Меню Закрыть

Сбор статистики работы фильтров антиспама в Microsoft Exchange Server 2007

В состав Exchange 2007 входит ряд инструментов для борьбы со спамом. В их число входят:

  • Connection filtering (Фильтрация подключений ) – использование разрешенных и запрещенных списков на основе IP-адресов, а также провайдеров списков блокируемых адресов реального времени (real-time block lists, RBL);
  • Sender filtering (Фильтрация отправителей) – явное блокирование адресов и доменов, с которых поступает нежелательная почта;
  • Recipient filtering (Фильтрация получателей) – блокирование возможности получения сообщений некоторым пользователям сети или на адреса, отсутствующие в глобальной адресной книге предприятия;
  • Sender ID (Идентификация отправителя) – сопоставление поля «From» («От») сообщения с реальным доменным именем и проверка разрешения на отправку от этого имени почтового сервера;
  • Content filtering (Фильтрация содержимого) – новая версия фильтра Exchange Intelligent Message Filter, впервые появившегося в Exchange 2003. Оценивает содержимое входящих сообщений и в соответствии со статически значимым набором сообщений определяет уровень определенности спама, присваивая рейтинг от 0 до 9. Имеется возможность объединения клиентских списков надежных отправителей и создание карантина нежелательной почты;
  • Sender reputation (Репутация отправителя) – проверка сообщений по трем различным критериям, также фильтрация после присвоение рейтинга исходя из анализа минимум 20 сообщений отправителя;
  • Attachment filtering (Фильтрация вложений) – позволяет запретить доставку вложений с указанными расширениями. Данная возможность отсутствует при настройке защиты на сервере с ролью «Hub Transport».

Статья по настройке и работе фильтров находится в процессе написания, а сейчас я хотел бы рассказать о сборе статистики работы данных инструментов.

Статья по настройке фильтрации опубликована на сайте – для Exchange 2007, добавления по Exchange 2013/2016.

Итак, все действия, выполняемые фильтрами, записываются в лог, находящийся, при дефолтной установке, в папке %programfiles%\Microsoft\Exchange Server\TransportRoles\Logs\AgentLog

По умолчанию максимальный размер папки с логами – 250 Мб, хранение 30 дней и максимальный размер файла 10 МБ. Для изменения параметров необходимо открыть в блокноте файл %programfiles%\Microsoft\Exchange Server\Bin\EdgeTransport.exe.config и внести следующие изменения:

Для изменения максимального размера папки с логами до 500 Мб добавьте в файл значение –

<add key=”AgentLogMaxDirectorySize” value=”524288000″ />

Для изменения времени хранения до 60 дней –

<add key=”AgentLogMaxAge” value=”60.00:00:00.00″ />

Для измения максимального размера каждого файла до 50 Мб –

<add key=”AgentLogMaxFileSize” value=”52428800″ />

Обращаю ваше внимание, что возможность изменения данных параметров присутствует только в Microsoft Exchange Server 2007 SP1, в RTM этой возможности нет!

Вывод статистики по работе агентов осуществляется с помощью Exchange Management Shell. Основной командой является Get-Agentlog, однако можно также использовать другие командлеты, входящие в состав Exchange`a и находящиеся в папке %programfiles%\Microsoft\Exchange Server\Scripts:

Get-AntispamSCLHistogram.ps1 | sort-object Name
Выводит статистику фильтрации сообщений по уровню SCL

Get-AntispamFilteringReport.ps1 messagesrejected
Выводит статистику работы фильтров по обработке сообщений, может иметь следующие параметры:

  • MessagesRejected – количество отклоненных фильтрами сообщений;
  • MessagesDeleted – количество удаленных фильтрами сообщений;
  • MessagesQuarantined – сообщения, помещенные в карантин;
  • Connections – обработка соединений;
  • Commands – обработка команд

Get-AntispamTopBlockedSenderIPs.ps1 -top 20
Вывод списка первых 20-ти заблокированных Ip-адресов;

Get-AntispamTopBlockedSenderDomains.ps1 p1
Вывод списка  первых заблокированных доменов отправителей нежелательной почты. В качестве параметра указывается необходимое поле заголовка – с конверта сообщения (p1), или с заголовка сообщения (p2);

Get-AntispamTopBlockedSenders.ps1 p1
Аналогичная предыдущей команда, выводит список первых заблокированных отправителей;

Get-AntiSpamTopRBLProviders.ps1
Предоставляет список используемых RBL-провайдеров с указанием количества заблокированных ими сообщений;

Get-AntispamTopRecipients.ps1
Список первых заблокированных получателей.

В качестве параметра каждого из приведенных выше командлетов можно использовать функции -StartDate и -EndDate, которые позволяют вывести статистику только за определенный промежуток времени, например:

выводит статистику работы фильтров со 2-го по 6-е мая, форматирует в таблицу и сортирует по имени. Или

показывает количество сообщений, помещенных в карантин 20 апреля.

Обратите внимание, при указании даты в качества параметра командлета Get-AgentLog используется формат “дд/ММ/ГГГГ”, а при указании для остальных командлетов – “ММ/дд/ГГГГ”

На сладкое привожу скрипт, выполняющий отправку по электронной почте статистики по фильтрации спама за предыдущую неделю с понедельника по воскресенье:

Скрипт необходимо сохранить в файл с расширением ps1 и запускать, например, раз в неделю с помощью планировщика.

Удачи в борьбе! 🙂

29 Comments

  1. Centuraol

    Неоднократно доводилось читать подобные посты на англоязычных блогах, но это не значит что ваш пост мне не понравился

  2. Sashha

    Я заметил, некоторые блоггеры любят провоцировать читателей, некоторые даже сами провокационные комменты оставляют сами у себя на блоге

  3. kvazar

    Спасибо всем за лестные и не очень отзывы. Буду и дальше стараться радовать вас интересными постами.

  4. Уведомление:Настройка Event Collector в Windows Server 2008 | Kyianyn – Live

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

4 − один =