Контролируя спам: Часть 2. продвинутые установки SMTP в Lotus DominoИсточник: IBM developerWorks Россия Эдмунд Стэнтон, программист, IBM
В продолжающейся борьбе за контроль над нежелаемой и невостребованной электронной почтой корпорации тратят миллионы, даже миллиарды долларов, покупая технологии для борьбы со спамом и фильтрации ящиков своих пользователей. Lotus Notes и Domino разрабатывают разные способы борьбы со спамом, которые должны помочь этим организациям. В первой части статьи мы обсудили файл Configuration Settings, почтовые правила сервера, команды и расширения входящего SMTP. Каждый из этих способов эффективно борется со спамом. В данной статье мы рассмотрим настройки в документе Server и переменные файла Notes.ini сервера Domino, которые влияют на SMTP и маршрутизатор почты. Затем мы ознакомимся со средствами от спама в Lotus Notes/Domino 7, такими как белые списки, надстройки почтовых правил сервера и так далее. Статья предназначена для опытных администраторов Domino. Если вы им пока не являетесь, прочитайте первую часть данного цикла. Server documentВ предыдущей статье мы рассмотрели средства управления входящим потоком с помощью документа Configuration Settings (Параметры конфигурации), фильтров черных списков DNS и других средств управления SMTP. Но документ Configuration Settings - это не единственный инструмент контроля спама. Эффективными также являются SSL-опции документа Server. SMTP-сессии, выполняемые через канал TCP/IP, уязвимы для прослушивания, потому что незашифрованную передачу легко перехватить. Для защиты SMTP-сообщений и обеспечения секретности и аутентификации серверы используют защиту транспортного уровня (transport-layer security - TLS), более известную как кодирование SSL. Активация SSL осуществляется через вкладку документа Server Ports - Internet Ports - Mail, как показано на рисунке 1. Рисунок 1. Активация SSL для SMTP Inbound Некоторые серверы поддерживают SSL для SMTP-сообщения путем получения и отправки SMTP-трафика только через SSL-порт (порт 465 по умолчанию). Однако, исходя из того, что для этого нужно, чтоб и отправляющий, и принимающий серверы поддерживали работу с SMTP через SSL, такое решение не всегда возможно. Для обеспечения SSL-безопасности для SMTP-передач через TCP/IP, Lotus Domino использует особый SSL. В установленной схеме SSL-хосты отправителя и получателя используют расширение SMTP STARTTLS, определённое в RFC 2487 и RFC 3207, чтобы показать готовность наладить SSL-соединение. Сервер получателя выдаёт ключевое слово STARTTLS в ответ на команду EHLO сервера отправителя. Сервер отправителя отправляет команду STARTTLS в качестве запроса на создание безопасного соединения. После успешного квитирования связи TLS между участниками соединения создается SSL-канал. Оба сервера должны иметь сертификаты SSL. Информация об SSL-порте включает в себя опцию под названием "Enforce server access settings". Когда это опция активирована, доступ к SMTP-приемнику управляется опциями доступа к серверу на вкладке Security в документе Server. Пользователи и серверы, не имеющие доступа к серверу, не могут отправить почту на SMTP-порт. Для большей эффективности этой опции следует активизировать аутентификацию порта. Переменные Notes.iniНаряду с настройкой SMTP через Notes GUI, некоторые опции SMTP могут устанавливаться через переменные Notes.ini сервера. Следующий раздел показывает некоторые переменные Notes.ini, которые можно использовать для борьбы со спамом и настройки ограничений SMTP и маршрутизатора. Все опции Notes.ini, описанные в статье, применимы только для серверов Domino. SMTPStrict821AddressSyntax=value SMTPGreeting=string SMTPStrict821LineSyntax=value SMTPNonStandardLineTermination=value SMTPNotesPort=portname SMTP_Config_Update_Interval=value SMTPAllowConnectionsAnonymous=value SMTPTimeoutMultiplier=value RouterDSNForNULLReversePath=value SMTPVerifySendersDomainTimeout=value SMTPErrorLimit=value RouterDisableDSNRelayReports=value RouterDisableMailToGroups=value SMTPLookupNoDircat=value SMTPMaxCommandLength=value SMTPMaxForRecipients=value SMTPMaxSessions=value SMTPVerifyAuthenticatedSender=value SMTPSmartHostAllDisableGroupExpansion=value SMTPNoVersionInRcvdHdr=value SMTPMaxRecipientCount=value SMTPTranslateAddresses=value SMTPTranslateLookupFullThenLocal=value SMTPTranslateAddressLookup=value SMTPTranslateAddressesPreserve822=value SMTPRelayHostsandDomain=value SMTP_RIGHT_DOT_NEVER_NOTESDOMAIN=value RouterUseFromAsSMTPOriginator=value RouterLanguageVisibleNDRStatus=value Обзор Lotus Domino 7Этот раздел описывает новые возможности Lotus Domino 7. Описанные свойства доступны в версии Beta 2 Lotus Notes/Domino 7. Однако эти свойства могут не быть введены в окончательную версию продукта. Также может быть изменён интерфейс этих свойств, посему иллюстрации в статье могут не отражать реальной картины применительно к конечному продукту. Фильтры белых списков DNSLotus Domino 7 улучшило свой контроль за спамом с помощью фильтров белых списков DNS. Белые списки определяют домены, с которых можно получить сообщения. IBM поддерживает как белые, так и черные списки. В связи с новыми возможностями настройки важно понимать, как сократить объём спама и знать порядок работы Domino, если активированы и черные, и белые списки. Если вы активируете белые списки, при входящем SMTP-соединении Domino ищет IP адрес/имя хоста в списке. В поле "Whitelist the following hosts" перечислите IP-адреса или имен хостов систем, которые вы хотите внести в белый список. В качестве группового символа можно использовать звездочку (*). Члены белых списков по-прежнему подвергаются контролю соединения, передачи, отправителя, получателя. Занесение в белый список не гарантирует доставку сообщения. Рисунок 2. Приватные фильтры белых списков Также можно установить значение поля "Desired action when a connecting host is found in the private whitelist". Вы можете выбрать отмену поиска в черных списках, чтобы избежать лишних поисков. Когда выбрано это действие, Domino не делает дополнительных записей. Кроме внесения хоста в белый список, отменить поиск хоста в чёрном списке можно, обозначив почтовый сервер клиента как исключение. Другая опция - записать IP адрес/имя соединяющегося хоста, который был найден в приватном белом списке. Последняя опция - записать и пометить сообщение. К помеченным сообщениям добавляется метка $DNSWLSite, которая может быть использована для последующей фильтрации. Если хост соединения не был найден в белом списке, Domino ищет его в настроенном черном списке. Domino ищет IP адрес/имя хоста в списке. Вы и тут можете использовать опцию записи сообщения или опцию записи и пометки сообщения меткой $DNSBLSite. Третья опция записывает и отклоняет сообщение. Если Domino найдет хост соединения в черном списке, оно отклоняет соединение и отправляет хосту SMTP сообщение об ошибке. Рисунок 3. Приватный фильтр черного списка После того как Domino проверит приватные списки, он проверяет IP-адрес по фильтрам DNS. Администраторы должны использовать фильтры белых списков DNS как средство идентификации легальной почты. Bonded Sender Program, разработанная IronPort Systems, позволяет инициаторам легального соединения отправлять финансовый залог для подтверждения безопасности и легитимности их электронной почты. Получатели, которые получили невостребованную почту, от пользователя, который внес залог, могут пожаловаться их ISP, предприятию или IronPort, и с этого пользователя будет снято взыскание. Этот механизм позволяет отправителям удостовериться, что их письмо дойдет к конечному пользователю и обеспечивает возможность корпоративным IT менеджерам и ISP блокировать только невостребованную почту. Bonded Sender Program работает также, как белый список DNS. Помимо Bonded Sender Program существуют другие подобные программы. Дополнительную информацию поищите в сети. Если фильтры белых списков DNS активированы, как показано на рисунке 4, Domino ищет IP адрес/имя пользователя на сайтах белых списков DNS. Вы можете установить определенное действие, если пользователь будет найден в белом списке DNS. Вы можете отключить черные списки, чтобы избежать лишних поисков. После указания действия Domino не делает дополнительных записей. Рисунок 4. Фильтры белых списков DNS Другая опция - запись IP-адреса/имени соединяющегося хоста, который был найден в приватном белом списке. Последняя опция - запись и метка сообщений. Метка сообщений добавляет к сообщению заметку $DNSWLSite, которая может быть использована для последующей фильтрации сообщения. Рисунок 5. Свойства файла для $DNSWLSite SMTP ведет кумулятивный подсчёт общего количества совпадений (SMTP.DNSWL.TotalHits), равно как и совпадений в белом списке (SMTP.DNSWL.<WhitelistSite>.Hits). Статистика - это часть пакета статистики SMTP, и может быть просмотрена через Domino Administrator client или консоль сервера через команду "show stat". Для уточнения статистических данных можно узнать количество раз, которое данный адрес был найден в настроенном DNSWL (SMTP.DNSWL.<WhitelistSite>.[IP address].Hits). Чтоб получить больше информации, активируйте переменую Notes.ini:
Используйте эту установку для создания статистики по DNS и по приватному черному списку для каждого соединяющегося хоста, найденного в DNS или приватном черном списке. Если присвоить 0, SMTP-сервер не генерирует статистику по DNS и приватному черному списку. Если присвоить 1, SMTP-сервер генерирует статистику по DNS и приватному черному списку, в которой показывает общее количество совпадений IP-адресов соединяющихся сайтов со списком на сайте DNSWL. В отсутствии этой опции SMTP ведёт статистику общего количества соединяющихся хостов, найденных на комбинированном DNSBL всех сайтов вместе взятых, так же как и количества хостов, найденных в DNSBL каждого из настроенных сайтов. Усовершенствования в почтовых правилах сервераLotus Domino 7 ввел усовершенствования в настройке почтовых правил сервера. IBM добавило два новых условия поиска для идентификации особых сообщений. Lotus Domino 7 может фильтровать почту, базируясь на черных и белых списках. Если хост соединения будет найден в одном из списков, используется опция метки сообщений. Теперь вы можете изолировать сообщения с меткой чёрного списка или делать пометки в журнале о сообщениях с меткой белого списка. Новое действие было добавлено для настройки почтовых правил сервера. Вы можете указать остановить обработку данных. Действие прекращения обработки данных останавливает обработку всех правил, следующих за правилом, ведущим к остановке. Вы можете использовать одно только действие остановки обработки данных - то есть, как единственное действие в почтовых правилах сервера - или вы можете использовать его вместе с другим действием. Это особенно эффективно, когда для сообщения используется несколько правил, а вы хотите прекратить обработку после выполнения первого правила. Поддержка IPv6 для SMTPLotus Domino 7 поддерживает IPv6 для SMTP. Поддержка IPv6 производителями оборудования и операционных систем, а также в интернете находится на зачаточной стадии. На IPv6 переходят многие организации. IPv6 - новый прогрессивный стандарт. Производители воплощают IPv6 по-разному. Установка и настройка IPv6 на вашем предприятии зависит от платформ сервера и клиента. Для активации IPv6, добавьте эту установку в серверный файл Notes.ini:
Вы можете активировать поддержку IPv6 на сервере Domino, на котором работают сервисы IMAP, POP3, SMTP, LDAP или HTTP. Если присвоить переменной 0, Domino использует стандарт IPv4. Присвойте 1, чтобы Domino активировало использование стандарта IPv6. По умолчанию задается значение 0. Даже после активации IPv6 в Lotus Domino, он сможет продолжить соединяться с IP-адресами, которые используют стандарт IPv4. В записи AAAA в DNS хранится адрес в IPv6. После активации IPv6 на сервере Domino и добавления записи АААA в DNS, другой IPv6-активированный сервер Domino может подключиться только через IPv6. Серверы, которые не поддерживают IPv6, могут запустить Lotus Domino с выключенным IPv6, что задано по умолчанию. Эти серверы могут успешно соединяться с серверами Domino с активированным IPv6, только если в DNS на серверах IPv6 содержатся записи А. Domino Domain MonitoringDomino Domain Monitoring (DDM, мониторинг доменов Domino) - новинка в Lotus Domino 7, которая позволяет просмотреть статус многих серверов с разных доменов. DDM использует зонды, которые вы настраиваете для мониторинга активности серверов. Один из зондов - почтовый зонд, следящий за локальной передачей почты. Он отправляет сообщение по назначению и проверяет его доставку. Если много почты задерживается или не доходит до адресата, DDM может отправить вам сигнал. Также можно использовать SMTP-зонд для проверки доставки SMTP-почты получателю. DDM может создать отчет с извещением о статусе доставки. База данных Event Resolution Center (Ddm.nsf) собирает информацию, полученную зондами, в единую базу. Для большей информации о Domino Domain Monitoring и других новых свойствах в Lotus Notes/Domino 7, обратитесь к статье developerWorks: Lotus " Новые возможности Notes/Domino 7." Новые переменные Notes.iniLotus Domino 7 также предоставляет новые переменные Notes.ini для борьбы со спамом. SMTPDenyMailToGroups=value SMTPDenyNotUniqueRCPT=value Что дальшеРазработчики IBM также работают над другими анти-спамовыми технологиями, которых нет в нынешней версии Lotus Domino. Каркас для таких технологий, SpamGuru, позволяет этим технологиям комбинироваться. Одной из созданной на данной основе технологий является Байесовский спам-фильтр. Байесовский спам-фильтр использует статистический метод для идентификации спама. Сравнивая свойства сообщения со свойствами спама и нормального сообщения, определяется вероятность причисления сообщения к спаму, которая представляется в числовом виде, который может использоваться для изменения диспозиции сообщения. Байесовские спам-фильтры изучают спам в процессе работы. Статистика нормальных сообщений и спама сообщений постоянно обновляется, что влияет на последующие расчеты. Обучение выполняется таким образом, что каждый пользователь может внести свой вклад, "голосуя" за то, относится ли сообщение к спаму. Количество голосов учитывается при последующих расчетах, позволяя фильтру динамично приспосабливаться к новому содержимому спама и пользовательскому определению спама. В статье "SpamGuru: An Enterprise Anti-Spam Filtering System" вы найдёте информацию про архитектуру SpamGuru и как Lotus Domino может стать адаптивным фильтром спама. Дополнительный материал для чтения есть на IBM Research. Примечание: IBM не определило граничного времени для интеграции технологий SpamGuru с Lotus Notes и Domino. ВыводыIBM разработало и настроило много возможностей для борьбы со спамом в Lotus Domino 6 и 7. Многие пользователи не знают, как и почему они получают спам, именно поэтому сокращение количества спама поможет пользователям сэкономить немало времени. IBM продолжает модернизировать Lotus Domino, чтобы оно всегда оставалось на уровне наилучших технологий по борьбе со спамом. |