Комментарии к Intelligent Message Filter

Спрашивали тут некоторые особенности конфигурирования IMFv2 – Intelligent Message Filter в Exchange Server 2003.

Как известно IMF развивается и довольно успешно применяется, на протяжение вот уже нескольких версий Exchange Server.

Во времена Exchange 2000 Server он еще не был встроен в Exchange, а подавался отдельно, в виде “Message Screener™”, как addon к ISA Server 2000. Его полагалось ставить в DMZ, на IIS, перед Exchange.

Во времена Exchange Server 2003 он получил новое название – “Intelligent Message Filter™” и был сначала отдельной утилитой из “Exchange All Tools™”, а в последствии, с (Exchange)SP2 перекочевал в разряд штатных антиспам-фильтров Exchange, и продолжил свое существование и развитие и по сей день в том же статусе.

Сейчас в Exchange Server 2007 он снова получил новое название, теперь уже “Content Filter™”, и присутствует по умолчанию на EdgeTransport, а так же может быть быть активирован, в числе прочих фильтров, на HubTransport.

Так что, как видите, “карьера” у него – довольно успешная 🙂

И по скольку Exchange Server 2003 еще полным ходом используется в довольно большом проценте организаций, просили меня пояснить некоторые моменты в конфигурировании вышеуказанного фильтра.

Общие настройки пересказывать не буду, это давно и неоднократно описано, но если понадобится разъяснения – “..do not hesitate to contact us”, как говорит Microsoft 😀 , спрашивайте здесь же, в комментах, расстараюсь.

IMFv2 - Intelligent Message Filter


А вот конкретные вопросы – освещу.


I.

Добрый День!
Вот такой вопрос.
Возможно ли и если да то где? настроить в exchnage server 2003 SE правило или политику, чтобы письма которые в ТЕМЕ ПИСЬМА содержат текст [SPAM] удалялись или еще что-то?
Заранее Благодарен!

Для IMF можно создать XML файл со всеми нужными словами и словосочетаниями, встречающимися в спаме.
1. Полагаю, что Exchange Server 2003 у вас SP2.
2. regsvr32 C:Program FilesExchsrvrbinMSCFV2MSExchange.UceContentFilter.dll
3. В папке C:Program FilesExchsrvrbinMSCFV2 создайте текстовый файл, в котором впишите следущее:

<?xml version="1.0" encoding="UTF-16"?>
<CustomWeightEntries xmlns="http://schemas.microsoft.com/2005/CustomWeight">
<CustomWeightEntry Type="SUBJECT" Change="9" Text="[SPAM]"/>
<CustomWeightEntry Type="BODY" Change="9" Text="Любые слова из спама"/>
<CustomWeightEntry Type="BODY" Change="MIN" Text="Любые слова - не спам"/>
<CustomWeightEntry Type="BOTH" Change="MAX" Text="спам: слова в теле и теме"/>
</CustomWeightEntries>

4. Переименуйте файл в MSExchange.UceContentFilter.xml
5. Дополняйте по мере необходимости.

6. Легенда: Type=”” – местонахождение слова. Возможные варианты:

Subject – в теме
Body – в теле
Both – и там, и там

Change=”” – установить рейтинг вероятности спама, варианты:

0-9 – уровень вероятности, устанавливается сообразно с пороговыми значениями в GUI.
+1,+2,+3… – прибавить к первоначальной оценке, указанное количество единиц. Повышает вероятность отлова фильтром.
-1,-2,-3… – убавить от первоначальной оценки. Уменьшает вероятность отлова письма фильтром.
MIN – установить уровень на минимум. Гарантированное прохождение фильтра письмом. Для не спама.
MAX – уровень на максимум. Гарантированный убой письма фильтром. Для спама.

* Примечание 1:
При попадании одного и того же слова, со значениями MIN и MAX, результирующее значение – “0”, т.е. “НЕ спам”.
* Примечание 2:
Файл MSExchange.UceContentFilter.xml, в размере не должен превышать 128Kb[1].

II.

Q: Одна из настроек IMF – “When blocking message: Do nothing/Archive/Delete”. Куда по умолчанию падают архивируемые письма, в каком формате, и можно ли контролировать целевую папку?

 

По умолчанию IMF складывает отфильтрованный контент (если вы выбираете соответствующую опцию) в папку: drive:%programfiles%Exchsrvrmailrootvsi*UCEArchive, в формате *.eml (Outlook Express). Так что выловленные письма, не являющиеся спамом, “false positives” можно скидывать обратно в транспортный поток, посредством папочки drive:%programfiles%Exchsrvrmailrootpickup.

Частая множественная перезапись файлов в папке UCEArchive приводит к повышению фрагментированности системного раздела Exchange, по этому если вы хотите разместить целевую папку на другом диске, сделать это можно следующим образом:

В реестре, в ветке
HKEY_LOCAL_MACHINESoftwareMicrosoftExchangeContentFilterсоздается String value, с названием ArchiveDir, и значением типа drive:CustomFolder. Что и будет целевой папкой для складирования отловленных писем.

Собственно, остается только регулярно мониторить содержимое папки, выкидывать спам, или скармливать его какому-нибудь антиспам фильру.

И, да, первое время работы IMF – крайне рекомендуется именно архивировать отловленные письма, для более точной калибровки уровней. У всех организаций “уровень видимости” в интернете разный, по этому и пороговые значения фильтра будут разными. И учтите, что они могут меняться со временем.

PS: Если что-то, интресующее вас, осталось за кадром, в этом посте – спрашивайте.

Ну вот и все. Юзайте фильтры с умом. Удачной охоты всем.

68 thoughts on “Комментарии к Intelligent Message Filter”

  1. по правде хорошо написали, это я вам как дипломированны журналист пишу!

  2. Моё мнение смысл раскрыт дальше некда, человек постарался, за что ему cпасибо!

  3. спасибо, доступно. Может есть у кого уже xml-файл для фильтра, поделитесь, Спам то душит всех

  4. Скажите плз. есть ли в IMF MS Exchange Server 2003 поиск по Заголовку письма (header)?
    Очень нужно.
    У нас есть внешний спам фильтр который проставляет X-Spam-Status: Yes, Нужно письма содержащие в заголовке вышеукзаный текст складывать в папку Нежелательная почта с помощью IMF на большом кол-во клиентов.

  5. Отличный сайт, часто бываю и всегда нахожу что-то интересное.

  6. То ли в википедии, то ли еще где я уже замечал почти такую же статью!

  7. Подбор по теме хороший удачный, закину сайт в избранное.

  8. На твой сайт знакомый скинул ссылку в асю. думал спам )) ошибся

  9. Сначала обрадовался скриптику, а потом огорчился, он не работает

    1. Какому еще “скриптику”? XML-файл?
      Что именно не работает?
      Если правильно сделать – все работает, проверенно уже несколько сотен раз.

  10. будь добр, скинь пожалуйста пример этого XML-файла(только с нормальными кавычками и более подробными словами) на почту kynia@e1.ru…может в чем-то я и ошибся, но испробовал уже разные варианты))) заранее благодарен. ещё с рейтингом немного не понял, смысл в том, что он также выставляется как и в IMF?

  11. я просто в XML не очень разбираюсь, даже с самыми простыми операндами и операторами…спасибо

    1. Никитос!
      А regsvr32 у тебя выдал сообщение об успешной регистрации?!
      В Event Viewer нет Event 7514 ?
      Текст файла должен быть в юникоде! (UTF-16) может быть в этом проблема.

  12. так он и в UTF-16, ошибка была, но 26 ноября… сейчас нет. regsvr32 – выдал сообщение об успешной регистрации, его нужно всего один раз запускать, может мне попробовать удалить его и заново зарегистрировать, только как??? XML – файл не содержит ошибок, сравнил с вашим. Вообщем, не знаю, что за дела!)

    1. там весь фокус в том чтобы поймать за хвост именно UTF-8 или UTF-16 формат. Я пока файл выкладывал – он у меня тоже десять раз разный был. В блокноте проконтролировать создание UTF, в IE открыть, проверить что читается, а не дает ошибку. Тогда все будет нормально.
      Удалить регистрацию можно командой
      regsvr32 /U somedll.dll
      можно еще так
      regsvr32 /U /i somedll.dll
      тогда он не просто разрегистрирует, но еще и деинсталлирует Dll из системы.

  13. В общем, смысл понял. Осталось выяснить нужно-ли всё-таки снять регистрацию и деинсталлировать, чтобы по новой внести dll!?

    1. По желанию. Для пущей уверенности можете разрегистрировать разок, ничего плохого не случится.

  14. – я через браузер проверил-это нормально то, что он “-” приписал к данной строчке и выделил ссылку красным цветом, а если нажмешь на “-” то он всё содержимое сворачивает, но я думаю, что это всё таки так и должно быть если сравнивать с php. Спасибо, что помогаете людям, таких людей мало, как вы!)))

    1. да, все правильно, XML так сворачивается-разворачивается. Теперь у вас все в порядке со списком.
      Да пожалуйста, Никита, мне приятно вам помочь. Обращайтесь еще.

  15. Спасибо, всё работает, очень благодарен) удачи во всём)))

  16. Вечер добрый!
    Возможно ли еще раз разъяснить еще раз подробно о настройках Intelligent Message Filter, т.к. все свалилось неожиданно, а я плохо в этом волоку.
    Зарание спасибо.

    1. ОК, читайте с самого начала поста. Будем считать, что я рассказываю “еще раз”.
      А потом задавайте конкретные вопросы, что именно было непонятно.

    1. Да ладно вам, девушка!
      Неправда ето:)
      Я очень доходчиво объясняю. Можете убедиться самолично.

  17. Добрый день.
    Слова вписываются через пробел или запятую.

    Сейчас после сбоя сервера насыполо много спама в нежелательную почту, возможно ли каким то образом пометить этот спам так, чтоб он не повторялся.
    Спасибо

    1. Максим!
      Все выходные я буду в Суздале, на MVP Open Days, а на следующей неделе обязательно помогу вам разобраться!

    2. Нет, пометить нельзя. Этот спам фильтр делался 5 лет назад, там такого функционала нет. Обновитесь до Exchange 2007 – для него есть Forefront Security, он умнее.

Leave a Reply

Your email address will not be published.