Сбор статистики работы фильтров антиспама в Microsoft Exchange Server 2007

В состав Exchange 2007 входит ряд инструментов для борьбы со спамом. В их число входят:

  • Connection filtering (Фильтрация подключений ) – использование разрешенных и запрещенных списков на основе IP-адресов, а также провайдеров списков блокируемых адресов реального времени (real-time block lists, RBL);
  • Sender filtering (Фильтрация отправителей) – явное блокирование адресов и доменов, с которых поступает нежелательная почта;
  • Recipient filtering (Фильтрация получателей) – блокирование возможности получения сообщений некоторым пользователям сети или на адреса, отсутствующие в глобальной адресной книге предприятия;
  • Sender ID (Идентификация отправителя) – сопоставление поля «From» («От») сообщения с реальным доменным именем и проверка разрешения на отправку от этого имени почтового сервера;
  • Content filtering (Фильтрация содержимого) – новая версия фильтра Exchange Intelligent Message Filter, впервые появившегося в Exchange 2003. Оценивает содержимое входящих сообщений и в соответствии со статически значимым набором сообщений определяет уровень определенности спама, присваивая рейтинг от 0 до 9. Имеется возможность объединения клиентских списков надежных отправителей и создание карантина нежелательной почты;
  • Sender reputation (Репутация отправителя) – проверка сообщений по трем различным критериям, также фильтрация после присвоение рейтинга исходя из анализа минимум 20 сообщений отправителя;
  • Attachment filtering (Фильтрация вложений) – позволяет запретить доставку вложений с указанными расширениями. Данная возможность отсутствует при настройке защиты на сервере с ролью «Hub Transport».

Статья по настройке и работе фильтров находится в процессе написания, а сейчас я хотел бы рассказать о сборе статистики работы данных инструментов.

Статья по настройке фильтрации опубликована на сайте — для Exchange 2007, добавления по Exchange 2013/2016.

Итак, все действия, выполняемые фильтрами, записываются в лог, находящийся, при дефолтной установке, в папке %programfiles%\Microsoft\Exchange Server\TransportRoles\Logs\AgentLog

По умолчанию максимальный размер папки с логами — 250 Мб, хранение 30 дней и максимальный размер файла 10 МБ. Для изменения параметров необходимо открыть в блокноте файл %programfiles%\Microsoft\Exchange Server\Bin\EdgeTransport.exe.config и внести следующие изменения:

Для изменения максимального размера папки с логами до 500 Мб добавьте в файл значение —

<add key=»AgentLogMaxDirectorySize» value=»524288000″ />

Для изменения времени хранения до 60 дней —

<add key=»AgentLogMaxAge» value=»60.00:00:00.00″ />

Для измения максимального размера каждого файла до 50 Мб —

<add key=»AgentLogMaxFileSize» value=»52428800″ />

Обращаю ваше внимание, что возможность изменения данных параметров присутствует только в Microsoft Exchange Server 2007 SP1, в RTM этой возможности нет!

Вывод статистики по работе агентов осуществляется с помощью Exchange Management Shell. Основной командой является Get-Agentlog, однако можно также использовать другие командлеты, входящие в состав Exchange`a и находящиеся в папке %programfiles%\Microsoft\Exchange Server\Scripts:

Get-AntispamSCLHistogram.ps1 | sort-object Name
Выводит статистику фильтрации сообщений по уровню SCL

Get-AntispamFilteringReport.ps1 messagesrejected
Выводит статистику работы фильтров по обработке сообщений, может иметь следующие параметры:

  • MessagesRejected — количество отклоненных фильтрами сообщений;
  • MessagesDeleted — количество удаленных фильтрами сообщений;
  • MessagesQuarantined — сообщения, помещенные в карантин;
  • Connections — обработка соединений;
  • Commands — обработка команд

Get-AntispamTopBlockedSenderIPs.ps1 -top 20
Вывод списка первых 20-ти заблокированных Ip-адресов;

Get-AntispamTopBlockedSenderDomains.ps1 p1
Вывод списка  первых заблокированных доменов отправителей нежелательной почты. В качестве параметра указывается необходимое поле заголовка — с конверта сообщения (p1), или с заголовка сообщения (p2);

Get-AntispamTopBlockedSenders.ps1 p1
Аналогичная предыдущей команда, выводит список первых заблокированных отправителей;

Get-AntiSpamTopRBLProviders.ps1
Предоставляет список используемых RBL-провайдеров с указанием количества заблокированных ими сообщений;

Get-AntispamTopRecipients.ps1
Список первых заблокированных получателей.

В качестве параметра каждого из приведенных выше командлетов можно использовать функции -StartDate и -EndDate, которые позволяют вывести статистику только за определенный промежуток времени, например:

выводит статистику работы фильтров со 2-го по 6-е мая, форматирует в таблицу и сортирует по имени. Или

показывает количество сообщений, помещенных в карантин 20 апреля.

Обратите внимание, при указании даты в качества параметра командлета Get-AgentLog используется формат «дд/ММ/ГГГГ», а при указании для остальных командлетов — «ММ/дд/ГГГГ»

На сладкое привожу скрипт, выполняющий отправку по электронной почте статистики по фильтрации спама за предыдущую неделю с понедельника по воскресенье:

Скрипт необходимо сохранить в файл с расширением ps1 и запускать, например, раз в неделю с помощью планировщика.

Удачи в борьбе! 🙂

Комментарии ( 29 )

  1. Vivaldi
    says:

    Ой, благодарю

  2. Danilla
    says:

    Полностью согласна!

  3. Vlaserted
    says:

    Почему подписка еще бесплатная? :))

  4. Buterder
    says:

    Спасибо. Добавлено в закладки

  5. Centuraol
    says:

    Неоднократно доводилось читать подобные посты на англоязычных блогах, но это не значит что ваш пост мне не понравился

  6. Xashered
    says:

    Согласен, что пост получился удачным. Хорошая работа!

  7. Derevokas
    says:

    Отлично!!! Вместо книги на ночь.

  8. Cederash
    says:

    Почему подписка еще бесплатная? :))

  9. CashRashed
    says:

    спасибо за статью… добавил в ридер

  10. Ferinannnd
    says:

    Действительно то что надо! А то сколько не лазишь по нету сплошное бла бла бла. Но не тут, и это радует!

  11. Zashited
    says:

    Мне кажется очень хорошо

  12. Avertedd
    says:

    Ух ты, мне понравилось!

  13. Derevvvo
    says:

    Шрифт трудно читается у вас на блоге

  14. Aderevit
    says:

    Офигеть просто! Все, блин, всё знают, кроме меня

  15. Killogramm
    says:

    Оригинальная идея. Интересно сколько времени он на это потратил

  16. Yorikk
    says:

    Давно искала эту информацию, спасибо.

  17. Sashha
    says:

    Я заметил, некоторые блоггеры любят провоцировать читателей, некоторые даже сами провокационные комменты оставляют сами у себя на блоге

  18. Gallinka
    says:

    И да прибудет с нами сила.

  19. Dimmka
    says:

    Чтобы ничего не делать, надо это хорошо уметь. Ага? Еще что нибуть по этой теме охото.

  20. Anuttka
    says:

    Оценка 5, базару ноль

  21. Сергей
    says:

    Большое спасибо за работу и предоставленную информацию.

  22. Sashkka
    says:

    Интересная тема, Спасибо!

  23. Svetllana
    says:

    не информативно как- то

  24. kvazar
    says:

    Спасибо всем за лестные и не очень отзывы. Буду и дальше стараться радовать вас интересными постами.

  25. Газификация
    says:

    ТС, не стоит обольщаться.
    PS: А в целом не понятен общий смысл.

  26. однорукий бандит купить
    says:

    ок , то что искал

  27. Pingback: Настройка Event Collector в Windows Server 2008 | Kyianyn – Live

  28. настенные крепления для подвесов
    says:

    недурно ) ладно

  29. Макс
    says:

    Хз зачем это нужно, в гмайле спама нет

Добавить комментарий

Ваш адрес электронной почты не будет опубликован. Обязательные поля отмечены знаком *

15 + 1 =

Яндекс.Метрика