Репутация отправителя и агент анализа протоколаSender reputation and the Protocol Analysis agent

Функция защиты от спама на основе репутации отправителя в Exchange блокирует сообщения в зависимости от характеристик отправителя. Чтобы определить, какое действие следует предпринять в отношении входящего сообщения, она использует сохраненные сведения об отправителе. Эта функция основана на использовании агента анализа протокола.Sender reputation is part of the Exchange antispam functionality that blocks messages according to many characteristics of the sender. Sender reputation relies on persisted data about the sender to determine the action to take on inbound messages. The Protocol Analysis agent is the underlying agent for sender reputation functionality.

Для получения дополнительных сведений о настройке репутации отправителя и агенте анализа протокола обратитесь к разделу процедуры репутации отправителя.For more information about how to configure sender reputation and the Protocol Analysis agent, see Sender reputation procedures.

По умолчанию агент анализа протокола включен на пограничных транспортных серверах, но его также можно включить на серверах почтовых ящиков. Дополнительные сведения см. в статье Включение функции защиты от спама на серверах почтовых ящиков.By default, the Protocol Analysis agent is enabled on Edge Transport servers, but you can enable it on Mailbox servers. For more information, see Enable antispam functionality on Mailbox servers.

Вычисление уровня репутации отправителя (SRL)Calculating the sender reputation level (SRL)

Уровень репутации отправителя (SRL) рассчитывается исходя из следующей статистики:A sender reputation level (SRL) is calculated from the following statistics:

  • Анализ HELO/EHLO: команды HELO и EHLO SMTP предназначены для предоставления доменного имени, например contoso.com, или IP-адреса ОТПРАВЛЯЮЩЕго SMTP-сервера на ПРИНИМАЮЩИЙ SMTP-сервер.HELO/EHLO analysis: The HELO and EHLO SMTP commands are intended to provide the domain name, such as Contoso.com, or IP address of the sending SMTP server to the receiving SMTP server. Злонамеренные пользователи, или спамеры, часто разными способами подделывают оператор HELO/EHLO.Malicious users, or spammers, frequently forge the HELO/EHLO statement in various ways. Например, вводят IP-адрес, не соответствующий IP-адресу, с которого произошло подключение.For example, they type an IP address that doesn't match the IP address from which the connection originated. Кроме того, в попытке представить, будто домены находятся в организации, в оператор HELO спамеры подставляют домены, о которых известно, что они локально поддерживаются на принимающем сервере.Spammers also put domains that are known to be locally supported at the receiving server in the HELO statement in an attempt to appear as if the domains are in the organization. В других случаях злоумышленники, рассылающие нежелательную почту, изменяют домен, передаваемый в операторе HELO.In other cases, spammers change the domain that's passed in the HELO statement. Как правило, обычный пользователь использует в операторах HELO разный, но относительно постоянный набор доменов.The typical behavior of a legitimate user may be to use a different, but relatively constant, set of domains in their HELO statements.

    Поэтому на основании анализа оператора HELO/EHLO для каждого отправителя можно сделать вывод, что он, возможно, рассылает нежелательную почту. Например, отправитель, который в определенный период времени передает много разных уникальных операторов HELO/EHLO, вероятно, рассылает нежелательную почту. Отправители, последовательно предоставляющие в операторах HELO IP-адрес, не совпадающий с настоящим IP-адресом, определенным агентом фильтрации подключений, вероятно, также рассылают нежелательную почту. Удаленные отправители, постоянно предоставляющие имя локального домена в операторе HELO в той же организации, на которой расположен сервер Exchange, вероятно, также рассылают нежелательную почту.Therefore, analysis of the HELO/EHLO statement on a persender basis may indicate that the sender is likely to be a spammer. For example, a sender that provides many different unique HELO/EHLO statements in a specific time period is more likely to be a spammer. Senders who consistently provide an IP address in the HELO statement that doesn't match the originating IP address as determined by the Connection Filtering agent are also more likely to be spammers. Remote senders who consistently provide a local domain name in the HELO statement that's in the same organization as the Exchange server are also more likely to be spammers.

  • Обратный поиск DNS: репутация отправителя также проверяет, что исходящий IP-адрес, с которого отправитель передал сообщение, совпадает с зарегистрированным именем домена, отправляемым отправителем в команде HELO или EHLO SMTP.Reverse DNS lookup: Sender reputation also verifies that the originating IP address from which the sender transmitted the message matches the registered domain name that the sender submits in the HELO or EHLO SMTP command.

    Функция "репутация отправителя" выполняет обратный запрос DNS, отправляя в DNS исходящий IP-адрес. Результат, возвращаемый службой DNS, — имя домена, зарегистрированное центром доменных имен для данного IP-адреса. Функция репутации отправителя сравнивает имя домена, возвращенное службой DNS, с именем домена, переданным отправителем в SMTP-команде HELO/EHLO. Если имена доменов не совпадают, то отправитель, вероятно, является пользователем, рассылающим нежелательную почту, и общий уровень репутации отправителя для него должен быть увеличен.Sender reputation performs a reverse DNS query by submitting the originating IP address to DNS. The result that's returned by DNS is the domain name that's registered by using the domain naming authority for that IP address. Sender reputation compares the domain name that's returned by DNS to the domain name that the sender submitted in the HELO/EHLO SMTP command. If the domain names don't match, the sender is likely to be a spammer, and the overall SRL rating for the sender is increased.

    Агент кодов отправителя выполняет подобную задачу, но работает с данными допустимых отправителей, не являющихся злонамеренными пользователями. Агент кодов отправителя обновляет их инфраструктуру DNS, чтобы иметь свежий список всех SMTP-серверов отправителей электронной почты в их организации. Выполняя обратный запрос DNS, можно выявить потенциальных злонамеренных пользователей.The Sender ID agent performs a similar task, but the success of the Sender ID agent relies on legitimate senders to update their DNS infrastructure to identify all the email-sending SMTP servers in their organization. By performing a reverse DNS lookup, you can help identify potential spammers.

  • Анализ рейтинга вероятности нежелательной почты для сообщений от определенного отправителя: когда агент фильтра содержимого обрабатывает сообщение, он назначает рейтинг вероятности нежелательной почты для сообщения.Analysis of SCL ratings on messages from a particular sender: When the Content Filter agent processes a message, it assigns a spam confidence level (SCL) rating to the message. Оценка вероятности нежелательной почты — это число от 0 до 9.The SCL rating is a number from 0 through 9. Более высокая оценка вероятности нежелательной почты означает, что сообщение с большой вероятностью будет нежелательным.A higher SCL rating indicates that a message is more likely to be spam. Данные о каждом отправителе и оценках SCL их сообщений сохраняются для анализа при помощи функции «Репутация отправителя».Data about each sender and the SCL ratings that their messages yield is persisted for analysis by sender reputation. Функция «Репутация отправителя» вычисляет статистику для отправителя, определяя соотношение между всеми сообщениями от данного отправителя, которые имели в прошлом низкую оценку SCL, и всеми сообщениями от этого же отправителя, которые имели высокую оценку SCL.Sender reputation calculates statistics about a sender according to the ratio between all messages from that sender that had a low SCL rating in the past and all messages from that sender that had a high SCL rating in the past. Кроме того, количество сообщений с высокой оценкой SCL, пришедших от отправителя за предыдущий день, применяется к общему значению SRL.Additionally, the number of messages that have a high SCL rating that the sender has sent in the last day is applied to the overall SRL.

  • Проверка открытого прокси- сервера отправителя: открытый прокси -сервер — это прокси-сервер, который принимает запросы на подключение от любого места и перенаправляет трафик так, как если бы он поступил с локальных узлов.Sender open proxy test: An open proxy is a proxy server that accepts connection requests from anyone anywhere and forwards the traffic as if it originated from the local hosts. Прокси-серверы ретранслируют TCP-трафик через брандмауэр, обеспечивая пользовательским приложениям прозрачный доступ через брандмауэр.Proxy servers relay TCP traffic through firewall hosts to provide user applications transparent access across the firewall. Поскольку протоколы прокси-серверов — облегченные и независимые от протоколов пользовательского приложения, то прокси-серверы могут использоваться многими различными службами.Because proxy protocols are lightweight and independent of user application protocols, proxies can be used by many different services. Прокси-серверы могут также применяться для общего использования одного подключения к Интернету несколькими компьютерами.Proxies can also be used to share a single Internet connection by multiple hosts. Прокси-серверы обычно настраиваются так, чтобы пересекать прокси-серверы можно было только с известных брандмауэру доверенных компьютеров.Proxies are usually set up so that only trusted hosts inside the firewall can cross through the proxies. Разрешенный отправитель может быть открытым прокси-сервером из-за непреднамеренной неправильной настройки или вредоносной программы.A legitimate sender may be an open proxy because of an unintentional misconfiguration or malware.

    Открытые прокси-серверы предоставляют для пользователей-злоумышленников идеальный способ скрыть свои истинные учетные данные, чтобы реализовать атаку типа «отказ в обслуживании» (DoS) или разослать нежелательную почту. Так как все больше прокси-серверов настраивается как открытые по умолчанию, открытые прокси-серверы становятся обычным явлением. Кроме того, чтобы скрыть истинный IP-адрес отправителя, злоумышленник может использовать цепочку из нескольких открытых прокси-серверов.Open proxies provide an ideal way for malicious users to hide their true identities and launch denial of service attacks (DoS) or send spam. As more proxy servers are configured to be open by default, open proxies have become more common. Additionally, malicious users can use multiple open proxies together to hide the sender's originating IP address.

    Когда функция репутации отправителя выполняет тест открытого прокси-сервера, она форматирует SMTP-запрос, чтобы подключиться к серверу Exchange с открытого прокси-сервера. Если SMTP-запрос от прокси-сервера получен, функция репутации отправителя убеждается, что сервер является открытым, и обновляет статистику проверки для этого отправителя.When sender reputation performs an open proxy test, it does so by formatting an SMTP request in an attempt to connect back to the Exchange server from the open proxy. If an SMTP request is received from the proxy, sender reputation verifies that the proxy is an open proxy and updates the open proxy test statistic for that sender.

Функция «Репутация отправителя» производит оценку всех данных статистики и подсчитывает значение SRL для каждого отправителя. Уровень репутации отправителя — это число от 0 до 9, отражающее вероятность того, что определенный отправитель является источником нежелательной почты или иным пользователем-злоумышленником. Значение 0 свидетельствует о том, что данный отправитель, скорее всего не является злоумышленником, рассылающим нежелательную почту. Значение 9 свидетельствует о том, что данный отправитель, скорее всего является злоумышленником, рассылающим нежелательную почту.Sender reputation weighs each of these statistics and calculates an SRL for each sender. The SRL is a number from 0 through 9 that predicts the probability that a specific sender is a spammer or otherwise malicious user. A value of 0 indicates that the sender isn't likely to be a spammer; a value of 9 indicates that the sender is likely to be a spammer.

Вы можете установить пороговое значение для блокировки от 0 до 9, при котором функция репутации отправителя отправляет запрос агенту фильтрации отправителей и тем самым запрещает отправителю отправлять сообщения в организацию. Когда отправитель заблокирован, он на заданный период времени добавляется в список заблокированных отправителей. Способ обработки заблокированных сообщений зависит от настройки агента фильтрации отправителей. Заблокированные сообщения можно:You can configure a block threshold from 0 through 9 at which sender reputation issues a request to the Sender Filter agent, and, therefore, blocks the sender from sending a message into the organization. When a sender is blocked, the sender is added to the Blocked Senders list for a configurable time period. How blocked messages are handled depends on the configuration of the Sender Filter agent. The following actions are the options for handling blocked messages:

  • **** Отклонить: сообщения возвращаются в отчете о недоставке (также называемом отчетом о недоставке, уведомлении о доставке, DSN или сообщении о недоставке).Reject: Messages are returned in a non-delivery report (also known as an NDR, delivery status notification, DSN, or bounce message)

  • Delete: сообщения удаляются без уведомления о недоставке.Delete: Messages are silently deleted without an NDR.

  • Accept: сообщения принимаются и помечаются как поступающие от заблокированного отправителяAccept: Messages are accepted and marked as coming from a blocked sender

Дополнительные сведения об агенте фильтрации отправителей см. в статье Фильтрация отправителей.For more information about the Sender Filter agent, see Sender filtering.

Если отправитель добавлен в список заблокированных IP-адресов или службу репутации IP-адресов (Майкрософт), функция репутации отправителя немедленно отправляет запрос агенту фильтрации отправителей, чтобы его заблокировать. Чтобы воспользоваться этой функцией, необходимо включить и настроить службу обновления средства защиты от спама Microsoft Exchange.If a sender is included in the IP Block list or Microsoft IP Reputation Service, sender reputation issues an immediate request to the Sender Filter agent to block the sender. To take advantage of this functionality, you need to enable and configure the Microsoft Exchange Antispam Update Service.

По умолчанию для отправителей, которые не были проанализированы, функция репутации отправителя устанавливает оценку 0. После того как от отправителя приходит 20 или более сообщений, она рассчитывает значение уровня репутации отправителя, которое основывается на статистике, описанной ранее в этой статье.By default, sender reputation sets a rating of 0 for senders that haven't been analyzed. After a sender has sent 20 or more messages, sender reputation calculates an SRL that's based on the statistics described earlier in this topic.

Когда следует использовать SRLWhen to use the SRL

Функция репутации отправителя обрабатывает сообщения на двух этапах SMTP-сеанса:Sender reputation acts on messages during two phases of the SMTP session:

  • С помощью команды MAIL FROM: репутация отправителя действует только в том случае, если сообщение заблокировано или обрабатывается агентом фильтрации подключений, агентом фильтра отправителей, агентом фильтра получателей или АГЕНТом идентификатора отправителя.At the MAIL FROM: SMTP command: Sender reputation acts on a message only if the message was blocked or otherwise acted on by the Connection Filtering agent, Sender Filter agent, Recipient Filter agent, or Sender ID agent. В этом случае репутация отправителя получает текущую рейтинг отправителя от профиля отправителя, который хранится относительно этого отправителя на сервере Exchange.In this case, sender reputation retrieves the sender's current SRL rating from the sender profile that's persisted about that sender on the Exchange server. После получения и оценки этого рейтинга Конфигурация сервера Exchange определяет поведение, выполняемое в определенном подключении в соответствии с пороговое значение блока.After this rating is retrieved and evaluated, the Exchange server configuration dictates the behavior that occurs at a particular connection according to the block threshold.

  • После команды SMTP "конец данных": команда SMTP завершения передачи данных (ЕОД) передается при отправке всех фактических данных сообщения.After the "end of data" SMTP command: The end of data transfer (EOD) SMTP command is given when all the actual message data is sent. На этой стадии SMTP-сеанса многие агенты защиты от спама уже обработали сообщение.At this point in the SMTP session, many of the antispam agents have processed the message. В результате выполнения этих процедур статистика, используемая функцией репутации отправителя, обновляется.As a by-product of antispam processing, the statistics that sender reputation relies on are updated. Таким образом, эта функция получает обновленные данные для последующего расчета или пересчета значения SRL для отправителя.Therefore, sender reputation has the data to calculate or recalculate an SRL rating for the sender.

Настройка обнаружения открытых прокси-серверовConfiguring the detection of open proxy servers

Когда агент репутации отправителя вычисляет уровень репутации отправителя, он пытается подключиться к исходному IP-адресу отправителя с помощью распространенных протоколов прокси-серверов, таких как SOCKS4, SOCKS5, HTTP, Telnet, Cisco и Wingate. Чтобы подключиться к серверу Exchange с открытого прокси-сервера с помощью SMTP-запроса, агент репутации отправителя форматирует запрос в соответствии с протоколом. Если SMTP-запрос получен от прокси-сервера, агент репутации отправителя убеждается, что прокси-сервер является открытым, и корректирует оценку уровня репутации отправителя согласно этому результату. По умолчанию для агента репутации отправителя включено обнаружение открытых прокси-серверов.When sender reputation calculates an SRL, sender reputation tries to connect to the sender's originating IP address by using a variety of common proxy protocols, such as SOCKS4, SOCKS5, HTTP, Telnet, Cisco, and Wingate. Sender reputation formats a protocol-specific request in an attempt to connect back to the Exchange server from the open proxy server by using an SMTP request. If an SMTP request is received from the proxy server, sender reputation verifies that the proxy server is an open proxy server and adjusts the SRL rating according to this result. By default, the detection of open proxy servers is enabled in sender reputation.

Дополнительные сведения о настройке обнаружения открытых прокси-серверов приведены в разделе процедуры репутации отправителя.For more information about how to configure the detection of open proxy servers, see Sender reputation procedures.

Установка порогового значения для блокировки по уровню репутации отправителяSetting the SRL block threshold

Уровень репутации отправителя — это число от 0 до 9, отражающее вероятность того, что пользователь рассылает нежелательную почту или выполняет другие вредоносные действия. Вам необходимо настроить пороговое значение для блокировки по уровню репутации отправителя, чтобы указать значение уровня репутации, при котором отправитель будет заблокирован. По умолчанию пороговое значение для блокировки равно 7, что означает, что отправители с уровнями репутации 7, 8 или 9 будут заблокированы. Рекомендуется отслеживать эффективность функции репутации отправителей и агента анализа протокола на уровне по умолчанию.The SRL is a number from 0 through 9 that predicts the probability that a specific sender is a spammer or otherwise malicious user. You need to set an SRL threshold for sender blocking to specify the SRL value that causes sender reputation to block a sender. By default, the SRL block threshold is 7, which means senders that have an SRL of 7, 8 or 9 are blocked.. You should monitor the effectiveness of sender reputation and the Protocol Analysis agent at the default level.

Если уровень репутации отправителя достигает или превышает пороговое значение для блокировки, агент репутации на пограничном транспортном сервере добавляет его в список заблокированных IP-адресов агента фильтрации подключений. Иногда пользователи рассылают пакеты нежелательной почты от имени одного отправителя. В этом случае, если вычисленный уровень репутации отправителя превышает пороговое значение для блокировки, отправитель добавляется в список заблокированных отправителей на определенный срок (по умолчанию — 24 часа). Через 24 часа отправитель удаляется из списка заблокированных отправителей и снова может отправлять сообщения.On an Edge Transport server, if the SRL block threshold is met or exceeded by a particular sender, sender reputation adds the sender to the IP Block list on the Connection Filtering agent. Sometimes, spammers send batches of spam from a single sender. In this scenario, if sender reputation calculates an SRL that exceeds the SRL block threshold, the sender is added to the Sender Block List for a configurable duration of time. The default duration is 24 hours. After 24 hours, the sender is removed from the Sender Block List and can send messages again.

При добавлении отправителя в список блокировок IP-адресов агент репутации отправителя удаляет профиль отправителя. Агент репутации отправителя удаляет этот профиль, поскольку в существующем профиле заблокированного отправителя указано, что уровень репутации отправителя превышает пороговое значение для блокировки по уровню репутации отправителя. В противном случае заблокированный отправитель был бы вновь добавлен в список блокировок IP-адресов по окончании периода блокировки отправителя.When a sender is added to the IP Block list, sender reputation deletes the profile for the sender. Sender reputation deletes the profile because the blocked sender's existing profile indicates that the sender's SRL exceeds the SRL block threshold. This would cause the blocked sender to be added to the IP Block list again as soon as the duration for sender blocking ends.

Дополнительные сведения о настройке блокирования отправителя см в разделе процедуры репутации отправителя.For more information about how to configure sender blocking, see Sender reputation procedures.