Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Abordagens sobre a guerra contra o spam em um ambiente do Exchange Server

Publicado em: 18 de agosto de 2006

Nesta página

Introdução
Definição
Desafios
Soluções
Resumo
Referências

Introdução

Bem-vindo a esse documento da coleção Orientações de segurança para empresas de médio porte. A Microsoft espera que as informações a seguir ajudarão a criar um ambiente mais seguro e produtivo de computação.

Sinopse

Mensagens de email indesejadas, também conhecidas como mensagens de lixo eletrônico ou spam, são mensagens enviadas de uma única origem com a intenção alcançar várias caixas de correio de uma só vez. O objetivo do remetente do spam é enviar a mensagem aos usuários finais de modo que eles a abram e, de fato, a leiam, que é a forma como o remetente ganha dinheiro. Definitivamente, existem muitas técnicas diferentes que os remetentes de spam usam para colocar mensagens em áreas de sombra onde não possam ser facilmente detectadas no nível do gateway.

As estimativas do mercado sugerem que 40 por cento ou mais das mensagens de email recebidas sejam considerados spam. Esse aumento do fluxo de lixo eletrônico continua a ameaçar as empresas de médio porte. O spam não é apenas um aborrecimento; também pode ser uma proposição dispendiosa quando considerada a perda potencial de produtividade e os recursos adicionais requeridos para lidar com ele.

Portanto, é necessária uma solução prática no desenvolvimento de métodos para combater spam.

O Microsoft® Exchange Server 2003 com Service Pack 2 (SP2) apresenta uma estrutura que combina métodos diferentes para combater spam dentro de um ou vários ambientes do Exchange Server. Essa estrutura é chamada de Exchange Server 2003 Anti-Spam Framework e abrange filtragem no nível da conexão, no nível do protocolo e no nível do conteúdo.

Os métodos dentro dessa estrutura permitem que administradores e usuários filtrem e classifiquem spam, com precisão, e decidam se a mensagem é spam ou email comercial legítimo.

O objetivo principal dessa estrutura é fornecer aos administradores e usuários soluções que sejam flexíveis o suficiente para serem aplicadas tanto no servidor quanto no cliente. Este documento descreve esses métodos em detalhes e demonstra como cada um funciona dentro da estrutura e como eles trabalham em conjunto. Ele apresenta planos de avaliação e desenvolvimento, bem como um guia passo a passo na seção de implantação e gerenciamento.

Observação   A Microsoft também fornece um importante serviço que ajuda a combater o spam. Esse serviço se chama Exchange Hosted Services ou EHS. O EHS é composto de quatro serviços distintos que ajudam empresas de médio porte a se protegerem contra malware originado por email, satisfazem requisitos de retenção em termos de conformidade, criptografam dados para preservar a confidencialidade e preservam o acesso a email durante e após situações de emergência.
A essência do Exchange Hosted Services é uma rede distribuída de centrais de dados localizados em locais estratégicos no backbone da Internet. Cada central de dados contém servidores tolerantes a falhas que têm equilíbrio de carga de um local para outro e de um servidor para outro.
Uma descrição detalhada desse serviço está além do escopo deste guia. Consulte o documento “Visão geral do Microsoft Exchange Hosted Services” (a página pode estar em inglês) em www.microsoft.com/exchange/services/services.mspx para obter mais informações.

Visão geral

Este documento consiste em quatro seções principais que discutem opções e soluções para fornecer métodos práticos para o combate a spam dentro do ambiente do Exchange Server. As quatro seções são: Introdução, Definição, Desafios e Soluções.

Introdução

Esta seção fornece uma sinopse deste documento juntamente com uma visão geral de sua estrutura e algumas informações relativas ao público-alvo.

Definição

Esta seção fornece alguns detalhes sobre a definição e a visão geral do Exchange Server 2003 Anti-Spam Framework. Esses detalhes serão úteis para a compreensão das soluções discutidas neste documento.

Desafios

Esta seção descreve alguns desafios que uma empresa de médio porte pode enfrentar para decidir como filtrar spam em níveis diferentes que a estrutura anti-spam fornece.

Soluções

Esta seção discute soluções práticas que tratam os desafios representados por email indesejado. Ela avalia abordagens e planos de desenvolvimento para solucionar os desafios, juntamente com informações passo a passo sobre a implantação e o gerenciamento dos seguintes métodos:

  • Proteção no nível da conexão

    • Filtragem de conexão IP

    • Listas de bloqueio em tempo real

  • Proteção no nível do protocolo

    • Bloqueio de destinatário e remetente

    • Sender ID

  • Proteção no nível do conteúdo

    • Exchange Intelligent Message Filter

    • Lixo eletrônico no Outlook 2003 e no Outlook Web Access

Além do Exchange Server 2003 Anti-Spam Framework, é importante valorizar a conscientização do usuário como parte vital do combate ao spam em ambientes Exchange Server. Este tópico será discutido no final da seção "Implantação e gerenciamento".

Quem deve ler este guia

Este documento destina-se principalmente a profissionais de TI e de gerenciamento de empresas que sejam responsáveis pelo planejamento e pela implementação de métodos de combate a spam em um ambiente Exchange Server para empresas de médio porte. Esses profissionais podem estar nas seguintes funções:

  • Arquitetos de sistema. Responsáveis pelo projeto de toda a infra-estrutura de servidor, pelo desenvolvimento de estratégias e diretivas de implantação de servidor, pelo fortalecimento do sistema e pela contribuição para o projeto de conectividade das redes.

  • Gerentes de tecnologia da informação. Responsáveis pelas decisões técnicas e que gerenciam a equipe de tecnologia da informação, responsável pela infra-estrutura, pela implantação de servidor e desktop e pela administração do Exchange Server e de operações em todos os locais.

  • Administradores de sistemas. Responsáveis por planejar e implantar tecnologia em todos os servidores Microsoft Exchange, além de avaliar e recomendar novas soluções de tecnologia.

  • Administradores do Exchange Messaging. Responsáveis por implementar e gerenciar o serviço de mensagens da organização.

Definição

O Exchange Server 2003 Anti-Spam Framework é uma mecanismo de combate a spam dentro do ambiente Exchange Server. O lançamento do Exchange Server 2003 SP2 aprimora a estrutura pois inclui a tecnologia de autenticação de email padrão da indústria, chamada de filtragem de Sender ID. Essa tecnologia ajuda a reduzir a quantidade de spam que chega na caixa de entrada do usuário.

Esta seção discute o Exchange Server 2003 Anti-Spam Framework em detalhes.

Exchange Server 2003 Anti-Spam Framework

O Exchange Server 2003 aplica proteção anti-spam em três níveis diferentes: o nível da conexão, o nível do protocolo e o nível do conteúdo, conforme mostrado na figura a seguir.

Figura 1. Três níveis de proteção contra spam

Figura 1. Três níveis de proteção contra spam

A proteção no nível da conexão analisa o host de conexão SMTP, a proteção no nível do protocolo analisa o remetente e o destinatário da mensagem, e a proteção no nível do conteúdo avalia o conteúdo da mensagem. Cada um desses tipos de proteção anti-spam é descrito em mais detalhes nas subseções a seguir.

Proteção no nível da conexão

A proteção no nível da conexão está entre as camadas mais vantajosas de defesa contra spam porque, com esse nível de proteção, a mensagem indesejada nunca entra na empresa de médio porte. Como mostrado na figura a seguir, a proteção no nível da conexão funciona avaliando cada conexão SMTP de entrada quanto à probabilidade de ela ser uma origem de spam.

Cc875815.AFSESE02(pt-br,TechNet.10).gif

Figura 2. Proteção no nível da conexão

Se o host de conexão SMTP for identificado como um host que envia spam ou que, normalmente, não enviaria mensagens SMTP, a conexão pode ser recusada, eliminando, assim, os dispendiosos ciclos gastos para se determinar se a mensagem de entrada é spam. Para esse fim, há dois tipos de filtragem no nível da conexão disponíveis no Exchange Server 2003.

Filtragem de conexão IP

Com o Exchange Server 2003, é possível optar, explicitamente, por negar conexões SMTP com base no endereço IP. Essa abordagem é o método mais rudimentar de proteger um servidor Exchange porque as listas de filtragem de conexão são administradas manualmente. Se você quiser negar conexões SMTP de entrada provenientes de um host específico, por qualquer motivo (inclusive por poder ser uma origem de spam), as conexões são negadas nesse nível.

As conexões SMTP podem ser explicitamente permitidas. Se você quiser receber email de um host SMTP bloqueado que foi identificado como uma origem de spam, poderá optar por permitir mensagens do host SMTP especificado que, de outra forma, seriam recusadas.

Listas de bloqueio em tempo real

Um meio mais dinâmico de fornecer proteção no nível da conexão é com RBL (listas de bloqueio em tempo real). Listas de bloqueio contêm endereços IP que são origens conhecidas de spam, open relays (retransmissão aberta), ou fazem parte de um escopo IP que não deve incluir um host SMTP, como um endereço IP do pool de discagem do Microsoft MSN®.

Provedores de listas de bloqueio de terceiros coletam endereços IP que se encaixam em cada perfil. Quando um host de envio inicia uma sessão SMTP com um assinante para um serviço de lista de bloqueios, o assinante envia uma consulta tipo DNS (sistema de nome de domínio) ao provedor da lista de bloqueios com o endereço IP do host de conexão. O provedor da lista de bloqueios responde com um código indicando se o host de conexão está na lista. O código também pode indicar em qual lista o host de conexão SMTP está.

O processo de filtragem de lista de bloqueios em tempo real está descrito como a seguir e é mostrado na próxima figura.

  1. Um host SMTP se conecta ao servidor Exchange Server 2003 por meio da porta TCP 25.

  2. O servidor Exchange Server 2003 consulta o provedor da lista de bloqueios configurada para verificar se o host de conexão SMTP não está na lista de bloqueios.

  3. Se ele não estiver na lista de bloqueios, a conexão é permitida. Se ele estiver, a conexão é eliminada.

Cc875815.AFSESE03(pt-br,TechNet.10).gif

Figura 3. Como funciona a filtragem de lista de bloqueios em tempo real

Antes do Exchange Server 2003 SP2, a funcionalidade de filtragem de conexão não estava disponível se existissem firewalls ou hosts SMTP intermediários entre o Exchange e a identidade de envio (o Exchange se posicionava atrás da rede de perímetro), porque a filtragem de conexão antes do Exchange Server 2003 SP2 considerava apenas o host de conexão. Quando um host intermediário (como um firewall ou outro dispositivo SMTP) está entre o host de envio e o Exchange, apenas o host intermediário é considerado.

Com o lançamento do Exchange Server 2003 SP2, o servidor Exchange pode ser posicionado em qualquer lugar na empresa de médio porte e, ainda assim, filtrar as conexões corretamente. Essa funcionalidade é obtida fornecendo-se listas de IP de perímetro e uma configuração interna de intervalo IP no Gerenciador do Sistema do Exchange. Dessa forma, a funcionalidade sender ID e a lista de bloqueios em tempo real analisarão o endereço IP que se conecta ao seu host intermediário SMTP, como um firewall.

Proteção no nível do protocolo

Cc875815.AFSESE04(pt-br,TechNet.10).gif

Figura 4. Proteção no nível do protocolo

Após a mensagem SMTP avançar além da proteção no nível da conexão, a próxima camada de defesa está no nível do protocolo SMTP. O diálogo SMTP entre o host de envio SMTP e o host de recepção SMTP é analisado para verificar se o remetente e os destinatários são permitidos e para determinar o nome de domínio SMTP do remetente.

Bloqueio de destinatário e remetente

Outro meio de se reduzir o spam manualmente é definir remetentes e domínios individuais dos quais você não quer aceitar mensagens. O bloqueio de remetentes permite especificar domínios ou endereços SMTP individuais a serem bloqueados. Com o Exchange Server 2003, você também pode impedir mensagens com endereço de remetente em branco, bem como mensagens filtradas para arquivamento.

A filtragem de destinatário permite filtrar mensagens enviadas a um determinado destinatário. Você também pode filtrar destinatários que não estejam listados no diretório. Entretanto, ativar a filtragem de destinatários que não estejam no diretório pode tornar sua empresa vulnerável a um ataque para coleta de endereços de email SMTP, conhecido como DHA (ataque de coleta de diretório). Nesta situação, as respostas do Exchange Server a comandos RFC2821 RCPT TO: são analisadas na busca de endereços SMTP válidos. O protocolo SMTP confirma os destinatários aceitáveis durante uma sessão SMTP respondendo com 250 2.1.5. Quando o email é enviado a um destinatário inexistente, o Exchange Server retorna um erro 550 5.1.1 Usuário desconhecido. Portanto, um remetente de spam pode escrever um programa automatizado que usa nomes comuns ou termos de dicionário para construir endereços de email para um determinado domínio. O programa pode, então, coletar todos os endereços de email que retornarem 250 2.1.5 to RCPT TO: SMTP e descartar todos os endereços de email que provocam o erro 550 5.1.1 Usuário desconhecido. O remetente de spam pode, a seguir, vender os endereços de email válidos ou usá-los como destinatários de email indesejado.

Essa ameaça pode ser atenuada usando-se um método conhecido como tar pitting. O recurso tar pitting de SMTP do Microsoft Windows Server™ 2003 SP1 permite que o administrador insira um atraso configurável antes de retornar algumas respostas do protocolo SMTP. O host invasor não espera muito tempo pela resposta.

Para obter mais informações, consulte o artigo da Microsoft Knowledge Base “Recurso de tar pitting de SMTP para Microsoft Windows Server 2003” (a página pode estar em inglês) em http://support.microsoft.com/?kbid=842851.

Sender ID

Uma das adições mais recentes às defesas anti-spam do Exchange Server 2003 é a filtragem de Sender ID. Esse recurso do Exchange Server 2003 SP2 tenta verificar se o host de envio SMTP está aprovado para enviar mensagens do domínio especificado no endereço de email de envio. Muitas mensagens de spam são falsificadas de modo que a mensagem parece vir de um endereço de email legítimo. Uma mensagem de spam pode enganar o destinatário do email levando-o a pensar que ela provém de uma autoridade legítima (representante bancário, atendimento ao cliente, etc.) e, assim, os usuários podem ser induzidos a revelar informações valiosas que podem levar ao roubo de identidade. O Sender ID tenta reduzir ou eliminar mensagens falsificadas.  

Há duas partes no Sender ID que são necessárias para o sistema funcionar. A primeira parte é um registro de DNS conhecido como registro SPF (sender policy framework - estrutura de diretiva de remetente). O registro SPF define quais servidores estão autorizados a enviar endereços SMTP para seu domínio. Não é necessário que o Sender ID esteja configurado para ter um registro SPF. A segunda parte é um host SMTP com suporte para o Sender ID, como o Exchange Server 2003 SP2.

O registro SPF é adicionado à zona DNS de modo que outras organizações com Sender ID possam verificar se as mensagens recebidas, pretensamente vindas de seu domínio, são enviadas pelos servidores autorizados em seu registro SPF. As etapas e figuras a seguir ilustram como o processo funciona, primeiro sem um registro SPF e, depois, com um registro SPF instalado.

  1. Uma mensagem é enviada ao servidor Exchange Server 2003 do host de spam SMTP fabrikam.com com o Sender ID ativado. O endereço do remetente é susanf@nwtraders.com.

  2. O servidor Exchange consulta no DNS o registro SPF de nwtraders.com.

  3. Como nwtraders.com não tem um registro SPF, a mensagem é permitida pelo Sender ID.

Cc875815.AFSESE05(pt-br,TechNet.10).gif

Figura 5. Spam entrando em uma organização sem Sender ID / Registro SPF

Northwind Traders, então, adiciona um registro SPF à zona DNS de nwtraders.com como se segue:

  1. Uma mensagem é enviada ao servidor Exchange Server 2003 do host de spam SMTP fabrikam.com com o Sender ID ativado. O endereço do remetente é susanf@nwtraders.com.

  2. O servidor Exchange consulta no DNS o registro SPF de nwtraders.com.

  3. Como o endereço IP de envio (208.217.184.82) não consta da lista de endereços IP permitidos para envio de email para nwtraders.com, conforme definido no SPF (131.107.76.156), a mensagem é interceptada pelo Sender ID.

Cc875815.AFSESE06(pt-br,TechNet.10).gif

Figura 6. Spam reconhecido em uma organização com Sender ID / Registro SPF

Ao implementar o Sender ID, você pode reduzir muito o spam proveniente (falsificado) de domínios que têm um registro SPF. Entretanto, você deve observar que a proteção do Sender ID equivale apenas ao número de organizações que têm registros SPF.

Para Microsoft.com, 59 por cento das mensagens de entrada que passam pela filtragem no nível da conexão são bloqueados pela filtragem no nível do protocolo.

Proteção no nível do conteúdo

Cc875815.AFSESE07(pt-br,TechNet.10).gif

Figura 7. Proteção no nível do conteúdo

Após aplicar a filtragem no nível da conexão e no nível do protocolo para determinar se uma mensagem de entrada é spam, a próxima linha de defesa é analisar o conteúdo da mensagem procurando por pistas comuns que possam indicar email indesejado. Os remetentes de spam empenham-se constantemente em descobrir meios novos e inventivos para não serem detectados, de modo que suas mensagens passem por filtros de conteúdo e cheguem às caixas de entrada dos usuários.

Exchange Intelligent Message Filter

O IMF (Intelligent Message Filter) é um filtro de conteúdo projetado especialmente para o Exchange. Baseia-se em tecnologia patenteada de aprendizado automatizado da máquina da Microsoft Research conhecida como tecnologia Microsoft SmartScreen®. A tecnologia SmartScreen é usada atualmente por MSN, Microsoft Hotmail®, Microsoft Office Outlook® 2003 e Exchange. O IMF foi projetado para fazer distinção entre características de mensagens de email legítimas e spam, com base em milhões de mensagens. O IMF avalia a probabilidade de uma mensagem de email recebida ser legítima ou um spam. Diferentemente de outras tecnologias de filtragem, o IMF usa características coletadas de uma amostra de mensagens de email estatisticamente muito significativa. Além de spam, a inclusão de mensagens legítimas nessa amostra reduz a probabilidade de erros. Como o IMF reconhece características tanto de mensagens legítimas quanto de UCEs (emails comerciais não solicitados), a precisão do IMF é maior.

O IMF fica instalado em servidores Exchange que aceitam mensagens de entrada SMTP da Internet. Quando um usuário externo envia mensagens de email para um servidor Exchange com o IMF instalado, o IMF avalia o conteúdo de texto das mensagens e atribui a cada mensagem uma classificação com base na probabilidade de se tratar de spam. Essa classificação varia de 1 a 9 e é armazenada como uma propriedade da mensagem conhecida como classificação SCL (nível de confiança de spam). Essa classificação permanece na mensagem quando ela é enviada para outros servidores Exchange. O processo completo é mostrado na figura a seguir.

Cc875815.AFSESE08(pt-br,TechNet.10).gif

Figura 8. Processo do Exchange Intelligent Message Filter

Depois que o IMF atribui um SCL à mensagem, ela é avaliada em comparação com dois limites configurados pelo administrador como a seguir:

  1. Configuração de bloqueio de gateway: Bloqueio de mensagens com classificação SCL superior ou igual a. Se o SCL de uma mensagem é superior ou igual ao valor definido neste limite, umas das seguintes ações pode ser executada em relação à mensagem:

    • Arquivar

    • Excluir

    • Nenhuma ação

    • Rejeitar

  2. Armazenar configuração de lixo eletrônico: Mover mensagens com classificação SCL superior a. Se a mensagem for superior ao valor definido neste limite, ela será liberada para a pasta de lixo eletrônico da caixa de entrada do usuário, a menos que o remetente esteja na lista de remetentes seguros.

Anti-phishing

Phishing é um tipo de fraude projetada para roubar sua identidade. Em phishing scams, os fraudadores tentam fazer você revelar dados pessoais valiosos, como números de cartões de crédito, senhas, dados de conta ou outras informações, convencendo você a fornecê-los sob um pretexto falso (por exemplo, usando uma mensagem de email que lhe pede para verificar informações de conta).

O Exchange Server 2003 SP2 adiciona tecnologia anti-phishing ao IMF de modo que as mensagens de phishing são atribuídas a um SCL apropriado e tratadas de acordo.

Ponderação personalizada

O Exchange Server 2003 SP2 também fornece um recurso de ponderação personalizada que permite aos administradores personalizarem o comportamento do IMF com base em frases encontradas no corpo de uma mensagem de email, na linha do assunto ou em ambos.

O recurso de ponderação personalizada é implementado inserindo-se um arquivo XML (Extensible Markup Language) de nome MSExchange.UceContentFilter.xml no mesmo diretório que os arquivos MSExchange.UceContentFilter.dll e .dat no servidor com o IMF instalado. Quando o servidor virtual SMTP é iniciado e o IMF é inicializado, o arquivo XML é carregado.

O arquivo XML define frases a que pode ser dada mais ou menos ênfase pelo IMF. Essa funcionalidade permite personalizar o IMF caso você tenha requisitos da empresa para aceitar ou recusar mensagens com base em frases para as quais, de outra forma, o IMF atribuiria uma classificação SCL diferente.

Para Microsoft.com, 38 por cento de mensagens de entrada que passam pela filtragem no nível da conexão e no nível do protocolo são bloqueados pelo IMF.

Lixo eletrônico no Outlook 2003 e no Outlook Web Access

Depois que uma mensagem passa pelas defesas anti-spam do servidor, o cliente do Outlook 2003 pode intervir nas mensagens que têm um valor SCL superior ou igual à definição de configuração para armazenamento de lixo eletrônico no IMF. As mensagens que excederem essa configuração do servidor serão enviadas para a pasta de lixo eletrônico na caixa de entrada do Outlook 2003.

O Outlook 2003 e o Outlook Web Access para Exchange Server 2003 também permitem que os usuários criem uma lista de remetentes seguros de quem sempre se podem aceitar mensagens de email, bem como uma lista de remetentes bloqueados cujas mensagens devem sempre ser rejeitadas. No armazenamento de caixa de correio, a despeito da classificação SCL atribuída à mensagem, o Exchange libera todas as mensagens de remetentes seguros para a caixa de entrada do usuário e todas as mensagens de remetentes bloqueados para a pasta de lixo eletrônico do usuário. Entretanto, se a mensagem de email tiver sido bloqueada pelo limite do gateway, ela não será liberada para a caixa de entrada do usuário porque ela nunca será liberada para o armazenamento de caixa de correio.

Desafios

O fluxo de email comercial não solicitado, em geral ofensivo e, às vezes, enganador, comumente conhecido como spam, está desgastando nossa capacidade coletiva de usar email como um canal de comunicação e de comércio eletrônico legítimo.

Para muitas pessoas e regiões, o spam se tornou um problema tão grande que a Caixa de entrada não é mais uma área de armazenamento de comunicação válida porque os emails comerciais legítimos se perdem no mar de spam. Para empresas de médio porte, o spam só aumenta o custo do serviço de mensagens, com relação ao consumo de servidor, consumo de rede e utilização de disco.

O desafio que as empresas de médio porte enfrentam é como aceitar mensagens de email confiáveis e bloquear mensagens indesejadas (spam). Elas precisam de meios para combater spam em um ambiente Exchange Server.

O Microsoft Exchange Server 2003 com SP2 usa diversos métodos de filtragem para reduzir spam. Esses métodos são dispostos em camadas de soluções anti-spam que incluem proteção no nível da conexão, proteção no nível do protocolo e proteção no nível do conteúdo, conforme foi rapidamente abordado há pouco neste documento. Esses métodos são flexíveis. Quando o mecanismo de cada método é claramente entendido, os administradores de TI e os usuários podem ajustar o nível de proteção contra spam. Eles permitem que empresas de médio porte equilibrem o acesso de email e a filtragem de spam.

É importante que administradores e implementadores do Exchange entendam como cada um desses métodos funciona e como agem em conjunto para reduzir a quantidade total de spam que chega à caixa de entrada do usuário. A figura a seguir mostra a abordagem em camadas para a defesa contra spam.

Cc875815.AFSESE09(pt-br,TechNet.10).gif

Figura 9. Exchange Server 2003 Anti-Spam Framework

Soluções

Esta seção discute a avaliação, o desenvolvimento, a implantação e o gerenciamento das soluções do Microsoft Exchange Server 2003 Anti-Spam Framework para combater spam em um ambiente de empresa de médio porte.

Avaliação

Para combater efetivamente o spam, a composição total do sistema de email do Exchange Server 2003 deve ser avaliada, incluindo quais ferramentas estão disponíveis e como elas podem ser usadas de forma eficaz. Um estudo cuidadoso do ambiente deve ser feito como parte da estratégia de avaliação de risco.

O Microsoft Exchange Server 2003 Anti-Spam Framework é uma coleção de métodos que inclui filtragem de conexão, filtragem de protocolo e filtragem de conteúdo. É essencial compreender como cada um desses métodos funciona e como eles funcionam em conjunto. Além disso, informar os usuários da existência dessas tecnologias vai melhorar as chances de elas serem implementadas e gerenciadas com êxito.

As perguntas a seguir devem ser consideradas:

  1. O Exchange Server 2003 está instalado?

    Para se beneficiar dos métodos fornecidos pelo Exchange Server 2003 Anti-Spam Framework, o Exchange Server 20003 deve estar instalado na plataforma Windows apropriada.

    Observação   O Microsoft Exchange Server 2003 pode ser instalado no Windows 2003 ou Windows 2000 com SP3 ou posterior. Requisitos detalhados para a instalação do Exchange Server estão além do escopo deste guia. Consulte o tópico Instalando novos servidores Exchange 2003 (a página pode estar em inglês) no Microsoft TechNet em www.microsoft.com/technet/prodtechnol/exchange/guides/Ex2k3DepGuide/a3318f57-3536-4e65-9309-9300cda23c73.mspx?mfr=true.

  2. O Exchange Server tem o Exchange 2003 SP2 aplicado?

    O Exchange Server 2003 SP2 é uma atualização cumulativa que aprimora o ambiente do serviço de mensagens do Exchange Server 2003 com:

    • Aprimoramentos de emails em trânsito

    • Avanços em caixas de correio

    • Melhor proteção contra spam

    O SP2 fornece melhor proteção contra spam (descrita anteriormente neste documento) para ajudar a garantir um ambiente de serviço de mensagens seguro e confiável. Essa proteção melhorada inclui:

    • Um Exchange Intelligent Message Filter atualizado e integrado, com base na tecnologia de filtragem SmartScreen patenteada e desenvolvida pela Microsoft Research.

    • Novo suporte para o protocolo de autenticação de email do Sender ID, que ajuda a impedir esquemas de phishing e falsificação.

  3. O servidor SMTP virtual padrão está ativado no Gerenciador do Sistema do Exchange?

    Filtragem de destinatário, filtragem inteligente, filtragem de Sender ID e filtragem de conexão são configuradas nas configurações globais e também precisam ser ativadas no nível de SMTP. Portanto, o SMTP deve estar ativado antes de você aplicar alterações nesses serviços.

  4. As estações de trabalho clientes estão com o Outlook 2003 instalado?

    Os servidores podem ser configurados com todos os requisitos necessários mas, se os clientes tiverem versões antigas do Outlook, não conseguirão se beneficiar dos métodos oferecidos com o Microsoft Exchange Server 2003 Anti-Spam Framework.

    Quando todos os requisitos necessários para o Exchange Server 2003 e seus clientes estiverem atendidos, os métodos a seguir poderão ser empregados:

    • Proteção no nível da conexão

      Filtragem de conexão IP

      Listas de bloqueio em tempo real

    • Proteção no nível do protocolo

      Bloqueio de destinatário e remetente

      Sender ID

    • Proteção no nível do conteúdo

      Exchange Intelligent Message Filter

      Lixo eletrônico no Outlook 2003 e no Outlook Web Access

Desenvolvimento

A seção de avaliação levantou algumas perguntas e forneceu algumas respostas sobre requisitos do Exchange Server 2003 e do cliente para tirar proveito dos recursos do Microsoft Exchange Server 2003 Anti-Spam Framework.

As soluções para combater spam no ambiente Exchange também incluem segurança dos clientes e informação aos usuários. Todas essas abordagens devem ser usadas para combater spam no ambiente Exchange.

Todos os métodos de proteção contra spam fornecidos pelo Microsoft Exchange Server 2003 Anti-Spam Framework estarão prontos para implementação quando os seguintes requisitos forem atendidos:

  • O Exchange Server 2003 foi instalado nas plataformas Windows apropriadas.

  • O Outlook 2003 e o Outlook Web Access foram instalados e configurados.

  • Todos os mais recentes patches e atualizações recomendados foram aplicados, inclusive o Service Pack 2.

Um melhor entendimento de como cada método funciona e de como eles interagem assegurará uma implementação melhor. Embora discutido rapidamente antes, esta seção fornece mais detalhes sobre esses métodos que são necessários para implantação e gerenciamento.

Proteção no nível da conexão

O Exchange Server 2003 SP2 inclui filtragem de conexão, que compara o endereço IP do servidor de conexão com a lista de endereços IP negados (também conhecida como lista de bloqueios em tempo real). A comparação de endereços IP ocorre imediatamente quando a sessão SMTP é iniciada, permitindo que a empresa de médio porte bloqueie conexões aos seus gateways nos estágios iniciais do envio de mensagens. Antes que um servidor na lista de bloqueios em tempo real seja capaz de enviar mensagens, a conexão é eliminada. Essa abordagem resulta em economia de desempenho nas camadas tanto do serviço de mensagens quanto de rede.

As empresas de médio porte podem estabelecer filtragem de conexão no Exchange Server 2003 SP2, seja criando manualmente uma lista global de negação e outra de aceitação, seja usando bancos de dados, mantidos por terceiros, onde estão armazenados endereços IP conhecidos e bloqueados.

A maioria dos servidores Exchange Server 2003 SP2 é implantada atrás de um perímetro da organização e não está conectada à Internet diretamente. Essa colocação torna a filtragem de conexão menos útil, porque o recurso depende da obtenção do endereço IP original do remetente para executar a consulta DNS. A versão do SP2 corrigiu essa deficiência, pois introduziu um novo algoritmo de análise de cabeçalho para a recuperação do endereço IP de origem. O Exchange Server 2003 SP2 com filtragem de conexão implantada pode ser posicionado em qualquer ponto da organização e executar a filtragem como se estivesse no perímetro.

Filtragem de conexão IP

Uma empresa de médio porte pode criar sua própria lista estática de endereços IP negados. Como o nome diz, a lista global de negação contém certos endereços IP e redes dos quais uma organização jamais deseja receber email. Inversamente, uma empresa de médio porte pode criar uma lista global de aceitação, ou seja, uma lista de endereços IP e redes a cujos emails não deseja aplicar diretivas de bloqueio ou filtragem. A lista global de aceitação pode incluir endereços IP que correspondem a empresas subsidiárias ou parceiros comerciais com os quais a empresa de médio porte tem relacionamentos de confiança. Nessas circunstâncias, a empresa de médio porte não deseja correr o risco de falsas positivações, por isso ela adiciona os endereços IP confiáveis dos servidores de email do remetente à sua lista global de aceitação.

Listas de bloqueio em tempo real

Uma lista de bloqueios em tempo real é um banco de dados baseado em DNS de endereços IP de origens conhecidas e verificadas de spam. As listas de bloqueio em tempo real são disponibilizadas por empresas que estão no mercado de controle contínuo da Internet e de acompanhamento de origens conhecidas de spam. Quando detectados, os endereços IP ofensivos são adicionados a um banco de dados que contém listas de bloqueio em tempo real. Essas listas são, em geral, gratuitas ou ficam disponíveis mediante uma taxa se o administrador do serviço de mensagens desejar ampliar os serviços.

O Exchange Server 2003 SP2 permite o uso de listas de bloqueio em tempo real de terceiros. Quando configurado para usar listas de bloqueio em tempo real de terceiros, o Exchange Server 2003 SP2 verifica o endereço IP do servidor de envio e o compara com o banco de dados que contém listas de bloqueio em tempo real, negando a conexão se encontrar uma correspondência.

Como a funcionalidade de lista de bloqueios em tempo real baseia suas decisões de filtragem no endereço IP do servidor de envio, mais do que no conteúdo da mensagem, as listas de bloqueios em tempo real tecnicamente se enquadram em uma categoria separada de software anti-spam de terceiros. A lista de bloqueios em tempo real funciona como um gatekeeper, impedindo que mensagens de servidores mal intencionados, conhecidos ou suspeitos, entrem no ambiente. Uma mensagem que passa pela lista de bloqueios em tempo real está uma etapa mais próxima de entrar na rede, mas só até seu conteúdo poder ser examinado pela camada seguinte de defesa do serviço de mensagens, como o Intelligent Message Filter.

Por causa do volume de consultas DNS relacionadas à lista de bloqueios em tempo real que o Microsoft IT faz diariamente (dezenas de milhões), ele transfere uma cópia espelhada da lista de bloqueios em tempo real para seus servidores DNS locais, de forma predeterminada e regular (em geral, várias vezes por dia). A maioria dos provedores de listas requer cópias locais das listas de bloqueio em tempo real para volumes de consulta acima de 250.000 por dia. A transferência de uma cópia da lista de bloqueios em tempo real é conhecida como transferência de zona do provedor da lista. O Microsoft IT configurou os gateways do seu Exchange Server 2003 SP2 para criarem consultas DNS relacionadas à lista de bloqueios em tempo real em comparação com aqueles servidores DNS locais.

Proteção no nível do protocolo

Após a mensagem SMTP avançar além da proteção no nível da conexão, a próxima camada de defesa está no nível do protocolo SMTP. O diálogo SMTP entre o host de envio SMTP e o host de recepção SMTP é analisado para verificar se o remetente e os destinatários são permitidos e para determinar o nome de domínio SMTP do remetente.

Bloqueio de destinatário e remetente

O recurso de filtragem de destinatário no Exchange Server 2003 SP2 permite que as empresas de médio porte se protejam contra emails-bomba direcionados ou reduzam seu impacto. Em geral, os destinatários que são alvos desses ataques não precisam receber mensagens da Internet. A filtragem de destinatário rejeita mensagens na camada do gateway com base em critérios como o remetente da mensagem.

Embora a filtragem de destinatário não seja tão eficaz no combate a ameaças de spam em tempo real quanto as soluções anti-spam em tempo real, a filtragem de destinatário pode ser extremamente útil para ajudar a diminuir os riscos de ataques de e-mails-bomba. Recentemente, o uso de filtragem de destinatário permitiu que o Microsoft IT bloqueasse milhões de mensagens endereçadas a apenas alguns destinatários em um único dia.

Sender ID

O Sender ID Framework é um protocolo com tecnologia de autenticação de email que ajuda a resolver o problema de falsificação e phishing, pois verifica o nome do domínio de onde partiu o email. O Sender ID valida a origem do email verificando o endereço IP do remetente em comparação com o pretenso proprietário do domínio de envio.

O Sender ID verifica se cada mensagem de email se origina do domínio de Internet do qual alega ter sido enviada. Essa verificação é realizada comparando-se o endereço do servidor que envia o email com uma lista registrada de servidores que foram autorizados pelo proprietário do domínio a enviar email. Essa verificação é automaticamente executada pelo provedor de serviços de Internet ou pelo servidor de email do destinatário antes que a mensagem de email seja liberada para o usuário. O resultado da verificação do Sender ID pode ser usada como entrada adicional nas tarefas de filtragem já executadas pelo servidor de email. Depois que o remetente é autenticado, o servidor de email pode considerar comportamentos passados, padrões de tráfego e reputação do remetente, bem como aplicar filtros de conteúdo convencionais, para determinar se libera o email para o destinatário.

Proteção no nível do conteúdo

Em termos ideais, o spam nunca deve chegar na camada do cliente. A realidade é que algumas mensagens de spam alcançam os computadores desktop dos usuários. Um dos principais motivos é que algumas mensagens de email legítimas, como boletins informativos, em geral, contêm características de spam. Por isso, não é aconselhável definir o limite de filtragem tão baixo que todas as mensagens suspeitas sejam excluídas. Além disso, os usuários podem ter preferências individuais que um único conjunto de configurações no âmbito da empresa talvez não possa atender.

Exchange Intelligent Message Filter

O filtro inicial que mensagens de email da Internet devem atravessar é o Intelligent Message Filter, executado nos servidores de gateway do Exchange Server 2003 SP2 na borda mais externa do ambiente de serviço de mensagens. O Intelligent Message Filter usa SCL, PCL (pontuação do Phishing Confidence Level, que é um dos fatores que aciona as atribuições de SCL finais) e o Sender ID Framework incorporado no Exchange Server 2003 SP2. O Internet Message Filter categoriza certas partes da mensagem, realiza a análise de mensagens com técnicas heurísticas e atribui uma classificação SCL de 0 a 9 para cada mensagem verificada. Quanto maior a classificação recebida, maior é a probabilidade de a mensagem ser spam.

O Exchange Server 2003 SP2 incorpora os dados e atualizações mais recentes ao Intelligent Message Filter. As melhorias no IMF e as atualizações quinzenais ajudam a garantir um foco contínuo na identificação de spam e na redução de falsas positivações. Essas melhorias incluem novas capacidades de combate a spam, incluindo bloqueio de esquemas de phishing. Os esquemas de phishing tentam solicitar de forma fraudulenta informações pessoais confidenciais mascarando-se como sites legítimos.

O ambiente Exchange Server 2003 SP2 pode ser configurado para executar ações de filtragem em mensagens que têm classificações SCL maiores que os limites configurados por administradores. O Intelligent Message Filter usa dois limites que são definidos no Exchange Server 2003 SP2: o limite de gateway e o limite de armazenamento.

Lixo eletrônico no Outlook 2003 e no Outlook Web Access
  • Filtro de lixo eletrônico. O Outlook 2003 usa uma tecnologia de última geração desenvolvida pelo Microsoft Research para avaliar se uma mensagem deve ser tratada como lixo eletrônico com base em vários fatores, como o horário em que a mensagem foi enviada e o conteúdo e a estrutura dela. O filtro não identifica nenhum remetente ou tipo de mensagem de email em particular. Na verdade, ele usa uma análise avançada para determinar qual a probabilidade de o destinatário considerar a mensagem como lixo eletrônico.

    Por padrão, esse filtro é definido com um valor baixo projetado para reconhecer as mensagens de lixo eletrônico mais óbvias. As mensagens reconhecidas pelo filtro são movidas para uma pasta de lixo eletrônico especial a ser acessada depois. Se você quiser, poderá tornar o filtro mais agressivo (correndo o risco, talvez, de detectar mensagens legítimas) ou mesmo definir o Outlook 2003 para excluir periodicamente mensagens de lixo eletrônico assim que elas chegam. Saiba mais sobre o Filtro de lixo eletrônico.

  • Lista de remetentes seguros. Se uma mensagem for erroneamente marcada como uma mensagem de lixo eletrônico pelo filtro, você poderá adicionar o remetente daquela mensagem à sua Lista de remetentes seguros. Os endereços de email e os nomes de domínio na Lista de remetentes seguros nunca são tratados como mensagens de lixo eletrônico, a despeito do conteúdo da mensagem. Os contatos são confiáveis por padrão, e as mensagens enviadas por eles nunca serão tratadas como mensagens de lixo eletrônico. Quando sua empresa usa o Microsoft Exchange Server, as mensagens que vêm de dentro da organização também nunca são tratadas como mensagens de lixo eletrônico. Você pode configurar o Outlook 2003 para aceitar apenas mensagens da Lista de remetentes seguros, o que lhe dará total controle sobre quais mensagens receber.

  • Lista de remetentes bloqueados. Mensagens de email de certos endereços de email ou nomes de domínio podem ser facilmente bloqueadas adicionando-se os remetentes à sua Lista de remetentes bloqueados. As mensagens de pessoas ou nomes de domínio na sua Lista de remetentes bloqueados sempre serão tratadas como mensagens de lixo eletrônico, a despeito do conteúdo da mensagem.

  • Lista de destinatários seguros. Um grupo ou uma lista de email da qual você é membro pode ser adicionado à sua Lista de destinatários seguros. Todas as mensagens enviadas para os endereços de email ou nomes de domínio nesta lista não serão tratadas como mensagens de lixo eletrônico, a despeito do remetente ou do conteúdo da mensagem.

  • Atualização automática. Você pode atualizar seu Filtro de lixo eletrônico com atualizações periódicas da Microsoft de forma a ter os métodos mais recentes para bloquear mensagens de email indesejadas. A Microsoft tem o compromisso de fornecer atualizações periódicas do Filtro de lixo eletrônico.

Implantação e gerenciamento

A capacidade de entender como cada um dos métodos nessa estrutura funciona e como os métodos interagem é a meta primordial do Microsoft Exchange Server 2003 Anti-Spam Framework. Quando se compreende o escopo dessa estrutura, a implantação e o gerenciamento apropriados dessas tecnologias permitirão que empresas de médio porte combatam spam com eficácia em ambientes do Microsoft Exchange Server. Para ajudar no combate a spam, os usuários devem estar equipados com um conhecimento básico do assunto para ajudar a gerenciar os computadores clientes em seus ambientes. Além disso, o monitoramento e a solução de problemas do Intelligent Message Filtering serão tratados como parte de um gerenciamento contínuo.

Os recursos a seguir precisam ser configurados nos níveis de Configurações globais e de SMTP. A conscientização do usuário é tratada no final da seção.

Esta seção explica os procedimentos passo a passo de:

  • Proteção no nível da conexão

    • Filtragem de conexão IP

    • Listas de bloqueio em tempo real

  • Proteção no nível do protocolo

    • Bloqueio de destinatário e remetente

    • Sender ID

  • Proteção no nível do conteúdo

    • Exchange Intelligent Message Filter

    • Lixo eletrônico no Outlook 2003 e no Outlook Web Access

Proteção no nível da conexão

O Exchange Server 2003 aceita filtragem de conexão com base em listas de bloqueio em tempo real. Esse recurso verifica um endereço IP de entrada comparando-o com uma RBL (lista de bloqueios em tempo real) de um provedor, em busca das categorias que você deseja filtrar. Se for encontrada uma correspondência na lista do provedor de RBL, o SMTP emite um erro 550 5.x.x em resposta ao comando RCPT TO, e uma resposta de erro personalizada é enviada ao remetente. Você pode usar vários filtros de conexão e priorizar a ordem em que cada um é aplicado.

Ao criar um filtro de conexão, você estabelece uma regra que usa SMTP para efetuar uma pesquisa de DNS em uma lista fornecida por um serviço de RBL de terceiros. O filtro de conexão faz a correspondência de cada endereço IP de entrada em comparação com a lista de bloqueios fornecida por terceiros. O provedor de RBL emite uma de duas respostas:

  • Host não encontrado. Essa resposta indica que o endereço IP não consta da sua lista de bloqueios.

  • 127.0.0.x. Essa resposta é um código de status, que indica que uma correspondência do endereço IP foi encontrada na lista de ameaças. O x varia conforme seu provedor.

Se o endereço IP de entrada for encontrado na lista, o SMTP retornará um erro 5.x.x em resposta ao comando RCPT TO (o comando SMTP que o servidor de conexão envia para identificar o destinatário pretendido da mensagem).

Provedores de listas de bloqueios em tempo real

Como os diferentes provedores de listas de bloqueios em tempo real oferecem tipos diferentes de listas e serviços, as empresas de médio porte devem estudar cuidadosamente diversos provedores antes de escolher um deles. Dois provedores conhecidos são Spam Haus em www.spamhaus.org e Spam Cop em www.spamcop.net.

As respostas para as perguntas a seguir podem ajudar na escolha de um provedor de RBL:

  • Qualidade da lista. Alguém verifica se um novo endereço IP adicionado à lista realmente pertence a um remetente de spam? Qualquer pessoa pode fazer adições à lista?

  • Segurança da lista. A lista passa por algumas verificações de segurança? Alguém verifica se algum endereço IP foi adicionado forma errônea ou mal intencionada?

  • Processo de atualização da lista. Qual é o processo de revisão? Se a inclusão na lista é automática, a exclusão também deveria ser quando o spam parar. Com que freqüência as listas são atualizadas?

  • Processo de transferência de lista. O provedor permite transferências tipo BIND (Berkeley Internet Name Domain) completas ou incrementais que sejam diretamente compatíveis com o DNS do Windows?

  • Suporte do provedor da lista de bloqueios. Qual nível de suporte o provedor oferece?

Filtragem de conexão IP

Para configurar filtragem de conexão IP

  1. No Gerenciador do Sistema do Exchange, expanda o contêiner Configurações globais .

  2. Clique com o botão direito do mouse em Entrega de mensagem e clique em Propriedades.

  3. Clique na guia Filtragem de conexão.

  4. Decida se deseja Aceitar, Negar ou criar uma Exceção. Negar é selecionado no exemplo a seguir.

  5. Você pode selecionar um Único endereço IP ou um Grupo de endereços IP, como mostrado na captura de tela a seguir.

    AFSESE10.GIF

RBL - Listas de bloqueios em tempo real

Para configurar a funcionalidade de lista de bloqueios em tempo real no nível de Configurações globais

  1. No Gerenciador do Sistema do Exchange, expanda o contêiner Configurações globais.

  2. Clique com o botão direito do mouse no objeto Entrega de mensagem e clique em Propriedades.

  3. Clique na guia Filtragem de conexão.

  4. Para criar uma regra de filtro de conexão, clique em Adicionar (mostrado na captura de tela a seguir).

    AFSESE11.GIF

  5. No campo Nome para exibição, digite um nome para o filtro de conexão.

  6. Em Sufixo DNS do provedor, digite o sufixo DNS do provedor (por exemplo, contoso.com).

  7. Em Mensagem de erro personalizada a ser retornada, você pode digitar uma mensagem de erro personalizada a ser retornada ao remetente, se assim desejar. Deixe esse campo em branco para usar a seguinte mensagem de erro padrão:

    <endereço IP> foi bloqueado por <Nome da regra do filtro de conexão>

    Uma mensagem personalizada pode ser gerada usando-se as seguintes variáveis:

    • %0. Endereço IP de conexão

    • %1. Nome da regra do filtro de conexão

    • %2. O provedor de RBL

    Por exemplo, se você quiser personalizar a mensagem para que ela mostre:

    O endereço IP <endereço IP> foi bloqueado pelo provedor de RBL <nome do provedor de RBL>.

    você digitaria o seguinte em Mensagem de erro personalizada a ser retornada:

    O endereço IP%0 foi rejeitado pelo provedor de RBL %2.

    Observação   O Exchange substituirá %0 pelo endereço IP de conexão e %2 pelo provedor de RBL.

  8. Para configurar códigos de status de retorno recebidos do provedor de RBL com o qual deseja fazer a correspondência neste filtro de conexão, clique em Código de status de retorno. A seguinte caixa de diálogo será exibida.

    AFSESE12.GIF

  9. Selecione uma das seguintes opções na caixa de diálogo Código de status de retorno:

    • Fazer a correspondência entre regra de filtro e qualquer código de retorno. É feita a correspondência entre esta regra de filtro de conexão e qualquer código de status de retorno recebido do serviço do provedor. Essa regra define o valor padrão que faz corresponder o filtro de conexão a qualquer status de retorno.

      Exemplos:

      127.0.0.1. Lista de bloqueios

      127.0.0.2. Open relay (retransmissão aberta) conhecido

      127.0.0.4. Endereço IP discado

    • Fazer a correspondência entre filtro de conexão e a seguinte máscara. É feita a correspondência entre esta regra de filtro de conexão e os códigos de status de retorno recebidos do provedor pela utilização de uma máscara para interpretá-los. Insira a máscara com a qual deseja comparar o filtro de acordo com as máscaras usadas por seus provedores.

      Exemplos:

      0000 | 0001. Lista de bloqueios

      0000 | 0010. Open relay (retransmissão aberta)

      0000 | 0011. Open relay (retransmissão aberta) ou Lista de bloqueios

      0000 | 0100. Host discado

      0000 | 0101. Discado ou Lista de bloqueios

      0000 | 0110. Discado ou Open relay (retransmissão aberta)

      0000 | 0111. Discado, Open relay (retransmissão aberta) ou Lista de bloqueios

    • Fazer a correspondência entre regra de filtro e qualquer das seguintes respostas. É feita a correspondência entre esta regra de filtro de conexão e os códigos de status retornados do provedor pela utilização dos valores específicos dos códigos de status de retorno.

  10. Clique em OK.

Os recursos Remetente, Destinatário, Intelligent Message Filtering e Filtragem de conexão também devem ser aplicados no nível de SMTP para que funcionem adequadamente. Para isso, complete as etapas a seguir.

Para ativar recursos de filtragem no nível de SMTP

  1. Inicie o Gerenciador do Sistema do Exchange.

  2. Expanda Servidores.

  3. Expanda o <nome do servidor> (do servidor de email que deseja configurar).

  4. Expanda Protocolos.

  5. Expanda SMTP.

  6. Clique com o botão direito do mouse em Servidor virtual SMTP padrão e selecione Propriedades.

  7. Em Propriedades do servidor virtual SMTP padrão, clique em Avançado.

  8. Em Avançado, clique em Editar.

  9. Em Identificação, marque a caixa de seleção Aplicar filtro de conexão para aplicar o filtro que você definiu antes (mostrado na captura de tela a seguir).

    AFSESE13.GIF

Proteção no nível do protocolo

Após a mensagem SMTP avançar além da proteção no nível da conexão, a próxima camada de defesa está no nível do protocolo SMTP. O diálogo SMTP entre o host de envio SMTP e o host de recepção SMTP é analisado para verificar se o remetente e os destinatários são permitidos e para determinar o nome de domínio SMTP do remetente.

Filtragem de destinatário

Use o recurso de filtragem de destinatário para impedir a entrega de mensagens enviadas para determinados endereços de destinatários.

Para configurar a filtragem de destinatário

  1. Inicie o Gerenciador do Sistema do Exchange.

  2. Expanda o contêiner Configurações globais.

  3. Clique com o botão direito do mouse em Entrega de mensagem e selecione Propriedades.

  4. Clique na guia Filtragem de destinatário.

  5. Selecione Filtrar destinatários que não estejam no Diretório.

  6. Clique em Adicionar e, a seguir, adicione o endereço do destinatário (mostrado na captura de tela a seguir).

    AFSESE14.GIF

Filtragem de Sender ID

Use as opções da Filtragem de Sender ID para configurar as ações do Sender ID. Ao usar essas opções, você pode especificar como o servidor deve tratar as mensagens que não passem na validação do Sender ID. O recurso Sender ID é um padrão de mercado que você pode usar para aumentar a proteção contra UCE (email comercial não solicitado) e esquemas de phishing.

Por padrão, a Filtragem de Sender ID é definida como Aceitar. Porém, você pode ativar o filtro do Sender ID atrás do perímetro da rede. Para tanto, especifique os endereços IP dos servidores na sua rede interna que você deseja excluir da filtragem de Sender ID.

Para configurar Filtragem de Sender ID

  1. Inicie o Gerenciador do Sistema do Exchange.

  2. Expanda o contêiner Configurações globais.

  3. Clique com o botão direito do mouse em Entrega de mensagem e selecione Propriedades.

  4. Clique na guia Filtragem de Sender ID.

  5. Selecione as opções de Filtragem de Sender ID desejadas (mostradas na captura de tela a seguir).

    AFSESE15.GIF

Proteção no nível do conteúdo

A filtragem de conteúdo do Exchange Server 2003 SP2 depende da tecnologia Microsoft Research SmartScreen de aprendizado automatizado da máquina que está incorporada no IMF (Intelligent Message Filtering). As mensagens da Internet chegam ao gateway SMTP do Exchange e entram no Exchange Server Anti-Spam Framework. As camadas anteriores da solução anti-spam do Exchange (filtragem de conexão, remetente e destinatário) bloqueiam envios de mensagem antes que seus dados reais sejam recebidos. Se uma mensagem passa com êxito por todos esses filtros anteriores, o seu corpo é recebido.

O IMF pode fazer uma avaliação precisa da probabilidade de uma mensagem de email ser legítima ou spam.

Exchange Intelligent Message Filter

O Exchange Intelligent Message Filter é um componente muito importante no combate a spam. Ele é um filtro compatível com SCL que fornece filtragem avançada de mensagens do lado do servidor, projetado especificamente para combater a entrada de spam. Para obter informações específicas, consulte o site Exchange Intelligent Message Filter (a página pode estar em inglês) em http://www.microsoft.com/technet/prodtechnol/exchange/downloads/2003/imf/default.mspx.

Para configurar o Exchange Intelligent Message Filter

  1. Inicie o Gerenciador do Sistema do Exchange.

  2. Expanda o contêiner Configurações globais.

  3. Clique com o botão direito do mouse em Entrega de mensagem e selecione Propriedades.

  4. Clique na guia Intelligent Message Filtering.

  5. Em Bloquear mensagem com classificação SCL superior ou igual a (mostrado na captura de tela a seguir), selecione o nível de classificação desejado.

    A escala de classificação SCL vai de 0 a 9. Quanto mais alta a classificação, maior é a probabilidade de a mensagem ser spam.

    AFSESE16.GIF

Lixo eletrônico no Outlook 2003 e no Outlook Web Access

O Outlook 2003 e o Outlook Web Access 2003 incluem recursos que podem ajudar a proteger os usuários contra spam. Esses recursos incluem o seguinte:

  • Listas de bloqueios e listas de segurança mantidas pelo usuário. As listas de bloqueios e as listas de segurança usadas pelo Outlook 2003 e pelo Outlook Web Access ficam armazenadas na caixa de correio do usuário. Como ambos os programas clientes usam a mesma lista, os usuários não precisam fazer a manutenção nas duas versões.

  • Bloqueio de conteúdo externo. O Outlook 2003 e o Outlook Web Access 2003 tornam mais difícil para os remetentes de mensagens de lixo eletrônico usarem beacons para recuperar endereços de email. As mensagens de entrada com conteúdo que poderia ser usado como beacon acionam o Outlook e o Outlook Web Access para que exibam uma mensagem de aviso, mesmo que elas não contenham beacons. Se o usuário sabe que a mensagem é legítima, pode clicar na mensagem de aviso para baixar o conteúdo. Se o usuário não tem certeza da legitimidade da mensagem, pode excluí-la sem acionar os beacons que indicam um remetente de lixo eletrônico.

  • Gerenciamento de lixo eletrônico aprimorado. Com o Outlook 2003, os usuários podem criar regras que procuram frases específicas nas mensagens de email e mover essas mensagens automaticamente da Caixa de entrada para uma pasta especificada (como Lixo eletrônico ou Itens excluídos). Os usuários também têm a opção de excluir permanentemente o lixo eletrônico suspeito, em vez de movê-lo para uma pasta especificada.

  • Filtro de lixo eletrônico. O Outlook 2003 inclui um filtro de lixo eletrônico que pesquisa atributos de spam comuns. (Esses atributos são atualizados juntamente com as atualizações do Office.) Para cada atributo suspeito, o Outlook incrementa um contador. Quanto maior a contagem de uma mensagem, maior é a probabilidade de ela ser spam. Configure o nível de proteção contra lixo eletrônico na caixa de diálogo Opções de lixo eletrônico.

Para configurar o filtro de lixo eletrônico do Outlook 2003

  1. No Outlook 2003, clique em Ação na barra de menus.

  2. Selecione Lixo eletrônico e, a seguir, Opções de lixo eletrônico (mostrado na captura de tela a seguir).

    AFSESE17.GIF

  3. A caixa de diálogo mostrada na captura de tela a seguir aparecerá. Nela, os usuários podem escolher o nível de proteção contra lixo eletrônico que desejarem.

    AFSESE18.GIF
    http://technet.microsoft.com/pt-br/library/Cc875815.afsese18_big(l=pt-br).gif

Para configurar o filtro de lixo eletrônico no Outlook Web Access (OWA)

  1. Efetue logon na conta do Outlook Web Access.

  2. Clique em Opções.

  3. Clique em Gerenciar listas de lixo eletrônico.

  4. Selecione o recurso apropriado em Lista de exibição ou de modificação (mostrado na captura de tela a seguir).

    AFSESE19.GIF

  5. Adicionar, Editar ou Remover endereços de email de remetente.

Observação   Quando os usuários começam a usar esses recursos contra lixo eletrônico, ou caso modifiquem opções a qualquer momento, eles devem verificar periodicamente as mensagens que foram removidas da caixa de entrada para se assegurarem de que mensagens válidas não foram removidas. As atualizações dos recursos contra lixo eletrônico no Outlook 2003 serão listadas na seção Atualização do Office do site Microsoft Office Online em http://office.microsoft.com/pt-br/officeupdate/default.aspx.

Monitorando e solucionando problemas do Intelligent Message Filter

Monitorar e solucionar problemas com o Microsoft Exchange Intelligent Message Filter são atividades que podem ser feitas usando-se Visualizar eventos e Monitor do sistema. Esta seção fornece informações passo a passo sobre como monitorar e solucionar problemas.

Usando Visualizar eventos

Em Visualizar eventos, o log de aplicativo e o de sistema contêm erros, avisos e eventos informativos relativos à operação do Exchange, do serviço SMTP e de outros aplicativos. Para ajudar a identificar a causa de problemas no Intelligent Message Filter, examine cuidadosamente os dados nos logs de aplicativo e de sistema. O Intelligent Message Filter grava eventos em Visualizar eventos usando o MSExchangeTransport de origem e o protocolo SMTP de categoria.

Para encontrar eventos do Intelligent Message Filter com Visualizar eventos

  1. Clique em Iniciar, aponte para Todos os programas, para Ferramentas administrativas e, em seguida, clique em Visualizar eventos.

  2. Na árvore do console, clique em Log de aplicativo.

  3. Para ordenar o log alfabeticamente e localizar rapidamente uma entrada de um serviço do Exchange, clique em Origem no painel de detalhes (mostrado na captura de tela a seguir).

    AFSESE20.GIF

  4. Para filtrar o log e listar entradas de eventos registrados do Intelligent Message Filter, clique em Filtrar no menu Exibir.

  5. Em Propriedades do log de aplicativo, use a lista de origem Evento para selecionar MSExchangeTransport.

  6. Na lista Categoria, selecione Protocolo SMTP.

Usando Monitor do sistema e Logs e alertas de desempenho

O Intelligent Message Filter tem vários contadores de desempenho que podem ser usados para monitorar seu desempenho e sua operação.

Para usar Monitor do sistema e Logs e alertas de desempenho

  1. Clique em Iniciar, aponte para Todos os programas, para Ferramentas administrativas e, em seguida, clique em Desempenho.

  2. Destaque Monitor do sistema e, em seguida, clique no botão + para adicionar contadores.

  3. Na caixa de diálogo Adicionar contadores, em Objeto de desempenho, selecione MSExchange Intelligent Message Filter (mostrado na captura de tela a seguir).

    AFSESE21.GIF

Conscientização dos usuários

Como ocorre com outros tópicos, seja lutando contra vírus, protegendo estações de trabalho contra usuários não autorizados ou combatendo spam, a tecnologia sozinha não deve ser a única defesa contra ameaças e ataques. Quando os usuários estão bem informados, eles desempenham um papel muito significativo no esforço de gerenciamento de spam. Os usuários devem ser informados sobre como evitar ou filtrar emails indesejados no seu ambiente Outlook.

Essas informações devem incluir:  

  • Nunca responder a emails que solicitem informações pessoais ou financeiras.

  • Nunca fornecer senhas

  • Não abrir anexos de email suspeitos

  • Não responder a nenhum email suspeito ou indesejado.

  • Configurar as opções de lixo eletrônico no Outlook 2003 como descrito na seção “Lixo eletrônico no Outlook 2003 e no Outlook Web Access” já descrita neste documento.

Resumo

Muitas empresas de médio porte criam diversos processos comerciais críticos em torno da funcionalidade do Microsoft Exchange Server 2003. Grande parte das atividades diárias depende dos serviços do Exchange Server.

Esse aumento do fluxo de lixo eletrônico continua a ameaçar as empresas de médio porte. O spam não é apenas um aborrecimento; também pode sobrecarregar as redes e desperdiçar tempo, dinheiro e outros recursos de pessoas e empresas ao redor do mundo.

Este documento mostrou que existem meios de se reduzir spam em ambientes do Exchange Server 2003. O Exchange Server 2003 Anti-Spam Framework combina métodos de proteção contra spam que fornecem boa flexibilidade para ajudar administradores e usuários finais a reduzir emails indesejados e aumentar os níveis de produtividade.

Referências

Você pode baixar Visão geral do Microsoft Exchange Server 2003 Anti-Spam Framework (a página pode estar em inglês) do Centro de Download da Microsoft em http://download.microsoft.com/download/0/E/6/0E6A7113-DDA4-4FD7-AABA-B9E264700225/Anti-Spam.doc.

O tópico Proteção aperfeiçoada contra spam em Visão geral do Exchange Server 2003 SP2 (a página pode estar em inglês) está disponível em www.microsoft.com/exchange/evaluation/sp2/overview.mspx#antispam.

Informações sobre o Exchange Intelligent Message Filter (IMF) e suas atualizações (em inglês) estão disponíveis no Microsoft TechNet em www.microsoft.com/technet/prodtechnol/exchange/downloads/2003/imf/default.mspx.

O documento "Tratamento de mensagens na Microsoft: Como o Microsoft IT se defende de ataques de spam, vírus e email" está disponível (a página pode estar em inglês) no Microsoft TechNet em www.microsoft.com/technet/itsolutions/msit/security/messaginghygienewp.mspx.

O artigo "Listas de bloqueio em tempo real do Exchange Server 2003 " está disponível (a página pode estar em inglês) no Microsoft TechNet em www.microsoft.com/technet/prodtechnol/exchange/2003/insider/Block_Lists.mspx.

O artigo da Microsoft Knowledge Base "Como configurar a filtragem de conexões para usar RBLs (Lista de bloqueios em tempo real) e a filtragem de destinatários no Exchange 2003" está disponível em http://support.microsoft.com/kb/823866/pt-br.

Download

Obtenha o documento Abordagens sobre a guerra contra o spam em um ambiente do Exchange Server



Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft