В новом (пока еще :)) Exchange 2013 администрирование функциями анти спама целиком и полностью, как и грозились, перешло на Powershell. Но это может расстроить только тех администраторов, которые не читают библиотеку технет, и раздел , посвященный борьбе с нежелательной почтой в Exchange  2013. Те администраторы, которые и ранее изучали соответствующие статьи, найдут для себя мало нового, а все их домашние заготовки будут работать точно так же. Итак, представим, что мы только что развернули сервер,  и еще не успели настроить защиту. Приступим, открыв консоль EMS.

& $env:ExchangeInstallPath\Scripts\Install-AntiSpamAgents.ps1

# установим встроенные анти спам агенты и обязательно перезапустим службу транспорта, чтобы они заработали

Restart-Service MSExchangeTransport

#Добавляем два-три провайдера черных списков адресов
Add-IPBlockListProvider -name bl.spamcop.net -lookupdomain bl.spamcop.net
Add-IPBlockListProvider -name zen.spamhaus.org -lookupdomain zen.spamhaus.org

Add-IPBlockListProvider -Name dnsbl.sorbs.net -LookupDomain dnsbl.sorbs.net
Add-IPBlockListProvider -Name cbl.abuseat.org -LookupDomain cbl.abuseat.org
Add-IPBlockListProvider -Name spam.dnsbl.sorbs.net -LookupDomain spam.dnsbl.sorbs.net
Add-IPBlockListProvider -Name spam.rbl.msrbl.net -LookupDomain spam.rbl.msrbl.net
Add-IPBlockListProvider -Name bl.spamcannibal.org -LookupDomain bl.spamcannibal.org
Add-IPBlockListProvider -Name psbl.surriel.com -LookupDomain psbl.surriel.com

#Настроим агентов: добавим действие для поддельных доменов, добавим ящик для карантинных писем
Set-SenderIDConfig -SpoofedDomainAction Delete
Set-SenderReputationConfig -SenderBlockingEnabled $true -SrlBlockThreshold 6 -SenderBlockingPeriod 36
Set-SenderFilterConfig -BlankSenderBlockingEnabled $true
Set-ContentFilterConfig -SCLQuarantineThreshold 6
Set-ContentFilterConfig -SCLDeleteEnabled $true
Set-ContentFilterConfig -SCLQuarantineEnabled $true -QuarantineMailbox
administrator@domain.ru
Set-ContentFilterConfig -SCLRejectEnabled $false

#Добавляем два-три провайдера белых списков адресов

Add-IPAllowListProvider -name swl.spamhaus.org -lookupdomain swl.spamhaus.org
Add-IPAllowListProvider -name iadb.isipp.com -lookupdomain iadb.isipp.com
Add-IPAllowListProvider -name query.bondedsender.org -lookupdomain query.bondedsender.org
Add-IPAllowListProvider -name hul.habeas.com -lookupdomain hul.habeas.com

#Обязательно добавим в кавычках адреса наших внутренних серверов, пересылающих почту

Set-TransportConfig -InternalSMTPServers @{Add='10.20.0.1','10.20.1.1'…}

На что хотелось бы обратить внимание начинающих борцов со спамом:

1) Не нужно злоупотреблять RBL. Каждое письмо, встающее в SMTP сессию на ваш сервер из враждебного  мира БУДЕТ проверяться по всем спискам, которые Вы настроите. Список может работать не быстро, по этому нужно иметь ввиду и дополнительную нагрузку на сервер и, разумеется на некоторую задержку, связанную с такой проверкой. Поэтому обычно трех серверов будет более чем достаточно. В приведенных примерах можно выбрать любой понравившийся сервер.

2) Крайне тонкий политический момент: что делать с поддельными письмами. Первое: их лучше не отклонять, поскольку получив»отбойник»спамеры поймут, что за Exchange сервером сидят «живые» люди, и усилят свои нехорошие действия. Что намного более важно, так это поведение по умолчанию в настройках. Это StampStatus. Итак, мы договорились, что не будем отбивать почту, и осталось два действия на выбор: удалять или штамповать. Крайне важно здесь обсудить поведение и политику организации на уровне высшего руководства, дабы занести этот факта в протокол. Я крайне рекомендую штамповать получаемые сообщения, дабы не потерялось ОЧЕНЬВАЖНОЕПИСЬМОНАОЧЕНЬМНОГОМИЛЛИОНОВДОЛЛАРОВТЫШТОНЕПОНЯЛ для компании. Если Вы готовы принимать все письма, даже вражеские, чтобы потом решать, что с ними делать- хорошо. Это правильное поведение, но оно безусловно повысит нагрузку и на сервера, и на администраторов, и на пользователей. Если Вы не готовы забирать подозрительные письма- можете их удалять, поскольку отклонение таких писем особой пользы не даст. Если Вам кажется, что Вас завалило нежелательной почтой- то можно закрутить настройку пожёстче, выбрав -SpoofedDomainAction Delete

Вряд ли кто-то из партнеров фирмы будет яростно подделывать свои письма. Или чужие письма.

P.S. Ну и если что, статья разумеется полностью совместима с Exchange 2010 :)

Справочные материалы:

Anti-spam and anti-malware cmdlets

https://technet.microsoft.com/ru-ru/library/aa998859(v=exchg.150).aspx