Брандмауэр заголовков

 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2015-03-09

В Microsoft Exchange Server 2013брандмауэр заголовков представляет собой механизм удаления отдельных полей заголовка из входящих и исходящих сообщений. Существует два типа полей заголовка, на которые влияет брандмауэр заголовков.

  • X-заголовки. X-заголовок — это пользовательское неофициальное поле заголовка. X-заголовки отдельно не упоминаются в RFC 2822, однако использование неопределенных полей заголовков, начинающихся с X-, стало общепринятым способом включения неофициальных полей заголовков в сообщения. Приложения для обмена сообщениями, такие как приложения для защиты от нежелательной почты и вирусов, а также серверы обмена сообщениями, могут включать в сообщение собственные X-заголовки. В Exchange поля X-заголовков содержат сведения о действиях, выполняемых над сообщением транспортной службой, такие как вероятность нежелательной почты, результаты фильтрации содержимого и состояние обработки правил. Раскрытие этих сведений неавторизованным источникам может представлять угрозу безопасности.

  • Заголовки маршрутизации.   Заголовки маршрутизации — это стандартные поля заголовков SMTP, определенные в документах RFC 2821 и RFC 2822. Заголовки маршрутизации добавляют к сообщению сведения о различных серверах обмена сообщениями, которые использовались для его доставки получателю. Заголовки маршрутизации могут вставлять в сообщения злоумышленники, чтобы исказить сведения о маршруте сообщения при доставке к получателю.

Брандмауэр заголовков предотвращает подделку связанных с Exchange X-заголовков, удаляя их из входящих сообщений, поступающих в организацию Exchange из ненадежных источников. Он также предотвращает разглашение связанных с Exchange X-заголовков, удаляя их из исходящих сообщений, отправляемых ненадежным адресатам за пределы организации Exchange. Кроме того, брандмауэр заголовков предотвращает подделку стандартных заголовков маршрутизации, используемых для отслеживания маршрута сообщения.

Содержание

Поля заголовка сообщения, на которые влияет брандмауэр заголовков в Exchange

Способ применения брандмауэра заголовков к соединителям получения и отправки

Брандмауэр заголовков для входящих сообщений на соединителях получения

Брандмауэр заголовков для исходящих сообщений на соединителях отправки

Брандмауэр заголовков для других источников сообщений

X-заголовки организации и леса в Exchange

Брандмауэр заголовков влияет на следующие типы X-заголовков и заголовков маршрутизации.

  • X-заголовки организации.   Эти поля X-заголовка начинаются с текста X-MS-Exchange-Organization-.

  • X-заголовки леса.   Эти поля X-заголовка начинаются с текста X-MS-Exchange-Forest-.

    Примеры X-заголовков организации и леса см. в разделе X-заголовки организации и леса в Exchange в конце этой статьи.

  • Заголовки маршрутизации «Received:» .   Каждый сервер обмена сообщениями, принявший и переславший сообщение получателю, добавляет в заголовок сообщения свой экземпляр этого поля заголовка. Заголовок Received: обычно включает имя сервера обмена сообщениями и отметку даты и времени.

  • Заголовки маршрутизации Resent-*: .   Поля заголовка Resent — это информационные поля, по которым можно определить, было ли сообщение переадресовано пользователем. Доступны следующие поля заголовков Resent: Resent-Date:, Resent-From:, Resent-Sender:, Resent-To:, Resent-Cc:, Resent-Bcc: и Resent-Message-ID:. Поля Resent- применяются для того, чтобы сообщение выглядело так, как если бы оно было отправлено непосредственно исходным отправителем. Просмотрев заголовок сообщения, получатель может узнать, кто переслал сообщение.

В Exchange используются два способа применения брандмауэра заголовков к X-заголовкам организации и леса и заголовкам маршрутизации в сообщениях.

  • Соединителям отправки или получения назначаются разрешения, которые могут быть использованы для сохранения или удаления конкретных типов заголовков, когда сообщение проходит через соединитель.

  • Брандмауэр заголовков автоматически применяется к конкретным типам заголовков во время передачи сообщений иным образом.

В начало

Брандмауэр заголовков применяется к сообщениям, которые проходят через соединители отправки и получения, на основании специальных разрешений, назначенных соединителям.

Если соединителю получения или отправки назначено разрешение, брандмауэр заголовков не применяется к сообщениям, которые проходят через соединитель. Соответствующие поля заголовка сохраняются в сообщениях.

Если соединителю получения или отправки не назначено разрешение, брандмауэр заголовков применяется к сообщениям, которые проходят через соединитель. Соответствующие поля заголовка удаляются из сообщений.

В следующей таблице описываются разрешения для соединителей отправки и получения, используемые для применения брандмауэра заголовков, а также соответствующие поля заголовка.

 

Тип соединителя Разрешение Описание

Соединитель приема

Ms-Exch-Accept-Headers-Organization

Это разрешение влияет на поля X-заголовка организации, которые начинаются с текста X-MS-Exchange-Organization-, во входящих сообщениях.

Соединитель приема

Ms-Exch-Accept-Headers-Forest

Это разрешение влияет на поля X-заголовка леса, которые начинаются с текста X-MS-Exchange-Forest-, во входящих сообщениях.

Соединитель приема

Ms-Exch-Accept-Headers-Routing

Это разрешение влияет на поля заголовка маршрутизации Received: и Resent-*: во входящих сообщениях.

Соединитель отправления

Ms-Exch-Send-Headers-Organization

Это разрешение влияет на поля X-заголовка организации, которые начинаются с текста X-MS-Exchange-Organization-, в исходящих сообщениях.

Соединитель отправления

Ms-Exch-Send-Headers-Forest

Это разрешение влияет на поля X-заголовка леса, которые начинаются с текста X-MS-Exchange-Forest-, в исходящих сообщениях.

Соединитель отправления

Ms-Exch-Отправка-Заголовки-Маршрутизация

Это разрешение влияет на поля заголовка маршрутизации Received: и Resent-*: в исходящих сообщениях.

В следующей таблице описывается используемый по умолчанию способ применения разрешений брандмауэра заголовков на соединителях получения.

 

Разрешение Субъекты безопасности Exchange по умолчанию, которым назначено разрешение Группа разрешений, членами которой являются участники безопасности Тип использования по умолчанию, назначающий группы разрешений соединителю получения

Ms-Exch-Accept-Headers-Organization и Ms-Exch-Accept-Headers-Forest

  • Транспортные серверы-концентраторы

  • Пограничные транспортные серверы

  • Серверы Exchange

    ПримечаниеПримечание.
    Только на транспортных серверах-концентраторах

ExchangeServers

Internal

Ms-Exch-Accept-Headers-Routing

Учетная запись анонимного пользователя

Anonymous

Internet

Ms-Exch-Accept-Headers-Routing

Учетные записи пользователей, прошедших проверку подлинности

ExchangeUsers

Client (недоступно для пограничных транспортных серверов)

Ms-Exch-Accept-Headers-Routing

  • Транспортные серверы-концентраторы

  • Пограничные транспортные серверы

  • Серверы Exchange

    ПримечаниеПримечание.
    Только транспортные серверы-концентраторы
  • Серверы с внешней безопасностью

ExchangeServers

Internal

Ms-Exch-Accept-Headers-Routing

Учетная запись сервера-участника

Partner

Internet и Partner

В начало

Если требуется применить брандмауэр заголовков к сообщениям в сценарии настраиваемого соединителя получения, воспользуйтесь любым из указанных ниже способов.

  • Создайте соединитель получения с типом использования, который автоматически применяет брандмауэр заголовков к сообщениям. Обратите внимание, что тип использования можно задать только при создании соединителя получения.

    • Для удаления X-заголовков организации или леса из сообщений создайте соединитель получения и выберите тип использования, отличный от Internal.

    • Для удаления заголовков маршрутизации из сообщений выполните одно из следующих действий.

      • Создайте соединитель получения и выберите тип использования Custom. Не назначайте соединителю получения никаких групп разрешений.

      • Измените существующий соединитель получения и присвойте параметру PermissionGroups значение None.

      Обратите внимание, что если соединителю получения не назначена группа разрешений, в него необходимо добавить субъекты безопасности, как описано на последнем шаге.

  • С помощью командлета Remove-ADPermission удалите разрешения Ms-Exch-Accept-Headers-Organization, Ms-Exch-Accept-Headers-Forest и Ms-Exch-Accept-Headers-Routing из субъекта безопасности, который настроен на соединителе получения. Этот способ нельзя использовать, если разрешение было назначено субъекту безопасности с помощью группы разрешений на соединителе получения, поскольку вы не можете изменить назначения разрешений или членство в группе разрешений.

  • С помощью командлета Add-ADPermission добавьте субъекты безопасности, необходимые для потока обработки почты на соединителе получения. Убедитесь, что никаким субъектам безопасности не назначены разрешения Ms-Exch-Accept-Headers-Organization, Ms-Exch-Accept-Headers-Forest и Ms-Exch-Accept-Headers-Routing. При необходимости отмените с помощью командлета Add-ADPermission разрешения Ms-Exch-Accept-Headers-Organization, Ms-Exch-Accept-Headers-Forest и Ms-Exch-Accept-Headers-Routing для субъектов безопасности, настроенных на соединителе получения.

Дополнительные сведения приведены в следующих разделах:

В начало

В следующей таблице описывается используемый по умолчанию способ применения разрешений брандмауэра заголовков на соединителях отправки.

 

Разрешение Субъекты безопасности Exchange по умолчанию, которым назначено разрешение Тип использования по умолчанию, назначающий субъекты безопасности соединителю отправки

Ms-Exch-Send-Headers-Organization и Ms-Exch-Send-Headers-Forest

  • Транспортные серверы-концентраторы

  • Пограничные транспортные серверы

  • Серверы Exchange

    ПримечаниеПримечание.
    Только на транспортных серверах-концентраторах
  • Серверы с внешней безопасностью

  • Универсальная группа безопасности ExchangeLegacyInterop

Internal

Ms-Exch-Отправка-Заголовки-Маршрутизация

  • Транспортные серверы-концентраторы

  • Пограничные транспортные серверы

  • Серверы Exchange

    ПримечаниеПримечание.
    Только на транспортных серверах-концентраторах
  • Серверы с внешней безопасностью

  • Универсальная группа безопасности ExchangeLegacyInterop

Internal

Ms-Exch-Отправка-Заголовки-Маршрутизация

Учетная запись анонимного пользователя

Internet

Ms-Exch-Отправка-Заголовки-Маршрутизация

Серверы-участники

Partner

В начало

Если требуется применить брандмауэр заголовков к сообщениям в сценарии настраиваемого соединителя отправки, воспользуйтесь любым из указанных ниже способов.

  • Создайте соединитель отправки с типом использования, который автоматически применяет брандмауэр заголовков к сообщениям. Обратите внимание, что тип использования можно задать только при создании соединителя отправки.

    • Для удаления X-заголовков организации или леса из сообщений создайте соединитель отправки и выберите тип использования, отличный от Internal или Partner.

    • Для удаления заголовков маршрутизации из сообщений создайте соединитель отправки и выберите тип использования Custom. Разрешение Ms-Exch-Send-Headers-Routing назначается всем типам использования соединителя отправки за исключением Custom.

  • Удалите из соединителя субъект безопасности, который назначает разрешения Ms-Exch-Send-Headers-Organization, Ms-Exch-Send-Headers-Forest и Ms-Exch-Send-Headers-Routing.

  • С помощью командлета Remove-ADPermission удалите разрешения Ms-Exch-Send-Headers-Organization, Ms-Exch-Send-Headers-Forest и Ms-Exch-Send-Headers-Routing для одного из субъектов безопасности, настроенного на соединителе отправки.

  • С помощью командлета Add-ADPermission отмените разрешения Ms-Exch-Send-Headers-Organization, Ms-Exch-Send-Headers-Forest и Ms-Exch-Send-Headers-Routing для одного из субъектов безопасности, настроенного на соединителе отправки.

Дополнительные сведения приведены в следующих разделах:

В начало

Сообщения могут поступать в транспортный конвейер на сервере почтовых ящиков или пограничном транспортном сервере без использования соединителей отправки или получения. Брандмауэр заголовков применяется к таким источникам сообщений, как описано в следующем списке.

  • Каталог раскладки и каталог преобразования.   Каталог раскладки используется администраторами или приложениями для отправки файлов сообщений. Каталог преобразования используется для повторной отправки сообщений, экспортированных из очередей сообщений Exchange. Дополнительные сведения о каталогах раскладки и преобразования см. в разделе Каталог раскладки и каталог преобразования.

    X-заголовки организации и леса, а также заголовки маршрутизации, удаляются из файлов сообщений в каталоге раскладки.

    Заголовки маршрутизации сохраняются в сообщениях, отправленных каталогом преобразования.

    Сохранением и удалением X-заголовков организации и леса в каталоге преобразования управляет поле заголовка X-CreatedBy: в файле сообщения.

    • Если поле X-CreatedBy: имеет значение MSExchange15, X-заголовки организации и леса сохраняются в сообщениях.

    • Если поле X-CreatedBy: имеет значение, отличное от MSExchange15, X-заголовки организации и леса удаляются из сообщений.

    • Если поле заголовка X-CreatedBy: отсутствует в файле сообщения, X-заголовки организации и леса удаляются из сообщений.

  • Транзитный каталог.   Транзитный каталог используется внешними соединителями на серверах почтовых ящиков для отправки сообщений серверам обмена сообщениями, не использующим для передачи сообщений протокол SMTP. Дополнительные сведения о внешних соединителях см. в разделе Внешние соединители.

    X-заголовки организации и леса удаляются из файлов сообщений до того как они попадают в транзитный каталог.

    Заголовки маршрутизации сохраняются в сообщениях, отправленных транзитным каталогом.

  • Транспортная служба почтовых ящиков.   Транспортная служба почтовых ящиков, которая работает на почтовых серверах, передает входящие и исходящие сообщения для почтовых ящиков, размещенных на серверах почтовых ящиков. Дополнительные сведения о транспортной службе почтовых ящиков см. в разделе Поток обработки почты.

    X-заголовки организации и леса, а также заголовки маршрутизации, удаляются из исходящих сообщений, которые отправляются из почтовых ящиков службой отправки почтовых ящиков.

    Заголовки маршрутизации сохраняются во входящих сообщениях для получателей почтовых ящиков службой доставки почтовых ящиков. Следующие X-заголовки организации и леса сохраняются во входящих сообщениях для получателей почтовых ящиков службой доставки почтовых ящиков.

    • X-MS-Exchange-Organization-SCL

    • X-MS-Exchange-Organization-AuthDomain

    • X-MS-Exchange-Organization-AuthMechanism

    • X-MS-Exchange-Organization-AuthSource

    • X-MS-Exchange-Organization-AuthAs

    • X-MS-Exchange-Organization-OriginalArrivalTime

    • X-MS-Exchange-Organization-OriginalSize

  • Уведомления о доставке.   X-заголовки организации и леса, а также заголовки маршрутизации, удаляются из исходного сообщения или заголовка исходного сообщения, прикрепленного к уведомлению о доставке. Дополнительные сведения об уведомлениях о доставке см. в разделе Уведомления о доставке и отчеты о недоставке в Exchange 2013.

  • Отправка агента транспорта.   X-заголовки организации и леса, а также заголовки маршрутизации, сохраняются в сообщениях, отправленных агентами транспорта.

В начало

Транспортная служба на серверах почтовых ящиков или пограничных транспортных серверах вставляет настраиваемые поля X-заголовка в заголовок сообщения.

X-заголовки организации начинаются с X-MS-Exchange-Organization-. X-заголовки леса начинаются с X-MS-Exchange-Forest-. В следующей таблице описаны некоторые X-заголовки организации и леса, используемые в сообщениях в организации Exchange.

 

X-заголовок Описание

X-MS-Exchange-Forest-RulesExecuted

Правила транспорта, действующие для сообщения.

X-MS-Exchange-Organization-Antispam-Report

Итоговый отчет по результатам применения фильтра нежелательной почты к сообщению агентом фильтра содержимого.

X-MS-Exchange-Organization-AuthAs

Указывает источник проверки подлинности. Этот X-заголовок всегда присутствует, если выполнена оценка безопасности сообщения. Возможные значения: Anonymous, Internal, External и Partner.

X-MS-Exchange-Organization-AuthDomain

Заполняется во время проверки подлинности безопасного домена. Значением является полное доменное имя удаленного домена, прошедшего проверку подлинности.

X-MS-Exchange-Organization-AuthMechanism

Определяет способ проверки подлинности, используемый при отправке сообщения. Его значением является двухзначное шестнадцатеричное число.

X-MS-Exchange-Organization-AuthSource

Определяет полное доменное имя сервера, оценившего проверку подлинности сообщения от лица организации.

X-MS-Exchange-Organization-Journal-Report

Определяет отчеты журналов для транспорта. Как только сообщение покидает транспортную службу, этот заголовок становится заголовком X-MS-Journal-Report.

X-MS-Exchange-Organization-OriginalArrivalTime

Определяет время первого поступления сообщения в организацию Exchange.

X-MS-Exchange-Organization-Original-Sender

Определяет исходного отправителя сообщения, отправленного на карантин, на момент его первого поступления в организацию Exchange.

X-MS-Exchange-Organization-OriginalSize

Определяет исходный размер сообщения, отправленного на карантин, на момент его первого поступления в организацию Exchange.

X-MS-Exchange-Organization-Original-Scl

Определяет исходную вероятность нежелательной почты для сообщения, отправленного на карантин, на момент его первого поступления в организацию Exchange.

X-MS-Exchange-Organization-PCL

Определяет вероятность фишинга. Значения вероятности фишинга могут находится в диапазоне от 1 до 8. Чем больше значение, тем более подозрительным является сообщение. Дополнительные сведения см. в разделе Метки защиты от спама.

X-MS-Exchange-Organization-Quarantine

Показывает, что сообщение помещено в почтовый ящик карантина нежелательной почты и отправлено уведомление о доставке. Или он может указывать на то, что сообщение было отправлено на карантин и освобождено администратором. Данное поле X-заголовка предотвращает повторное попадание освобожденного сообщения в почтовый ящик карантина нежелательной почты. Дополнительные сведения см. в разделе Освобождение сообщений из почтового ящика карантина нежелательной почты.

X-MS-Exchange-Organization-SCL

Определяет вероятность нежелательной почты для сообщения. Значения порога вероятности нежелательной почты могут находится в диапазоне от 0 до 9. Чем больше значение, тем более подозрительным является сообщение. Специальное значение -1 предотвращает обработку сообщения агентом фильтрации содержимого. Подробнее см. в разделе Фильтрация содержимого.

X-MS-Exchange-Organization-SenderIdResult

Содержит результаты обработки агентом идентификации отправителей. Агент идентификации отправителей использует инфраструктуру политики отправителей для сравнения исходного IP-адреса сообщения с доменом, указанным в адресе электронной почты отправителя. На основе результатов обработки агентом идентификации отправителей для сообщения вычисляется вероятность нежелательной почты. Дополнительные сведения см. в разделе Код отправителя.

В начало

 
Показ: