✉️ Защита от спама
Включение проверки существования пользователя в AD
Можно установить антиспам агенты полностью с помощью скрипта Install-AntiSpamAgents.ps1, но они установятся только для Hub коннектора. Если посмотреть содержимое скрипта, то там -TransportService HUB
Для FrontEnd можно установить агенты отдельно, используя -TransportService FrontEnd
1.Установка антиспам агентов
& $env:ExchangeInstallPath\Scripts\Install-AntiSpamAgents.ps1
2. Включение Recipient агента
Get-ReceiveConnector | fl name,bindings Get-RecipientFilterConfig | FL Enabled,RecipientValidationEnabled Get-AcceptedDomain | Format-List Name,AddressBookEnabled Set-RecipientFilterConfig -RecipientValidationEnabled $true Restart-Service MSExchangeTransport
С какого-то сервиспака по умолчанию работает только на HubTransport, но не на FrontEndTransport
Set-RecipientFilterConfig -BlockListEnabled $true -BlockedRecipients batman@exchlab.ru
Запрет отправки от accepted домена
После какого-то CU работает только на Hub, а не на FrontEnd
(Get-ReceiveConnector)[0] | Get-ADPermission -user "NT AUTHORITY\Anonymous Logon" | where {$_.ExtendedRights -like "ms-exch-smtp-accept-authoritative-domain-sender"} | Remove-ADPermission
После ввода . выйдет предупреждение
550 5.7.60 SMTP; Client does not have permissions to send as this sender
Установка антиспам агента Connection Filtering Agent
"Connection Filtering Agent" по умолчанию не устанавливается
1. Необходимо создать выделенный Receive connector для приёма почты из Интернет.
В существующем FrontEnd коннекторе по умолчанию необходимо указать "не используемый" порт, например 251.
get-ReceiveConnector | ?{$_.bindings.port -eq 25}| Set-ReceiveConnector -Bindings 0.0.0.0:251 # или вручную Get-ReceiveConnector "Default FrontEnd Mail" | Set-ReceiveConnector -Bindings 0.0.0.0:251
Создаем новый коннектор FromInternet
New-ReceiveConnector -name "FromInternet" -Bindings 0.0.0.0:555 -AuthMechanism BasicAuth -RemoteIPRanges 0.0.0.0-255.255.255.255 -ProtocolLoggingLevel Verbose -Banner "220 mail.e2019.ru fromInternet"
2. Устанавливаем "Connection Filtering Agent"
Install-TransportAgent -Name "Connection Filtering Agent" -TransportService Hub -TransportAgentFactory "Microsoft.Exchange.Transport.Agent.ConnectionFiltering.ConnectionFilteringAgentFactory" -AssemblyPath "C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\agents\Hygiene\Microsoft.Exchange.Transport.Agent.Hygiene.dll" Enable-TransportAgent "Connection Filtering Agent" -TransportService Hub restart-service MSExchangeFrontEndTransport
Чтобы посмотреть агента, нужно указывать конкретно для Hub или для FrontEnd По умолчанию показывает только для Hub.
Get-TransportAgent -TransportService FrontEnd | fl *
Командлеты для работы с IP адресами
get-ipBlockListEntry Add-IPBlockListEntry -IPAddress "10.10.10.10." -Comment (Get-Date) -ExpirationTime (Get-Date).AddDays(10) remove-ipBlockListEntry 27 #удалить запись номер 27
Логи Connection Filter
Логи находятся по пути C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\Hub\AgentLog
Командлет для работы
get-AgentLog -startDate "12/18/2025" | select Timestamp,IPAddress,P1FromAddress,Recipients,Action,Reason,SmtpResponse | ogv