Новая серверная роль системы Exchange Server 2007 — сервер пограничной обработки Edge Transport — наделена встроенными функциями фильтрации, в частности средствами фильтрации соединений, фильтрации контента, фильтрации вложений, фильтрации отправителей и получателей, идентификаторами отправителей и правилами транспортировки.
К числу достоинств серверной роли Edge Transport системы Exchange Server 2007 относится интеграция с Active Directory (AD) и Microsoft Outlook, однако эта роль не имеет некоторых средств проверки сообщений, которые могут потребоваться на крупных предприятиях.
По мере того как базирующиеся в Internet службы обмена сообщениями и совместной работы получают все более широкое распространение, усиливается угроза со стороны вредоносных программ. Чтобы защитить инфраструктуру организации, обеспечивающую обмен сообщениями и совместную работу, необходимо реализовать тот или иной механизм проверки сообщений. Начиная с версии Exchange 2000 Server корпорация Microsoft шаг за шагом реализует в системе Exchange все новые средства проверки сообщений. В Exchange Server 2007 была введена особая серверная роль — Edge Transport, предназначенная для осуществления проверки сообщений и организации служб маршрутизации на периферийных участках внутренней сети компании. Чтобы получить представление о роли Edge Transport, читателям следует познакомиться с архитектурой сервера пограничной обработки, а также со средствами фильтрации спама и контента. Освоив эти функции, вы сможете определить, обладает ли реализованная на базе роли Edge Transport служба проверки сообщений Exchange 2007 достаточными возможностями для того, чтобы заменить использующуюся в компании систему проверки сообщений от независимых поставщиков.
Exchange как проверяющий
Как правило, компании реализуют службы проверки сообщений на периметре своих сетей — например, в демилитаризованной зоне (DMZ). Такой подход объясняется просто: чем раньше в потоке входящей почты будут выявлены вредоносные программы, тем лучше. При фильтрации почты на ранних стадиях повышается уровень защиты системы, ибо таким образом осуществляется изоляция опасных программ и предотвращается их проникновение на внутренние серверы. К тому же надо иметь в виду, что фильтрация почты приводит к сокращению общего числа сообщений, поступающих в организацию. Таким образом, службы проверки сообщений в DMZ снижают нагрузку на внутренние серверы обмена сообщениями.
Предшествующие версии Exchange нельзя было назвать высокоэффективными средствами реализации служб проверки сообщений в DMZ. Тому было несколько причин. Первая и самая важная из них: в системе Exchange для хранения данных конфигурации обмена сообщениями, а также пользовательских данных (сведений об отправителе и получателе) применяется служба Active Directory (AD). Если сотрудники той или иной организации захотят реализовать службы проверки сообщений на базе Exchange, им придется развертывать сервер AD в DMZ. А это означает, что организация должна открыть свой внутренний каталог внешнему миру, что неразумно с точки зрения безопасности. Чтобы обойти это препятствие, нужно развернуть в DMZ отдельный лес AD, но для этого требуется механизм синхронизации параметров фильтрации (таких, как почтовые адреса внутренних получателей) между внутренним каталогом AD и каталогом AD демилитаризованной зоны. Другая возможность — часто используемая и реализуемая с большей легкостью — состоит в применении средств проверки сообщений, созданных не специалистами Microsoft, а другими фирмами, которые не используют ресурсы службы AD.
В системе Exchange 2007 проблема зависимости от AD решается следующим образом. Сервер Edge Transport получает возможность использования каталога Active Directory Application Mode (ADAM) для хранения данных о конфигурации и о получателях. Кроме того, в системе реализован легко настраиваемый механизм синхронизации EdgeSync между расположенным в DMZ экземпляром ADAM и внутренней службой AD компании. ADAM — это автономный каталог на базе протокола LDAP; в отличие от каталога AD, организации могут использовать его, не развертывая полную инфраструктуру домена Windows.
Еще одна причина того, что Exchange не был примером удачной реализации служб проверки сообщений на базе DMZ, состоит в том, что на фоне служб, реализованных в таких специализированных решениях, как Symantec Mail Security, Tumbleweed MailGate или даже бесплатно предоставляемая служба Postfix на базе UNIX, службы проверки сообщений предшествующих версий Exchange имели весьма ограниченный набор возможностей. Список средств фильтрации спама и контента, реализованных в различных версиях Exchange, приводится в таблице. Однако в Exchange 2007 имеются важные дополнительные средства для фильтрации спама и контента, которые позволяют этой версии конкурировать с завоевавшими хорошую репутацию средствами проверки сообщений от независимых поставщиков.
Хотя основное внимание в статье сосредоточено на новых службах фильтрации спама и контента, реализованных в роли Edge Transport системы Exchange 2007, хочу упомянуть о нескольких дополнительных службах, разработанных специалистами Microsoft; не исключено, что вы захотите рассмотреть вопрос о возможном их включении в инфраструктуру проверки сообщений. Прежде всего, надо отметить, что корпорация Microsoft поставляет продукт Microsoft Forefront Security for Exchange Server (ранее известный как продукт Antigen компании Sybari). Это изделие предназначено для проверки на наличие вирусов и фильтрации спама. Microsoft включает Forefront Security for Exchange Server в комплект поставки Exchange 2007, не требуя дополнительной оплаты от тех клиентов, которые приобрели лицензию Enterprise Client Access License (CAL) и заключили с Microsoft соглашение на использование большого числа экземпляров системы. Дополнительные сведения о лицензиях Exchange 2007 CAL можно найти по адресу http://www.microsoft.com/exchange/evaluation/editions.mspx .
Кроме того, в рамках лицензии Enterprise CAL Microsoft предлагает организованную внешними подрядчиками службу проверки сообщений Exchange Hosted Filtering (ранее эта служба была частью FrontBridge Technologies). Данная служба может быть приемлемой альтернативой для небольших организаций, а также для организаций, не желающих управлять собственной инфраструктурой проверки сообщений или обслуживать ее.
Службы фильтрации спама и контента
Анализируя различные части почтовых сообщений, службы фильтрации спама и контента сервера пограничной обработки определяют, следует ли блокировать то или иное сообщение либо пропустить его полностью или частично через шлюз сообщений Edge Transport. Роль Edge Transport поддерживает функции фильтрации спама и контента, которые перечислены в виде сводки в таблице.
Порядок, в котором эти службы перечислены, соответствует принимаемому по умолчанию порядку обработки ими новых почтовых сообщений, поступивших в почтовый шлюз Edge Transport.
Средства фильтрации соединений сверяют IP-адрес сервера, отправляющего почтовые сообщения, со списками санкционированных и заблокированных IP-адресов, чтобы принять решение о дальнейших действиях применительно к тому или иному сообщению. Средства фильтрации соединений могут использоваться совместно со списками Realtime Blackhole Lists, RBL. Это списки IP-адресов и доменов, о которых известно, что они генерируют почтовый «мусор». Списки RBL обслуживаются и распространяются специализированными поставщиками оперативных услуг, такими как служба MAPS компании Trend Micro (http://www.mail-abuse.com ).
Средства фильтрации отправителей сверяют адрес отправителя сообщения со списком заблокированных отправителей с целью принятия решения о дальнейших действиях применительно к данному сообщению.
Средства фильтрации получателей сверяют адрес получателя сообщения со списком заблокированных получателей и с каталогом внутренних получателей организации с целью принятия решения о дальнейших действиях применительно к данному сообщению.
Средства проверки репутации отправителя определяют вероятность того, что отправитель сообщения является спамером. По итогам этих исследований служба проверки репутации отправителя присваивает отправителю рейтинг уровня репутации (Sender Reputation Level, SRL). Если рейтинг SRL превосходит определенное пороговое значение, отправитель на заранее определенный период времени (по умолчанию — на 24 часа) включается в список заблокированных отправителей.
Назначение службы идентификации отправителей (Sender ID) — борьба с подменой имен доменов. В прошедшем через руки организаторов спуфинг-атаки сообщении электронной почты имя домена отправителя изменяется таким образом, чтобы создать впечатление, будто сообщение поступило не из того домена, из которого оно было отправлено на самом деле. Чтобы проверить правильность имени домена почтового сообщения, служба идентификации отправителей запрашивает запись DNS SPF (Sender Policy Framework), ассоциированную с именем домена отправителя.
Служба правил Edge Transport (Edge Transport rules) позволяет администраторам определять правила транспортировки, в соответствии с которыми сообщения проходят через фильтр или отбраковываются в зависимости от свойств сообщения или его контента. Правила транспортировки могут быть полезны при вспышках вирусной активности или при резкой активизации деятельности спамеров. Правила транспортировки могут блокировать вредоносное программное обеспечение даже в ситуациях, когда сигнатуры спама или вирусов еще не были обновлены.
Средства фильтрации контента исследуют содержимое сообщения и проверяют его рейтинг уровня принадлежности к спаму, spam confidence level (SCL). Контент анализируется с помощью интеллектуального фильтра сообщений Microsoft Exchange Intelligent Message Filter (IMF), который реализует логику, позволяющую различать характеристики легитимных сообщений электронной почты, с одной стороны, и спама — с другой. Новое свойство фильтра контента — поддержка функции карантина для спама. Это прекрасное средство, позволяющее свести к минимуму число ложных срабатываний при выявлении почтового «мусора». Ложные срабатывания случаются, когда фильтр спама ошибочно относит к категории спама сообщение, поступившее от легитимного отправителя. При получении входящих сообщений, которые имеют некоторый определяемый администратором рейтинг SCL, реализованная в Exchange 2007 функция карантина не удаляет эти сообщения, а направляет их в особый почтовый ящик. В результате администраторы получают возможность выполнить вторую проверку внушающих подозрение сообщений (на этот раз вручную), чтобы либо пропустить их в почтовый ящик получателя, либо окончательно удалить.
Средства фильтрации вложений позволяют администраторам определять конкретные действия на основе анализа файлов, присоединенных к почтовым сообщениям. По умолчанию предусматривается отсоединение присоединенного файла и «добро» на доставку сообщения получателю. Администраторы могут настраивать сервер Edge таким образом, чтобы как сообщения, так и вложения блокировались или удалялись.
Работая с входящей в систему Exchange 2007 консолью управления Exchange Management Console, вы наверняка обратите внимание на то, что службы фильтрации спама и контента реализованы в виде транспортных агентов (transport agents). Между тем в версиях Exchange 2003 и Exchange 2000 эти службы реализованы как транспортные приемники (transport sinks). Из консоли пользователь может запускать и отключать транспортные агенты, а также их свойства; имеющие отношение к борьбе со спамом транспортные агенты перечислены на вкладке консоли Anti-spam, как показано на экране 1, для сервера Exchange с именем Edge.
Надо сказать, что агенты фильтрации соединений и фильтрации вложений не отображаются на вкладке консоли Anti-spam. Агент фильтрации вложений представлен четырьмя другими отображаемыми на вкладке «подагентами»: список разрешенных IP-адресов (IP Allow List), провайдеры разрешенных IP-адресов (IP Allow List Providers), список блокируемых IP-адресов (IP Block List) и провайдеры блокируемых IP-адресов (IP Block List Providers). Настройка агента фильтрации вложений осуществляется только из командной строки с помощью оболочки управления Exchange Management Shell. Дополнительные сведения о настройке фильтра вложений можно найти в документации Exchange 2007, опубликованной по адресу http://technet.microsoft.com/en-us/library/aa997139.aspx . Кстати, обратите внимание на то, что на экране 1 агент службы правил Edge не представлен на вкладке консоли Anti-spam; дело в том, что служба правил Edge настраивается на вкладке правил транспортировки Transport Rules.
Что может Edge Transport…
Давайте посмотрим, какими возможностями с точки зрения проверки сообщений располагает серверная роль Edge Transport и, соответственно, каких возможностей она не имеет. Этот анализ поможет ответить на вопрос, будут ли встроенные функции системы Exchange 2007 соответствовать потребностям конкретной компании.
Роль Edge Transport может быть встроена во внутреннюю структуру Exchange организации. С другой стороны, ее можно развернуть в автономном режиме. Так, компании могут использовать автономный сервер Edge Transport для организации Exchange 2003 или Exchange 2000. Тем же, кто хочет интегрировать сервер пограничной обработки с внутренней почтовой организацией и AD, необходимо определить подписку на Edge Transport. Подписка на Edge Transport позволяет серверу пограничной обработки превращаться в виртуальную часть организации Exchange. Кроме того, она позволяет осуществлять одностороннюю синхронизацию конфигурации и данных о получателях между AD и экземпляром ADAM сервера Edge Transport (для этого используется процесс EdgeSync), а также маршрутизацию почтового трафика между сервером пограничной обработки и внутренней организацией Exchange (подписка на Edge Transport автоматически создает коннекторы Exchange для отправки и получения сообщений). Наряду с этим подписка на Edge Transport обеспечивает отображение сервера пограничной обработки в интерфейсах системы управления организации Exchange; к примеру, администратор получает возможность настраивать сервер Edge Transport из того же представления панели управления Exchange, которое используется для настройки всех остальных серверов Exchange компании.
Под функцией объединения белых списков Exchange 2007 и Edge Transport понимается новая служба, которая предоставляет реализованным на сервере пограничной обработки средствам фильтрации спама и контента возможность оперировать сведениями о надежных отправителях и контактах, которые внесены пользователями Microsoft Office Outlook 2007 и Outlook 2003. Надежные отправители — это адреса электронной почты и имена доменов, из которых пользователь Outlook хочет получать почтовые сообщения. Пользователи могут настраивать их на вкладке Safe Senders окна Junk E-mail Options программ Outlook 2007/2003, как показано на экране 2. Предоставляя эти сведения серверу Edge Transport, можно получить два важных преимущества. Во-первых, таким образом с почтовых серверов Exchange снимается часть нагрузки по обработке и хранению данных. Поскольку объем контента, подлежащего фильтрации на сервере Edge Transport, увеличивается, то уменьшается объем работы, выполняемой почтовыми серверами, а папки пользователей, предназначенные для хранения почтового «мусора», занимают меньше места. Во-вторых, это позволяет сократить количество ложных срабатываний; сообщение, ранее блокировавшееся сервером пограничной обработки, теперь пропускается, так как имя отправителя сообщения, к примеру, указано в составленном внутренним пользователем списке надежных отправителей.
При объединении белых списков используется команда Exchange Management Shell, Update-Safelist, которая обеспечивает синхронизацию данных белого списка между почтовым сервером Exchange пользователя и AD, а также служба EdgeSync, которая отвечает за перенесение хранящихся в AD данных белого списка в экземпляр ADAM Edge Server. Важно отметить, что объединение белых списков возможно только при условии подписки на Edge Transport; при использовании автономных серверов пограничной обработки такое объединение не производится.
Система Exchange Server 2007 позволяет задействовать инфраструктуру Microsoft Update (http://update.microsoft.com/microsoftupdate/v6/muoptdefault.aspx? ), чтобы вручную или в автоматическом режиме обновлять процессоры фильтрации спама и контента сервера Edge Transport. Клиентам, получившим лицензии CAL, Microsoft предлагает чаще выпускаемые и более разнообразные обновления фильтров спама и контента на базе Microsoft Update. По условиям лицензии Enterprise CAL фильтры контента обновляются ежедневно; лицензия Standard CAL предполагает запуск обновлений каждые две недели. Кроме того, клиенты, купившие лицензию Enterprise CAL, могут в автоматическом режиме получать обновления сигнатур спама и IP. Дополнительные сведения о том, как настраиваются обновления фильтров для спама и контента, можно найти в блоге Microsoft Exchange Team по адресу http://msexchangeteam.com/archive/2007/01/03/432050.aspx .
…И чего не может
Разумеется, серверной роли Edge Transport присущи некоторые недостатки. Так, подписаться на тот или иной сервер Edge Transport может только одна организация Exchange. Это ограничение способно вызывать осложнения при слиянии и приобретении коммерческих структур, когда может возникнуть необходимость в подписке на сервер Edge Transport со стороны нескольких организаций.
В случаях, когда сервер пограничной обработки развертывается в автономном режиме и создается пул автономных серверов пограничной обработки с целью обеспечения отказоустойчивости и производительности, серверная роль Edge Transport не может использовать встроенный механизм синхронизации ADAM для синхронизации своих данных о конфигурации между различными экземплярами Edge Transport. При использовании такой схемы автономных серверов пограничной обработки данные конфигурации необходимо обновлять с помощью механизма экспорта/импорта на базе файла XML.
Реализованная в Edge Transport функция фильтрации вложений не предполагает применения различных действий к разным типам вложений. Если функция фильтрации вложений активизирована, администратор может применить только одно действие ко всем типам вложений. Например, если фильтрации подвергаются как вложения *.exe, так и вложения *.zip, администратор не может применить к вложениям первого типа действие «удалить сообщение и вложение», а к вложениям второго типа — действие «пропустить сообщение и отсоединить вложение».
Решение для среды Exchange?
Реализованная в системе Exchange 2007 серверная роль Edge Transport представляет собой эффективное решение, обеспечивающее проверку сообщений и маршрутизацию для клиентов, которые эксплуатируют системы Exchange, но пока не развернули мощных средств проверки сообщений по периметру сетей. Для не столь масштабных организаций роль Edge Transport может быть достойным внимания вариантом, так как роль сервера пограничной обработки интегрирована в систему Exchange Server 2007 и для его эксплуатации не требуются дополнительные программные лицензии. С другой стороны, вероятность того, что крупные предприятия, уже эксплуатирующие полнофункциональные средства проверки сообщений, перейдут на Edge Transport в процессе модернизации своих инфраструктур для обмена сообщениями до уровня Exchange 2007, довольно мала, поскольку имеющиеся у них средства уже обеспечивают полный набор инструментов для проверки сообщений.
Жан де Клерк - член Security Office корпорации HP. Специализируется на проблемах управления идентичностью и вопросах безопасности продуктов Microsoft. jan.declercq@hp.com