Фильтрация содержимого

Функция фильтрации содержимого оценивает входящие сообщения, определяя вероятность нежелательной почты. В отличие от других технологий фильтрации, фильтрация содержимого основана на характеристиках из статистически значимой выборки обыкновенных и нежелательных сообщений. Фильтрация содержимого в Exchange Server предоставляется агентом фильтра содержимого и практически не изменяется с Exchange Server 2010 г. Обновления для агента фильтрации содержимого периодически появляются в Центре обновления Майкрософт.

По умолчанию агент фильтрации содержимого включен на пограничных транспортных серверах, но его также можно включить на серверах почтовых ящиков. Дополнительные сведения см. в разделе Включение функций защиты от нежелательной почты на серверах почтовых ящиков.

Дополнительные сведения о настройке агента фильтра содержимого см. в разделе Процедуры фильтрации содержимого.

Использование агента фильтра содержимого

Агент фильтрации содержимого определяет вероятность нежелательной почты (SCL), присваивая каждому сообщению оценку от 0 до 9. Чем выше оценка, тем вероятнее, что сообщение нежелательное. В зависимости от этой оценки агент может выполнять следующие действия:

• Удалить. Сообщение автоматически удаляется без отчета о недоставке (также известного как отчет о недоставке, уведомление о состоянии доставки, DSN или сообщение о отказе).

• Отклонить: сообщение отклоняется с помощью NDR.

• Карантин. Сообщение отправляется в почтовый ящик карантина нежелательной почты. Дополнительные сведения о почтовом ящике карантина нежелательной почты см. в статье Карантин нежелательной почты в Exchange Server.

Например, можно указать, что сообщения с оценкой вероятности нежелательной почты 7 и выше следует удалять, с оценкой 6 — отклонять, с оценкой 5 — помещать на карантин.

Вы можете настроить пороги SCL, назначив каждому из этих действий разные оценки SCL. Дополнительные сведения о том, как настроить пороговое значение SCL в соответствии с требованиями организации, см. в разделе Пороговые значения уровня достоверности спама Exchange (SCL).

Разрешающие и блокирующие выражения

Вы можете настроить, как агент фильтра содержимого присваивает значения SCL, настроив пользовательские слова или фразы, которые агент будет использовать для применения обработки фильтра. Утвержденные слова или фразы настраиваются с помощью разрешенных фраз, а неутвержденные слова или фразы — с блок-фразами. Когда агент фильтра содержимого обнаруживает фразу Allow во входящего сообщения, агент автоматически присваивает сообщению значение SCL, равное 0. Кроме того, когда агент фильтра содержимого обнаруживает фразу Block во входящего сообщения, агент присваивает рейтинг SCL 9. Можно создать до 800 пользовательских слов или фраз в любом сочетании прописных и строчных букв. Однако этот случай игнорируется агентом фильтра содержимого.

Проверка штемпеля электронной почты Outlook

Агент фильтрации содержимого также включает проверку штемпеля электронной почты Outlook. Эта проверка применяется к исходящим сообщениям, чтобы помочь системам обмена сообщениями различать обыкновенную и нежелательную почту, а также уменьшить количество ложных срабатываний. Ложное срабатывание имеет место, когда фильтр нежелательной почты неправильно определяет обыкновенное сообщение как нежелательное. Если функция проверки штемпеля электронной почты Outlook включена, агент фильтрации содержимого анализирует входящие сообщения по заголовкам вычислительных штемпелей. Наличие действительного, разрешенного вычислительного заголовка штемпеля в сообщении указывает, что клиентский компьютер, на котором создано сообщение, разрешил вычислительный штемпель, поэтому агент фильтрации содержимого, вероятно, понизит оценку SCL для этого сообщения.

Несмотря на то что для вычисления отдельных штемпелей компьютеру не требуется много времени, обработка штемпелей для миллионов нежелательных сообщений может стать препятствием для злонамеренного отправителя. Если сообщение отправителя содержит действительный, разрешенный вычислительный штемпель, вряд ли оно вредоносное, поэтому агент фильтрации содержимого снижает оценку SCL. Если функция проверки штемпелей включена, а входящее сообщение не содержит вычислительного заголовка со штемпелем или вычислительный заголовок со штемпелем недействителен, агент фильтрации содержимого не изменяет оценку вероятности нежелательной почты.

Обход получателя, отправителя и домена отправителя

В некоторых организациях все сообщения на определенные псевдонимы необходимо принимать, что может привести к проблемам, если ваша организация управляет большим объемом нежелательной почты. Вы можете настроить исключения для фильтрации содержимого от определенных получателей, отправителей и доменов.

Например, у компании Woodgrove Bank есть псевдоним customerloans@woodgrovebank.com , который предоставляет поддержку по электронной почте внешним кредитным клиентам, поэтому администраторы Exchange настраивают блок-фразы для фильтрации сообщений, которые обычно используются в спаме, отправляемые недобросовестными кредитными агентствами. Чтобы предотвратить отклонение потенциально допустимых сообщений, администраторы устанавливают исключения для фильтрации содержимого, вводя список адресов электронной почты получателей в конфигурации агента фильтра содержимого.

Объединение списка надежных отправителей

Агрегирование списков безопасности — это набор функций защиты от нежелательнойam, которые совместно используются в Outlook и Exchange. Как следует из названия, он собирает данные из списков защиты от нежелательной сети, которые настраивают пользователи Outlook, и делает эти данные доступными для агентов антиспам на сервере Exchange Server. Агент фильтра содержимого использует списки надежных отправителей Outlook, списки надежных получателей и доверенные контакты для оптимизации фильтрации нежелательной почты. Email сообщения от этих контактов определяются агентом фильтра содержимого как безопасные. Фильтрация отправителей и агент фильтра отправителей использует список заблокированных отправителей Outlook для фильтрации отправителей для каждого получателя. Дополнительные сведения см. в разделе Объединение списков надежных отправителей.

Настройка агента фильтра содержимого

Агент фильтра содержимого настраивается с помощью командной консоли Exchange. Дополнительные сведения см. в разделе Процедуры фильтрации содержимого.

Чтобы определить, является ли сообщение нежелательным, агенту фильтрации содержимого требуются обновления. В них содержится информация о поддельных веб-сайтах, эвристические данные для фильтра SmartScreen (Майкрософт) и другие обновления интеллектуального фильтра сообщений. Размер этих обновлений обычно около 6 МБ, и они остаются полезными дольше, чем другие обновления для защиты от спама.

Обновления для фильтра содержимого доступны в Центре обновления Майкрософт. Обновленные данные обновления фильтра содержимого можно загружать каждые две недели.

Использование значения SCL в правилах потока обработки почты на пограничных транспортных серверах

На пограничных транспортных серверах агент правил edge действует с сообщениями, прежде чем значение SCL будет добавлено агентом фильтра содержимого. Если вы хотите использовать правило потока обработки почты SCLOver (также известное как правило транспорта), необходимо настроить агент фильтра содержимого для запуска перед агентом правил Edge, изменив приоритеты агента транспорта. Дополнительные сведения см. в статье Создание значений SCL сообщений для правил потока обработки почты на пограничных транспортных серверах.

Примечания.

• Хотя агент фильтра содержимого работает на других событиях SMTP, значение SCL отмечено в сообщении экземпляром агента фильтра содержимого, зарегистрированным в событии OnEndOfData SMTP.

• Если настроить агент фильтра содержимого для работы с сообщениями перед агентом пограничных правил на пограничном транспортном сервере, сервер может нести дополнительные расходы на обработку, так как сообщения, которые обычно отклоняются другими правилами потока обработки почты, получаются и оцениваются агентом фильтра содержимого до их отклонения агентом правил Edge. Кроме того, вы не сможете настроить правило потока обработки почты для пометки сообщения со значением -1SCL , которое сообщает агенту фильтра содержимого игнорировать сообщение.

Дополнительные сведения об агентах транспорта и приоритете агента транспорта см. в разделе Транспортные агенты в Exchange Server.