Entendendo a proteção antispam
Aplica-se a: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange
Tópico modificado por último: 2012-02-29
Este tópico oferece uma visão geral dos recursos antispam disponíveis no Microsoft® Forefront® Online Protection for Exchange (FOPE).
Gerenciamento e armazenamento de spam
FOPE tem quatro opções para gerenciamento e armazenamento de spam. As configurações dessas opções são gerenciadas no nível de domínio.
Configurando Quarentena de Spam: Quarentena de Spam é a opção mais usada para armazenar spam, porque ela libera os servidores de email corporativo da necessidade de processar e armazenar esse tipo de email. Além disso, a opção Quarentena de Spam evita que os usuários tenham que lidar com as mensagens de spam, o que melhora a produtividade dos funcionários. Com essa opção, o email identificado como spam é redirecionado para a caixa de correio de spam de cada usuário hospedada na Web pelo serviço FOPE. As mensagens de spam são armazenadas por 15 dias e, depois são automaticamente excluídas.
Configurando o Cabeçalho X no FOPE: Essa opção entrega o email normalmente, mas insere um cabeçalho X-spam especial no cabeçalho do email. Você pode adicionar comentários de Cabeçalho X personalizado às mensagens identificadas como spam pelo serviço FOPE. O cabeçalho X será adicionado ao cabeçalho de Internet de todas as mensagens de spam subsequentes. A opção Cabeçalho X fornece uma contagem real de quantas mensagens de email foram filtradas como spam. Também é possível estabelecer regras de servidor de email ou regras do lado do cliente para filtrar mensagens de email marcadas com Cabeçalhos X, se necessário.
Entendendo o redirecionamento de spam: O email que for identificado como spam será redirecionado para um único endereço SMTP do domínio. Você pode examinar essas mensagens, para sua comodidade, em um único local hospedado no servidor de email.
Entendendo Modificar Assunto no FOPE: Você pode adicionar uma palavra ou frase identificadora à linha do assunto das mensagens identificadas como spam, como SPAM. Se for necessário, crie regras do lado do cliente para filtrar as mensagens de spam.
Mais informações sobre cada opção podem ser encontradas em Entendendo as configurações de ação de spam no FOPE.
Defesa em camadas contra lixo eletrônico
O FOPE oferece precisão aprimorada com a tecnologia proprietária e multicamadas de antispam, que ajuda a garantir que emails não solicitados sejam filtrados automaticamente antes que entrem nos sistemas de mensagens corporativos. Depois que um domínio for configurado e habilitado para o serviço FOPE, um registro MX do domínio é indicado para rotear emails por meio do serviço. Depois disso, a intervenção contínua pelos usuários de TI ou administradores não será mais necessária.
Bloqueio de reputação de IP
O bloqueio da reputação de IP do FOPE serve como primeira linha de defesa contra emails indesejados e bloqueia cerca de 90% do lixo eletrônico de entrada com a análise da conexão e da reputação.
Análise de conexão
Cada conexão com a rede do FOPE é rigorosamente monitorada e avaliada com base nos comandos SMTP emitidos pelo servidor de conexão. As solicitações de conexão não padrão que não estão de acordo com os padrões RFC e as tentativas de conexão falsificadas são imediatamente descartadas. Isso ajuda a proteger suas redes contra essas tentativas de conexão inválido.
Análise de reputação
O bloqueio de conexão baseado na reputação do FOPE utiliza uma lista patenteada que, com base na análise de dados históricos, contém os endereços dos computadores conectados à Internet que são responsáveis pela maioria dos spams. Por meio de uma parceria contínua com o Microsoft® Windows Live™ Hotmail®, o FOPE agrega dados de lixo eletrônico corporativo e do consumidor para preencher um banco de dados de reputação extenso e abrangente.
O FOPE também utiliza informações de reputação de IP de outras empresas e ISPs para fornecer proteção aprimorada contra ataques de IPs questionáveis e botnets, provenientes de diversos computadores comprometidos que executam software em uma infraestrutura comum de comando e controle. Os remetentes de spam estão frequentemente criando sites mal-intencionados para serem usados como malware de phishing e infecção. O FOPE aproveita várias fontes para atualizar rapidamente listas de URLs mal-intencionadas conhecidas e seus filtros de conteúdo a fim de bloquear essas mensagens.
Proteção contra lixo eletrônico
Depois que uma mensagem ultrapassa o bloqueio de borda, ela deve ultrapassar estas quatro camadas adicionais de tecnologia antispam:
Opções de Filtragem de Spam Adicionais
Vários clientes desejam ter de mais controle sobre emails que contenham imagens obscenas, afetem a privacidade ou tentem enganar os usuários fazendo-os divulgar informações confidenciais. O recurso ASF (filtro de spam adicional) do FOPE permite que você aplique sinalizadores de filtragem e mensagens de quarentena que contenham vários tipos de conteúdo ativo ou suspeito. Para obter informações detalhadas sobre os sinalizadores de filtragem de ASF disponíveis, consulte Configurando opções adicionais de filtragem de spam.
Autenticação baseada em IP
O serviço do FOPE autentica a identidade do remetente de cada mensagem de email. Se uma mensagem não puder ser autenticada e for de um remetente falsificado, provavelmente ela será classificada como spam. O SPF (Sender Policy Framework), um padrão do setor que impede a falsificação do endereço do caminho de retorno usando a identidade SMTP Mail From no email, facilita a identificação de falsificações. As pesquisas do SPF ajudam a verificar se a entidade listada como remetente enviou mesmo a mensagem de email.
Impressões digitais
Quando as mensagens contêm características de spam conhecidos, são identificadas e suas impressões digitais registadas. Quando uma mensagem ganha uma impressão digital, ela recebe uma ID exclusiva baseada em seu conteúdo. O banco de dados de impressões digitais agrega dados de todos os spams bloqueados pelo sistema FOPE, aprimorando e refinando o processo de impressão digital à medida que mais mensagens são processadas. Se uma mensagem com impressão digital passa pelo sistema uma segunda vez, a impressão digital é detectada e a mensagem é marcada como spam. O sistema analisa continuamente as mensagens de entrada para determinar novos métodos de spam. A equipe de análise de spam do FOPE atualiza a camada de impressões digitais à medida que novas campanhas são detectadas.
Contagem de pontos baseada em regras
O serviço FOPE pontua mensagens com base em mais de 20.000 regras que incorporam e definem características de spam e emails legítimos. A pontuação aumenta se uma mensagem contiver características de spam, e diminui se ela contiver características de emails legítimos. Quando a pontuação de uma mensagem atingir um limite definido, a mensagem será sinalizada como spam.
Estas são as características de mensagem que o FOPE avalia e pontua:
Frases no corpo e assunto da mensagem, incluindo URLs
Ofuscação HTTP, que está mascarando URLs de spam como URLs legítimas
Cabeçalhos inválidos, que foram criados incorretamente
Tipo de cliente de email
Formação de cabeçalhos; por exemplo, ID de Mensagem, Recebido, caracteres aleatórios
Servidor de email de origem
Agente de email de origem
Endereço de origem e endereço SMTP de origem
As regras atuais são modificadas e novas regras são adicionadas quando necessário, várias vezes ao dia, todos os dias, pela equipe de spam.
Mitigação de backscatter de notificação de falha na entrega
Vários fatores podem ocasionar falha nas NDRs (notificações de falha na entrega), possivelmente afetando um ambiente de email. Por exemplo, um dos endereços de email de um domínio pode ser afetado por uma campanha de falsificação ou ser o endereço de origem para um ataque de coleta de diretório. Qualquer um desses problemas poderia resultar em um aumento repentino no número de NDRs entregues aos usuários finais. O backscatter de NDR, que se refere a várias mensagens recebidas quando um endereço de email é forjado como remetente de spam, se tornou um problema para diversas empresas. Além das regras de detecção de NDR, uma regra de ASF adicional do FOPE ajuda a bloquear o backscatter. Essa opção filtra as mensagens de NDR e as coloca em quarentena.
Para clientes de filtragem de saída, a lógica é usada para detectar NDRs que são mensagens de devolução legítimas, que, por sua vez, são entregues ao remetente original sem que a opção ASF seja habilitada. No caso dos clientes de saída, a detecção inteligente de NDRs legítimas é habilitada por padrão.
Consulte também
Conceitos
Entendendo a filtragem de spam de saída
Entendendo a Precisão e a Eficiência do Antispam