Главная > Exchange 2003 > Комментарии к Intelligent Message Filter

Комментарии к Intelligent Message Filter

29 Сентябрь 2008 Написать комментарий К комментариям

Спрашивали тут некоторые особенности конфигурирования IMFv2 — Intelligent Message Filter в Exchange Server 2003.

Как известно IMF развивается и довольно успешно применяется, на протяжение вот уже нескольких версий Exchange Server.

Во времена Exchange 2000 Server он еще не был встроен в Exchange, а подавался отдельно, в виде «Message Screener™», как addon к ISA Server 2000. Его полагалось ставить в DMZ, на IIS, перед Exchange.

Во времена Exchange Server 2003 он получил новое название — «Intelligent Message Filter™» и был сначала отдельной утилитой из «Exchange All Tools™», а в последствии, с (Exchange)SP2 перекочевал в разряд штатных антиспам-фильтров Exchange, и продолжил свое существование и развитие и по сей день в том же статусе.

Сейчас в Exchange Server 2007 он снова получил новое название, теперь уже «Content Filter™», и присутствует по умолчанию на EdgeTransport, а так же может быть быть активирован, в числе прочих фильтров, на HubTransport.

Так что, как видите, «карьера» у него — довольно успешная :)

И по скольку Exchange Server 2003 еще полным ходом используется в довольно большом проценте организаций, просили меня пояснить некоторые моменты в конфигурировании вышеуказанного фильтра.

Общие настройки пересказывать не буду, это давно и неоднократно описано, но если понадобится разъяснения — «..do not hesitate to contact us», как говорит Microsoft :D , спрашивайте здесь же, в комментах, расстараюсь.

IMFv2 - Intelligent Message Filter


А вот конкретные вопросы — освещу.


I.

Добрый День!
Вот такой вопрос.
Возможно ли и если да то где? настроить в exchnage server 2003 SE правило или политику, чтобы письма которые в ТЕМЕ ПИСЬМА содержат текст [SPAM] удалялись или еще что-то?
Заранее Благодарен!

Для IMF можно создать XML файл со всеми нужными словами и словосочетаниями, встречающимися в спаме.
1. Полагаю, что Exchange Server 2003 у вас SP2.
2. regsvr32 C:Program FilesExchsrvrbinMSCFV2MSExchange.UceContentFilter.dll
3. В папке C:Program FilesExchsrvrbinMSCFV2 создайте текстовый файл, в котором впишите следущее:

<?xml version="1.0" encoding="UTF-16"?>
<CustomWeightEntries xmlns="http://schemas.microsoft.com/2005/CustomWeight">
<CustomWeightEntry Type="SUBJECT" Change="9" Text="[SPAM]"/>
<CustomWeightEntry Type="BODY" Change="9" Text="Любые слова из спама"/>
<CustomWeightEntry Type="BODY" Change="MIN" Text="Любые слова - не спам"/>
<CustomWeightEntry Type="BOTH" Change="MAX" Text="спам: слова в теле и теме"/>
</CustomWeightEntries>
4. Переименуйте файл в MSExchange.UceContentFilter.xml
5. Дополняйте по мере необходимости.

6. Легенда: Type=»" — местонахождение слова. Возможные варианты:

Subject — в теме
Body — в теле
Both — и там, и там

Change=»" — установить рейтинг вероятности спама, варианты:

0-9 — уровень вероятности, устанавливается сообразно с пороговыми значениями в GUI.
+1,+2,+3… — прибавить к первоначальной оценке, указанное количество единиц. Повышает вероятность отлова фильтром.
-1,-2,-3… — убавить от первоначальной оценки. Уменьшает вероятность отлова письма фильтром.
MIN — установить уровень на минимум. Гарантированное прохождение фильтра письмом. Для не спама.
MAX — уровень на максимум. Гарантированный убой письма фильтром. Для спама.

* Примечание 1:
При попадании одного и того же слова, со значениями MIN и MAX, результирующее значение — «0″, т.е. «НЕ спам».
* Примечание 2:
Файл MSExchange.UceContentFilter.xml, в размере не должен превышать 128Kb[1].

II.

Q: Одна из настроек IMF — «When blocking message: Do nothing/Archive/Delete». Куда по умолчанию падают архивируемые письма, в каком формате, и можно ли контролировать целевую папку?

 

По умолчанию IMF складывает отфильтрованный контент (если вы выбираете соответствующую опцию) в папку: drive:%programfiles%Exchsrvrmailrootvsi*UCEArchive, в формате *.eml (Outlook Express). Так что выловленные письма, не являющиеся спамом, «false positives» можно скидывать обратно в транспортный поток, посредством папочки drive:%programfiles%Exchsrvrmailrootpickup.

Частая множественная перезапись файлов в папке UCEArchive приводит к повышению фрагментированности системного раздела Exchange, по этому если вы хотите разместить целевую папку на другом диске, сделать это можно следующим образом:

В реестре, в ветке
HKEY_LOCAL_MACHINESoftwareMicrosoftExchangeContentFilterсоздается String value, с названием ArchiveDir, и значением типа drive:CustomFolder. Что и будет целевой папкой для складирования отловленных писем.

Собственно, остается только регулярно мониторить содержимое папки, выкидывать спам, или скармливать его какому-нибудь антиспам фильру.

И, да, первое время работы IMF — крайне рекомендуется именно архивировать отловленные письма, для более точной калибровки уровней. У всех организаций «уровень видимости» в интернете разный, по этому и пороговые значения фильтра будут разными. И учтите, что они могут меняться со временем.

PS: Если что-то, интресующее вас, осталось за кадром, в этом посте — спрашивайте.

Ну вот и все. Юзайте фильтры с умом. Удачной охоты всем.

Categories: Exchange 2003