Cài đặt, cấu hình giải pháp xử lý email trên TMG 2010 Firewall – Phần 3

Quản trị mạng – Trong phần này chúng tôi sẽ giới thiệu những gì bạn có khi thực hiện cấu hình các tính năng chống spam (anti-spam) trên TMG 2010 firewall.

Cài đặt, cấu hình giải pháp xử lý email trên TMG 2010 Firewall – Phần 1: Cài đặt
Cài đặt, cấu hình giải pháp xử lý email trên TMG 2010 Firewall – Phần 2: Chính sách E-Mail

Trong phần hai của loạt bài này, chúng tôi đã giới thiệu được cho các bạn về một số thủ tục cần thiết để các thành phần Email Protection có thể làm việc. Chúng ta đã cấu hình bộ lắng nghe incoming SMTP listener, dùng để chấp nhận mail gửi đến, cấu hình outgoing SMTP listener, dùng để gửi mail đi. Thêm vào đó chúng ta cũng đã kích hoạt các thành phần Forefront Protection for Exchange và Exchange Edge để cho phép bảo vệ anti-spam và anti-virus. Trong phần ba này, chúng tôi sẽ giới thiệu cho các bạn những gì có khi thực hiện cấu hình các tính năng chống spam (anti-spam) trên TMG 2010 firewall.

Cấu hình lọc spam (Spam Filtering)

Tab Spam Filtering trong panel giữa của giao diện điều khiển. Ở đây bạn có thể thấy bộ sưu tập các tùy chọn cho việc cấu hình Spam Filters. Đó là những tùy chọn:

Sau đây chúng ta hãy bắt đầu bằng cách kích tùy chọn IP Allow List.

Hình 1

IP Allow List

Trong hộp thoại IP Allow List, kích tab Allowed Addresses. Ở đây bạn có thể add một địa chỉ, một dải địa chỉ mà bạn muốn nhận thư từ chúng.

Hình 2

IP Allow List Providers

Kích tùy chọn IP Allow List Providers ở panel giữa của giao diện điều khiển. Trong hộp thoại IP Allow List Providers, kích tab Providers. Ở đây bạn có thể cấu hình một danh sách các nhà cung cấp được phép IP Allow List Providers. Kích nút Add để thêm một entry mới. Nếu muốn nhập vào một địa chỉ nào đó, bạn chỉ cần nhập vào cùng một địa chỉ trong các trường Start và End.

Hình 3

Trong hộp thoại IP List Provider, bạn có thể nhập vào các thông tin dưới đây:

Hình 4

IP Block List

Kích tùy chọn IP Block List trong panel giữa của giao diện điều khiển TMG firewall. Khi đó bạn sẽ thấy xuất hiện hộp thoại IP Block List. Kích tab Blocked Addresses. Ở tab này bạn có thể kích nút Add để thêm một hoặc nhiều địa chỉ mà bạn không bao giờ muốn nhận mail từ chúng. Các thư từ các địa chỉ này sẽ bị khóa chặn.

Lưu ý rằng trong hộp thoại Blocked IP Address – IP Range bạn có thể chọn:

Đây là các tùy chọn rất hữu dụng nếu bạn muốn khóa tạm thời mail từ một dải địa chỉ nào, có thể do một hoạt động spam, tuy nhiên sau đó bạn lại muốn cho phép phân phối lại khi vấn đề đó đã được khắc phục.

Hình 5

Kích tab Providers. Tab Providers này có các tùy chọn tương tự như những gì chúng ta đã thấy trong hộp thoại IP Allow List, các mục ở đây cũng được thực hiện tương tự như vậy.

Hình 6

Hộp thoại IP List Provider cũng giống như những gì được cung cấp trong tùy chọn IP Allow List, hiển thị tên nhà cung cấp, hậu tố DNS, các cột trạng thái. Để thêm vào một nhà cung cấp, bạn kích nút Add.

Hình 7

Nếu kích nút Error Messages, bạn sẽ thấy hộp thoại IP Block List Provider Error Message. Tính năng này không được minh chứng tài liệu tại thời điểm này, tuy nhiên nó chính là tính năng cho phép tạo ra các thư lỗi để gửi ngược trở về các nhà cung cấp mà bạn chặn thư của họ.

Hình 8

Bạn có thể sử dụng thư lỗi mặc định hoặc có thể tạo một thư nào đó tùy ý. Nếu chọn tùy chọn sau, bạn cần phải đánh nội dung của thư vào hộp văn bản, sau đó kích OK.

Content Filtering

Kích tùy chọn Content Filtering ở panel giữa trong giao diện điều khiển, bạn sẽ thấy xuất hiện hộp thoại Content Filtering. Kích tab Custom Words. Trong tab Custom Words, kích nút Add. Trong hộp thoại Add Word or Phrase, bạn có thể nhập vào từ khóa dùng để cho phép hoặc chặn khi nó có trong nội dung của thư. Lưu ý rằng có hai nút Add trong hộp thoại này: một luôn luôn cho phép và một luôn luôn khóa khi từ khóa xuất hiện.

Hình 9

Điều gì sẽ xảy ra nếu bạn muốn nhận mail từ một số người gửi nào đó dù các thư của họ có chứa các từ khóa mà bạn chặn? Không vấn đề gì – bạn chỉ cần tạo một ngoại lệ.

Kích tab Exceptions. Khi kích nút Add, bạn có thể nhập vào hộp thoại Add E-mail address địa chỉ email cho người gửi mà bạn không muốn thư gửi đi từ địa chỉ đó bị lọc.

Hình 10

Kích tab SCL Thresholds, SCL là viết tắt của “Spam Confidence Level” (tạm được dịch là mức tin cậy). Content Filter agent sử dụng kỹ thuật Microsoft SmartScreen để kiểm tra các thư và gán nó cho một mức đánh giá SCL. Điểm số được đánh giá từ 0 đến 9. Số càng cao thì nguy cơ spam của thư càng cao. Content Filter xử lý các thư sau khi các anti-spam agent khác của Exchange 2010 đã được áp dụng, điều này làm giảm được số lượng thư cần phải kiểm trra bởi Content Filter. Để có thêm thông tin về thứ tự trong các anti-spam agent được áp dụng, bạn có thể tham khảo thêm các thông tin từ Microsoft tại đây.

Bạn có thể điều chỉnh ngưỡng hành động SCL sao cho phù hợp với những nhu cầu trong tổ chức mình. Các ngưỡng ở đây là các giá trị SCL mà khi vượt qua ngưỡng đó, một hành động (xóa, loại bỏ hoặc cách ly) sẽ được mang ra thực thi.

Ở đây bạn có ba tùy chọn quan trọng:

Khi cho phép các tùy chọn này, giá trị mặc định sẽ là 9. Điều đó có nghĩa rằng hầu hết các thư đến trạm lọc Content Filtering sẽ đi qua và đến được hòm thư của người dùng. Nếu, cho ví dụ, bạn thiết lập giá trị Delete là 7, khi đó tất cả các thư có giá trị SCL bằng 7 hoặc cao hơn sẽ bị xóa.

Khi thư bị xóa, hệ thống gửi sẽ không được cảnh báo. Trong trường hợp loại bỏ, Content Filter sẽ gửi một thông báo loại bỏ đến hệ thống gửi.

Bạn cũng có một tùy chọn gửi các thư bị loại bỏ đến một địa chỉ mailbox được cách lý (Quarantine mailbox address). Cần kiểm tra mailbox được cách ly này một cách định kỳ và quyết định những gì mình cần thực hiện với các thư nằm ở đây.

Hình 11

Nếu một SCL của thư nào đó nằm dưới các giá trị thiết lập cho các ngưỡng Delete, Reject và Quarantine, thư này sẽ vẫn phải đi qua bộ lọc Junk mail, bộ lọc này sẽ đưa tất cả các thư trong thư mục Junk Mail của người dùng vào nơi mà người dùng có thể xem lại chúng và quyết định liệu có cần đánh dấu chúng là “not junk” hay không. Nếu giá trị SCL thấp hơn ngưỡng Junk mail, các thư đó sẽ đến thẳng hòm thư (Inbox) của người dùng.

Bạn không thiết lập ngưỡng Junk Mail ở đây; tuy nhiên có thể thực hiện điều đó với Set-Mailbox cmdlet trong Exchange Management Shell. Để có thêm thông tin về Set-Mailbox cmdlet, bạn có thể tham khảo tại đây.

Recipient Filtering

Cũng có thể lọc mail bởi người nhận. Kích tùy chọn Recipient Filtering trong panel giữa của giao diện điều khiển firewall. Khi đó bạn sẽ thấy xuất hiện hộp thoại Recipient Filtering. Kích tab Blocked Recipients. Ở đây bạn có tùy chọn Block messages sent to recipients not listed in the Global Address List. Tùy chọn này cho phép bạn ngăn phân phối đến các địa chỉ chẳng hạn như administrator@yourdomain.com .

Cũng có thể kích hoạt tùy chọn block the following recipients. Tùy chọn này cho phép bạn ngăn chặn mail bên ngoài đang được phân phối đến các địa chỉ nào đó mà theo yêu cầu họ chỉ được phép sử dụng bên trong tổ chức. Sau khi kích hoạt tùy chọn đó, bạn có thể kích nút Add để bổ sung địa chỉ email của người nhận mà bạn muốn khóa.

Hình 12

Sender Filtering

Bạn có thể khóa mail dựa trên người gửi. Sender Filter agent sử dụng tiêu đề MAIL FROM: SMTP để xác định xem thư nào cần khóa. Bạn có thể khóa một người gửi, toàn bộ một miền hoặc các miền với tất cả miền con. Cần lưu ý rằng tiêu đề MAIL FROM: SMTP có thể bị giả mạo, vì vậy có thể ảnh hưởng đến kế hoạch lọc người gửi ở đây. Bạn có thể sử dụng Sender ID (được thảo luận trong phần tiếp theo) để ngăn chặn mail giả mạo kiểu này.

Kích tùy chọn Sender Filtering ở panel giữa của TMG firewall console. Trong hộp thoại Sender Filtering, kích tab Blocked Senders. Ở đây bạn có thể kích nút Add để mở hộp thoại Blocked sender. Bạn có thể chọn nhập vào địa chỉ của một người gửi nào đó, hoặc có thể khóa toàn bộ miền email.

Hình 13

Tab tab Action, khi đó bạn sẽ thấy có hai tùy chọn cho việc so khớp người gửi:

Tùy chọn thứ hai cho phép các thành phần khác trong giải pháp email tạo các quyết định dựa trên các thông tin của tiêu đề này. Hành động đánh dấu thư đến từ người gửi bị khóa sẽ được sử dụng trong việc tính toán giá trị SCL.

Hình 14

Sender ID

Sender ID agent sử dụng tiêu đề RECEIVED SMTP để gửi một truy vấn đến DNS của hệ thống gửi nhằm thẩm định rằng địa chỉ IP mà thư được gửi đi từ đó là xác thực đối với việc gửi mail từ một miền đã được liệt trong các tiêu đề. Chỉ có một vấn đề là các quản trị viên miền phải thiết lập các bản ghi SPF (sender policy framework) trên máy chủ DNS của họ. Để tìm hiểu thêm về cách sử dụng Sender ID, các bạn có thể tham khảo link này.

Để cấu hình Sender ID, kích tùy chọn Sender ID ở panel giữa của giao diện điều khiển TMG firewall. Kích tab Action. Ở đây bạn sẽ có ba tùy chọn xảy ra khi hành động kiểm tra Sender ID thất bại:

Khi thư bị loại bỏ, nó sẽ gửi một lỗi SMTP đến máy chủ gửi thư. Khi bạn chọn tùy chọn Delete, thư sẽ bị xóa mà không thông báo gì cho máy chủ gửi. Trong trường hợp còn lại, thư được dán tem khi thất bại trong việc kiểm tra Sender ID, các thông tin đó sẽ được sử dụng bởi bộ lọc Junk Mail trong Outlook để tính toán giá trị SCL.

Hình 15

Sender Reputation

Danh tiếng của người gửi (Sender Reputation) sử dụng các thông tin được công bố về người gửi để tính toán giá trị Sender Reputation Level (SRL). Để cấu hình Sender Reputation, kích tùy chọn Sender Reputation trong phần panel giữa của giao diện điều khiển.

Sender Reputation Level làm việc giống như Spam Confidence Level, trong đó giá trị của người gửi được đặt từ 0 đến 9 và bạn có thể cấu hình ngưỡng để khóa chặn mail vào tổ chức. Người gửi được add vào danh sách Blocked Senders và bạn có thể cấu hình một khoảng thời gian nào đó cho việc duy trì người gửi này nằm trong danh sách.

Trong hộp thoại Sender Reputation trên tab Sender Confidence. Ở đây bạn có tùy chọn Perform an open proxy test when determining sender confidence level.

Đây là một tùy chọn khá thú vị. Nó kết nối đến địa chỉ IP của người gửi bằng cách gửi đi một thư SMTP. Nếu tường lửa TMG phát hiện rằng máy chủ SMTP sẽ cho phép nó gửi thư đến chính bản thân nó, khi đó máy chủ SMTP đang gửi là một SMTP relay để mở. SMTP relay mở có thể được sử dụng bởi spammer nhằm gửi đi các spam email đến các miền email trên thế giới, và sẽ cắm cờ đỏ ngay lập tức về những gì đã xảy ra với các thư khi chúng đi ngang qua một máy chủ như vậy.

Bạn sẽ thấy các SMTP relay để mở khi ai đó cấu hình lỗi một máy chủ, hoặc khi ai đó bị tiêm nhiễm malware và hành động như một SMTP relay. Trong trường hợp đó, do không muốn nhận mail từ một SMTP relay để mở, vì vậy bạn nên kích hoạt tùy chọn này.

Hình 16

Trong cấu hình ngưỡng, thứ tốt nhất cần thực hiện là sử dụng các giá trị mặc định trước, sau đó tăng dần ngưỡng khóa theo thời gian cho tới khi bạn tới được điểm mà ở đó nhận thấy có nhiều sai lầm, lúc đó lại giảm dần giá trị xuống sao cho hợp lý nhất.

Lưu ý rằng bạn cũng có thể tùy chỉnh hành động ngưỡng Threshold Action. Giá trị này cho phép bạn có thể cấu hình khóa một máy chủ SMTP bao lâu trước khi cho phép nhận mail từ nó trở lại. Cách thức này cho phép bạn trở nên linh hoạt hơn vì thông thường các vấn đề đều mang tính tạm thời, bạn chắc chắn sẽ không muốn khóa vĩnh viễn một người gửi nào đó.

Hình 17

Kết luận

Trong phần ba của loạt bài này, chúng ta đã tìm hiểu về một số tùy chọn cấu hình có sẵn trong việc tinh chỉnh tính năng khóa spam. Mặc dù vậy có nhiều tùy chọn, nhưng không phải tất cả trong chúng cần đến sự cấu hình. Những tùy chọn thú vị và hữu dụng nhất là những tùy chọn có liên quan đến Sender Reputation, Recipient Filtering và Content Filtering. Đa số các spam được gửi qua một máy chủ được nhiều người biết đến, vì vậy việc khóa mail dựa trên danh tiếng người gửi (sender reputation) là một phương pháp hết sức hữu dụng giúp bạn có thể giảm tới 95% lượng thư spam. Recipient filtering cũng là một phương pháp khá hiệu quả, vì các spammer thường gửi đi một số lượng lớn mail đến các địa chỉ không tồn tại trong tổ chức bạn. Cuối cùng, tính năng lọc nội dung (content filtering) cho phép phân tích một cách tinh vi các thư với giá trị SCL được đưa vào sử dụng nhằm xác định xem liệu thư đó có phải là spam, đây là một phương pháp cực kỳ hữu dụng khi máy chủ gửi là một máy tính desktop đã bị chiếm quyền điều khiển và trở thành một phần của botnet. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn về các tùy chọn lọc nội dung và virus.