Filtragem de Conexão
Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Tópico modificado em: 2009-10-06
O agente do Filtro de Conexão é um agente anti-spam habilitado nos computadores em que a função de servidor Transporte de Borda do Microsoft Exchange Server 2007 esteja instalada. O agente do Filtro de Conexão se baseia no endereço IP do servidor remoto que está tentando se conectar para determinar a ação que será executada em uma mensagem de entrada, caso necessário. O endereço IP remoto está disponível para o agente do Filtro de Conexão como um subproduto da conexão TCP/IP subjacente, necessário à sessão SMTP (Simple Mail Transfer Protocol). Para ter efeito, o agente do Filtro de Conexão deve avaliar o endereço IP do servidor remoto que está enviando a mensagem. Assim, o agente do Filtro de Conexão será normalmente habilitado no servidor de Transporte de Borda na ponta voltada para a Internet. No entanto, também é possível realizar configurações adicionais para executar o agente do Filtro de Conexão dentro do caminho da mensagem de entrada.
Quando você configura agentes anti-spam em um servidor de Transporte de Borda, estes agem em mensagens de maneira cumulativa para reduzir o número de mensagens não solicitadas que entram na organização. Para reduzir a redundância e melhorar o desempenho geral e a eficiência do sistema, você deve compreender a ordem com que os agentes avaliam as mensagens de entrada. A compreensão da ordem com que os filtros avaliam as mensagens de entrada ajudará a otimizar a configuração dos servidores de Transporte de Borda. Para obter mais informações sobre como planejar e implantar os agentes anti-spam, consulte Funcionalidade anti-spam e antivírus.
Quando você habilita o agente do Filtro de Conexão, ele é o primeiro agente anti-spam a ser executado quando uma mensagem de entrada é avaliada.
Quando uma mensagem de entrada é enviada para um servidor de Transporte de Borda em que o agente do Filtro de Conexão está habilitado, o endereço IP de origem da conexão SMTP é verificado em relação às listas de Permissões de IP e Bloqueios de IP. Se o endereço IP de origem estiver relacionado na lista de Permissões de IP, a mensagem será enviada ao destino sem processamento adicional por outros agentes anti-spam. Se o endereço IP de origem estiver relacionado na lista de Bloqueios de IP, a conexão SMTP será eliminada depois que todos os cabeçalhos RCPT TO da mensagem forem processados.
Dica
O tempo para que uma determinada conexão seja eliminada pode depender de outras configurações anti-spam. Por exemplo, você pode especificar os destinatários que sempre recebem mensagens de email, mesmo se o endereço IP de origem estiver bloqueado. Além disso, você pode ter configurado outros agentes que se baseiam no conteúdo do comando DATA a ser analisado. O agente do Filtro de Conexão sempre elimina conexões bloqueadas, de acordo com a configuração geral anti-spam.
Se o endereço IP de origem não estiver relacionado em nenhuma das listas de Permissões de IP ou Bloqueios de IP, a mensagem continuará a fluir pelos outros agentes anti-spam, caso haja outros configurados.
Para obter mais informações sobre como configurar o agente do Filtro de Conexão, consulte Configurando a filtragem de conexão.
Listas de Permissões de IP e listas de Bloqueios de IP
O agente do Filtro de Conexão compara o endereço IP do servidor que está enviando uma mensagem a qualquer um dos seguintes armazenamentos de dados de endereços IP:
Listas de Permissões de IP e listas de Bloqueios de IP definidas pelo administrador
Provedores de Lista de Bloqueios de IP
Provedores de Lista de Permissões de IP
Para obter mais informações sobre provedores de Lista de Bloqueio, consulte "Provedores de Lista de Bloqueios de IP" posteriormente neste tópico.
Você deve configurar pelo menos um desses armazenamentos de dados de endereços IP para tornar o agente do Filtro de Conexão operacional. Se os armazenamentos de dados de endereços IP não contiverem os endereços IP das listas de Permissões de IP e Bloqueios de IP, ou se não houver nenhum provedor de Lista de Bloqueios de IP ou de Lista de Permissões de IP configurado, você deverá desabilitar o agente do Filtro de Conexão.
Listas de Permissões de IP e listas de Bloqueios de IP definidas pelo administrador
Os administradores de servidores de Transporte de Borda mantêm listas de endereços IP definidas pelo administrador. Você pode inserir e excluir os endereços IP que deseja permitir ou bloquear usando o Console de Gerenciamento do Exchange ou do Shell de Gerenciamento do Exchange. Você pode adicionar endereços IP individualmente, pelo intervalo de endereço IP ou pelo endereço IP e máscara de sub-rede.
Quando adiciona um endereço IP ou um intervalo de endereço IP, você deve especificar o endereço IP ou o intervalo de endereço IP como um endereço de Bloqueio de IP ou um endereço de Permissão de IP. Além disso, é possível especificar um tempo de expiração para cada entrada criada na Lista de Bloqueios de IP. Quando você define o tempo de expiração, ele especifica por quanto tempo a entrada da Lista de Bloqueios de IP ficará ativa. Quando a duração do tempo de expiração for atingida, a entrada da Lista de Bloqueios de IP será desabilitada.
Com o uso das listas de Permissões de IP e Bloqueios de IP definidas pelo administrador, é possível configurar a filtragem de conexão para os seguintes cenários:
Para isentar endereços IP das listas de Bloqueios de IP dep**rovedores da Lista de Bloqueios de IP **Pode ser necessário isentar endereços IP das listas de Bloqueios de IP de provedores de Lista de Bloqueios de IP quando remetentes legítimos forem involuntariamente colocados na lista de Bloqueios de IP de provedores de Lista de Bloqueios de IP. Por exemplo, remetentes legítimos podem ter sido involuntariamente colocados em uma lista de Bloqueios de IP quando um servidor SMTP foi involuntariamente configurado para atuar como uma retransmissão aberta. Neste cenário, o remetente provavelmente tentará corrigir a configuração incorreta e removerá o endereço IP da lista de Bloqueios de IP dos provedores de Lista de Bloqueios de IP.
Para obter mais informações sobre provedores de Lista de Bloqueio, consulte "Provedores de Lista de Bloqueios de IP" posteriormente neste tópico.
Para negar acesso a endereços IP que são uma fonte de mensagens de email não solicitadas, mas não se encontram nas listas de Bloqueios de IP de um provedor de Lista de Bloqueios de IP Às vezes, você pode receber uma grande quantidade de mensagens não solicitadas de uma fonte ainda não identificada por um serviço RBL (lista de bloqueios em tempo real) que você assine.
Provedores de lista de Bloqueios de IP
Os serviços do provedor de Lista de Bloqueios de IP podem ajudar a reduzir o número de mensagens de email não solicitadas que chegam na organização.
Dica
Os serviços do provedor de Lista de Bloqueios de IP são normalmente chamados de serviços RBL (lista de bloqueio em tempo real). O Console de Gerenciamento do Exchange refere-se aos serviços RBL como serviços do provedor de Lista de Bloqueios de IP. Os termos "Serviços RBL" e "Serviços do Provedor de Lista de Bloqueios de IP" são equivalentes.
Os serviços do provedor de Lista de Bloqueios de IP compilam listas de endereços IP que originaram spam. Além disso, alguns provedores de Lista de Bloqueios de IP fornecem listas de endereços IP em que o SMTP está configurado para retransmissão aberta. Há também serviços de provedor de Lista de Bloqueios de IP que fornecem listas de endereços IP que aceitam acesso dial-up. Os ISPs (provedores de serviços de Internet) que fornecem serviços de acesso dial-up a seus clientes atribuem endereços IP dinâmicos para cada sessão dial-up. Alguns ISPs bloqueiam o tráfego de SMTP de contas dial-up. Esses ISPs e os intervalos de IPs dial-up do atendedor não são normalmente adicionados às listas de Bloqueios de IP. No entanto, alguns ISPs permitem que os clientes enviem tráfego SMTP de contas dial-up. Usuários mal-intencionados se aproveitam de ISPs que permitem o tráfego SMTP para enviar spam para endereços IP atribuídos dinamicamente. Quando o endereço IP é colocado em uma lista de Bloqueios de IP, os usuários mal-intencionados começam outra sessão dial-up e recebem um novo endereço IP. Normalmente, um único provedor de Lista de Bloqueios de IP pode fornecer uma lista de endereços IP que engloba todas essas ameaças de spam.
Você pode definir várias configurações de provedor de Lista de Bloqueios de IP usando o Console de Gerenciamento do Exchange ou o Shell de Gerenciamento do Exchange. Cada serviço exige uma configuração separada do provedor de Lista de Bloqueios de IP no Console de Gerenciamento do Exchange ou no Shell de Gerenciamento do Exchange.
Quando você configura o agente do Filtro de Conexão para usar um provedor de Lista de Bloqueios de IP, o agente do Filtro de Conexão consulta o serviço do provedor de Lista de Bloqueios de IP para determinar se existe uma correspondência com os endereços IP de conexão antes de a mensagem ser aceita na organização.
Antes de o agente do Filtro de Conexão contatar o provedor de Lista de Bloqueios de IP para verificar um endereço IP, o endereço IP é primeiramente comparado às listas de Permissões de IP e Bloqueios de IP definidas pelo administrador. Se o endereço IP não existir em nenhuma das listas de Permissões de IP ou Bloqueios de IP definidas pelo administrador, o agente do Filtro de Conexão consultará os serviços do provedor de Lista de Bloqueios de IP de acordo com a classificação de prioridade atribuída a cada provedor. Se o endereço IP aparecer na lista de Bloqueios de IP de um provedor de Lista de Bloqueios de IP, o servidor de Transporte de Borda aguardará e analisará o cabeçalho RCPT TO, responderá ao sistema de envio com um erro SMTP 550 e fechará a conexão. Se o endereço IP não aparecer nas listas de Bloqueios de IP de algum dos provedores de Lista de Bloqueios de IP, o próximo agente da cadeia anti-spam processará a conexão. Para obter mais informações sobre a ordem na qual os agentes padrão de anti-spam e antivírus filtram as mensagens de entrada da Internet, consulte Funcionalidade anti-spam e antivírus.
Quando você usa o agente do Filtro de Conexão, a prática recomendada é usar um ou mais provedores de Lista de Bloqueios de IP para gerenciar o acesso à organização. O uso de uma lista de bloqueios definida pelo administrador para manter sua própria lista de Bloqueios de IP é muito demorado e pode ser impossível de um ponto de vista de recursos humanos em várias organizações. Portanto, é altamente recomendado o uso de um serviço de provedor externo de Lista de Bloqueios de IP, cuja única finalidade é manter as listas de Bloqueios de IP.
No entanto, pode haver algumas desvantagens no uso de um provedor de Lista de Bloqueios de IP. Como o agente do Filtro de Conexão deve consultar uma entidade externa para cada endereço IP desconhecido, interrupções ou atrasos no serviço do provedor de Lista de Bloqueios de IP podem causar atrasos no processamento de mensagens no servidor de Transporte de Borda. Em casos extremos, tais interrupções ou atrasos poderiam causar um gargalo no fluxo de mensagens no servidor de Transporte de Borda.
Outra desvantagem do uso de um serviço externo do provedor de Lista de Bloqueios de IP é que remetentes legítimos são, às vezes, adicionados por engano às listas de Bloqueios de IP dos provedores de Lista de Bloqueios de IP. Remetentes legítimos podem ser adicionados às listas de Bloqueios de IP mantidas pelo provedor de Lista de Bloqueios de IP, como resultado de uma configuração errada do SMTP, em que o servidor SMTP foi involuntariamente configurado para atuar como uma retransmissão aberta, o que é um exemplo de configuração incorreta.
Provedores de lista de Permissões de IP
Você também pode gerenciar mensagens de entrada por meio dos serviços de provedor de Lista de Permissões de IP que fornecem listas de Permissões de IP. As listas de Permissões de IP são, às vezes, chamadas de listas de segurança de IP ou listas "brancas" no setor de software. Os provedores de Lista de Permissões de IP mantêm listas de endereços IP que são definitivamente reconhecidos por não estarem associadas a nenhuma atividade de spam. Quando um provedor de Lista de Permissões de IP retorna uma correspondência de Permissão de IP (que indica que o endereço IP do remetente parece ser de um remetente respeitável ou "seguro"), o agente do Filtro de Conexão confia a mensagem ao próximo agente da cadeia anti-spam.
Para obter informações sobre como configurar provedores de Lista de Permissões de IP, consulte Configurando a filtragem de conexão.
Para obter mais informações
Para obter mais informações sobre como configurar a filtragem de conexão, usando o Console de Gerenciamento do Exchange, consulte os seguintes tópicos:
Como adicionar endereços IP à Lista de Permissões de IP e à Lista de Bloqueios de IP
Como configurar os provedores de Lista de Permissão de IP e de Lista de Bloqueio de IP
Para obter mais informações sobre como configurar a filtragem de conexão usando o Shell de Gerenciamento do Exchange, consulte Cmdlets do Agente do Filtro de Conexão: