Защита защиты от спама в Exchange ServerAntispam protection in Exchange Server

** Отправители нежелательной почты или вредоносные отправители используют различные методы для отправки нежелательной почты в организацию.Spammers, or malicious senders, use a variety of techniques to send unwanted email into your organization. Не существует единого средства или процесса, с помощью которого можно устранить весь спам.No single tool or process can eliminate all spam. Тем не менее в Microsoft Exchange реализован многоуровневый и многогранный подход к сокращению количества таких сообщений.However, Microsoft Exchange provides a layered, multifaceted approach to reducing these unwanted messages. Exchange использует агенты транспорта для обеспечения защиты защиты от спама, а встроенные агенты, доступные в Exchange Server 2016 и Exchange Server 2019, относительно неизменны в Exchange Server 2010.Exchange uses transport agents to provide antispam protection, and the built-in agents that are available in Exchange Server 2016 and Exchange Server 2019 are relatively unchanged from Exchange Server 2010. В Exchange 2016 и Exchange 2019 конфигурация и управление этими агентами доступны только в командной консоли Exchange.In Exchange 2016 and Exchange 2019, configuration and management of these agents is available only in the Exchange Management Shell.

Чтобы получить дополнительные функции защиты от нежелательной почты и упростить управление, вы можете приобрести службу Exchange Online Protection (EOP), входящую в состав Microsoft Office 365. Дополнительные сведения о защите от нежелательной почты в Office 365 см. в статье Защита от спама в Office 365.For more antispam features and easier management, you can purchase Exchange Online Protection (EOP) that's part of Microsoft Office 365. To learn more about Office 365 antispam protection, see Office 365 Email antispam Protection.

Агенты защиты от нежелательной почты на серверах почтовых ящиковAntispam agents on Mailbox servers

Как правило, агенты защиты от нежелательной почты включаются на серверах почтовых ящиков, если в организации нет пограничного транспортного сервера или не выполняется дополнительная фильтрация входящих сообщений. Дополнительные сведения см. в статье Включение функции защиты от спама на серверах почтовых ящиков.Typically, you enable the antispam agents on a Mailbox server if your organization doesn't have an Edge Transport server, or if it doesn't do other antispam filtering on incoming messages. For more information, see Enable antispam functionality on Mailbox servers.

Как и всем агентам транспорта, каждому агенту защиты от нежелательной почты назначается значение приоритета. Чем ниже значение, тем выше приоритет, поэтому агент с приоритетом 1 обычно применяется к сообщению раньше агента с приоритетом 9. Тем не менее событие SMTP транспортного конвейера, в котором зарегистрирован агент, также очень важно для определения порядка, в котором агент защиты от нежелательной почты обрабатывает сообщения. Агент с низким приоритетом, зарегистрированный на более раннем этапе транспортного конвейера, выполняется перед агентом с высоким приоритетом, который был зарегистрирован в транспортном конвейере позже.Like all transport agents, each antispam agent is assigned a priority value. A lower value indicates a higher priority, so typically, an antispam agent with priority 1 acts on a message before an antispam agent with priority 9. However, the SMTP event in the transport pipeline where the antispam agent is registered is also very important in determining the order that antispam agent acts on messages. A low priority antispam agent that's registered early in the transport pipeline acts on messages before a high priority antispam agent that's registered later in the transport pipeline.

С учетом значения приоритета агента по умолчанию и события SMTP, в котором он зарегистрирован, агенты защиты от нежелательной почты применяются к сообщениям на серверах почтовых ящиков в следующем порядке:Based on the default priority value of the agent and the SMTP event where the agent is registered, this is the order that the antispam agents are applied to messages on Mailbox servers:

  1. Агент фильтра отправителей: Фильтрация отправителей сравнивает сервер отправки со списком отправителей или доменов отправителей, которым запрещено отправлять сообщения в организацию.Sender Filter agent: Sender filtering compares the sending server to a list of senders or sender domains that are prohibited from sending messages to your organization. Более подробную информацию можно узнать в статье Фильтрация отправителей.For more information, see Sender filtering.

  2. Агент идентификатора отправителя: идентификатор отправителя использует IP-адрес сервера-отправителя и предполагаемый адрес (PRA) отправителя, чтобы определить, подделана ли адрес электронной почты для отправки сообщения.Sender ID agent: Sender ID relies on the IP address of the sending server and the Purported Responsible Address (PRA) of the sender to determine whether the sending email address is spoofed. Дополнительные сведения см. в разделе Sender ID.For more information, see Sender ID.

  3. Агент фильтра содержимого: агент фильтрации содержимого задает для каждого сообщения уровень вероятности нежелательной почты (SCL), основанный на данных от легальных и нежелательных сообщений.Content Filter agent: Content filtering agent assigns a spam confidence level (SCL) to each message based on data from legitimate and spam messages. Более подробную информацию можно узнать в статье Фильтрация содержимого.For more information, see Content filtering.

    Карантин спама — это компонент агента фильтра содержимого, снижающий риск потери подлинных сообщений, ошибочно определенных как спам.Spam quarantine is a component of the Content Filter agent that reduces the risk of losing legitimate messages that are incorrectly classified as spam. Он представляет собой временное место хранения для подозрительных сообщений, где их может проверить администратор.Spam quarantine provides a temporary storage location for suspicious messages so an administrator can review the messages. Дополнительные сведения см в разделе Карантин нежелательной почты в Exchange Server.For more information, see Spam quarantine in Exchange Server.

    При фильтрации содержимого также используется функция объединения списков надежных отправителей.Content filtering also uses the safelist aggregation feature. Объединение списков надежных отправителей собирает данные безопасных списков, которые пользователи настроили в Microsoft, Outlook и Outlook в Интернете, и обеспечивают доступность этих сведений для агента фильтра содержимого.Safelist aggregation collects safe list data that users configure in Microsoft, Outlook, and Outlook on the web and makes this information available to the Content Filter agent. Для получения дополнительных сведений см Объединение списков надежных отправителей.For more information, see Safelist aggregation.

  4. Агент анализа протокола (репутация отправителя): агент анализа протокола — это агент, обеспечивающий репутацию репутации отправителя.Protocol Analysis agent (sender reputation): The Protocol Analysis agent is the agent that provides sender reputation. Он выполняет ряд проверок, чтобы вычислить уровень репутации отправителя (SRL) для входящих сообщений, по которому затем определяется действие, выполняемое с этими сообщениями.Sender reputation uses several tests to calculate a sender reputation level (SRL) on incoming messages that determines the action to take on those messages. Дополнительные сведения см. в разделе Sender reputation and the Protocol Analysis agent.For more information, see Sender reputation and the Protocol Analysis agent.

Агенты защиты от нежелательной почты на пограничных транспортных серверахAntispam agents on Edge Transport servers

Если в сети периметра организации установлен пограничный транспортный сервер, на нем устанавливаются и по умолчанию включаются все агенты защиты от нежелательной почты, доступные серверу почтовых ящиков. Однако следующие агенты доступны только на пограничных транспортных серверах:If your organization has an Edge Transport server installed in the perimeter network, all of the antispam agents that are available on a Mailbox server are installed and enabled by default on the Edge Transport server. However, the following antispam agents are available only on Edge Transport servers:

  • Агент фильтрации подключений: фильтрация подключений использует список заблокированных IP-адресов, список разрешенных IP-адресов, поставщиков черного списка IP-адресов и поставщиков белого списка IP-адресов, чтобы определить, следует ли заблокировать или разрешить подключение.Connection Filtering agent: Connection filtering uses an IP block list, IP allow list, IP block list providers, and IP allow list providers to determine whether a connection should be blocked or allowed. Для получения дополнительных сведений см Фильтрация подключений на пограничных транспортных серверах.For more information, see Connection filtering on Edge Transport servers.

  • Агент фильтра получателей: при фильтрации получателей для определения сообщений, которые не могут входить в организацию, используется список заблокированных получателей.Recipient Filter agent: Recipient filtering uses a recipient block list to identify messages that aren't allowed to enter the organization. Фильтр получателей также использует локальный каталог получателей для отклонения сообщений, отправляемых недопустимым получателям.The recipient filter also uses the local recipient directory to reject messages sent to invalid recipients. Дополнительные сведения можно найти в разделе Фильтрация получателей на пограничных транспортных серверах.For more information, see Recipient filtering on Edge Transport servers.

    Примечание

    Хотя агент фильтрации получателей доступен на серверах почтовых ящиков, его не следует настраивать. Если при фильтрации получателей на сервере почтовых ящиков в сообщении обнаруживается по крайней мере один недопустимый или заблокированный получатель, сообщение отклоняется. Агент фильтрации получателей включается, когда вы устанавливаете агенты защиты от нежелательной почты на сервере почтовых ящиков. Однако он не блокирует получателей.Although the Recipient Filter agent is available on Mailbox servers, you shouldn't configure it. When recipient filtering on a Mailbox server detects one invalid or blocked recipient in a message that contains other valid recipients, the message is rejected. The Recipient Filter agent is enabled when you install the antispam agents on a Mailbox server, but it isn't configured to block any recipients.

  • Агент фильтрации вложений: Фильтрация вложений блокирует сообщения или вложения на основе имени файла вложения, расширения или типа контента MIME.Attachment Filtering agent: Attachment filtering blocks messages or attachments based on the attachment file name, extension, or MIME content type. Дополнительную информацию можно узнать в статье фильтрация вложений на пограничных транспортных серверах.For more information, see Attachment filtering on Edge Transport servers.

С учетом заданного по умолчанию значения приоритета агента и события SMTP транспортного конвейера, в котором зарегистрирован этот агент, агенты защиты от нежелательной почты применяются к сообщениям на пограничном транспортном сервере в следующем порядке:Based on the default priority value of the antispam agent, and the SMTP event in the transport pipeline where the agent is registered, this is the order that the antispam agents are applied to messages on Edge Transport servers:

  1. Агент фильтрации подключенийConnection Filtering agent

  2. Агент фильтра отправителейSender Filter agent

  3. Агент фильтра получателейRecipient Filter agent

  4. Агент идентификации отправителейSender ID agent

  5. Агент фильтра содержимогоContent Filter agent

  6. Агент анализа протокола (репутация отправителя)Protocol Analysis agent (sender reputation)

  7. Агент фильтрации вложенийAttachment Filtering agent

Метки нежелательной почтыAntispam stamps

Метки нежелательной почты применяются к сообщениям и используются агентами защиты от нежелательной почты.Antispam stamps are applied to messages and are used by the antispam agents. Вы можете просматривать метки нежелательной почты, чтобы выявлять проблемы, связанные со спамом.You can view the antispam stamps to help you diagnose spam-related problems. Дополнительные сведения см. в разделе Метки защиты от спама.For more information, see Antispam stamps.

Стратегия защиты от нежелательной почтыStrategy for antispam approach

Защита от нежелательной почты — это баланс между блокированием нежелательных сообщений и разрешением подлинных. Если настроить слишком много функций строгой защиты от нежелательной почты, высока вероятность блокировки множества подлинных сообщений (ложных срабатываний). Если же сделать защиту слишком свободной, в организацию будет проникать много спама.Antispam is a balancing act between blocking unwanted messages and allowing legitimate messages. If you configure the antispam features too aggressively, you'll likely block too many legitimate messages (false positives). If you configure the antispam features too loosely, you likely allow too much spam into your organization.

Ниже приводятся некоторые рекомендации, которые следует учитывать при настройке встроенных функций защиты от нежелательной почты в Exchange.These are some best practices to consider when configuring the built-in antispam features in Exchange:

  • Отклоняйте сообщения, обнаруженные агентом фильтра подключений, агентом фильтрации получателей и агентом фильтрации отправителей. Не помещайте их в карантин и не применяйте к ним метки нежелательной почты. Этот подход рекомендуется по следующим причинам:Reject messages that are identified by the Connection Filtering agent, Recipient Filter agent, and Sender Filter agent rather than quarantining the messages or applying antispam stamps. This approach is recommended for these reasons:

    • Как правило, сообщения, обнаруженные при использовании параметров по умолчанию для фильтрации подключений, получателей и отправителей, можно считать нежелательными без дальнейших проверок.Messages that are identified by the default settings of the connection filtering, recipient filtering, or sender filtering typically don't require further tests to determine if they're unwanted. Например, если для фильтрации отправителей настроена блокировка определенных отправителей, нет необходимости продолжать обработку сообщений от этих отправителей.For example, if you configured sender filtering to block specific senders, there's no reason to continue to process messages from those senders. (Если вы не хотите, чтобы сообщения были отклонены, вы не поместили их в список заблокированных отправителей).(If you didn't want the messages rejected, you wouldn't have put them on the blocked senders list).

    • Настройка более агрессивного уровня для агентов защиты от спама, по сообщения на ранних стадиях транспортного конвейера, экономит ресурсы обработки, пропускной способности и дисковые ресурсы.Configuring a more aggressive level for the antispam agents that encounter messages early in the transport pipeline saves processing, bandwidth, and disk resources. Чем дальше сообщение проходит по транспортному конвейеру, тем больше переменных приходится учитывать оставшимся компонентам защиты от нежелательной почты, чтобы успешно определить сообщение как спам.The farther in transport pipeline a message travels, the greater number of variables that the remaining antispam features need to evaluate to successfully identify the message as spam. Отклоняйте очевидный спам как можно раньше, чтобы оставить время для подозрительных сообщений.Reject obvious messages early so you can process ambiguous messages later.

  • Необходимо отслеживать эффективность функций защиты от нежелательной почты на их текущих уровнях конфигурации. Мониторинг позволяет реагировать на тенденции, а также повышать и понижать интенсивность защиты. Для начала следует использовать параметры по умолчанию, чтобы свести к минимуму число ложных срабатываний. По мере отслеживания количества спама и ложных срабатываний вы можете повышать интенсивность защиты в зависимости от типов спама и атак, наблюдаемых в организации.You need to monitor the effectiveness of the antispam features at their current configuration levels. Monitoring allows you to react to trends and increase or decrease the aggressiveness of the settings. You should start with the default settings to minimize the number of false positives. As you monitor the amount of spam and false positives, you can increase the aggressiveness of the settings based on the type of spam and spam attacks that your organization experiences.

См. такжеSee also

Защиты от спама Защита электронной почты Office 365Office 365 email antispam protection