Новые средства управления контентом для защиты лесов от спама
В ходе рекламной кампании Exchange Server 2007 представители Microsoft подчеркивают, что реализованные в этой версии средства фильтрации и управления контентом подверглись существенной переработке. Набор инструментов для борьбы со спамом и фишингом именуется теперь «средствами гигиены сообщений». На первый взгляд функции гигиены сообщений Exchange 2007 во многом напоминают соответствующие инструменты системы Exchange Server 2003. В обеих системах имеются интегрированные фильтры для выявления спама, встроенные интерфейсы для проверки на наличие вирусов, а также множество функций защиты содержимого сообщений, включая средства блокирования или разрыва соединений в соответствии с исходным IP-адресом, именем отправителя или получателя. Отличие Exchange 2007 от Exchange 2003 состоит в том, что в новой версии реализован ряд модификаций, которые стоит обсудить подробнее. В этой статье мы рассмотрим некоторые из них и затронем вопрос о том, как эти изменения могут повлиять на планы развертывания Exchange 2007.
Edge Server
Пожалуй, самое заметное отличие средств гигиены систем Exchange 2003 и Exchange 2007 сводится к тому, что в последней версии реализована серверная роль, предназначенная исключительно для обеспечения гигиены сообщений. Роль транспортного пограничного сервера Edge Server (или просто Edge) — это особая роль Exchange, которую следует устанавливать на сервере, не содержащем других серверных ролей; роль Edge была разработана для того, чтобы обеспечить отдельную систему для обработки входящей почты. Эта стратегия полностью себя оправдывает, поскольку роль Edge была разработана с явным расчетом на формирование минимальной поверхности атаки, контактирующей напрямую с Internet-трафиком.
Если ранее представители Microsoft не советовали устанавливать интерфейсные серверы Exchange 2003 на сетевом периметре или в демилитаризованных зонах (demilitarized zone, DMZ), то применительно к Exchange 2007 они как раз рекомендуют устанавливать Edge-серверы именно в данной конфигурации. При этом логика специалистов Microsoft следующая. Для функционирования интерфейсных серверов Exchange 2003 требуется, чтобы ряд дополнительных портов был открыт для внутренних серверов. Совсем другое дело — сервер Edge. Он не должен быть членом домена (более того, эту систему невозможно установить в лесу, содержащем серверы, которые не относятся к категории Edge Exchange); иначе говоря, хакеру, взломавшему Edge-сервер, будет не так просто использовать это достижение для успешной атаки на домен. Кроме того, в комплект Exchange 2007 входит вспомогательная программа для подключения мастера Windows Security Configuration Wizard (SCW), который автоматизирует процесс усиления сервера Edge, с тем чтобы его можно было свободно использовать в ситуациях прямого выхода в Internet.
Тогда возникает вопрос: каким образом Edge-сервер может извлечь из Active Directory (AD) данные о получателях? Очевидно, что без этих сведений невозможно функционирование средств фильтрации, базирующихся на данных о получателе. В таком случае может помочь нечасто используемая служба Active Directory Application Mode (ADAM). Она предоставляет серверу возможность хранить неполную копию глобального каталога AD (AD Global Catalog, GC) для леса, в который этот сервер не входит. В данном случае Edge-сервер запускает службу ADAM вместе с новым средством EdgeSync, которое выполняется на сервере централизованной обработки (Hub Transport) внутри периметра сети. EdgeSync обеспечивает одностороннюю синхронизацию данных коннектора, а также сведений о фильтрации получателя и отправителя и о принимающих доменах в направлении от сервера централизованной обработки к серверу, исполняющему роль Edge. Следовательно, администратор должен открыть три порта TCP (порт TCP 25 для протокола SMTP, порт TCP 50389 для обычного протокола LDAP и порт TCP 50636 для защищенного протокола LDAP).
Стоит отметить, что синхронизация осуществляется между сайтами AD, а не между серверами; так что администратор не привязан к одному серверу централизованной обработки, выступающему в роли сервера-моста.
Если необходимости в применении сервера с ролью Edge нет, его можно не использовать. Cервер централизованной обработки может выполнять некоторые из тех же функций гигиены сообщений, что и сервер Edge. Эти функции реализованы в виде модулей, которые в Microsoft принято называть агентами. Однако некоторые важные функции (включая фильтрацию соединений и агент преобразования адресов) могут быть доступны только при использовании ролей серверов Edge. Во второй бета-версии Exchange 2007 допускается установка агентов гигиены сообщений с помощью сценария install-AntiSpamAgents PowerShell, включенного в комплект поставки Exchange, но неизвестно, сохранится ли эта возможность в окончательной версии.
Принимающие домены
Даже тем, кто не пользуется сервером Edge, необходимо представлять себе концепцию принимающих доменов. Это почтовые домены, для которых серверы организации должны принимать сообщения электронной почты, с целью прямой доставки или для пересылки. Принимающие домены можно уподобить определениям адресного пространства SMTP из более ранних версий Exchange, но их цели несколько различаются. Когда вы описываете домен, принимающий почту, тем самым вы создаете на уровне организации Exchange настройку, указывающую на то, что целевой домен относится к одной из трех категорий: это либо удостоверяющий домен, либо домен для пересылки внутренним адресатам, либо домен для пересылки внешним адресатам.
Удостоверяющий домен — это домен, который содержит вашу организацию Exchange. Когда вы устанавливаете первый сервер централизованной обработки, полное доменное имя (Fully Qualified Domain Name, FQDN) корневого каталога леса автоматически добавляется в качестве доверенного домена-получателя; если потребуется использовать другие домены, придется добавлять их.
Домен для пересылки внутренним адресатам — это домен, в котором вы принимаете почту для получателей, занесенных в список контактов в вашем глобальном списке адресов (Global Address List, GAL), но не имеющих собственных почтовых ящиков.
Домен для пересылки внешним адресатам — это домен, в котором вы принимаете сообщения и направляете их на особый сервер для дальнейшей маршрутизации и доставки.
Можно описать дополнительные домены на сервере централизованной обработки, который обеспечит их синхронизацию с серверами Edge в рамках обычного процесса EdgeSync. Если такой домен не задать, Edge-сервер или сервер централизованной обработки не будет принимать почту, направленную в этот домен.
Фильтрация соединений
Функции средств фильтрации в значительной мере совпадают с возможностями системы Exchange 2003, но реализованы они совершенно иначе. Агент Connection Filter, выполняемый на сервере Edge Transport, отфильтровывает (а точнее сказать, разрывает) соединения с определенными исходящими IP-адресами: если соединение входит в список IP-адресов, связь с которыми санкционирована или не санкционирована либо находится у указанного вами провайдера списков IP-адресов, фильтр выполнит соответствующее действие. Одно из полезных нововведений состоит в том, что по умолчанию фильтрации подвергаются все сообщения, не прошедшие процедуру аутентификации. Еще одно весьма полезное усовершенствование — команды, которые проверяют IP-диапазон и позволяют указанным администратором поставщикам списков проверять правильность функционирования обращенных к этим провайдерам запросов.
Фильтрация отправителей и получателей
Реализованные в системе Exchange 2007 средства фильтрации отправителей и получателей работают практически так же, как и соответствующие средства версии Exchange 2003, хотя реализованы они иначе — в виде агентов, выполняемых на серверах Edge или на серверах централизованной обработки. Одно из отличий состоит в том, что в Exchange 2003 списки доверенных отправителей индивидуальных пользователей (Safe Sender Lists) хранились локально в их почтовых ящиках, т. е. на их почтовых серверах. Система Exchange 2007 аккумулирует сведения о доверенных отправителях и обеспечивает их пересылку на Edge-сервер. Сообщения, поступающие от доверенных отправителей, помечаются как надежные, поэтому их содержимое в дальнейшем не проверяется. Средства фильтрации отправителей позволяют либо блокировать отправителей посредством сообщения о невозможности доставки (nondelivery report, NDR), либо принять поступившее сообщение и присвоить ему более высокое значение показателя spam confidence level (SCL), отражающего вероятность того, что данное сообщение является спамом. Еще одна модификация, реализованная в Exchange 2007, предусматривает применение средств фильтрации получателей лишь к тем почтовым сообщениям, которые направлены в домены, определенные как прошедшие процедуру аутентификации; таким образом исключается случайная выбраковка полноправных почтовых сообщений. Поскольку применяемый при фильтрации отправителей заголовок MAIL FROM SMTP может быть изменен посредством спуфинга, в Microsoft рекомендуют использовать агент Sender Filter только в сочетании с агентом Sender ID.
Кстати, об агенте Sender ID. Система Exchange 2007 полностью поддерживает его с сохранением тех же базовых параметров, которые предусмотрены для Exchange 2003 (дополнительные сведения о реализации этого средства в Exchange 2003 можно найти в статье «Фильтр Sender ID против рассыльщиков спама», опубликованной в № 5 нашего журнала за 2006 г.).
Для исключения отдельных получателей и доменов из процедуры проверки средствами Sender ID можно использовать задачу setSenderIDConfig из оболочки Exchange Management Shell, но исключить получателей и домены с помощью консоли управления Exchange Management Console на сегодня невозможно.
Фильтрация вложений
Весьма удачное дополнение в новой версии — агент Edge, выполняющий фильтрацию почтовых вложений. Эту операцию можно осуществлять по имени файла, расширению файла или по типу MIME; при этом пользователь может указать, что следует делать с сообщениями, содержащими заблокированное вложение: заблокировать сообщение и его вложение (в этом случае отправитель получает извещение о невозможности доставки), отделить вложение, но пропустить сообщение или без лишнего шума удалить как сообщение, так и вложенный файл. В справочном файле Exchange ясно сказано, что отделенные или заблокированные вложения восстановлению не подлежат, поэтому не следует рассчитывать на использование агента Attachment Filtering в качестве карантинного хранилища. Настройку агента Attachment Filtering необходимо осуществлять в оболочке Exchange Management Shell. Кроме того, его нужно настраивать на каждом сервере Edge или сервере централизованной обработки, где будет выполняться фильтрация; настройки фильтрации действительны лишь для соответствующего сервера.
Репутация отправителя
Еще одна новая возможность Exchange 2007 — функция оценки репутации отправителя. Ее можно определить как постоянный рейтинг, отражающий вероятность того, что тот или иной отправитель является легитимным. Сведения о репутации хранятся на постоянной основе, так что если отправитель рассылает непрошеную почту, индикатор уровня его репутации (Sender Reputation Level, SRL) повышается от 0 до 9. Когда SRL равен нулю, это гарантирует, что мы имеем дело с легитимным отправителем, а при уровне SRL, равном 9, можно с уверенностью сказать, что, скорее всего, данный отправитель — спамер. Всем новым отправителям назначается уровень репутации, равный 0. Агент начинает корректировать уровни SRL после получения от данного отправителя 20 сообщений.
Агент Exchange Sender Reputation строит свои расчеты репутации отправителя на точности обратных данных DNS для соответствующего отправителя, на том, выступает ли сервер отправителя в роли открытого ретранслятора, на точности его заголовка EHLO или HELO, а также на рейтингах SCL, построенных на основе предыдущих сообщений, полученных от того же отправителя.
Кроме того, что самое приятное, можно самим устанавливать пороговые значения для уровней SRL. Когда отправитель достигает установленного администратором порога, агент Sender Reputation поручает агенту Sender Filtering временно внести данного отправителя в список заблокированных. Те лица, чьи IP-адреса указаны в публикуемом Microsoft списке отправителей, заблокированных в связи с недопустимым уровнем их репутации, ежедневно автоматически вносятся в ваш список отправителей, заблокированных на основании SRL в тот момент, когда агент обновляет свои конфигурационные данные.
Агент Content Filter
Все агенты, о которых шла речь выше, можно представить как бусинки, нанизанные на нитку; каждый агент выполняет свою проверку, и, если сообщение проходит тест, оно передается следующему агенту. Агент Content Filter — еще одна бусинка, хотя и не совсем обычная. В сущности, он эквивалентен компоненту IMF системы Exchange 2003: этот агент может блокировать или принимать сообщения в соответствии с показателем SCL для данного сообщения. Каждый агент может корректировать этот показатель в сторону повышения или понижения в зависимости от своей оценки сообщения. Content Filter также может блокировать или отбрасывать сообщения, содержащие указанные ключевые слова или фразы; кроме того, он принимает во внимание наличие или отсутствие «электронных почтовых марок» Microsoft Office Outlook 2007 (об этом своеобразном компьютерном почтовом сборе я расскажу в одной из следующих статей).
Наряду с этим агент Content Filter использует сведения из сводного списка доверенных отправителей (Safe Sender List). В соответствии со своим названием данная функция собирает у клиентов Outlook 2007 списки доверенных отправителей и доверенных получателей (Safe Recipient Lists), публикует их в каталоге AD и делится этой информацией (посредством EdgeSync) с серверами Edge. Такая процедура позволяет системам Edge реализовывать указания пользователей относительно того, какие сообщения пропускать, а какие — блокировать, еще до того, как они поступают на почтовый сервер.
Content Filter включает средства для организации карантина, но, к сожалению, этот механизм предполагает, что просмотром и, соответственно, выпуском сообщений из карантина будет заниматься администратор. Поскольку известно, что большинство администраторов готовы заниматься чем угодно, лишь бы не просматривать поступающий другим сотрудникам спам, трудно сказать, насколько популярным окажется это средство.
Другие возможности
В арсенал реализованных в Exchange 2007 средств гигиены сообщений входит целый ряд других не столь значительных, но ценных функций. К примеру, Content Filter теперь обеспечивает автоматическую загрузку обновлений файла фильтра, а представители Microsoft пообещали выпускать эти обновления регулярнее и чаще, чем это было в случае с обновлениями Exchange 2003. Были внесены значительные изменения в механизм осуществления антивирусных проверок; так, совместимые с Exchange 2007 продукты (например, разработанный Microsoft продукт Forefront Security for Exchange) могут теперь проверять сообщения, находящиеся в очередях сервера централизованной обработки. Иначе говоря, доставку зараженных сообщений можно блокировать.