Filtragem de conexão em servidores de Transporte de Borda em Exchange Server
A filtragem de conexão é um recurso antispam no Exchange Server que permite ou bloqueia o email com base na fonte da mensagem. A filtragem de conexão é executada pelo agente de Filtragem de Conexões disponível apenas em servidores do Edge Transport e é basicamente inalterada em relação ao Exchange Server 2010. O agente Filtragem de Conexão considera o endereço IP do servidor de email conectado para determinar a ação (se houver) a ser executada em uma mensagem de entrada.
Por padrão, o agente de Filtragem de Conexões é o primeiro agente antispam a avaliar uma mensagem de entrada em um servidor de Transporte de Borda. O endereço IP de origem da conexão SMTP é verificado nos endereços IP permitidos e bloqueados. Se o endereço IP de origem for especificamente permitido, a mensagem será enviada aos destinatários em sua organização sem processamento adicional por outros agentes antispam. Se o endereço IP de origem for especificamente bloqueado, a conexão SMTP será eliminada. Se o endereço IP de origem não for especificamente permitido ou bloqueado, a mensagem flui pelos outros agentes antispam no servidor de Transporte de Borda.
A filtragem de conexão compara o endereço IP do servidor de email de origem com os valores na lista de permissões IP, a lista de blocos IP, provedores de lista de permissões IP e provedores de blocos IP. Você precisa configurar pelo menos um desses quatro repositórios de dados de endereços IP para que a filtragem de conexão funcione. Se não especificar qualquer dado de endereço IP, será preciso desabilitar o agente Filtragem de Conexão. Para obter mais informações, consulte Procedimentos de filtragem de conexão em servidores de Transporte de Borda.
Lista de bloqueio de IP
A lista de blocos IP contém os endereços IP dos servidores de email que você deseja bloquear. Você mantém manualmente os endereços IP na lista de blocos IP. Você pode adicionar cada endereço IP ou intervalos de endereços IP. E pode especificar uma data e hora de expiração que defina por quanto tempo a entrada de endereço IP ficará bloqueada. Quando o tempo de expiração é atingido, a entrada de endereço IP na lista de blocos IP é desabilitada.
Se o agente de Filtragem de Conexão encontrar o endereço IP de origem na lista de blocos IP, a conexão SMTP será removida depois que todos os cabeçalhos RCPT TO (destinatários do envelope) na mensagem forem processados.
Os endereços IP também podem ser adicionados automaticamente à lista de blocos IP pelo recurso Reputação do Remetente do agente de Análise de Protocolo. Para mais informações, consulte Reputação do remetente e o agente de análise de protocolo.
Lista de permissões de IP
A lista de permissões ip contém os endereços IP de servidores de email que você deseja designar como fontes confiáveis de email. Email de servidores de email que você especificar na lista de permissões de IP está isenta de processamento por outros agentes antispam do Exchange.
Você mantém manualmente os endereços IP na lista de permissões de IP. Você pode adicionar cada endereço IP ou intervalos de endereços IP. E especifique uma data e hora de expiração que defina por quanto tempo a entrada de endereço IP será permitida. Quando o tempo de expiração é atingido, a entrada na lista de permissões de IP é desabilitada.
Provedores de lista de blocos IP
Os provedores de blocklist de IP são frequentemente chamados de blocklists em tempo real ou RBLs. Os provedores de blocos IP compilam listas de endereços IP do servidor de email que enviam spam. Muitos provedores de blocos IP também compilam listas de endereços IP do servidor de email que poderiam ser usados para spam. Incluem, por exemplo, servidores de email configurados para provedores de serviço de Internet de retransmissão aberta (ISPs), que atribuem endereços IP dinâmicos, e ISPs que permitem tráfego de servidor de email SMTP de contas dial-up.
Quando você configura a filtragem de conexão para usar um provedor de blocos IP, o agente de Filtragem de Conexões compara o endereço IP do servidor de email de conexão com a lista de endereços IP no provedor de blocklist de IP. Se houver correspondência, a mensagem não será permitida na sua organização. Você pode configurar a filtragem de conexão para usar vários provedores de blocklist de IP e atribuir valores de prioridade diferentes a cada provedor.
O agente de Filtragem de Conexões verifica o endereço IP de origem na lista de permissões ip e na lista de blocos IP. Se o endereço IP não existir em nenhuma das listas, o agente de filtragem de conexões consultará o provedor de blocos IP de acordo com o valor de prioridade atribuído. Se o endereço IP for definido em um provedor de blocklist de IP, o servidor de Transporte de Borda aguarda e processa o cabeçalho RCPT TO , responde ao servidor de email de envio com um SMTP 550 erro e fecha a conexão. A conexão não é descartada imediatamente para que a tentativa de conexão possa ser registrada e porque você pode especificar destinatários isentos de ter mensagens bloqueadas por quaisquer provedores de blocklist de IP.
Se o endereço IP não estiver definido em nenhum dos provedores de blocklist de IP, o agente de Filtragem de Conteúdo enviará a mensagem para o próximo agente de transporte no servidor de Transporte de Borda.
Para cada provedor de blocos IP, você pode personalizar o SMTP 550 erro retornado ao remetente quando uma mensagem é bloqueada. Você deve identificar o provedor de blocos IP que identificou a fonte de mensagem como spam. Se um servidor de email de origem legítimo for identificado erroneamente como uma fonte de spam, o administrador poderá entrar em contato com o provedor de blocklistt ip e tomar as etapas necessárias para remover o servidor de email do provedor de blocos IP.
Os provedores de blocklist de IP podem retornar códigos diferentes para identificar por que um endereço IP é definido em suas listas. A maioria dos provedores de blocklist de IP retorna bitmask ou tipos de dados de valor absoluto. Nesses tipos de dados, o provedor de blocklist de IP pode usar vários valores para classificar o endereço IP por tipo de ameaça.
Há problemas a serem considerados ao usar provedores de blocklist de IP:
Interrupções ou atrasos no serviço do provedor de blocklist de IP podem causar atrasos no processamento de mensagens no servidor de Transporte de Borda. Você sempre deve selecionar provedores de blocos IP confiáveis.
Servidores de origem que você sabe que são legítimos podem ser incorretamente identificados como fontes de spam. Por exemplo, o servidor de email pode ser inadvertidamente configurado para agir como retransmissão aberta. Você deve sempre selecionar provedores de blocos IP que fornecem procedimentos claros para avaliação e remoção de seus serviços.
Exemplos de bitmask e valores absolutos
Esta seção mostra um exemplo dos códigos de status retornados pela maioria dos provedores de blocklist. Para detalhes sobre os códigos de status retornados pelo provedor, consulte a documentação do provedor específico.
Para tipos de dados bitmask, o serviço de provedor de blocklist de IP retorna um código de status de 127.0.0. x, onde o inteiro x é um dos valores listados na tabela a seguir.
Códigos de valores e status para tipos de dados bitmask
| Valor | Código de status |
|---|---|
| 1 | O endereço IP está em uma lista de blocos IP. |
| 2 | O servidor SMTP está configurado para atuar como uma retransmissão aberta. |
| 4 | O endereço IP oferece suporte a um endereço IP de dial-up. |
Para tipos de valor absoluto, o provedor de blocklist de IP retorna respostas explícitas que definem por que o endereço IP é definido em sua lista de blocos. A tabela a seguir mostra alguns exemplos de valores absolutos e respostas explícitas.
Códigos de valores e status para tipos de dados de valor absoluto
| Valor | Resposta explícita |
|---|---|
| 127.0.0.2 | O endereço IP é uma fonte de spam direta. |
| 127.0.0.4 | O endereço IP envia emails em massa. |
| 127.0.0.5 | O servidor remoto que está enviando a mensagem é conhecido por oferecer suporte a retransmissões abertas de vários estágios. |
Provedores de lista de permissões ip
Os provedores de lista de permissões de IP também são conhecidos como listas seguras. Os provedores de lista de permissões ip são configurados como provedores de lista de blocos IP, mas os resultados são o oposto: eles definem endereços IP do servidor de email que definitivamente não estão associados à atividade de spam. Se o endereço IP do servidor de email de conexão for definido em um provedor de permissões ip, a mensagem será isenta de processamento por outros agentes antispam do Exchange. Por esse motivo, os provedores de blocklist de IP são usados com muito mais frequência do que os provedores de permissões de IP. Escolha cuidadosamente os provedores de permissão de IP.
Testar provedores de lista de blocos IP e provedores de permissões de IP
Depois de configurar a filtragem de conexão para usar um provedor de lista de blocos IP ou um provedor de lista de permissões IP, você pode executar testes para verificar se os provedores estão funcionando corretamente. A maioria dos provedores fornece endereços IP que você pode usar para testar seus serviços. Ao testar um provedor, o agente Filtragem de Conexão emite uma consulta DNS que deve resultar em uma resposta específica do provedor. Para obter mais informações sobre como testar endereços IP em um serviço de provedor de blocklist de IP ou um serviço de provedor de permissões IP, consulte Procedimentos de filtragem de conexão em servidores de Transporte de Borda.
Configurar a filtragem de conexão em servidores de Transporte de Borda que não estejam diretamente conectados à Internet
Você pode usar a filtragem de conexão em servidores de Transporte de Borda que não recebam emails diretamente da Internet. Nesse cenário, o servidor de Transporte de Borda está usando outro servidor de email, que recebe e processa as mensagens diretamente da Internet. Por exemplo, sua organização pode enviar tráfego de email por meio de um servidor, serviço ou dispositivo antispam antes que as mensagens cheguem ao servidor de Transporte de Borda. Nesse cenário, o agente Filtragem de Conexão precisa extrair o endereço IP de origem correto da mensagem. Para fazer isso, o agente Filtragem de Conexão precisa analisar os valores do campo de cabeçalho Received e comparar esses valores aos endereços IP conhecidos do servidor de email que fica entre o servidor de Transporte de Borda e a Internet.
Cada servidor de email que aceite e transmita uma mensagem SMTP no caminho de entrega adiciona seu próprio campo de cabeçalho Received ao cabeçalho da mensagem. O cabeçalho Received contém, geralmente, o nome de domínio e o endereço IP do servidor de email que processou a mensagem.
Se o servidor de Transporte de Borda não aceitar mensagens diretamente da Internet, você precisará usar o parâmetro InternalSMTPServers no cmdlet Set-TransportConfig em um servidor do Exchange Mailbox para identificar o endereço IP do servidor de email que fica entre o servidor de Transporte de Borda e a Internet. Os dados de endereço IP são replicados nos servidores de Transporte de Borda pelo EdgeSync. Quando são recebidas mensagens pelo servidor de Transporte de Borda, o agente Filtragem de Conexão considera que um endereço IP em um campo de cabeçalho Received não corresponde a um valor especificado pelo parâmetro InternalSMTPServers, que é o endereço IP de origem que precisa ser verificado. Portanto, você precisa especificar todos os servidores SMTP internos para que a filtragem de conexão funcione corretamente.