой DNS, с именем домена, переданным отправителем в SMTP-команде HELO/EHLO. Если имена доменов не совпадают, то отправитель, вероятно, является пользователем, рассылающим нежелательную почту, и общий уровень репутации отправителя для него должен быть увеличен.
Агент идентификатора отправителя выполняет аналогичную задачу, но успех агента идентификатора отправителя зависит от законных отправителей, чтобы обновить инфраструктуру DNS для идентификации всех SMTP-серверов отправки электронной почты в своей организации. Выполняя обратный поиск DNS, вы можете помочь определить потенциальных спамеров.
Анализ оценок SCL сообщений от определенного отправителя. Когда агент фильтра содержимого обрабатывает сообщение, он присваивает сообщению оценку уровня достоверности нежелательной почты (SCL). Оценка вероятности нежелательной почты — это число от 0 до 9. Более высокая оценка вероятности нежелательной почты означает, что сообщение с большой вероятностью будет нежелательным. Данные о каждом отправителе и оценках SCL их сообщений сохраняются для анализа при помощи функции «Репутация отправителя». Функция «Репутация отправителя» вычисляет статистику для отправителя, определяя соотношение между всеми сообщениями от данного отправителя, которые имели в прошлом низкую оценку SCL, и всеми сообщениями от этого же отправителя, которые имели высокую оценку SCL. Кроме того, количество сообщений с высокой оценкой SCL, пришедших от отправителя за предыдущий день, применяется к общему значению SRL.
Проверка открытого прокси-сервера отправителя. Открытый прокси-сервер — это прокси-сервер, который принимает запросы на подключение от любого пользователя в любом месте и пересылает трафик так, как если бы он поступил с локальных узлов. Прокси-серверы ретранслируют TCP-трафик через брандмауэр, обеспечивая пользовательским приложениям прозрачный доступ через брандмауэр. Поскольку протоколы прокси-серверов облегченные и независимые от протоколов пользовательского приложения, то прокси-серверы могут использоваться многими различными службами. Прокси-серверы могут также применяться для общего использования одного подключения к Интернету несколькими компьютерами. Прокси-серверы обычно настраиваются так, чтобы пересекать прокси-серверы можно было только с известных брандмауэру доверенных компьютеров. Разрешенный отправитель может быть открытым прокси-сервером из-за непреднамеренной неправильной настройки или вредоносной программы.
Открытые прокси-серверы предоставляют для пользователей-злоумышленников идеальный способ скрыть свои истинные учетные данные, чтобы реализовать атаку типа «отказ в обслуживании» (DoS) или разослать нежелательную почту. Так как все больше прокси-серверов настраивается как открытые по умолчанию, открытые прокси-серверы становятся обычным явлением. Кроме того, чтобы скрыть истинный IP-адрес отправителя, злоумышленник может использовать цепочку из нескольких открытых прокси-серверов.
Когда функция репутации отправителя выполняет тест открытого прокси-сервера, она форматирует SMTP-запрос, чтобы подключиться к серверу Exchange с открытого прокси-сервера. Если SMTP-запрос от прокси-сервера получен, функция репутации отправителя убеждается, что сервер является открытым, и обновляет статистику проверки для этого отправителя.
Репутация отправителя взвешивает каждую из этих статистических данных и вычисляет SRL для каждого отправителя. Уровень репутации отправителя это число от 0 до 9, отражающее вероятность того, что пользователь рассылает нежелательную почту или выполняет другие вредоносные действия. Значение 0 указывает, что отправитель, скорее всего, не будет спамом; значение 9 указывает, что отправитель, скорее всего, будет спамом.
Вы можете установить пороговое значение для блокировки от 0 до 9, при котором функция репутации отправителя отправляет запрос агенту фильтрации отправителей и тем самым запрещает отправителю отправлять сообщения в организацию. Когда отправитель заблокирован, он добавляется в черный список отправителей на заданный период времени. Порядок обработки заблокированных сообщений зависит от настройки агента фильтрации отправителей. При обработке заблокированных сообщений можно выполнить следующие действия.
Отклонение
Удалить и архивировать
Принять сообщение и пометить отправителя как заблокированного
Если отправитель добавлен в список заблокированных IP-адресов или службу репутации IP-адресов (Майкрософт), функция репутации отправителя немедленно отправляет запрос агенту фильтрации отправителей, чтобы его заблокировать. Чтобы воспользоваться этой функцией, необходимо включить и настроить службу обновления защиты от нежелательной почты Microsoft Exchange.
По умолчанию для отправителей, которые не были проанализированы, функция репутации отправителя устанавливает оценку 0. После отправки отправителем 20 или более сообщений репутация отправителя вычисляет SRL на основе статистики, приведенной выше в этом разделе.
Использование SRL
Функция репутации отправителя обрабатывает сообщения на двух этапах SMTP-сеанса:
В команде MAIL FROM: SMTP репутация отправителя действует на сообщение только в том случае, если сообщение было заблокировано или иным образом действовало агентом фильтра подключений, агентом фильтра отправителей, агентом фильтра получателей или агентом идентификатора отправителя. В этом случае репутация отправителя получает текущую оценку SRL отправителя из профиля отправителя, сохраненного для этого отправителя на сервере Exchange Server. После получения и оценки этой оценки конфигурация сервера Exchange определяет поведение, которое происходит при конкретном подключении в соответствии с пороговым значением блока.
После команды SMTP "конец данных": команда SMTP конца передачи данных (EOD) выполняется при отправке всех фактических данных сообщения. На этом этапе сеанса SMTP многие агенты защиты от нежелательной почты обработали сообщение. Как результат обработки нежелательной почты, статистика, на которую опирается репутация отправителя, обновляется. Таким образом, эта функция получает обновленные данные для последующего расчета или пересчета значения SRL для отправителя.
Дополнительные сведения см. в разделе Управление репутацией отправителя.
Включение и настройка обнаружения открытых прокси-серверов
Репутация отправителя оценивает несколько характеристик отправителя для вычисления SRL. Среди характеристик, которые оценивает репутация отправителя, — результаты теста на открытые прокси-серверы. Часто спаммеры направляют сообщения через открытые прокси-серверы в Интернете. Перенаправляя спам через открытые прокси-серверы, спамеры могут отправлять сообщения, которые, как представляется, исходят от собственного сервера.
Когда агент репутации отправителя вычисляет уровень репутации отправителя, он пытается подключиться к исходному IP-адресу отправителя с помощью распространенных протоколов прокси-серверов, таких как SOCKS4, SOCKS5, HTTP, Telnet, Cisco и Wingate. Репутация отправителя форматирует запрос, зависящий от протокола, при попытке вернуться к пограничному транспортному серверу с открытого прокси-сервера с помощью SMTP-запроса. Если SMTP-запрос получен от прокси-сервера, агент репутации отправителя убеждается, что прокси-сервер является открытым, и корректирует оценку уровня репутации отправителя согласно этому результату. По умолчанию обнаружение открытых прокси-серверов включено для репутации отправителя.
Дополнительные сведения о том, как включить и настроить обнаружение открытых прокси-серверов, см. в разделе Управление репутацией отправителя.
Установка порогового значения для блокировки по уровню репутации отправителя
Уровень репутации отправителя — это число от 0 до 9, отражающее вероятность того, что пользователь рассылает нежелательную почту или выполняет другие вредоносные действия. Необходимо задать пороговое значение для блокировки отправителей по SRL. Это пороговое значение блока SRL определяет значение SRL, которое должно быть превышено для блокировки репутации отправителя. По умолчанию SRL имеет значение 7. Следует отслеживать эффективность агента на уровне по умолчанию. Вы можете настроить значение в соответствии с потребностями вашей организации. Если вы настроили другие агенты защиты от нежелательной почты агрессивно, вы можете установить более высокое пороговое значение SRL для репутации отправителя, чем если бы другие агенты защиты от нежелательной почты не были настроены агрессивно. Дополнительные сведения о том, как настроить конфигурации защиты от нежелательной почты, чтобы они работали вместе для уменьшения спама, см. в разделе Защита от нежелательной почты.
Если на пограничном транспортном сервере превышено пороговое значение блока SRL для конкретного отправителя, репутация отправителя добавляет отправителя в список заблокированных IP-адресов в агенте фильтра подключений. Иногда спамеры отправляют пакеты спама от одного отправителя. В этом сценарии, если репутация отправителя вычисляет значение SRL, превышающее пороговое значение блока SRL, отправитель добавляется в список заблокированных отправителей в течение настраиваемого времени. По умолчанию продолжительность блокировки равняется 24 часам. Через 24 часа отправитель удаляется из списка заблокированных отправителей и может отправлять сообщения снова.
При добавлении отправителя в список блокировок IP-адресов агент репутации отправителя удаляет профиль отправителя. Агент репутации отправителя удаляет этот профиль, поскольку в существующем профиле заблокированного отправителя указано, что уровень репутации отправителя превышает пороговое значение для блокировки по уровню репутации отправителя. В противном случае заблокированный отправитель был бы вновь добавлен в список блокировок IP-адресов по окончании периода блокировки отправителя.
Дополнительные сведения см. в разделе Управление репутацией отправителя.