Cài đặt, cấu hình giải pháp xử lý email trên TMG 2010
Firewall – Phần 3



Trong phần này chúng tôi sẽ giới thiệu những gì bạn có khi thực hiện
cấu hình các tính năng chống spam (anti-spam) trên TMG 2010
firewall.

Trong phần hai của loạt bài này, chúng tôi đã giới thiệu được cho các bạn về
một số thủ tục cần thiết để các thành phần Email Protection có thể làm việc.
Chúng ta đã cấu hình bộ lắng nghe incoming SMTP listener, dùng để chấp
nhận mail gửi đến, cấu hình outgoing SMTP listener, dùng để gửi mail đi.
Thêm vào đó chúng ta cũng đã kích hoạt các thành phần Forefront
Protection for Exchange và Exchange Edge để cho phép bảo vệ anti-spam và
anti-virus. Trong phần ba này, chúng tôi sẽ giới thiệu cho các bạn những gì
có khi thực hiện cấu hình các tính năng chống spam (anti-spam) trên TMG
2010 firewall.
Cấu hình lọc spam (Spam Filtering)
Tab Spam Filtering trong panel giữa của giao diện điều khiển. Ở đây bạn có
thể thấy bộ sưu tập các tùy chọn cho việc cấu hình Spam Filters. Đó là
những tùy chọn:

IP Allow List: Cho phép có thể cấu hình bộ địa chỉ IP để các thư luôn
được chấp nhận từ đó.

IP Allow List Providers: Cho phép cấu hình địa chỉ của một hoặc
nhiều nhà cung cấp IP Allow List.

IP Block List: Cho phép cấu hình một danh sách các địa chỉ mà bạn
không bao giờ nhận mail từ chúng.


Content Filtering: Cho phép chặn email dựa trên nội dung của thư.

Recipient Filtering: Cho phép điều khiển sự phân phối email dựa
trên người nhận.

Sender Filtering: Cho phép điều khiển sự phân phát email dựa trên
người gửi.

Sender ID: Điều khiển cho phép hoặc từ chối email dựa trên sự có
mặt của bản ghi Sender ID.

Sender Reputation: Cho phép bạn cho phép hoặc từ chối mail dựa
trên tên của người gửi.
Sau đây chúng ta hãy bắt đầu bằng cách kích tùy chọn IP Allow List.

Hình 1
IP Allow List
Trong hộp thoại IP Allow List, kích tab Allowed Addresses. Ở đây bạn có
thể add một địa chỉ, một dải địa chỉ mà bạn muốn nhận thư từ chúng.

Hình 2
IP Allow List Providers
Kích tùy chọn IP Allow List Providers ở panel giữa của giao diện điều
khiển. Trong hộp thoại IP Allow List Providers, kích tab Providers. Ở đây
bạn có thể cấu hình một danh sách các nhà cung cấp được phép IP Allow
List Providers. Kích nút Add để thêm một entry mới. Nếu muốn nhập vào
một địa chỉ nào đó, bạn chỉ cần nhập vào cùng một địa chỉ trong các trường
Start và End.


Hình 3
Trong hộp thoại IP List Provider, bạn có thể nhập vào các thông tin dưới
đây:

Provider name. Nhập vào tên của nhà cung cấp trong hộp văn bản
này. Điều này chỉ mang tính chất nhận dạng, nó không phải một giá trị
được sử dụng bởi hệ thống.

Lookup domain. Đây là tên miền của IP Allow List provider.

Match any return code. Tùy chọn này cho phép hệ thống so khớp
với bất cứ mã trạng thái địa chỉ IP nào.

Hình 4
IP Block List
Kích tùy chọn IP Block List trong panel giữa của giao diện điều khiển TMG
firewall. Khi đó bạn sẽ thấy xuất hiện hộp thoại IP Block List. Kích tab
Blocked Addresses. Ở tab này bạn có thể kích nút Add để thêm một hoặc
nhiều địa chỉ mà bạn không bao giờ muốn nhận mail từ chúng. Các thư từ
các địa chỉ này sẽ bị khóa chặn.
Lưu ý rằng trong hộp thoại Blocked IP Address – IP Range bạn có thể
chọn:

Never let this address expire (không bao giờ hết hạn) hoặc

Block until date and time (khóa đến một thời điểm nào đó)
Đây là các tùy chọn rất hữu dụng nếu bạn muốn khóa tạm thời mail từ một
dải địa chỉ nào, có thể do một hoạt động spam, tuy nhiên sau đó bạn lại
muốn cho phép phân phối lại khi vấn đề đó đã được khắc phục.


Hình 5
Kích tab Providers. Tab Providers này có các tùy chọn tương tự như những
gì chúng ta đã thấy trong hộp thoại IP Allow List, các mục ở đây cũng được
thực hiện tương tự như vậy.

Hình 6
Hộp thoại IP List Provider cũng giống như những gì được cung cấp trong
tùy chọn IP Allow List, hiển thị tên nhà cung cấp, hậu tố DNS, các cột trạng
thái. Để thêm vào một nhà cung cấp, bạn kích nút Add.

Hình 7
Nếu kích nút Error Messages, bạn sẽ thấy hộp thoại IP Block List
Provider Error Message. Tính năng này không được minh chứng tài liệu
tại thời điểm này, tuy nhiên nó chính là tính năng cho phép tạo ra các thư lỗi
để gửi ngược trở về các nhà cung cấp mà bạn chặn thư của họ.

Hình 8
Bạn có thể sử dụng thư lỗi mặc định hoặc có thể tạo một thư nào đó tùy ý.
Nếu chọn tùy chọn sau, bạn cần phải đánh nội dung của thư vào hộp văn
bản, sau đó kích OK.
Content Filtering
Kích tùy chọn Content Filtering ở panel giữa trong giao diện điều khiển,
bạn sẽ thấy xuất hiện hộp thoại Content Filtering. Kích tab Custom
Words. Trong tab Custom Words, kích nút Add. Trong hộp thoại Add
Word or Phrase, bạn có thể nhập vào từ khóa dùng để cho phép hoặc chặn
khi nó có trong nội dung của thư. Lưu ý rằng có hai nút Add trong hộp thoại
này: một luôn luôn cho phép và một luôn luôn khóa khi từ khóa xuất hiện.

Hình 9
Điều gì sẽ xảy ra nếu bạn muốn nhận mail từ một số người gửi nào đó dù

các thư của họ có chứa các từ khóa mà bạn chặn? Không vấn đề gì – bạn chỉ
cần tạo một ngoại lệ.
Kích tab Exceptions. Khi kích nút Add, bạn có thể nhập vào hộp thoại Add
E-mail address địa chỉ email cho người gửi mà bạn không muốn thư gửi đi
từ địa chỉ đó bị lọc.

Hình 10
Kích tab SCL Thresholds, SCL là viết tắt của “Spam Confidence Level”
(tạm được dịch là mức tin cậy). Content Filter agent sử dụng kỹ thuật
Microsoft SmartScreen để kiểm tra các thư và gán nó cho một mức đánh giá
SCL. Điểm số được đánh giá từ 0 đến 9. Số càng cao thì nguy cơ spam của
thư càng cao. Content Filter xử lý các thư sau khi các anti-spam agent khác
của Exchange 2010 đã được áp dụng, điều này làm giảm được số lượng thư
cần phải kiểm trra bởi Content Filter. Để có thêm thông tin về thứ tự trong
các anti-spam agent được áp dụng, bạn có thể tham khảo thêm các thông tin
từ Microsoft tại đây
.
Bạn có thể điều chỉnh ngưỡng hành động SCL sao cho phù hợp với những
nhu cầu trong tổ chức mình. Các ngưỡng ở đây là các giá trị SCL mà khi
vượt qua ngưỡng đó, một hành động (xóa, loại bỏ hoặc cách ly) sẽ được
mang ra thực thi.
Ở đây bạn có ba tùy chọn quan trọng:

Delete messages that have an SCL rating great than or equal to
(Xóa thư có giá trị SCL lớn hơn hoặc bằng)
 Reject messages that have an SCL rating greater than or equal to
(Loại bỏ thư có giá trị SCL lớn hơn hoặc bằng)

Quarantine messages that have an SCL rating great than or equal
to (Cách ly thư có giá trị SCL lớn hơn hoặc bằng)

Khi cho phép các tùy chọn này, giá trị mặc định sẽ là 9. Điều đó có nghĩa
rằng hầu hết các thư đến trạm lọc Content Filtering sẽ đi qua và đến được
hòm thư của người dùng. Nếu, cho ví dụ, bạn thiết lập giá trị Delete là 7, khi
đó tất cả các thư có giá trị SCL bằng 7 hoặc cao hơn sẽ bị xóa.
Khi thư bị xóa, hệ thống gửi sẽ không được cảnh báo. Trong trường hợp loại
bỏ, Content Filter sẽ gửi một thông báo loại bỏ đến hệ thống gửi.
Bạn cũng có một tùy chọn gửi các thư bị loại bỏ đến một địa chỉ mailbox
được cách lý (Quarantine mailbox address). Cần kiểm tra mailbox được
cách ly này một cách định kỳ và quyết định những gì mình cần thực hiện với
các thư nằm ở đây.

Hình 11
Nếu một SCL của thư nào đó nằm dưới các giá trị thiết lập cho các ngưỡng
Delete, Reject và Quarantine, thư này sẽ vẫn phải đi qua bộ lọc Junk mail,
bộ lọc này sẽ đưa tất cả các thư trong thư mục Junk Mail của người dùng
vào nơi mà người dùng có thể xem lại chúng và quyết định liệu có cần đánh
dấu chúng là “not junk” hay không. Nếu giá trị SCL thấp hơn ngưỡng Junk
mail, các thư đó sẽ đến thẳng hòm thư (Inbox) của người dùng.
Bạn không thiết lập ngưỡng Junk Mail ở đây; tuy nhiên có thể thực hiện điều
đó với Set-Mailbox cmdlet trong Exchange Management Shell. Để có thêm
thông tin về Set-Mailbox cmdlet, bạn có thể tham khảo tại đây
.
Recipient Filtering
Cũng có thể lọc mail bởi người nhận. Kích tùy chọn Recipient Filtering
trong panel giữa của giao diện điều khiển firewall. Khi đó bạn sẽ thấy xuất
hiện hộp thoại Recipient Filtering. Kích tab Blocked Recipients. Ở đây
bạn có tùy chọn Block messages sent to recipients not listed in the Global
Address List. Tùy chọn này cho phép bạn ngăn phân phối đến các địa chỉ
chẳng hạn như .
Cũng có thể kích hoạt tùy chọn block the following recipients. Tùy chọn

này cho phép bạn ngăn chặn mail bên ngoài đang được phân phối đến các
địa chỉ nào đó mà theo yêu cầu họ chỉ được phép sử dụng bên trong tổ chức.
Sau khi kích hoạt tùy chọn đó, bạn có thể kích nút Add để bổ sung địa chỉ
email của người nhận mà bạn muốn khóa.

Hình 12
Sender Filtering
Bạn có thể khóa mail dựa trên người gửi. Sender Filter agent sử dụng tiêu đề
MAIL FROM: SMTP để xác định xem thư nào cần khóa. Bạn có thể khóa
một người gửi, toàn bộ một miền hoặc các miền với tất cả miền con. Cần lưu
ý rằng tiêu đề MAIL FROM: SMTP có thể bị giả mạo, vì vậy có thể ảnh
hưởng đến kế hoạch lọc người gửi ở đây. Bạn có thể sử dụng Sender ID
(được thảo luận trong phần tiếp theo) để ngăn chặn mail giả mạo kiểu này.
Kích tùy chọn Sender Filtering ở panel giữa của TMG firewall console.
Trong hộp thoại Sender Filtering, kích tab Blocked Senders. Ở đây bạn có
thể kích nút Add để mở hộp thoại Blocked sender. Bạn có thể chọn nhập
vào địa chỉ của một người gửi nào đó, hoặc có thể khóa toàn bộ miền email.

Hình 13
Tab tab Action, khi đó bạn sẽ thấy có hai tùy chọn cho việc so khớp người
gửi:
 Reject the message (Loại bỏ thư )

Stamp the message with blocked sender and continue processing
(Dán tem cho thư của người gửi bị khóa và tiếp tục xử lý)
Tùy chọn thứ hai cho phép các thành phần khác trong giải pháp email tạo
các quyết định dựa trên các thông tin của tiêu đề này. Hành động đánh dấu
thư đến từ người gửi bị khóa sẽ được sử dụng trong việc tính toán giá trị
SCL.


Hình 14
Sender ID
Sender ID agent sử dụng tiêu đề RECEIVED SMTP để gửi một truy vấn đến
DNS của hệ thống gửi nhằm thẩm định rằng địa chỉ IP mà thư được gửi đi từ
đó là xác thực đối với việc gửi mail từ một miền đã được liệt trong các tiêu
đề. Chỉ có một vấn đề là các quản trị viên miền phải thiết lập các bản ghi
SPF (sender policy framework) trên máy chủ DNS của họ. Để tìm hiểu thêm
về cách sử dụng Sender ID, các bạn có thể tham khảo link này
.
Để cấu hình Sender ID, kích tùy chọn Sender ID ở panel giữa của giao diện
điều khiển TMG firewall. Kích tab Action. Ở đây bạn sẽ có ba tùy chọn xảy
ra khi hành động kiểm tra Sender ID thất bại:

Reject message (Loại bỏ thư)

Stamp the message with Sender ID and continue processing (Dán
tem và tiếp tục xử lý)

Delete message (Xóa thư)
Khi thư bị loại bỏ, nó sẽ gửi một lỗi SMTP đến máy chủ gửi thư. Khi bạn
chọn tùy chọn Delete, thư sẽ bị xóa mà không thông báo gì cho máy chủ gửi.
Trong trường hợp còn lại, thư được dán tem khi thất bại trong việc kiểm tra
Sender ID, các thông tin đó sẽ được sử dụng bởi bộ lọc Junk Mail trong
Outlook để tính toán giá trị SCL.

Hình 15
Sender Reputation
Danh tiếng của người gửi (Sender Reputation) sử dụng các thông tin được
công bố về người gửi để tính toán giá trị Sender Reputation Level (SRL). Để
cấu hình Sender Reputation, kích tùy chọn Sender Reputation trong phần

panel giữa của giao diện điều khiển.
Sender Reputation Level làm việc giống như Spam Confidence Level, trong
đó giá trị của người gửi được đặt từ 0 đến 9 và bạn có thể cấu hình ngưỡng
để khóa chặn mail vào tổ chức. Người gửi được add vào danh sách Blocked
Senders và bạn có thể cấu hình một khoảng thời gian nào đó cho việc duy trì
người gửi này nằm trong danh sách.
Trong hộp thoại Sender Reputation trên tab Sender Confidence. Ở đây
bạn có tùy chọn Perform an open proxy test when determining sender
confidence level.
Đây là một tùy chọn khá thú vị. Nó kết nối đến địa chỉ IP của người gửi
bằng cách gửi đi một thư SMTP. Nếu tường lửa TMG phát hiện rằng máy
chủ SMTP sẽ cho phép nó gửi thư đến chính bản thân nó, khi đó máy chủ
SMTP đang gửi là một SMTP relay để mở. SMTP relay mở có thể được sử
dụng bởi spammer nhằm gửi đi các spam email đến các miền email trên thế
giới, và sẽ cắm cờ đỏ ngay lập tức về những gì đã xảy ra với các thư khi
chúng đi ngang qua một máy chủ như vậy.
Bạn sẽ thấy các SMTP relay để mở khi ai đó cấu hình lỗi một máy chủ, hoặc
khi ai đó bị tiêm nhiễm malware và hành động như một SMTP relay. Trong
trường hợp đó, do không muốn nhận mail từ một SMTP relay để mở, vì vậy
bạn nên kích hoạt tùy chọn này.

Hình 16
Trong cấu hình ngưỡng, thứ tốt nhất cần thực hiện là sử dụng các giá trị mặc
định trước, sau đó tăng dần ngưỡng khóa theo thời gian cho tới khi bạn tới
được điểm mà ở đó nhận thấy có nhiều sai lầm, lúc đó lại giảm dần giá trị
xuống sao cho hợp lý nhất.
Lưu ý rằng bạn cũng có thể tùy chỉnh hành động ngưỡng Threshold Action.
Giá trị này cho phép bạn có thể cấu hình khóa một máy chủ SMTP bao lâu
trước khi cho phép nhận mail từ nó trở lại. Cách thức này cho phép bạn trở
nên linh hoạt hơn vì thông thường các vấn đề đều mang tính tạm thời, bạn

chắc chắn sẽ không muốn khóa vĩnh viễn một người gửi nào đó.

Hình 17
Kết luận
Trong phần ba của loạt bài này, chúng ta đã tìm hiểu về một số tùy chọn cấu
hình có sẵn trong việc tinh chỉnh tính năng khóa spam. Mặc dù vậy có nhiều
tùy chọn, nhưng không phải tất cả trong chúng cần đến sự cấu hình. Những
tùy chọn thú vị và hữu dụng nhất là những tùy chọn có liên quan đến Sender
Reputation, Recipient Filtering và Content Filtering. Đa số các spam được
gửi qua một máy chủ được nhiều người biết đến, vì vậy việc khóa mail dựa
trên danh tiếng người gửi (sender reputation) là một phương pháp hết sức
hữu dụng giúp bạn có thể giảm tới 95% lượng thư spam. Recipient filtering
cũng là một phương pháp khá hiệu quả, vì các spammer thường gửi đi một
số lượng lớn mail đến các địa chỉ không tồn tại trong tổ chức bạn. Cuối
cùng, tính năng lọc nội dung (content filtering) cho phép phân tích một cách
tinh vi các thư với giá trị SCL được đưa vào sử dụng nhằm xác định xem
liệu thư đó có phải là spam, đây là một phương pháp cực kỳ hữu dụng khi
máy chủ gửi là một máy tính desktop đã bị chiếm quyền điều khiển và trở
thành một phần của botnet. Trong phần tiếp theo của loạt bài này, chúng tôi
sẽ giới thiệu cho các bạn về các tùy chọn lọc nội dung và virus.