1. Анализ Протоколов Приложений Не Функционирует Nod32 4

Функция защиты от спама на основе репутации отправителя в Exchange блокирует сообщения в зависимости от характеристик отправителя. Чтобы определить, какое действие следует предпринять в отношении входящего сообщения, она использует сохраненные сведения об отправителе. Эта функция основана на использовании агента анализа протокола. Дополнительные сведения о настройке репутации отправителя и агента анализа протокола см. По умолчанию агент анализа протокола включен на пограничных транспортных серверах, но его также можно включить на серверах почтовых ящиков. Дополнительные сведения см.

Анализ сетевого. Поскольку стеки сетевых протоколов. Лицам для анализа и им не.

Уровень репутации отправителя (SRL) рассчитывается исходя из следующей статистики:. Анализ HELO/EHLO. SMTP-команды HELO и EHLO предназначены для предоставления имени домена, например Contoso.com, или IP-адреса SMTP-сервера отправителя принимающему SMTP-серверу. Злонамеренные пользователи, или спамеры, часто разными способами подделывают оператор HELO/EHLO. Например, вводят IP-адрес, не соответствующий IP-адресу, с которого произошло подключение.

Кроме того, в попытке представить, будто домены находятся в организации, в оператор HELO спамеры подставляют домены, о которых известно, что они локально поддерживаются на принимающем сервере. В других случаях злоумышленники, рассылающие нежелательную почту, изменяют домен, передаваемый в операторе HELO. Как правило, обычный пользователь использует в операторах HELO разный, но относительно постоянный набор доменов.

Поэтому на основании анализа оператора HELO/EHLO для каждого отправителя можно сделать вывод, что он, возможно, рассылает нежелательную почту. Например, отправитель, который в определенный период времени передает много разных уникальных операторов HELO/EHLO, вероятно, рассылает нежелательную почту.

Отправители, последовательно предоставляющие в операторах HELO IP-адрес, не совпадающий с настоящим IP-адресом, определенным агентом фильтрации подключений, вероятно, также рассылают нежелательную почту. Удаленные отправители, постоянно предоставляющие имя локального домена в операторе HELO в той же организации, на которой расположен сервер Exchange, вероятно, также рассылают нежелательную почту. Обратный запрос DNS.

Функция 'репутация отправителя' также проверяет соответствие исходящего IP-адреса, с которого отправитель передал сообщение, зарегистрированному имени домена, переданному отправителем в SMTP-команде HELO или EHLO. Функция 'репутация отправителя' выполняет обратный запрос DNS, отправляя в DNS исходящий IP-адрес. Результат, возвращаемый службой DNS, — имя домена, зарегистрированное центром доменных имен для данного IP-адреса. Функция репутации отправителя сравнивает имя домена, возвращенное службой DNS, с именем домена, переданным отправителем в SMTP-команде HELO/EHLO. Если имена доменов не совпадают, то отправитель, вероятно, является пользователем, рассылающим нежелательную почту, и общий уровень репутации отправителя для него должен быть увеличен.

Агент кодов отправителя выполняет подобную задачу, но работает с данными допустимых отправителей, не являющихся злонамеренными пользователями. Агент кодов отправителя обновляет их инфраструктуру DNS, чтобы иметь свежий список всех SMTP-серверов отправителей электронной почты в их организации. Выполняя обратный запрос DNS, можно выявить потенциальных злонамеренных пользователей. Анализ оценок SCL по сообщениям от конкретного отправителя. Когда агент фильтра содержимого обрабатывает сообщение, он назначает сообщению оценку вероятности нежелательной почты (SCL). Оценка вероятности нежелательной почты — это число от 0 до 9.

Более высокая оценка вероятности нежелательной почты означает, что сообщение с большой вероятностью будет нежелательным. Данные о каждом отправителе и оценках SCL их сообщений сохраняются для анализа при помощи функции «Репутация отправителя». Функция «Репутация отправителя» вычисляет статистику для отправителя, определяя соотношение между всеми сообщениями от данного отправителя, которые имели в прошлом низкую оценку SCL, и всеми сообщениями от этого же отправителя, которые имели высокую оценку SCL. Кроме того, количество сообщений с высокой оценкой SCL, пришедших от отправителя за предыдущий день, применяется к общему значению SRL. Тестирование открытого прокси-сервера отправителя — это открытый прокси-сервер, который принимает запросы на подключение ото всех и из любого места и затем пересылает трафик как если бы он исходил от локальных компьютеров. Прокси-серверы ретранслируют TCP-трафик через брандмауэр, обеспечивая пользовательским приложениям прозрачный доступ через брандмауэр.

Поскольку протоколы прокси-серверов — облегченные и независимые от протоколов пользовательского приложения, то прокси-серверы могут использоваться многими различными службами. Прокси-серверы могут также применяться для общего использования одного подключения к Интернету несколькими компьютерами. Прокси-серверы обычно настраиваются так, чтобы пересекать прокси-серверы можно было только с известных брандмауэру доверенных компьютеров. Разрешенный отправитель может быть открытым прокси-сервером из-за непреднамеренной неправильной настройки или вредоносной программы. Открытые прокси-серверы предоставляют для пользователей-злоумышленников идеальный способ скрыть свои истинные учетные данные, чтобы реализовать атаку типа «отказ в обслуживании» (DoS) или разослать нежелательную почту. Так как все больше прокси-серверов настраивается как открытые по умолчанию, открытые прокси-серверы становятся обычным явлением. Кроме того, чтобы скрыть истинный IP-адрес отправителя, злоумышленник может использовать цепочку из нескольких открытых прокси-серверов.

Когда функция репутации отправителя выполняет тест открытого прокси-сервера, она форматирует SMTP-запрос, чтобы подключиться к серверу Exchange с открытого прокси-сервера. Если SMTP-запрос от прокси-сервера получен, функция репутации отправителя убеждается, что сервер является открытым, и обновляет статистику проверки для этого отправителя.

Анализ Протоколов Приложений Не Функционирует Nod32 4

Функция «Репутация отправителя» производит оценку всех данных статистики и подсчитывает значение SRL для каждого отправителя. Уровень репутации отправителя — это число от 0 до 9, отражающее вероятность того, что определенный отправитель является источником нежелательной почты или иным пользователем-злоумышленником. Значение 0 свидетельствует о том, что данный отправитель, скорее всего не является злоумышленником, рассылающим нежелательную почту. Значение 9 свидетельствует о том, что данный отправитель, скорее всего является злоумышленником, рассылающим нежелательную почту. Вы можете установить пороговое значение для блокировки от 0 до 9, при котором функция репутации отправителя отправляет запрос агенту фильтрации отправителей и тем самым запрещает отправителю отправлять сообщения в организацию. Когда отправитель заблокирован, он на заданный период времени добавляется в список заблокированных отправителей. Способ обработки заблокированных сообщений зависит от настройки агента фильтрации отправителей.

Заблокированные сообщения можно:. Отклонить. Сообщения возвращаются в отчете о недоставке. Удалить. Сообщения автоматически удаляются без отчета о недоставке.

Принять. Сообщения принимаются и помечаются как поступившие от заблокированного отправителя. Дополнительные сведения об агенте фильтрации отправителей см. Если отправитель добавлен в список заблокированных IP-адресов или службу репутации IP-адресов (Майкрософт), функция репутации отправителя немедленно отправляет запрос агенту фильтрации отправителей, чтобы его заблокировать. Чтобы воспользоваться этой функцией, необходимо включить и настроить службу обновления средства защиты от спама Microsoft Exchange. По умолчанию для отправителей, которые не были проанализированы, функция репутации отправителя устанавливает оценку 0.

После того как от отправителя приходит 20 или более сообщений, она рассчитывает значение уровня репутации отправителя, которое основывается на статистике, описанной ранее в этой статье. Функция репутации отправителя обрабатывает сообщения на двух этапах SMTP-сеанса:. В SMTP-команде MAIL FROM. Функция репутации отправителя обрабатывает сообщение, только если оно заблокировано или иным образом обработано агентом фильтрации подключений, агентом фильтрации отправителей, агентом фильтрации получателей или агентом Sender ID. В этом случае из профиля отправителя, сохраненного на сервере Exchange, извлекается текущая оценка уровня репутации отправителя. Дальнейшие действия, выполняемые при конкретном подключении, определяются настройкой сервера Exchange в зависимости от порогового значения для блокировки. После SMTP-команды end of data. SMTP-команда о завершении передачи данных ( EOD) передается, когда все фактические данные сообщения отправлены. На этой стадии SMTP-сеанса многие агенты защиты от спама уже обработали сообщение.

В результате выполнения этих процедур статистика, используемая функцией репутации отправителя, обновляется. Таким образом, эта функция получает обновленные данные для последующего расчета или пересчета значения SRL для отправителя. Когда агент репутации отправителя вычисляет уровень репутации отправителя, он пытается подключиться к исходному IP-адресу отправителя с помощью распространенных протоколов прокси-серверов, таких как SOCKS4, SOCKS5, HTTP, Telnet, Cisco и Wingate. Чтобы подключиться к серверу Exchange с открытого прокси-сервера с помощью SMTP-запроса, агент репутации отправителя форматирует запрос в соответствии с протоколом. Если SMTP-запрос получен от прокси-сервера, агент репутации отправителя убеждается, что прокси-сервер является открытым, и корректирует оценку уровня репутации отправителя согласно этому результату. По умолчанию для агента репутации отправителя включено обнаружение открытых прокси-серверов.

Дополнительные сведения о настройке обнаружения открытых прокси-серверов см. Уровень репутации отправителя — это число от 0 до 9, отражающее вероятность того, что пользователь рассылает нежелательную почту или выполняет другие вредоносные действия. Вам необходимо настроить пороговое значение для блокировки по уровню репутации отправителя, чтобы указать значение уровня репутации, при котором отправитель будет заблокирован. По умолчанию пороговое значение для блокировки равно 7, что означает, что отправители с уровнями репутации 7, 8 или 9 будут заблокированы. Рекомендуется отслеживать эффективность функции репутации отправителей и агента анализа протокола на уровне по умолчанию. Если уровень репутации отправителя достигает или превышает пороговое значение для блокировки, агент репутации на пограничном транспортном сервере добавляет его в список заблокированных IP-адресов агента фильтрации подключений. Иногда пользователи рассылают пакеты нежелательной почты от имени одного отправителя.

В этом случае, если вычисленный уровень репутации отправителя превышает пороговое значение для блокировки, отправитель добавляется в список заблокированных отправителей на определенный срок (по умолчанию — 24 часа). Через 24 часа отправитель удаляется из списка заблокированных отправителей и снова может отправлять сообщения. При добавлении отправителя в список блокировок IP-адресов агент репутации отправителя удаляет профиль отправителя. Агент репутации отправителя удаляет этот профиль, поскольку в существующем профиле заблокированного отправителя указано, что уровень репутации отправителя превышает пороговое значение для блокировки по уровню репутации отправителя.

В противном случае заблокированный отправитель был бы вновь добавлен в список блокировок IP-адресов по окончании периода блокировки отправителя. Дополнительные сведения о настройке блокировки отправителей см.