Tipy pro váš Exchange Server: Bojujeme proti spamu

V poštovní schránce každého z nás skončí každý den určitý příděl nevyžádané pošty. Metod, jak se vypořádat s příchozím spamem, je celá řada. Některé organizace investují do nákupu specializovaného produktu, který je modulem Exchange Serveru a nabízí pokročilé techniky ochrany. Jiným vyhovuje výkonné hardwarové zařízení předsazené poštovnímu serveru. Všechna tato řešení jistě mohou přinést organizaci určité výhody. Pojďme se ale společně podívat přímo na integrované součásti vašeho Exchange Serveru. Nabízí totiž celou řadu vlastních metod, jak se s nevyžádanou poštou vypořádat. Výhoda spočívá s tom, že k nim získáváte oficiální podporu přímo od Microsoftu, jsou denně používány mnoha dalšími správci po celém světě a především jsou dostupné zdarma jako součást Exchange Serveru. Proč tedy nevyužít jejich plný potenciál? Stačí si jen uvědomit, k čemu která technologie slouží a správně ji nakonfigurovat. Odměnou vám budou spokojení uživatelé, a snížení objemu jejich poštovních schránek.

Mezi známými antispamovými technologiemi, které doprovázejí Exchange Server již od verze 2003, najdete Intelligent Message Filter (IMF), v novějších verzích pak jeho obdobu a možnost blokování přijímání pošty od serverů s určitou IP adresou. Kontrolu proti IP adrese můžete provádět vůči vlastnímu seznamu zakázaných/povolených adres či proti službě poskytující veřejný blacklist. Jednou z nich je například spamhaus.org. Velmi pěkný dokument s přehledem antispamových technologií připravil Mirek Knotek.

Neméně důležité je bránit poštovní reputaci své organizace, respektive spravovaných poštovních serverů odesílajících poštu do internetu. Pokud tuto činnost budete ignorovat, rázem můžete být zařazeni do spamlistů a zaděláváte si na další nepříjemné potíže. Odchozí pracovní e-maily vašich uživatelů začnou poštovní servery příjemce hodnotit jako nevyžádanou, což se také neblaze projeví na váš business.

Představme si tři techniky, jak zajistit, aby si vaše Exchange Servery udržovaly co možná nejlepší reputaci v rámci internetu a spolehlivě plnily svou funkci.

Open relay

Open relay je označení pro poštovní server, který odesílá e-maily anonymně. Nebere tedy ohled na to, zda byl odesílatel dané zprávy ověřen. Exchange Server ve výchozím nastavení požaduje ověření uživatele vůči Active Directory, není tedy nutné cokoliv dalšího v tomto ohledu konfigurovat. Mějte ale na paměti, že jakmile byste umožnili připojení neověřeným uživatelům, dostanete se do vážných problémů.

Sender ID (SPF záznam)

O poznání zajímavější je technologie Sender ID. Jak možná víte, podvrhnout odesílatele e-mailu není žádný problém. Budete-li chtít, můžete odeslat e-mail, jehož odesílatelem bude například steve.ballmer@microsoft.com. Tomu, aby nebylo možné podvrhnout odesílatele spadajícího do vaší domény (jan.novak@vasefirma.cz), se můžete účinně bránit právě pomocí Sender ID. Osud je zcela ve vašich rukách, protože použití Sender ID je dobrovolné.

V praxi to funguje tak, že na DNS serveru nesoucím informace o vaší internetové doméně (vasefirma.cz), vytvoříte speciální textový SPF (Sender Policy Framework) záznam. Jeho obsahem je textový řetězec specifikující IP adresy poštovních serverů, které jsou jako jediné oprávněny odesílat elektronickou poštu z vaší organizace směrem do internetu. Kdykoliv pak nějaký poštovní server v internetu přijme zprávu přicházející z vaší domény, přečte si záznam a zkontroluje, zda je IP adresa odesílajícího serveru záznamem povolena. Pokud někdo podvrhne odesílatele z vaší organizace, přijímací poštovní server ze SPF záznamu zjistí, že adresa není oprávněna odesílat za vaši organizaci a e-mail zničí, případně označí jako nevyžádaný. Podrobnější článek na toto téma najdete zde.

Univerzálním SPF záznamem může být níže uvedený. Opravňuje všechny poštovní servery, pro které existuje na vaší doméně MX záznam, k odesílání pošty směrem do internetu.

v=spf1 mx ~all

Předtím, než Sender ID nasadíte, rozmyslete si dobře jeho formát. Výše uvedená ukázka nemusí vyhovovat vaší situaci. V případě, že používáte odlišné poštovní servery pro příjem a odesílání pošty, je nutné záznam formulovat jinak.

Microsoft má pro vytvoření záznamu webový nástroj nazvaný SPF Record Wizard, jež vám celý proces usnadní.

Na vašem Exchange Serveru můžete rovněž povolit kontrolu příchozích zpráv do vaší organizace pomocí Sender ID. V tom případě bude odesílací server každé zprávy kontrolován vůči SPF záznamu odpovídající internetové domény. To vše za předpokladu, že organizace, ze které email přichází, záznam vytvořila.

Požadovaný formát SPF záznamu odešlete s požadavkem o jeho založení registrátorovi vaší internetové domény. Ten udržuje DNS záznamy pro vaší doménu na svých name serverech. Případně využijte webového nástroje pro správu DNS záznamů, pokud jej registrátor nabízí, a vytvořte záznam svépomocí.

Reverzní DNS záznam

V rámci boje proti spamu některé poštovní servery kontrolují při přijímání elektronické pošty, zda má váš poštovní server vytvořen reverzní (PTR) záznam. Ideálním stavem je, když reverzní záznam IP adresy vašeho Exchange Serveru odpovídá jeho SMTP banneru. Nejnázornější bude ukázka na příkladu.

Veřejná IP adresa Exchange Serveru: 81.1.1.1
Exchange Server publikován do internetu jako: mail.vasefirma.cz
Reverzní PTR záznam: mail.vasefirma.cz
SMTP banner na Exchange Serveru: mail.vasefirma.cz

Reverzní DNS záznam tentokrát nemá na starosti registrátor domény, nýbrž poskytovatel vašeho připojení k internetu. Požadavek na změnu záznamu tedy adresujte tomuto subjektu.

Kontrola poštovního serveru

Webový nástroj MX Toolbox zaštiťuje testování poštovních serverů pod jednu střechu a nabízí rychlou kontrolu jejich nastavení.

  1. Navštivte stránku http://mxtoolbox.com/SuperTool.aspx
  2. Do pole Command zadejte řetězec MX:<IP adresa vašeho poštovního serveru>
  3. Po stisku tlačítka lookup proběhne několik důležitých kontrolních testů.
  4. Záhy zjistíte několik nejdůležitějších parametrů: zda váš poštovní server neslouží jako veřejná open relay, jak dlouhá je doba zpracování transakce a připojení, zda máte správně vytvořen reverzní DNS záznam a zda odpovídá SMTP banneru

mailserver-check

 Nástroje a odkazy

  • Přehled antispamových technologií Exchange Serveru 2007 – ucelený přehled od Mirka Knotka
  • SPF Record Wizard – webový průvodce od Microsoftu asistující při formulování správné podoby SPF záznamu
  • Jak nastavit SPF záznam? – můj příspěvek vysvětlující fungování Sender ID, příklady SPF záznamů, FAQ na toto téma
  • MX Toolbox – webový nástroj, který za posledních několik let prošel velmi úspěšným vývojem a nabízí ucelenou sadu nástrojů pro práci s DNS, MX záznamy či například kontrolou IP adresy poštovního serveru proti blacklistu