Антиспам для Exchange

Антиспам для Exchange 01
www.microsoft.com

Антиспам для Exchange существует как решение от Microsoft, поставляемое из коробки. Однако наибольшую популярность получили платные решения от сторонних производителей. Тем не менее, это не единственные варианты решения проблемы защиты от нежелательного почтового трафика, существуют ещё и другие пути.

Обо всем этом я коротко расскажу в статье, собрав вместе большинство актуальных вариантов на сегодняшний день.


Найти больше информации по настройке и администрированию Exchange 2013 на моем блоге вы сможете в основной статье тематики – Exchange 2013 — Установка, настройка, администрирование.


Антиспам для Exchange

Все доступные на рынке варианты условно можно разделить на три группы и самый очевидный выбор, на первый взгляд, использовать решения от Microsoft. Но не все так однозначно.

Решения от Microsoft

С вашего позволения я не буду упоминать устаревшие варианты, которые уже не поддерживаются или недоступны для покупки, только самое актуальное.

Агенты транспорта

Функционал анализа сообщений, двигающихся по транспортному конвейеру Exchange, реализован с помощью агентов транспорта. Их же используют и для проверки на предмет спама.

По умолчанию вам доступны следующие антиспам-агенты:

  • Content Filter agent
  • Sender Filter agent
  • Sender ID agent
  • Protocol Analysis agent for sender reputation

Проверим какие агенты активны по умолчанию на Exchange Server 2016:

Как можно заметить, упомянутых выше анти-спам агентов среди них нет, а все потому что изначально на серверах MBX они даже не установлены.

После запуска скрипта Install-AntiSpamAgents.ps1 агенты появляются (вывод сокращен):

Примечание: единственный вариант развертывания агентов антиспама на сервера Exchange – это запуск скрипта Install-AntiSpamAgents.ps1. Другие способы не поддерживаются. Лучше не пытайтесь установить агентов вручную. См. документацию 1.

Хоть и формально агенты функционируют и возложенную на них функцию выполняют, но делают они это не очень хорошо. Кроме того, часть важнейшего функционала присутствует только на агентах, доступных исключительно на серверах Exchange Server Edge (о них ниже).

Вкупе с отсутствием какой-либо админки (доступен только EMS) встроенные агенты являются уж очень хардкорным инструментом защиты от нежелательной почты.

Exchange Edge

Роль Edge устанавливается на отдельный сервер, обычно находящийся в DMZ. Прямого доступа в AD он не имеет, а вместо этого использует локальный экземпляр AD LDS.

Примечание: подробнее об Exchange Edge вы можете также почитать на моем блоге в следующих статьях:

и другие.

Главное отличие Edge от MBX по части фильтрации спама, как упоминалось выше, заключается в присутствии трех дополнительных агентов 2:

  • Connection Filtering agent
  • Recipient Filter agent
  • Attachment Filtering agent

Также Edge не хранит у себя никаких данных, выступая исключительно как почтовый релэй.

Помимо агентов, никаких других отличий у роли Edge нет, как по части функционала, так и по части инструментов администрирования.

Озвученные недостатки делают сервер с ролью Edge скорее частью общей защиты, чем её основой. Наиболее очевидным видится сценарий использования Edge как публичного сервера, защищающего основные корпоративные почтовые серверы от различных атак (в особенности от атак отказа в обслуживании). Отсутствие прямого доступа к AD лишь закрепляет эту модель использования. Необходимость отдельной защиты внутренних серверов при этом никто не отменял.

Exchange Online Protection

Это уже более современный вариант, идущий в тренде развития облачных технологий. Exchange Online Protection 3 (здесь и далее EOP) – облачный сервис защиты от нежелательного почтового трафика, который непосредственно интегрирован в Exchange Online (облачный эксч). По умолчанию EOP включен в любой план Exchange Online и за него не нужно отдельно платить.

Использовать EOP вы можете и в том случае, если частично или все ваши пользовательские ящики находятся “на земле” 4. Для этого вам нужно просто направить входящий почтовый трафик в облако и использовать гибридную конфигурацию Exchange.

Примечание: есть у EOP и косяки, например, с DKIM – совершая многочисленные прыжки между серверами внутри инфраструктуры Exchange Online, DKIM почему-то бьется. Также возникают проблемы, если в письме присутствует другое вложенное письмо, подписанное DKIM.

Exchange Online предоставляет отличный уровень защиты от нежелательной почты и нетрудно предположить, что именно на него Microsoft будет делать ставку, а Edge останется побочным продуктом.

Антиспам для Exchange 02Стоимость EOP для ящиков on-premises упирается всего в 1 доллар на пользователя ежемесячно, что в рамках года делает его цену сопоставимой коммерческим решениям от сторонних производителей.

Таким образом, EOP становится самым актуальным решением от Microsoft с серьезным потенциалом развития в будущем.

Сторонние коммерческие решения

Я не знаком со всем многообразием коммерческих решений и не преследую цель кого-то прорекламировать, я планирую рассказать о собственном опыте.

На мой взгляд, условно продукты можно разделить на два типа:

  • интегрированные в Exchange;
  • логически разделенные (например существующие в виде отдельного релэя).

С релэем все понятно, а вот под “интегрированными” я имею в виду реализацию фильтрации почты внутри агентов транспорта Exchange. Такой сценарий действительно полностью поддерживается со стороны Microsoft и встретить его можно, например, у антиспама Касперского (вывод команды сокращен):

Платные решения предоставляют совершенно другой уровень сервиса, нежели Exchange Edge (встроенный антиспам на MBX тем более). Если же денег на регулярное продление подписок/лицензий у вас нет, а достойную защиту почтового трафика обеспечить ох как хочется, то следующий вариант именно для вас.

Собственный велосипед

Последний вариант, о котором я хочу рассказать – развертывание и настройка своего собственного релэя. Речь идет о linux ОС с установленным на ней Postfix.

Postfix – это всего лишь агент пересылки почты, он умеет принимать и отправлять её, выполняя небольшие преобразования. Для фильтрации спама вам придется прикручивать сторонние компоненты (Spamassassin например), для антивирусной защиты тоже (ClamAV). И так далее, добавляя для реализации дополнительного функционала дополнительные компоненты.

Примечание: кстати, найти статьи по настройке релэя у меня на блоге вы можете, воспользовавшись тегом Postfix relay.

Плюс – решение полностью бесплатное. Минусы соответствующие – кому-то надо будет настраивать, поддерживать это чудо, а кому-то даже поднимать во время очередного факапа. Тем не менее, решение это имеет право на жизнь и при наличии достаточного количества квалифицированного персонала будет работать отлично.

На этом, я полагаю, все. Рассказывайте о своем опыте в комментариях.

Яндекс.Метрика