• Artigo

Segurança

Proteger email com o Forefront Security

Neetu Rajpal

 

Visão geral:

  • Instalando e configurando o Forefront Security para Exchange Server
  • Vários mecanismos de verificação e verificação de diretivas
  • Combatendo spam com conexão e filtragem de conteúdo
  • Configurar e gerenciar FSE usando o Windows PowerShell

Conteúdo

Guia de Introdução
Antimalware
Antispam
Mostrar-me os resultados
O Windows PowerShell
Quebra automática para cima

A próxima versão de geração do Forefront Security para Exchange Server (daqui em chamado de FSE) é um produto de antimalware (antispam, antivírus e conteúdo filtragem) premium para proteção de email que flui através de ambientes de servidor do Exchange. Ele é integrado com o Exchange Server e pode verificar todos os emails estão em trânsito (mover no, check-out ou dentro da empresa), em uso (sendo leitura), ou em repouso (armazenado na caixa de correio do usuário). O produto é fornecido com uma configuração padrão para permitir o uso imediato após a instalação, mas pode ser modificado para atender às necessidades exatas da empresa.

Obter mais informações, estudos de caso e uma versão de avaliação do produto estarão disponíveis da TechCenter do Microsoft Forefront Server Security Após o FSE lançamento posteriormente neste ano.

Neste artigo, eu orientará por meio dos recursos de FSE. Eu assumirá você estiver familiarizado com o Exchange Server 2007 e examine apenas a segurança e recursos de FSE instalado no Exchange Server local de filtragem de conteúdo. Discutirei como você pode proteger sua empresa contra spam indesejado e malware, como bem como como para restringir conteúdo no email da empresa usando vários tipos de filtragem. Para navegar por conteúdo técnico tudo isso, VOU usar a nova experiência de gerenciamento simplificado de FSE, que é integrado ao servidor de gerenciamento Microsoft Forefront (codinome "Stirling") futuro. Eu não, no entanto, abordará Stirling ou FSE integração com ele.

Guia de Introdução

Se você já tiver definido para sua organização do Exchange Server, instalar FSE é simples. Você instalar o produto na mesma máquina que o Exchange Server; FSE oferece suporte as funções de servidor Transporte de Borda do Exchange, Transporte de Hub do Exchange e caixa de correio do Exchange. FSE perfeitamente se conecta no ambiente do Exchange usando a arquitetura de agente publicamente acessíveis e o antivírus API (VSAPI). Uma vez instalado, a segurança e diretivas de filtragem podem ser editadas por meio do console do Forefront Server Security Administrator, mostrado na Figura 1 . O painel de navegação à esquerda permite mover para uma área específica da interface do usuário para exibir ou editar. O painel de detalhes no meio exibe as informações de configuração, e o painel de ações à direita é usado para executar ações.

fig01.gif

Figura 1 O Forefront Server Security Administrator console

Vamos examinar as configurações de antimalware (no lado esquerdo da Figura 1 ). Neste exemplo, o nó de antimalware tem três subnós que podem ser usadas para configurar as configurações de segurança de email em diferentes pontos:

em tempo real de caixa de correio Essas configurações são para email em uso (como ele é lido). Esta seção é desativada quando o Exchange Server local que FSE está instalada no não é a função de caixa de correio. Tem sido uma suposição de design para essas configurações que email é examinado sempre sobre sua maneira de caixa de correio, (em trânsito) usando o transporte de Hub ou as configurações de verificação de Transporte de Borda. Mas a verificação em tempo real de caixas de correio é útil quando há um grande atraso entre o momento que o email entra no sistema e o tempo que o email é lido. Como FSE verifica malware usando assinaturas de antivírus e heurística embutidas os mecanismos, atualizados mecanismos e atualizados assinaturas podem fazer uma diferença significativa no malware é detectada

Transporte de Hub Esta seção é usada para definir as configurações de email em trânsito (entrado, saído e interno). Você verá esta seção somente quando o servidor Exchange local base tem a função de Transporte de Hub esteja implantada. Algumas empresas tomar uma decisão não a função de servidor de borda e implantar a função de servidor hub somente. Começando com o Exchange 2007, todos os emails (entrado, saído e internos) será roteado através um servidor de Hub. As empresas que implantam apenas um servidor de Hub podem defina todas as configurações de segurança de email em trânsito na seção Transporte de Hub do console do administrador. As empresas que implantam servidores de Borda e Hub podem optar por não examinar novamente email quando chegar a servidor de Hub depois de passar pelo servidor de borda.

caixa de correio agendadas Essas são malware configurações de segurança de email em repouso (email recebidos anteriormente e armazenados em caixa de correio do usuário). Esta seção é visível somente quando o servidor Exchange local é a função de caixa de correio. Essa verificação é útil para capturar qualquer malware que tiver adiadas por meio de verificações de mensagens em trânsito, bem como para medir a eficiência de diretivas de filtro de palavra-chave proposto. Por exemplo, suponha que a empresa fictícia Contoso introduz uma nova diretiva que proíba profanação no email. Não são se, no entanto, se essa diretiva, na verdade, é necessário ou se será eficiente. Para medir a eficiência da diretiva, a empresa configura um filtro de palavra-chave com FSE e executa uma verificação agendada de caixa de correio. Em seguida, usar essa verificação, o administrador IT verifica o email nas caixas de correio dos alguns (ou muitos ou todos os) usuários selecionados e gera um relatório de todos os emails teria sido violando essa diretiva se ele foi implementado. Com esses dados em mãos, a Contoso pode tomar uma decisão mais embasada sobre a palavra-chave filtragem diretivas para sua organização.

Observe que não há nenhum nó de Transporte de Borda na Figura 1 . A seção de Transporte de Borda, para definir as configurações de antimalware para email em trânsito (entrado / saído), só está disponível quando o servidor Exchange local base é a função Transporte de Borda. No exemplo na Figura 1 , o servidor do Exchange subjacente é a função de Transporte de Hub e a função de caixa de correio para que as configurações de Transporte de Borda não sejam disponíveis. A função de Borda do Exchange principalmente é implantada no DMZ e usada para higiene de troca de email; é recomendável que as configurações de segurança ser definidas para o máximo nessa função.

Antimalware

O Forefront Security for Exchange usa vários mecanismos de antimalware para encontrar vírus, worms e spyware. Alguns mecanismos são com base em assinatura enquanto outros têm recursos de heurístico. Uma solicitação comum de clientes é para obter orientação sobre como selecionar quais mecanismos para executar para a detecção e o desempenho melhor. Com novas opções predefinidas, FSE agora torna o processo muito mais simples e também manter todas as anteriormente disponíveis configurações avançadas para clientes que desejam um nível mais alto de controle. Você pode escolher uma das diretivas de mecanismo de seleção com base em suas segurança vs. necessidades de desempenho — e todas as outras configurações da gerenciamento mecanismo são decidiu automaticamente. a Figura 2 descreve os diferentes tipos de verificações que disponibiliza a seção inteligente Engine Selection.

Figura 2 as verificação ofertas de diretiva diferente
Diretiva Descrição
Sempre verificar com todos os mecanismos selecionados Esta é a configuração mais segura. Quando essa opção é selecionada, FSE verificará todos os emails com todos os mecanismos que fazem parte do produto. No caso provável que qualquer um dos mecanismos ou assinaturas para os mecanismos de está atualizando, FSE bloqueará todos os emails até que as atualizações tem terminado e FSE é capaz de usar o novo mecanismo ou a assinatura.
Verificar com o subconjunto dos mecanismos selecionados que estão disponíveis Essa configuração é um pouco menos segura. Quando isso é escolhido, FSE verificará todos os emails com todos os mecanismos que estão disponíveis no momento. Se todos os mecanismos selecionados estiverem disponíveis, o email será examinado por todos eles. No entanto, se um dos mecanismos selecionados está sendo atualizado, email será verificado com os mecanismos de restantes e permissão para passar se considerado livre de malware.
Verificar com um subconjunto dinamicamente escolhido dos mecanismos selecionados Essa configuração de saldos entre desempenho e segurança. Um subconjunto dos mecanismos será selecionado por FSE para verificar o email. Escolha esta configuração quando você deseja alguma proteção extra e a importância de usar vários mecanismos, mas precisará tomar o desempenho em consideração.
Verificar com apenas um dos mecanismos selecionados Essa configuração deve ser separada somente quando o desempenho é fundamental e o email tem sido digitalizado anteriormente. Com essa opção, FSE dinamicamente selecionará um mecanismo para verificar o email.

Empresas que precisa de controle preciso sobre quais mecanismos são usados para a digitalização podem usar a configuração do Gerenciamento Avançado de mecanismo de na parte inferior da página da diretiva.

Antispam

O spam continua a ser uma dos impostos de recurso mais egregious para empresas em termos de email. Um número grande desproporcionalmente de emails recebidos pela maioria das empresas são spam. FSE oferece uma nova solução antispam de premium que adota uma abordagem de dois pinos — filtragem com base em tanto conexão e o conteúdo.

filtragem de conexão Antes de email recebe para a empresa, FSE pode fazer uma avaliação de reputação com base no endereço IP do remetente. Se o endereço IP estiver marcado como um remetente de spam conhecidos, a conexão é recusada e o email nunca insere a empresa. Há suporte para a avaliação de reputação-com base em um serviço online que a Microsoft mantém. FSE também reconhece que a TI e a necessidade dos administradores para poder substituir as avaliações de reputação FSE faz, portanto, ele fornece uma lista de Permissão de IP e uma lista de bloqueios de IP de mensagens. Qualquer endereço IP na lista de permissões de IP não será avaliado e, na verdade, será ser passado diretamente para a caixa de entrada do destinatário. Quaisquer conexões de email de endereços IP na lista de bloqueios de IP serão rejeitadas sem qualquer análise da reputação. a Figura 3 mostra as configurações de proteção para a FSE-com base em antispam filtragem de conexão.

fig03.gif

A Figura 3 conexão antispam fi ltering

filtragem de conteúdo Depois que o email passa a filtragem de conexão de FSE, ele obtém uma avaliação de spam de segundo nível com base no conteúdo do email. FSE integra um mecanismo de antispam de terceiros líderes do setor. Quando a filtragem de conteúdo está habilitada, o FSE atribui um nível de confiança de spam a cada mensagem de email verifica. Dependendo o nível de confiança de spam, as empresas podem optar por excluir o email, colocar em quarentena, ou simplesmente marcá-la e entregá-lo para a caixa de correio do usuário onde ele acabará na pasta Lixo Eletrônico.

Há vários tipos de filtros de conteúdo que podem ser especificados por meio do console administrativo do FSE. a Figura 4 mostra o que você vê ao especificar a diretiva de filtro de arquivo, que permite que os emails de bloco de empresas com um tipo de arquivo específico. FSE detectará o tipo de arquivo com base em inspeção binária em vez do nome de arquivo para evitar perigo se uma extensão de arquivo foi alterada. Portanto, se a empresa define uma diretiva para o compartilhamento não executáveis através de email, FSE pode bloquear arquivos executáveis — mesmo se o remetente tenta ignorar a detecção alterando o nome do arquivo para algo como NotExecutable.txt. Bem como filtragem de tipo de arquivo, FSE também pode bloquear arquivos com base em que o nome do arquivo ou uma combinação de ambos.

fig04.gif

A Figura 4 Configurando o filtro de arquivo

Mostrar-me os resultados

Quando as configurações estão definidas, FSE funcionarão no plano de fundo. A seção de monitoramento do painel de navegação pode ser usada para ver tudo o que tem sido acontecendo com FSE. A lista de painel ( Figura 5 ) incidentes de todos os incidentes de segurança e filtragem correspondências de diretiva. Há também um painel de quarentena que mostra todos os emails colocados em quarentena pelo FSE. Você pode usar esse painel não apenas para ver qual email foi bloqueado mas também para entregar email que foi anteriormente em quarentena.

fig05.gif

A Figura 5 exibindo incidentes de segurança

O Windows PowerShell

FSE implementa uma camada de Windows PowerShell nova e ampla. Todas as definições de configuração, relatórios e outras opções acessíveis pela interface do usuário também são acessíveis através dessa camada. O PowershellSnapIn FSE está disponível no Shell de Gerenciamento do Forefront. Você pode exibir os comandos disponíveis para FSE digitando

Get-Help *FSE*

Um dos aspectos mais úteis de usar o Windows PowerShell é que os comandos tornam fácil estabelecer as configurações de configuração de FSE em um servidor e transferi-los para qualquer outro servidor. Depois de configurar um servidor, você pode exportar as configurações usando o comando FSESettings de exportar e importar para outro servidor usando o Import-FSESettings.

Quebra automática para cima

Este artigo apresenta alguns dos recursos da próxima geração Forefront Security para Exchange Server. Com vários mecanismos de verificação e recursos de filtragem, o produto protege email permitindo que você se o desempenho em consideração. Você também pode tratar configuração e gerenciamento de como você preferir, usando o console de administração ou o Windows PowerShell. Espero que este artigo incentiva a avaliar FSE para si mesmo.

Neetu Rajpal é gerente de programa do grupo do equipe do Forefront Server Security em Hauppauge, em Nova York. Ela tem sido um software profissional para sobre 13 anos e adora a criação de software interessante. Ela gasto a parte inicial da sua carreira em tudo XML e agora funciona no software de segurança baseado em servidor.