Nasazujeme Exchange 2013 SP1 - díl 3.

• První díl seriálu
• Druhý díl seriálu

Nastavení antispamových funkcí

Microsoft Exchange Server 2013 obsahuje sadu základních antispamových funkcí. Správným nastavením těchto technologií organizace všech velikostí získávají zdarma nástroj v boji s nevyžádanou poštou, což se odráží ve vyšší produktivitě práce uživatelů elektronické pošty.

Podmínky pro využití antispamových funkcí

Ochrana proti nevyžádané poště je rozdělena podle způsobu fungování do jednotlivých, tzv. antispam agentů. Každý agent má své vlastní unikátní nastavení, každý antispamový agent může být také bez ohledu na stav ostatních agentů vypnut či naopak zapnut. Antispamoví agenti jsou ve výchozím nastavení automaticky instalováni pouze v rámci volitelné role Edge. Pokud v Exchange organizaci tato role chybí, je možné a podporované doinstalování agentů na serveru v roli Mailbox Server pomocí následujícího postupu:

• Přihlásíme se na Mailbox server
• Start -> Programy -> Microsoft Exchange Server 2013 -> Exchange Management Shell (EMS)
• Spustíme příkaz Install-AntispamAgents.ps1
• Provedeme restart služby „Microsoft Exchange Transport“

Obrázek 1: Instalace AntiSpam agentů

Filtrování dle připojení (Connection filtering)

Tento způsob ochrany je založen na důvěryhodnosti IP adresy serveru, který elektronickou poštu odesílá.

Pozor! V Exchange serveru 2013 už tento agent není k dispozici, nicméně při koexistenci s Exchange 2010 je stále možné jej využít.

Nastavení se skládá z následujících kroků:

Konfigurace IP adres interních SMTP serverů

V případě, že před Exchange serverem s instalovaným Connection filtering nebo Sender ID agentem existují další interní SMTP servery, je potřeba IP adresy těchto serverů uvést v nastavení. Konfigurace se v Exchange 2013 provádí v Powershellu:

• Přihlásíme se na Mailbox server
• Start -> Programy -> Microsoft Exchange Server 2013 -> Exchange Management Shell (EMS)
• Spustíme příkaz Set-TransportConfig –InternalSMTPServers <IP1>,<IP2> … <IPn>
• Zda krok fungoval se dozvíme příkazem Get-TransportConfig | fl InternalSMTPServers

Konfigurace RBL (real-time block list)

Na Internetu existuje celá řada placených i neplacených služeb, které vedou evidenci důvěryhodných či naopak rizikových IP adres z hlediska rozesílání spamu. Tuto službu může náš Exchange Server dotazovat pro ověření IP adresy příchozího SMTP připojení. Je doporučeno vybrat 2–3 poskytovatele s vysokou reputací a garantovaným SLA. Pokud počet dotazů nepřesáhne 300 000 dotazů denně, je možné pro úvodní nastavení použít například široce využívaný RBL zen.spamhaus.org.

Vlastní nastavení pak provedeme:

• Přihlásíme se na Mailbox server
• Start -> Programy -> Microsoft Exchange Server 2013 -> Exchange Management Shell (EMS)
• Spustíme příkaz Add-IPBlockListProvider -Name zen.spamhaus.org -LookupDomain zen.spamhaus.org -AnyMatch $True
• Výsledek ověříme příkazem Get-IPBlockListProvider

Konfigurace IP Allow List

Pro snížení rizika zablokování pošty v případě, že se například obchodní partner ocitne se svým poštovním serverem na některém z RBL, je doporučeno IP adresy SMTP serverů klíčových partnerů přidat do IP allow listu dle následujícího návodu:

• Přihlásíme se na Mailbox server
• Start -> Programy -> Microsoft Exchange Server 2013 -> Exchange Management Shell (EMS)
• Spustíme příkaz Add-IPAllowListEntry -IPAddress <povolená IP>
• Výsledek ověříme příkazem Get-IPAllowListEntry

Více na: http://technet.microsoft.com/en-us/library/bb123554(v=exchg.150).aspx

Služba Sender Reputation

Tato kontrola IP adres má dva zdroje dat:

• Pomocí MU/WSUS získáváme aktuální seznam IP a jejich reputací na základě dat ze služby Hotmail Server vytváří vlastní hodnocení IP na základě průměrného SCL zpráv přijatých z této IP, sledování anomálií v rámci SMTP relace atd.
• Můžeme nastavit jak hodně restriktivně se má tato ochrana chovat a na jak dlouho zablokovat IP adresu se špatnou reputací. Protože například freemaily mívají běžně vysoké průměrné SCL, doporučuji nastavit tento typ ochrany ze začátku málo restriktivně a blokovat IP třeba jen na 4h. Pokud je vše v pořádku, můžete zkusit postupné zpřísnění nastavení.

Povolení a konfiguraci provedeme podle následujícího postupu:

• Přihlásíme se na Mailbox server
• Start -> Programy -> Microsoft Exchange Server 2013 -> Exchange Management Shell (EMS)
• Spustíme příkaz Set-SenderReputationConfig -SrlBlockThreshold 4 -SenderBlockingPeriod 4 –ExternalMailEnabled $true –InternalMailEnabled $false (povolíme filtr na externí zprávy s SRL 4 a vyšší a blokujeme odesílatele na 4 hodiny)

Více na: http://technet.microsoft.com/en-us/library/bb125186(v=exchg.150).aspx

Filtrování dle odesílatele (Sender filtering)

Tato ochrana je založena na testování e-mailové adresy odesílatele uvedené v hlavičce zprávy. Pokud chci globálně zakázat příjem zpráv z konkrétních e-mailových adres či celých domén, mohu použít následující postup:

Přihlásíme se na Mailbox server

• Start -> Programy -> Microsoft Exchange Server 2013 -> Exchange Management Shell (EMS)
• Spustíme příkaz Set-SenderFilterConfig -Enabled $true , který povolí filtrování odesílatele
• Spustíme příkaz Set-SenderFilterConfig -BlankSenderBlockingenabled $true ,který povolí filtrování zpráv bez příjemce
• Přidáme/Odebíráme blokované odesílatele a domény: Set-SenderFilterConfig -BlockedSenders @{Add="chris@contoso.com","michelle@contoso.com"} -BlockedDomains @{Remove="tailspintoys.com"} -BlockedDomainsAndSubdomains @{Add="blueyonderairlines.com"}

Více na: http://technet.microsoft.com/en-us/library/bb124087(v=exchg.150).aspx

Filtrování dle příjemce (Recipient filtering)

Tato ochrana je založena na testování e-mailové adresy příjemce uvedené v hlavičce zprávy.

• Filtrování dle příjemce povolíme příkazem: Set-RecipientFilterConfig -Enabled $true
• Pokud je požadováno zakázat příjem zpráv z Internetu pro konkrétní e-mailové adresy interních uživatelů, mohu je uvést zde:
• Set-RecipientFilterConfig -BlockListEnabled $true a definujeme seznam příjemců, kterým je zakázáno doručovat zprávy z internet pomocí příkazu: Set-RecipientFilterConfig -BlockedRecipients @{Add=”michelle@contoso.com”}

Velmi důležitou volbou je ověření, zda příjemce existuje v naší organizaci. Rozesílatelé spamu se totiž často pokouší posílat poštu na sice existující doménu, ale neexistující e-mailové adresy. Exchange server samozřejmě takovouto zprávu nedoručí, ale přesto je jejím zpracováním zbytečně zatěžován včetně zodpovědnosti za odeslání NDR. Řešením je kontrola existujících e-mailových adres ještě před vlastním přijetím zprávy. Tuto volbu tedy rozhodně doporučujeme nastavit příkazem: Set-RecipientFilterConfig -RecipientValidationEnabled $true

Více na: http://technet.microsoft.com/en-us/library/bb125187(v=exchg.150).aspx

Filtrování dle Sender ID (SenderID filtering)

Sender ID filtering kontroluje odchozí IP adresu SMTP serveru oproti seznamu schválených IP adres pro odesílání v doméně odesílatele. Tyto adresy jsou volitelně zveřejněny v DNS pomocí tzv. Sender ID TXTzáznamu. Pokud se zjistí, že e-mail je odeslán z neautorizované IP adresy, jedná se s vysokou pravděpodobností o nevyžádanou poštu a mohu s ní tak provést dvě akce:

• Odmítnout (není doporučeno)
• Smazat (není doporučeno)
• Označit a znevýhodnit v rámci content filteringu a výsledného skóre SCL

Nastavíme tedy filtrování

• Povolíme filtrování podle SenderID: Set-SenderIDConfig -Enabled $true
• Nastavíme akci pro zprávy z IP adres, které nejsou autorizovány odesílat zprávy z domény smtp adresy odesílatele: Set-SenderIDConfig -SpoofedDomainAction StampStatus

Více na: http://technet.microsoft.com/en-us/library/aa996295(v=exchg.150).aspx

Filtrování dle obsahu (Content filtering)

Filtrování dle vlastního obsahu zprávy je velmi důležitou součástí ochrany proti nevyžádané poště. Pokročilý algoritmus se snaží ohodnotit na základě rozpoznaných charakteristických znaků nevyžádané pošty nebo známých spamových kampaní číslem SCL (Spam Confidence Level) pravděpodobnost toho, zda se jedná o korektní e-mailovou zprávu či naopak spam. SCL = 0 znamená korektní zprávu, SCL = 9 naopak značí v podstatě 100% pravděpodobnost, že se jedná o zprávu nevyžádanou. Správce pak pro jednotlivé úrovně SCL určuje akci, která se má provést. Na výběr je z následujících možností:

• Zprávu smazat bez NDR
• Zprávu odmítnout
• Zprávu umístit do karantény
• Zprávu doručit uživateli, ale do zvláštní složky „Nevyžádaná pošta”

Nastavení akce

Dle praktických zkušeností je pro většinu firem nejvýhodnější následující seznam akcí, které uvádím včetně doporučených úrovní SCL:

• Zprávu smazat bez NDR – SCL = 9
• Zprávu odmítnout – SCL = 7, 8
• Zprávu doručit uživateli, ale do zvláštní složky „Nevyžádaná pošta” – SCL = 4, 5, 6

Karanténu je doporučeno nepoužívat, pokud to není nezbytně nutné. Používání karantény totiž značně zatěžuje správce systému údržbou karanténní schránky, kterou je nutné pravidelně kontrolovat a také čistit.

• První dvě akce nastavíme pomocí příkazu: Set-ContentFilterConfig –SCLDeleteEnabled $true –SCLDeleteThreshold 9 –SCLRejectEnabled $true –SCLRejectThreshold 7

Obrázek 2: Nastavení filtrování obsahu

• SCL pro doručování do složky Nevyžádaná pošta se pak nastavuje pomocí EMS příkazem: Set-OrganizationConfig -SCLJunkThreshold 4

Konfigurace povolených a blokovaných slov

Pomocí nastavení povolených slov je možné dramaticky snížit tzv. false-positive (chybné zablokování korektní zprávy). Každá organizace by se měla zamyslet s ohledem na její předmět podnikání a definovat si často používaná povolená slova. Pro firmu prodávající razítka to může být: razítko, razítka, objednávka atp.

Pokud je ve zprávě nalezené povolené slovo, SCL je automaticky nastaveno na hodnotu 0. Naopak pokud zpráva obsahuje blokované slovo, SCL bude stanoveno na úrovni 9.

Vše nastavíme v EMS příkazem: Add-ContentFilterPhrase -Influence GoodWord -Phrase <Povolené slovo> -Influence BadWord -Phrase <Zakázané slovo>

Specifikace výjimek pro konkrétní uživatele

V případě potřeby mohu také nastavit seznam příjemců pošty, pro které se bude filtrování obsahu zcela ignorovat.

Výjimky přidáváme/odebíráme opět příkazem: Set-ContentFilterConfig -BypassedRecipients @{Add="tiffany@contoso.com","chris@contoso.com"} -BypassedSenders @{Add="joe@fabrikam.com","michelle@fabrikam.com"} -BypassedSenderDomains @{Add="blueyonderairlines.com"; Remove="*.woodgrovebank.com"}

Nastavení vlastního textu NDR při zamítnutí zprávy

Zajímavou možností je také nastavení vlastního textu pro NDR, který se posílá odesílateli při zamítnutí na základě obsahu.

Vlastní text nastavíme pomocí EMS příkazem: Set-ContentFilterConfig -RejectionResponse „Zprava byla vyhodnocena diky svemu obsahu jako spam“

Více na: http://technet.microsoft.com/en-us/library/aa995953(v=exchg.150).aspx

Vybrané tipy pro optimalizaci antispamu

V předcházejících kapitolkách jsme popsali základní nastavení antispamu, které je nutné provést víceméně vždy. V závěrečné části se zaměříme na rozšiřující nastavení, která nám pomohou využít všechny výhody Exchange 2013 antispamu opravdu na maximum.

Malware filtr

Filtrování škodlivého kódu je povoleno již od instalace Exchange Server 2013, pokud si nezvolíme, že je chceme vypnout.

Malware filtr můžeme konfigurovat přes EAC: EAC: Protection -> Malware Filter -> kliknutím na ikonu tužky v případě potřeby změníme nastavení implicitní anti-malware politiky (záložka Settings)

SafeList Aggregation

Uživatel rozhraní Outlook Web Acces či Microsoft Office Outlook má možnost vytvořit si seznamy důvěryhodných odesílatelů (Safe Senders). Klient pak zprávy z těchto adres uživateli doručí vždy přímo do Doručené pošty. Jako uživatel tak mám možnost razantně ovlivňovat, jaké zprávy dojdou do Doručené pošty a jaké ne. Důležité je také vysvětlit, že bezpeční odesílatelé Uživatele A nejsou bezpečnými odesílateli pro uživatele B. Od Exchange Server 2010 dochází automaticky pomocí Mailbox Assistant službě k publikování těchto seznamů z uživatelských schránek do Active Directory a následně tedy i do Exchange organizace.

Individuální nastavení SCL akcí pro konkrétní schránku

V některých případech je požadováno nastavit jiné hranice SCL pro určené schránky. Nejen, že to je možné, ale dokonce můžeme pro konkrétního uživatele i jednotlivé typy filtrování zapnout/vypnout. Nastavení se provádí výhradně pomocí EMS.

Uvedeme si 2 příklady:

• Set-mailbox id „MBT“ –SCLRejectEnabled $false –SCLQuarantineEnabled $false –SCLDeleteEnabled $false – žádná zpráva pro MBT nebude ani smazána, ani odmítnuta ani předána do karantény
• Set-mailbox id „MBT“ –SCLRejectThreshold 5 – zprávy pro MBT se budou odmítat již pro SCL = 5

Whitelisting domény nebo adresy odesílatele

Pokud chci vynechat z filtrování obsahu konkrétní e-mailové adresy odesílatele či celé domény, mohu toto nastavit v EMS pomocí následujících příkazů:

• Set-ContentFilterConfig -BypassedSenderDomains microsoft.com
• Set-ContentFilterConfig -BypassedSenders knotek@kpcs.cz

Certifikáty a práce s nimi

Každý Exchange Server 2013 po instalaci automaticky disponuje certifikátem, který je vystaven na jeho vlastní jméno. Tento certifikát sice obsahuje správná jména a je vystaven na 5 let, ale jedná se o tzv. SelfSigned certifikát. To v praxi znamená, že takovému certifikátu nikdo nedůvěřuje, protože nezná vydávající certifikační autoritu (poznámka: ani nemůže, vydavatel je Exchange Server sám). Bez dalšího konfiguračního zásahu tedy nebude s Exchange serverem schopen korektně komunikovat jak Microsoft Office Outlook, tak také většina ActiveSync mobilních klientů. Bude proto nezbytné na Exchange serveru vystavit a nainstalovat certifikát nový – buď od komerční a důvěryhodné certifikační autority, nebo od autority interní.

Certifikát musí splňovat následující tři kritéria:

• Musí být platný (certifikáty jsou vydávány na konkrétní dobu, např. 1 rok)
• Jméno uvedené v certifikátu se musí shodovat se jménem, které volá klient
• Certifikační autorita, která certifikát vydala, musí být pro klienta důvěryhodná

Pozor! SelfSigned certifikát se jménem serveru se bude dál používat pro interní komunikaci mezi Exchange servery. Není proto vhodné certifikát ze systému mazat.

V případě, že si certifikát necháte vystavit vaší vlastní interní certifikační autoritou, bude nutné, aby každé zařízení komunikující s Exchange serverem „znalo“ vydávající certifikační autoritu. Jinými slovy, aby v seznamu důvěryhodných certifikačních autorit disponovalo kopií certifikátu samotné certifikační autority. U klientů Windows, kteří jsou členy domény, toho lze docílit snadno pomocí Group Policy. U klientů, kteří jsou mimo doménu a také u všech mobilních přístrojů se jedná o ruční a zdlouhavou práci, která se velmi obtížně automatizuje. Obzvlášť v případě, že máte ve firmě desítky, stovky, nebo tisíce různých zařízení. Doporučení je tedy zřejmé – kupte si certifikát od komerční a uznávané certifikační autority, která bude klientovi známa. V praxi bych měl jako správce Exchange prostředí tedy pečlivě zvážit, jaké mobilní klienty budeme ve firmě podporovat, ověřit si u každého přístroje seznam podporovaných důvěryhodných certifikačních autorit a teprve potom provést výběr a nákup vhodného certifikátu. Osobně můžeme doporučit certifikační autoritu Thawte (VeriSign), která je podporována na většině klientů a její ceny za roční certifikát jsou pro české firmy přijatelné (např. http://www.kpcs.cz/p/15/Digitalni-certifikaty – ceny se pohybují okolo 3.500,- Kč/rok).

Vraťme se ale k vytvoření samotné žádosti o certifikát, kterou vytvoříme pomocí:

• EAC: Servers -> Cetrificates -> Vybereme vhodný server pro vytvoření požadavku na certifikát a pak pomocí ikonky + (NewAdd) otevřeme nové dialogové okno
• Vybereme “Create a request for a certificate from a certification authority”
• Nastavíme jméno, doménu a vybereme, zdali chceme použít wildcard certifikát. Zvolíme, na jaký server se požadavek uloží -> Next
• Teprve v tomto okamžiku vybíráme, pro jaké služby a s jakými jmény se certifikát vytvoří

Obrázek 3: Příklad konfigurace certifikátu

• Vyplníme informace o společnosti, žádost uložíme na disk a posléze ji doručíme certifikační autoritě

Jakmile certifikační autorita žádost schválí, spárujeme platný certifikát s předchozí žádostí (poznámka: tedy s privátním klíčem, který naše prostředí nikdy neopouští):

• EAC: Servers -> Cetrificates -> klepnutím na žádost a volbou „Complete”

Obrázek 4: Kompletace certifikátu

Pokud vše dopadlo v pořádku, máme certifikát připraven k nasazení. Certifikát přiřadíme ke službám Exchange:

• EAC: Servers -> Certificates -> vlastnosti -> záložka Services
• Službám Exchange jsou nyní mimo jiné nastavena jména, na kterých budou naslouchat podle toho, co jsme nastavili v předchozím průvodci

Závěrem

V příštím dílu se podíváme na nastavení služeb Client Access Server role, konkrétně Autodiscover, Outlook Web App (OWA), Exchange ActiveSync a Outlook Anywhere..

Tým KPCS CZ (http://www.kpcs.cz)
Martin Pavlis, Miroslav Knotek, Zbyněk Saloň
 

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.