Контроль спама при помощи Domino 7

8.6 Изучение стратегий применения возможностей версии 7

Какие параметры конфигурации будут наиболее эффективными в вашем случае? Четкого ответа на этот вопрос не существует. Вы должны знать, как почта приходит на ваш сервер Domino. Если между сервером Domino и Интернетом находится шлюз, вы не можете использовать контроль соединений или черные и белые списки DNS. IP-адрес соединяющейся с вами машины всегда будет представлять собой IP-адрес шлюза.

Сведем вместе все параметры конфигурации в двух сценариях – сценарии отбрасывания всего спама и сценарии приема всего спама на сервер. Поскольку в версии 7 появились белые списки, мы рассмотрим, как вы можете работать со своим собственным белым и черным списком DNS.

8.6.1 Принимать весь спам или отклонять весь спам?

Существует ряд ситуаций, когда прием всего спама (или, что лучше, всей почты) на сервер является наилучшим решением. Одной из ситуаций является конфигурация, в которой сервер Domino не получает напрямую почту из Интернета. Например, у вас может быть резервный SMTP-сервер, предоставленный вам интернет-провайдером, или SMTP-сервер провайдера или сервер-шлюз внутри организации. Во всех этих случаях отклонение почтового сообщения не решает проблему спама, а лишь переносит ответственность за решение данной проблемы в другое место.

Еще одна причина, по которой прием всего спама является допустимым, заключается в том, что у вас будет подробная информация для тонкой настройки фильтров спама. Когда система Domino отклоняет сообщение, вы часто не знаете точной причины этого, особенно если дело касается почтовых правил. Если вы сохраните сообщение, вы всегда сможете просмотреть его и внести изменения в фильтр. Это особенно полезно в случае ошибочной идентификации сообщений как спам-позитивных.

Существует ряд причин, по которым нужно отклонять весь спам. В данном случае у вас будет очень мало зависших (dead) сообщений (или их не будет совсем) и вы улучшите сетевую пропускную способность, поскольку тело сообщения передаваться не будет.

Вы можете задать прием или отклонение всех сообщений при помощи нескольких параметров конфигурации. Выбор одного или другого метода не означает, что пользователи будут получать больше или меньше спама. Различие здесь состоит в том, что в почтовом ящике на сервере и, возможно, в файлах карантина будут накапливаться большие количества спама.

Рассмотрим следующий список параметров:

• Inbound intended recipients controls (Контроль получателей, указанных во входящем сообщении). Этот параметр очень эффективен для контроля входящего потока сообщений, которые имеют неправильный адрес. Сервер Domino завершит соединение, прежде чем будет передано тело сообщения, что позволит сэкономить сетевые ресурсы и освободить потоки для приема. Помните, что данный параметр имеет более высокий приоритет, чем белый список. Короче говоря, если получатель отсутствует в Domino Directory, сообщение будет отклонено (см. 8.5.4, "Контроль получателей, указанных во входящих сообщениях"). Этот параметр не уменьшает объем спама, получаемого отдельным пользователем. Это административная опция.
  Примечание. При включении параметра Inbound intended recipients controls (Контроль получателей, указанных во входящем сообщении) почтовый адрес проверяется по полю RCPT TO. Сервер SMTP по-прежнему будет отвечать сообщениями "250...Recipient OK" и "550...No such user" на запросы спамерских инструментов сбора почтовых адресов.
• Hold undeliverable messages (Задерживать сообщения, которые невозможно доставить). По умолчанию данный параметр отключен (Disabled). Если вы не хотите, чтобы сообщения, которые не были доставлены, возвращались на адрес отправителя, включите этот параметр (Enabled). Помните, что задерживаются все сообщения, даже те, которые посылаются вашими пользователями. Вам нужно часто проверять файл MAILBOX на сервере и либо освобождать задержанные сообщения, либо удалять их (см. 8.5.9, "Удержание сообщений, которые невозможно доставить"). Этот параметр не уменьшает объем спама, получаемого отдельным пользователем. Это административная опция.
• Address lookup (Поиск адресов). По умолчанию указывается значение Fullname and Local Part (Полное имя и локальный элемент). Чтобы доставка сообщений не производилась по одному имени или одной фамилии, укажите вариант Fullname only (Только полное имя). Если вы допускаете прием писем из нескольких почтовых доменов, внесите в документы Person разные почтовые адреса (см. 8.5.7, "Поиск адресов"). Этот параметр уменьшает объем почты, посылаемой пользователям, поскольку в письмах должен быть точный формат адреса.
• Белый и черный список. Выберите поставщика черного списка, удовлетворяющего вашим требованиям. Начните с опции Log and tag (Записать в журнал и маркировать), а затем, после изучения результатов, переходите на Log and reject message (Записать в журнал и отклонить сообщение). Этот параметр может уменьшить число сообщений, получаемых пользователями.

Настройте белый список, указав в нем домены своих заказчиков. Обучайте пользователей созданию правил почтовых файлов с маркерами белых списков. Этот параметр может улучшить качество доставляемой почты.

• Личный черный/белый список или контроль соединений? Вы можете вводить доменное имя (или IP-адрес) в любой из этих параметров. Различие в результате. Черные и белые списки позволяют вам промаркировать сообщение. Контроль соединений может лишь принимать или отвергать. Для тестирования параметра вы можете использовать личный черный список с опцией Log and tag (Записать в журнал и маркировать). Если результат вас удовлетворяет, вы можете скопировать доменное имя (или IP-адрес) в раздел Connection Control (Контроль соединений).
• Правила сервера. Просмотрите существующие правила и дополните действия новой опцией Stop Processing (Остановить обработку). Эта опция полезна для прекращения проверки по правилу, если наблюдается совпадение. Все остальные проверки завершаются, и это позволяет улучшить производительность сервера.

8.6.2 Настройка собственного белого списка DNS

C технической точки зрения черные и белые списки DNS работают идентично. SMTP-сервер посылает запрос, и DNS возвращает ответ "Not-Found" (Не найден) или найденный IP-адрес. В случае черных и белых списков DNS возвращается обычно адрес 127.0.0.1 (loopback), но Domino не делает различий между возвращаемыми адресами, любой адрес считается совпадающим.

Если вы хотите настроить свой собственный белый список DNS, вам нужно собрать IP-адреса ваших отправителей, которые вы хотите включить в белый список. Эта задача не сводится к поиску домена и вводу соответствующего IP-адреса. В настоящее время нет общепринятого стандарта, который требовал бы, чтобы в DNS была запись, относящаяся к SMTP-серверу-отправителю. Помните, что SMTP-сервер-отправитель организации не обязан быть тем же самым, что и SMTP-сервер-получатель, и часто они действительно не совпадают, поэтому зарегистрированные записи Mail Exchanger (MX), относящиеся к домену, не обязательно будут теми самыми, которые вы хотите внести в белый список. Единственным доступным для вас источником будет файл журнала сервера, где IP-адрес записывается в момент установления и разрыва соединения (пример 8.7).

SMTP Server: mail2.kai-shin.com (9.33.85.111) connected
...
SMTP Server: mail2.kai-shin.com (9.33.85.111) disconnected. 1 message[s] received

Следующий этап – это добавление IP-адреса в белый список DNS.

Как работает поиск DNS?

Поиск DNS для черных и белых списков, а также для других видов запросов работает, по сути, одинаково. DNS-клиент (т. е. ваш SMTP-сервер) вызывает DNS-сервер, сконфигурированный в вашей операционной системе. В Microsoft Windows настройка DNS является частью сетевой конфигурации.

Рассмотрим следующие моменты:

• Отправка почты. Когда SMTP-серверу требуется IP-адрес домена, он выполняет стандартный запрос к DNS, запрашивая запись MX (записи MX (mail exchange) – это записи для обмена почтой, которые относятся к приему почты). DNS-сервер в ответ посылает все записи MX и связанные с ними записи об адресах. SMTP-сервер выбирает запись с наибольшим приоритетом и запускает передачу почты.
• Получение почты. По умолчанию ваш SMTP-сервер принимает почту для вашего домена без запросов к DNS. Поиск в DNS можно запустить с помощью нескольких параметров конфигурации:
  • если ввести имя хоста в Relay and Connection Controls (Контроль ретрансляции и соединений), SMTP-сервер будет выполнять инвертированный поиск (перевод IP-адреса в имя хоста);
  • включение черного и белого списка DNS;
  • если ввести имя хоста в личный черный или белый список, SMTP-сервер будет выполнять инвертированный поиск (перевод IP-адреса в имя хоста);
  • если включить (Enabled) параметр Verify connecting hostname in DNS (Проверять по DNS имя соединяющегося хоста), SMTP-сервер будет выполнять инвертированный поиск (перевод IP-адреса в имя хоста);
  • если включить параметр Verify sender’s domain in DNS (Проверять домен отправителя по DNS), SMTP-сервер будет выполнять поиск имени (перевод имени в IP-адрес).
• Поиск по черному/белому списку DNS. Когда SMTP-сервер производит поиск, он проверяет, указан ли отправитель в каком-нибудь черном или белом списке. Сервер выполняет запрос, указав IP-адрес. Если вы сконфигурировали белый список с именем white.stdi.com, а IP-адрес соединяющегося сервера 192.168.1.217, то SMTP-сервер отправляет прямой поисковый запрос (перевод имени в IP-адрес). Формат запроса такой: 217.2.168.192.white.stdi.com (обратите внимание на инвертированный IP-адрес). DNS отвечает сообщением "No such name" (Нет такого имени) или соответствующим IP-адресом. Обычно IP-адрес будет 127.0.0.1 (т. е. loopback).
• Поиск по личному черному/белому списку. Если SMTP-серверу нужно сравнить отправителя с именем хоста, указанным в белом или черном списке, он сначала должен преобразовать IP-адрес отправителя в имя хоста. Сервер выполняет запрос для получения имени, соответствующего IP-адресу (запись PTR или инвертированный поиск). DNS-сервер в ответ посылает имя хоста, но не имя домена. Далее имя хоста сравнивается с личным белым или черным списком и сообщение помечается, если обнаруживается совпадение. Помните, что не для всех серверов в DNS существуют PTR-записи.

Настройка сервера DNS как белого или черного списка

В качестве белого или черного списка DNS вы можете использовать любой сервер DNS. Запросы к белому или черному списку DNS представляют собой стандартные DNS-запросы. В нашем примере показан DNS-сервер Microsoft. Программное обеспечение для управления DNS от Microsoft не оптимизировано для работы с белыми списками, но DNS-сервер прекрасно работает в этом качестве, если записи добавляются вручную. Еще один вариант DNS-сервера – это BIND от Internet Systems Consortium. Вы можете найти программное обеспечение для работы с DNS для многих платформ Microsoft Windows и UNIX®. За дополнительной информацией обращайтесь по адресу http://www.isc.org

Если вы планируете, что белый список DNS будет работать с большими по объему запросами, вам следует обратиться к следующим Web-сайтам: http://www.corpit.ru/mjt/rbldnsd.html http://cr.yp.to/djbdns.html

Оба эти продукта предназначены для работы с большими черными (или белыми) списками.

В нашем примере мы создаем самостоятельный DNS-сервер, который работает только как DNS-сервер белого списка (white.stdi.com). Для правильной работы в родительском домене (stdi.com) нужно упомянуть о данном поддомене при помощи записи name server (NS). В DNS-сервере Microsoft для этого предназначена опция New Delegation. При альтернативном варианте, когда используется единственный DNS-сервер, мы можем добавлять эти записи в файл зоны stdi.com или можем создать поддомен на том же сервере.

Настройка и конфигурирование DNS-сервера Microsoft

В приведенных здесь примерах мы используем Microsoft Windows 2000 Server. Мы сконфигурировали Windows 2000 Server как самостоятельный сервер и инсталлировали программное обеспечение DNS-сервера.

После инсталляции продукта откройте программу DNS Manager через панель управления. Мы будем использовать это программное обеспечение для настройки основных параметров DNS. После того как у нас будут все необходимые файлы, мы внесем дополнительные изменения вручную.

Рис. 8.12. Microsoft DNS Manager

Выполните следующие шаги:

1. Запустите DNS Manager.
2. Первая задача – это создание зоны. Зона связана с доменами и поддоменами. В нашем случае мы используем домен white.stdi.com как белый список DNS (рис. 8.12). Для создания зоны:
   • Выберите вариант DNS Standard primary (Стандартный главный), как показано на рис. 8.13.
     

     
     Рис. 8.13. Конфигурирование DNS-сервера Microsoft: часть 1
   • Выберите пункт Forward lookup zone (Зона прямого поиска), как показано на рис. 8.14. Для поиска по белым и черным спискам нужен перевод имени в адрес.
     

     
     Рис. 8.14. Конфигурирование DNS-сервера Microsoft: часть 2
   • Введите имя зоны, как показано на рис. 8.15. Наш домен – white.stdi.com.
     

     
     Рис. 8.15. Конфигурирование DNS-сервера Microsoft: часть 3
   • Примите заданное по умолчанию имя файла зоны, как показано на рис. 8.16.
     

     
     Рис. 8.16. Конфигурирование DNS-сервера Microsoft: часть 4
   На этом этапе система подтвердит ваши ответы, и теперь все готово к инициализации DNS (рис. 8.17).
   

   
   Рис. 8.17. Конфигурирование DNS-сервера Microsoft: часть 5
3. Первый шаг – это создание записи-заполнителя в конфигурационном файле DNS. Этот заполнитель упрощает первые изменения, вносимые вручную, но он не является необходимым для правильной работы. Итак, чтобы создать заполнитель:
   • Сделайте двойной щелчок по созданной DNS, чтобы обновить записи в правой части окна. Затем щелкните правой кнопкой мыши по имени домена и выберите пункт меню New Host (Новый хост), как показано на рис. 8.18.
     

     
     Рис. 8.18. Конфигурирование DNS-сервера Microsoft: часть 6
   • Укажите имя домена. Введите IP-адрес 127.0.0.1? как показано на рис. 8.19. Все ваши запросы к белому или черному списку должны возвращать адрес 127.0.0.1.
     

     
     Рис. 8.19. Конфигурирование DNS-сервера Microsoft: часть 7

Прежде чем мы выйдем из DNS Manager, выделите имя сервера и выберите пункт Update Server Data Files (Обновить файлы данных сервера), как показано на рис. 8.20.

Рис. 8.20. Конфигурирование DNS-сервера Microsoft: часть 8

Выйдите из программы. С этого момента мы будем вносить изменения в файл конфигурации DNS вручную.