1 ноября 2016 г. корпорация Майкрософт перестала выпускать обновления определений спама для фильтров SmartScreen в Exchange и Outlook. Существующие определения спама для SmartScreen останутся, но их эффективность будет снижаться с течением времени.
Фильтрация содержимого в Exchange Server 2016 обеспечивается агентом фильтрации.
Используем сценарий PowerShell Install-AntispamAgents.ps1 для установки и включения встроенных агентов защиты от спама Exchange на сервере почтовых ящиков.
Следующие агенты защиты от спама доступны в службе транспорта на серверах почтовых ящиков Exchange 2016, но не установлены по умолчанию:
- Агент фильтра содержимого
- Агент фильтра отправителей
- Агент идентификации отправителей
- Агент анализа протокола для репутации отправителя
Как правило, нам не нужно устанавливать агенты защиты от спама на сервере почтовых ящиков, если в нашей организации используются другие фильтры спама для входящей почты.
Порядок действий
Шаг 1. Запускаем сценарий PowerShell Install-AntispamAgents.ps1
& $env:ExchangeInstallPathScriptsInstall-AntiSpamAgents.ps1
Шаг 2. Перезапускаем службу транспорта Microsoft Exchange
Restart-Service MSExchangeTransport
Шаг 3. Указываем внутренние SMTP-серверы нашей организации
Необходимо указать IP-адреса всех внутренних SMTP-серверов, которые должен игнорировать агент Sender ID. Достаточно указать IP-адрес по крайней мере одного внутреннего SMTP-сервера. Чтобы добавить IP-адреса внутренних SMTP-серверов, не изменяя существующие значения, выполняем следующую команду в командной консоли Exchange на сервере почтовых ящиков:
Set-TransportConfig -InternalSMTPServers @{Add="172.0.1.10","172.0.1.11"}
Шаг 4. Дальнейшие действия
Также должны быть установлены и запущены: агент фильтра содержимого, агент Sender ID, агент фильтра отправителей и агент анализа протокола.
Get-TransportAgent Get-ContentFilterConfig | Format-Table Name,Enabled; Get-SenderFilterConfig | Format-Table Name,Enabled; Get-SenderIDConfig | Format-Table Name,Enabled; Get-SenderReputationConfig | Format-Table Name,Enabled
Далее настраиваем отбой сообщений и уведомление отправителю о том, что его сообщение было распознано как спам.
Установка сообщения отправителю:
Set-ContentFilterConfig -RejectionResponse "Your message was rejected because it appears to be SPAM."
Проверяем командой:
Get-ContentFilterConfig | Format-List *Reject*
Получаем ответ:
RejectionResponse : Your message was rejected because it appears to be SPAM. SCLRejectThreshold : 8 SCLRejectEnabled : False
Что говорит о том, что данный функционал отключен. Проверяем данный фильтр в целом командой:
Get-ContentFilterConfig | fl
Отключен не только отбой с уведомлением, но и удаление явного спама.
Следует помнить, что при активной функции возможна потеря легитимных писем.
Рекомендуется включать функционал отбоя с уведомлением, но оставлять выключенным функционал удаления командой
set-ContentFilterConfig -SCLRejectEnabled $true
Далее указываем список доменов или конкретных почтовых ящиков, которым мы доверяем.
Set-ContentFilterConfig -BypassedSenderDomains example1.com, example2.ru
Для добавления к уже существующему списку используем команду:
Set-ContentFilterConfig –BypassedSenderDomains @{Add="example1.com", "example2.com"}
Кроме того, мы можем настроить работу с поставщиками списков заблокированных IP-адресов (спам-листы).
А также не забываем о стратегии защиты от нежелательной почты
Защита от нежелательной почты — это баланс между блокированием нежелательных сообщений и разрешением подлинных. Если настроить слишком много функций строгой защиты от нежелательной почты, высока вероятность блокировки множества подлинных сообщений (ложных срабатываний). Если же сделать защиту слишком свободной, в организацию будет проникать много спама.
Ниже приводятся некоторые рекомендации, которые следует учитывать при настройке встроенных функций защиты от нежелательной почты в Exchange.
Отклоняйте сообщения, обнаруженные агентом фильтра подключений, агентом фильтрации получателей и агентом фильтрации отправителей. Не помещайте их в карантин и не применяйте к ним метки нежелательной почты. Этот подход рекомендуется по следующим причинам:
- Как правило, сообщения, обнаруженные при использовании параметров по-умолчанию для фильтрации подключений, получателей и отправителей, можно считать нежелательными без дальнейших проверок. Например, если для фильтрации отправителей настроена блокировка определенных отправителей, нет необходимости продолжать обработку сообщений от этих отправителей. Если отклонять эти сообщения нежелательно, то не следует добавлять соответствующие адреса в список заблокированных отправителей.
- Повышенный уровень защиты для агентов, обрабатывающих сообщения на ранних этапах транспортного конвейера, позволяет экономить вычислительные ресурсы, полосу пропускания и дисковые ресурсы. Чем дальше сообщение проходит по транспортному конвейеру, тем больше переменных приходится учитывать оставшимся компонентам защиты от нежелательной почты, чтобы успешно определить сообщение как спам. Отклоняйте очевидный спам как можно раньше, чтобы оставить время для подозрительных сообщений.
- Необходимо отслеживать эффективность функций защиты от нежелательной почты на их текущих уровнях конфигурации. Мониторинг позволяет реагировать на тенденции, а также повышать и понижать интенсивность защиты. Для начала следует использовать параметры по умолчанию, чтобы свести к минимуму число ложных срабатываний. По мере отслеживания количества спама и ложных срабатываний вы можете повышать интенсивность защиты в зависимости от типов спама и атак, наблюдаемых в организации.
