Luchando contra el Spam ~ IMF en Exchange 2003 SP2
1.-Desde el visor de sucesos, en el log de aplicación si filtramos los eventos por "MSExchangeTransport" y "SMTP Protocol" veremos todos los eventos relacionados con el mismo. En función de como tengamos establecidos el "logging" en el exchange aparecerán unos u otros. Si el nivel de registro está a ninguno pues recibiremos mensajes como 7515(ID) que indica que un mensaje no ha podido ser filtrado, pero no mensajes 7512(ID) que nos alertan de un filtrado rechazado (esto requiere nivel medio o máximo). Debemos tener cuidado con las decisiones que tomamos sobre el logging y solo monitorizar lo que realmente nos interesa. Evidentemente podemos tratar estos logs con logparser y sacar gráficas de comportamiento...
2.-Desde el monitor de rendimiento también podemos monitorizarlo, para ello agregamos el objeto "MSExchange Intelligent Message Filter" o "Filtro inteligente de mensajes de MSExchange" y podremos ver estadísticas sobre nuesto IMF
1. Cambiar el directorio de almacenamiento Por defecto se guardan en "Archivos de programa\exchsrvr\mailroot\vsi 1\UceArchive" si queremos cambiarlo, añadimos un nuevo string value en la key antes indicada con nombre ArchiveDir y editamos la cadena con el directorio deseado. 2. Guardar en el mensaje el SCL asignado por exchange (por defecto no lo salva) En este caso creamos un valor DWORD en la key antes indicada con nombre ArchiveSCL y lo establecemos a 1 (para desactivarlo lo ponemos a 0), si no hay entrada el mensaje se trata igual pero no lleva el scl. Vemos un email blokeado a nuestro almacen con el scl incrustado. Hay herramientas que simplifican la revisión de estos ficheros .eml como Intelligent Message Filter Archive Manager http://www.gotdotnet.com/Community/Workspaces/workspace.aspx?id=e8728572-3a4e-425a-9b26-a3fda0d06fee Se puede modificar la configuración del outlook para que el usuario pueda ver esta puntuación en el artículo http://msexchangeteam.com/archive/2004/05/26/142607.aspx o incluso desde owa http://msexchangeteam.com/archive/2004/05/27/143297.aspx 3. Filtrando mensajes de usuarios autenticados (que por defecto no se hace) Si queremos forzar el chequeo imf de mensajes autenticados, creamos en la key antes indicada un valor DWORD "CheckAuthSessions" y le establecemos el valor a 1 4. Se pueden excluir usuarios del filtrado Para esto debemos incorporar un parche http://support.microsoft.com/kb/912587/en-us que debe ser solicitado a microsoft http://support.microsoft.com/gp/telefono 5. Podemos modificar el "peso" de determinadas valoraciones en nuestro correo Para ello la versión 2 de MF incluye un complemento llamado Custom Weighting Feature (CWF). Con ello podemos hacer filtrados sobre el asunto y el cuerpo del mensaje. Este complemento está en la carpeta bin\MSCFV2 que podemos encontrar dentro del directorio de instalación de exchange. para comenzar a utilizarla debemos registrar la dll El fichero de configuración es un archivo xml llamado "MSExchange.UceContentFilter.xml", este fichero es del estilo siguiente Es importante que al crear el archivo lo hagamos en formato unicode (en el notepad si le damos a guardar como tenemos esta opción) en caso de no hacerlo IMF no arrancará. http://support.microsoft.com/kb/907974. Lo que podemos indicar es subir o bajar puntuaciones según un texto en el asunto, cuerpo o en ambos. En el campo Type pondremos "BODY", "SUBJECT" o "BOTH"; en Change podemos sumarle puntuación al SCL calculado por imf, se la podemos restar indicandole los puntos con signo menos. Si ponemos MIN o MAX automáticamente el acl pasa a valer 0 ó 9 independientemente de la valoración. Hay que tener en cuenta que un emali puede recibir varias correcciones (subir y bajar puntos) y en el caso que un email tenga MIN y MAX asignados la puntuación final será 0. En el campo Text incluimos las cadenas, en unicode y con un máximo de 1000 caracteres, que queremos verificar.
Autor: Tomás Rey