Контролируя спам: Часть 1. Продвинутые установки SMTP в Lotus DominoИсточник: IBM developerWorks Россия Эдмунд Стэнтон, программист, IBM
В изменяющемся мире технологий количество почтового спама увеличивается быстрее, чем многие системы электронной почты могут его контролировать. В 2004 г. почти 9 млрд. дол. было потрачено корпорациями США на борьбу со спамом. Компании выпустили продукты для идентификации и изоляции предполагаемых спам-сообщений. Исследование показало, что спам составляет более 40% всей электронной почты, при этом в среднем приходится по 6 сообщений на пользователя ежедневно. Если, вы думаете, что это плохо, то ожидаемый прирост спама в 2007 г. составит 63%. Подобную статистику можно найти на сайте Spam Filter Review. Начиная с Lotus Domino 4, Lotus искал пути для борьбы с почтовым спамом и для ввода ограничений для сообщений Simple Mail Transfer Protocol (SMTP). В Lotus Domino 4 появились многочисленные параметры Notes.ini для контроля передачи сообщений, входящих соединений и доменов отправителей. Lotus Domino 5 предоставил графический пользовательский интерфейс (Graphical User Interface - GUI), через который администраторы Domino могли управлять значениями в документе Configuration Settings (Параметры конфигурации). Это упростило настройку SMTP для администраторов Domino и уменьшило затраты пользователей. Lotus Domino 6 улучшил технологию путем интеграции процессов обмена сообщениями ввода и двух способов фильтрации: черный список DNS (DNSBL) и фильтрация по содержанию. Это статья показывает многочисленные решения, разработанные IBM, для ограничения количества нежелательной почты с сервера, также здесь рассматриваются средства управления спамом в Lotus Domino 7. В первой части статьи рассматриваются установки документа Сonfiguration Server и правила обмена почтой на сервере с целью контроля спама. Во второй части рассматриваются настройки документа Server и переменные Notes.ini, контролирующие спам. Для ознакомления со статьей вам надо быть опытным администратором Domino, знающим Lotus Notes и Domino 6. Установки SMTP в DominoМногие пользователи Notes предпочитают, чтобы не они, а их администратор фильтровал и удалял нежелательный спам. Проще всего остановить спам, не пустив сообщение в ваше окружение. Для этого надо настроить SMTP и маршрутизатор. Вы можете конфигурировать их в файле Configuration Settings, файле Server и файле Notes.ini сервера Domino. Задача SMTP - контролировать SMTP-приемник информации с сервера Domino. По умолчанию в случае перезапуска сервиса SMTP, и через каждые две минуты после этого, сервис SMTP автоматически проверяет файлы Notes.ini, документ Configuration Settings и документ Server, не изменились ли в них установки. Если сервис видит изменение установок, он перенастраивает свою внутреннюю конфигурацию, чтобы соответствовать изменениям. Документ Configuration SettingsНаиболее эффективно контролировать SMTP-трафик через документ Configuration Settings. Документ Configuration Settings содержит закладки, позволяющие фильтровать электронную почту через SMTP, сокращая количество спама. На закладке Router/SMTP - Restrictions and Controls - SMTP Inbound Controls находятся шесть дополнительных разделов для настройки протокола SMTP. Средства управления входящим потокомВ этом разделе указываются интернет-домены, с которыми Domino разрешит либо запретит обмен сообщениями, как показано на рисунке 1. Если не сконфигурировать ваш сервера Domino для передачи сообщений, то он может быть занесен в черный список, и у вас не будет возможности отправлять SMTP сообщения на домены, использующие сервис черного списка. В полях Deny (отменить), звездочка (*) не позволяет Domino передавать сообщения на внешние интернет-домены с любых внешних интернет-хостов или IP-адресов. Также звездочкой (*) можно обозначить подсеть любого IP-адреса. Любой IP-адрес или хост, записанный в поле "Allow messages to be sent only to the following external internet domains" (Сообщения могут быть отправлены только на следующие внешние интернет-домены) главенствует над полем "Deny messages to be sent to the following external internet domains" (Сообщения НЕ могут быть отправлены на следующие внешние интернет-домены). Рисунок 1. SMTP Inbound Relay Controls Любое значение в поле "Allow messages only from the following internet hosts to be sent to external internet domains" (Сообщения, которые могут быть отправлены со следующих интернет-хостов на внешние интернет-домены) главенствует над полем "Deny messages from the following internet hosts to be sent to external internet domains" (Сообщения, которые НЕ могут быть отправлены со следующих инетрнет-хостов на внешние интернет-домены). В прошлых версиях Domino содержимое в полях запрета главенствовало над полями разрешения при возникновении конфликтной ситуации. Если вы хотите вернуться к алгоритму 5й версии, вам нужно конфигурировать переменную Notes.ini SMTPRelayHostsandDomains=value. Значение по умолчанию - 0. Эта переменная не дает серверам использовать правила Domino 5 для разрешения конфликтов между содержимым полей разрешения и запрета в средствах управления входящими потоками SMTP.
Слежение за входящими потокамиЭтот раздел показывает продвинутые опции для управления передачей сообщений. Следующие три поля показывают дополнительные опции передачи SMTP, показанные на рисунке 2. Рисунок 2. SMTP Inbound Relay Enforcement Perform Anti-Relay enforcement for these connecting hosts (Применение ограничения в передаче потоков для данных хостов)
Exclude these connecting hosts from anti-relay checks (Не проверять указанные хосты на запрет передач) Exceptions for authenticated users (Исключения для аутентифицированных пользователей)
Фильтры черного списка DNSЭтот раздел определяет необходимость использования фильтров черного списка DNS, как показано на рисунке 3. Если он активизирован, то когда Domino получает запрос на соединение SMTP, он проверяет, занесен ли пытающийся подсоединиться хост в черный список на указанном сайте. Если хост будет найден в списке, Domino сообщает об этом через консоль и через поле Mail Routing Events лога Notes. В консольном сообщении и записи указываются имя хоста и IP адреса сервера, а также сайт, где сервер занесён в чёрный список. Если Domino находит хост в одном из черных списков, он не ищет дальше на остальных указанных сайтах. Рисунок 3. Фильтры чёрного списка DNS Вы можете выбирать среди множества бесплатных и платных сервисов, которые предоставляют черные списки (DNS blacklists). При использовании публичных сервисов черного списка, Domino выполняет DNS запросы через интернет. В некоторых случаях, получение ответа на запрос DNS с сайта в интернете может занять очень много времени. Если задержка DNS запроса замедляет работу, лучше заключить соглашение с приватным сервисом, который допускает передачу областей, так что Domino быстро выполнит DNS запрос на локальном хосте. Во время передачи областей содержимое файла DNS на сервисе копируется на DNS сервер в локальной сети. Каждый черный список имеет свои критерии добавления в него серверов. Сайты черных списков используют автоматические тесты и другие способы, чтобы определить, посылает ли этот сервер спам и использует ли открытую передачу почты. Более жесткие черные списки добавляют серверы, в случае если сервер не проходит тест, независимо от того, определен он как источник спама или нет. Другие менее жесткие списки добавляют сервер, если его администратор не закрывает сервер для посторонней передачи после определенного периода, если сервер поддерживает хосты спаммеров. Вы можете ввести текст сообщения об ошибке при отказе соединения, потому что хост найден в черном списке DNS. По умолчанию в сообщении об ошибке говорится, что отказ был выполнен, исходя из стратегических причин. Вы можете использовать формат %s, чтобы указать IP адрес заблокированного хоста и сайт черных списков DNS, где хост был найден Domino. Например, вы вводите следующее:
Когда Domino отказывает в соединении, он направляет ошибку на хост, где он заменяет первый %s IP адресом хоста, а второй %s именем сайта черного списка DNS. Так что если вы ввели текст согласно примеру, заблокированный хост получает такое сообщение об ошибке:
Выполняемое действие, если хост найден в чёрном списке DNS
Вы можете получить статистику от Domino Administrator, либо используя команду SHOW STAT SMTP через консоль сервера. Вы можете расширить статистику, чтобы узнать, сколько раз данный IP адрес был найден на одном из указанных DNSBL. Для получения дополнительной информации надо задать переменную SMTPExpandDNSBLStats в файле Notes.ini на сервере.
Используйте эту опцию для создания статистики фильтра DNS для каждого соединяющегося хоста, заданного на сайте с чёрным списком DNS.
Эта опция Notes.ini обращается к серверам Domino. В случае отсутствия этой опции SMTP выдает статистику, которая показывает общее число совпадающих хостов в комбинированном DNSBL всех сайтов вместе со статистикой о том, сколько раз они были найдены в DNSBL на каждом из указанных сайтов. Переменная Средства управления внешним соединениемСредства могут быть использованы для запрета хостам и IP адресам соединяться с вашим сервером Domino. Вы можете настроить Domino на обратный просмотр DNS для любого соединяющегося сервера. Это обязывает Domino проверить имя соединяющегося хоста путем выполнения обратного просмотра DNS. Domino проверяет DNS на предмет совпадения PTR записи, соответствующей IP-адресу хоста, с именем хоста. Если Domino не сможет определить имя удаленного хоста, потому что DNS не доступен или запись PTR не существует, он не позволит хосту передавать почту. Вы можете также ввести имя хоста и/или IP адреса с разрешением или запретом на соединение с сервисом SMTP на этом сервере, как показано на рисунке 4. Содержание имени хоста может быть полным, включающим точное имя определенного хоста, или сокращенным, и означать существование группового символа (wildcard). Например, в поле "Allow connections only from the following SMTP internet host names/IP addresses" (Позволить соединение только со следующими SMTP-хостами/IP-адресами), если ввести ibm.com, Domino разрешит соединения с почтовыми службами домена *ibm.com, так что оно примет только имена, заканчивающиеся на ibm.com, включая us.ibm.com и server.ibm.com. Domino отклонит все другие запросы на соединение. Рисунок 4. SMTP Inbound Connection Controls Контроль за отправителями входящей почтыЭтот раздел касается отправителей входящих SMTP-сообщений. Вы можете активизировать обратный DNS-просмотр на домене отправителя, как показано на рисунке 5. Если активизирован, Domino проверяет, существует ли домен отправителя, проверяя на MX, CNAME, или запись А, соответствующую доменной части адреса в полученной от отправляющего хоста команде MAIL FROM. Если они не совпадают, Domino отказывает в принятии почты с хоста. Вы можете узнать интернет-адреса, с которых сервер позволяет либо нет получать сообщения. Во время SMTP диалога, SMTP-приемник Domino сравнивает адрес в команде MAIL FROM, полученной от соединяющегося хоста с содержимым этих полей. Рисунок 5. Контроль за отправителями входящей почты Средства контроля за указанными получателямиЭтот раздел позволяет оградить список получателей от входящих SMTP-сообщений. Его полезная особенность - поле "Verify that local domain recipient exist in the Domino Directory" (Проверка наличия локального домена получателя в Domino Directory). Этим указывается, что SMTP-приемник сравнивает имена получателей, указанных в командах RCPT TO, с содержимым Domino Directory. При активации часть адреса домена, указанная в команде SMTP RCPT TО сравнивается с одним из указанных локальных доменов; SMTP-приемник проверяет все директории, чтобы определить, является ли данный получатель достоверным пользователем. Если поиск завершён и совпадений с именем нет, сервер SMTP возвращает ошибку 550, сообщая, что пользователь не известен:
Использование этой опции не позволит отправить сообщения на несуществующие адреса (например, спам и сообщения пользователям, покинувшим организацию) и "мертвой" почте накапливаться в Mail.box. Чтобы избежать ограничения сообщений в результате недоступности директории, Domino принимает сообщения, если просмотр директорий не был успешно завершен. Для дополнительной информации посмотрите рисунок 6. Рисунок 6. Средства контроля за указанными получателями Вы можете указать адреса в данном локальном домене интернета, которым разрешено или запрещено получать почту из интернета. Вы также может создать в Notes-группу, содержащую список адресов, которые могут получать или отклонять почту из интернета и ввести в это поле имя группы. Замечание: В некоторых из указанных разделов есть поля Allow messages… и Deny messages…. Эти поля взаимно исключают друг друга. Любые поля запрета сообщений будут игнорировать соответствующие поля разрешения. Почтовые правила сервераВы можете создать правила фильтрации для сервера, которые определят действия для всех сообщений. Когда новое сообщение с указанной характеристикой попадет в почтовый ящик, Domino автоматически выполнит соответствующее действие. Условия правил основываются на содержимом заголовка или содержимом сообщения. Путем настройки набора условий и установок вы можете изменять правила, чтобы помогать блокировать спам и перехватывать сообщения с сомнительным содержанием. Кроме тех случаев, когда это оговорено правилами, Domino не извещает отправителя или получателя, что правила не позволяют сообщению дойти до места назначения. Если почтовый ящик получает зашифрованное сообщение (Notes encrypted, S/MIME, PGP и так далее), почтовые правила сервера используют все условия, основанные на незашифрованной информации в пакете сообщения, такие как пользователь, важность, получатели, но не используют условия, основанные на зашифрованной части сообщения. Многие условия правил основаны на информации в пакете сообщения. Сервер не записывает случаи, в которых правила не могут проверить сообщения. Domino сохраняет созданные правила в таблице Configuration Settings Router/SMTP - Restrictions and Controls - Rules. При загрузке каждый сервер берёт почтовые правила из соответствующего документа Configuration Settings и регистрирует их в качестве монитора для почтового ящика. Когда почтовый ящик получает новое сообщение из любых источников, таких как SMTP, маршрутизатор с другого сервера или просто клиент, отправляющий сообщение, сервер оценивает различные поля сообщения в соответствии с установленными правилами. Каждое сообщение оценивается один раз. Создание почтовых правил сервераКогда вы добавляете новое правило, сервер начинает его использовать только после перезагрузки почтовых правил. Перезагрузка осуществляется автоматически, когда Сервер замечает изменение в правилах при проведении регулярной проверки файла Configuration Settings. Эта проверка выполняется примерно каждые 5 минут, также перезагрузка может быть запущена из консоли Domino. При создании почтовых правил сервера стоит кое-что учесть. Когда установлено много правил, вы можете отсортировать их по значимости. Наиболее часто встречающиеся слова постарайтесь разместить в начале правила, так чтобы при их нахождении не было необходимости просматривать все остальные условия. Без необходимости не просматривайте тело сообщения. Просмотр тела наиболее влияет на загрузку CPU и памяти сервера и может привести сервер Domino к непредсказуемым последствиям. Максимальное количество почтовых правил - 100, но оно может быть настроено переменной Notes.ini. Рисунок 7. Диалоговое окно нового правила Прежде чем создать почтовое правило сервера, нужно определить элемент сообщения, в соответствии с которым будут указаны условия. Вы можете выбрать из
Выбрав элемент сообщения для проверки, вам нужно установить логический оператор или классификатор. Опцию нужно выбрать из:
Также можно модифицировать почтовые правила сервера и добавить больше условий, таких как И, ИЛИ. Также в качестве условия можно добавить исключение. Следующим шагом создания правил почты сервера нужно указать действие, выполняемое с сообщением, которое соответствует установленным в правилах условиям. Выбрать можно из вариантов в таблице A. Таблица A. укажите действия для почтовых правил сервера.
Команды и расширения входящего SMTPLotus Domino поддерживает некоторые обычные команды и расширения SMTP (ESMTP - Extended Simple Mail Transfer Protocol). В большинстве случаев многие из них конфигурируются через файл Server Configuration Settings document через вкладку Router/SMTP - Restrictions and Controls - Advanced - Commands and Extensions. Каждая команда ESMTP поддерживается отдельным запросом на комментарий (Request For Comment - RFC). В таблице B описаны внешние команды и расширения ESMTP, поддерживаемые SMTP-приемником. Таблица B. Команды и расширения входящего SMTP
ВыводыИтак, в этой статье описаны настройки SMTP в Domino, которые можно установить в файле Server Configuration Settings, включая средства управления входящей передачей, черные списки, команды и расширения входящего SMTP. Мы также обсудили почтовые правила сервера и ведение почтового журнала -- два новых пути для борьбы со спамом. Во второй части статьи мы рассмотрим настройки документа Server и переменные Notes.ini, которые влияют на SMTP. Позже мы рассмотрим новинки, которые появятся в Lotus Notes/Domino 7. |