Настройка antispam в Exchange 2013


AntiSpam_img1

В новом (пока еще :)) Exchange 2013 администрирование функциями анти спама целиком и полностью, как и грозились, перешло на Powershell. Но это может расстроить только тех администраторов, которые не читают библиотеку технет, и раздел , посвященный борьбе с нежелательной почтой в Exchange  2013. Те администраторы, которые и ранее изучали соответствующие статьи, найдут для себя мало нового, а все их домашние заготовки будут работать точно так же. Итак, представим, что мы только что развернули сервер,  и еще не успели настроить защиту. Приступим, открыв консоль EMS.

& $env:ExchangeInstallPath\Scripts\Install-AntiSpamAgents.ps1

# установим встроенные анти спам агенты и обязательно перезапустим службу транспорта, чтобы они заработали

Restart-Service MSExchangeTransport

#Добавляем два-три провайдера черных списков адресов
Add-IPBlockListProvider -name bl.spamcop.net -lookupdomain bl.spamcop.net
Add-IPBlockListProvider -name zen.spamhaus.org -lookupdomain zen.spamhaus.org

Add-IPBlockListProvider -Name dnsbl.sorbs.net -LookupDomain dnsbl.sorbs.net
Add-IPBlockListProvider -Name cbl.abuseat.org -LookupDomain cbl.abuseat.org
Add-IPBlockListProvider -Name spam.dnsbl.sorbs.net -LookupDomain spam.dnsbl.sorbs.net
Add-IPBlockListProvider -Name spam.rbl.msrbl.net -LookupDomain spam.rbl.msrbl.net
Add-IPBlockListProvider -Name bl.spamcannibal.org -LookupDomain bl.spamcannibal.org
Add-IPBlockListProvider -Name psbl.surriel.com -LookupDomain psbl.surriel.com

#Настроим агентов: добавим действие для поддельных доменов, добавим ящик для карантинных писем
Set-SenderIDConfig -SpoofedDomainAction Delete
Set-SenderReputationConfig -SenderBlockingEnabled $true -SrlBlockThreshold 6 -SenderBlockingPeriod 36
Set-SenderFilterConfig -BlankSenderBlockingEnabled $true
Set-ContentFilterConfig -SCLQuarantineThreshold 6
Set-ContentFilterConfig -SCLDeleteEnabled $true
Set-ContentFilterConfig -SCLQuarantineEnabled $true -QuarantineMailbox
administrator@domain.ru
Set-ContentFilterConfig -SCLRejectEnabled $false

#Добавляем два-три провайдера белых списков адресов

Add-IPAllowListProvider -name swl.spamhaus.org -lookupdomain swl.spamhaus.org
Add-IPAllowListProvider -name iadb.isipp.com -lookupdomain iadb.isipp.com
Add-IPAllowListProvider -name query.bondedsender.org -lookupdomain query.bondedsender.org
Add-IPAllowListProvider -name hul.habeas.com -lookupdomain hul.habeas.com

#Обязательно добавим в кавычках адреса наших внутренних серверов, пересылающих почту

Set-TransportConfig -InternalSMTPServers @{Add=»»,»»…}

На что хотелось бы обратить внимание начинающих борцов со спамом:

1) Не нужно злоупотреблять RBL. Каждое письмо, встающее в SMTP сессию на ваш сервер из враждебного  мира БУДЕТ проверяться по всем спискам, которые Вы настроите. Список может работать не быстро, по этому нужно иметь ввиду и дополнительную нагрузку на сервер и, разумеется на некоторую задержку, связанную с такой проверкой. Поэтому обычно трех серверов будет более чем достаточно. В приведенных примерах можно выбрать любой понравившийся сервер.

2) Крайне тонкий политический момент: что делать с поддельными письмами. Первое: их лучше не отклонять, поскольку получив»отбойник»спамеры поймут, что за Exchange сервером сидят «живые» люди, и усилят свои нехорошие действия. Что намного более важно, так это поведение по умолчанию в настройках. Это StampStatus. Итак, мы договорились, что не будем отбивать почту, и осталось два действия на выбор: удалять или штамповать. Крайне важно здесь обсудить поведение и политику организации на уровне высшего руководства, дабы занести этот факта в протокол. Я крайне рекомендую штамповать получаемые сообщения, дабы не потерялось ОЧЕНЬВАЖНОЕПИСЬМОНАОЧЕНЬМНОГОМИЛЛИОНОВДОЛЛАРОВТЫШТОНЕПОНЯЛ для компании. Если Вы готовы принимать все письма, даже вражеские, чтобы потом решать, что с ними делать- хорошо. Это правильное поведение, но оно безусловно повысит нагрузку и на сервера, и на администраторов, и на пользователей. Если Вы не готовы забирать подозрительные письма- можете их удалять, поскольку отклонение таких писем особой пользы не даст. Если Вам кажется, что Вас завалило нежелательной почтой- то можно закрутить настройку пожёстче, выбрав -SpoofedDomainAction Delete

Вряд ли кто-то из партнеров фирмы будет яростно подделывать свои письма. Или чужие письма.

P.S. Ну и если что, статья разумеется полностью совместима с Exchange 2010 🙂

Справочные материалы:

Anti-spam and anti-malware cmdlets

https://technet.microsoft.com/ru-ru/library/aa998859(v=exchg.150).aspx

Реклама

2 thoughts on “Настройка antispam в Exchange 2013

  1. Большое спасибо за статьи по антиспаму Exchange 2013! Более детальных и понятных статей на русском, на эту тему не найти. Мне как начинающему были очень полезны и помогли первоначально настроить антиспам, теперь буду допиливать какие то моменты под себя.

    С Вашего позволения, отметил бы пару моментов, может кому то они пригодятся…

    — #Обязательно добавим в кавычках адреса наших внутренних серверов, пересылающих почту
    Set-TransportConfig -InternalSMTPServers @{Add=»»,»»…} — даже если у вас один! сервер со всеми ролями (как у меня) на котором вы настраиваете антиспам, то укажите ip-адрес этого самого сервера (этот момент описан та технет степ 3 https://technet.microsoft.com/ru-ru/library/bb201691%28v=exchg.160%29.aspx?f=255&MSPPError=-2147217396)

    -Долго паниковал почему у меня не появляется файл логов AgentLog. Данный файл создается только после того как агент отработает по какому то спам-письму. Проверил следующим образом, у меня тоже был указан в RBL: zen.spamhaus.com. Я отправил письмо с ящика зареганого на нашем Exchange сервере на адрес nelson-sbl-test@crynwr.com. В ответ получил письмо содержащее: 550 5.7.1 Recipient not authorized, your IP has been found on a block list Terminating conversation

    Сори если как-то сумбурно написал.

    • «этот момент описан на технет степ 3»
      Вы не поверите, я все оттуда списал! 😉
      Агенты, да, они такие. Соответственно, статистика по ним у вас работать тоже будет только тогда, когда есть этот лог- посмотрите на скрипты со статистикой через месяц-другой жизни сервера. Должно что-то нападать.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s