Noções Básicas Sobre o Fluxo de Mensagens Antispam e Antivírus
Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Tópico modificado em: 2016-11-28
Quando um usuário externo envia mensagens de email a um servidor do Microsoft Exchange que executa os recursos antispam, esses recursos avaliam de forma cumulativa as características de mensagens de entrada e filtram as mensagens com suspeita de serem spam ou atribuem uma classificação às mensagens com base na probabilidade de que elas sejam spam. Essa classificação é armazenada com a mensagem como uma propriedade denominada classificação de nível de confiança de spam (SCL). Essa classificação persiste na mensagem quando ela é enviada a outros servidores Exchange.
A figura a seguir mostra a ordem em que os recursos anti-spam padrão e o Microsoft Forefront Protection para Exchange Server filtram mensagens de entrada da Internet. Por padrão, os recursos antispam e antivírus são organizados nessa ordem, com os filtros que usam poucos recursos de filtragem primeiro e os filtros que usam muitos recursos de filtragem por último.
Dica
As figuras e explicações a seguir consideram que o servidor Transporte de Borda do Microsoft Exchange Server 2010 é o primeiro servidor SMTP a aceitar mensagens de entrada. Em algumas organizações, o servidor de Transporte de Borda pode ser implementado por trás de um servidor SMTP de terceiros. Quando o servidor de Transporte de Borda do Exchange 2010 é implantado por trás de um servidor de gateway SMTP de terceiros, o servidor de Transporte de Borda do Exchange 2010 exige configuração adicional. Especificamente, você deve verificar se todos os servidores gateway SMTP estão listados na propriedade InternalSMTPServer do objeto TransportConfig. Para obter mais informações, consulte Set-TransportConfig.
Para mais informações sobre os recursos adicionais de anti-spam e antivírus do Exchange, consulte Microsoft Forefront Protection 2010 para Exchange Server.
Recursos antispam padrão com filtro antivírus de mensagens de entrada da Internet
Conforme a figura anterior, quando um servidor SMTP se conecta ao Exchange 2010 e inicia uma sessão SMTP, os filtros são aplicados nesta ordem, quando o servidor de Transporte de Borda está voltado para a Internet:
Filtragem de conexão
Filtragem por remetente
Filtragem por destinatário
Filtragem de ID por remetente
Filtragem de conteúdo
Filtragem de reputação do remetente
Filtragem de anexos
Verificação antivírus
Filtragem de lixo eletrônico do Outlook
Dica
A filtragem de conexões reúne informações durante dois eventos diferentes. No primeiro evento, a filtragem de conexões reúne informações do endereço IP da conexão (mostrado na figura anterior). No segundo evento, a filtragem de conexões reúne informações quando o agente Filtro do Remetente analisa os cabeçalhos de mensagem para determinar o primeiro endereço de IP externo (mostrado na figura "Filtragem de Remetente", adiante neste tópico). Os agentes podem monitorar vários eventos. A figura anterior mostra uma exibição de alto nível da ordem aproximada que os agentes são aplicados, quando todos os agentes estiverem habilitados, com o objetivo de ilustrar o fluxo de mensagens. Para obter mais informações sobre eventos específicos e quais agentes monitoram quais eventos, consulte Noções Básicas Sobre Agentes de Transporte.
Procurando outras tarefas de gerenciamento relacionadas a funcionalidades antispam e antivírus? Consulte Gerenciando recursos anti-spam e antivírus.
Conteúdo
Filtragem de Conexão
Filtragem por Remetente
Filtragem por Destinatário
Filtragem de ID por Remetente
Filtragem de Conteúdo
Filtragem de Reputação do remetente
Filtragem de anexos
Verificação Antivírus
Filtragem de Lixo Eletrônico do Outlook
Filtragem de Conexão
Durante a sessão SMTP, o Exchange 2010 aplica filtragem de conexão usando os critérios mostrados na figura a seguir:
Fluxo de mensagens de filtragem de conexão
O seguinte processo se aplica:
O agente Filtro de Conexão examina a Lista de Permissões de IP definida pelo administrador. Se o endereço IP do servidor remetente estiver na Lista de Permissões de IP definida pelo administrador, a mensagem será então processada pela Filtragem por Remetente.
O agente Filtro de Conexão examina a Lista de Bloqueios de IP local. Se o endereço IP do servidor remetente for encontrado na Lista de Bloqueios de IP local, a mensagem será automaticamente rejeitada e nenhum outro filtro será aplicado.
O agente Filtro de Conexão examina a lista de endereços IP permitidos dos provedores da Lista de Permissões de IP que você tem. Se o endereço IP do servidor remetente estiver na lista de endereços IP permitidos dos provedores da Lista de permissões de IP, a mensagem será processada pela Filtragem por remetente.
O agente Filtro de conexão examina as listas de bloqueio em tempo real de quaisquer provedores de Lista de bloqueios de IP que você tiver configurado. Se o endereço IP do servidor remetente for encontrado em uma lista de bloqueio em tempo real, a mensagem será rejeitada e nenhum outro filtro será aplicado.
Para mais informações, consulte Noções Básicas Sobre Filtragem de Conexão.
Dica
Se o agente Filtro de Conexão estiver implantado em um computador por trás de outro servidor voltado para a Internet, outros filtros, como filtragem por remetente e por destinatário, serão acionados antes do agente Filtro de Conexão.
Voltar ao início
Filtragem por Remetente
Depois da aplicação da filtragem de conexão, o Exchange 2010 examina os endereços de email do remetente, comparando-os com a lista de remetentes bloqueados configurada na filtragem por remetente, conforme a figura a seguir.
Fluxo de mensagens de filtragem de remetente
O agente Filtro de Remetente verifica o endereço de email do remetente contido nos campos do cabeçalho De, no envelope e no cabeçalho da mensagem. E um dos campos De corresponder ao endereço da lista de Remetentes Bloqueados, o Exchange 2010 rejeitará a mensagem em nível de protocolo e nenhum outro filtro será aplicado.
Dica
Mesmo que destinatários da sua organização tenham colocado remetentes na Lista de Remetentes Seguros do Microsoft Outlook, a filtragem por remetente do servidor de Transporte de Borda substituirá a configuração do Outlook do destinatário e rejeitará as mensagens.
Para mais informações sobre filtragem de remetentes, consulte Noções Básicas Sobre Filtragem por Remetente.
Para mais informações sobre envelopes e cabeçalhos de mensagens, consulte Entendendo os Diretórios de Retirada e de Repetição.
Voltar ao início
Filtragem por Destinatário
Se a filtragem de remetente não rejeitar a mensagem, o Exchange executa a filtragem de conexão novamente. O Exchange, então, aplica o agente Filtro de Destinatário, conforme a figura a seguir.
Fluxo de mensagens de filtragem de remetente
O agente de Filtro de destinatário examina o destinatário relacionado à lista de Bloqueio de destinatários definida nas configurações do agente de Filtro de destinatário. Se o destinatário pretendido corresponder a um endereço de email da Lista de Bloqueios de Destinatários, o Exchange 2010 rejeitará a mensagem desse destinatário específico. Além disso, o agente Filtro de Destinatário verifica se o destinatário está presente na organização. Se não estiver, o Exchange rejeitará a mensagem para aquele destinatário específico.
Se vários destinatários estiverem listados na mensagem e nem todos constarem na lista de Bloqueios de Destinatários, a mensagem continuará sendo processada. Caso contrário, se a mensagem estiver ligada a apenas um destinatário bloqueado, nenhum outro filtro será aplicado.
Quando uma mensagem com destinatários bloqueados for processada, o conjunto de destinatários bloqueados será removido da mensagem e a mensagem continuará na organização. As respostas de rejeição de SMTP do nível de protocolo são enviadas ao remetente de cada destinatário bloqueado. O agente Reputação do remetente monitora o evento OnReject para calcular o SRL (Nível de reputação do remetente).
Para mais informações, consulte Noções básicas sobre Filtragem de Destinatário.
Voltar ao início
Filtragem de ID por Remetente
Se a mensagem ainda contiver destinatários válidos depois da aplicação da filtragem por destinatário, o Exchange 2010 executará o agente ID de Remetente, conforme mostrado na figura a seguir.
Fluxo de mensagens de filtragem de ID do remetente
Primeiro, o agente ID de Remetente determina o PRA (Endereço Responsável por Expressão) da mensagem, usando o algoritmo descrito em RFC 4407. Essa etapa é necessária para identificar com precisão o remetente da mensagem. O PRA é um endereço SMTP, como kim@contoso.com. O agente ID de Remetente, então, executa uma pesquisa de DNS (serviço de nome de domínio) em relação à parte do domínio do PRA. Se aquele domínio tiver publicado um registro da SPF (estrutura da diretiva de remetente), o agente usará o registro da SPF para avaliar a mensagem de acordo com a especificação de RFC 4408. O resultado da avaliação é carimbado na mensagem no carimbo anti-spam. Se o domínio não tiver um registro da SPF publicado, o agente ID de Remetente carimbará "Nenhum" na mensagem, como resultado da ID de Remetente. Para obter mais informações sobre os tipos de carimbos usados para a filtragem de ID por Remetente, consulte Noções Básicas Sobre Carimbos Antispam.
Se o DNS do remetente vier de um domínio ou endereço bloqueado, as seguintes ações poderão ser tomadas, dependendo da configuração de ações de ID de Remetente:
Rejeitar mensagem Se a ação da ID de Remetente estiver definida como Rejeitar Mensagem, o Exchange rejeitará a mensagem e enviará uma resposta de erro de SMTP para o servidor remetente. A resposta de erro SMTP é uma resposta de protocolo de nível 5xx com texto que corresponde ao status da ID de Remetente.
Excluir mensagem Se a ação do ID de Remetente estiver definida como Excluir Mensagem, o Exchange excluirá a mensagem sem informar o servidor remetente da exclusão. O computador com a função de servidor Transporte de Borda instalada envia um comando SMTP "OK" falso para o servidor de envio e exclui a mensagem. Como o servidor de envio pressupõe que a mensagem foi enviada, ele não tentará enviar novamente a mensagem na mesma sessão.
Carimbar mensagem com resultado de ID de Remetente e continuar o processamento O Exchange carimba a mensagem com o resultado de ID de Remetente e continua a processá-la. Esses metadados são avaliados pelo agente de Filtro de Conteúdo quando um SCL é calculado. Além disso, a reputação do remetente usa os metadados da mensagem ao calcular o SRL para o remetente da mensagem.
Para mais informações, consulte Noções Básaicas sobre ID de remetente.
Voltar ao início
Filtragem de Conteúdo
Antes de a filtragem de conteúdo do Exchange acionar o Filtro Inteligente de Mensagens do Exchange, ela aplicará novamente a filtragem por remetente. O servidor Exchange, então, aplicará o agente Filtro de Conteúdo, conforme a figura a seguir.
Fluxo de mensagens de filtragem de conteúdo
O agente de Filtro de Conteúdo verifica as seguintes condições na mensagem. Se alguma das condições for verdadeira, a mensagem irá ignorar a filtragem de conteúdo e de anexo. Essas mensagens serão, então, enviadas para verificação antivírus, para processamento. As seguintes condições são verificadas:
O endereço IP do remetente está na Lista de Permissões de IP para filtragem de conexão.
Todos os destinatários estão na lista de exceções para filtragem de conteúdo.
O parâmetro AntiSpamBypassEnabled está definido como
$Trueem todas as caixas de correio dos destinatários.Todos os destinatários adicionaram esse remetente à Lista de Remetentes Seguros do Outlook, que é atualizada para o servidor de Transporte de Borda usando agregação de lista segura.
O remetente é um parceiro confiável e está na lista de remetentes da organização que não são filtrados.
Além das condições mencionadas aqui, se a sessão SMTP tiver sido autenticada como um parceiro confiável e se o administrador tiver concedido a permissão para Ignorar Antispam (Ms-Exch-Bypass-Anti-Spam) aos parceiros, os agentes antispam serão desabilitados para mensagens durante aquela sessão. A permissão para Ignorar Antispam não é concedida a parceiros por padrão e deve ser atribuída por um administrador.
Se uma mensagem não satisfizer nenhuma das condições descritas aqui, a filtragem de conteúdo será aplicada. A filtragem de conteúdo atribui à mensagem um valor de SCL. Com base no valor de SCL, ocorrerá uma das seguintes ações:
Se o valor de SCL da mensagem for igual ou maior do que o limite de exclusão de SCL e esse limite estiver habilitado, o agente Filtro de Conteúdo excluirá a mensagem. Não existe comunicação no nível de protocolo que informe ao sistema de envio ou ao remetente que a mensagem foi excluída. Se o valor de SCL for menor que o valor do limite de exclusão de SCL, o agente Filtro de Conteúdo não excluirá a mensagem. Em vez disso, o agente do Filtro de Conteúdo comparará o valor da SCL com o limite de rejeição da SCL.
Se o valor de SCL da mensagem for igual ou maior do que o limite de rejeição de SCL e esse limite estiver habilitado, o agente Filtro de Conteúdo rejeitará a mensagem e enviará uma resposta de rejeição para o sistema remetente. Você pode personalizar a resposta de rejeição. Em alguns casos, uma notificação de falha na entrega é enviada ao remetente original da mensagem. Se o valor de SCL for menor que o valor do limite de rejeição de SCL, o agente Filtro de Conteúdo não rejeitará a mensagem. Em vez disso, o agente do Filtro de Conteúdo comparará o valor da SCL ao limite de quarentena da SCL.
Se o valor de SCL da mensagem for igual ou maior do que o limite de quarentena de SCL e esse limite estiver habilitado, o agente de Filtro de Conteúdo enviará a mensagem para a caixa de correio de quarentena de spam. Para mais informações sobre como gerenciar a caixa de correio de quarentena de spam, consulte Noções Básicas Sobre Filtragem de Conteúdo. A mensagem, então, seguirá para a filtragem de anexos.
Para obter mais informações, consulte os seguintes tópicos:
Voltar ao início
Filtragem de Reputação do remetente
Depois da aplicação da filtragem de conteúdo, o Exchange aplicará a filtragem de reputação do remetente, conforme mostrado na figura a seguir.
Fluxo de mensagens de reputação do remetente
A reputação do remetente considera cada uma dessas estatísticas de mensagen a seguir e calcula um SRL para cada remetente.
Análise HELO/EHLO
Pesquisa de DNS inversa
Análise da classificação de SCL em mensagens de um remetente específico
Teste de proxy aberto do remetente
O SRL é um número entre 0 e 9 que prevê a probabilidade de um remetente específico ser um remetente de spam ou um usuário mal-intencionado. Um valor de 0 indica que o remetente provavelmente não é um remetente de spam; um valor de 9 indica que provavelmente o remetente é um remetente de spam.
Você pode configurar um limite de bloqueio de SRL entre 0 e 9 pelo qual a reputação do remetente emitirá uma solicitação para o agente do Filtro de remetente para impedir o remetente de enviar uma mensagem à organização. Quando um remetente é bloqueado, ele é adicionado à lista de Remetentes Bloqueados por um período configurável. A maneira como as mensagens bloqueadas são tratadas depende da configuração do agente de Filtro por Remetente. As seguintes ações são as opções para manipulação de mensagens bloqueadas:
Rejeitar
Excluir e arquivar
Aceitar e marcar como um remetente bloqueado
Se um remetente for incluído na Lista de bloqueios de IP ou no Serviço de reputação de IP do Microsoft, o agente de Reputação do remetente emitirá uma solicitação imediata ao agente de Filtro de remetente para bloquear o remetente. Para aproveitar essa funcionalidade, você deve ativar e configurar o Serviço de atualização anti-spam do Microsoft Exchange.
Por padrão, o servidor Transporte de Borda define uma classificação de 0 para remetentes que não foram analisados. Depois que um remetente envia 20 ou mais mensagens, a reputação do remetente calcula um SRL que se baseia nas estatísticas listadas anteriormente.
Para mais informações, consulte os seguintes tópicos:
Voltar ao início
Filtragem de anexos
Depois da aplicação da filtragem de reputação do remetente, o Exchange aplicará a filtragem de anexos, conforme a figura a seguir.
Fluxo de mensagens de filtragem de anexo
Você pode configurar a filtragem de anexos para bloquear anexos com base no tipo de conteúdo MIME, nome de arquivo ou extensão de nome de arquivo. Se a filtragem de anexos detectar um tipo de conteúdo ou nome de arquivo bloqueado, ocorrerá uma das seguintes ações com base nas configurações de filtragem de anexos:
Rejeitar Se a ação estiver configurada como Rejeitar, tanto a mensagem de email como o anexo serão impedidos de chegar ao destinatário, e o sistema irá gerar uma DNS (Notificação de status de entrega) de falha para o remetente. Você pode personalizar a resposta de rejeição.
Excluir Sem Aviso Se a ação estiver configurada como Excluir Sem Aviso, tanto a mensagem de email como o anexo serão impedidos de chegar ao destinatário. Nenhuma notificação de que a mensagem e o anexo de email foram bloqueados será enviada ao remetente.
Remover Se a ação estiver configurada como Remover, o anexo será removido da mensagem de email. Esse valor permite que a mensagem e outros anexos que não correspondam a uma entrada na lista de bloqueio de anexos sejam entregues ao destinatário. Uma notificação de que o anexo foi bloqueado é adicionada à mensagem de email do destinatário.
Se a mensagem não for rejeitada ou excluída, ou se a filtragem de anexos não detectar tipos de anexos bloqueados, ela será, então, verificada em busca de vírus.
Para obter mais informações, consulte Configurar a Filtragem de Anexo.
Voltar ao início
Verificação Antivírus
Depois da aplicação da filtragem de anexos ou se os destinatários forem ignorados na filtragem de conteúdo, a verificação antivírus com o Forefront Protection para o Exchange Server será aplicada, conforme a figura a seguir.
Forefront Protection para Exchange Server, fluxo de mensagens de verificação de antivírus
O Forefront Protection para o Exchange Server é uma pacote de software antivírus que está intimamente integrado ao Exchange 2010 e oferece proteção antivírus adicional para o ambiente do Exchange. Quando o Forefront Protection para Exchange Server detecta mensagens que parecem conter um vírus, o sistema exclui a mensagem, gera uma mensagem de notificação e envia a notificação para a caixa de correio do destinatário.
Para mais informações, consulte Microsoft Forefront Protection 2010 para Exchange Server.
Voltar ao início
Filtragem de Lixo Eletrônico do Outlook
Depois da aplicação de todos os filtros e da verificação de vírus, a mensagem é enviada para a caixa de correio do destinatário pretendido e a filtragem de Lixo Eletrônico é aplicada, conforme a figura a seguir.
Fluxo de mensagens de filtragem de Lixo Eletrônico do Outlook.
Se o valor de SCL para a mensagem for igual ou maior do que o limite da pasta de Lixo Eletrônico de SCL e esse limite estiver habilitado, o servidor de Caixa de Correio colocará a mensagem na pasta de Lixo Eletrônico do usuário do Outlook. Se o valor de SCL para uma mensagem for menor que os valores de limite de exclusão, rejeição, quarentena e da pasta Lixo Eletrônico de SCL, o servidor de Caixa de Correio colocará a mensagem na Caixa de Entrada do usuário. Para obter mais informações sobre limites de SCL, consulte Noções Básicas Sobre Limites de Nível de Confiança de Spam.
Voltar ao início
© 2010 Microsoft Corporation. Todos os direitos reservados.