Exchange Intelligent Message Filter (IMF) v2 er inkludert i Exchange 2003 Service Pack 2 og er et ledd i Microsofts AntiSpam-initiativ. Her gjennomgår vi hvordan du kan tolke en feilmelding fra denne løsningen i eventloggen og få konkret informasjon om hva som er galt.
Kort fortalt inneholder IMF en algoritme utviklet av Microsoft Research kalt SmartScreen som skanner alle meldinger som kommer inn via SMTP til en Exchange server og forsøker å avgjøre om de skal betraktes som useriøs e-post (spam) eller ikke. Konklusjonen representeres som en SCL (Spam Confidence Level) verdi fra 0 til 9, hvor 0 ikke er spam og 9 er det.
Disse verdiene kan senere benyttes til å filtrere eller styre meldinger i ulike deler av Exchange systemet.
Hvordan finne feilkoden
En feilmelding jeg ofte ser og får spørsmål om i forbindelse med IMF er denne her, som dukker opp i Applikasjonsloggen med jevne mellomrom på alle maskiner som kjører IMF v2:
Type: Error
Event: 7515
Date Time: 14.03.2006 14:47:53
Source: MSExchangeTransport
ComputerName:
Category: SMTP Protocol
User: N/A
Description: An error occurred while Microsoft Exchange Intelligent Message Filter attempted to filter a message with ID
I denne meldingen kan vi se navnet på Exchange-serveren, meldings IDen som Exchange har gitt til meldingen og avsenderens SMTP-adresse. Til slutt ser vi også feilkoden, og det er denne som er interessant: 0x800710f0.
Hvordan tolke feilkoden
Feilkodene i Windows er bygd opp på en slik måte at de siste fire byte representerer den faktiske feilen som har oppstått. Hvis vi da tar de siste fire byte av denne hexadesimale feilkoden (10f0) og konverterer den til desimal (4336) ved hjelp av den vitenskapelige kalkulatoren i Windows (calc.exe) kan vi finne ut hva meldingen egentlig sier.
Vi sjekker dette med følgende kommando kjørt fra kommandolinjen:
net helpmsg 4336
Vi får da følgende svar:
The message provided exceeds the maximum size allowed for this parameter.
Med andre ord omhandler feilmeldingen i applikasjonsloggen en melding som er større enn det IMF kan håndtere på det nåværende tidspunktet. Grensen er faktisk 3 MB, men det er ennå ikke dokumenter noe sted. Denne meldingen vil ikke bli skannet, men heller levert direkte til mottageren.
Så vidt meg bekjent finnes det heller ingen måte å øke eller minske denne grensen eller overstyre den helt. Kanskje vi ser dette i Exchange 12. Nå vet dere i alle fall hva feilmeldingen betyr, selv om det ikke lar seg gjøre noe med ennå.
Mer om IMF
For de som ikke kjører IMF vil jeg anbefale å implementere den umiddelbart. Den er helt i toppsjiktet når det gjelder nøyaktighet for sjekk av spam og koster i tillegg ingenting.
Les hvordan du setter opp Intelligent Message Filter version 2 (IMF v2).