IT-wiki.pl

Serwer Microsoft Exchange 2003, podobnie jak każdy inny serwer pocztowy, dobrze jest wyposażyć w ochronę antyspamową, najlepiej odrzucającą spam jeszcze na poziomie sesji SMTP.
Nawet jeÅ›li nie mamy takiego rozwiÄ…zania, warto „uzbroić serwer” w możliwość filtrowania adresów oraz funkcji tar pitting.

Co na tym zyskamy?

Pierwsza z funkcji spowoduje sprawdzanie adresu email w katalogu globalnym i odrzucenie wiadomości na nieistniejący adres już na poziomie sesji SMTP. Nie będzie wówczas potrzebne dalsze przetwarzanie wiadomości przez serwer i odsyłanie komunikatu NDR. Bez tej funkcji wiadomość mająca kilka megabajtów zostałaby przyjęta, przetworzona, a dopiero potem odesłany komunikat NDR, zaś z uruchomionym filtrowaniem adresów wiadomość zostaje odrzucona niemal od razu. Będzie to zatem korzystne i dla zasobów serwera i obciążenia łącza.
Dodatkowo, jeśli (a na ogół tak jest) spamer podszywa się pod jakąś domenę, komunikaty NDR byłyby wysyłane właśnie na nią co mogłoby spowodować umieszczenie naszego serwera na czarnej liście. Dlaczego nie można wyłączyć komunikatów NDR? Byłoby to może wygodne, ale takie komunikaty (pozwalające wierzyć nadawcy, że jeśli nie dostanie takiego komunikatu, to znaczy, że wiadomość została doręczona) są wymagane przez standard RFC 2821. Jego nieprzestrzeganie też może zakończyć się na czarnej liście serwerów ignorujących ten standard.

Uruchomienie drugiej z proponowanych funkcji czyli tar pit  zaowocuje z kolei opóźnieniem odpowiedzi serwera zawierającymi kody typu 5.x.x . Do czego to służy? Opóźnienie odpowiedzi w sesji SMTP utrudni zalewanie serwera wiadomościami (harvesting) na utworzone metodą słownikową adresy i tworzeniu bazy istniejących adresów do późniejszego spamowania. Wszystkie adresy, z których serwer nie odbił wiadomości byłyby odznaczane w bazie spamera jako dobre adresy. Jak nietrudno się domyślić jeśli każda odpowiedź o nieprawidłowym adresie będzie wysyłana po kilku sekundach  zamiast w ciągu milisekund to atak dużą, idącą w tysiące bądź nawet setki tysięcy rekordów, będzie z punktu widzenia spamera trwał nieopłacalnie długo.

 Skoro wyjaśniliśmy pokrótce, dlaczego warto to zrobić, przystąpmy do dzieła.

Filtrowanie adresów

Włączamy filtrowanie adresów

Aby uruchomić sprawdzanie adresatów w katalogu i odrzucanie wiadomości w sesji SMTP uruchamiamy aplikację Exchange System Manager (ESM), rozwijamy zakładkę Global Settings i klikamy prawym przyciskiem myszy na Message Delivery. Tu znajdujemy zakładkę Recipient Filtering, zaznaczamy Filter Recipients who are not in Active Directory i zatwierdzamy zmianę.
Następnie rozwijamy Administrative Groups, {nazwa grupy},  Servers, {nazwa serwera}, Protocols, SMTP i wybieramy właściwości dla Default SMTP Server. Na zakładce General klikamy  Advanced, następnie (mając zaznaczony adres IP) edit. Tutaj zaznaczamy Aply Recipient Filter i zatwierdzamy zmianę. Po restarcie usługi SMTP, wszystkie wiadomości na adresy, których nie będzie w AD zostaną odrzucone już w trakcie sesji SMTP.

Przypisanie filtra do serwera SMTP

Warto zagłębić się w możliwości filtrowania serwera MS Exchange 2003 (np. korzystanie z serwerów RBL) i zrobimy to w jednym z następnych artykułów.

Opóźnienie komunikatów 5.x.x
Aby aktywować tą funkcję, otwieramy edytor rejestru i rozwijamy gałąź HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\Parameters. Tu tworzymy nową wartość DWORD, nadajemy jej nazwę TarpitTime i czas (np. 2) opóźnienia w sekundach.