Нова серверна роль системи Exchange Server 2007 - сервер прикордонної обробки Edge Transport - наділена вбудованою системою фільтрації, зокрема засобами фільтрації з'єднань, фільтрації контента, фільтрації вкладень, фільтрації відправників і одержувачів, ідентифікаторами відправників і правилами транспортування.
До достоїнств серверної ролі Edge Transport системи Exchange Server 2007 відноситься інтеграція з Active Directory (AD) і Microsoft Outlook, однак ця роль не має деяких засобів перевірки повідомлень, які можуть знадобитися на великих підприємствах.
У міру того як базуються в Internet служби обміну повідомленнями та спільної роботи отримують все більш широке поширення, посилюється загроза з боку шкідливих програм. Щоб захистити інфраструктуру організації, що забезпечує обмін повідомленнями і спільну роботу, необхідно реалізувати той чи інший механізм перевірки повідомлень. Починаючи з версії Exchange 2000 Server корпорація Microsoft крок за кроком реалізує в системі Exchange все нові засоби перевірки повідомлень. В Exchange Server 2007 була введена особлива серверна роль - Edge Transport, призначена для здійснення перевірки повідомлень і організації служб маршрутизації на периферійних ділянках внутрішньої мережі компанії. Щоб отримати уявлення про роль Edge Transport, читачам слід познайомитися з архітектурою сервера прикордонної обробки, а також із засобами фільтрації спаму і контенту. Освоївши ці функції, ви зможете визначити, чи володіє реалізована на базі ролі Edge Transport служба перевірки повідомлень Exchange 2007 достатніми можливостями для того, щоб замінити що використовується в компанії систему перевірки повідомлень від незалежних постачальників.
Exchange як перевіряючий
Як правило, компанії реалізують служби перевірки повідомлень на периметрі своїх мереж - наприклад, в демілітаризованій зоні (DMZ). Такий підхід пояснюється просто: чим раніше в потоці вхідної пошти будуть виявлені шкідливі програми, тим краще. При фільтрації пошти на ранніх стадіях підвищується рівень захисту системи, бо таким чином здійснюється ізоляція небезпечних програм і запобігає їх проникненню на внутрішні сервери. До того ж треба мати на увазі, що фільтрація пошти призводить до скорочення загального числа повідомлень, що надходять в організацію. Таким чином, служби перевірки повідомлень в DMZ знижують навантаження на внутрішні сервери обміну повідомленнями.
Попередні версії Exchange можна було назвати високоефективними засобами реалізації служб перевірки повідомлень в DMZ. Тому було кілька причин. Перша і найважливіша з них: в системі Exchange для зберігання даних конфігурації обміну повідомленнями, а також призначених для користувача даних (відомостей про відправника та одержувача) застосовується служба Active Directory (AD). Якщо співробітники тієї чи іншої організації захочуть реалізувати служби перевірки повідомлень на базі Exchange, їм доведеться розгортати сервер AD в DMZ. А це означає, що організація повинна відкрити свій внутрішній каталог зовнішнього світу, що нерозумно з точки зору безпеки. Щоб обійти цю перешкоду, потрібно розгорнути в DMZ окремий ліс AD, але для цього потрібно механізм синхронізації параметрів фільтрації (таких, як поштові адреси внутрішніх одержувачів) між внутрішнім каталогом AD і каталогом AD демілітаризованої зони. Інша можливість - часто використовувана і реалізована з більшою легкістю - полягає в застосуванні засобів перевірки повідомлень, створених не фахівець Microsoft, а іншими фірмами, які не використовують ресурси служби AD.
В системі Exchange 2007 проблема залежності від AD вирішується таким чином. Сервер Edge Transport отримує можливість використання каталогу Active Directory Application Mode (ADAM) для зберігання даних про конфігурацію і про одержувачів. Крім того, в системі реалізований легко настроюється механізм синхронізації EdgeSync між розташованим в DMZ екземпляром ADAM і внутрішньою службою AD компанії. ADAM - це автономний каталог на базі протоколу LDAP; на відміну від каталогу AD, організації можуть використовувати його, чи не розгортаючи повну інфраструктуру домену Windows.
Ще одна причина того, що Exchange ні прикладом вдалої реалізації служб перевірки повідомлень на базі DMZ, полягає в тому, що на тлі служб, реалізованих в таких спеціалізованих рішеннях, як Symantec Mail Security, Tumbleweed MailGate або навіть безкоштовно надається служба Postfix на базі UNIX , служби перевірки повідомлень попередніх версій Exchange мали вельми обмежений набір можливостей. Список засобів фільтрації спаму і контенту, реалізованих в різних версіях Exchange, наводиться в таблиці. Однак в Exchange 2007 є важливі додаткові кошти для фільтрації спаму і контенту, які дозволяють цій версії конкурувати з завоювали хорошу репутацію засобами перевірки повідомлень від незалежних постачальників.
Хоча основна увага в статті зосереджено на нових службах фільтрації спаму і контенту, реалізованих в ролі Edge Transport системи Exchange 2007, хочу згадати про декілька додаткових службах, розроблених фахівцями Microsoft; не виключено, що ви захочете розглянути питання про можливе їх включенні в інфраструктуру перевірки повідомлень. Перш за все, треба зазначити, що корпорація Microsoft поставляє продукт Microsoft Forefront Security for Exchange Server (раніше відомий як продукт Antigen компанії Sybari). Це обладнання було розроблене для перевірки на наявність вірусів і фільтрації спаму. Microsoft включає Forefront Security for Exchange Server в комплект поставки Exchange 2007, не вимагаючи додаткової оплати від тих клієнтів, які придбали ліцензію Enterprise Client Access License (CAL) і уклали з Microsoft угоду на використання великого числа примірників системи. Додаткові відомості про ліцензії Exchange 2007 CAL можна знайти за адресою http://www.microsoft.com/exchange/evaluation/editions.mspx .
Крім того, в рамках ліцензії Enterprise CAL Microsoft пропонує організовану зовнішніми підрядниками службу перевірки повідомлень Exchange Hosted Filtering (раніше ця служба була частиною FrontBridge Technologies). Дана служба може бути прийнятною альтернативою для невеликих організацій, а також для організацій, які не бажають керувати власною інфраструктурою перевірки повідомлень або обслуговувати її.
Служби фільтрації спаму і контенту
Аналізуючи різні частини поштових повідомлень, та фільтрування спаму і контенту сервера прикордонної обробки визначають, чи слід блокувати той чи інший повідомлення або пропустити його повністю або частково через шлюз повідомлень Edge Transport. Роль Edge Transport підтримує функції фільтрації спаму і контенту, які перераховані у вигляді зведення в таблиці .
Порядок, в якому ці служби перераховані, відповідає прийнятому за замовчуванням порядку обробки ними нових поштових повідомлень, що надійшли в поштову шлюз Edge Transport.
Засоби фільтрації з'єднань звіряють IP-адреса сервера, що відправляє електронні листи, зі списками санкціонованих і заблокованих IP-адрес, щоб прийняти рішення про подальші дії стосовно того чи іншого повідомлення. Засоби фільтрації з'єднань можуть використовуватися спільно зі списками Realtime Blackhole Lists, RBL. Це списки IP-адрес і доменів, про які відомо, що вони генерують поштовий «сміття». Списки RBL обслуговуються і поширюються спеціалізованими постачальниками оперативних послуг, такими як служба MAPS компанії Trend Micro ( http://www.mail-abuse.com ).
Засоби фільтрації відправників звіряють адреса відправника повідомлення зі списком заблокованих відправників з метою прийняття рішення про подальші дії стосовно даного повідомлення.
Засоби фільтрації одержувачів звіряють адресу одержувача повідомлення зі списком заблокованих одержувачів і з каталогом внутрішніх одержувачів організації з метою прийняття рішення про подальші дії стосовно даного повідомлення.
Засоби перевірки репутації відправника визначають ймовірність того, що відправник повідомлення є спамером. За підсумками цих досліджень служба перевірки репутації відправника привласнює відправнику рейтинг рівня репутації (Sender Reputation Level, SRL). Якщо рейтинг SRL перевершує певний порогове значення, відправник на заздалегідь визначений період часу (за замовчуванням - на 24 години) включається в список заблокованих відправників.
Призначення служби ідентифікації відправників (Sender ID) - боротьба з підміною імен доменів. У минулому через руки організаторів спуфинг-атаки повідомленні електронної пошти ім'я домену відправника змінюється таким чином, щоб створити враження, ніби повідомлення надійшло не з того домена, з якого воно було відправлено насправді. Щоб перевірити правильність імені домена поштового повідомлення, служба ідентифікації відправників запитує запис DNS SPF (Sender Policy Framework), асоційовану з ім'ям домена відправника.
Служба правил Edge Transport (Edge Transport rules) дозволяє адміністраторам визначати правила транспортування, відповідно до яких повідомлення проходять через фільтр або відбраковуються в залежності від властивостей повідомлення або його контенту. Правила транспортування можуть бути корисні при спалахах вірусної активності або при різкій активізації діяльності спамерів. Правила транспортування можуть блокувати шкідливе програмне забезпечення навіть в ситуаціях, коли сигнатури спаму або вірусів ще не були оновлені.
Засоби фільтрації контенту досліджують вміст повідомлення і перевіряють його рейтинг рівня приналежності до спаму, spam confidence level (SCL). Контент аналізується за допомогою інтелектуального фільтра повідомлень Microsoft Exchange Intelligent Message Filter (IMF), який реалізує логіку, що дозволяє розрізняти характеристики легітимних повідомлень електронної пошти, з одного боку, і спаму - з іншого. Нове властивість фільтра контенту - підтримка функції карантину для спаму. Це прекрасний засіб, що дозволяє звести до мінімуму число помилкових спрацьовувань при виявленні поштового «сміття». Помилкові спрацьовування трапляються, коли фільтр спаму помилково відносить до категорії спаму повідомлення, яке надійшло від легітимного відправника. При отриманні вхідних повідомлень, які мають певний обумовлений адміністратором рейтинг SCL, реалізована в Exchange 2007 функція карантину не видаляє ці повідомлення, а спрямовує їх в особливий поштову скриньку. В результаті адміністратори отримують можливість виконати другу перевірку вселяють підозру повідомлень (на цей раз вручну), щоб або пропустити їх в поштову скриньку одержувача, або остаточно видалити.
Засоби фільтрації вкладень дозволяють адміністраторам визначати конкретні дії на основі аналізу файлів, приєднаних до поштових повідомлень. За замовчуванням передбачається від'єднання приєднаного файлу і «добро» на доставку повідомлення одержувачу. Адміністратори можуть налаштовувати сервер Edge таким чином, щоб як повідомлення, так і вкладення блокувалися або віддалялися.
Працюючи з вхідною в систему Exchange 2007 консоллю управління Exchange Management Console, ви напевно зверніть увагу на те, що служби фільтрації спаму і контенту реалізовані у вигляді транспортних агентів (transport agents). Тим часом в версіях Exchange 2003 і Exchange 2000 ці служби реалізовані як транспортні приймачі (transport sinks). З консолі користувач може запускати і відключати транспортні агенти, а також їх властивості; що мають відношення до боротьби зі спамом транспортні агенти перераховані на вкладці консолі Anti-spam, як показано на екрані 1, для сервера Exchange з ім'ям Edge.
Треба сказати, що агенти фільтрації з'єднань і фільтрації вкладень не відображаються на вкладці консолі Anti-spam. Агент фільтрації вкладень представлений чотирма іншими відображеними на вкладці «подагентамі»: список дозволених IP-адрес (IP Allow List), провайдери дозволених IP-адрес (IP Allow List Providers), список заблокованих IP-адрес (IP Block List) і провайдери заблокованих IP адрес (IP Block List Providers). Налаштування агента фільтрації вкладень здійснюється тільки з командного рядка за допомогою оболонки керування Exchange Management Shell. Додаткову інформацію про створення фільтра вкладень можна знайти в документації Exchange 2007, опублікованої за адресою http://technet.microsoft.com/en-us/library/aa997139.aspx . До речі, зверніть увагу на те, що на екрані 1 агент служби правил Edge не представлені на вкладці консолі Anti-spam; справа в тому, що служба правил Edge налаштовується на вкладці правил транспортування Transport Rules.
Що може Edge Transport ...
Давайте подивимося, які можливості з точки зору перевірки повідомлень має серверна роль Edge Transport і, відповідно, будь можливостей вона не має. Цей аналіз допоможе відповісти на питання, чи будуть вбудовані функції системи Exchange 2007 відповідати потребам конкретної компанії.
Роль Edge Transport може бути вбудована у внутрішню структуру Exchange організації. З іншого боку, її можна розгорнути в автономному режимі. Так, компанії можуть використовувати автономний сервер Edge Transport для організації Exchange 2003 або Exchange 2000. Тим же, хто хоче інтегрувати сервер прикордонної обробки з внутрішньої поштовою організацією і AD, необхідно визначити підписку на Edge Transport. Підписка на Edge Transport дозволяє серверу прикордонної обробки перетворюватися в віртуальну частина організації Exchange. Крім того, вона дозволяє здійснювати односторонню синхронізацію конфігурації і даних про одержувачів між AD і екземпляром ADAM сервера Edge Transport (для цього використовується процес EdgeSync), а також маршрутизацію поштового трафіку між сервером прикордонної обробки і внутрішньою організацією Exchange (підписка на Edge Transport автоматично створює коннектори Exchange для відправки та отримання повідомлень). Поряд з цим підписка на Edge Transport забезпечує відображення сервера прикордонної обробки в інтерфейсах системи управління організації Exchange; наприклад, адміністратор отримує можливість налаштовувати сервер Edge Transport з того ж уявлення панелі керування Exchange, яке використовується для настройки всіх інших серверів Exchange компанії.
Під функцією об'єднання білих списків Exchange 2007 і Edge Transport розуміється нова служба, яка надає реалізованим на сервері прикордонної обробки засобам фільтрації спаму і контенту можливість оперувати відомостями про надійних відправників і контактах, які внесені користувачами Microsoft Office Outlook 2007 і Outlook 2003. Надійні відправники - це адреси електронної пошти та імена доменів, з яких користувач Outlook хоче отримувати поштові повідомлення. Користувачі можуть налаштовувати їх на вкладці Safe Senders вікна Junk E-mail Options програм Outlook 2007/2003, як показано на екрані 2. Надаючи ці відомості сервера Edge Transport, можна отримати дві важливі переваги. По-перше, таким чином з поштових серверів Exchange знімається частина навантаження з обробки та зберігання даних. Оскільки обсяг контенту, що підлягає фільтрації на сервері Edge Transport, збільшується, то зменшується обсяг роботи, виконуваної поштовими серверами, а папки користувачів, призначені для зберігання поштового «сміття», займають менше місця. По-друге, це дозволяє скоротити кількість помилкових спрацьовувань; повідомлення, раніше блокували сервером прикордонної обробки, тепер пропускається, так як ім'я відправника повідомлення, наприклад, зазначено в складеному внутрішнім користувачем списку надійних відправників.
При об'єднанні білих списків використовується команда Exchange Management Shell, Update-Safelist, яка забезпечує синхронізацію даних білого списку між поштовим сервером Exchange користувача і AD, а також служба EdgeSync, яка відповідає за перенесення зберігаються в AD даних білого списку в екземпляр ADAM Edge Server. Важливо відзначити, що об'єднання білих списків можливо тільки за умови підписки на Edge Transport; при використанні автономних серверів прикордонної обробки таке об'єднання не проводиться.
Система Exchange Server 2007 дозволяє задіяти інфраструктуру Microsoft Update ( http://update.microsoft.com/microsoftupdate/v6/muoptdefault.aspx ? ), Щоб вручну або в автоматичному режимі оновлювати процесори фільтрації спаму і контенту сервера Edge Transport. Клієнтам, які мають ліцензії CAL, Microsoft пропонує частіше випускаються і більш різноманітні поновлення фільтрів спаму і контенту на базі Microsoft Update. За умовами ліцензії Enterprise CAL фільтри контенту оновлюються щодня; ліцензія Standard CAL передбачає запуск оновлень кожні два тижні. Крім того, клієнти, які придбали ліцензію Enterprise CAL, можуть в автоматичному режимі отримувати оновлення сигнатур спаму і IP. Додаткові відомості про те, як налаштовуються поновлення фільтрів для спаму і контенту, можна знайти в блозі Microsoft Exchange Team за адресою http://msexchangeteam.com/archive/2007/01/03/432050.aspx .
... І чого не може
Зрозуміло, серверної ролі Edge Transport притаманні деякі недоліки. Так, підписатися на той чи інший сервер Edge Transport може тільки одна організація Exchange. Це обмеження здатне викликати ускладнення при злитті і придбанні комерційних структур, коли може виникнути потреба в передплаті на сервер Edge Transport з боку декількох організацій.
У випадках, коли сервер прикордонної обробки розгортається в автономному режимі і створюється пул автономних серверів прикордонної обробки з метою забезпечення відмовостійкості і продуктивності, серверна роль Edge Transport не може використовувати вбудований механізм синхронізації ADAM для синхронізації своїх даних про конфігурацію між різними екземплярами Edge Transport. При використанні такої схеми автономних серверів прикордонної обробки дані конфігурації необхідно оновлювати за допомогою механізму експорту / імпорту на базі файлу XML.
Реалізована в Edge Transport функція фільтрації вкладень не передбачає застосування різних дій до різних типів вкладень. Якщо функція фільтрації вкладень активізована, адміністратор може застосувати тільки одну дію до всіх типів вкладень. Наприклад, якщо фільтрації піддаються як вкладення * .exe, так і вкладення * .zip, адміністратор не може застосувати до вкладень першого типу дію «видалити повідомлення і вкладення», а до вкладень другого типу - дія «пропустити повідомлення і від'єднати вкладення».
Рішення для середовища Exchange?
Реалізована в системі Exchange 2007 серверна роль Edge Transport є ефективне рішення, що забезпечує перевірку повідомлень і маршрутизацію для клієнтів, які експлуатують системи Exchange, але поки не розгорнули потужних засобів перевірки повідомлень по периметру мереж. Для не настільки масштабних організацій роль Edge Transport може бути гідним уваги варіантом, так як роль сервера прикордонної обробки інтегрована в систему Exchange Server 2007 і для його експлуатації не потрібні додаткові програмні ліцензії. З іншого боку, ймовірність того, що великі підприємства, вже експлуатують повнофункціональні засоби перевірки повідомлень, перейдуть на Edge Transport в процесі модернізації своїх інфраструктур для обміну повідомленнями до рівня Exchange 2007, досить мала, оскільки наявні у них кошти вже забезпечують повний набір інструментів для перевірки повідомлень.
Жан де Клерк - член Security Office корпорації HP. Спеціалізується на проблемах управління ідентичністю і питаннях безпеки продуктів Microsoft. [email protected]
Рішення для середовища Exchange?