Защита от спама в Exchange 2013: RBL | Windows для системных администраторов

Защита от спама в Exchange 2013: RBL

В этой статье мы поговорим об особенностях работы и настройке RBL фильтров в Exchange 2013. Вкратце напомним о том, что такое RBL. Упрощенно RBL (Realtime Blackhole List) представляет собой сервис, хранящий базу данных, содержащую  список ip-адресов почтовых серверов, замеченных в рассылке спама. Чаще всего доступ к RBL осуществляется по протоколу DNS, поэтому такие сервисы называют также DNSBL (DNS Block Lists).

Почтовый сервер при получении письма от неизвестного отправителя может автоматически сверятся с такими списками и блокировать почту с ip адресов, перечисленных в базе. При обнаружении совпадения адреса отправителя со значением одного из RBL списков, в ответ на команду RCPT TO сервер выдает SMTP сообщение об ошибке 550 5.x.x, а отправитель получат соответствующий отбойник.

За функционал блокировки соединений на основе списков IP адресов в Exchange 2013 отвечает агент фильтрация подключений (Connection Filtering). Агент Connection Filtering включает в себя:

  • IP Block Lists – черный список IP адресов, почта с которых не принимается (запрещенные отправители)
  • IP Allow Lists — белый список IP адресов (разрешенные отправители)
  • RBL Providers – список провайдеров RBL

Первые два списка являются статическими и ведутся вручную администратором Exchang. В списке RBL провайдеров указывается список сторонних источников данных RBL, с которыми необходимо сверится при получении письма.

В Exchange 2007/2010 антиспам фильтрация включалась с помощью скрипта install-AntispamAgents.ps1, причем оба агента фильтрации (Connection Filtering и Content Filtering) устанавливались на одном сервере с ролью Hub Transport. В Exchange 2013 транспортная роль разбита на 2 составляющие: Front End Transport и Back End Transport, а функционал антиспам фильтрации разделен на 2 части. На сервере Front End выполняется фильтрация подключений (Connection Filtering), а на Back End – фильтрация содержимого (включает в себя IMF-фильтр — Exchange Intelligent Message Filter и агент обнаружения вирусов — Malware Agent).

В Exchange 2013, если роли CAS и Mailbox установлены на одном сервере, скрипт Install-AntispamAgents.ps1 устанавливает только агент контентной фильтрации. Это означает, что функционал RBL-фильтрации будет не доступен.

Чтобы установить агент Connection Filtering, нужно воспользоваться командлетом Install-TransportAgent:

Install-TransportAgent -Name "Connection Filtering Agent" -TransportService FrontEnd -TransportAgentFactory "Microsoft.Exchange.Transport.Agent.ConnectionFiltering.ConnectionFilteringAgentFactory" -AssemblyPath "C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\agents\Hygiene\Microsoft.Exchange.Transport.Agent.Hygiene.dll"

Установка агента фильтрации подключений в Exchange 2013

После установки агента, его нужно включить и перезапустить службу Front End Transport:

Enable-TransportAgent -TransportService FrontEnd -Identity "Connection Filtering Agent"
Restart-Service MSExchangeFrontEndTransport

Включить агент фильтрации командой Enable-TransportAgent

Проверить, что агент фильтрации подключений установлен и работает можно так:

Get-TransportAgent -TransportService FrontEnd

Агент фильтрации Exchange 2013, реализующий RBL фильтрацию

Далее нужно задать используемых RBL провайдеров.

Примечание. Самыми популярными RBL провайдерами на данный момент являются Spamhaus и SpamCop.

Add-IPBlockListProvider -Name zen.spamhaus.org -LookupDomain zen.spamhaus.org -AnyMatch $true -Enabled $True

Чтобы изменить текст отбойника, возвращаемого отправителю, воспользуемся такой командой:
Set-IPBlockListProvider zen.spamhaus.org -RejectionResponse "Your IP address is listed by Spamhaus Zen. You can delete it on page http://www.spamhaus.org/lookup/”

Можно добавить сразу несколько RBL провайдеров, предварительно ознакомившись с их особенностями и политикой коммерческого использования.
Список используемых RBL можно вывести так:

Get-IPBlockListProvider

Get-IPBlockListProvider - список используемых RBL сервисов

Проверить наличие конкретного IP адреса на предмет присутствия в RBL списке можно так:

Test-IPBlockListProvider -Identity zen.spamhaus.org -IPAddress x.x.x.x

Логи агента Connection Filter по умолчанию сохраняются в каталог
C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\FrontEnd\AgentLog

После накопления первичной информации (зависит от объема почтового трафика, в среднем два – три дня), статистику результатов работы RBL фильтрации можно посмотреть с помощью командлета Get-AntispamTopRBLProviders.ps1

.\get-AntispamTopRBLProviders.ps1 -location "C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\FrontEnd\AgentLog"

get-AntispamTopRBLProviders.ps1 - статистика работы RBL фильтров

После начала использования RBL-фильтрации нужно внимательно изучить логи фильтрации на предмет  ложных срабатываний.

Списки RBL являются достаточно эффективным средством борьбы с нежелательной коррекспонденцией, но в большинстве случаем  для полноценной антиспам защиты нужно использовать их совместно с другими способами борьбы со спамом.

Еще записи по теме: Exchange
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 14

Оставить комментарий
  1. AlE͕̬̦̥͎̟̯ͪ̓̇͊̋̍̚X | 14.11.2014

    Кто то говорит использование Spamhaus и подобных.
    свойственно нерадивым админам.

    habrahabr.ru/post/171223/
    Что думаете вы?

    Ответить
    • itpro | 18.11.2014

      Здесь все очень индивидуально, все зависит от задачи.
      Наверное, в первую нужно очередь оценивать эффективность GBL по качеству отсеиванию спама. Если после несложной настройки даже начинающий админ может в разы уменьшить поток спама, почему, собственно и нет?

      Ответить
  2. AlE͕̬̦̥͎̟̯ͪ̓̇͊̋̍̚X | 14.11.2014

    вопрос есть ли разница  с 2007м?
    потому что в нём надо было писать NAME
    Set-IPBlockListProvider spamhaus.org -RejectionResponse «Your IP address is listed by Spamhaus Zen. You can delete it on page http://www.spamhaus.org/lookup/”

    Ответить
    • itpro | 18.11.2014

      Думаю, отличий в синтаксисе быть не должно, но проверить не на чем (под рукой 2007 нет)

      Ответить
  3. Дмитрий | 16.02.2015

    ЗБС конечно ,спасибо, но нет ни слова как отключить службу или как удалить сайт из списка RBL.

    Ответить
    • itpro | 26.02.2015

      Чтобы отключить RBL достаточно очистить список RBL провайдеров с помощью командлета Remove-IPBlockListProvider.
      Попробуйте добавить ip адреса сервера отправителя в белый список ip: Add-IPAllowListEntry -IPAddress 192.168.1.111

      Ответить
      • Дмитрий | 26.02.2015

        Спасибо, на тот момент я догадался просто выключить фильтр RBL командой аналогичной для включения.

        DISABLE-TransportAgent -TransportService FrontEnd -Identity «Connection Filtering Agent»

        помоему как то так.

        А за ответ еще раз спасибо, попробую добавить пару адресов, в белый список.

        Ответить
  4. Sasha Odarchuk | 19.03.2015

    В Exchange 2013, если роли CAS и Mailbox установлены на одном сервере, скрипт Install-AntispamAgents.ps1 устанавливает только агент контентной фильтрации. Это означает, что функционал RBL-фильтрации будет не доступен.

    E2013 CU7, Все роли в одном.

    успешно добавляются РБЛи

    [PS] C:\Windows\system32>Get-IPBlockListProvider

    Name LookupDomain Priority
    ---- ------------ --------
    SpamHaus IP Block List Provider zen.spamhaus.org 2
    SpamCop IP Block List Provider bl.spamcop.net 1

    и даже проверка ІР идет:

    [PS] C:\Windows\system32>Test-IPBlockListProvider -Identity "SpamHaus IP Block List Provider" -IPAddress 8.8.8.8

    RunspaceId : f225a389-e070-43ad-86d7-077b17dd05de
    Provider : SpamHaus IP Block List Provider
    ProviderResult : {}
    Matched : False

    Так все таки работает сия фича при совмещении ролей или нет?

    Ответить
    • Антон | 22.04.2015

      Проверял и все вышло наоборот. Если роли cas и mbx стоят на разных, то рбл списки устанавливаются, но проверка не работает.

      Ответить
  5. Sasha Odarchuk | 19.03.2015

    Логи агента Connection Filter по умолчанию сохраняются в каталог
    C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\FrontEnd\AgentLog

    сколько по дефолту хранятся эти логи?

    После накопления первичной информации (зависит от объема почтового трафика, в среднем два – три дня), статистику результатов работы RBL фильтрации можно посмотреть с помощью командлета Get-AntispamTopRBLProviders.ps1

    Exchange может показать список «плохих» ІР которых он послал лесом?? Как?

    Ответить
  6. Sasha Odarchuk | 19.03.2015

    «искаропки» в Exchange есть скрипты (в папке scripts) которые могу показать статистику.
    у меня работают все кроме :(
    .\Get-AntispamTopBlockedSenderDomains.ps1
    .\Get-AntispamTopRecipients.ps1

    Тупо ничего не выводят. ЧЯДНТ ?

    Ответить
  7. Иван | 22.04.2015

    Все роли на одном сервере Exchange 2013 CU8.
    AdminDisplayVersion: Version 15.0 (Build 1076.9).
    Задействован Connection Filtering Agent. Работает, пишет логи. Настроен и прекрасно работает RBL, подключено три провайдера.
    Проблема в том, что не работает IP Allow List, то есть, вообще его наличие никак не влияет на ситуацию. Как будто его и нет.


    C:\Windows\system32>Get-TransportAgent -TransportService FrontEnd
    Identity Enabled Priority
    -------- ------- --------
    Connection Filtering Agent True 1

    C:\Windows\system32>Get-IPAllowListConfig
    RunspaceId : 5ff5335c-3145-4f30-b332-cfa321d21ddf
    Name : IPAllowListConfig
    Enabled : True
    ExternalMailEnabled : True
    InternalMailEnabled : False

    Соответственно, необходимость безусловно разрешить доставку почты с какого-либо важного IP-адреса, засветившегося в одном из используемых RBL-провайдеров, вынуждает просто отключить на время этого провайдера. Иначе никак не заставить принять почту с этого важного IP.
    Как заставить работать IP Allow List?

    Ответить
    • itpro | 23.04.2015

      Список разрешенных IP не забыли заполнить? Get-IPAllowListEntry что-гибудь возвращает?

      Ответить
      • Иван | 23.04.2015

        Да, конечно, список из одного IP-адреса в наличии.

        [PS] C:\Windows\system32>Get-IPAllowListEntry
        Identity IPRange ExpirationTime HasExpired
        -------- ------- -------------- ----------
        1 84.53.206.2 31.12.9999 23:59:59 False

        В логах Connection Filtering Agent этот IP-адрес явно блокируется с указанием причины — попадание в блэк-листы Spamhaus.
        Натолкнулся в процессе поиска на одну тему, где упоминается взаимодействие Exch и FPE TMG. У меня публикация идёт через TMG, но при этом никакие функции обработки почты на шлюзе не используются. Опять-таки, неясно, если работает RBL, то почему-бы не работать IPAllowList. Собственно, и IPBlockList точно так же не работает, если туда что-то добавить.

        Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.26MB/0.00110 sec