Комментарии к Intelligent Message Filter
Спрашивали тут некоторые особенности конфигурирования IMFv2 — Intelligent Message Filter в Exchange Server 2003.
Как известно IMF развивается и довольно успешно применяется, на протяжение вот уже нескольких версий Exchange Server.
Во времена Exchange 2000 Server он еще не был встроен в Exchange, а подавался отдельно, в виде «Message Screener™», как addon к ISA Server 2000. Его полагалось ставить в DMZ, на IIS, перед Exchange.
Во времена Exchange Server 2003 он получил новое название — «Intelligent Message Filter™» и был сначала отдельной утилитой из «Exchange All Tools™», а в последствии, с (Exchange)SP2 перекочевал в разряд штатных антиспам-фильтров Exchange, и продолжил свое существование и развитие и по сей день в том же статусе.
Сейчас в Exchange Server 2007 он снова получил новое название, теперь уже «Content Filter™», и присутствует по умолчанию на EdgeTransport, а так же может быть быть активирован, в числе прочих фильтров, на HubTransport.
Так что, как видите, «карьера» у него — довольно успешная 
И по скольку Exchange Server 2003 еще полным ходом используется в довольно большом проценте организаций, просили меня пояснить некоторые моменты в конфигурировании вышеуказанного фильтра.
Общие настройки пересказывать не буду, это давно и неоднократно описано, но если понадобится разъяснения — «..do not hesitate to contact us», как говорит Microsoft 
, спрашивайте здесь же, в комментах, расстараюсь.
А вот конкретные вопросы — освещу.
I.
Добрый День!
Вот такой вопрос.
Возможно ли и если да то где? настроить в exchnage server 2003 SE правило или политику, чтобы письма которые в ТЕМЕ ПИСЬМА содержат текст [SPAM] удалялись или еще что-то?
Заранее Благодарен!
Для IMF можно создать XML файл со всеми нужными словами и словосочетаниями, встречающимися в спаме.
1. Полагаю, что Exchange Server 2003 у вас SP2.
2. regsvr32 C:Program FilesExchsrvrbinMSCFV2MSExchange.UceContentFilter.dll
3. В папке C:Program FilesExchsrvrbinMSCFV2 создайте текстовый файл, в котором впишите следущее:
<?xml version="1.0" encoding="UTF-16"?>
<CustomWeightEntries xmlns="http://schemas.microsoft.com/2005/CustomWeight">
<CustomWeightEntry Type="SUBJECT" Change="9" Text="[SPAM]"/>
<CustomWeightEntry Type="BODY" Change="9" Text="Любые слова из спама"/>
<CustomWeightEntry Type="BODY" Change="MIN" Text="Любые слова - не спам"/>
<CustomWeightEntry Type="BOTH" Change="MAX" Text="спам: слова в теле и теме"/>
</CustomWeightEntries>
4. Переименуйте файл в MSExchange.UceContentFilter.xml
5. Дополняйте по мере необходимости.
6. Легенда: Type=»" — местонахождение слова. Возможные варианты:
Subject — в теме
Body — в теле
Both — и там, и там
Change=»" — установить рейтинг вероятности спама, варианты:
0-9 — уровень вероятности, устанавливается сообразно с пороговыми значениями в GUI.
+1,+2,+3… — прибавить к первоначальной оценке, указанное количество единиц. Повышает вероятность отлова фильтром.
-1,-2,-3… — убавить от первоначальной оценки. Уменьшает вероятность отлова письма фильтром.
MIN — установить уровень на минимум. Гарантированное прохождение фильтра письмом. Для не спама.
MAX — уровень на максимум. Гарантированный убой письма фильтром. Для спама.
* Примечание 1:
При попадании одного и того же слова, со значениями MIN и MAX, результирующее значение — «0″, т.е. «НЕ спам».
* Примечание 2:
Файл MSExchange.UceContentFilter.xml, в размере не должен превышать 128Kb[1].
II.
Q: Одна из настроек IMF — «When blocking message: Do nothing/Archive/Delete». Куда по умолчанию падают архивируемые письма, в каком формате, и можно ли контролировать целевую папку?
По умолчанию IMF складывает отфильтрованный контент (если вы выбираете соответствующую опцию) в папку: drive:%programfiles%Exchsrvrmailrootvsi*UCEArchive, в формате *.eml (Outlook Express). Так что выловленные письма, не являющиеся спамом, «false positives» можно скидывать обратно в транспортный поток, посредством папочки drive:%programfiles%Exchsrvrmailrootpickup.
Частая множественная перезапись файлов в папке UCEArchive приводит к повышению фрагментированности системного раздела Exchange, по этому если вы хотите разместить целевую папку на другом диске, сделать это можно следующим образом:
В реестре, в ветке
HKEY_LOCAL_MACHINESoftwareMicrosoftExchangeContentFilterсоздается String value, с названием ArchiveDir, и значением типа drive:CustomFolder. Что и будет целевой папкой для складирования отловленных писем.
Собственно, остается только регулярно мониторить содержимое папки, выкидывать спам, или скармливать его какому-нибудь антиспам фильру.
И, да, первое время работы IMF — крайне рекомендуется именно архивировать отловленные письма, для более точной калибровки уровней. У всех организаций «уровень видимости» в интернете разный, по этому и пороговые значения фильтра будут разными. И учтите, что они могут меняться со временем.
PS: Если что-то, интресующее вас, осталось за кадром, в этом посте — спрашивайте.
Ну вот и все. Юзайте фильтры с умом. Удачной охоты всем.
Да, кстати, у меня тот же вопрос возник, каким образом он перебирает информацию в кавычка, имеет — ли смысл ставить запятую или лучше просто набор слов без знаков препинания!?
Каждое знаковое слово из спам-сообщений вписывается отдельной строчкой CustomWeightEntry.
и ещё до кучи, если я напишу словосочетание то он его будет разбирать как словосочетание или просто по составным частям, то бишь отдельно по словам?
учитывается целое словосочетание, а не отдельные слова из него.
ну теперь всё) спасибо
Еще раз «пожалуйста»
Отлично!!! Вместо книги на ночь.
Подскажите плиз ContentFilter в ветке реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange\ появляется после каких действий. По умолчанию его нет
Спасибо
Да уж, судя по комментариям тут на блоге, никому не повредит умение ярче высказвать свои мысли, поддерживать интересную беседу, быть остроумным в конце концов…
Ну, что выросло — то выросло. Вот вы и начните интересную и увлекательную беседу
Для незашфрованных сообщений IMF работает класно. А как быть с зашифрованными или подписанными сертификатоми сообщениями. У нас применяется шифрование и подписывание конфидециальной почты крипто-клиентом mail-pro. Подписанное/зашифрованное сообщение не имеет тега body, только Тему (самые разные фразы) и вложение из двух файлов: message.msg и signature.e для подписанных или messagr.env и signature.env для зашифрованныхю. В результате такие сообщения все отлавливаются IMF как спам. Посоветуйте, как быть. Спасибо…
Так, для начала — спамеры обычно не шлют шифрованных сообщений, в силу технической невозможности этого.
А кто пользуется вашей системой шифрования — сотрудники, или партнеры? В случае с партнерами — достаточно сделать отдельный SMTP-коннектор и не включать на нем указанный фильтр.
- Отдельный вопрос: что сподвигло вас использовать стороннее решение для шифрования, вместо встроенного? Вы до сих пор пользуетесь Exchange 2003?
полностью поддерживаю, такие же мысли были.
Пользуются и отрудники, и партнеры.
Я поместил внешние IP MX-серверов партнеров и моего (внутренний IP)
в Connector Filtering > Accept > IP Adress. Проблема разрешилась.
Остался один чел., который шлет зашифрованную почту через mail.ru.
Попробую Ваше решение. Оно красивее.
Mail-pro -это корпоративное решение сверху.
Да, к сожалению, пока Exchange 2003.
Сенкс за пост, а это тема
В букмарки однозначно, пригодится! 
Очень полезная вещь, спасибо!!
Подписался на rss
Даже и не придирешься!
Интересно
Подписался на rss
Приветствую благородное сообщество собратьев!
Тока вот смех в том, что СПАМ по ключевым словам из .XML файла наружу от внутренних пользователей не пропускается, о вот обратно с внешних для меня доменов как сыпался так и сыплется, ну например: с имя@km.ru шлю себе на рабочий ящик типа SABJECT: sex. BODY: реклама. и письмо у меня, назад фиг, меняю тему и тело пожалуйста, «реплай» на KM.RU год уже бъюсь.
То: MaxMVP и всем присутствующим.
Господа, у меня сложилась очень интересная ситуация. Стоят два SBS 2003 c Exchange 2003 + ISA 2004 в двух соседних конторах, буквально через двор, два разных домена, провайдер один, настройки серверов очень близки друг к другу, толко в одном инстансе все работает, по ключевым словам, по доменам, СПАМ отфильтровывается. Фильтры заведены на ISA. А вот в другой инсталяции хоть тресни — СПАМ пролетает через все барьеры (в ISA даже ставлю блок на сендера, всеравно проходит). Уточню, фильтры заводил в конфигурации ISA 2004 в SMTP фильтрах. ИСА и Ексченч на одном физ. сервере и там и там. Сегодна прочел Вашу (MaxMVP) статью, тут же ломанулся все привинчивать — привинтил….
Для уточнения конфигурации Exchange необходимо сказать следующее: дело в том, что там где фильтрация не работает сервер Default SMTP Virtual Server остановлен и поднят другой Виртуальный SMTP сервер по имени внешнего домена организации. Так вот суть вопроса, может дело в том, что SBSовская реализация фильтров Exchenge не применяется к не ДЕФОЛТНОМУ серверу???
Заранее благодарю за внимание и возможную помощь откликнувшимся!
С уважением Bach
И вам тоже здравствуйте.
Нет, Exchange 2003 в SBS в этом плане практически не отличается от Std.
Вы проверили — выставлена ли опция этого фильтра в том виртуальном сервере который вы используете («там где фильтрация не работает сервер Default SMTP Virtual Server остановлен и поднят другой Виртуальный»). Фильр должен быть активирован в двух места — Global Settings и в самом SMTP Virtual Server. Рекомендую также деактивировать опцию, активировать заново и рестартовать службу SMTP (!НЕ просто остановить VS, а сервис!)
Приветствую, MaxMVP!
, ну или быть может, у кого есть богато настроенный фильтр, так же готов взять его на вооружение… А к Вам, уважаемый MaxMVP, есть всеже пара вопросов, позвольте изложить:
В итоге интелектуальный фильтр запустил на том сервере где фильтрация не осуществлялась, перезагружил сервер в общем — необходимость была. Уровень фильтра выставил в «9″, т.к. организация наша имеет обширную географию связей. В итоге когда фильтр стоял на «8″ из порядка 2000 шт. спама, шесть очень важных сообщений в архив все же попало, вот и пришлось понизить уровень автоматического определения спама. Но заметил вот что, фильтр не ловит по словосочетаниям, тобишь если есть словосочетание в .XML файле, то письмо все же пролазит, пришлось проанализировать входящий траффик и написать свою матрицу, блин два дня сидел хлам разгребал. Видел вчера Ваш ответ, но уже думал сегодна напишу. Кстати, уважаемое сообщество, готов поделиться проделанной работой, не пропадать же добру
1) дело в том, что я не очень силен в технологии написания XML. Есть ли средство для более гибкой настройки фильтра, допустим, что бы не писать кучу слов, подставлять шаблон макроподстановак (пример: реклам* или реклам% — подразумевая, что все что по шаблону подпадает под правило будет отфильтровано: рекламА, рекламУ, рекламНЫЙ и т.д)? так же, как научить фильтр использовать словосочетания?
2)Выше описанные сервера имеют одиноковую версию ISA 2004, но сервис паки Exchange 2003 у них разные. Тот сервер который использует контекстный фильтр от ISA имеет версию Exchange ниже и что характерно в его оснастке нет этого «Intelligent Messege Filtering» , чем тот который совершенно не хочет работать с правилами «Интернет Акселератора», так вот вопрос, может быть такое, раз в Exchange нет Интеллектуального фильтра сообщений, то он использует, ну или ему доступны внешние, но родственные продукты, такие как Microsoft ISA 2004?, Что думаете, уважаемый MaxMVP?
Извините, добавлю.
На рабочей неделе еще rуда ни шло, а за выходные жду около 2000-3000 сообщений, а искать одно из тысячи (это важно!) очень утомительно!
Есть ли всё же настройка фильтров у Exchange, что бы фильтровать ТОЛЬКО на основе ЗАДАННЫХ КЛЮЧЕВЫХ СЛОВ? Уж очень не хочеться мониторить по 1000 шт. в день
С уважением Bach
Здравствуйте!
Вопрос про обновления IMF — они пишут в подпапки указанной папки файлы с теми же именами, что и указано в посте.
У меня в папке C:\Program Files\Exchsrvr\bin\MSCFV2 есть файл библиотеки, которую предлагают зарегистрировать, и в подпапках версий есть такие же файлы.
Какой регистрировать? И куда тогда добавлять xml — в директорию C:\Program Files\Exchsrvr\bin\MSCFV2 или в какую-то подпапку?
Спасибо за понимание!
И вам здравствуйте,
1. regsvr32 C:\Program Files\Exchsrvr\bin\MSCFV2\MSExchange.UceContentFilter.dll
2. В папке C:\Program Files\Exchsrvr\bin\MSCFV2 создайте текстовый файл, Переименуйте файл в MSExchange.UceContentFilter.xml
все правильно
@MaxMVP
Это был ответ в мой адрес?
Меня немного сбивает отступ…)))
Да, Алексей, вам-вам
Все правильно, в подпапки можете не обращаться, только так как написано.