Фильтрация подключений на пограничных транспортных серверахConnection filtering on Edge Transport servers

Фильтрация подключений — это функция защиты от спама в Exchange Server, позволяющая или блокирующая электронную почту на основе источника сообщения.Connection filtering is an antispam feature in Exchange Server that allows or blocks email based on the message source. Фильтрация подключений выполняется агентом фильтрации подключений, который доступен только на пограничных транспортных серверах, и в основном остается неизменным в Exchange Server 2010.Connection filtering is performed by the Connection Filtering agent that's available only on Edge Transport servers, and is basically unchanged from Exchange Server 2010. Чтобы определить действие для входящего сообщения (если оно необходимо), агент фильтра подключений использует IP-адрес почтового сервера.The Connection Filtering agent relies on the IP address of the connecting mail server to determine what action, if any, to take on an inbound message.

По умолчанию агент фильтрации подключений первым оценивает входящее сообщение на пограничном транспортном сервере. Исходный IP-адрес SMTP-подключения сравнивается с разрешенными и заблокированными IP-адресами. Если исходный IP-адрес разрешен, сообщение отправляется получателям в вашей организации без последующей обработки остальными агентами защиты от спама. Если исходный IP-адрес заблокирован, SMTP-подключение отклоняется. Если исходный IP-адрес не разрешен, и не заблокирован, сообщение переходит к другим агентам защиты от спама на пограничном транспортном сервере.By default, the Connection Filtering agent is the first antispam agent to evaluate an inbound message on an Edge Transport server. The source IP address of the SMTP connection is checked against the allowed and blocked IP addresses. If the source IP address is specifically allowed, the message is sent to the recipients in your organization without additional processing by other antispam agents. If the source IP address is specifically blocked, the SMTP connection is dropped. If the source IP address isn't specifically allowed or blocked, the message flows through the other antispam agents on the Edge Transport server.

При фильтрации подключений IP-адрес исходного почтового сервера сравнивается со значениями белого списка IP-адресов, черного списка IP-адресов, а также данными поставщиками белого и черного списка IP-адресов.Connection filtering compares the IP address of the source mail server to the values in the IP Allow list, the IP Block list, IP Allow list providers, and IP Block list providers. Чтобы фильтрация подключений работала, необходимо настроить по крайней мере один из этих хранилищ данных IP-адресов.You need to configure at least one of these four IP address data stores for connection filtering to function. Если данные IP-адресов не указаны, агент фильтрации подключений следует отключить.If you don't specify any IP address data, you should disable the Connection Filtering agent. Дополнительные сведения см в разделе процедуры фильтрации подключений на пограничных транспортных серверах.For more information, see Connection filtering procedures on Edge Transport servers.

список блокировок IP-адресов;IP Block list

список блокировок IP-адресов содержит IP-адреса серверов электронной почты, которые необходимо заблокировать. Адреса в список блокировок IP-адресов добавляются вручную. При этом можно добавить отдельные адреса или диапазоны адресов. Вы можете указать срок действия, определяющий период блокировки IP-адреса или диапазона. По истечении срока действия запись черного списка IP-адресов отключается.The IP Block list contains the IP addresses of email servers that you want to block. You manually maintain the IP addresses in the IP Block list. You can add individual IP addresses or IP address ranges. You can specify an expiration time that specifies how long the IP address entry will be blocked. When the expiration time is reached, the IP address entry in the IP Block list is disabled.

Если агент фильтрации подключений находит исходный IP-адрес в черном списке IP-адресов, SMTP-подключение будет отклонено после обработки всех заголовков RCPT TO (получатели конверта) в сообщении.If the Connection Filtering agent finds the source IP address on the IP Block list, the SMTP connection will be dropped after all the RCPT TO headers (envelope recipients) in the message are processed.

IP-адреса также могут автоматически добавляться в список блокировок IP-адресов компонентом репутации отправителей агента анализа протокола. Дополнительные сведения см. в разделе Репутация отправителя и агент анализа протокола.IP addresses can also be automatically added to the IP Block list by the Sender Reputation feature of the Protocol Analysis agent. For more information, see Sender reputation and the Protocol Analysis agent.

список разрешений IP-адресов;IP Allow list

Список разрешений IP-адресов содержит IP-адреса серверов электронной почты, которые необходимо обозначить как заслуживающие доверия.The IP Allow list contains the IP addresses of email servers that you want to designate as trustworthy sources of email. Сообщения от почтовых серверов, указанных в списке разрешенных IP-адресов, не обрабатываются другими агентами Exchange защиты от спама.Email from mail servers that you specify in the IP Allow list is exempt from processing by other Exchange antispam agents.

Адреса в Список разрешений IP-адресов добавляются вручную. При этом можно добавить отдельные адреса или диапазоны адресов. Вы можете указать срок действия, определяющий период, в течение которого IP-адрес или диапазон будет считаться разрешенным. По истечении срока действия запись белого списка IP-адресов отключается.You manually maintain the IP addresses in the IP Allow list. You can add individual IP addresses or IP address ranges. You can specify an expiration time that specifies how long the IP address entry will be allowed. When the expiration time is reached, the entry in the IP Allow list is disabled.

поставщики списка заблокированных IP-адресов;IP Block List providers

ПримерыIP Block List providers are frequently referred to as real-time block lists, or RBLs. IP Block List providers compile lists of mail server IP addresses that send spam. Many IP Block List providers also compile lists of mail server IP addresses that could be used for spam. Examples include mail servers that are configured for open relay, Internet service providers (ISPs) that assign dynamic IP addresses, and ISPs that allow SMTP mail server traffic from dial-up accounts.

Если вы настраиваете фильтрацию подключений для использования поставщика черного списка IP-адресов, агент фильтрации подключений сравнивает IP-адрес подключающегося почтового сервера со списком адресов поставщика черного списка IP-адресов. Если найдено совпадение, сообщение не будет передано в организацию. Вы можете настроить фильтрацию подключений для использования нескольких поставщиков черного списка IP-адресов и назначить разные приоритеты каждому поставщику.When you configure connection filtering to use an IP Block List provider, the Connection Filtering agent compares the IP address of the connecting mail server to the list of IP addresses at the IP Block List provider. If there's a match, the message isn't allowed in your organization. You can configure connection filtering to use multiple IP Block List providers, and you assign different priority values to each provider.

Агент фильтрации подключений сравнивает исходный IP-адрес с белым и черным списком IP-адресов.The Connection Filtering agent checks the source IP address at the IP Allow list and the IP Block list. Если этого IP-адреса нет в обоих списках, агент фильтрации подключений отправляет поставщику черного списка IP-адресов запрос в соответствии с заданным приоритетом.If the IP address doesn't exist on either list, the Connection Filtering agent queries the IP Block List provider according to the priority value that you assigned. Если IP-адрес определен в поставщике черного списка IP-адресов, пограничный транспортный сервер ждет и обрабатывает **** заголовок "рассылку", реагирует на почтовый почтовый сервер SMTP 550 с ошибкой и закрывает подключение.If the IP address is defined at an IP Block List provider, the Edge Transport server waits for and processes the RCPT TO header, responds to the sending mail server with an SMTP 550 error, and closes the connection. Подключение не удаляется незамедлительно, чтобы попытка подключения могла быть записана в журнал и чтобы вы могли указать получателей, сообщения для которых не блокируются какими-либо поставщиками черного списка IP-адресов.The connection isn't immediately dropped so that the connection attempt can be logged, and because you can specify recipients that are exempt from having messages blocked by any IP Block list providers.

Если IP-адрес не задан ни у одного поставщика черного списка IP-адресов, агент фильтрации подключений передает сообщение следующему транспортному агенту на пограничном транспортном сервере.If the IP address isn't defined at any of the IP Block List providers, the Content Filtering agent hands the message off to the next transport agent on the Edge Transport server.

Для каждого поставщика черного списка IP-адресов можно настроить сообщение SMTP 550 об ошибке, которое возвращается отправителю, когда сообщение блокируется.For each IP Block List provider, you can customize the SMTP 550 error that's returned to the sender when a message is blocked. Следует определить поставщика черного списка IP-адресов, который идентифицировал источника сообщения как передающего нежелательную почту.You should identify the IP Block List provider that identified the message source as spam. Если заслуживающий доверия почтовый сервер случайно был определен как источник нежелательной почты, можно обратиться к поставщику черного списка IP-адресов и выполнить действия для удаления сервера из данных поставщика черного списка IP-адресов.If a legitimate source mail server is erroneously identified as a spam source, the administrator can then contact the IP Block List provider and take the steps necessary to remove the mail server from the IP Block List provider.

Поставщики черного списка IP-адресов могут возвращать разные коды для указания причины включения IP-адреса в свои списка. Большинство поставщиков возвращают либо битовую маску, либо абсолютные типы данных. В этих типах поставщик черного списка IP-адресов может использовать несколько значений для классификации IP-адреса по типу угрозы.IP Block List providers can return different codes to identify why an IP address is defined in their lists. Most IP Block List providers return bitmask or absolute value data types. Within these data types, the IP Block List provider can use multiple values to classify the IP address by threat type.

При использовании поставщиков черного списка IP-адресов следует учитывать некоторые возможные проблемы.There are issues to consider when using IP Block list providers:

  • Сбои или задержки службы поставщика черного списка IP-адресов могут вызвать задержки при обработке сообщений на пограничном транспортном сервере. Всегда следует выбирать надежных поставщиков черного списка IP-адресов.Outages or delays at the IP Block list provider service can cause delays in the processing of messages on the Edge Transport server. You should always select reliable IP Block list providers.

  • Заслуживающие доверия исходные серверы могут быть случайно определены как источники нежелательной почты. Например, почтовый сервер непреднамеренно может быть настроен для открытой ретрансляции. Всегда следует выбирать поставщиков черного списка IP-адресов, которые предоставляют четкие процедуры оценки почтовых серверов и их удаления из служб этих поставщиков.Source servers that you know to be legitimate can be erroneously identified as spam sources. For example, the mail server can be unintentionally configured to act as an open relay. You should always select IP Block list providers that provide clear procedures for evaluation and removal from their services.

Примеры битовой маски и абсолютных значенийBitmask and absolute value examples

Этот раздел содержит пример кодов состояния, возвращаемых большинством поставщиков черных списков IP-адресов. Коды состояния, возвращаемые поставщиком, см. в документации для конкретного поставщика.This section shows an example of the status codes returned by most Block List providers. For details about the status codes that the provider returns, see the documentation from the specific provider.

При использовании типа данных «битовая маска» служба поставщика черного списка IP-адресов возвращает код состояния 127.0.0.For bitmask data types, the IP Block List provider service returns a status code of 127.0.0. x, где целое число x является одним из значений, приведенных в следующей таблице.x, where the integer x is any one of the values listed in the following table.

Значения и коды состояния для типов данных «битовая маска»Values and status codes for bitmask data types

ЗначениеValue Код состоянияStatus code
1,11 IP-адрес включен в список блокировок IP-адресов.The IP address is on an IP Block list.
22 SMTP-сервер настроен в качестве открытого ретранслятора.The SMTP server is configured to act as an open relay.
SP44 Данный IP-адрес поддерживает IP-адрес для коммутируемого доступа.The IP address supports a dial-up IP address.

Для абсолютных типов значений поставщик черного списка IP-адресов отправляет явные ответы, в которых указано, почему IP-адрес включен в список блокировок. В следующей таблице приводятся некоторые примеры абсолютных значений и откликов в явном виде.For absolute value types, the IP Block List provider returns explicit responses that define why the IP address is defined in their block lists. The following table shows examples of absolute values and the explicit responses.

Значения и коды состояния для типов данных «абсолютное значение»Values and status codes for absolute value data types

ЗначениеValue ОткликExplicit response
127.0.0.2127.0.0.2 Данный IP-адрес является непосредственным источником нежелательной почты.The IP address is a direct spam source.
127.0.0.4127.0.0.4 Данный IP-адрес является источником массовой рассылки.The IP address is a bulk mailer.
127.0.0.5127.0.0.5 Удаленный сервер, отправляющий данное сообщение, поддерживает многокаскадные открытые ретрансляции.The remote server sending the message is known to support multistage open relays.

поставщики белых списков IP-адресов.IP Allow List providers

Поставщиков белого списка IP-адресов также называют списками надежных отправителей или белыми списками.IP Allow List providers are also known as safe lists or white lists. Поставщики белого списка IP-адресов настраиваются так же, как поставщики черного списка IP-адресов, но результаты их работы прямо противоположны: они определяют IP-адреса почтовых серверов, которые однозначно не связаны с рассылкой нежелательной почты.IP Allow List providers are configured just like IP Block List providers, but the results are the opposite: they define mail server IP addresses that are definitely not associated with spam activity. Если IP-адрес подключающегося почтового сервера определен в поставщике белого списка IP-адресов, сообщение не будет обрабатываться другими агентами Exchange защиты от спама.If the IP address of the connecting mail server is defined at an IP Allow List provider, the message is exempt from processing by other Exchange antispam agents. Поэтому поставщики белого списка IP-адресов используются гораздо чаще, чем поставщики черного списка IP-адресов.For this reason, IP Block List providers are used much more frequently than IP Allow List providers. Серьезно отнеситесь к выбору поставщика белого списка IP-адресов.Choose your IP Allow List providers carefully.

Тестирование поставщиков белого и черного списка IP-адресовTest IP Block List providers and IP Allow List providers

После настройки фильтрации подключений для использования поставщика белого или черного списка IP-адресов необходимо выполнить тесты для проверки правильной работы поставщиков.After you configure connection filtering to use an IP Block List provider or an IP Allow List provider, you can run tests to verify that the providers are working correctly. Большинство поставщиков предоставляют тестовые IP-адреса, которые можно использовать для проверки служб.Most providers provide test IP addresses that you can use to test their services. При тестировании поставщика агент фильтрации подключений отправляет запрос DNS, который должен привести к определенному ответу от поставщика.When you test a provider, the Connection Filtering agent issues a DNS query that should result in a specific response from the provider. Для получения дополнительных сведений о тестировании IP-адресов для службы поставщика черного списка IP-адресов или службы поставщика списка разрешенных IP-адресов обратитесь к разделу процедуры фильтрации подключений на пограничных транспортных серверах.For more information about how to test IP addresses against an IP Block List provider service or an IP Allow List provider service, see Connection filtering procedures on Edge Transport servers.

Настройка фильтрации подключений на пограничных транспортных серверах, не подключенных напрямую к ИнтернетуConfigure connection filtering on Edge Transport servers that aren't directly connected to the Internet

Фильтрацию подключений можно использовать на пограничных транспортных серверах, которые не получают электронную почту напрямую из Интернета.You can use connection filtering on Edge Transport servers that don't directly receive email from the Internet. В этом случае пограничный транспортный сервер находится за другим почтовым сервером, получающим и обрабатывающим сообщения, поступающие непосредственно из Интернета.In this scenario, the Edge Transport server is behind another mail server that receives and processes messages directly from the Internet. Например, ваша организация может отправить трафик электронной почты через сервер защиты от спама, службу или устройство, прежде чем сообщения будут достигать пограничного транспортного сервера.For example, your organization might send email traffic through an antispam server, service, or appliance before the messages reach the Edge Transport server. При этом агент фильтра подключений должен извлекать из сообщения правильный исходный IP-адрес.In this scenario, the Connection Filtering agent needs to extract the correct source IP address from the message. Для этого агенту фильтрации подключений требуется проанализировать значения поля заголовка Received и сравнить их с известными IP-адресами почтового сервера, расположенным между пограничным транспортным сервером и Интернетом.To do this, the Connection Filtering agent needs to parse the Received header field values in the message header and compare those values to the known IP addresses of the mail server that sits between the Edge Transport server and the Internet.

Каждый почтовый сервер, который принимает и ретранслирует SMTP-сообщение на пути доставки, добавляет собственное поле Received в заголовок сообщения. Обычно заголовок Received содержит доменное имя и IP-адрес почтового сервера, который обработал сообщение.Every mail server that accepts and relays an SMTP message along the delivery path adds its own Received header field in the message header. The Received header typically contains the domain name and IP address of the mail server that processed the message.

Если пограничный транспортный сервер не принимает сообщения непосредственно из Интернета, необходимо использовать параметр InternalSMTPServers в командлете Set-TransportConfig на сервере почтовых ящиков Exchange, чтобы определить IP-адрес почтового сервера. между пограничным транспортным сервером и Интернетом.If the Edge Transport server doesn't accept messages directly from the Internet, you need to use the InternalSMTPServers parameter on the Set-TransportConfig cmdlet on an Exchange Mailbox server to identify the IP address of the mail server that sit between the Edge Transport server and the Internet. Данные об IP-адресах реплицируются на пограничные транспортные серверы с помощью EdgeSync.The IP address data is replicated to Edge Transport servers by EdgeSync. Когда пограничный транспортный сервер получает сообщения, агент фильтрации подключений предполагает, что IP-адрес в поле получения заголовка, который не отвечает значению, указанному параметром InternalSMTPServers , является исходным IP-адресом, который необходимо проверить.When messages are received by the Edge Transport server, the Connection Filtering agent assumes an IP address in a Received header field that doesn't match a value specified by the InternalSMTPServers parameter is the source IP address that needs to be checked. Поэтому для корректной работы фильтрации подключений необходимо указать все внутренние SMTP-серверы.Therefore, you need specify all internal SMTP servers in order for connection filtering to function correctly.