Filtro delle connessioni nei server Trasporto Edge

Si applica a: Exchange Server 2013

Il filtro delle connessioni è una funzionalità di protezione da posta indesiderata di Microsoft Exchange Server 2013 che consente o blocca la posta elettronica in base all'origine del messaggio. Il filtro delle connessioni è fornito dall'agente Filtro connessioni, disponibile solo nei server Trasporto Edge. L'agente Filtro Connessioni si basa sull'indirizzo IP del server di posta di connessione per determinare quale azione, se disponibile, deve essere eseguita su un messaggio in arrivo.

Per impostazione predefinita, l'agente Filtro connessioni è il primo agente di protezione da posta indesiderata a valutare un messaggio in arrivo su un server Trasporto Edge. L'indirizzo IP di origine della connessione SMTP viene verificato rispetto agli indirizzi IP consentiti e bloccati. Se l'indirizzo IP di origine è presente nell'elenco degli indirizzi IP consentiti, non sono necessarie altre elaborazioni. Il messaggio viene quindi inviato. Se l'indirizzo IP di origine è bloccato, la connessione SMTP viene eliminata. Se l'indirizzo IP di origine non è consentito o bloccato, il messaggio scorre attraverso gli altri agenti di protezione dalla posta indesiderata nel server Trasporto Edge.

Il filtro di connessione confronta l'indirizzo IP del server di posta elettronica di origine con i valori negli archivi dati seguenti:

  • Elenco indirizzi IP consentiti
  • Elenco di blocchi IP
  • Provider dell'elenco indirizzi IP consentiti
  • Provider dell'elenco indirizzi IP bloccati

Configurare almeno un archivio dati di indirizzi IP per il funzionamento del filtro delle connessioni. Se non vengono specificati dati per gli indirizzi IP, è necessario disabilitare l'agente Filtro connessioni. Per altre informazioni, vedere Gestire il filtro delle connessioni nei server Trasporto Edge.

Elenco di blocchi IP

L'elenco blocchi IP contiene gli indirizzi IP dei server di posta elettronica che si desidera bloccare. Gli indirizzi IP vengono mantenuti manualmente nell'elenco Blocchi IP. È possibile aggiungere singoli indirizzi IP o intervalli di indirizzi IP. È possibile specificare una data di scadenza che specifichi la durata del blocco di una voce di indirizzo IP. Quando viene raggiunta l'ora di scadenza, la voce dell'indirizzo IP nell'elenco indirizzi IP bloccati viene disabilitata.

Se l'agente filtro connessioni trova l'indirizzo IP di origine nell'elenco indirizzi IP bloccati, la connessione SMTP verrà eliminata dopo l'elaborazione di tutte le intestazioni RCPT TO (destinatari della busta) nel messaggio.

Gli indirizzi IP possono anche essere aggiunti automaticamente all'elenco indirizzi IP bloccati dalla funzionalità Reputazione mittente dell'agente di analisi del protocollo. Per ulteriori informazioni, vedere Reputazione del mittente e l'agente analisi del protocollo.

Elenco indirizzi IP consentiti

L'elenco indirizzi IP consentiti contiene gli indirizzi IP dei server di posta elettronica che si desidera designare come origini attendibili della posta elettronica. Email dai server di posta specificati nell'elenco indirizzi IP consentiti è esente dall'elaborazione da parte di altri agenti di posta indesiderata di Exchange.

Gli indirizzi IP vengono mantenuti manualmente nell'elenco Indirizzi IP consentiti. È possibile aggiungere singoli indirizzi IP o intervalli di indirizzi IP. È possibile specificare una data di scadenza che specifichi la durata del consenso a una voce di indirizzo IP. Quando viene raggiunta l'ora di scadenza, la voce nell'elenco indirizzi IP consentiti viene disabilitata.

Provider dell'elenco indirizzi IP bloccati

I provider di elenchi di blocchi IP vengono spesso definiti elenchi di blocchi in tempo reale o elenchi di indirizzi RBL. I provider ip blocklist compilano elenchi di indirizzi IP del server di posta elettronica che inviano posta indesiderata. Molti provider ip blocklist compilano anche elenchi di indirizzi IP del server di posta elettronica che potrebbero essere usati per la posta indesiderata. Tra questi, i server di posta configurati per l'inoltro aperto, i provider di servizi Internet che assegnano indirizzi IP dinamici e quelli che consentono il traffico del server di posta SMTP dagli account di connessione remota.

Quando si configura il filtro delle connessioni per l'uso di un provider ip Blocklist, l'agente filtro connessioni confronta l'indirizzo IP del server di posta di connessione con l'elenco di indirizzi IP nel provider Ip Blocklist. In caso di corrispondenza, il messaggio non viene consentito nell'organizzazione. È possibile configurare il filtro delle connessioni per l'uso di più provider blocklist IP e assegnare valori di priorità diversi a ogni provider.

L'agente filtro connessioni controlla l'indirizzo IP di origine nell'elenco Indirizzi IP consentiti e nell'elenco Blocchi IP. Se l'indirizzo IP non esiste in nessuno dei due elenchi, l'agente filtro connessioni esegue una query sul provider IP Blocklist in base al valore di priorità assegnato. Se l'indirizzo IP è definito in un provider blocklist IP, il server Trasporto Edge attende ed elabora l'intestazione RCPT TO , risponde al server di posta elettronica di invio con un SMTP 550 errore e chiude la connessione. La connessione non viene eliminata immediatamente in modo che il tentativo di connessione possa essere registrato e perché è possibile specificare i destinatari che sono esenti dal blocco dei messaggi da qualsiasi provider ip Blocklist.

Se l'indirizzo IP non è definito in uno dei provider blocklist IP, l'agente filtro contenuto consegna il messaggio all'agente di trasporto successivo nel server Trasporto Edge.

Per ogni provider IP Blocklist, è possibile personalizzare l'errore SMTP 550 restituito al mittente quando un messaggio viene bloccato. Identificare il provider IP Blocklist che ha identificato l'origine del messaggio come posta indesiderata. Se un server di posta elettronica di origine legittimo viene erroneamente identificato come origine della posta indesiderata, l'amministratore può contattare il provider IP Blocklist ed eseguire i passaggi necessari per rimuovere il server di posta elettronica dal provider Ip Blocklist.

I provider blocklist IP possono restituire codici diversi per identificare il motivo per cui un indirizzo IP è definito nei relativi elenchi. La maggior parte dei provider blocklist IP restituisce tipi di dati con maschera di bit o valore assoluto. All'interno di questi tipi di dati, il provider Ip Blocklist può usare più valori per classificare l'indirizzo IP in base al tipo di minaccia.

Esistono problemi da considerare quando si usano i provider blocklist IP:

  • Interruzioni o ritardi nel servizio provider ip Blocklist possono causare ritardi nell'elaborazione dei messaggi nel server Trasporto Edge. Selezionare Reliable IP Blocklist providers (Provider reliable IP Blocklist).

  • I server di origine noti come legittimi possono essere erroneamente identificati come origini di posta indesiderata. Ad esempio, il server di posta può essere configurato inavvertitamente per agire come inoltro aperto. Selezionare Provider ip blocklist che forniscono procedure chiare per la valutazione e la rimozione dai propri servizi.

Esempi di maschere di bit e di valori assoluti

Questa sezione illustra un esempio dei codici di stato restituiti dalla maggior parte dei provider blocklist. Per dettagli sui codici di stato restituiti dal provider, vedere la documentazione per il provider specifico.

Per i tipi di dati maschera di bit, il servizio provider Blocklist IP restituisce un codice di stato 127.0.0. x, dove l'intero x è uno qualsiasi dei valori elencati nella tabella seguente.

Valore Codice di stato
1 L'indirizzo IP si trova in un elenco di blocchi IP.
2 Il server SMTP è configurato per l'inoltro aperto.
4 L'indirizzo IP supporta un indirizzo IP di connessione remota.

Per i tipi valore assoluto, il provider Blocklist IP restituisce risposte esplicite che definiscono il motivo per cui l'indirizzo IP è definito negli elenchi di blocchi. Nella seguente tabella sono illustrati esempi di valori assoluti e risposte esplicite.

Valore Risposta esplicita
127.0.0.2 L'indirizzo IP è un'origine diretta di posta indesiderata.
127.0.0.4 L'indirizzo IP è un mailer di posta inviata in blocco.
127.0.0.5 Il server remoto che invia il messaggio supporta gli inoltri aperti a più fasi.

Provider dell'elenco indirizzi IP consentiti

I provider dell'elenco indirizzi IP consentiti sono noti anche come elenchi attendibili o elenchi consentiti. I provider dell'elenco indirizzi IP consentiti sono configurati esattamente come i provider dell'elenco di indirizzi IP bloccati, ma i risultati sono l'opposto: definiscono gli indirizzi IP del server di posta elettronica che non sono sicuramente associati all'attività di posta indesiderata. Se l'indirizzo IP del server di posta connesso è definito in un provider Di indirizzi IP consentiti, il messaggio è esente dall'elaborazione da parte di altri agenti di posta indesiderata di Exchange. Per questo motivo, i provider ip blocklist vengono usati molto più frequentemente rispetto ai provider IP Allowlist. Scegliere attentamente i provider dell'elenco indirizzi IP consentiti.

Testare i provider dell'elenco indirizzi IP bloccati e i provider dell'elenco indirizzi IP consentiti

Dopo aver configurato il filtro delle connessioni per l'uso di un provider ip Blocklist o di un provider IP Allowlist, è possibile eseguire test per verificare che i provider funzionino correttamente. La maggior parte dei provider fornisce indirizzi IP di prova che è possibile utilizzare per eseguire il test dei loro servizi. Quando si esegue il test di un provider, l'agente Filtro connessioni esegue una query DNS che dovrebbe dare come risultato una risposta specifica dal provider. Per altre informazioni su come testare gli indirizzi IP in base a un servizio provider Ip Blocklist o a un servizio provider IP Allowlist, vedere Gestire il filtro delle connessioni nei server trasporto Edge.

Configurazione del filtro connessioni nei server Trasporto Edge che non sono connessi direttamente a Internet

È possibile utilizzare il filtro connessioni nei server Trasporto Edge che non ricevono direttamente la posta elettronica da Internet. In questo scenario, il computer su cui viene eseguito il ruolo del server Trasporto Edge si trova dietro un altro server di posta che riceve ed elabora i messaggi direttamente da Internet. Ad esempio, l'organizzazione potrebbe inviare traffico di posta tramite un server di protezione da posta indesiderata, un servizio o un dispositivo prima che il messaggio raggiunga il server Trasporto Edge. In questo scenario, l'agente Filtro connessioni deve estrarre l'indirizzo IP di origine corretto dal messaggio. Per estrarre l'indirizzo IP di origine dal messaggio, l'agente filtro connessioni deve analizzare i valori del campo Intestazione ricevuta nell'intestazione del messaggio e confrontare tali valori con gli indirizzi IP noti del server di posta che si trova tra il server Trasporto Edge e Internet.

Ogni server di posta elettronica che accetta e inoltra un messaggio SMTP nel percorso di recapito, aggiunge il proprio campo intestazione Ricevuto nell'intestazione del messaggio. L'intestazione Ricevuto del messaggio in genere contiene il nome di dominio e l'indirizzo IP del server di posta che ha elaborato il messaggio.

Se il server Trasporto Edge non accetta messaggi direttamente da Internet, è necessario usare il parametro InternalSMTPServers nel cmdlet Set-TransportConfig in un server Cassette postali di Exchange 2013 per identificare l'indirizzo IP del server di posta che si trova tra il server Trasporto Edge e Internet. I dati relativi agli indirizzi IP vengono replicati nei server Trasporto Edge da EdgeSync. Quando i messaggi vengono ricevuti dal server Trasporto Edge, l'agente filtro connessioni presuppone un indirizzo IP in un campo di intestazione Ricevuto che non corrisponde a un valore specificato dal parametro InternalSMTPServers è l'indirizzo IP di origine che deve essere controllato. Pertanto, per consentire il corretto funzionamento del filtro connessioni, è necessario specificare tutti i server SMTP interni.