Dit artikel beschrijft de afstelling van zowel Exchange Server 2013 Edge Transport als McAfee Security for Exchange om uit deze combinatie de gewenste resultaten te behalen:

  • Spam blokkeren
  • Malware blokkeren
  • Backscatter vermijden
  • Legitieme e-mailberichten doorlaten

Inhoudsopgave

Overzicht Transport Agents
Werkwijze Transport Agents
1) SMTP OnConnectEvent
2) SMTP OnMailCommand
3) SMTP OnRcptCommand
4) SMTP OnEndOfHeaders
5) SMTP OnEndOfData
6) SMTP OnCategorizedMessage


Voor een klant heb ik recent een Exchange Server 2007-omgeving gemigreerd naar Exchange Server 2013. Daarbij kwam uiteraard ook het selecteren van een antispam- en antimalwareoplossing om de hoek kijken. Voor de klant vielen cloud-gebaseerde oplossingen zoals Microsoft Exchange Online Protection bij voorbaat af vanwege de bepaling dat de e-mailomgeving on-premise dient te blijven. Na een aantal opties overwogen te hebben is uiteindelijk besloten om de Edge Transport-rol van Exchange Server 2013 in te zetten, gecombineerd met het product McAfee Security for Exchange waarvan de klant reeds een geldige licentie in haar bezit heeft.

Overzicht Transport Agents

Het scannen en filteren van SMTP-verkeer wordt door Exchange Server middels inzet van Transport Agents geregeld. Welke agents er aanwezig zijn op een Exchange-server is met het volgende commando inzichtelijk te maken:

Get-TransportAgent

Na een standaardinstallatie van Microsoft Exchange Server 2013 met de Edge Transport-rol en McAfee Security for Exchange daarbovenop zijn de volgende agents zichtbaar:

Identity                                           Enabled         Priority       
--------                                           -------         --------       
Connection Filtering Agent                         True            1              
Address Rewriting Inbound Agent                    True            2              
Edge Rule Agent                                    True            3              
McAfeeTxRoutingAgent                               True            4              
McAfeeTxIPAgent                                    True            5              
McAfeeTxAgent                                      True            6              
Content Filter Agent                               True            7              
Sender Id Agent                                    True            8              
Sender Filter Agent                                True            9              
Recipient Filter Agent                             True            10             
Protocol Analysis Agent                            True            11             
Attachment Filtering Agent                         True            12             
Address Rewriting Outbound Agent                   True            13             

De drie McAfee-agents zijn het gevolg van de installatie van Security for Exchange inclusief de Anti-Spam Add-On. Afhankelijk van de wijze van installeren (via McAfee ePo of stand-alone) dient deze Anti-Spam Add-On mogelijk nageïnstalleerd te worden.

Werkwijze Transport Agents

Het overzicht van Transport Agents is ietwat ondoorzichtelijk. Alhoewel een prioriteit aan elke Agent meegegeven wordt, is het afhankelijk van de werking van elke afzonderlijke Agent in welk stadium van de SMTP-sessie hij aan het werk wordt gezet. Zo zal de McAfeeTxIPAgent niet pas na de eerste drie Exchange-agents getriggerd worden, maar al vroeg ingezet worden om de nodige scanning uit te voeren.

Het moment van activering is gebaseerd op zogenaamde SMTP Events: elke SMTP-sessie is vanuit Exchange-oogpunt gebouwd op SMTP Events die tezamen de SMTP-sessie vormgeven. De volgende tabel geeft een chronologisch overzicht weer van de activiteiten bij elke SMTP-sessie, waarbij per SMTP Event de betrokken agents in volgorde van prioriteit zijn weergegeven:

SMTP Event Omschrijving Agents
OnConnectEvent Een SMTP-sessie wordt geïnitiëerd door een remote SMTP server Connection Filtering Agent
McAfeeTxIPAgent
Protocol Analysis Agent
OnMailCommand MAIL FROM commando uitgevoerd door remote SMTP server Connection Filtering Agent
Sender Filter Agent
OnRcptCommand RCPT TO commando uitgevoerd door remote SMTP server Connection Filtering Agent
Address Rewriting Inbound Agent
Recipient Filter Agent
OnEndOfHeaders Inhoud mail header is doorgegeven door remote SMTP server Connection Filtering Agent
Address Rewriting Inbound Agent
Sender ID Agent
Sender Filter Agent
Protocol Analysis Agent
OnEndOfData Inhoud mail body is doorgegeven door remote SMTP Server McAfeeTxAgent
Content Filter Agent
Protocol Analysis Agent
Attachment Filtering Agent
OnReject* Delivery Status Notification (DSN) code aangemaakt en gestuurd naar remote SMTP Server Protocol Analysis Agent
OnRsetCommand* RSET commando uitgevoerd door remote SMTP server Protocol Analysis Agent
OnDisconnectEvent QUIT commando uitgevoerd door remote SMTP server Protocol Analysis Agent
OnSubmittedMessage Na het beëindigen van de SMTP-sessie wordt de mail afgegeven aan de mail queue van de Transport service Address Rewriting Outbound Agent
OnRoutedMessage** Omzetten distributieadres(sen) naar afzonderlijke geadresseerden, limieten en overige controles toepassen Address Rewriting Outbound Agent
OnCategorizedMessage Zodra Exchange mail heeft verwerkt McAfeeTxRoutingAgent

* Events die gedurende de SMTP-sessie zich op elk moment kunnen voordoen, maar altijd vòòr OnDisconnectEvent
** Voor meer info: Exchange Recipient resolution

De volgende hoofdstukken beschrijven elk SMTP Event en de bijbehorende aanbevolen configuratie voor zowel Exchange Edge Transport als Mcafee Security for Exchange.

1) SMTP OnConnectEvent

Hé, een remote SMTP Server wil een bericht bij ons afleveren. Fantastisch, daar hebben we immers ook een e-mailomgeving voor gebouwd! Maar laten we wel even controleren of de remote SMTP Server niet eerder een scheve schaats heeft gereden.

De Exchange Connection Filtering Agent mag als eerste een controle uitvoeren op basis van het IP-adres van de remote SMTP Server. Hij heeft daar de volgende mogelijkheden voor:

  1. Blokkeren met behulp van zelf te vullen IP Block List
  2. Blokkeren met behulp van een DNS Blacklist (DNSBL)
  3. Onvoorwaardelijk toestaan met behulp van zelf te vullen IP Allow List
  4. Onvoorwaardelijk toestaan met behulp van een DNS Whitelist (DNSWL)

IP Block List: lijst met IP-adressen die de Exchange-beheerder opgeeft. E-mail afkomstig van deze SMTP Servers zullen geweigerd worden. Overigens kan de IP Block List ook automatisch gevuld worden door de Sender Reputation-functie van de Protocol Analysis Agent.

Aanbeveling: voeg géén entries toe aan de IP Block List. Het gebruik van een DNS Blacklist is veel effectiever dan handmatig met IP-adressen in de weer te zijn. Houd de IP BLock List wel ingeschakeld, aangezien de Protocol Analysis Agent op eigen houtje entries aan deze lijst kan toevoegen. Als je per sé IP-adressen wil toevoegen aan de IP Block List, geef dan een toelichting mee met de parameter -Comment. Tot slot is het wenselijk om de afzender te laten weten waarom zijn/haar bericht geweigerd werd: stel daarom aangepaste Custom Response-teksten in voor de IP Block List-functie.

Weergave inhoud IP Block List, inclusief de entries die door de Protocol Analysis Agent automatisch zijn toegevoegd:

Get-IPBlockListEntry

Aanbevolen responses indien e-mail geblokkeerd wordt omwille van de IP Block List-functie:

Set-IPBlockListConfig -MachineEntryRejectionResponse "E-mail vanaf IP-adres {0} geblokkeerd door Microsoft Sender Reputation." -StaticEntryRejectionResponse "E-mail vanaf IP-adres {0} geblokkeerd door Microsoft Connection Filtering Agent."

Toevoegen entries aan IP Block List:

Add-IPBlockListEntry -IPAddress 11.22.33.44 -Comment "Vervelende Russische spammer"

DNS Blacklist: er zijn op het internet talloze zogenaamde DNS Black Lists beschikbaar. Deze DNSBL's houden lijsten aan met IP-adressen die onder meer verdacht worden van het versturen van SPAM-berichten. Ook dynamische IP-adressen die niet geacht worden SMTP-berichten te versturen worden doorgaans op dergelijke lijsten vermeld. In onze situatie kiezen we de ZEN-lijst van Spamhaus om een eerste controle uit te laten voeren.

Aanbeveling: selecteer minimaal één betrouwbare DNSBL-provider en voeg deze toe aan de IP Block List Providers-lijst van de Connection Filtering Agent. Spamhaus is één van de grootste en meest betrouwbare DNSBL-providers. Voeg tevens een Custom Response toe waarin de afzender duidelijk gemaakt wordt waarom zijn/haar e-mailbericht geweigerd is. Controleer wel de voorwaarden die Spamhaus stelt aan de Free Use-service: https://www.spamhaus.org/organization/dnsblusage/.

Weergeven geconfigureerde DNSBL-providers:

Get-IPBlockListProvider

Toevoegen Spamhaus ZEN DNSBL:

Add-IPBlockListProvider -Name "Spamhaus ZEN" -LookupDomain "zen.spamhaus.org" -RejectionResponse "E-mail geblokkeerd door Spamhaus DNSBL Provider."

IP Allow List: zelf te definiëren lijst met IP-adressen van betrouwbare partners (bedrijven, SMTP Relay-diensten, e.d.). Door deze lijst te vullen voorkom je dat e-mailberichten afkomstig van dergelijke SMTP Servers door de overige Exchange antispam-agents onder handen worden genomen en aldus niet onverhoopt eruit gefilterd worden.

Aanbeveling: wees er zeker van dat de tegenpartij een degelijke antispam- / antimalwarescanning uitvoert alvorens hen op de IP Allow List te plaatsen. Bij twijfel is het toevoegen van de betreffende IP-adressen aan de InternalSMTPServers-parameter van het TransportConfig-object in de interne Exchange-organisatie (zie beschrijving van Protocol Analysis Agent) mogelijk een beter alternatief.

Let op: indien je IP-adressen aan de IP Allow List toevoegt, dan zul je deze ook aan de IP Reputation whitelist van McAfee (zie toelichting verderop in dit hoofdstuk) moeten toevoegen voor een consequente toepassing en uitwerking ervan.

Weergave inhoud IP Allow List:

Get-IPAllowListEntry

Toevoegen entries aan IP Block List:

Add-IPAllowListEntry -IPAddress 55.66.77.99/28 -Comment "Dochterbedrijf van Holding BV"

DNS Whitelist: de inzet van zogenaamde DNS Whitelist welke beschikbaar zijn op het internet is twijfelachtig: de wijze van samenstelling van dergelijke DNSWL's is vaak ingegeven door het feit dat bedrijven zich voor een geldbedrag op deze lijsten kunnen laten plaatsen: een soort verzekering waarvan onduidelijk is hoe effectief deze is.

Aanbeveling: gebruik enkel een DNS Whitelist van een betrouwbare provider! Bij twijfel deze functie laten voor wat het is.

Weergeven geconfigureerde DNSWL-providers:

Get-IPAllowListProvider

Na de Connection Filtering Agent kan de McAfee Anti-Spam Transport Agent (McAfeeTxIPAgent) haar werk doen. In dit stadium wordt de feature IP Reputation toegepast. Deze instelling werkt eveneens op basis van het IP-adres van de remote SMTP Server om te bepalen wat te doen met het e-mailbericht. Het maakt hierbij gebruik van McAfee's eigen Global Thread Intelligence (GIT)-service. Het opzoeken van de reputatie van een IP-adres zoals McAfee deze hanteert is mogelijk via de website TrustedSource. Gek genoeg is standaard deze functie niet ingeschakeld, reden te meer om de instellingen van de Anti-Spam-categorie in de McAfee ePo-omgeving of op de Edge Transport-server aan te passen.

McAfee Anti-Spam Settings

Laten we meteen van de gelegenheid gebruik maken om ook de overige instellingen in de sectie Anti-Spam Settings aan te passen naar de aanbevolen waarden.

Aanbeveling: schakel de opties McAfee GTI message reputation en McAfee GTI IP reputation in. De overige opties van deze twee functies kunnen ongemoeid gelaten worden. Pas tot slot het e-mailadres aan van de optie System junk folder address naar een SMTP-adres welke aan een mailbox in de Exchange-organisatie gekoppeld is die als Quarantine-opslag dient, bijvoorbeeld quarantine@mijnbedrijf.local.

Let op: de McAfee-software op de Edge Transport-server heeft internettoegang nodig tot de TrustedSource-servers (tunnel.web.trustedsource.org). Om dit overzicht compleet te maken: voor de McAfee Mail URL Reputation-functie is toegang nodig tot de websites list.smartfilter.com en *.gti.mcafee.com. Voor alle sites geldt dat zowel poort 80 (HTTP) als 443 (HTTPS) benaderbaar moeten zijn.

Aanbeveling: om ook op dit vlak IP-adressen te 'whitelisten' gelijk aan de IP Allow List-functie van de Connection Filtering Agent, voeg de relevante IP-adressen toe aan de zelf aan te maken registerwaarde HKLM\Software\Wow6432Node\McAfee\MSME\SystemState\IPWhiteList (REG_SZ). Scheid IP-adressen met een punt-komma ';'. Voor meer info: https://kc.mcafee.com/corporate/index?page=content&id=KB82216.

Let op: in tegenstelling tot de IP Allow List-functie worden uitgezonderde IP-adressen nog wel degelijk door de overige McAfee-functies gescand.

Als McAfee gereed is met zijn IP Reputation-gebeuren en de mail nog niet geblokkeerd is, dan mag tot slot in de SMTP Connect-fase de Protocol Analysis Agent nog haar zegje doen. Zij doet dat in deze fase door een tweetal checks:

  • HELO/EHLO controle
    • Dit betreft het controleren van de servernaam (FQDN) of IP-adres zoals deze in de SMTP Banner wordt gepresenteerd door de remote SMTP Server. Incorrecte IP-adressen of valse servernamen zijn veelal een teken dat spammers aan het werk zijn.
  • Reverse DNS lookup
    • Hierbij wordt een DNS-query uitgevoerd op het IP-adres van de remote SMTP Server. Het resultaat daarvan, een FQDN, wordt vergeleken met de FQDN in de SMTP Banner. Indien zich hier een mismatch voordoet, wordt het een bedenkelijke zaak.

De Protocol Analysis Agent blokkeert in dit stadium geen enkele SMTP-sessie, maar gebruikt de verkregen informatie voor het berekenen van een Sender Reputation Level (SRL).

2) SMTP OnMailCommand

De remote SMTP Server heeft na de Connect-fase, als hij deze heeft overleefd, de mogelijkheid om zijn afzender kenbaar te maken. Dit doet hij met het MAIL FROM: SMTP-commando, waarin het e-mailadres van de afzender bekend gemaakt wordt.

De Connection Filtering Agent wordt vermeld bij het OnMailCommand SMTP Event, maar grijpt verder voor zover bekend in deze fase niet in.

De Sender Filter Agent daarentegen kan detecteren of de het e-mailadres van de afzender voorkomt op een door Exchange-beheerders aan te maken blacklist met e-mailadressen en/of complete e-maildomeinen. Deze blacklist wordt via de configuratie van diezelfde Sender Filter Agent door een Exchange-beheerder aangelegd. Daarnaast kan de Sender Filter Agent ook nagaan of het MAIL FROM: SMTP-commando mogelijk bewust leeggelaten is: dat is namelijk hoogst ongebruikelijk.

De Sender Filter Agent kan op twee manieren reageren:

  1. E-mail blokkeren met SMTP error code 554 5.1.0 Sender Denied
    • Deze optie geniet de voorkeur
  2. E-mail wordt toegestaan maar gemarkeerd door Sender Filter Agent zodat de Content Filter Agent van deze constatering gebruik kan maken in haar oordeel

Weergave configuratie Sender Filter Agent:

Get-SenderFilterConfig | Format-List Action,BlankSenderBlockingEnabled,BlockedSenders,BlockedDomains,BlockedDomainsAndSubdomains

Instellen blokkeren lege MAIL FROM: SMTP commando's

Set-SenderFilterConfig -BlankSenderBlockingEnabled $true

Aanbeveling: stel de BlankSenderBlockingEnabled-waarde in op $true (Default = $false). Beperk verder de beheerslast rondom te blokkeren afzenders of emaildomeinen door eerst na te gaan of de Safelist Aggregation-functionaliteit geen betere optie is vanuit beheersoogpunt: hiermee houden Microsoft Outlook-gebruikers namelijk zelf controle over te blokkeren e-mailadressen door deze toe te voegen aan de lijst 'Te blokkeren zenders' > deze informatie wordt gerepliceerd naar de Edge Transport-server en gebruikt door de Sender Filtering Agent om afzenders te blokkeren.

3) SMTP OnRcptCommand

Na het MAIL FROM: gedeelte maakt de remote SMTP Server kenbaar waarnaar het e-mailbericht gestuurd dient te worden. Dit kunnen één of meerdere e-mailadressen die vermeld worden in het RCPT TO: SMTP-commando.

De Connection Filtering Agent noteert de RCPT TO:-adressen. Dit vanwege het feit dat bij het instellen van DNSBL-providers er ontvangers uitgezonderd kunnen worden. Bijvoorbeeld onderstaand commando maakt duidelijk dat voor pietjepuk@mijnbedrijf.local het al dan niet aanwezig zijn van de remote SMTP Server op een DNS Blacklist geen invloed heeft op de bezorging van het e-mailbericht:

Add-IPBlockListProvider -Name "Spamhaus ZEN" -LookupDomain "zen.spamhaus.org" -BypassedRecipients "pietjepuk@mijnbedrijf.local" -RejectionResponse "E-mail geblokkeerd door Spamhaus DNSBL Provider."

Voor het eerst komt de Address Rewriting Inbound Agent in beeld. Dit is echter geen Antispam Agent en wordt verder in dit artikel niet beschreven. Hetzelfde geldt voor de Address Rewriting Outbound Agent.

De Recipient Filtering Agent vervult een aantal belangrijke taken, gebaseerd op hetgeen in het RCPT TO: SMTP-command is geplaatst door de Remote SMTP Server:

  1. Geadresseerden blokkeren aan de hand van door de beheerders zelf aan te leggen Recipients Block Lists. Bijvoorbeeld voor mailboxen die géén e-mail van buiten de organisatie hoeven te ontvangen.
  2. Recipient Validation uitvoeren: Hierbij wordt een lookup gedaan in de lokale ADLDS-database op de Edge Transport-server die door het EdgeSync-proces wordt gevuld met alle aanwezige SMTP-adressen die binnen Active Directory bekend zijn en in een adresboek zijn opgenomen. Het Recipient Validation-proces is een must om in een vroeg stadium de SMTP-sessie voortijdig te beëindigen indien naar een onbekend e-mailadres een bericht wordt getracht te sturen. Dit verkleint aanzienlijk de kans om vanwege backscatter-activiteiten op een DNS Blacklist opgenomen te worden.

Alhoewel het één van de meest effectieve filter-instrumenten is, is de Recipient Validation-functie standaard NIET ingeschakeld op de Edge Transport-server.

Voor de het weergeven van de instellingen van de Recipient Filtering Agent:

Get-RecipientFilterConfig | Format-List BlockedRecipients,RecipientValidationEnabled

Voor het inschakelen van Recipient Validation Lookup:

Set-RecipientFilterConfig -RecipientValidationEnabled $true

Aanbeveling: schakel onmiddellijk Recipient Validation in!

4) SMTP OnEndOfHeaders

De Connection Filtering Agent komt voor het laatst in actie: hij bepaalt nu of de SMTP-sessie wordt gedropt aan de hand van de vermelde geadresseeren. Deze zijn mogelijk uitgesloten van DNS Blacklist-filtering, waardoor de SMTP-sessie nog behouden blijft. Anders wordt deze abrupt beëindigd vanwege de aanwezigheid van de Remote SMTP Server op een DNS Blacklist.

Voor de Sender ID Agent is nu duidelijk welk domein de afzender heeft en vanaf welk IP-adres het e-mailbericht gestuurd wordt. Deze twee elementen worden gebruikt bij het analyseren van aanwezige SPF DNS-records van het domein van de afzender: deze DNS-records van de verzendende partij geeft aan of de Remote SMTP Server gemachtigd is om uit naam van de verzendende partij e-mails te mogen sturen. Dit is een manier om spoofing (opzettelijk vervalsen van afzender) tegen te gaan.

In de standaarconfiguratie wordt het binnenkomende e-mailbericht voorzien van een stempel van de Sender ID Agent met daarin het resultaat van de SPF-check. Deze informatie gebruikt Microsoft Outlook om uiteindelijk de SCL (Spam Confidence Level)-waarden te berekenen.

Aanbeveling: laat Sender ID Agent in de standaardconfiguratie actief zodat Microsoft Outlook extra informatie heeft om de SCL-berekening zo nauwkeurig mogelijk uit te kunnen voeren.

De mogelijkheden van de bij dit SMTP Event aanwezige agents Sender Filtering Agent en Protocol Analysis Agent worden hier verder niet behandeld daar hun configuratie reeds eerder besproken is.

5) SMTP OnEndOfData

Op dit punt heeft de Remote SMTP Server ook de inhoud van het e-mailbericht doorgegeven. Genoeg informatie dus om door te struinen voor de diverse agents.

Als eerste is de McAfeeTxAgent aan de beurt. Hierbij wordt de vrijwel volledige functionaliteit van McAfee Security for Exchange benut om spam en malware eruit te vissen.

Aanbeveling (enkel voor McAfee ePo-gebruikers): maak een kopie van de policy McAfee Default - Scanner Settings en baseer daarop de gewenste instellingen die nodig zijn om door te voeren (naast de twee eerder aanbevolen GTI-gerelateerde instellingen). De McAfee Enhanced - Scanner Settings template blokkeert namelijk standaard een aantal categorieën e-mails (Encrypted, Password-Potected), iets wat mogelijk niet wenselijk is voor bepaalde gebruikersgroepen. Kortom: begin aan de voorzichtige kant qua instellingen en breidt op basis van de McAfee Default - Scanner Settings policy template de gewenste aanpassingen verder uit.

Aanbeveling: vink in de sectie Policy Manager > On Access minimaal de volgende opties aan:

  • Anti-Virus Scanning > Options=High Protection > Edit > [X] Enable McAfee Global Thread Intelligence file reputation
  • Mail URL Reputation > Activation: [X] Enable Reden om deze opties in te schakelen is het gebruik van realtime beschikbare dreigingsinformatie, waardoor niet louter alleen op virusdefinities geleund hoeft te worden.

McAfee GTI file reputation McAfee Mail URL reputation

De overige McAfee Security for Exchange-opties zijn erg organisatieafhankelijk. Zo zal bijvoorbeeld het al dan niet ongehinderd doorlaten van niet-gescande Encrypted mail afhangen van het aanwezige beveiligingsbeleid.

De vraag is of het Content Filter Agent nog relevant is, gezien het feit dat Microsoft het SmartScreen-filter voor Edge Transport-server vanaf 01-nov-2016 niet meer zal updaten 1. Het antwoord is Ja, want naast het inhoudelijk scannen van e-mailberichten en het plakken van een SCL-rating bevat het Content Filter Agent de volgende features:

  • Outlook Email Postmark validation: indien de afzender Microsoft Outlook gebruikt voor het versturen van de e-mail, dan bevat de header een door het Content Filter Agent te detecteren opgeloste berekening. De aanwezigheid hiervan betekent hoogstwaarschijnlijk dat geen spammer aan het werk is geweest, waardoor de SCL-rating weer ietwat verlaagd kan worden.
  • Safelist Aggregation: Microsoft Outlook-gebruikers kunnen via de Junk E-mail opties veilige afzenders opgeven. Deze informatie, evenals de door de gebruiker zelf aangemaakte Contactpersonen, wordt gerepliceerd naar de Edge Transport-server waardoor de Content Filter Agent e-mail afkomstig van deze door de gebruiker vertrouwde afzender en contacten niet zal blokkeren.
    • Naast Safelist Aggregation kan een Exchange-beheerder ook zelf vertrouwde afzenders, e-maildomeinen en ontvangers definieren. Ook het filteren op bepaalde trefwoorden en/of -zinnen is mogelijk.

Welke acties de Content Filter Agent uiteindelijk uitoefent op e-mailberichten is afhankelijk van het SCL-rating die het zelf opstelt aan de hand van haar eigen analyse en informatie van overige antispam-agents. De SCL-rating loopt van 0 (geen spam) tot aan 9 (100% spam). De aan de SCL-rating te koppelen acties zijn Quarantine, Reject en Delete. Daarnaast is er binnen de interne Exchange-organisatie nog een SCL-rating van kracht: de SCLJunkThreshold-waarde van het Organization-object. Deze valt op de Edge Transport-server (mits EdgeSync is ingesteld) uit te lezen via het commando:

Get-OrganizationConfig | fl *SCL*

Let op: indien de SCLJunkThreshold-waarde aangepast dient te worden, dient dit NIET op de Edge Transport-server maar binnen de interne Exchange-organisatie plaats te vinden. De aangepaste waarde wordt vervolgens via EdgeSync kenbaar gemaakt op de Edge Transport-server.

In Microsoft-documentatie wordt aanbevolen de SCLJunkThreshold-waarde op '4' te zetten. Als daarnaast de drie acties van de Content Filter Agent een SCL-rating toegekend krijgen, dan kan nagegaan worden wat er met een e-mailbericht gebeurt nadat het een SCL-stempel heeft gekregen van de Content Filter Agent:

SCL Actie Toelichting
>= 8 Delete E-mail wordt zonder notificatie verwijderd
7 Reject E-mail wordt met notificatie verwijderd
6 Quarantine E-mail wordt doorgestuurd naar het Quarantine e-mailadres
5 Outlook Junk Email Folder E-mail wordt door Microsoft Outlook in de Junk Email-folder geplaatst
<= 4 Clean E-mail wordt netjes bezorgd

Om de huidige SCL en Quarantine-instellingen uit te lezen:

Get-ContentFilterConfig | Format-List SCL*,QuarantineMailbox,RejectionResponse

Om de in de tabel geschetse SCL-waarden, een Custom Response en een Quarantine-mailbox in te stellen:

Set-ContentFilterConfig -QuarantineMailbox quarantine@mijnbedrijf.local -SCLDeleteEnabled $true -SCLDeleteThreshold 8 -SCLRejectEnabled $true -SCLRejectThreshold 7 -SCLQuarantineEnabled $true -SCLQuarantineThreshold 6 -RejectionResponse "E-mail geblokkeerd door Microsoft Exchange Content Filter Agent."

Aanbeveling: stel voor de drie acties een SCL-waarde in, waarbij bovenstaand commando als voorbeeld kan worden gebruikt. Een Custom Reponse is eveneens wenselijk zodat de afzender op de hoogte wordt gebracht waarom zijn/haar e-mail is geweigerd.

Let op: het e-mailadres van de Quarantine-mailbox dient vanzelfsprekend aanwezig te zijn binnen de interne Exhange-organisatie en gekoppeld te zijn aan een dedicated mailbox voor opvang van spam.

De rol van de Attachment Filtering Agent roept de vraag op wie er verantwoordelijk wordt voor het filtering op bijlagen: zo kan binnen McAfee Security for Exchange eveneens op bijlagen gefilterd worden via de Policy Manager > On Access > File Filtering policy. Voordeel van de Attachment Filtering Agent is dat deze standaard reeds actief is inclusief een lijst met gangbare te blokkeren extenties. Hoogstens dat de Custom Response nog aangepast zou kunnen worden, maar verdere configuratie is feitelijk niet nodig.

Voor weergave van de standaardlijst met extenties:

Get-AttachmentFilterEntry | Format-Table

Voeg een extentie toe (voorbeeld met *.jpg-bestanden):

Add-AttachmentFilterEntry -Name *.jpg -Type FileName

Maak een Custom Response voor de Attachment Filtering Agent:

Set-AttachmentFilterListConfig -RejectResponse "Bijlage verwijderd door Microsoft Exchange Attachment Filtering Agent."

Aanbeveling: houd de Attachment Filtering Agent actief en voeg desgewenst een aantal extenties en een Custom Response toe. Toch liever de McAfee-variant gebruiken? Controleer dan goed de nog zelf toe te voegen lijst met extenties en/of de inhoud van de door McAfee gedefiniëerde File Category Filtering-entries.

De mogelijkheden van de bij dit SMTP Event aanwezige agent Protocol Analysis Agent wordt hier verder niet behandeld daar zijn configuratie reeds eerder besproken is.

6) SMTP OnCategorizedMessage

Zodra het e-mailbericht gereed en wel afgeleverd kan worden, ontfermt de agent McAfeeTxRoutingAgent zich als laatste nog over het het e-mailbericht. De werking van deze agent in dit stadium van e-mailafhandeling is echter niet direct te herleiden uit de McAfee-documentatie, dus verdere toelichting moet ik u helaas schuldig blijven.

Dit is het laatste SMTP Event wat op de Edge Transport-server plaatsvindt. Hierna wordt het e-mailbericht, gescand en wel, afgeleverd aan de interne Exchange-organisatie. Hier kan het mogelijk nog door de SCLJunkThreshold-waarde in de Junk Email-folder belanden, maar dat is aan Microsoft Outlook om te bepalen.

Volgende artikel Vorige artikel