Защита защиты от спама в Exchange ServerAntispam protection in Exchange Server

** Отправители нежелательной почты или вредоносные отправители используют различные методы для отправки нежелательной почты в организацию. Ни один инструмент или процесс не может устранить все нежелательные сообщения. Однако Microsoft Exchange предоставляет многоуровневый многогранный подход для уменьшения этих нежелательных сообщений. Exchange использует агенты транспорта для обеспечения защиты защиты от спама, а встроенные агенты, доступные в Exchange Server 2016 и Exchange Server 2019, относительно неизменны в Exchange Server 2010. В Exchange 2016 и Exchange 2019 конфигурация и управление этими агентами доступны только в командной консоли Exchange.Spammers, or malicious senders, use a variety of techniques to send unwanted email into your organization. No single tool or process can eliminate all spam. However, Microsoft Exchange provides a layered, multifaceted approach to reducing these unwanted messages. Exchange uses transport agents to provide antispam protection, and the built-in agents that are available in Exchange Server 2016 and Exchange Server 2019 are relatively unchanged from Exchange Server 2010. In Exchange 2016 and Exchange 2019, configuration and management of these agents is available only in the Exchange Management Shell.

Чтобы получить дополнительные функции защиты от нежелательной почты и упростить управление, вы можете приобрести службу Exchange Online Protection (EOP), входящую в состав Microsoft Office 365. Дополнительные сведения о защите от нежелательной почты в Office 365 см. в статье Защита от спама в Office 365.For more antispam features and easier management, you can purchase Exchange Online Protection (EOP) that's part of Microsoft Office 365. To learn more about Office 365 antispam protection, see Office 365 Email antispam Protection.

Агенты защиты от нежелательной почты на серверах почтовых ящиковAntispam agents on Mailbox servers

Как правило, агенты защиты от нежелательной почты включаются на серверах почтовых ящиков, если в организации нет пограничного транспортного сервера или не выполняется дополнительная фильтрация входящих сообщений. Дополнительные сведения см. в статье Включение функции защиты от спама на серверах почтовых ящиков.Typically, you enable the antispam agents on a Mailbox server if your organization doesn't have an Edge Transport server, or if it doesn't do other antispam filtering on incoming messages. For more information, see Enable antispam functionality on Mailbox servers.

Как и всем агентам транспорта, каждому агенту защиты от нежелательной почты назначается значение приоритета. Чем ниже значение, тем выше приоритет, поэтому агент с приоритетом 1 обычно применяется к сообщению раньше агента с приоритетом 9. Тем не менее событие SMTP транспортного конвейера, в котором зарегистрирован агент, также очень важно для определения порядка, в котором агент защиты от нежелательной почты обрабатывает сообщения. Агент с низким приоритетом, зарегистрированный на более раннем этапе транспортного конвейера, выполняется перед агентом с высоким приоритетом, который был зарегистрирован в транспортном конвейере позже.Like all transport agents, each antispam agent is assigned a priority value. A lower value indicates a higher priority, so typically, an antispam agent with priority 1 acts on a message before an antispam agent with priority 9. However, the SMTP event in the transport pipeline where the antispam agent is registered is also very important in determining the order that antispam agent acts on messages. A low priority antispam agent that's registered early in the transport pipeline acts on messages before a high priority antispam agent that's registered later in the transport pipeline.

С учетом значения приоритета агента по умолчанию и события SMTP, в котором он зарегистрирован, агенты защиты от нежелательной почты применяются к сообщениям на серверах почтовых ящиков в следующем порядке:Based on the default priority value of the agent and the SMTP event where the agent is registered, this is the order that the antispam agents are applied to messages on Mailbox servers:

  1. Агент фильтра отправителей: Фильтрация отправителей сравнивает сервер отправки со списком отправителей или доменов отправителей, которым запрещено отправлять сообщения в организацию. Более подробную информацию можно узнать в статье Фильтрация отправителей.Sender Filter agent: Sender filtering compares the sending server to a list of senders or sender domains that are prohibited from sending messages to your organization. For more information, see Sender filtering.

  2. Агент идентификатора отправителя: идентификатор отправителя использует IP-адрес сервера-отправителя и предполагаемый адрес (PRA) отправителя, чтобы определить, подделана ли адрес электронной почты для отправки сообщения. Дополнительные сведения см. в разделе Sender ID.Sender ID agent: Sender ID relies on the IP address of the sending server and the Purported Responsible Address (PRA) of the sender to determine whether the sending email address is spoofed. For more information, see Sender ID.

  3. Агент фильтра содержимого: агент фильтрации содержимого задает для каждого сообщения уровень вероятности нежелательной почты (SCL), основанный на данных от легальных и нежелательных сообщений. Более подробную информацию можно узнать в статье Фильтрация содержимого.Content Filter agent: Content filtering agent assigns a spam confidence level (SCL) to each message based on data from legitimate and spam messages. For more information, see Content filtering.

    Карантин неЖелательной почты это компонент агента фильтрации содержимого, который уменьшает риск потери законных сообщений, которые ошибочно классифицированы как спам. Карантин неЖелательной почты обеспечивает временное место хранения подозрительных сообщений, чтобы администратор мог просматривать сообщения. Дополнительные сведения см в разделе Карантин нежелательной почты в Exchange Server.Spam quarantine is a component of the Content Filter agent that reduces the risk of losing legitimate messages that are incorrectly classified as spam. Spam quarantine provides a temporary storage location for suspicious messages so an administrator can review the messages. For more information, see Spam quarantine in Exchange Server.

    При фильтрации содержимого также используется функция объединения списков надежных отправителей. Объединение списков надежных отправителей собирает данные безопасных списков, которые пользователи настроили в Microsoft, Outlook и Outlook в Интернете, и обеспечивают доступность этих сведений для агента фильтра содержимого. Для получения дополнительных сведений см Объединение списков надежных отправителей.Content filtering also uses the safelist aggregation feature. Safelist aggregation collects safe list data that users configure in Microsoft, Outlook, and Outlook on the web and makes this information available to the Content Filter agent. For more information, see Safelist aggregation.

  4. Агент анализа протокола (репутация отправителя): агент анализа протокола — это агент, обеспечивающий репутацию репутации отправителя. Репутация отПравителя использует несколько тестов для вычисления уровня репутации отправителя (SRL) для входящих сообщений, определяющих действие, выполняемое с этими сообщениями. Для получения дополнительных сведений обратитесь к разделу репутация отправителя и агенту анализа протокола.Protocol Analysis agent (sender reputation): The Protocol Analysis agent is the agent that provides sender reputation. Sender reputation uses several tests to calculate a sender reputation level (SRL) on incoming messages that determines the action to take on those messages. For more information, see Sender reputation and the Protocol Analysis agent.

Агенты защиты от нежелательной почты на пограничных транспортных серверахAntispam agents on Edge Transport servers

Если в сети периметра организации установлен пограничный транспортный сервер, на нем устанавливаются и по умолчанию включаются все агенты защиты от нежелательной почты, доступные серверу почтовых ящиков. Однако следующие агенты доступны только на пограничных транспортных серверах:If your organization has an Edge Transport server installed in the perimeter network, all of the antispam agents that are available on a Mailbox server are installed and enabled by default on the Edge Transport server. However, the following antispam agents are available only on Edge Transport servers:

  • Агент фильтрации подключений: фильтрация подключений использует список заблокированных IP-адресов, список разрешенных IP-адресов, поставщиков черного списка IP-адресов и поставщиков белого списка IP-адресов, чтобы определить, следует ли заблокировать или разрешить подключение. Для получения дополнительных сведений см Фильтрация подключений на пограничных транспортных серверах.Connection Filtering agent: Connection filtering uses an IP block list, IP allow list, IP block list providers, and IP allow list providers to determine whether a connection should be blocked or allowed. For more information, see Connection filtering on Edge Transport servers.

  • Агент фильтра получателей: при фильтрации получателей для определения сообщений, которые не могут входить в организацию, используется список заблокированных получателей. Фильтр получателей также использует локальный каталог получателей для отклонения сообщений, отправляемых недопустимым получателям. Дополнительные сведения можно найти в разделе Фильтрация получателей на пограничных транспортных серверах.Recipient Filter agent: Recipient filtering uses a recipient block list to identify messages that aren't allowed to enter the organization. The recipient filter also uses the local recipient directory to reject messages sent to invalid recipients. For more information, see Recipient filtering on Edge Transport servers.

    Примечание

    Хотя агент фильтрации получателей доступен на серверах почтовых ящиков, его не следует настраивать. Если при фильтрации получателей на сервере почтовых ящиков в сообщении обнаруживается по крайней мере один недопустимый или заблокированный получатель, сообщение отклоняется. Агент фильтрации получателей включается, когда вы устанавливаете агенты защиты от нежелательной почты на сервере почтовых ящиков. Однако он не блокирует получателей.Although the Recipient Filter agent is available on Mailbox servers, you shouldn't configure it. When recipient filtering on a Mailbox server detects one invalid or blocked recipient in a message that contains other valid recipients, the message is rejected. The Recipient Filter agent is enabled when you install the antispam agents on a Mailbox server, but it isn't configured to block any recipients.

  • Агент фильтрации вложений: Фильтрация вложений блокирует сообщения или вложения на основе имени файла вложения, расширения или типа контента MIME. Дополнительную информацию можно узнать в статье фильтрация вложений на пограничных транспортных серверах.Attachment Filtering agent: Attachment filtering blocks messages or attachments based on the attachment file name, extension, or MIME content type. For more information, see Attachment filtering on Edge Transport servers.

С учетом заданного по умолчанию значения приоритета агента и события SMTP транспортного конвейера, в котором зарегистрирован этот агент, агенты защиты от нежелательной почты применяются к сообщениям на пограничном транспортном сервере в следующем порядке:Based on the default priority value of the antispam agent, and the SMTP event in the transport pipeline where the agent is registered, this is the order that the antispam agents are applied to messages on Edge Transport servers:

  1. Агент фильтрации подключенийConnection Filtering agent

  2. Агент фильтра отправителейSender Filter agent

  3. Агент фильтра получателейRecipient Filter agent

  4. Агент идентификации отправителейSender ID agent

  5. Агент фильтра содержимогоContent Filter agent

  6. Агент анализа протокола (репутация отправителя)Protocol Analysis agent (sender reputation)

  7. Агент фильтрации вложенийAttachment Filtering agent

Метки нежелательной почтыAntispam stamps

Отметки защиты от спама применяются к сообщениям и используются агентами защиты от спама. Вы можете просмотреть метки защиты от спама, которые помогут вам диагностировать проблемы, связанные с нежелательной почтой. Дополнительные сведения см. в разделе Метки защиты от спама.Antispam stamps are applied to messages and are used by the antispam agents. You can view the antispam stamps to help you diagnose spam-related problems. For more information, see Antispam stamps.

Стратегия защиты от нежелательной почтыStrategy for antispam approach

Защита от нежелательной почты — это баланс между блокированием нежелательных сообщений и разрешением подлинных. Если настроить слишком много функций строгой защиты от нежелательной почты, высока вероятность блокировки множества подлинных сообщений (ложных срабатываний). Если же сделать защиту слишком свободной, в организацию будет проникать много спама.Antispam is a balancing act between blocking unwanted messages and allowing legitimate messages. If you configure the antispam features too aggressively, you'll likely block too many legitimate messages (false positives). If you configure the antispam features too loosely, you likely allow too much spam into your organization.

Ниже приводятся некоторые рекомендации, которые следует учитывать при настройке встроенных функций защиты от нежелательной почты в Exchange.These are some best practices to consider when configuring the built-in antispam features in Exchange:

  • Отклоняйте сообщения, обнаруженные агентом фильтра подключений, агентом фильтрации получателей и агентом фильтрации отправителей. Не помещайте их в карантин и не применяйте к ним метки нежелательной почты. Этот подход рекомендуется по следующим причинам:Reject messages that are identified by the Connection Filtering agent, Recipient Filter agent, and Sender Filter agent rather than quarantining the messages or applying antispam stamps. This approach is recommended for these reasons:

    • Сообщения, которые определены параметрами фильтрации подключений, фильтрации получателей и отправителей по умолчанию, обычно не требуют дальнейших проверок, чтобы определить, являются ли они нежелательными. Например, если вы настроили фильтрацию отправителей для блокирования определенных отправителей, нет причин продолжить обработку сообщений от этих отправителей. (Если вы не хотите, чтобы сообщения были отклонены, вы не поместили их в список заблокированных отправителей).Messages that are identified by the default settings of the connection filtering, recipient filtering, or sender filtering typically don't require further tests to determine if they're unwanted. For example, if you configured sender filtering to block specific senders, there's no reason to continue to process messages from those senders. (If you didn't want the messages rejected, you wouldn't have put them on the blocked senders list).

    • Настройка более агрессивного уровня для агентов защиты от спама, по сообщения на ранних стадиях транспортного конвейера, экономит ресурсы обработки, пропускной способности и дисковые ресурсы. В конвейере транспортного конвейера передается большее количество переменных, которое должно быть оценено в остальных возможностях защиты от спама для успешной идентификации сообщения как спама. ОтКлонить очевидные сообщения на ранних стадиях, чтобы позже можно было обрабатывать неоднозначные сообщения.Configuring a more aggressive level for the antispam agents that encounter messages early in the transport pipeline saves processing, bandwidth, and disk resources. The farther in transport pipeline a message travels, the greater number of variables that the remaining antispam features need to evaluate to successfully identify the message as spam. Reject obvious messages early so you can process ambiguous messages later.

  • Необходимо отслеживать эффективность функций защиты от нежелательной почты на их текущих уровнях конфигурации. Мониторинг позволяет реагировать на тенденции, а также повышать и понижать интенсивность защиты. Для начала следует использовать параметры по умолчанию, чтобы свести к минимуму число ложных срабатываний. По мере отслеживания количества спама и ложных срабатываний вы можете повышать интенсивность защиты в зависимости от типов спама и атак, наблюдаемых в организации.You need to monitor the effectiveness of the antispam features at their current configuration levels. Monitoring allows you to react to trends and increase or decrease the aggressiveness of the settings. You should start with the default settings to minimize the number of false positives. As you monitor the amount of spam and false positives, you can increase the aggressiveness of the settings based on the type of spam and spam attacks that your organization experiences.

См. такжеSee also

Защиты от спама Защита электронной почты Office 365Office 365 email antispam protection