Поделиться через

Общее представление о защите от нежелательной почты

  • Статья

 

Применимо к: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Дата изменения раздела: 2012-02-29

В этом разделе приводится обзор функций защиты от нежелательных сообщений в службе Microsoft® Forefront® Online Protection for Exchange (FOPE).

Хранение нежелательной почты и управление ею

Служба FOPE содержит четыре параметра для управления и хранения нежелательных сообщений. Настройка этих параметров осуществляется на уровне домена.

  1. Настройка карантина нежелательной почты. Карантин нежелательной почты — это наиболее распространенный способ хранения нежелательной почты, поскольку он освобождает корпоративные почтовые серверы от необходимости обрабатывать и хранить этот вид электронной почты. Кроме того, этот параметр позволяет пользователям избежать необходимости сортировать сообщения нежелательной почты, значительно повышая производительность сотрудников. При использовании данного параметра сообщения электронной почты, идентифицированные как нежелательные, перенаправляются в сетевые почтовые ящики для нежелательной почты отдельных пользователей, размещенные в службе FOPE. Нежелательные сообщения хранятся в течение 15 дней, после чего автоматически удаляются.

  2. Настройка X-заголовка в FOPE. Этот параметр обеспечивает стандартную доставку электронной почты, но добавляет специальный X-заголовок для нежелательной почты в заголовок сообщения электронной почты. Можно добавлять пользовательские комментарии в X-заголовок сообщений, которые определены службой FOPE как нежелательная почта. X-заголовок добавляется к заголовку Интернета всех последующих сообщений нежелательной почты. В X-заголовке приводится количество сообщений электронной почты, отфильтрованных как нежелательная почта. При необходимости можно также создать правила почтового сервера или клиентские правила для фильтрования сообщений электронной почты, обозначенных X-заголовком.

  3. Общее представление о перенаправлении нежелательной почты. Сообщение электронной почты, идентифицированное как нежелательное, перенаправляется на отдельный SMTP-адрес в домене. Пользователь затем может просмотреть эти сообщения в удобное для него время в одном расположении, размещенном на его почтовом сервере.

  4. Общее представление об изменении темы в FOPE. пользователь может добавлять идентифицирующее слово или фразу в строку темы сообщения, идентифицированного как нежелательная почта, например, НЕЖЕЛАТЕЛЬНАЯ ПОЧТА. При необходимости можно создавать клиентские правила для фильтрации нежелательных сообщений.

Дополнительные сведения о каждом параметре см. в разделе Общее представление о параметрах действий с нежелательной почтой в FOPE.

Многоуровневая защита от нежелательной почты

Служба FOPE достигает повышенной точности благодаря собственной, многоуровневой технологии защиты от нежелательной почты, которая обеспечивает автоматическую фильтрацию нежелательной почты, прежде чем она попадает в систему обмена сообщениями организации. После настройки и включения домена для службы FOPE для маршрутизации почты в службе назначается запись MX. После этого отпадает необходимость в постоянных вмешательствах со стороны пользователей и ИТ-администраторов.

Блокировка по репутации IP-адресов

Блокировка репутации IP-адресов FOPE является первой линией защиты от нежелательной почты и блокирует около 90 % входящей нежелательной почты благодаря анализу подключений и репутации.

Анализ подключений

Каждое подключении к сети FOPE тщательно отслеживается и оценивается на основе команд SMTP, выдаваемых подключающимся сервером. Нестандартные запросы на подключение, которые значительно отклоняются от стандартов RFC, а также поддельные попытки подключения сразу сбрасываются. Это помогает защитить сети от недопустимых попыток подключения.

Анализ репутации

В функции блокирования подключения на основе репутации службы FOPE используется частный список, созданный на основе анализа исторических данных, который содержит адреса компьютеров, подключенных к Интернету и ответственных за большую часть нежелательной почты. В рамках действующего партнерства с Microsoft® Windows Live™ Hotmail® служба FOPE собирает данные о сообщениях электронной почты пользователей и организаций для создания всеобъемлющей и полной базы данных репутации.

Служба FOPE также использует сведения о репутации протокола IP, полученные от других организаций и поставщиков услуг Интернета, чтобы обеспечить повышенную защиту от сомнительных IP-адресов и атак бот-сетей, которые осуществляются группой зараженных компьютеров под управлением программного обеспечения на основе общей инфраструктуры управления и контроля. Пользователи, рассылающие нежелательную почту, часто создают вредоносные веб-сайты, которые они используют для фишинга и заражающих вредоносных программ. Служба FOPE использует различные источники, чтобы быстро обновлять списки известных вредоносных URL-адресов, и обновляет свои фильтры содержимого для блокирования этих сообщений.

Защита от нежелательной электронной почты

После прохождения блокировки границы сообщение должно пройти следующие четыре дополнительных уровня технологии защиты от нежелательной почты.

Параметры дополнительной фильтрации нежелательной почты

Многие клиенты нуждаются в расширенных возможностях управления электронной почтой, которая может содержать непристойные изображения, влиять на конфиденциальность личных сведений или пытаться обманом заставить пользователей раскрыть конфиденциальную информацию. Дополнительные функции фильтрации нежелательных сообщений (ASF) в службе FOPE позволяют пользователям применять флаги фильтрации и помещать на карантин сообщения, которые содержат различные виды активного или подозрительного содержимого. Дополнительные сведения о доступных флагах фильтрации ASF см. в разделе Настройка параметров дополнительной фильтрации нежелательной почты.

Проверка подлинности на основе IP

Служба FOPE проверяет подлинность идентификатора отправителя каждого сообщения электронной почты. Если подлинность сообщения не удается проверить и будет установлено, что оно отравлено от поддельного отправителя, сообщение, скорее всего, будет отмечено как нежелательное. Инфраструктура политики отправителей (SPF) — отраслевой стандарт, который предотвращает подделку обратных адресов, используя идентификатор отправителя SMTP-почты в сообщениях, что облегчает идентификацию подделок. Уточняющий запрос SPF помогает подтвердить, что объект, указанный как отправитель, на самом деле отправил сообщение электронной почты.

Дактилоскопия

Когда сообщения содержат известные характеристики нежелательной почты, они определяются как сообщения с отпечатками. Сообщению с "отпечатками" присваивается уникальный ИД на основе его содержимого. База данных "отпечатков" собирает сведения о всех нежелательных сообщениях, блокированных системой FOPE, что улучшает и совершенствует процесс их "дактилоскопирования" по мере обработки новых сообщений. Когда сообщение с определенными "отпечатками" проходит через систему во второй раз, "отпечатки" снимаются и сообщение помечается как нежелательное. Система постоянно анализирует входящие сообщения, чтобы выявить новые методы рассылки нежелательной почты. Группа аналитиков нежелательной почты службы FOPE обновляет уровень "отпечатков", когда определяются новые методы.

Подсчет баллов на основе правил

Служба FOPE присваивает баллы сообщениям на основании более 20 000 правил, которые воплощают и определяют характеристики нежелательных и надежных сообщений электронной почты. Баллы насчитываются, если сообщение содержит характеристики нежелательного сообщения, и снимаются, если сообщения содержат характеристики надежных сообщений электронной почты. Когда количество баллов для сообщения превышает определенный максимум, сообщение помечается как нежелательное.

Служба FOPE оценивает и насчитывает баллы за следующие характеристики сообщений:

  • фразы в тексте и строке темы сообщения, включая URL-адреса;

  • запутывание протокола HTTP в попытке представить URL-адрес нежелательной почты как надежный URL-адрес;

  • неправильно построенные заголовки;

  • вид почтового клиента;

  • создание заголовков, например, "Идентификатор сообщения", "Получено", случайные символы;

  • исходный почтовый сервер;

  • исходный почтовый агент;

  • адрес отправителя и адрес отправителя SMTP.

Рабочая группа по работе с нежелательной почтой по мере необходимости изменяет действующие и добавляет новые правила несколько раз в день.

Предотвращение обратного отправления отчетов о недоставке

Существует несколько причин для внезапного резкого увеличения количества отчетов о недоставке (NDR), которые могут повлиять на почтовую среду. Например, один из адресов электронной почты домена может пострадать от кампании по спуфингу или быть адресом источника атаки с целью сбора действующих адресов. Любые из этих факторов могут привести к внезапному увеличению количества отчетов о недоставке (NDR), которые доставляются пользователям. Обратное отправление отчетов о недоставке, которое означает получение множества сообщений в случае подделки адреса электронной почты как отправителя нежелательной почты, является серьезной проблемой для многих организаций. Кроме правил обнаружения отчетов о недоставке, дополнительное правило ASF службы FOPE помогает блокировать обратное отправление. Этот параметр фильтрует сообщения с отчетами о недоставке и отправляет их в службу карантина.

Для клиентов, фильтрующих исходящую почту, логика процесса помогает обнаруживать отчеты о недоставке, которые являются надежными возвращенными сообщениями, и доставлять их исходному отправителю без включения параметра ASF. Для клиентов, фильтрующих исходящую почту, функция интеллектуального обнаружения надежных отчетов о недоставке включена по умолчанию.

См. также

Понятия

Общее представление о фильтрации исходящей нежелательной почты
Общее представление о точности и эффективности защиты от нежелательной почты

Другие ресурсы

Фильтрация массовой рассылки в FOPE