Exchange 2013 and exchange 2016

Installation

Let’s get to business of installing and enabling antispam filters.

Mailbox role server

I will perform this on Mailbox role. Start Exchange Management Shell (as admin).

First, let’s see what we got installed and enabled.

Navigate to you Exchange installation folder (by default C:\Program Files\Microsoft\Exchange Server\V15

Restart Exchange Transport service (run Exchange Management Shell as admin!!)

Let’s now again check our Transport Agent stats

There are new antispam agent enabled – good.

We need now to specify our internal SMTP agents so that Sender ID agent ignores them. (replace 192.168.50.3 and 10.0.0.36 with your IP addresses on which your Exchange servers reside. It could be only one IP address if you have only one server.

Let’s check if our command worked

All good in my case

We can also check status of our antispam filters by entering following

To check the detailed info and config of each of running agents, type in following

Ok, we are done with installation of antispam agents on mailbox role server

Edge role server

This is optional, and only valid if you have edge role server in place.

Check installed agents by typing in

If there are no installed antispam agents – repeat steps from Mailbox role server installation.

If you got this on the screen – you are ok.

Additionally you can enable “exclusive” edge antispam agents (if they are not already enabled) by typing in

That is more or less everything about installation of antispam on Exchange server.

Шаг 4. Добавим поставщиков черных списков IP адресов (IP Block List Providers) 3х достаточно.

Add-IPBlockListProvider -Name "SpamHaus IP Block List Provider" -LookupDomain "zen.spamhaus.org" -BitMaskMatch 127.0.0.1
Set-IPBlockListProvider "SpamHaus IP Block List Provider" -RejectionResponse "Your message was rejected because the IP address of the server sending your message is in the SpamHaus IP Block List Provider."
Add-IPBlockListProvider -Name "SpamCop IP Block List Provider" -LookupDomain "bl.spamcop.net" -IPAddressesMatch "127.0.0.2","127.0.0.5" -Priority 1
Set-IPBlockListProvider "SpamCop IP Block List Provider" -RejectionResponse "Your message was rejected because the IP address of the server sending your message is in the SpamCop IP Block List Provider."

Surriel — psbl.surriel.com
SORBS — dnsbl.sorbs.net
abuseat cbl.abuseat.org
msrbl spam.rbl.msrbl.net
spamcannibal bl.spamcannibal.org

Add-IPBlockListProvider -Name SpamHaus -LookupDomain zen.spamhaus.org -AnyMatch $True -Enabled $True -RejectionResponse “Your IP is on the spamhaus.org block list“

Затем, желательно указать перечень доменов, которые требуется исключить из механизма проверки — партнеры, поставщики, информационные системы и т.п. (белый список white list):

Set-ContentFilterConfig -BypassedSenderDomains 5house.ru,5house.net,5house.com

При этом если в будущем вам потребуется дополнить список, желательно использовать следующий скрипт:

Set-ContentFilterConfig –BypassedSenderDomains @{Add="5house.org", "5house.eu"}

Просмотр список провайдеров чёрных адресов

get-ipblocklistprovider

Защита от спама в Exchange 2013, 2016: RBL

В этой статье мы поговорим об особенностях работы и настройке RBL фильтров в Exchange 2013/2016. Вкратце напомним о том, что такое RBL. RBL (Realtime Blackhole List) представляет собой сервис, хранящий базу данных, содержащую список IP-адресов почтовых серверов, замеченных в рассылке спама. Чаще всего доступ к RBL осуществляется по протоколу DNS, поэтому такие сервисы называют также DNSBL (DNS Block Lists).

Почтовый сервер при получении письма от неизвестного отправителя может автоматически сверяться с такими списками и блокировать почту с IP адресов, перечисленных в базе RBL сервисов. При обнаружении совпадения адреса отправителя со значением в одном из RBL списков, в ответ на команду RCPT TO ваш сервер Exchange выдаст SMTP сообщение об ошибке 550 5.x.x, а отправитель получат соответствующий отбойник.

За функционал блокировки соединений на основе списков IP адресов в Exchange 2016 и 2013 отвечает агент фильтрация подключений (Connection Filtering). Агент Connection Filtering включает в себя:

Первые два списка являются статическими и ведутся вручную администратором Exchange. В списке RBL провайдеров указывается список сторонних источников данных RBL, с которыми необходимо сверится при получении письма.

В Exchange 2007/2010 антиспам фильтрация включалась с помощью скрипта install-AntispamAgents.ps1, причем оба агента фильтрации (Connection Filtering и Content Filtering) устанавливались на одном сервере с ролью Hub Transport. В Exchange 2013 транспортная роль разбита на 2 составляющие: Front End Transport и Back End Transport, а функционал фильтрации разделен спама на 2 части. На сервере Front End выполняется фильтрация подключений (Connection Filtering), а на Back End – фильтрация содержимого (включает в себя IMF-фильтр — Exchange Intelligent Message Filter и агент обнаружения вирусов — Malware Agent).

В Exchange 2013, если роли CAS и Mailbox установлены на одном сервере, скрипт Install-AntispamAgents.ps1 устанавливает только агент контентной фильтрации. Это означает, что функционал RBL-фильтрации будет не доступен.

Чтобы установить агент Connection Filtering, нужно воспользоваться командлетом Install-TransportAgent:

Т.к. в Exchange 2016 все роли (кроме Edge Transport) совмещены, поэтому, если у вас нет выделенного сервера с ролью Edge Transport, вам придется установить антиспам агентов с помощью скрипта install-AntispamAgents.ps1 на всех серверах. Затем службе транспорта Exchange нужно указать адреса внутренних SMTP серверов, которые должны игнорироваться при проверке на спам:

После установки агента, его нужно включить и перезапустить службу Front End Transport:

Проверить, что агент фильтрации подключений установлен и работает можно так:

Далее нужно указать список используемых RBL провайдеров.

Можно добавить сразу несколько RBL провайдеров, предварительно ознакомившись с их особенностями и политикой коммерческого использования.Список используемых RBL можно вывести так:

Get-IPBlockListProvider

Проверить наличие конкретного IP адреса на предмет присутствия в RBL списке можно так:

Логи агента Connection Filter по умолчанию сохраняются в каталогC:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\FrontEnd\AgentLog.

cd “C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\FrontEnd\AgentLog”find /c «[email protected]» *.log | find «:» | find /v «: 0»

В этом пример видно, что письмо отклонено провайдером zen.spamhaus.org.

[email protected],,[email protected],1,Connection Filtering Agent,OnRcptCommand,RejectCommand,”550 5.7.1 Recipient not authorized, your IP has been found on a block list”,BlockLictProvider,zen.spamhaus.org.

После накопления первичной информации (обычно нужно в два – три дня, в зависимости от объема почтового трафика), вы можете получить статистику результатов работы RBL фильтрации спама с помощью скрипта Get-AntispamTopRBLProviders.ps1.

Или добавить IP адрес определенного SMTP сервера в доверенные:

Дополнительно для получения статистики о фильтрации писем фильтрами Connection Filtering Agent можно использовать следующие предустановленные PowerShell скрипты:

Для отключения фильтрации входящей почты нужно отключить Connection Filtering Agent:

Списки RBL являются достаточно эффективным средством борьбы с нежелательной почтой, но в большинстве случаем для полноценной антиспам защиты нужно использовать их совместно с другими способами борьбы со спамом. В дополнении к RBL вы можете вручную заблокировать конкретные адреса или домены отправителей в Exchange.

Создание и настройка удаленных доменов

Примечание

• Если вы создаете удаленный домен для определенного домена назначения и параметр для определенного удаленного домена конфликтуется с тем же параметром в удаленном домене по умолчанию, параметр для определенного удаленного домена переопределяет параметр в удаленном домене по умолчанию.
• После создания удаленного домена вы не сможете изменить или заменить домен внутри удаленного домена. Вместо этого создайте и настройте новый удаленный домен с новым именем.

Новый EAC

1. Перейдите к удаленным > доменам потока почты. Отображается экран удаленного домена.

2. Нажмите кнопку + Добавьте удаленный домен. Имя, которое отображается на экране домена.

3. В текстовом окне Имя введите описательное имя домена.

4. В текстовом окне Удаленный домен введите полное доменное имя. Используйте символ подгруппы () для всех поддоменов указанного домена, например * * .contoso.com.

5. Нажмите кнопку Далее. Отображается экран типов ответов электронной почты.

6. Задайте следующие параметры.

• В разделе Out of Office типах ответов укажите, какой тип ответов из-за пользования должен быть отправлен людям в этом домене.

• В разделе Автоматические ответы укажите, следует ли разрешить автоматические ответы, автоматическую переадресацию или и то, и другое.

1. Нажмите кнопку Далее. Отображается экран отчетов о сообщении.

2. Укажите, хотите ли вы разрешить отчеты о доставке и отчеты о невывозе, проверив соответствующие флажки.

3. Нажмите кнопку Далее. Отображается экран набора текста и символов.

4. Задайте следующие параметры.

   • В области формата Use Rich-text укажите, следует ли следовать за настройками сообщений каждого пользователя или всегда или никогда не сохранять форматирование RTF. Если выбрать параметр Никогда, сообщения в формате RTF будут отправляться в виде обычного текста или HTML.
   • В области Поддерживаемый набор символов укажите, какой символ необходимо использовать (если в сообщении не указан набор символов), выбрав из набора символов MIME или списка символов Non-MIME.

5. Нажмите кнопку Далее. Отображается экран Обзор.

6. Просмотрите параметры удаленного домена и нажмите кнопку Сохранить.

Создается и добавляется в список новый удаленный домен.

Классический EAC

1. Перейдите к удаленным > доменам потока почты.

2. Чтобы создать домен:

   1. Нажмите кнопку Новый добавить. .
   2. В поле Имя введите понятное имя домена.
   3. В поле Удаленный домен введите полное имя домена. Используйте подстановочный знак (*) для всех дочерних доменов указанного домена, например *.contoso.com.

3. Чтобы изменить параметры домена по умолчанию, выберите элемент По умолчанию и щелкните Изменить.

4. Выберите необходимые параметры.

   • В разделе Out of Office типах ответов укажите, какой тип ответов из-за пользования должен быть отправлен людям в этом домене.
   • В разделе Автоматические ответы укажите, следует ли разрешить автоматические ответы, автоматическую переадресацию или и то, и другое.
   • В разделе Отчеты о сообщениях укажите:
   • следует ли разрешить отчеты о доставке и недоставке;
   • следует ли отправить уведомление организатору собрания в удаленном домене, если собрание, настроенное пользователем в удаленном домене, переадресуется другому пользователю в вашей организации.
   • В разделе Использовать формат RTF укажите, следует ли применять параметры сообщений каждого пользователя и следует ли всегда сохранять форматирование RTF. Если выбрать параметр Никогда, сообщения в формате RTF будут отправляться в виде обычного текста или HTML.
   • В области Поддерживаемый набор знаков укажите, какой набор знаков следует использовать, если в сообщении набор знаков не задан.

5. Нажмите кнопку Сохранить. Если вы создали новый удаленный домен, он добавляется в список.

Использование Outlook Сейф отправителей

Внимание!

Этот метод создает высокий риск успешной доставки злоумышленниками электронной почты в почтовый ящик, который в противном случае будет фильтрован; Однако списки отправителей Сейф или Сейф доменов не препятствуют фильтрации вредоносных программ или сообщений фишинговых сообщений с высокой уверенностью.

Вместо организационных параметров пользователи или администраторы могут добавлять адреса электронной почты отправителей в Сейф отправителей в почтовом ящике. Инструкции см. в списке Настройкапараметров нежелательной почты в Exchange Online почтовых ящиках в Office 365 . Это нежелательно в большинстве ситуаций, так как отправители обходят части стека фильтрации. Несмотря на доверие отправитель, отправитель по-прежнему может быть скомпрометирован и отправлять вредоносный контент. Лучше всего, чтобы наши фильтры могли делать все необходимое для проверки каждого сообщения, а затем сообщать о ложном срабатыве или отрицательном сообщении в Корпорацию Майкрософт, если наши фильтры ошиблись. Обход стека фильтрации также мешает ZAP.

Когда сообщения пропускают фильтрацию нежелательной почты из-за списка отправителей Сейф пользователя, заглавное поле X-Forefront-Antispam-Report будет содержать значение, которое указывает на то, что фильтрация нежелательной почты, подмены и фишинга были обходить стороной.

GFI MailEssentials 20: что нового?

В мае 2016 года вышла новая версия продукта — 20.1, в которой улучшен ряд функций и исправлены выявленные ошибки. Перечислим основные особенности версии 20, представленной в январе 2015 года.  

• Многопоточная защита от спама для повышения пропускной способности электронной почты на системах с несколькими процессорами или многоядерными ЦП, а также в кластерных конфигурациях. 
• Поддержка 64-разрядных систем, что позволяет GFI MailEssentials эффективнее обрабатывать большие объемы электронной почты.   
• Поддержка Remote Active Directory (AD) дает возможность устанавливать GFI MailEssentials на системах без AD, таких как серверы IIS SMTP или Edge. При этом Active Directory все равно будет использоваться, несмотря на отсутствие локального доступа к ней. 
• Поддержка сканирования хранилища Exchange 2013 и старше на наличие вредоносных программ с использованием Exchange Web Services.
• Поддержка Exchange 2016, Windows 10 и Office 2016.   

Настроим фильтрацию отправителя по коду. Это как раз проверка наличия и корректности SPF-записи:

Set-SenderIDConfig -SpoofedDomainAction StampStatus

Есть варианты «Отклонять» (Reject), «Удалять» (Delete), и «Помечать нежелательным» (StampStatus).
Настроим фильтрацию содержимого: https://technet.microsoft.com/ru-ru/library/aa996791(v=exchg.160).aspx

Set-ContentFilterConfig -SCLQuarantineEnabled $true -SCLRejectEnabled $true -SCLDeleteEnabled $true -SCLQuarantineThreshold 6 -SCLRejectThreshold 7 -SCLDeleteThreshold 9 -QuarantineMailbox [email protected] -RejectionResponse "Message rejected due to content restrictions" -BypassedRecipients [email protected],[email protected]
Set-ContentFilterConfig -RejectionResponse "Your email is identified as spam, and has been rejected by the recipient's e-mail system."

• Происходит включение и настройка пороговых функций вероятности нежелательной почты, которые помещают на карантин, отклоняют и удаляют сообщения до 6, 7 и 9 соответственно.
• Адрес [email protected] назначается карантинным почтовым ящиком для нежелательной почты.
• Определяется два пользователя, для которых фильтр содержимого не должен обрабатывать сообщения.
• Текст отбивки отправителю о недоставке

Уполномоченные домены

Обслуживаемый домен настраивается как уполномоченный, если все получатели в нем есть в организации Exchange.

По умолчанию при установке первого сервера Exchange почтовых ящиков полное доменное имя (FQDN) корневого домена леса в Active Directory настроено как авторитетный домен. Если вы не хотите использовать этот домен для электронной почты, необходимо добавить другой уполномоченный домен. Инструкции см. в статье .

В организации можно настроить несколько уполномоченных доменов. Домены электронной почты, используемые в организации, являются уполномоченными доменами. Вы можете использовать уполномоченные домены в политиках электронных адресов, а Exchange отвечает за создание отчетов о недоставке для несуществующих получателей в уполномоченных доменах.

Фильтрация подключений

Наиболее простой, и в тоже время эффективный способ фильтрации нежелательной почты — использование агента фильтра подключений. Агент фильтра подключений — это базовый агент транспорта, обеспечивающий поддержку следующих элементов:

• черный список IP-адресов
• белый список IP-адресов
• поставщики черного списка IP-адресов
• поставщики белого списка IP-адресов

Каждый из этих элементов можно включать и отключать отдельно от других.

Черный список IP-адресов содержит IP-адреса, почта с которых будет автоматически считаться СПАМом. Белый список, наоборот, содержит IP-адреса, письма с которых всегда будут считаться надежными. Эти списки можно заполнять вручную, однако вряд ли из этого получится что-то хорошее. Существуют специальные службы, которые отслеживают сервера в интернете, через которые идет СПАМ, и заносят их в черный список. Такие списки постоянно обновляются. Вот небольшой перечень поставщиков черных списков:

• sbl.spamhaus.org
• bl.spamcop.net
• list.dsbl.org
• cbl.abuseat.org

Прежде, чем мы начнем

Прежде чем мы опишем самые умные способы отправки электронной почты из командной строки Linux, что вы можете узнать, прочитав эту статью:

Ты выучишь для отправки сообщений электронной почты через SMTP-сервер вашего поставщика услуг электронной почты на любой адрес электронной почты.

Ты не узнаешь как настроить свой почтовый сервер и использовать его для прямой отправки электронных сообщений.

Почему нет? Потому что все равно никто не будет принимать электронные письма, отправленные с вашего почтового сервера. Как вы знаете, спам — огромная проблема, когда дело касается электронной почты, и практически все поставщики услуг электронной почты и почтовые серверы теперь включают по крайней мере базовую защиту от спама, что приводит к тому, что все электронные письма из сомнительных источников отклоненный.

Заядлый пользователь Linux с почтовым сервером своими руками считается сомнительным источником электронной почты. Более того, большинство интернет-провайдеров блокируют порт 25, который является стандартным портом, используемым для SMTP-соединений, поэтому вы, скорее всего, вообще не сможете отправлять сообщения.

Вместо того, чтобы пытаться заставить работать домашний почтовый сервер, гораздо проще использовать почтовый сервис, такой как Gmail, который мы будем использовать в этой статье.

Если вы еще этого не сделали, войдите в свою учетную запись Gmail и включите доступ по протоколу IMAP на вкладке «Пересылка и POP / IMAP» в настройках. Вы также должны разрешить приложениям, использующим менее безопасная технология входа в систему.

Параметры кода отправителя для обработки поддельной почты и недостижимых серверов DNS

Вы также можете определить, Exchange сервер обрабатывает сообщения, идентифицированные как поддельные сообщения, и как сервер Exchange обрабатывает сообщения, когда сервер DNS не может быть достигнут. Параметры обработки Exchange почты и недоступных DNS-серверов включают следующие действия:

• Печать состояния. Этот параметр является действием по умолчанию. Все входящие сообщения в организацию имеют статус sender ID, включенный в метаданные сообщения.

  

  

  

  

  

  

  

  

  

• Отклонение. Этот параметр отклоняет сообщение и отправляет ответ на ошибку SMTP на сервер отправки. Ответ об ошибке протокола SMTP — это ответ протокола уровня 5 xx с текстом, который соответствует состоянию кода отправителя.

• Удаление. Этот параметр удаляет сообщение без информирования системы отправки удаления. Фактически сервер Exchange отправляет на сервер отправки поддельные команды SMTP ОК, а затем удаляет сообщение. Так как сервер отправки предполагает, что сообщение было отправлено, он не будет повторно отправлять сообщение в одном сеансе.

Дополнительные сведения о настройке агента идентификации отправителей см. в разделе Управление кодом отправителя.

Стратегия по защите от нежелательной почты

Стратегия настройки средств защиты от нежелательной почты и определения степени жесткости настроек требует тщательного планирования и расчета. Если для всех фильтров защиты от нежелательной почты указаны самые строгие значения, чтобы отклонять все подозрительные сообщения, вероятность отклонения обычных сообщений также повышается. С другой стороны, если параметры средств защиты от нежелательной почты недостаточно жесткие и пороговые значения защиты SCL недостаточно низкие, количество входящих в организацию нежелательных сообщений обычно не уменьшается.

Чтобы отклонять нежелательные сообщения при их обнаружении в Exchange, рекомендуется применять агент фильтра подключений, агент фильтра получателей или агент фильтра отправителей. Этот подход эффективнее отправки таких сообщений на карантин или назначения им метаданных, таких как марки для борьбы с нежелательной почтой. Агент фильтра подключений и агент фильтра получателей автоматически блокируют сообщения, выявленные соответствующими фильтрами. Агент фильтрации отправителей можно настраивать.

Такой подход является рекомендуемым, так как базовый уровень значения вероятности нежелательной почты (SCL) при фильтрации подключений, фильтрации получателей или фильтрации отправителей относительно высок. Например, при фильтрации отправителей в соответствии с настроенным администратором черным списком отправителей нет причин присваивать выявленным сообщениям данные фильтрации отправителей и продолжать их обработку. В большинстве организаций блокированные сообщения следует отклонять. Если такое отклонение для администратора нежелательно, ему не следует вносить данные отправителей в список блокировок.

Эта же логика применяется к службам черных списков в режиме реального времени и фильтрации получателей несмотря на то, что базовый уровень надежности в таком случае не так высок, как при использовании черного списка IP-адресов

Необходимо обратить внимание, что по мере продвижения сообщения по пути обработки почты вероятность ложных срабатываний возрастает, так как в средствах защиты от нежелательной почты увеличивается количество оцениваемых переменных. Более жесткая настройка первых нескольких этапов цепи защиты позволяет отклонить большую часть нежелательной почты. Таким образом, ресурсы на обработку, пропускная способность и место на жестком диске высвобождаются для обработки более сомнительных сообщений

Таким образом, ресурсы на обработку, пропускная способность и место на жестком диске высвобождаются для обработки более сомнительных сообщений.

Наконец, следует отметить, что необходимо контролировать общую эффективность работы средств защиты от нежелательной почты. Тщательный контроль позволяет настраивать работу средств защиты от нежелательной почты таким образом, чтобы в совокупности они обеспечивали надежную защиту среды предприятия. При таком подходе следует начинать с относительно мягких параметров настройки средств защиты от нежелательной почты. Это позволяет свести к минимуму число ложных срабатываний. В процессе контроля и настройки этих средств можно сделать их более жесткими в отношении типов нежелательных сообщений, атакам которых подвергается организация.

В начало

Исходные данные

Имеется корпоративный домен вида domainname.tld и локальный почтовый серверs. С почтовых адресов домена ведется только деловая переписка, общее количество отправляемых писем не превышает 100 штук в сутки, массовые рассылки отсутствуют как класс.

В последнее время все больше и больше получателей стали жаловаться, что отправляемые нами письма у них попадают в СПАМ. При этом у пользователей MAIL.RU попадание в СПАМ было 100% вне зависимости от содержимого письма.

Необходимые условия

Для того, чтобы настроить SPF, DKIM и DMARC нам понадобиться доступ к NS серверам управляющими записями для вашего домена и доступ к почтовому серверу.

Как настроить SPF

Напомню, что SPF-запись указывает список серверов, которые имеют право отправлять письма от имени домена.

Чтобы настроить SPF необходимо добавить TXT запись для вашего домена. Для большинства доменов подойдет следующая универсальная запись:

Хост	Тип	Значение
domainname.tld	TXT	v=spf1 +a +mx -all

где:

• domainname.tld — имя вашего домена;
• v=spf1 — обязательный параметр;
• +a — разрешать письма от серверов указанных в A-записи;
• +mx — разрешать письма от серверов указанных в MX-записи;
• -all — блокировать письма с остальных серверов.

Опубликовав такую запись для своего домена вы даете четкие инструкции всем почтовым серверам в интернете как поступать с письмами с отправителями из вашего домена. Письма отправленные с серверов, IP адреса которых не указаны в записях A и MX, не являются легитимными и могут получателями трактоваться как SPAM письма.

Настройка политики DMARC

DMARC — это политика действий с пришедшими письмами, у которых в поле From используется публикующий политику домен. DMARC позволяет не только указать, как поступать с такими письмами, но и собрать статистику от всех получателей, поддерживающих серверную часть DMARC.

Опубликуйте DMARC-запись с необходимой политикой для домена

Хост	Тип	Значение
_dmarc.domainname.tld	TXT	v=DMARC1;p=reject

где:

• domainname.tld — имя вашего домена;
• v=DMARC1 — обязательный параметр;
• p=reject — политика DMARC.