Funzionalità di protezione da posta indesiderata e antivirus

  • Articolo

 

Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Ultima modifica dell'argomento: 2007-08-07

Gli spammer, ovvero mittenti non autorizzati, ricorrono a diverse tecniche per inviare posta indesiderata all'organizzazione. Non esiste un singolo strumento o processo in grado di eliminare tutta la posta indesiderata. Microsoft Exchange Server 2007 si basa su Exchange Server 2003 per offrire un approccio stratificato e diversificato che consenta di ridurre la quantità di posta indesiderata e di virus. Exchange 2007 comprende diverse funzioni antivirus e di protezione da posta indesiderata, ideate per agire cumulativamente in modo da ridurre la quantità di posta indesiderata che entra nell'organizzazione. Exchange 2007 comprende anche un'infrastruttura migliorata per le applicazioni antivirus.

È possibile ridurre il numero degli attacchi virus da parte di software dannosi, denominati anche malware, nell'organizzazione riducendo la quantità globale di posta indesiderata che accede all'organizzazione. Eliminando la maggior parte della posta indesiderata nel computer in cui è installato il ruolo del server Trasporto Edge, vengono risparmiate molte risorse di elaborazione, larghezza di banda e archiviazione quando nei messaggi vengono ricercati virus e altro malware lungo il percorso del flusso della posta.

L'approccio stratificato alla riduzione della posta indesiderata fa riferimento alla configurazione di diverse funzionalità antivirus e di protezione da posta indesiderata che consentono di filtrare i messaggi in ingresso in un ordine specifico. Ciascuna funzionalità consente di filtrare caratteristiche specifiche o un set di caratteristiche correlate nel messaggio in ingresso.

Nelle sezioni seguenti vengono fornite brevi descrizioni di ciascuna funzione antivirus e di protezione da posta indesiderata.

Filtri antivirus e per la posta indesiderata

Il filtri antivirus e per la posta indesiderata vengono applicati nell'ordine indicato di seguito. Per ulteriori informazioni, vedere Concetti relativi al flusso di posta per la protezione da posta indesiderata e antivirus.

  • Filtro connessioni    Il filtro connessioni si basa sull'indirizzo IP del server remoto che sta tentando di inviare messaggi per determinare l'eventuale azione da intraprendere per un messaggio in ingresso. L'indirizzo IP remoto è disponibile all'agente filtro connessioni come prodotto secondario della connessione TCP/IP sottostante necessaria per la sessione SMTP. Il filtro connessioni utilizza diversi elenchi di indirizzi IP bloccati e consentiti, nonché servizi Provider indirizzi IP bloccati o Provider indirizzi IP consentiti per determinare se la connessione da un IP specifico deve essere bloccata o meno nell'organizzazione.

  • Filtro mittente   Il filtro mittente confronta il mittente presente nel comando MAIL FROM: SMTP con un elenco definito dall'amministratore di mittenti a cui è vietato inviare messaggi all'organizzazione per determinare l'eventuale azione da intraprendere su un messaggio in ingresso.

  • Filtro destinatario   Il filtro destinatario confronta i destinatari del messaggio presenti nel comando RCPT TO: SMTP con un elenco di destinatari bloccati definito dall'amministratore. Se viene rilevata una corrispondenza, il messaggio non può accedere all'organizzazione. Il filtro destinatario confronta i destinatari dei messaggi in ingresso anche con una directory dei destinatari locale per stabilire se il messaggio è indirizzato a destinatari validi. Se un messaggio non è indirizzato a destinatari validi, può essere rifiutato in corrispondenza del perimetro della rete dell'organizzazione.

  • ID mittente   L'ID mittente si basa sull'indirizzo IP del server di invio e il Purported Responsible Address (PRA) del mittente per determinare se quest'ultimo è contraffatto o meno. Il PRA viene calcolato in base alle seguenti intestazioni del messaggio:

    • Resent-Sender:

    • Resent-From:

    • Sender:

    • From:

    Per ulteriori informazioni sul PRA, vedere ID mittente e RFC 4407.

  • Filtro contenuto   Il filtro contenuto utilizza la tecnologia Microsoft SmartScreen per la valutazione dei contenuti di un messaggio. Filtro messaggi intelligente è la tecnologia su cui si basa il filtro contenuto di Exchange. Il Filtro messaggi intelligente è basato sulla tecnologia brevettata di apprendimento elettronico di Microsoft Research, grazie alla quale sono state messe a punto tecniche per distinguere le caratteristiche dei messaggi di posta elettronica legittimi da quelle della posta indesiderata. Effettuando regolarmente l'aggiornamento con l'apposito servizio Microsoft per la posta indesiderata è possibile assicurarsi che vengano sempre incluse le informazioni più aggiornate durante l'esecuzione del Filtro messaggi intelligente. In base alle caratteristiche di milioni di messaggi, il Filtro messaggi intelligente è in grado di riconoscere le caratteristiche identificative di messaggi legittimi e posta indesiderata. Il Filtro messaggi intelligente è in grado di effettuare una valutazione accurata della probabilità che un messaggio di posta elettronica in ingresso sia legittimo o indesiderato.

    La quarantena della posta indesiderata è una funzione dell'agente filtro contenuto che riduce il rischio di perdita di messaggi legittimi erroneamente classificati come posta indesiderata. Questa funzione fornisce una posizione di archiviazione temporanea per i messaggi identificati come posta indesiderata che non devono essere consegnati alla cassetta postale di un utente all'interno dell'organizzazione.

    Inoltre, il filtro contenuto agisce sulla funzionalità di aggregazione dell'elenco indirizzi attendibili. L'aggregazione degli elenchi di indirizzi attendibili consente di raccogliere dati dagli elenchi di questo tipo configurati dagli utenti di Microsoft Outlook e Office Outlook Web Access e rende queste informazioni disponibili per l'agente filtro contenuto nel computer in cui è installato il ruolo del server Trasporto Edge in Exchange 2007.

    Quando un amministratore di Exchange abilita e configura correttamente l'aggregazione degli elenchi indirizzi attendibili, l'agente filtro contenuto trasmette i messaggi di posta sicuri alla cassetta postale dell'azienda senza ulteriori elaborazioni. I messaggi di posta che gli utenti di Outlook ricevono dai contatti o dagli utenti che hanno aggiunto ai propri elenchi Mittenti attendibili di Outlook o che ritengono attendibili vengono identificati dall'agente filtro contenuto come sicuri. Ne risulta che i messaggi identificati come sicuri non vengono classificati come posta indesiderata e erroneamente filtrati dal sistema di messaggistica.

  • Reputazione mittente   Reputazione mittente si basa sui dati permanenti relativi all'indirizzo IP del server di invio per determinare l'eventuale azione da intraprendere su un messaggio in ingresso. L'agente di analisi protocollo implementa la funzionalità di reputazione dei mittenti. Il livello di reputazione mittente (SRL, Sender Reputation Level) viene calcolato da diverse caratteristiche del mittente derivate dall'analisi del messaggio e da verifiche esterne.

    I mittenti il cui SRL supera una soglia configurabile vengono temporaneamente bloccati Tutte le connessioni future provenienti da questi mittenti vengono rifiutate fino a un massimo di 48 ore.

    Oltre alla reputazione degli IP calcolata in locale, Exchange 2007 si avvale anche degli aggiornamenti della reputazione degli IP per la posta indesiderata, disponibili tramite Microsoft Update, che forniscono informazioni sulla reputazione dei mittenti basandosi sugli indirizzi IP noti come mittenti di posta indesiderata.

  • Applicazione del filtro agli allegati   Il filtro degli allegati funziona sui messaggi basandosi sul nome del file allegato, l'estensione del file o il tipo di contenuto MIME del file. È possibile configurare il filtro degli allegati per bloccare il messaggio e l'allegato, rimuovere l'allegato e consentire la trasmissione del messaggio oppure eliminare automaticamente il messaggio e l'allegato.

  • Microsoft Forefront Security for Exchange Server   Forefront Security for Exchange Server è un pacchetto di software antivirus strettamente integrato con Exchange 2007 che offre la protezione antivirus per l'ambiente di Exchange. La protezione antivirus fornita da Forefront Security for Exchange Server è indipendente dalla lingua. Tuttavia, installazione, amministrazione del prodotto e notifiche per utenti remoti sono disponibili in 11 lingue diverse. Per ulteriori informazioni, vedere Protezione dell'organizzazione di Microsoft Exchange con Microsoft Forefront Security per Exchange Server (informazioni in lingua inglese).

  • Filtro posta indesiderata di Outlook   Il Filtro posta indesiderata di Outlook utilizza una tecnologia avanzata per valutare se un messaggio deve essere considerato come messaggio di posta indesiderata in base a diversi fattori come, ad esempio, l'ora di invio, il contenuto e la struttura del messaggio e i metadati raccolti dai filtri di Exchange Server per la posta indesiderata. I messaggi rilevati dal filtro vengono spostati in una cartella speciale di posta indesiderata che permette al destinatario di accedere ai messaggi in un secondo momento.

Indicatori protezione posta indesiderata

Gli indicatori di protezione da posta indesiderata permettono di effettuare facilmente una diagnosi dei problemi correlati alla posta indesiderata grazie all'applicazione di metadati diagnostici o "indicatori", come le informazioni specifiche sul mittente e i risultati delle soluzioni dei problemi e di filtro contenuto, ai messaggi quando passano attraverso le funzioni di protezione da posta indesiderata che filtrano i messaggi in ingresso da Internet. Tali indicatori sono visibili per il client di posta elettronica dell'utente finale e codificano le informazioni specifiche per il mittente, la versione del file delle definizioni per il filtro protezione da posta indesiderata, i risultati delle soluzioni dei problemi di Outlook e quelli del filtro contenuti.

Microsoft Update per i servizi di protezione da posta indesiderata

Exchange 2007 offre servizi aggiuntivi che permettono di aggiornare facilmente i componenti di protezione da posta indesiderata, sfruttando l'infrastruttura consolidata di Microsoft.

Aggiornamenti standard del filtro della posta indesiderata di Microsoft Exchange 2007 offre aggiornamenti per la protezione da posta indesiderata ogni due settimane tramite Microsoft Update.

Il servizio di aggiornamento per la protezione da posta indesiderata di Forefront Security per Exchange Server è un servizio con funzionalità avanzate che consente di aggiornare ogni giorno il filtro contenuto tramite Microsoft Update. Questo servizio professionale comprende inoltre gli aggiornamenti delle firme di posta indesiderata e del servizio reputazione IP, che vengono forniti in base alle necessità, perfino più volte al giorno. Gli aggiornamenti delle firme di posta indesiderata identificano le campagne di posta indesiderata più recenti. Gli aggiornamenti del servizio reputazione IP forniscono informazioni sulla reputazione dei mittenti relative agli indirizzi IP noti come indirizzi che inviano posta indesiderata.

Nota

Per utilizzare questo servizio con funzionalità avanzate, è necessario disporre della licenza CAL (Client Access License) aziendale di Exchange.

Utilizzo dei connettori di ricezione IPv6

Se Exchange Server 2007 Service Pack 1 (SP1) viene distribuito in un computer che esegue Windows Server 2008, è possibile immettere gli indirizzi IP e gli intervalli di indirizzi IP nel formato IPv4 (protocollo Internet versione 4), nel formato IPv6 (protocollo Internet versione 6), o in entrambi i formati. L'installazione predefinita di Windows Server 2008 abilita il supporto per i formati IPv4 e IPv6.

È sconsigliabile configurare i connettori di ricezione affinché accettino connessioni anonime da indirizzi IPv6 sconosciuti. Se l'organizzazione ha la necessità di ricevere posta da mittenti che utilizzano indirizzi IPv6, creare un connettore di ricezione dedicato che limiti gli indirizzi IP remoti consentiti agli indirizzi IPv6 di questi mittenti.

Se si configura un connettore di ricezione affinché accetti connessioni anonime da indirizzi IPv6 sconosciuti, è probabile che la quantità di posta indesiderata ricevuta dall'organizzazione aumenti. Attualmente non esiste un protocollo standard di settore ampiamente accettato per la ricerca degli indirizzi IPv6. La maggior parte dei provider di elenchi Blocca indirizzi IP non supporta gli indirizzi IPv6. Pertanto, se si consentono connessioni anonime da indirizzi IPv6 sconosciuti su un connettore di ricezione, aumenta la possibilità che gli spammer ignorino i provider di elenchi Blocca indirizzi IP, riuscendo a inviare la posta indesiderata nell'organizzazione.

Utilizzo di Exchange Hosted Services

Il filtro della posta indesiderata è potenziato o disponibile anche come servizio da Microsoft Exchange Hosted Services. Exchange Hosted Services è un insieme di quattro servizi in hosting distinti:

  • Hosted Filtering, che permette alle organizzazioni di proteggersi facilmente dal malware basato sulla posta elettronica, inclusi virus e posta indesiderata

  • Hosted Archive, che permette di soddisfare i requisiti di mantenimento per la conformità

  • Hosted Encryption, che consente di crittografare facilmente i dati per mantenerne la riservatezza

  • Hosted Continuity, che permette di mantenere facilmente l'accesso alla posta elettronica durante e dopo le situazioni di emergenza

Tali servizi possono essere integrati con qualsiasi server di Exchange della struttura aziendale che sia gestito internamente o servizio di posta elettronica di Hosted Exchange offerto tramite provider di servizi. Per ulteriori informazioni su Exchange Hosted Services, vedere Microsoft Exchange Hosted Services (informazioni in lingua inglese).

Ulteriori informazioni

Per ulteriori informazioni sulle funzioni antivirus e di protezione da posta indesiderata, vedere i seguenti argomenti: