Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Higiene de Troca de Mensagens na Microsoft

Cartão de Valor de TI

Publicado em: 28 de dezembro de 2005

Logo do IT Showcase


Este cartão detalha como a TI da Microsoft (Tecnologia da informação da Microsoft) utiliza as tecnologias do Microsoft® Exchange Server 2003, o Microsoft Office Outlook® 2003 e produtos de terceiros para gerenciar grandes quantidades de e-mail indesejado (spam) e software malicioso (malware) - mensagens contaminadas em seu tráfego de e-mails recebidos da Internet. Esta solução reduz a quantidade de spam direcionado para a infra-estrutura corporativa de troca de mensagens, por filtragem na camada de gateway. Em seguida, nas mensagens restantes, a solução remove as ameaças impostas por vírus, worms e seus vetores de distribuição comuns, como anexos de arquivos.

Nesta página

Resumo de Benefícios
Ameças provenientes de Spam e Malware
Tecnologias Empregadas na Higiene de Troca de Mensagens
Práticas Recomendadas
Ambiente Exchange Global da TI da Microsoft

Resumo de Benefícios

A TI da Microsoft utiliza o termo higiene de troca de mensagens para se referir de modo coletivo a todos os seus mecanismos de defesa para combater ameaças eletrônicas. A atual solução de higiene de troca de mensagens que a TI da Microsoft implementou proporciona os seguintes benefícios:

  • Reduz o TCO (custo total de propriedade) ao eliminar servidores de higiene de troca de mensagens (redução aproximada de 50 por cento de servidores)

  • Reduz o TCO ao evitar a necessidade de infra-estrutura adicional para troca de mensagens

  • Fornece opções de filtragem no nível de serviço em multicamadas e no nível do usuário

  • Aumenta a produtividade dos empregados ao reduzir o volume total de entrada de e-mail da Internet em até 85%

Ameças provenientes de Spam e Malware

A prevalência de spam e malware (que inclui vírus, worms, cavalos de Tróia, macros, scripts e controles ActiveX® não autorizados) é uma preocupação crescente para qualquer pessoa que se conecte à Internet ou utilize e-mail. As ameças para as empresas não se limitam mais a mensagens de e-mail — elas incluem outras ameaças relacionadas a e-mail, como ataques de negação de serviço (DoS) na camada de SMTP (Simple Mail Transfer Protocol), mailbombing direcionado (cujo objetivo é interromper um sistema de troca de mensagens por meio de um volume excessivo de e-mail) e directory harvest attacks (tentativas de adquirir grandes volumes de endereços de e-mail válidos). Do roubo de identidade, no nível pessoal, a ataques orquestrados mal-intecionados a organizações, corporações e departamentos de governo, nenhum usuário está livre de ameaças de segurança relacionadas a e-mail atualmente.

O efeito de spam, vírus e ataques de e-mail para os negócios é significativo; ele pode ser devastador para empresas que são pegas despreparadas para lidar com essas ameaças. O spam não é mais apenas um aborrecimento; ele custa caro para as empresas, não só em termos financeiros, como também em termos de tempo de processamento, de uso de banda, de gerenciamento e de consumo de recursos. Da mesma forma, vírus e ataques de e-mail, na melhor das hipóteses, aumentam o tempo de parada e, na pior, impõem uma ameaça para os recursos vitais e a propriedade intelectual de uma empresa.

Estudos recentes da indústria sobre o assunto revelam:

  • O spam afeta aproximadamente 100% das empresas.

  • Até 50% da caixa de correio das empresas de médio porte contêm spam.

  • Menos de 10% das empresas têm tecnologias de filtragem de spam eficazes em funcionamento.

  • O spam é responsável por mais de 82% do volume total de e-mail no mundo.

  • Empregados de 82 empresas da lista Fortune 500 dizem gastar, em média, aproximadamente 15 minutos por dia examinando 29 mensagens de spam.

  • A expectativa era de que o spam custasse para as grandes empresas aproximadamente US$ 2 mil por empregado em perda de produtividade em 2004.

A TI da Microsoft acredita que é essencial empregar, não um, mas muitos mecanismos para criar defesas contra essas ameaças. Esta abordagem inclui uma combinação de softwares da Microsoft, como o Exchange Server 2003 e o Outlook 2003, com produtos de software de terceiros implantados em múltiplas camadas, em todo o ambiente de troca de mensagens — do gateway ao cliente.

Aperfeiçoamentos recentes na arquitetura de sistemas antivírus e antispam permitiram que a TI da Microsoft consolidasse aproximadamente 50% dos servidores necessários para executar essas funções no ambiente. A TI da Microsoft escolheu especificamente aumentar as defesas tanto na camada de gateway de e-mail da Internet quanto na camada do cliente. A TI da Microsoft conseguiu, portanto, reduzir os custos operacionais ao mesmo tempo em que aumentou o nível de proteção contra spam.

No momento em que este artigo era escrito, o volume médio de mensagens enviadas da Internet para os gateways da TI da Microsoft variava entre 8 milhões e 10 milhões por dia. A abordagem em múltiplas camadas para a filtragem de e-mail resulta em vários mecanismos que processam e-mails recebidos. Cada um desses mecanismos subseqüentemente reduz a quantidade de e-mails com permissão de passagem. A figura 1 ilustra a eficácia das camadas de filtragem de e-mail na TI da Microsoft quando da elaboração deste artigo.

Figura 1

Figura 1. Processo de filtragem de spam usado pela TI da Microsoft

Os números a seguir são baseados em volumes médios diários:

  • A filtragem de conexões bloqueia aproximadamente 25% de todas as conexões SMTP recebidas. Essas conexões provêm de fontes de spam conhecidas que fazem parte de listas de bloqueio em tempo real de terceiros.

  • A filtragem de remetentes e destinatários exclui 59% das mensagens recebidas após a filtragem de conexões.

  • O Filtro de Mensagens Inteligente exclui 38% das mensagens remanescentes após a filtragem de remetentes e destinatários.

Depois de passar pelas camadas de filtragem anteriores, os e-mails remanescentes passam pela varredura de vírus. O e-mail que passa por essa etapa é distribuído aos servidores de caixa de correio, onde os usuários podem acessá-lo. Clientes de e-mail também executam softwares de filtragem que reduzem ainda mais a quantidade de spam que alcança os usuários. Em média, apenas cerca de 15% do volume diário total de e-mails recebidos da Internet são mantidos após a ação de todos os filtros.

Para obter informações mais detalhadas sobre os temas abordados neste IT Value Card, consulte o IT Showcase white paper Messaging Hygiene at Microsoft no endereço http://www.microsoft.com/technet/itsolutions/msit/security/messaginghygienewp.mspx (em inglês).

Tecnologias Empregadas na Higiene de Troca de Mensagens

No momento, a TI da Microsoft atingiu seus objetivos relacionados à higiene de troca de mensagens com sua infra-estrutura atual para e-mail da Internet e para varredura de e-mail. Ao escolher o Exchange Server 2003 como a plataforma das funções antivírus da camada de gateway, a TI da Microsoft conseguiu reduzir imediatamente seu TCO, eliminando um conjunto de servidores dedicados à varredura de vírus. A plataforma Exchange Server 2003 permitiu que a TI da Microsoft escolhesse uma solução antivírus de terceiros que segue uma abordagem integrada e usa a pilha SMTP nativa do Exchange. Essa solução também permitiu a integração de certas funcionalidades do Exchange Server 2003, como o SCL (nível de confiança do spam).

Além da telcnologia interna de Filtro de Lixo Eletrônico, um usuário do Outlook 2003 pode criar uma Lista de Remetentes Confiáveis e uma Lista de Remetentes Bloqueados exclusivas para sua caixa de correio. A Lista de Remetentes Confiáveis contém nomes de domínio e endereços de e-mail confiáveis dos quais o usuário sempre quer receber mensagens. Inversamente, a Lista de Remetentes Bloqueados contém nomes de domínio e endereços dos quais o usuário nunca quer receber mensagens.

Para oferecer proteção contra desastres ambientais e na camada da rede, a TI da Microsoft distribui a infra-estrutura de gateway da Internet e de higiene de troca de mensagens por vários centros de dados. Essa distribuição impede um único ponto de falha e estabelece vários caminhos físicos e lógicos pelos quais o e-mail da Internet pode ser direcionado e examinado.

A TI da Microsoft usa as seguintes tecnologias em sua solução de higiene de troca de mensagens. O fornecedor da tecnologia é mencionado em cada caso.

Filtragem de Conexões (Servidor Exchange e de terceiros)

A filtragem de conexões compara o endereço IP do servidor que tenta a conexão com uma lista de endereços IP negados (também conhecida como lista de bloqueio em tempo real). A comparação de endereços IP ocorre imediatamente quando a sessão SMTP é iniciada, permitindo que uma organização bloqueie conexões com seus gateways nos primeiros estágios do envio da mensagem. Antes que um servidor da lista de bloqueio em tempo real possa enviar mensagens, a conexão é cancelada. Essa abordagem possibilita economias de desempenho tanto nas camadas de troca de mensagens como nas camadas de rede.

Filtragem de Remetente (Exchange)

A filtragem de remetente examina o endereço do Remetente de cada mensagem de e-mail recebida e o compara com uma lista de remetentes bloqueados configurada pelo administrador. Essa lista inclui endereços de e-mail e domínio dos quais a TI da Microsoft não aceita e-mails. Geralmente, essa lista inclui endereços que enviam um alto volume de e-mail indesejado, como e-mails de sites não relacionados a negócios. A TI da Microsoft não considera esses remetentes como remetentes de spam, mas apenas como domínios ou indivíduos dos quais a organização não deseja receber e-mail. A filtragem de remetente pode ser útil na minimização de riscos de ataques de mailbombing provenientes de uma fonte ou de um domínio de e-mail específicos. No ambiente da TI da Microsoft, o recurso de filtragem de remetente sozinho bloqueia centenas de milhares de mensagens por dia.

Filtragem de Remetente Vazio (Exchange)

Mensagens que têm endereços de remetentes vazios geralmente não são legítimas. A TI da Microsoft conta com o Exchange Server 2003 para bloquear essas mensagens em seus gateways, o que minimiza ainda mais a quantidade de spam que o ambiente aceita.

Filtragem de Destinatário (Exchange)

A filtragem de destinatário rejeita mensagens na camada do gateway com base em critérios como para quem a mensagem é enviada. Embora a filtragem de destinatário não seja tão eficiente para combater as ameaças do spam em tempo real como as soluções anti-spam em tempo real, ela pode ser extremamente útil para diminuir os riscos de ataques mailbombing.

Pesquisa de Destinatário (Exchange)

A pesquisa de destinatário verifica a validade do destinatário no nível do protocolo antes de aceitar a responsabilidade de enviar uma mensagem; ela rejeita mensagens que são enviadas para usuários inexistentes. Esse recurso reduz a quantidade de e-mail para a qual o sistema teria, de outra maneira, utilizado recursos para tentar enviar o e-mail e depois recebê-lo de volta.

Administradores devem implementar a pesquisa de destinatário com cuidado. Ela pode tornar o ambiente de troca de mensagens vulnerável a directory harvest attacks. Para diminuir o risco desses ataques, a abordagem comum é adiar a resposta para solicitações enviadas a destinatários inválidos. Essa abordagem impede tentativas de coletar rapidamente endereços de e-mail ao mesmo tempo em que bloqueia mensagens endereçadas a destinatários inválidos.

Filtro de Mensagens Inteligente (Exchange)

O filtro inicial pelo qual o e-mail recebido da Internet deve passar é o Filtro de Mensagens Inteligente, executado nos servidores de gateway do Exchange Server 2003 na porção mais externa do ambiente de troca de mensagens.

Soluções Antivírus (Cliente e Servidor de Terceiros)

A TI da Microsoft acredita que é melhor empregar defesas antivírus em múltiplas camadas por todo o ambiente de rede. Seguindo a filosofia de defesa exaustiva, a TI da Microsoft concentra seus sistemas antivírus de e-mail na camada de gateway de SMTP e na camada do cliente.

Embora a varredura antivírus se concentre principalmente nos níveis de troca de mensagens, é importante observar que a TI da Microsoft também executa varredura antivírus nos servidores do Exchange Server 2003, no nível dos arquivos. A varredura no nível dos arquivos é essencial para proteger os próprios servidores do Exchange, como elementos da infra-estrutura. Sem a proteção antivírus no nível do sistema operacional, a atividade de operações regulares, como manutenção de servidores, aplicação de patches ou solução de problemas, poderiam provocar a contaminação acidental do servidor, o que levaria a uma disponibilidade reduzida dos serviços de troca de mensagens e à possível perda de dados.

Observe que, como o software antivírus no nível dos arquivos geralmente não tem noção da estrutura interna dos dados específicos do Exchange (como bancos de dados e arquivos de log do Exchange), examinar esse conteúdo freqüentemente provoca falhas no servidor e pode causar corrupção de dados. O software antivírus no nível dos arquivos deve ser configurado para excluir especificamente quaisquer dados relacionados com o Exchange Server, como armazenamentos de caixa de correio, logs de transações, diretórios temporários, fila de mensagens e outros locais de arquivos relevantes.

Remoção de Anexos (Exchange e Outlook)

Como parte da estratégia antivírus, a TI da Microsoft automaticamente remove alguns tipos de anexos de mensagens de e-mail recebidas, com base na extensão de nome e no tipo do arquivo. O software antivírus da camada do gateway automaticamente remove anexos de certos tipos de arquivos (por exemplo, .exe, .cmd e .com), estejam eles contaminados por vírus ou não. Esses anexos representam um risco mais alto de contaminação por vírus, e removê-los da porção mais externa da rede ajuda a proteger o ambiente de softwares maliciosos novos ou desconhecidos, para os quais talvez não tenham sido desenvolvidas ou implementadas asssinaturas antivírus. Se um anexo for removido, a mensagem em si ainda será entregue, e o destinatário interno receberá uma notificação apropriada.

Em coerência com a idéia de remoção de anexos na camada do gateway, o usuário do Outlook 2003 pode bloquear o recebimento de uma ampla variedade de tipos de arquivos maliciosos.

Grupos de Distribuição Restritos (Exchange)

O envio bem-sucedido de uma mensagem de e-mail maliciosa para um grande grupo de distribuição tem um efeito muito mais grave do que a mesma mensagem ser enviada para um destinatário individual específico. A TI da Microsoft usa recursos do Exchange Server 2003 que possibilitam a um administrador restringir grupos de distribuição de e-mail de duas maneiras. Em primeiro lugar, um administrador pode configurar um grupo de distribuição para aceitar mensagens apenas de uma lista de remetentes especificados. Em segundo lugar, um administrador pode configurar um grupo de distribuição para aceitar mensagens apenas de usuários autenticados. Se o remetente não for autenticado, a mensagem para um grupo de distribuição protegido será bloqueada. A TI da Microsoft vai além, ao restringir todos os grupos de distribuição que não precisam enviar ou aceitar e-mail da Internet — ou seja, usuários externos são impedidos de enviar e-mail para esses grupos de distribuição.

Filtro de Lixo Eletrônico (Outlook)

Os usuários podem personalizar a ação do Filtro de Lixo Eletrônico do Outlook 2003, que analisa mensagens assim que elas chegam ao cliente e determina se essas mensagens devem ser tratadas como spam. Os usuários podem escolher o nível de proteção desejado, que varia de nenhuma proteção até a permissão para mensagens de remetentes confiáveis apenas. As mensagens que o Filtro de Lixo Eletrônico captura são movidas diretamente para uma pasta do Filtro de Lixo Eletrônico do usuário no Outlook, onde o usuário pode visualizar as mensagens ou exclui-las. Observe que os usuários não podem anular as ações do filtro da camada do gateway na camada do cliente. Se uma mensagem ultrapassar o limite do gateway, ela não será entregue na Caixa de Entrada do usuário, independentemente das configurações da camada cliente.

Supressão da Resolução do Nome de Exibição do Remetente (Exchange)

Geralmente, quando o endereço de um remetente corresponde a um endereço de proxy localizado no serviço de diretório do Active Directory®, o cliente Outlook 2003 automaticamente resolve o endereço do rementente como o nome de exibição apropriado. No Exchange Server 2003, um administrador pode suprimir a resolução automática do nome de exibição do remetente. Quando a resolução de nome de exibição é suprimida, a mensagem é marcada para que o Outlook 2003 não resolva o nome de exibição e o destinatário veja o endereço de e-mail da Internet (como nome@example.com) no cabeçalho da mensagem do Outlook em vez do nome de exibição da Lista de Endereços Global. Os destinatários têm, portanto, uma indicação visual de que a mensagem partiu de fora da organização e, dessa forma, pode ser falsificada.

Desativando Notificações de Segurança (Exchange)

Notificações enviadas para remetentes baseados na Internet revelam os recursos do sistema de higiene de troca de mensagens, criando assim, desnecessariamente, um risco de segurança. Além disso, a identidade de um remetente geralmente não pode ser confirmada (por causa da ameaça de falsificação), portanto, mensagens de e-mail de notificação podem ir para os usuários errados, que podem ser inundados de notificações. Por último, quando o volume de mensagens infectadas é grande, as notificações podem causar um ataque DoS ditribuído no sistema remoto.

Práticas Recomendadas

  • Utilize uma defesa em múltiplas camadas para obter resultados mais eficientes.

  • Execute a varredura de spam no gateway de troca de mensagens.

  • Execute a varredura de spam antes de executar a varredura de vírus.

  • Exclua em vez de limpar mensagens contaminadas.

  • Remova anexos de certos tipos de arquivos.

  • Desative notificações de segurança para remetentes da Internet.

  • Execute a varredura de vírus tanto em e-mails recebidos como em e-mails enviados.

  • Gere notificações de segurança para e-mails da Internet enviados que estejam contaminados.

  • Use grupos de distribuição restritos.

  • Aplique políticas antivírus de modo consistente em sistemas clientes.

  • Controle a porção mais externa da rede e da circulação.

  • Bloqueie remetentes vazios.

  • Bloqueie e-mails de certos endereços de IP e de nomes de domínio.

Ambiente Exchange Global da TI da Microsoft

A empresa Microsoft é grande, complexa e está em constante mudança. A missão do grupo de TI da Microsoft é ímpar. Além de executar um utilitário de classe mundial que mantém as empresas produtivas, sua missão principal é ser o primeiro e melhor cliente da Microsoft. Essa missão envolve testar todos os softwares da empresa nos primeiros estágios de desenvolvimento beta, implementando-os em toda a companhia. O teste fornece valiosos comentários aos grupos de produtos para ajudar a assegurar serviços previsíveis e confiáveis a clientes e parceiros. Os dados a seguir dão uma idéia sobre o ambiente no qual isso tudo ocorre (números aproximados):

  • Aproximadamente 90.000 usuários de TI

  • Sete sites que executam o Exchange Server globalmente

  • 160 servidores que executam o Exchange Server

  • Sete agrupamentos de caixas de correio que abrangem 47 servidores

  • Mais de 3 milhões de mensagens de e-mail internas por dia

Para obter mais informações

Entre em contato com o escritório local da Microsoft no endereço
http://www.microsoft.com/worldwide ou visite
http://www.microsoft.com/technet/itshowcase (em inglês)

Download

Higiene de Troca de Mensagens na Microsoft
148 KB
Microsoft Word file

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft