V tomto návodu si ukážeme, jak použít pravidla toku pošty (mail flow) pro práci se zprávami na úrovni celé organizace. Jako konkrétní příklad si vytvoříme filtr na spam posílaný společností Detexto (aaaHome, Habu, zkonkurzu, odvyrobce...). Tato společnost mnoho let bez možnosti odhlášení se masivně spamuje osobní i firemní mailové schránky (viz webtrh, heuréka, endora) a používá k tomu možná stovky různých domén, je proto složité spamy filtrovat pomocí jednoduchých filtrů. Jejich e-maily jsou zároveň vcelku dobře nastavené, takže projdou naprostou většinou antispamových filtrů.
Update: Nově začal spam této společnosti (jednatel Aleš Bialonczyk) chodit i přes datové schránky.
Nejprve je nutné udělat podrobnější průzkum spamů a pokusit se najít v nich něco společného. Texty e-mailů se liší, odesílatelé se liší, adresy webů uváděné v mailech se také liší.
Pokud prozkoumáme hlavičky e-mailu, tak získáme více informací o tom, jak jsou maily reálně posílané. Dozvíme se z nich, že odesílatel pro rozesílku využívá službu Amazon SES, do které zprávy posílá z nástroje Sendy. Určitě není moudré zablokovat celý SES, nebo nástroj Sendy, protože je mnoho služeb používá k seriózním účelům.
V hlavičkách si můžeme všimnout také interního odkazu na odhlášení z newsletteru, který v textu mailu chybí. Nečekal bych, že odhlášení pomocí odkazu bude mít nějaký větší smysl a předpokládám, že se vaše emailová adresa velmi brzo na nějaký z jejich seznamů opět dostane. Odkaz na odhlášení nám však prozrazuje samotnou adresu Sendy instance a lze předpokládat, že zatímco domén pro odesílání budou využívat prakticky neomezené množství, tak samotných instancí Sendy bude jen omezené množství (už jen proto, že pro každou je potřeba koupit licenci).
Analýzou několika tisíc dalších spamů se tato domněnka potvrdila a ukázalo se, že v posledních měsících byly použity opravdu pouze jednotky Sendy instancí - nejčastěji na adrese zivot-neni-pohadka.cz a rig24.eu. Můžeme proto připravit poměrně účinný a udržovatelný filtr na adresu v hlavičce List-Unsubscribe.
Pro nastavení filtrů pro celou organizaci musíme navštívit Centrum pro správu Exchange a sekci "Tok pošty".
Zde pomocí + přidáme nové pravidlo.
Aby bylo možné filtrovat podle hlaviček, je třeba si povolit "Další možnosti".
Vybereme si pravidlo "Záhlaví zprávy obsahuje kterékoliv z těchto slov" a jako záhlaví nastavíme "List-Unsubscribe" a slova budou následující:
Pokud v budoucnu začnou chodit spamy z jiné instance, tak ji zde stačí jednoduše přidat.
Jako akci filtru nastavíme "Upravit vlastnosti zprávy" a "nastavit pravděpodobnost spamu", nebo můžeme zprávu rovnou přesunout do složky spam, případně hned zahodit. Číslo 9 značí nejvyšší pravděpodobnost, že je zpráva spam.
Celý filtr pak bude vypadat následovně:
Uložením filtr aktivujeme a problém s tímto typem spamu by tak měl být vyřešen pro celou naši organizaci.
Stejný filtr můžeme samozřejmě nastavit i pomocí PowerShellu.
Pokud zatím PowerShell ke správě Office 365 nepoužíváte, ukážeme si, jak PowerShell nastavit a nainstalovat potřebné komponenty.
Jako první je třeba spustit PowerShell jako administrátor a nainstalovat externí modul ExchangeOnlineManagement:
Install-Module -Name ExchangeOnlineManagement
Pokud vám chybí některé potřebné moduly, tak bude vyzvání k potvrzení jejich instalace a dále k potvrzení, že důvěřuejete externímu zdroji, ze kterého se modul instaluje. Pokud instalace proběhne správně, můžete administrátorský powershell vypnout a otevřít ho jako běžný uživatel.
Pro přihlášení stačí nově zadat jen následující příkaz:
Connect-ExchangeOnline
Vyskočí dialogové okno k zadání vašich údajů k přihlášení do Office 365. Po přihlášení se načtou data z Office 365 a můžete začít pracovat.
Pro vytvoření výše uvedeného filtru stačí zadat následující příkaz:
New-TransportRule -Name "DETEXTO SPAM" -HeaderContainsMessageHeader List-Unsubscribe -HeaderContainsWords zivot-neni-pohadka.cz, postanula.cz, rig24.eu, novelisty.cz, sunfold.cz -SetSCL 9
Nasatavení filtru si můžete přímo z PowerShellu zkontrolovat příkazem:
Get-TransportRule -Identity "DETEXTO SPAM" | Format-List
Přes PowerShell můžete poměrně snadno provádět mnoho operací s Office 365, doporučuji si proto práci s ním alespoň letmo vyzkoušet. Příkazy jsou dobře popsané - všechny možnosti New-TrasportRule naleznete v dokumentaci.
Uvedený princip boje s tímto konkrétním spamem je samozřejmě aplikovatelný pro libovolné mailové řešení, které umožňuje filtrování podle mailových hlaviček.
