Hướng dẫn xử lý email trên TMG 2010 Firewall – Phần III:Chống
spam (phần 2)

Content Filtering
Kích tùy chọn Content Filtering ở panel giữa trong giao diện điều khiển,
bạn sẽ thấy xuất hiện hộp thoại Content Filtering. Kích tab Custom
Words. Trong tab Custom Words, kích nút Add. Trong hộp thoại Add
Word or Phrase, bạn có thể nhập vào từ khóa dùng để cho phép hoặc
chặn khi nó có trong nội dung của thư. Lưu ý rằng có hai nút Add trong
hộp thoại này: một luôn luôn cho phép và một luôn luôn khóa khi từ khóa
xuất hiện.

Hình 9
Điều gì sẽ xảy ra nếu bạn muốn nhận mail từ một số người gửi nào đó dù
các thư của họ có chứa các từ khóa mà bạn chặn? Không vấn đề gì – bạn
chỉ cần tạo một ngoại lệ.
Kích tab Exceptions. Khi kích nút Add, bạn có thể nhập vào hộp thoại
Add E-mail address địa chỉ email cho người gửi mà bạn không muốn
thư gửi đi từ địa chỉ đó bị lọc.

Hình 10
Kích tab SCL Thresholds, SCL là viết tắt của “Spam Confidence Level”
(tạm được dịch là mức tin cậy). Content Filter agent sử dụng kỹ thuật
Microsoft SmartScreen để kiểm tra các thư và gán nó cho một mức đánh
giá SCL. Điểm số được đánh giá từ 0 đến 9. Số càng cao thì nguy cơ
spam của thư càng cao. Content Filter xử lý các thư sau khi các anti-spam
agent khác của Exchange 2010 đã được áp dụng, điều này làm giảm được
số lượng thư cần phải kiểm trra bởi Content Filter. Để có thêm thông tin
về thứ tự trong các anti-spam agent được áp dụng, bạn có thể tham khảo
thêm các thông tin từ Microsoft tại đây.
Bạn có thể điều chỉnh ngưỡng hành động SCL sao cho phù hợp với

những nhu cầu trong tổ chức mình. Các ngưỡng ở đây là các giá trị SCL
mà khi vượt qua ngưỡng đó, một hành động (xóa, loại bỏ hoặc cách ly) sẽ
được mang ra thực thi.
Ở đây bạn có ba tùy chọn quan trọng:
 Delete messages that have an SCL rating great than or equal to
(Xóa thư có giá trị SCL lớn hơn hoặc bằng)
 Reject messages that have an SCL rating greater than or equal
to (Loại bỏ thư có giá trị SCL lớn hơn hoặc bằng)
 Quarantine messages that have an SCL rating great than or
equal to (Cách ly thư có giá trị SCL lớn hơn hoặc bằng)
Khi cho phép các tùy chọn này, giá trị mặc định sẽ là 9. Điều đó có nghĩa
rằng hầu hết các thư đến trạm lọc Content Filtering sẽ đi qua và đến được
hòm thư của người dùng. Nếu, cho ví dụ, bạn thiết lập giá trị Delete là 7,
khi đó tất cả các thư có giá trị SCL bằng 7 hoặc cao hơn sẽ bị xóa.
Khi thư bị xóa, hệ thống gửi sẽ không được cảnh báo. Trong trường hợp
loại bỏ, Content Filter sẽ gửi một thông báo loại bỏ đến hệ thống gửi.
Bạn cũng có một tùy chọn gửi các thư bị loại bỏ đến một địa chỉ mailbox
được cách lý (Quarantine mailbox address). Cần kiểm tra mailbox được
cách ly này một cách định kỳ và quyết định những gì mình cần thực hiện
với các thư nằm ở đây.

Hình 11
Nếu một SCL của thư nào đó nằm dưới các giá trị thiết lập cho các
ngưỡng Delete, Reject và Quarantine, thư này sẽ vẫn phải đi qua bộ lọc
Junk mail, bộ lọc này sẽ đưa tất cả các thư trong thư mục Junk Mail của
người dùng vào nơi mà người dùng có thể xem lại chúng và quyết định
liệu có cần đánh dấu chúng là “not junk” hay không. Nếu giá trị SCL thấp
hơn ngưỡng Junk mail, các thư đó sẽ đến thẳng hòm thư (Inbox) của
người dùng.
Bạn không thiết lập ngưỡng Junk Mail ở đây; tuy nhiên có thể thực hiện

điều đó với Set-Mailbox cmdlet trong Exchange Management Shell. Để
có thêm thông tin về Set-Mailbox cmdlet, bạn có thể tham khảo tại đây.
Recipient Filtering
Cũng có thể lọc mail bởi người nhận. Kích tùy chọn Recipient Filtering
trong panel giữa của giao diện điều khiển firewall. Khi đó bạn sẽ thấy
xuất hiện hộp thoại Recipient Filtering. Kích tab Blocked Recipients. Ở
đây bạn có tùy chọn Block messages sent to recipients not listed in the
Global Address List. Tùy chọn này cho phép bạn ngăn phân phối đến
các địa chỉ chẳng hạn như .
Cũng có thể kích hoạt tùy chọn block the following recipients. Tùy chọn
này cho phép bạn ngăn chặn mail bên ngoài đang được phân phối đến các
địa chỉ nào đó mà theo yêu cầu họ chỉ được phép sử dụng bên trong tổ
chức. Sau khi kích hoạt tùy chọn đó, bạn có thể kích nút Add để bổ sung
địa chỉ email của người nhận mà bạn muốn khóa.

Hình 12
Sender Filtering
Bạn có thể khóa mail dựa trên người gửi. Sender Filter agent sử dụng ti
êu
đề MAIL FROM: SMTP để xác định xem thư nào cần khóa. Bạn có thể
khóa một người gửi, toàn b
ộ một miền hoặc các miền với tất cả miền con.
Cần lưu ý rằng tiêu đề MAIL FROM: SMTP có thể bị giả mạo, vì vậy có
thể ảnh hưởng đến kế hoạch lọc người gửi ở đây. Bạn có thể sử dụng
Sender ID (được thảo luận trong phần tiếp theo) để ngăn chặn mail giả
mạo kiểu này.
Kích tùy chọn Sender Filtering ở panel giữa của TMG firewall console.
Trong hộp thoại Sender Filtering, kích tab Blocked Senders. Ở đây bạn
có thể kích nút Add để mở hộp thoại Blocked sender. Bạn có thể chọn
nhập vào địa chỉ của một người gửi nào đó, hoặc có thể khóa toàn bộ

miền email.

Hình 13
Tab tab Action, khi đó bạn sẽ thấy có hai tùy chọn cho việc so khớp
người gửi:
 Reject the message (Loại bỏ thư )
 Stamp the message with blocked sender and continue
processing (Dán tem cho thư của người gửi bị khóa và tiếp tục
xử lý)
Tùy chọn thứ hai cho phép các thành phần khác trong giải pháp email tạo
các quyết định dựa trên các thông tin của tiêu đề này. Hành động đánh
dấu thư đến từ người gửi bị khóa sẽ đư
ợc sử dụng trong việc tính toán giá
trị SCL.

Hình 14
Sender ID
Sender ID agent sử dụng tiêu đề RECEIVED SMTP để gửi một truy vấn
đến DNS của hệ thống gửi nhằm thẩm định rằng địa chỉ IP mà thư được
gửi đi từ đó là xác thực đối với việc gửi mail từ một miền đã được liệt
trong các tiêu đề. Chỉ có một vấn đề là các quản trị viên miền phải thiết
lập các bản ghi SPF (sender policy framework) trên máy chủ DNS của
họ. Để tìm hiểu thêm về cách sử dụng Sender ID, các bạn có thể tham
khảo link này.
Để cấu hình Sender ID, kích tùy chọn Sender ID ở panel giữa của giao
diện điều khiển TMG firewall. Kích tab Action. Ở đây bạn sẽ có ba tùy
chọn xảy ra khi hành động kiểm tra Sender ID thất bại:
 Reject message (Loại bỏ thư)
 Stamp the message with Sender ID and continue processing
(Dán tem và tiếp tục xử lý)

 Delete message (Xóa thư)
Khi thư bị loại bỏ, nó sẽ gửi một lỗi SMTP đến máy chủ gửi thư. Khi bạn
chọn tùy chọn Delete, thư sẽ bị xóa mà không thông báo gì cho máy chủ
gửi. Trong trường hợp còn lại, thư được dán tem khi thất bại trong việc
kiểm tra Sender ID, các thông tin đó sẽ được sử dụng bởi bộ lọc Junk
Mail trong Outlook để tính toán giá trị SCL.

Hình 15
Sender Reputation
Danh tiếng của người gửi (Sender Reputation) sử dụng các thông tin đư
ợc
công bố về người gửi để tính toán giá trị Sender Reputation Level
(SRL). Để cấu hình Sender Reputation, kích tùy chọn Sender
Reputation trong phần panel giữa của giao diện điều khiển.
Sender Reputation Level làm việc giống như Spam Confidence Level,
trong đó giá trị của người gửi được đặt từ 0 đến 9 và bạn có thể cấu hình
ngưỡng để khóa chặn mail vào tổ chức. Người gửi được add vào danh
sách Blocked Senders và bạn có thể cấu hình một khoảng thời gian nào
đó cho việc duy trì người gửi này nằm trong danh sách.
Trong hộp thoại Sender Reputation trên tab Sender Confidence. Ở đây
bạn có tùy chọn Perform an open proxy test when determining sender
confidence level.
Đây là một tùy chọn khá thú vị. Nó kết nối đến địa chỉ IP của người gửi
bằng cách gửi đi một thư SMTP. Nếu tư
ờng lửa TMG phát hiện rằng máy
chủ SMTP sẽ cho phép nó gửi thư đến chính bản thân nó, khi đó máy ch
ủ
SMTP đang gửi là một SMTP relay để mở. SMTP relay mở có thể được
sử dụng bởi spammer nhằm gửi đi các spam email đến các miền email
trên thế giới, và sẽ cắm cờ đỏ ngay lập tức về những gì đã xảy ra với các

thư khi chúng đi ngang qua một máy chủ như vậy.
Bạn sẽ thấy các SMTP relay để mở khi ai đó cấu hình lỗi một máy chủ,
hoặc khi ai đó bị tiêm nhiễm malware và hành động như một SMTP
relay. Trong trường hợp đó, do không muốn nhận mail từ một SMTP
relay để mở, vì vậy bạn nên kích hoạt tùy chọn này.

Hình 16
Trong cấu hình ngưỡng, thứ tốt nhất cần thực hiện là sử dụng các giá trị
mặc định trước, sau đó tăng dần ngưỡng khóa theo thời gian cho tới khi
bạn tới được điểm mà ở đó nhận thấy có nhiều sai lầm, lúc đó lại giảm
dần giá trị xuống sao cho hợp lý nhất.
Lưu ý rằng bạn cũng có thể tùy chỉnh hành động ngưỡng Threshold
Action. Giá trị này cho phép bạn có thể cấu hình khóa một máy chủ
SMTP bao lâu trước khi cho phép nhận mail từ nó trở lại. Cách thức này
cho phép bạn trở nên linh hoạt hơn vì thông thường các vấn đề đều mang
tính tạm thời, bạn chắc chắn sẽ không muốn khóa vĩnh viễn một người
gửi nào đó.

Hình 17
Kết luận
Trong phần ba của loạt bài này, chúng ta đã tìm hiểu về một số tùy chọn
cấu hình có sẵn trong việc tinh chỉnh tính năng khóa spam. Mặc dù vậy
có nhiều tùy chọn, nhưng không phải tất cả trong chúng cần đến sự cấu
hình. Những tùy chọn thú vị và hữu dụng nhất là những tùy chọn có liên
quan đến Sender Reputation, Recipient Filtering và Content Filtering. Đa
số các spam được gửi qua một máy chủ được nhiều người biết đến, vì v
ậy
việc khóa mail dựa trên danh tiếng người gửi (sender reputation) là một
phương pháp hết sức hữu dụng giúp bạn có thể giảm tới 95% lượng thư
spam. Recipient filtering cũng là một phương pháp khá hiệu quả, vì các

spammer thường gửi đi một số lượng lớn mail đến các địa chỉ không tồn
tại trong tổ chức bạn. Cuối cùng, tính năng lọc nội dung (content
filtering) cho phép phân tích một cách tinh vi các thư với giá trị SCL
được đưa vào sử dụng nhằm xác định xem liệu thư đó có phải là spam,
đây là một phương pháp cực kỳ hữu dụng khi máy chủ gửi là một máy
tính desktop đã bị chiếm quyền điều khiển và trở thành một phần của
botnet. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho
các bạn về các tùy chọn lọc nội dung và virus.