Configurando a filtragem de conexão
Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Tópico modificado em: 2007-07-06
Este tópico fornece uma visão geral de como configurar a filtragem de conexão. Para obter uma configuração personalizada ou mais avançada, consulte os links de cada seção deste tópico. Para obter mais informações sobre como funciona a filtragem de conexão, consulte Filtragem de Conexão.
Dica
Da perspectiva dos componentes configuráveis em um computador em que a função de servidor Transporte de Borda esteja instalada, o recurso de filtragem de conexão se refere a uma coleção de listas de Bloqueios de IP, listas de Permissões de IP, provedores de Lista de Bloqueios de IP e provedores de Lista de Permissões de IP. A filtragem de conexão é usada para estender o servidor.
Ao configurar a filtragem de conexão, siga estas etapas:
Habilite componentes da filtragem de conexão.
Adicione endereços IP às listas de Permissão de IP e listas de Bloqueio de IP.
Configure os provedores de Lista de Permissões de IP e os provedores de Lista de Bloqueios de IP.
Configure a filtragem de conexão para servidores de Transporte de Borda que não sejam o primeiro ponto de entrada do protocolo SMTP.
Teste o recurso de Bloqueio de IP e de Permissão de IP.
Importante
As alterações de configuração que você fizer na filtragem de conexão ao usar o Console de Gerenciamento do Exchange ou o Shell de Gerenciamento do Exchange são feitas apenas no computador local em que a função de servidor Transporte de Borda estiver instalada. Se houver várias instâncias da função de servidor Transporte de Borda em execução na sua organização, aplique alterações de configuração na filtragem de conexão em cada computador.
Habilitando componentes de filtragem de conexão
Por padrão, a filtragem de conexão está habilitada no servidor de Transporte de Borda para mensagens de entrada que vierem da Internet mas não forem autenticadas. Essas mensagens são manipuladas como mensagens externas. Você pode desabilitar o filtro em configurações de computador individual usando o Console de Gerenciamento do Exchange ou o Shell de Gerenciamento do Exchange.
Quando a filtragem de conexão está habilitada em um computador, o agente do Filtro de Conexão filtra todas as mensagens que passam por todos os conectores de recebimento nesse computador. Como observado anteriormente neste tópico, somente as mensagens de origens externas são filtradas. Origens externas são definidas como origens não autenticadas. Essas são consideradas origens anônimas da Internet.
Para obter mais informações sobre como configurar os Conectores de Recebimento e sobre como as categorias de origem de mensagens são determinadas, consulte Conectores de Recebimento.
Como prática recomendada, você não deve filtrar mensagens de parceiros confiáveis ou de dentro da sua organização. Quando você executa filtros anti-spam, sempre há chance de que os filtros detectem falsos positivos. Para reduzir a chance de tratar incorretamente as mensagens de email legítimas, habilite agentes anti-spam para que sejam executados somente em mensagens de origens potencialmente não confiáveis ou desconhecidas. Você pode habilitar e desabilitar a filtragem de conexão em mensagens de qualquer origem, usando o Shell de Gerenciamento do Exchange.
Para obter mais informações sobre como habilitar a filtragem de conexão, consulte Como habilitar a filtragem de conexão.
Adicionando Endereços IP às Listas de Permissão e Bloqueio
Conforme explicado em Filtragem de Conexão, as listas de Bloqueios de IP e as listas de Permissões de IP são listas definidas pelo administrador que especificam endereços IP e intervalos de endereços IP em que a filtragem de conexão atua. Se um endereço IP de origem corresponder a um endereço IP ou intervalo de endereços IP na Lista de Bloqueios de IP, o agente do Filtro de Conexão processará todos os cabeçalhos RCPT TO: da mensagem e então rejeitará a mensagem após o comando MAIL FROM. Quando um endereço IP de origem corresponder a um endereço IP ou intervalo de endereços IP na Lista de Permissões de IP, o agente do Filtro de Conexão enviará a mensagem para o destino sem processamento adicional por outros agentes anti-spam. Para obter mais informações sobre como os agentes anti-spam funcionam em conjunto e a ordem em que eles são aplicados, consulte Funcionalidade anti-spam e antivírus.
Dica
O uso de endereços de IPv6 (Internet Protocol Version 6) e intervalos de endereços IP é suportado apenas quando o Microsoft Exchange Server 2007 Service Pack 1 (SP1) for implementado em um computador executando Windows Server 2008, com suporte a IPv6 e IPv4 (Internet Protocol Version 4) e com a rede suportando ambas as versões de endereços IP. Se o Exchange 2007 SP1 for implementado nesta configuração, todas as funções de servidor poderão enviar e receber dados de dispositivos, servidores e clientes que usarem endereços IPv6. Uma instalação padrão do Windows Server 2008 permite suporte para IPv4 e IPv6. Se o Exchange 2007 SP1 estiver instalado no Windows Server 2003, não haverá suporte para endereços IPv6. Para obter mais informações sobre o suporte a endereços IPv6 no Exchange 2007 SP1, consulte Suporte a IPv6 no Exchange 2007 SP1 e SP2.
Para obter mais informações sobre como adicionar endereços IP à lista de Bloqueios de IP e à lista de Permissões de IP, consulte Como adicionar endereços IP à Lista de Permissões de IP e à Lista de Bloqueios de IP.
Configurando os provedores de Lista de Bloqueios de IP e os provedores de Lista de Permissões de IP
Os serviços de provedor de Lista de Permissões de IP e de Lista de Bloqueios de IP podem ajudar você a reduzir o spam e aumentar o processamento geral de mensagens em seu servidor de Transporte de Borda. Experimente configurar vários serviços de provedores de Lista de Bloqueios de IP e de Lista de Permissões de IP.
Dica
Os vários serviços do provedor da Lista de Bloqueios de IP são chamados, às vezes, de serviços RBL (lista de bloqueios em tempo real). Às vezes, os serviços de provedor de Lista de Permissões de IP são chamados de serviços de lista segura.
Para cada serviço de provedor de Lista de Bloqueios de IP que você configurar, você deve personalizar o erro SMTP 550 que é retornado ao remetente quando o endereço IP do remetente corresponder a um serviço de provedor de Lista de Bloqueios de IP e for subseqüentemente bloqueado pelo agente do Filtro de Conexão. É uma prática recomendada personalizar o erro SMTP 550 para identificar o serviço de provedor de Lista de Bloqueios de IP que identifica o remetente como um endereço IP bloqueado. Essa prática recomendada habilita remetentes legítimos a entrar em contato com o serviço de provedor de Lista de Bloqueios de IP para que eles possam ser removidos da Lista de Bloqueios de IP do serviço.
Os serviços de provedor de Lista de Bloqueios de IP diferentes podem retornar códigos diferentes quando os endereços IP de um servidor remoto que está enviando uma mensagem corresponder a um endereço IP em uma Lista de Bloqueios de IP do serviço de provedor de Lista de Bloqueios de IP. A maior parte dos serviços de provedores de Lista de Bloqueios de IP retornam um dos seguintes tipos de dados: máscara de bits ou valor absoluto. Nesses tipos de dados, pode haver diversos valores que indiquem o tipo de lista em que o endereço IP enviado está.
Exemplo de bitmask
Essa seção mostra um exemplo dos códigos de status retornados pela maioria dos provedores de Lista de Bloqueios. Consulte a documentação do provedor específico nos códigos de status que o provedor retorna.
Para os tipos de dados de bitmask, o serviço de provedor de Lista de Bloqueios de IP retorna um código de status de 127.0.0.x, onde o inteiro x é um dos valores que são listados na tabela seguinte.
Códigos de valores e status para tipos de dados de bitmask
| Valor | Código de status |
|---|---|
1 |
O endereço IP está numa Lista de Bloqueios de IP. |
2 |
O servidor SMTP está configurado para atuar como uma retransmissão aberta. |
4 |
O endereço IP oferece suporte a um endereço IP de dial-up. |
Para tipos de valores absolutos, o serviço de provedor de Lista de Bloqueios de IP retorna respostas explícitas baseadas na causa do bloqueio do endereço IP. A tabela a seguir mostra alguns exemplos de valores absolutos e respostas explícitas.
Códigos de valores e status para tipos de dados de valor absoluto
| Valor | Resposta explícita |
|---|---|
127.0.0.2 |
O endereço IP é uma fonte de spam direta. |
127.0.0.4 |
O endereço IP envia emails em massa. |
127.0.0.5 |
O servidor remoto que está enviando a mensagem é conhecido por oferecer suporte a retransmissões abertas de vários estágios. |
Para obter mais informações sobre como configurar os provedores de Lista de Permissões de IP e os provedores de Lista de Bloqueios de IP, consulte Como configurar os provedores de Lista de Permissão de IP e de Lista de Bloqueio de IP.
Configurando a filtragem de conexão para servidores de Transporte de Borda que não são o primeiro ponto de entrada do SMTP
Em algumas organizações, a função de servidor Transporte de Borda está instalada em computadores que não processam solicitações SMTP diretamente na Internet. Nesse cenário, o servidor de Transporte de Borda está usando outro servidor SMTP front-end que processa as mensagens de entrada diretamente da Internet. Nesse cenário, o agente do Filtro de Conexão deve ser capaz de extrair da mensagem o endereço IP de origem correto. Para extrair e avaliar o endereço IP de origem, o agente do Filtro de Conexão deve analisar os cabeçalhos Recebidos da mensagem e comparar esses cabeçalhos com o servidor SMTP conhecido na rede de perímetro.
Quando um servidor SMTP compatível com RFC recebe uma mensagem, o servidor atualiza o cabeçalho Recebido da mensagem com o nome de domínio e o endereço IP do remetente. Portanto, para cada servidor SMTP que esteja entre o remetente de origem e o servidor de Transporte de Borda, o servidor SMTP adiciona uma entrada de cabeçalho Recebido.
Quando você configurar sua rede de perímetro para oferecer suporte ao Microsoft Exchange Server 2007, será necessário especificar todos os endereços IP dos servidores SMTP em sua rede de perímetro. Os dados de endereço IP são replicados nos servidores de Transporte de Borda pelo EdgeSync. Quando mensagens são recebidas pelo computador que executa o agente do Filtro de Conexão, o endereço IP no cabeçalho Recebido que não corresponde ao endereço IP do servidor SMTP em sua rede de perímetro é presumido como sendo o endereço IP de origem.
Você deve especificar todos os servidores SMTP internos no objeto de configuração de transporte na floresta do Active Directory antes de executar a filtragem de conexão. Especifique os servidores SMTP internos com o parâmetro InternalSMTPServers no cmdlet Set-TransportConfig.
Testando o recurso de Lista de Bloqueios de IP e Lista de Permissões de IP
Depois de configurar um serviço de provedor de Lista de Bloqueios de IP ou um serviço de provedor de Lista de Permissões de IP, você pode testar para garantir que a filtragem de conexão está configurada corretamente para o serviço especificado. A maioria dos serviços de provedor de Lista de Bloqueios de IP ou serviços de provedor de Lista de Permissões de IP fornecem endereços IP de teste que você pode usar para testar seus serviços. Quando você executa um teste com um serviço de provedor de Lista de Bloqueios de IP ou um serviço de provedor de Lista de Permissões de IP, o agente do Filtro de Conexão emite uma consulta do DNS (Sistema de Nome de Domínio) baseada no endereço IP de RBL (lista de bloqueios em tempo real) que deve enviar uma resposta específica. Para obter mais informações sobre serviços de RBL, consulte Filtragem de Conexão. Para obter mais informações sobre como testar os endereços IP com um serviço de provedor de Lista de Bloqueios de IP ou um serviço de provedor de Lista de Permissões de IP, consulte Test-IPAllowListProvider e Test-IPBlockListProvider.
Para obter mais informações
Para obter mais informações sobre como configurar a filtragem de conexão, usando o Console de Gerenciamento do Exchange, consulte os seguintes tópicos:
Como adicionar endereços IP à Lista de Permissões de IP e à Lista de Bloqueios de IP
Como configurar os provedores de Lista de Permissão de IP e de Lista de Bloqueio de IP
Para obter mais informações sobre como configurar a filtragem de conexão usando o Shell de Gerenciamento do Exchange, consulte os seguintes tópicos: