Настройка фильтрации получателей и настройка фильтрации подключений для использования списков блокировки в Exchange 2003 Server

Переводы статьи Переводы статьи
Код статьи: 823866 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Сервер Microsoft Exchange Server 2003 поддерживает фильтрацию подключений и фильтрацию получателей. Использование этих возможностей позволяет сократить количество нежелательных или коммерческих сообщений (спама), рассылаемых в организации.

Фильтрация подключений позволяет серверу Exchange Server обращаться к поставщику списков блокировки (Realtime Block List, RBL) и определять, указан ли компьютер, с которого отправляется сообщение электронной почты, в данных списках. Сервер Exchange Server позволяет также указать исключения из списков блокировки.

Кроме того, сервер Exchange Server позволяет создавать фильтры получателей, ограничивающие доставку электронной почты определенным получателям в организации или за ее пределами.

В данной статье описывается создание указанных фильтров и сопоставление фильтров виртуальному серверу SMTP. В статье также содержится пример обработки сообщения, показывающий, на каких этапах обработки применяются те или иные фильтры.

Введение

В статье описывается настройка фильтрации подключений и фильтрации пользователей на сервере Microsoft Exchange Server 2003, а также рассматривается обработка почтовых сообщений при наличии фильтров получателей или фильтров подключений и списков блокировки (RBL).

Как работает фильтрация подключений

Фильтрация подключений позволяет протоколу SMTP (Simple Mail Transfer Protocol) определять, содержится ли IP-адрес компьютера, отправляющего сообщение электронной почты, в списке блокировки (RBL). Список блокировки – это база данных, хранящая адреса узлов, которые могут осуществлять массовую отправку сообщений или являются потенциальными источниками нежелательных коммерческих сообщений (спама). Некоторые из этих узлов представляют собой серверы электронной почты, являющиеся «открытыми» ретрансляторами или подключающиеся к Интернету с помощью телефонных линий.

Если на сервере Exchange Server 2003 включена фильтрация подключений, то при получении сообщения электронной почты компонент SMTP направляет поставщику списка блокировки запрос DNS, в котором указывается IP-адрес компьютера, отправляющего данное сообщение. После этого поставщик списка блокировки ищет в списке блокировки DNS-запись узла (также называемую записью типа A), соответствующую имени узла, указанному в запросе. При поиске используется следующий формат записи.
обратный_IP-адрес_отправителя_электронной почты.DNS-суффикс_поставщика_списка_блокировки
Например, если сообщение электронной почты поступает от компьютера с IP-адресом 172.16.21.5, а суффикс DNS поставщика списка блокировки – contoso.com, то сервер Exchange Server 2003 отправит запрос, содержащий имя 5.21.16.172.contoso.com.

В ответ поставщик списка блокировки направляет одно из следующих сообщений.
  • «Обслуживающий компьютер не найден». Поставщик списка блокировки возвращает данный ответ, если запрашиваемый адрес отсутствует в базе DNS данного поставщика.
  • "127.0.0.«код_состояния»: Поставщик списка блокировки возвращает данный ответ, если запрашиваемый адрес обнаружен в базе DNS данного поставщика. Параметр код_состояния показывает причину включения данного узла в список блокировки. Поскольку значения данного кода не стандартизованы, то эти значения могут различаться у различных поставщиков списков блокировки.
Если в базе данных DNS поставщика списков блокировки будет обнаружена запись, указанная в запросе сервера SMTP, то в ответ на команду RCPT TO сервера-отправителя электронной почты сервер SMTP вернет следующее сообщение:
550 5.x.x
Сервер Exchange Server 2003 позволяет использовать несколько фильтров подключений и указать порядок применения этих фильтров. Если используются несколько поставщиков списков блокировки, эти поставщики опрашиваются в том порядке, в котором они указаны в конфигурации сервера Exchange Server 2003. Если какой-либо адрес будет обнаружен в базе данных одного из поставщиков списков блокировки, оставшиеся поставщики, указанные в конфигурации сервера Exchange Server, опрашиваться не будут.

Создание фильтра подключений

Чтобы создать фильтр подключений на сервере Exchange Server 2003, выполните следующие действия.
  1. Запустите диспетчер Exchange System Manager.
  2. Разверните узел Global Settings, щелкните правой кнопкой мыши элемент Message Delivery и выберите пункт Properties.
  3. Откройте вкладку Connection Filtering.
  4. Чтобы создать правило фильтрации, нажмите кнопку Add.
  5. В поле Display Name введите название фильтра.
  6. В поле DNS Suffix of Provider введите DNS-суффикс, добавляемый к IP-адресу поставщиком списков блокировки.
  7. В поле Custom Error Message to Return введите текст сообщения, возвращаемого отправителю электронной почты.

    Чтобы использовать сообщение по умолчанию, оставьте данное поле пустым. По умолчанию возвращается следующее сообщение:
    IP address has been blocked by Rule name of the connection filter
    При создании собственного сообщения можно использовать следующие переменные.
    • %0. IP-адрес сервера-отправителя электронной почты.
    • %1. Название правила фильтра подключений.
    • %2. Имя поставщика списка блокировки.
    Например, если в поле Custom Error Message to Return ввести строку IP-адрес %0 обнаружен в базе данных поставщика списков блокировки %2., будет создано следующее сообщение об ошибке.
    The IP address IP address was rejected by the Realtime Block List provider RBL provider.
  8. Чтобы указать возвращаемые поставщиком списков блокировки коды состояния, которые должны обрабатываться данным фильтром, нажмите кнопку Return Status Code и выполните одно из следующих действий.
    • Выберите параметр Match Filter Rule to Any Return Code, чтобы применять текущий фильтр ко всем возвращаемым кодам состояния (данное значение является значением по умолчанию).
    • Выберите параметр Match Filter Rule to the Following Mask и введите битовую маску, которая будет использоваться при анализе кодов состояния. Данная маска формируется, исходя из масок, которые используются поставщиками списков блокировки.

      Примечание. Битовая маска позволяет проверить совпадение только с одним значением. Если битовая маска соответствует значению, возвращаемому в случае наличия IP-адреса в двух списках, то в результате применения данной маски будут обрабатываться только IP-адреса, попадающие в оба списка.
    • Выберите параметр Match Filter Rule to Any of the Following Responses и введите коды, с которыми будут сравниваться возвращаемые значения.
    По окончании изменения параметров в окне Return Status Code нажмите кнопку ОК.
  9. Дважды нажмите кнопку ОК.
  10. Нажмите кнопку ОК после получения следующего сообщения:
    Фильтрация подключения, получателя и отправителя должна включаться вручную для назначений IP-адреса виртуального сервера SMTP (если она не включена по умолчанию). Подробные сведения о включении любого из этих фильтров содержатся в соответствующих разделах справки.

Создание исключений для фильтра подключений

Чтобы создать исключения для фильтра подключений, можно воспользоваться следующими способами.
  • Разрешить доставку, исходя из значения IP-адреса сервера-отправителя электронной почты.
  • Заблокировать доставку, исходя из значения IP-адреса сервера-отправителя электронной почты.
Использование исключений позволяет изменять решения о блокировании или доставке электронной почты, принятые на основании анализа списков блокировки. Например, это может потребоваться, чтоб домен, который был удален из узла, указанного в списке блокировки, мог отправлять письма в локальный домен.

Чтобы разрешить доставку сообщений, исходя из IP-адреса сервера-отправителя электронной почты, выполните следующие действия.
  1. На вкладке Connection Filtering нажмите кнопку Accept, а затем кнопку Add.
  2. Выберите вариант Single IP Address, чтобы добавить к списку один IP-адрес, или вариант Group of IP Addresses, чтобы добавить к списку подсеть.
Чтобы заблокировать доставку сообщений, исходя из IP-адреса сервера-отправителя электронной почты, выполните следующие действия.
  1. На вкладке Connection Filtering нажмите кнопку Deny, а затем кнопку Add.
  2. Выберите вариант Single IP Address, чтобы добавить к списку один IP-адрес, или вариант Group of IP Addresses, чтобы добавить к списку подсеть.

    Примечание. Параметры глобального списка разрешенных адресов переопределяют параметры глобального списка заблокированных адресов. Если глобальный список разрешенных адресов или глобальный список заблокированных адресов используются вместе со списком блокировки, то решение о доставке или блокировании сообщений от серверов, входящих в эти списки, принимается только на основе анализа содержимого данных списков (без учета списка блокировки).

Создание фильтра получателей

Использование фильтров получателей позволяет заблокировать доставку сообщений электронной почты определенным адресатам внутри организации, а также выявить сообщения, предназначенные несуществующим в данной организации адресатам. Фильтры получателей применяются только к сообщениям, получаемым с использованием анонимных подключений.

Чтобы создать фильтр получателей, выполните следующие действия.
  1. Запустите диспетчер Exchange System Manager.
  2. Разверните узел Global Settings, щелкните правой кнопкой мыши элемент Message Delivery и выберите пункт Properties.
  3. Откройте вкладку Recipient Filtering.
  4. Чтобы отключить доставку сообщений, отправленных на какой-либо адрес электронной почты, нажмите кнопку Add, введите требуемый адрес, а затем нажмите кнопку ОК.
  5. Чтобы отключить доставку сообщений, отправленных на адреса электронной почты, отсутствующие в данной организации, установите флажок Filter recipients who are not in the directory.

Применение фильтра подключений, фильтра получателей или фильтров обоих типов на виртуальном сервере SMTP

На всех виртуальных серверах SMTP, на которых должны применяться данные фильтры, необходимо включить фильтры подключений и фильтры получателей. Чтобы применить фильтр к виртуальному серверу SMTP, выполните следующие действия.
  1. Запустите диспетчер Exchange System Manager.
  2. Последовательно разверните узлы Servers, Server Name, Protocols и SMTP.
  3. Щелкните правой кнопкой мыши виртуальный сервер SMTP, к которому необходимо применить фильтр, и выберите пункт Properties.
  4. На вкладке Общие нажмите кнопку Дополнительно.
  5. Выберите IP-адрес, к которому следует применить фильтр, и нажмите кнопку Edit.
  6. В окне Identification установите флажок Apply Connection Filter или Apply Recipient Filter.
  7. Нажмите кнопку ОК, нажмите кнопку ОК повторно, нажмите кнопку Apply, а затем кнопку ОК.
  8. Перезапустите виртуальный сервер SMTP, для которого был включен фильтр.
  9. Повторите шаги 2–8 для всех виртуальных серверов, на которых следует включить фильтрацию.

Обработка сообщений при наличии фильтров подключений или фильтров получателей

Ниже представлен пример сеанса SMTP, иллюстрирующего обработку сообщения электронной почты при включенной фильтрации подключений или фильтрации получателей. В приведенном примере показан сеанс связи, начатый следующими командами SMTP:
  • Команда SMTP:

    telnet mail1.contoso.org 25

    При обработке данной команды выполняются следующие действия.

    Сервер Exchange Server определяет, разрешен ли компьютеру-отправителю доступ к данному виртуальному серверу SMTP. Если компьютеру, устанавливающему подключение, запрещен доступ к данному виртуальному серверу SMTP, сервер Exchange Server разрывает соединение. Для просмотра списка серверов, которым запрещен доступ к виртуальному серверу SMTP, выполните следующие действия.
    1. Запустите диспетчер Exchange System Manager.
    2. Последовательно разверните узлы Administrative Groups и Servers, разверните узел с именем требуемого компьютера с сервером Exchange Server, последовательно разверните узлы Protocols и SMTP, щелкните требуемый виртуальный сервер SMTP правой кнопкой мыши и выберите пункт Properties.
    3. Откройте вкладку Access и нажмите кнопку Connection.
    4. Если выбран параметр All except the list below, ознакомьтесь с IP-адресами, содержащимися в списке Computers.
  • Команда SMTP:

    EHLO domain.com
  • Команда SMTP:

    MAIL FROM: joe@domain.com

    При обработке данной команды выполняются следующие действия.
    1. Сервер Exchange Server анализирует глобальный список разрешенных адресов и глобальный список заблокированных адресов (для доступа к данным спискам откройте окно Message Delivery Properties, перейдите на вкладку Connection Filtering и воспользуйтесь кнопками, находящимися в группе «Global Accept and Deny List Configuration»).
      • Если IP-адрес отправителя содержится в списке разрешенных адресов (данный список находится в окне Accept List), то поиск данного адреса в списке запрещенных адресов и в списке блокировки не выполняется.
      • Если IP-адрес отправителя содержится в списке запрещенных адресов (данный список находится в окне Deny List), то сервер Exchange Server разрывает соединение и возвращает отправителю следующее сообщение об ошибке:
        550 5.7.0 Access Denied
    2. Сервер Exchange Server анализирует список Senders, который находится в окне Message Delivery Properties на вкладке Sender Filtering. Если IP-адрес отправителя содержится в данном списке, сервер Exchange Server разрывает соединение и возвращает отправителю следующее сообщение об ошибке:
      554 5.1.0 Sender Denied
  • Команда SMTP:

    RCPT TO: sally@contoso.org

    При обработке данной команды выполняются следующие действия.
    1. Сервер Exchange Server анализирует список исключений (чтобы получить доступ к данному списку, откройте окно Message Delivery Properties, перейдите на вкладку Connection Filtering и нажмите кнопку Exceptions). Если SMTP-адрес отправителя указан в этом списке, сервер Exchange Server не анализирует список блокировки.
    2. Сервер Exchange Server анализирует список Recipients, который находится в окне Message Delivery Properties на вкладке Recipient Filtering. Если адрес получателя находится в этом списке, сервер Exchange Server возвращает отправителю следующее сообщение об ошибке.
      550 5.7.1 Requested action not taken: mailbox not available
    3. Сервер Exchange Server анализирует список блокировки. Если адрес отправителя принадлежит заблокированному домену, сервер Exchange Server разрывает соединение и возвращает отправителю сообщение об ошибке следующего вида:
      550 5.7.1 169.254.1.253 has been blocked by default.
    4. Сервер Exchange Server определяет, установлен ли флажок Filter recipients who are not in the Directory, который находится в окне Message Delivery Properties на вкладке Recipient Filtering. Если данный флажок установлен и если получатель отсутствует в базе данных службы каталогов Active Directory, Exchange Server возвращает отправителю следующее сообщение об ошибке:
      550 5.1.1 User unknown
      В этом случае Exchange Server не разрывает соединение, и отправитель может выполнить отправку сообщения другим адресатам.
  • Команда SMTP:

    DATA <CRLF>.<CRLF>

    Примечание. В данной команде символы <CRLF> соответствуют символам возврата каретки и перевода строки. Как правило, чтобы вручную ввести символы возврата каретки и перевода строки, следует нажать клавишу ВВОД.

    При обработке данной команды выполняются следующие действия.

    Сервер Exchange Server анализирует список Senders, который находится в окне Message Delivery Properties на вкладке Sender Filtering. Если адрес отправителя содержится в данном списке, сервер Exchange Server разрывает соединение и возвращает отправителю следующее сообщение об ошибке:
    554 5.1.0 Sender Denied
  • Команда SMTP:

    QUIT

    При обработке данной команды выполняются следующие действия.

    Сообщение, удовлетворяющее всем критериям, принимается сервером Exchange Server и доставляется в соответствующий почтовый ящик.

Свойства

Код статьи: 823866 - Последний отзыв: 26 ноября 2007 г. - Revision: 3.3
Информация в данной статье относится к следующим продуктам.
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Ключевые слова: 
kbhowtomaster KB823866

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com