Hạn chế Spam bằng Sender Reputation trong Exchange 2007

Lượt xem: 3115

Trong các hệ thống quản lý và phân loại email thì việc phát hiện và ngăn chặn các tin nhắn spam luôn được đặt lên hàng đầu. Trong nhiều năm, Microsoft đã tiến hành nghiên cứu, xây dựng và phát triển nhiều cơ chế anti – spam và tích hợp trong bố sản phẩm Exchange Server của họ, và một trong số đó là Sender Reputation Filtering. Trong bài viết dưới đây, chúng tôi sẽ giới thiệu với các bạn một số đặc điểm và cơ chế hoạt động chính của tính năng Sender Reputation Filtering này.

Về mặt bản chất, thì quá trình hoạt động của bộ lọc Sender Reputation khá đơn giản, bằng cách phân loại và lọc thông tin đến từ tài khoản người gửi, qua đó quyết định rằng đó có phải là spam hay không. Nhưng về mặt kỹ thuật, thì quá trình trên có thể được thực hiện bằng nhiều cách. Cụ thể, Sender Reputation sẽ “nhìn” vào các phần dễ thấy nhất trong email như header, các hành động có liên quan tới cùng tài khoản đó trong history... Qua nhiều lớp phân loại như vậy, hệ thống đã giảm tải được khá nhiều dữ liệu spam.

Sender Reputation Filter chủ yếu hoạt động tại các Edge Transport Server, được thiết kế chủ yếu hoạt động với Exchange Server, và tồn tại giữa môi trường Internet và các thành phần còn lại trong hệ thống của Exchange Server. Với chức năng hoạt động chính là lọc các thành phần nội dung, dữ liệu spam và chứa mã độc trước khi chúng kịp xâm nhập vào hệ thống chính. Bên cạnh đó, Sender Reputation Filter luôn được kích hoạt sẵn ở chế độ mặc định, và người sử dụng không cần phải cấu hình cũng như thiết lập quá nhiều.

Một trong những thao tác hoạt động đầu tiên của Sender Reputation là cố gắng xác định rằng địa chỉ của người gửi có giả mạo bất kỳ thành phần HELO / EHLO khi quá trình ESMTP được thực thi. Các bạn cần biết rằng 1 trong những hành động cơ bản nhất của hacker là thường xuyên sử dụng nhiều cấu trúc HELO / EHLO khác nhau, trong đây cũng có chứa các địa chỉ IP được “nhúng” khá bí mật. Nếu địa chỉ này không trùng khớp với địa chỉ IP từ email thì nhiều khả năng email đó là spam.

Tiếp theo là việc kiểm tra mail server của địa chỉ người gửi để xác định có thành phần open proxy hay không. Nếu có thì chúng sẽ được phân loại là spam vì những kẻ spammer thường xuyên sử dụng cách này và lợi dụng cách thức hoạt động của open proxy.

Một điểm cần nhớ tiếp theo là việc kiểm tra open proxy này cũng sẽ có liên quan tới open relay. Khi Exchange Server bắt đầu cuộc kiểm tra về open proxy, hệ thống sẽ chuyển ngược email về qua địa chỉ mail server của người gửi. Nếu Edge Transport Server nhận được tin nhắn kiểm tra này thì mail server đó chắc chắn có open proxy. Cụ thể hơn, Exchange sử dụng HTTP Connect, HTTP Post, Telnet, Wingate, SOCKS 4, và SOCKS 5. Lưu ý rằng để cuộc kiểm tra này hoàn tất, các bạn phải mở port 1080, 1081, 23, 6588, 3128, và 80 trên hệ thống firewall.

Cuối cùng, Sender Reputation Filter sẽ kiểm tra các hoạt động gần đây nhất của người gửi. Mỗi email inbound đều được gán với 1 chỉ số Sender Confidence Level – tương ứng với lượng % tỉ lệ tin nhắn đó là spam.

Tiếp theo, chúng ta sẽ bước vào quá trình thiết lập, tùy chỉnh trong Exchange Management Console tại Edge Transport Server. Khi bảng điều khiển chính khởi động, chúng ta chọn Edge Transport, phần cửa sổ ở giữa sẽ hiển thị tất cả các filter đang có sẵn trên hệ thống:

Tiếp theo, nhấn chuột phải vào Sender Reputation > Properties từ menu, và toàn bộ phần thông tin thuộc tính Sender Reputation Properties sẽ hiển thị như hình dưới:

Chúng ta có thể dễ dàng thấy rằng tab General đã cung cấp khá đầy đủ và chi tiết về Sender Reputation Filtering, và người dùng không thể chỉnh sửa được những thông tin này. Các bạn tiếp tục chuyển sang phần tab tiếp theo - Sender Confidence:

Tại đây, người sử dụng sẽ có một số tùy chọn để thực hiện các thao tác kiểm tra open proxy – tính năng này đã được kích hoạt sẵn ở chế độ mặc định, nếu muốn tắt thì các bạn chỉ việc bỏ dấu check tại đây.

Và cuối cùng là tab Action cho phép chúng ta thiết lập và khởi tạo các mức Sender Reputation khác nhau. Khi giá trị này của người gửi vượt quá thông số mà bạn đã cấu hình sẵn, địa chỉ đó sẽ được gán ngay lập tức vào danh sách ngăn chặn – Block trong khoảng thời gian cố định sẵn.

Qua một số tính năng cơ bản như đã miêu tả ngắn gọn bên trên, Sender Reputation Filter hoàn toàn có thể được coi là 1 trong những vũ khí đơn giản nhất để chống lại nạn spam đang ngày càng “bành trướng” trên Internet hiện nay. Chúc các bạn thành công!

Bình luận