Oversikt

I denne artikkelen skal vi se på de nye mulighetene som er en del av Exchange Server 2003 SP2, for å bekjempe spam. Vi starter med en generell gjennomgang og utvider dette til detaljerte konfigurasjonsforklaringer. I fremstilling benyttes engelske ord og utrykk for å binde dette til en engelske språklig versjon av Exchange Server SP2. Dersom du ikke har installert Exchange Server SP2 på din Small Business Server 2003, kan du finne en artikkel om dette her på smalbizserver.no.

Essensen i spam bekjempelse er bortfiltrering av uønsket e-post. Dette også i Exchange Server 2003 SP2. Bort filtrering av e-post kan prinsipielt sett gjøres på tre måter:

• Connection Filtering
• Protokoll Filtering
• Content Filtering

Connection Filtering

Connection filtering dreier seg om å avvise eller godta opprettelsen av en forbindelse til Exchange Server for levering av inngående e-post basert på avsenders IP adresse. Poenget er her at forbindelsen mellom avsender og mottager kan brytes og at e-posten som sådan, aldri når frem til Exchange Server og mottageren. Connection filteringen kan foregå gå på tre vis:

• Global accept list; hvis IP adressen til avsenderen av e-postens står i Global accept listen, aksepterer Exchange Server forbindelsen og mottar e-posten.
• Global deny list; hvis IP adressen til avsenderen av e-posten står oppført i Global deny list, avviser Exchange Server forbindelsen og mottar ikke e-posten.
• Real-Time Block lists; hvis IP adressen til avsenderen er oppført i den eksterne block listen, kan Exchange Server etter nærmere regler avvise forbindelsen. E-posten kommer derfor ikke inn i motagende Exchange Server.

Protokoll Filtering

I denne filtreringsformen dreier det seg om e-post adresser og domenefiltrering. Prinsipielt sett kan dette foregå på fire måter:

• Sender filtering; basert på en brukerdefinert liste med domener avvises mottaket av e-post dersom avsenderen finnes på denne listen.
• Resipient filtering; basert på en brukerdefinert liste med mottagere (e-postadresser) avvises mottaket av e-post dersom mottageren finnes på denne listen.
• Aktiv directory filtering; hvis mottageren dvs e-postadressen som e-posten skal til ikke er i Aktive Directory, avvises e-posten (Denne filtreringsformen er sårbar for directory harvesting attacks (DHA) se følgnede artikkel om tarpitting.)
• Sender ID filtering; verifisere avsenders IP adresse (domene) mot en på forhånd definert liste med gyldige avsender domener og IP adresser. E-post kan avvises eller merkes dersom avsenderen ikke er oppført i den på forhånd definerte listen.

Content Filtering

I denne filtreringsformen vurderes innholdet i e-posten. Basert på nærmere regler merkes e-posten med en SCL kode dvs en sannsynlighetfaktor for spam som oppgis på en skala fra 0 til 9. Basert på denne sannsynlighetskoden kan Exchange Server og e-post lesere treffe beslutninger på behandlingen av e-posten. Prinsipielt sett kan dette foregå på to måter:

• Intelligent Message Filter Basert på spam sannsynlighetsfaktoren (SCL) kan Exchange Server merke, videre sende, arkivere, slette og nekte mottak av e-post.
• Outlook og Outlook Web Access har Junk e-mail behandling. Vi finner også andre fuksjoner som Safe senders list, Blocked senders list, safe resipients list og auto update.

Tips:

Husk nå på at du må gjøre to typer av konfigureringer. Først må du konfigurere filtrene som du ønsker å bruke. Deretter må du slå på filtrene i SMTP tjenesten. De siste punktet skaper forvirring hos mange.

Oppsummering

Figur 1 – Skjematisk oversikt over filtreringsmekanismene, rekkefølgen for eksekvering og de respektive steder hvor mekanismene kan konfigureres i Exchange SP2. (For en skjematisk oversikt se appendiks A).

Global Accept List

I global accept list kan vi registrere IP adresser som vi aksepterer e-post fra. Når det opprettes en forbindelse til vår Exchange Serveren undersøker Exchange om avsenderen er på global accept list. Hvis avsenderens IP adresse er der, avsluttes andre former for connection, resipient og sender filtrering og e-posten mottas av Exchange Server (For en skjematisk oversikt se Appendiks A).

Figur 2 – Global Accept List finner vi ved å starte Echange System Manager, ekspandere Global Settings, høyreklikke Message Delivery og velge Properties. Velg fanen Connection Filtering og klikk på Accept knappen. Da åpnes Globale Accept List og nye oppføringer kan gjøres ved å trykke på Add. (For en skjematisk oversikt se appendiks A).

Global Deny List

I global deny list kan vi registrere IP adresser som vi ikke aksepterer e-post fra. Når det opprettes en forbindelse til vår Exchange Serveren undersøker Exchange om avsenderen er på global deny list. Hvis avsenderens IP adresse er der, avbrytes forbindelsen og e-post mottak avvises. Det skjer ingen videre behandling etter dette ( For en skjematisk oversikt se appendiks A).

Figur 3 – Global Deny List finner vi ved å starte Echange System Manager, ekspandere Global Settings, høyreklikke Message Delivery og velge Properties. Velg fanen Connection Filtering og klikk på Deny knappen. Da åpnes Globale Accept List og nye oppføringer kan gjøres ved å trykke på Add. (For en skjematisk oversikt se appendiks A).

Real-Time Block lists

Dette er klar den mest nyttige funksjonen i Exchane Server SP2. Vi skal derfor se nøye på hvordan Exchange Server SP2 oppfører seg og hvordan vi kan konfigurere den. Exchange Server SP2 støtter bruk av Real-Time Block Lists (RTBL). For å blokkere spam kan vi registrere en eller flere RTBL lister i Exchange som da vil sjekke avsenders IP adresse mot den(de) eksterne listen(ene) for å avgjøre om e-post fra denne forbindelsen kan aksepteres. Hvis avsenders IP adresse befinner seg på RTBL listen vil Exchange blokkere mottaket av e-post og sende en konfigurerbar respons e-mail til avsenderen.

Detaljert fremstilling av RTBL

Det opprettes en forbindelse til vår Exchange Server SP2 for å oversende en e-post til oss. Vår Exchange Server SP2 finner tak i IP adressen til forbindelsen og undersøker så om denne IP adressen befinner seg på den RTBL som er registrert i Exchange Server. Dette gjør Exchange server ved å gjøre et DNS oppslag i den eksterne RTBL listen. Den eksterne RTBL besvarer vår forespørsel med en kode; ”Host not found” eller koden 127.0.0.X, der X indikerer hvorfor avsenders IP adresse står på listen. Hvis Avsenders IP adresse er i listen dvs vi får svaret 127.0.0.X kan vi konfigurere Exchange Server SP2 til å blokkere mottaket. Hvis Exchange Server SP2 er konfigurert til å blokkere mottaket vil vår SMTP generere en 550 5.x.x feilmelding RCPT TO kommandoen og en av oss konfigurerbar feilmelding vil bli laget til avsenderen, og e-post mottaket avvis.

RTBL (Real-Time Block Lists)

127.0.0.X responsen på vår DNS oppslag vil variere med hvilken RTBL vi benytter. Vi må derfor sette oss inn i de listene vi ønsker å benytte slik at vi kan konfigurere Exchange Server korrekt.

Tabell 1 – Vanlige returverdier fra DNS oppslag i RTBL lister. Vær oppmerksom på at disse verdiene vil kunne variere mellom de enkelte RTBL lister.

Etter som denne teknologien har utviklet seg finnes det i dag en rekke aktører i markedet. Noen aktører tar seg betalt og noen ikke. Et søk på internett vil avdekke mange lister som kan benyttes. I denne fremstillingen vil jeg trekke frem en leverandører og se nærmere på denne.

http://www.spamhaus.org

Spamhaus har to gratis lister; SBL og XBL. Disse listene kan oppsummeres som følger:

Tabell 2 – Forklaringer på returverdier fra DNS oppslag i RTBL listester hos spamhous.org.

Konfigurasjon av Exchange SP2 RTBL

Figur 4 – RTBL finner vi ved å starte Echange System Manager, ekspandere Global Settings, høyreklikke Message Delivery og velge Properties. Velg fanen Connection Filtering og klikk Add. (For en skjematisk oversikt se appendiks A).

Tips:

Hjelpetekster under konfigurasjonen kan være nyttige. Exchange Server Sp2 kan være installert uten hjelpetekster. En separat nedlastning og installasjon må gjøres av dette. Hvordan artikkel for dette finner du her.

Forklaringer på feltene i figur 5

Display Name er et felt for generell beskrivelser av listen.

DNS Surffix of Provider er det felte hvor RTBL listen navn skal registreres. Tar vi utgaspunkt i spamhaus.org ville vi her registrere sbl.spamhaus.org, xbl.spamhaus.org eller sbl-xbl.spamhaus.org.

Custom Error Message to Return I dette feltet kan vil lage en tilpasset melding som returneres til avsender. Alternativt kan vi la feltet stå blank. Et blankt felt vil generere følgende melding til avsender:

<IP address> has been blocked by <Connection Filter Rule Name>.

Alternativ kan man sette sammen en brukerdefinert melding med følgende tokkens (variabler):

• %0 = Connecting IP adresse
• %1 = Rule name of the connectiong filter
• %2 = The RTBL provider

Eksempel: Blokkert IP adresse: %0 fordi den er oppført i %2 RTBL som %1.

Figur 5 – Etter å ha registrert basisinformasjon for RTBL listen må vi så konfigurere Exchange Server respons til denne. Dette gjør vi ved å klikke på Return Status Code…

Forklaringer på feltene i figur 6

Match Filter Rule to any Return Code

Velger vi denne løsningen vil e-post fra IP adresser hvis DNS oppslag som får et positivt svar (dvs at IP adressen befinner seg på listen) bli avvist. 

Match Filter Rule to the Following Mask

Velger vi denne løsningen vil e-post fra IP adresser hvis DNS oppslag som får et bestemt svar ( for eks 127.0.0.2) bli avvist. Vi må da registrere den retur verdien som Exchange Server SP2 skal reagere på. 

Match Filter Rule to any of the Following Responses

Velger vi denne løsningen vil e-post fra IP adresser hvis DNS oppslag som får ulike svar (for eks 127.0.0.2, 127.0.0.3, 127.0.0.4 osv) bli avvist. Vi må da registrere de retur verdien som Exchange Server SP2 skal reagere på.

Figur 6 – I dette eksempelet registreres returverdier for SpamHause jfr tabell 2.

Sender Filtering

Når vi bruker sender filtrering ønsker vi å blokkere mottak av e-post fra bestemte kilder (brukere og eller domener).

Figur 7 – Sender Filtering finner vi ved å starte Echange System Manager, ekspandere Global Settings, høyreklikke Message Delivery og velge Properties. Velg fanen Sender Filtering og klikk Add. (For en skjematisk oversikt se appendiks A).

Tips:

Her kan e-post adresser registreres. Du kan også bruke wildcard og stege ute hele domer for eks: *@domene.com.

Figur 8 – I dette skjermbilde ser vi de ulike alternativer som kan slås av å på. Se etterfølgende forklaringer. (For en skjematisk oversikt se appendiks A).

Forklaringer på feltene i figur 6

Archive filtered messages

Hvis du slår på denne, arkiveres filtrert e-post.

Tips:

Dette er en farlig liten knapp. Årsaken ligger i det forhold at katalogen som mottat avvist e-post fylles opp til disken er full. Avvist e-post blir liggende som filer og de slettes ikke automatisk. Det kan derfor samle seg betydelig menger av avvist e-post som manuelt må slettes.

Tips:

Hvis du slår på Archive filtered messages arkivere e-posten pr default i katalogen C:\Program Files\Exchsrvr\Mailroot\<Server_Name>\Filter (KB821881). Der <Server_Name> er navnet på SMTP virtual server som filtrerte meldingen.  Denne katalogen opprettes automatisk når første e-post blir filtrert. Ikke bland denne katalogen sammen med katalogen hvor IMF kan arkivere spam (se senere i artikkelen). Når man slår på denne arkiveringen må man være oppmerksom på at e-post som havner her ikke blir slettet automatisk. Dette kan således fylle opp en hardt tiltrengt C disk.

Filter messages with blank sender

Noen spammere sender e-post uten avsender. Slå på denne knappen hvis du ønsker å blokkere slik e-post.

Drop connection if address matches filter

Slå på denne dersom du ønsker å bryte forbindelsen til avsendere som befinner seg på Sender Filter listen.

Accept messages without notifying sender of filtering

Slå på denne dersom du ønsker å forhindre oversendelse av NDR (ikke levert rapport) til avsenderen som ble nektet levering av e-post.

Tips:

Hvis du mottar store menger med e-post som blokkeres, kan de det forbedre ytelsen i serveren å slå på denne.

Recipient Filtering

Når vi skal gjøre denne typen av filtrering er det viktig å ha klart for seg ar Recipient betyr mottager på Norsk. Det er således ikke avsenders e-post adresse som skal registreres. Det er mottagers adresse som eventuelt skal stenges for mottak av e-post. Vi har altså en situasjon hvor det sendes e-post til en adresse som for eks ikke er i bruk. Dette filteret vil blokkere levering av e-post til den oppførte e-post adresse eller hele domener ved bruk av wildcard.

Figur 9 – Recipient Filtering finner vi ved å starte Echange System Manager, ekspandere Global Settings, høyreklikke Message Delivery og velge Properties. Velg fanen Recipient Filtering. Vi kan her legge inn e-post adresser som ikke skal motta e-post, eller hele domener ved bruk av Wildcard (*.MittDomene.com). Men, vi kan også konfigurere Exchange Server til å blokkere e-post som blir sendt til e-post adresser som ikke eksisterer i Active Driectory. Denne funksjonaliteten kan tidvis være svært nyttig. (For en skjematisk oversikt se appendiks A).

Bortfiltrering av e-post som ikke har adresse i Activ Directory

For å slå på denne typen av filtrering, sjekk den blå pilen i firgur 8. Vær oppmerksom på at denne funksjonaliteten i Exchange Server kan benyttes til e-post adresse innsamling (sårbarhet for directory harvesting attack (DHA). Tarpitting bør justeres. Sjekk følgende artikkel før du konfigurerer dette.

Sender ID filtrering

Prinsippet for Sender ID filtrering er nokså enkelt. I en offentlig tilgjengelig database registreres domener og IP adresser som det sendes e-post fra. Denne registrering er gratis. Når Exchange Server SP2 skal motta en e-post sjekker Exchange om avsender informasjonen i e-posten er registrert i den offentlige databasen. På bagrunn av mottatte opplysninger treffer så Exchange sine avgjørelser.

Figur 10 – Av overstående skjermbilde ser vi at det eksisterer tre alternativer. Accept er default verdien. Tror ikke dette trenger noen videre forklaringer. (For en skjematisk oversikt se appendiks A).

Exchange Intelligent Message Filter

Her har Microsoft utviklet et effektiv spam filter. Når e-posten er mottatt av Exchange Server kan denne skannes. Grunnlaget for scanningen er basert på bearbeiding av innholdet i e-posten. Logikken og programmet oppdateres også løpende gjennom Microsoft Update! Dette er som sådan bra saker.

Figur 11 – Vi ser her konfigureringsvinduet for Intelligent Message Filtering. (For en skjematisk oversikt se appendiks A).

Forklaringer på feltene i figur 11

Block messages with an SCL rating greater that or equal to:

IMF skanner altså e-posten og kan avvise denne og gir denne en verdi mellom 0 og 9. Jo større verdien er, jo mer sannsynlig er det at dette er spam. Under denne parameter kan vi blokere e-post som er større eller lik den verdien vi setter her.

When bloking messages:

Når IMF rater en e-post lik eller over ”Block treshold” kan vi bestemme hva som skal skje med denne e-.posten. Vi kan gjøre følgende; akrivere, slette, avvise eller gjøre ingen ting. Jeg vil komme nærmere inn på hvor denne posten eventuelt arkiveres.

Tips:

Hvis du velger å arkivere blokkerte meldinger arkiveres de pr default her: C:\Program Files\Exchsrvr\Mailroot\vsi <n>\UceArchive. Der <n> er er SMTP virtual server nummeret.

Tips:

Du kan forandre på den katalogen som benyttes for arkivering ved å lage en registry key ArchiveDir på følgende lokalisering i registry; HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange\ContentFilter SjekkAappendiks B 

Tips:

Du kan arkivere SCL sammen med filtrert og arkivert e-post ved å lage en registry key ArchiveSCL på følgende lokalisering i registry;

HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange\ContentFilter  SjekkAappendiks B 

Tips:

Du kan tvinge IMF også til å skanne autentisert e-post ved å lage en registry key CheckAuthSessions på følgende lokalisering i registry;

HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange\ContentFilter  SjekkAappendiks B

Tips:

BadMail kan være et problem på en hardt presset harddisk.  Sjekk derfor denne linken. Denne rutinen rydder opp BadMail katalogen. Bruker den selv på en SBS 2000 boks.

Tips:

Et program (IMF Archive Manager) kan lese og behandle arkivert post. Dette programmet kan du finne forklaringer på og laste ned her.

Move messages with an SCL rating grater than or equal to:

Denne parameteren bestemmer hvordan e-posten skal behandles i brukerens e-post kasser. Dersom brukeren benytter Outlook 2003 eller OWA tilhørende Exchange server 2003, vil posten automatisk kunne flyttes til brukerens Junk E-post kassen. Dette er vist i figuren under.

Tips:

I følge ”known issues” i release notes til Exchange SP2 er det kommet inn en feil her i teksten. Teksten ”Move messages with an SCL rating grater than or equal to” skulle kun inneholdt “grater than”!

Tips - Hvorfor får noen meldinger SCL -1?

E-post som sendes til Exchange Server av brukere som har autentisert seg får automatisk SCL -1. Slike meldinger kan typisk komme fra Outlook og OWA. Dette sikrer at disse meldingene ikke blir blokkert av IMF. Dette kan være et potensielt problem for applikasjoner på serveren som sender e-post, for eks UPSer, Backup programmer og lignende. Disse programmene bør konfigureres til å autentisere seg og ikke sende uautentisert e-post som kan blokkeres av IMF, og på den måten havne i Junk E-mail foder eller rett å slett bli slettet (KB867633).

Tips:

IMF kan ikke benyttes på Public Folders (KB867633).

Tips:

IMF kan ikke ekskludere en bestemt avsender fra IMF Hvis du trenger denne funksjonaliteten vennligst sjekk KB912587.

Figur 12 – Prinsippene for behandling av SCL merket e-post i Outlook før og etter versjon 2003.

Outlook 2003

Denne artikkelen handler om Exchange Server SP2 men noen kommentarer knyttet Outlook 2003 kan være på sin plass så lenge det er knyttet til emnet.

Figur 13 – Har startet Outlook 2003 og viser her stien frem til det stedet hvor Useriøs e-post kan konfigureres (Handlinger – Useiøs e-post – Alternativer for useriøs e-post).

Figur 14 – I dette skjermbilde ser vi konfigureringen av default alternativer. Skjermbildet taler for seg selv.

Outlook Web Access

Denne artikkelen handler om Exchange Server SP2 men noen kommentarer knyttet Outlook Web Access 2003 kan være på sin plass så lenge det er knyttet til emnet.

Figur 15 – Her er Outlook Web Access startet og vi ser stien som er fulgt for å finne frem til stedet hvor OWA kan konfigureres.

Hvordan slår vi så det hele på?

Etter å ha konfigurert de respektive filtre må vi slå på disse tjenestene på SMTP serveren. Det er nok mange som kan ha gjemt dette underkonfigurasjonen å lurt på hvorfor konfigureringen ikke virker. La oss ta en nærmere titt.

Figur 16 – Når du så har konfigurert alle filtre må du ikke glemme å slå disse på for SMTP tjenesten. I motsatt fall vil de slets ikke virke. Start Exchange System Manager, ekspanders Servers, høyreklikk <sbs server> finn fanen General, klikk på Advanced, klikk Edit. Her finner du menyen for å sjekke ut hvilke filtre du faktisk skal benytte på din SMTP protocol. Tror ikke jeg trenger å si mer på dette punkt?

Tips

Tror du etter dette at POP3 er dekket med IMF? Hvis du er i til, tvil ikke lenger. Den er ikke dekket. IMF og andre filtre beskytter ikke e-post lastet ned med POP3. Nedlastet e-post med POP3 vil bli levert direkte i brukers postkasse.

Tips

Hvis IMF slutter å virke kan dette skylles at IMF v.1 ikke ble avinstallert forutfor installasjonen av Exchange Server SP2. Under normal installasjon av Exchange Server SP2 vil installasjonsrutinene varsle om at IMF v.1 må fjernes manuelt. Det har vist seg i praksis at dette ikke alltid er tilfelle. Sjekk følgende artikkel.

Tips

IMF skanner ikke e-post som er større en 3 MB. Hvis e-posten har et stor vedlegg vil den alså ikke bli skannet.

Hvordan slå på oppdatering av Exchange Server Intellighent Message Filter (IMF)?

Det er langt fra alle som har fått med seg at IMF kan oppdateres gjennom Microsoft Update (MU). MU leverer faktisk to oppdateringer i måneden til dette filteret. Dette er forklart her. For de som ikke kjenner MU og trenger en forklaring så finnes denne her.

Altså, for at Microsoft ikke skal tråkke for mange produsenter av spamfiltre på tærne må vi foreta oss noe selv for å få oppdateringer til IMF. Vi lege inn en registry key. Det hele for å motta oppdateringer til spam filteret.

Tips

Det er Beste Praksis å ta en backup av registry før du utfører disse endringene. How to finner du her.

Vi skal legge inn en registry key på følgende sted:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange

Figur 17 – Starter Run og skriver inn REGEDIT.

Figur 18 – Har navigert meg frem til: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange. Høyreklikker Exchange, velger New, Velger DWORD.

Figur 19 – Ny verdi har kommet inn. Du kan skrive inn ContentFilterState, alternativt må du rename denne registry key.

Figur 20 – Du la kan hende ikke inn en verdi? Velger Rename og skriver inn: ContentFilterState.

Figur 21 – Høyreklikk og velg Modify.

Figur 22 – Bruk default verdi Hexadecimal, og skriv inn verdien 1.

Figur 23 – Slik skal det se ut.

Figur 24 – Da er tiden kommet tilå teste det hele. Kjør Microsoft Update. Du skal nå finne Update for Intelligent Messages Filter der. Hvis du gjør det er alt ok. (har spart denne).

Tips:

Hvis det er slik at du er en mostander av autmatisk Microsoft Update (?) kan du sjekke ut dette VB scriptet her.

Tips:

Microsoft Update vikret ikke? Sjekk at registry key er korrekt. Hvis ok, Restart Simple Mial Transfer Protocol (SMTP) service.

Custom Weighting Features

Nei, ikke denne gangen. Denne artikkelen er lang nok.

Lykke til!

Dag Staale Jenssen

13.09.2006