Фильтрация содержимого в Exchange Server

Область применения: Exchange Server 2013 г.

Агент фильтра содержимого оценивает входящие сообщения электронной почты и оценивает вероятность того, что входящее сообщение является допустимым или нежелательным. В отличие от многих других технологий фильтрации, агент фильтра содержимого использует характеристики из статистически значимой выборки сообщений электронной почты. Включение допустимых сообщений в эту выборку снижает вероятность ошибок. Так как агент фильтра содержимого распознает характеристики допустимых сообщений и спама, его точность повышается. Обновления для агента фильтрации содержимого периодически появляются в Центре обновления Майкрософт.

Использование агента фильтра содержимого

Агент фильтра содержимого является одним из нескольких агентов защиты от нежелательной почты в Exchange. При настройке агентов защиты от нежелательной почты на сервере Exchange агенты действуют в сообщениях совокупно, чтобы уменьшить количество спама, поступающих в организацию. Дополнительные сведения о планировании и развертывании агентов защиты от нежелательной почты см. в разделе Защита от нежелательной почты.

Агент фильтра содержимого назначает каждому сообщению оценку уровня достоверности нежелательной почты (SCL). Уровень вероятности нежелательной почты — это число от 0 до 9. Более высокая оценка показывает более высокую вероятность нежелательности сообщения.

Агент фильтра содержимого можно настроить для выполнения следующих действий с сообщениями в соответствии с их рейтингом SCL:

• Удаление сообщения

• Отклонение сообщения

• Сообщение о карантине

Например, можно определить, что сообщения с рейтингом SCL 7 или выше должны быть удалены, сообщения с рейтингом SCL 6 должны быть отклонены, а сообщения с рейтингом SCL 5 должны быть помещены в карантин.

Вы можете настроить пороги SCL, назначив каждому из этих действий разные оценки SCL. Дополнительные сведения о том, как настроить пороговое значение SCL в соответствии с требованиями вашей организации, а также о пороговых значениях SCL для каждого получателя см. в разделе Пороговое значение уровня достоверности спама.

Разрешающие и блокирующие выражения

Вы можете настроить назначение агентом фильтра содержимого значений SCL, настроив пользовательские слова. Пользовательские слова — это отдельные слова или фразы, которые агент фильтра содержимого использует для применения соответствующей обработки фильтра. Вы настраиваете утвержденные слова или фразы с помощью разрешенных фраз, а неутвержденные слова или фразы — с блок-фразами. Когда агент фильтра содержимого обнаруживает предварительно настроенную фразу Allow во входящего сообщения, агент фильтра содержимого автоматически присваивает сообщению значение SCL, равное 0. Кроме того, когда агент фильтра содержимого обнаруживает настроенную фразу Block во входящего сообщения, агент фильтра содержимого назначает оценку SCL 9.

Вы можете ввести пользовательские слова или фразы в любом сочетании прописных и строчных букв. Однако, когда агент фильтра содержимого оценивает содержимое сообщения, он игнорирует регистр. Максимальное количество пользовательских слов или фраз, которые можно создать, составляет 800.

Проверка штемпеля электронной почты Outlook

Агент фильтра содержимого также включает в себя проверку Microsoft Outlook Email postmark, вычислительное доказательство того, что Outlook применяется к исходящим сообщениям, чтобы помочь системам обмена сообщениями получателей отличать допустимые сообщения электронной почты от нежелательной. Эта функция помогает снизить вероятность ложноположительных результатов. В контексте фильтрации спама ложноположительный результат существует, если фильтр нежелательной почты неправильно идентифицирует сообщение от законного отправителя как спам. Если функция проверки штемпеля электронной почты Outlook включена, агент фильтрации содержимого анализирует входящие сообщения по заголовкам вычислительных штемпелей. Наличие допустимого, решенного заголовка вычислительной почты в сообщении указывает на то, что клиентский компьютер, создающий сообщение, решил вычислительную почтовую отметку.

Компьютеры не требуют значительного времени обработки для решения отдельных вычислительных почтовых знаков. Однако обработка почтовых меток для многих сообщений может быть непомерной для вредоносного отправителя. Любой, кто отправляет миллионы спам-сообщений, вряд ли будет инвестировать вычислительные мощности, необходимые для решения вычислительных почтовых знаков для всех исходящих спамов. Если сообщение электронной почты отправителя содержит допустимую вычислительную метку, то маловероятно, что отправитель является вредоносным. В этом случае агент фильтра содержимого снизит рейтинг SCL. Если функция проверки почты включена, а входящее сообщение не содержит заголовок вычислительной почты или заголовок вычислительной почты недопустим, агент фильтра содержимого не изменит оценку SCL.

Обход получателя, отправителя и домена отправителя

В некоторых организациях все сообщения электронной почты с определенными псевдонимами должны быть приняты. Этот сценарий может привести к проблемам, если ваша организация находится в отрасли, которая управляет значительными объемами спама.

Например, у компании Woodgrove Bank есть псевдоним, customerloans@woodgrovebank.com который предоставляет поддержку по электронной почте внешним кредитным клиентам. Администраторы Exchange настраивают агент фильтра содержимого для задания блок-фраз, которые отфильтровывают слова или фразы, которые обычно используются в спаме, который отправляется недобросовестными кредитными агентствами. Чтобы предотвратить отклонение потенциально допустимых сообщений, администраторы устанавливают исключения для фильтрации содержимого, вводя список адресов получателей электронной почты SMTP в конфигурации агента фильтра содержимого.

Вы также можете указать отправителей и домены отправителей, которые не нужно блокировать агентом фильтра содержимого.

Объединение списка надежных отправителей

В Exchange 2013 агент фильтра содержимого использует списки надежных отправителей Outlook, список заблокированных отправителей, списки надежных получателей и доверенные контакты из Outlook для оптимизации фильтрации нежелательной почты. Агрегирование списка безопасности — это набор функций защиты от нежелательной почты, которые совместно используются в Outlook и Exchange. Как следует из названия, эта функция собирает данные из списков защиты от нежелательной почты, которые настраивают пользователи Outlook, и делает эти данные доступными для агентов защиты от нежелательной почты на сервере Exchange Server. Email сообщения, которые пользователи Outlook получают от контактов, добавленных этими пользователями в список надежных получателей Outlook, список надежных отправителей или список доверенных контактов, определяются агентом фильтра содержимого как безопасные. Агент фильтра отправителей также выполняет фильтрацию отправителей для каждого получателя с помощью настраиваемого пользователем списка заблокированных отправителей. Дополнительные сведения см. в разделе Безопасное агрегирование списка.

Настройка агента фильтра содержимого

Агент фильтра содержимого настраивается с помощью командной консоли Exchange.

Агент фильтра содержимого зависит от обновлений, чтобы определить, может ли сообщение быть доставлено с уверенностью, что оно не является спамом. Эти обновления содержат данные о фишинговых веб-сайтах, эвристиках нежелательной почты Microsoft SmartScreen и других обновлениях интеллектуального фильтра сообщений. Обновления фильтра содержимого обычно имеют размер около 6 МБ и содержат данные, не утрачивающие своей полезности в течение более длительного времени, чем другие обновляемые данные о нежелательной почте.

Обновления для фильтра содержимого доступны в Центре обновления Майкрософт. Обновленные данные обновления фильтра содержимого можно загружать каждые две недели.

Дополнительные сведения о настройке фильтрации содержимого см. в разделе Управление фильтрацией содержимого.