В состав Exchange 2007 входит ряд инструментов для борьбы со спамом. В их число входят:
- Connection filtering (Фильтрация подключений ) – использование разрешенных и запрещенных списков на основе IP-адресов, а также провайдеров списков блокируемых адресов реального времени (real-time block lists, RBL);
- Sender filtering (Фильтрация отправителей) – явное блокирование адресов и доменов, с которых поступает нежелательная почта;
- Recipient filtering (Фильтрация получателей) – блокирование возможности получения сообщений некоторым пользователям сети или на адреса, отсутствующие в глобальной адресной книге предприятия;
- Sender ID (Идентификация отправителя) – сопоставление поля «From» («От») сообщения с реальным доменным именем и проверка разрешения на отправку от этого имени почтового сервера;
- Content filtering (Фильтрация содержимого) – новая версия фильтра Exchange Intelligent Message Filter, впервые появившегося в Exchange 2003. Оценивает содержимое входящих сообщений и в соответствии со статически значимым набором сообщений определяет уровень определенности спама, присваивая рейтинг от 0 до 9. Имеется возможность объединения клиентских списков надежных отправителей и создание карантина нежелательной почты;
- Sender reputation (Репутация отправителя) – проверка сообщений по трем различным критериям, также фильтрация после присвоение рейтинга исходя из анализа минимум 20 сообщений отправителя;
- Attachment filtering (Фильтрация вложений) – позволяет запретить доставку вложений с указанными расширениями. Данная возможность отсутствует при настройке защиты на сервере с ролью «Hub Transport».
Статья по настройке и работе фильтров находится в процессе написания, а сейчас я хотел бы рассказать о сборе статистики работы данных инструментов.
Статья по настройке фильтрации опубликована на сайте – для Exchange 2007, добавления по Exchange 2013/2016.
Итак, все действия, выполняемые фильтрами, записываются в лог, находящийся, при дефолтной установке, в папке %programfiles%\Microsoft\Exchange Server\TransportRoles\Logs\AgentLog
По умолчанию максимальный размер папки с логами – 250 Мб, хранение 30 дней и максимальный размер файла 10 МБ. Для изменения параметров необходимо открыть в блокноте файл %programfiles%\Microsoft\Exchange Server\Bin\EdgeTransport.exe.config и внести следующие изменения:
Для изменения максимального размера папки с логами до 500 Мб добавьте в файл значение –
<add key=”AgentLogMaxDirectorySize” value=”524288000″ />
Для изменения времени хранения до 60 дней –
<add key=”AgentLogMaxAge” value=”60.00:00:00.00″ />
Для измения максимального размера каждого файла до 50 Мб –
<add key=”AgentLogMaxFileSize” value=”52428800″ />
Обращаю ваше внимание, что возможность изменения данных параметров присутствует только в Microsoft Exchange Server 2007 SP1, в RTM этой возможности нет!
Вывод статистики по работе агентов осуществляется с помощью Exchange Management Shell. Основной командой является Get-Agentlog, однако можно также использовать другие командлеты, входящие в состав Exchange`a и находящиеся в папке %programfiles%\Microsoft\Exchange Server\Scripts:
Get-AntispamSCLHistogram.ps1 | sort-object Name
Выводит статистику фильтрации сообщений по уровню SCL
Get-AntispamFilteringReport.ps1 messagesrejected
Выводит статистику работы фильтров по обработке сообщений, может иметь следующие параметры:
- MessagesRejected – количество отклоненных фильтрами сообщений;
- MessagesDeleted – количество удаленных фильтрами сообщений;
- MessagesQuarantined – сообщения, помещенные в карантин;
- Connections – обработка соединений;
- Commands – обработка команд
Get-AntispamTopBlockedSenderIPs.ps1 -top 20
Вывод списка первых 20-ти заблокированных Ip-адресов;
Get-AntispamTopBlockedSenderDomains.ps1 p1
Вывод списка первых заблокированных доменов отправителей нежелательной почты. В качестве параметра указывается необходимое поле заголовка – с конверта сообщения (p1), или с заголовка сообщения (p2);
Get-AntispamTopBlockedSenders.ps1 p1
Аналогичная предыдущей команда, выводит список первых заблокированных отправителей;
Get-AntiSpamTopRBLProviders.ps1
Предоставляет список используемых RBL-провайдеров с указанием количества заблокированных ими сообщений;
Get-AntispamTopRecipients.ps1
Список первых заблокированных получателей.
В качестве параметра каждого из приведенных выше командлетов можно использовать функции -StartDate и -EndDate, которые позволяют вывести статистику только за определенный промежуток времени, например:
|
1 |
Get-AgentLog -StartDate "2/05/2009" -EndDate "6/05/2009" | group action | sort-object Name | ft name,count -Autosize |
выводит статистику работы фильтров со 2-го по 6-е мая, форматирует в таблицу и сортирует по имени. Или
|
1 |
Get-AntispamFilteringReport.ps1 MessagesQuarantined -StartDate "04/20/2009" |
показывает количество сообщений, помещенных в карантин 20 апреля.
Обратите внимание, при указании даты в качества параметра командлета Get-AgentLog используется формат “дд/ММ/ГГГГ”, а при указании для остальных командлетов – “ММ/дд/ГГГГ”
На сладкое привожу скрипт, выполняющий отправку по электронной почте статистики по фильтрации спама за предыдущую неделю с понедельника по воскресенье:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
$date_x=(get-date -uformat "%u") $date_n=(get-date((get-date).adddays(-$date_x))).tostring("dd'/'MM'/'yyyy"); $date_y=(get-date((get-date).adddays(-6).adddays(-$date_x))).tostring("dd'/'MM'/'yyyy"); $rep=(Get-AgentLog -EndDate $date_n -StartDate $date_y | group action | sort-object Name | ft name,count -Autosize); $SmtpClient = new-object system.net.mail.smtpClient; $MailMessage = New-Object system.net.mail.mailmessage; $SmtpClient.Host = "smtp.domain.ru"; $mailmessage.from = "postmaster@domain.ru"; $mailmessage.To.add("administrator@domain.ru"); $mailmessage.Subject = "Отчет по спаму c " + $date_y + " по " + $date_n + ; $msg = $rep | format-table | out-string -width 160; $mailmessage.Body = $msg; $smtpclient.Send($mailmessage); |
Скрипт необходимо сохранить в файл с расширением ps1 и запускать, например, раз в неделю с помощью планировщика.
Удачи в борьбе! 🙂
Ой, благодарю
Полностью согласна!
Почему подписка еще бесплатная? :))
Спасибо. Добавлено в закладки
Неоднократно доводилось читать подобные посты на англоязычных блогах, но это не значит что ваш пост мне не понравился
Согласен, что пост получился удачным. Хорошая работа!
Отлично!!! Вместо книги на ночь.
Почему подписка еще бесплатная? :))
спасибо за статью… добавил в ридер
Действительно то что надо! А то сколько не лазишь по нету сплошное бла бла бла. Но не тут, и это радует!
Мне кажется очень хорошо
Ух ты, мне понравилось!
Шрифт трудно читается у вас на блоге
Офигеть просто! Все, блин, всё знают, кроме меня
Оригинальная идея. Интересно сколько времени он на это потратил
Давно искала эту информацию, спасибо.
Я заметил, некоторые блоггеры любят провоцировать читателей, некоторые даже сами провокационные комменты оставляют сами у себя на блоге
И да прибудет с нами сила.
Чтобы ничего не делать, надо это хорошо уметь. Ага? Еще что нибуть по этой теме охото.
Оценка 5, базару ноль
Большое спасибо за работу и предоставленную информацию.
Интересная тема, Спасибо!
не информативно как- то
Спасибо всем за лестные и не очень отзывы. Буду и дальше стараться радовать вас интересными постами.
ТС, не стоит обольщаться.
PS: А в целом не понятен общий смысл.
ок , то что искал
Уведомление:Настройка Event Collector в Windows Server 2008 | Kyianyn – Live
недурно ) ладно
Хз зачем это нужно, в гмайле спама нет
Уведомление:Настраиваем защиту против спама в Exchange 2007 - Про ИТ и не только
Уведомление:Защита от спама Exchange 2013 / 2016 (антиспам)