Tipy pro váš Exchange Server: Bojujeme proti spamu

V poštovní schránce každého z nás skončí každý den určitý příděl nevyžádané pošty. Metod, jak se vypořádat s příchozím spamem, je celá řada. Některé organizace investují do nákupu specializovaného produktu, který je modulem Exchange Serveru a nabízí pokročilé techniky ochrany. Jiným vyhovuje výkonné hardwarové zařízení předsazené poštovnímu serveru. Všechna tato řešení jistě mohou přinést organizaci určité výhody. Pojďme se ale společně podívat přímo na integrované součásti vašeho Exchange Serveru. Nabízí totiž celou řadu vlastních metod, jak se s nevyžádanou poštou vypořádat. Výhoda spočívá s tom, že k nim získáváte oficiální podporu přímo od Microsoftu, jsou denně používány mnoha dalšími správci po celém světě a především jsou dostupné zdarma jako součást Exchange Serveru. Proč tedy nevyužít jejich plný potenciál? Stačí si jen uvědomit, k čemu která technologie slouží a správně ji nakonfigurovat. Odměnou vám budou spokojení uživatelé, a snížení objemu jejich poštovních schránek.

Mezi známými antispamovými technologiemi, které doprovázejí Exchange Server již od verze 2003, najdete Intelligent Message Filter (IMF), v novějších verzích pak jeho obdobu a možnost blokování přijímání pošty od serverů s určitou IP adresou. Kontrolu proti IP adrese můžete provádět vůči vlastnímu seznamu zakázaných/povolených adres či proti službě poskytující veřejný blacklist. Jednou z nich je například spamhaus.org. Velmi pěkný dokument s přehledem antispamových technologií připravil Mirek Knotek.

Neméně důležité je bránit poštovní reputaci své organizace, respektive spravovaných poštovních serverů odesílajících poštu do internetu. Pokud tuto činnost budete ignorovat, rázem můžete být zařazeni do spamlistů a zaděláváte si na další nepříjemné potíže. Odchozí pracovní e-maily vašich uživatelů začnou poštovní servery příjemce hodnotit jako nevyžádanou, což se také neblaze projeví na váš business.

Představme si tři techniky, jak zajistit, aby si vaše Exchange Servery udržovaly co možná nejlepší reputaci v rámci internetu a spolehlivě plnily svou funkci.

Open relay

Open relay je označení pro poštovní server, který odesílá e-maily anonymně. Nebere tedy ohled na to, zda byl odesílatel dané zprávy ověřen. Exchange Server ve výchozím nastavení požaduje ověření uživatele vůči Active Directory, není tedy nutné cokoliv dalšího v tomto ohledu konfigurovat. Mějte ale na paměti, že jakmile byste umožnili připojení neověřeným uživatelům, dostanete se do vážných problémů.

Sender ID (SPF záznam)

O poznání zajímavější je technologie Sender ID. Jak možná víte, podvrhnout odesílatele e-mailu není žádný problém. Budete-li chtít, můžete odeslat e-mail, jehož odesílatelem bude například steve.ballmer@microsoft.com. Tomu, aby nebylo možné podvrhnout odesílatele spadajícího do vaší domény (jan.novak@vasefirma.cz), se můžete účinně bránit právě pomocí Sender ID. Osud je zcela ve vašich rukách, protože použití Sender ID je dobrovolné.

V praxi to funguje tak, že na DNS serveru nesoucím informace o vaší internetové doméně (vasefirma.cz), vytvoříte speciální textový SPF (Sender Policy Framework) záznam. Jeho obsahem je textový řetězec specifikující IP adresy poštovních serverů, které jsou jako jediné oprávněny odesílat elektronickou poštu z vaší organizace směrem do internetu. Kdykoliv pak nějaký poštovní server v internetu přijme zprávu přicházející z vaší domény, přečte si záznam a zkontroluje, zda je IP adresa odesílajícího serveru záznamem povolena. Pokud někdo podvrhne odesílatele z vaší organizace, přijímací poštovní server ze SPF záznamu zjistí, že adresa není oprávněna odesílat za vaši organizaci a e-mail zničí, případně označí jako nevyžádaný. Podrobnější článek na toto téma najdete zde.

Univerzálním SPF záznamem může být níže uvedený. Opravňuje všechny poštovní servery, pro které existuje na vaší doméně MX záznam, k odesílání pošty směrem do internetu.

v=spf1 mx ~all

Předtím, než Sender ID nasadíte, rozmyslete si dobře jeho formát. Výše uvedená ukázka nemusí vyhovovat vaší situaci. V případě, že používáte odlišné poštovní servery pro příjem a odesílání pošty, je nutné záznam formulovat jinak.

Microsoft má pro vytvoření záznamu webový nástroj nazvaný SPF Record Wizard, jež vám celý proces usnadní.

Na vašem Exchange Serveru můžete rovněž povolit kontrolu příchozích zpráv do vaší organizace pomocí Sender ID. V tom případě bude odesílací server každé zprávy kontrolován vůči SPF záznamu odpovídající internetové domény. To vše za předpokladu, že organizace, ze které email přichází, záznam vytvořila.

Požadovaný formát SPF záznamu odešlete s požadavkem o jeho založení registrátorovi vaší internetové domény. Ten udržuje DNS záznamy pro vaší doménu na svých name serverech. Případně využijte webového nástroje pro správu DNS záznamů, pokud jej registrátor nabízí, a vytvořte záznam svépomocí.

Reverzní DNS záznam

V rámci boje proti spamu některé poštovní servery kontrolují při přijímání elektronické pošty, zda má váš poštovní server vytvořen reverzní (PTR) záznam. Ideálním stavem je, když reverzní záznam IP adresy vašeho Exchange Serveru odpovídá jeho SMTP banneru. Nejnázornější bude ukázka na příkladu.

Veřejná IP adresa Exchange Serveru: 81.1.1.1
Exchange Server publikován do internetu jako: mail.vasefirma.cz
Reverzní PTR záznam: mail.vasefirma.cz
SMTP banner na Exchange Serveru: mail.vasefirma.cz

Reverzní DNS záznam tentokrát nemá na starosti registrátor domény, nýbrž poskytovatel vašeho připojení k internetu. Požadavek na změnu záznamu tedy adresujte tomuto subjektu.

Kontrola poštovního serveru

Webový nástroj MX Toolbox zaštiťuje testování poštovních serverů pod jednu střechu a nabízí rychlou kontrolu jejich nastavení.

  1. Navštivte stránku http://mxtoolbox.com/SuperTool.aspx
  2. Do pole Command zadejte řetězec MX:<IP adresa vašeho poštovního serveru>
  3. Po stisku tlačítka lookup proběhne několik důležitých kontrolních testů.
  4. Záhy zjistíte několik nejdůležitějších parametrů: zda váš poštovní server neslouží jako veřejná open relay, jak dlouhá je doba zpracování transakce a připojení, zda máte správně vytvořen reverzní DNS záznam a zda odpovídá SMTP banneru

mailserver-check

 Nástroje a odkazy

  • Přehled antispamových technologií Exchange Serveru 2007 – ucelený přehled od Mirka Knotka
  • SPF Record Wizard – webový průvodce od Microsoftu asistující při formulování správné podoby SPF záznamu
  • Jak nastavit SPF záznam? – můj příspěvek vysvětlující fungování Sender ID, příklady SPF záznamů, FAQ na toto téma
  • MX Toolbox – webový nástroj, který za posledních několik let prošel velmi úspěšným vývojem a nabízí ucelenou sadu nástrojů pro práci s DNS, MX záznamy či například kontrolou IP adresy poštovního serveru proti blacklistu

Just DNS Lookup – vzdálené dotázání 34 DNS serverů po celém světě

Při řešení potíží s DNS si obvykle vystačím s řádkovým nástrojem nslookup. V poslední době jsem si ale oblíbil webový nástroj Just DNS Lookup. Jako vstup mu zadáte název domény, subdomény či hosta a nástroj se automaticky dotáže téměř čtyřiceti DNS serverů nacházejících se v různých částech světa.

just-dns-lookup

Výsledkem je výpis dotázaných DNS serverů, vrácených IP adres, TTL (time to live) a doby odezvy jednotlivých serverů. Pokud jste právě provedli úpravu DNS záznamů, můžete pomocí tohoto nástroje sledovat, jak se změna šíří mezi DNS servery.

Webový nástroj: Just DNS Lookup

Jak nastavit Sender Policy Framework (SPF) záznam?

Co  vlastně SPF znamená?

Jak už název Sender Policy Framework napovídá, jedná se o technologii, která na základě adresy odesílatele e-mailu ověřuje, zda je poštovní server, ze kterého zpráva přisla, autorizován odesílat e-maily pro danou doménu.

Jinak řečeno. Za pomoci SPF jsem schopen definovat, kterým poštovním serverům dám možnost odesílat poštu za mou organizaci. Všechny ostatní zakáži.

Tak například – z ryze administrátorského hlediska. Mám ve firmě dva poštovní servery. Chci, aby oba mohli nadále odesílat a přijímat poštu pro firemní domény, ale chci zabránit, aby někdo cizí odesílal podvržené zprávy, tvářící se, že pocházejí z naší firmy. Nastavím tedy SPF. Oba naše poštovní servery jsou vedeny v MX záznamu na našem DNS serveru. Vyhovuje nám tedy následující podoba záznamu: “v=spf1 mx -all”. Problém vyřešen.

Co mi SPF přinese?

V prvé řadě bude moci každý cílový poštovní server, kam posíláte e-mail, ověřit, že zpráva pochází z vašeho poštovního serveru a nejedná se o podvržený e-mail, tvářící se, že přichází z vaší organizace. Funguje to i naopak. Pokud váš mail server podporuje SPF technologii, každý příchozí e-mail do vaší firmy, bude prověřen, zda pochází z autorizovaného zdroje.

Jaké jsou nevýhody této technologie?

Asi nejpodstatnější nevýhodou se zdá být zvýšený počet DNS dotazů, což vede k vyššímu vytížení DNS serverů. Pokud se ve vašem záznamu použijete příkaz include, pak se cílový server dotazuje vaší domény a k tomu ještě includované domény. Jestli vám include nic neříká, pro tuto chvíli na něj klidně zapoměňte. Dočtete se o něm dále.

Pro koho je SPF vhodné?

SPF by mělo zajímat každého správce poštovního serveru a každou organizaci, která si alespoň trošku základá na důvěryhodnosti své elektronické poštovní komunikace.

Pro koho SPF není vhodné?

Obecně se uvádí, že se Sender Policy Framework mohou mít problém mobilní uživatelé, kteří za den vystřídají několik různých připojení, poskytovatelů a hlavně poštovních serverů. Ale v dnešní době jsou pěkná řešení i na tuto problematiku. Možností je opravdu hodně, zmiňme například možnost VPN připojení do firemní sítě, Outlook Anywhere (RPC over HTTPS) či Outlook Web Access.

Je potřeba záznam nějak průběžně měnit nebo ho stačí nastavit jednorázově?

Odpověď je v zásadě jednoduchá. Záznam jednou vytvoříte a nemusíte se o něj nikterak starat. Rozumné je ale vše zkomunetovat a především mít na paměti, že nějaký takovýto záznam pro vaší doménu používáte. Úpravu SPF je třeba provést zpravidla v případě změny vašeho ISP, hostingu a změny vašeho poštovního řešení.

Co pro oživení SPF musím udělat?

Na vašem DNS serveru je potřeba přidat SPF záznam ve formátu TXT. Tím je vše hotové. Některé firmy  používají DNS servery svých wehosterů či providerů. Změnu DNS záznamů je pak potřeba provést přes webové rozhraní či písemným požadavkem.

Chcete-li kontrolovat příchozí poštu pomocí SPF, zapněte tuto funkci na vašem poštovním serveru. Zprávy přijaté od neautorizovaných serverů, pak budou zahazovány a bezpečnou cestou tak snížíte množství příchozího spamu a podvržených e-mailů.

Jak to funguje?

1. Jirka z firmy1 odesílá e-mail kolegovi Petrovi z firmy2.

2. Poštovní server firmy1 zprávu zpracovává a odesílá pomocí SMTP na server firmy2, kde pracuje Petr.

3. Firma2 používá na svém poštovním serveru antispamové řešení, které mimo jiné umí vyhodnocovat SPF. Zpráva od Jirky je přijata a podléhá spamové kontrole a ověření pomocí SPF. Server se dotazuje DNS serveru, který drží SPF záznam pro firmu1.

4. Ten pak odpovídá a vrací výsledek dotazu.

5. Server firmy2 zjistí ze SPF záznamu, zda je server firmy1 oprávněn odesílat poštu za doménu firma1.cz. Pakliže ano, je zpráva doručena Petrovi. V opačném případě je e-mail označen jako spam.

Správná syntaxe záznamu a příklady

Nyní už víme, že SPF je TXT záznamem v DNS a jak přibližně vypadá komunikace mezi servery. Pojďme přejít k samotné podobě záznamu.

Nejjednodušší záznam vypadá takto: “v=spf1 -all”

Co to znamená? Vaše doména nepoužívá e-mail. Máte na ní například jen webové stránky a poštu odesíláte z jiné domény k tomu určené. Jakýkoliv e-mail pocházející z domény s tímto záznamem bude po vyhodnocení SPF zahozen, případně označen jako spam. “-all” na konci znamená, že žádný autorizovaný server neexistuje.

O poznání zajímavější je: “v=spf1 mx -all”

Výraz se vyhodnocuje zleva doprava. MX znamená, že všechny servery, které jsou uvedeny ve vašich MX záznamech budou považovány za důvěryhodné a SPF je vyhodnotí jako autorizované. Všechny ostatní budou díky “-all” označeny jako neautorizované.

“v=spf1 mx mx:mail.firma1.cz -all”

Má stejný výsledek jako předchozí výraz s tím rozdílem, že mezi oprávněné servery získáné z MX záznamů přidáváme mail.firma1.cz.

“v=spf1 include:mujisp.cz -all”

Dejme tomu, že jsme malá firma a chceme ušetřit za investice do vlastního serveru. Náš ISP bude firma mujisp.cz. Domluva zní tak, že poštu budeme posílat přes jeho server. Náš SPF záznam tedy může vypadat právě takto. Include zajistí, že se přečte SPF záznam z domény providera mujisp.cz a jeho obsah bude považován za náš. Provider musí mít SPF nastaven.

“v=spf1 ip4:192.168.0.1/16 -all”

Poslední ukázka demonstruje přidání poštovních serverů z IP rozsahu 192.168.0.1 – 192.168.255.255 mezi důvěryhodné. Všechny ostatní vyhodnotí jako zakázáné.

Závěr

SPF není všelék na spam, ale rozhodně stojí za to, ho zavést. Vytvoření zabere jen několik desítek minut a pak již vše pracuje za vás. K dispozici jsou také velmi povedené nástroje pro vytvoření a případně i ověření správnosti vašeho SPF záznamu.

Zdroje

Nástroje pro vytvoření: http://old.openspf.org/wizard.html
Nástroje na otestování: http://www.openspf.org/Tools
Microsoft SPF Record Wizard: http://www.microsoft.com/…/wizard/
Syntaxe: http://www.openspf.org/SPF_Record_Syntax
Časté chyby: http://www.openspf.org/FAQ/Common_mistakes

Video – Jak nastavit SPF?