Noções Básicas Sobre Reputação do Remetente

  • Artigo

 

Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Tópico modificado em: 2010-07-07

A reputação do remetente é uma funcionalidade antispam que está habilitada nos computadores que têm a função de servidor Transporte de Borda do Microsoft Exchange Server 2010 instalada, para bloquear mensagens de acordo com muitas características do remetente. A reputação do remetente se baseia em dados persistentes sobre o remetente para determinar qual ação tomar em uma mensagem de entrada, caso seja necessário.

Ao configurar agentes antispam em um servidor de Transporte de Borda, estes agem em mensagens de maneira cumulativa para reduzir o número de mensagens não solicitadas que entram na organização. Para obter mais informações sobre como planejar e implantar os agentes antispam, consulte Noções Básicas Sobre a Funcionalidade Antispam e Antivírus.

Procurando tarefas de gerenciamento relacionadas ao gerenciamento de servidores de transporte? Consulte Gerenciando Servidores de Transporte.

Sumário

Cálculo do Nível de Reputação do Remetente

Uso do SRL

Habilitando e Configurando a Detecção de Servidores de Proxy Aberto

Definindo o Limite de Bloqueio de SRL

Cálculo do Nível de Reputação do Remetente

Um SRL (nível de reputação do remetente) é calculado a partir das seguintes estatísticas:

  • Análise de HELO/EHLO   Os comandos SMTP HELO e EHLO têm como finalidade fornecer o nome de domínio, como Contoso.com, ou o endereço IP do servidor SMTP de envio para o servidor SMTP de recebimento. Usuários mal-intencionados, ou spammers, normalmente falsificam a instrução HELO/EHLO de várias maneiras. Por exemplo, digitam um endereço IP que não corresponde ao endereço IP do qual a conexão se originou. Os spammers também colocam domínios reconhecidamente aceitos localmente no servidor destinatário na instrução HELO como uma tentativa de parecer que os domínios são da organização. Em outros casos, os spammers alteram o domínio transmitido na declaração HELO. O comportamento típico de um usuário legítimo pode ser utilizar um conjunto diferente, mas relativamente constante, de domínios, em suas instruções HELO.

    Portanto, a análise da instrução HELO/EHLO com base em cada remetente pode indicar que o remetente provavelmente é um spammer. Por exemplo, um remetente que fornece várias instruções HELO/EHLO exclusivas diferentes em um período de tempo específico é provavelmente um spammer. Remetentes que fornecem constantemente um endereço IP na instrução HELO que não corresponde ao endereço IP de origem, conforme determinado pelo agente de Filtro de Conexão, também podem ser spammers, da mesma forma que remetentes remotos que fornecem constantemente um nome de domínio local, que está na mesma organização do servidor de Transporte de Borda, na instrução HELO.

  • Pesquisa reversa de DNS   A reputação do remetente verifica também se o endereço IP de origem a partir do qual o remetente transmitiu a mensagem corresponde ao nome de domínio registrado que o remetente envia no comando SMTP HELO ou EHLO.

    A reputação do remetente executa uma pesquisa reversa de DNS enviando o endereço IP de origem ao DNS. O resultado retornado pelo DNS é o nome de domínio registrado com a autoridade de nome de domínio desse endereço IP. A reputação do remetente compara o nome de domínio retornado pelo DNS com o nome de domínio que o remetente enviou no comando SMTP HELO/EHLO. Se os nomes de domínio não corresponderem, o remetente provavelmente é um spammer e a classificação SRL geral do remetente será ajustada para cima.

    O agente do ID de Remetente executa uma tarefa semelhante, mas o êxito do agente do ID de Remetente se baseia em remetentes legítimos para atualizar sua infraestrutura de DNS para identificar todos os servidores SMTP de envio de email na organização. Com a execução de uma pesquisa reversa de DNS, é possível ajudar a identificar prováveis spammers.

  • Análise de classificações SCL em mensagens de um determinado remetente   Quando o agente de Filtro de Conteúdo processa uma mensagem, atribui uma classificação SCL (nível de confiança de spam) a ela. A classificação de SCL é um número de 0 a 9. Uma classificação de SCL mais alta indica que a mensagem tem maior probabilidade de ser spam. Os dados sobre cada remetente e as classificações SCL que suas mensagens geram são persistentes para a análise pela reputação do remetente. A reputação do remetente calcula estatísticas sobre um remetente de acordo com a razão entre todas as mensagens desse remetente que tiveram uma classificação SCL baixa no passado e todas as mensagens desse remetente que tiveram uma classificação SCL alta no passado. Além disso, o número de mensagens com uma classificação SCL alta enviadas pelo remetente no dia anterior é aplicado ao SRL geral.

  • Teste de proxy aberto do remetente   Um proxy aberto é um servidor proxy que aceita pedidos de conexão de qualquer pessoa em qualquer lugar e encaminha o tráfego como se fosse originado dos hosts locais. Servidores de proxy retransmitem o tráfego TCP por hosts de firewall para fornecer aos aplicativos do usuário acesso transparente pelo firewall. Como os protocolos do proxy são leves e independentes de protocolos de aplicativo do usuário, os proxies podem ser usados por vários serviços diferentes. Os proxies podem ser usados também para compartilhar uma conexão única de Internet por vários hosts. Os proxies são normalmente configurados para que somente hosts confiáveis do firewall possam transmiti-los.

    Os proxies abertos podem existir devido às seguintes condições:

    • Configuração errada não intencional.

    • Programas Cavalo de Tróia mal-intencionados. Um Cavalo de Tróia é um programa que se disfarça como se fosse outro programa comum, em uma tentativa de receber informações.

    Geralmente com registro em log insuficiente, os proxies abertos fornecem uma maneira ideal para usuários mal-intencionados ocultarem suas verdadeiras identidades e iniciarem ataques DoS (negação de serviço) ou enviarem spams. À medida que mais servidores proxy são configurados como abertos por padrão, os proxies abertos se tornam mais comuns. Além disso, usuários mal-intencionados podem usar vários proxies abertos juntos para ocultar o endereço IP de origem do remetente.

    Para executar um teste de proxy aberto, a reputação do remetente formata uma solicitação SMTP, em uma tentativa de se conectar com o servidor de Transporte de Borda a partir do proxy aberto. Se um pedido SMTP for recebido do proxy, a reputação do remetente verifica se o proxy é um proxy aberto e atualiza a estatística de teste do proxy aberto desse remetente.

A reputação do remetente considera cada uma dessas estatísticas e calcula um SRL para cada remetente. O SRL é um número de 0 a 9 que prevê a probabilidade de um remetente específico ser um spammer ou um usuário mal-intencionado. O valor 0 indica que o remetente provavelmente não é um spammer, o valor 9 indica que provavelmente o remetente é um spammer.

Você pode configurar um limite de bloqueio de 0 a 9, no qual a reputação do remetente emitirá uma solicitação para o agente do Filtro por Remetente e, portanto, impedirá o remetente de enviar uma mensagem à organização. Quando um remetente é bloqueado, é adicionado à lista de Remetentes Bloqueados por um período configurável. A maneira como as mensagens bloqueadas são tratadas depende da configuração do agente de Filtro por Remetente. As ações a seguir são as opções para manipulação de mensagens bloqueadas:

  • Rejeitar

  • Excluir e arquivar

  • Aceitar e marcar como um remetente bloqueado

Se um remetente for incluído na Lista de IP Bloqueados ou no Serviço de Reputação de IP Microsoft, a reputação do remetente emitirá uma solicitação imediata ao agente do Filtro por Remetente para bloquear o remetente. Para aproveitar essa funcionalidade, você deve ativar e configurar o Serviço de Atualização Antispam do Microsoft Exchange.

Por padrão, o servidor de Transporte de Borda define a classificação 0 para remetentes que não foram analisados. Depois que um remetente envia 20 ou mais mensagens, a reputação do remetente calcula um SRL que se baseia nas estatísticas listadas anteriormente neste tópico.

Voltar ao início

Uso do SRL

A reputação do remetente atua nas mensagens durante duas fases da sessão SMTP:

  • No comando MAIL FROM: SMTP   A reputação do remetente atua em uma mensagem somente se tiver sido bloqueada ou manipulada pelo agente do Filtro de Conexão, agente do Filtro por Remetente, agente do Filtro de Destinatários ou agente do ID de Remetente. Nesse caso, a reputação do remetente recupera a classificação SRL atual do remetente a partir do perfil do remetente que persiste sobre esse remetente no banco de dados de Transporte de Borda. Depois que essa classificação for recuperada e avaliada, a configuração do servidor de Transporte de Borda ditará o comportamento que ocorre em uma determinada conexão, de acordo com o limite de bloqueio.

  • Após o comando SMTP "final dos dados"   O comando SMTP de fim da transferência dos dados (_EOD) é fornecido quando todos os dados reais da mensagem tiverem sido enviados. Nesse ponto da sessão SMTP, muitos dos agentes antispam já processaram a mensagem. Como um subproduto do processamento antispam, as estatísticas em que a reputação do remetente se baseia são atualizadas. Portanto, a reputação do remetente tem os dados para calcular ou recalcular uma classificação SRL para o remetente.

Para obter mais informações, consulte Configurar as Propriedades da Reputação do Remetente.

Voltar ao início

Habilitando e Configurando a Detecção de Servidores de Proxy Aberto

A reputação do remetente avalia várias características do remetente para calcular um SRL. Entre as características avaliadas estão os resultados de um teste para obter os servidores de proxy aberto. Frequentemente, spammers roteiam mensagens por servidores de proxy aberto na Internet. Ao rotear spam por meio de servidores de proxy aberto, os spammers podem enviar mensagens que parecem se originar de um servidor diferente de seus próprios servidores.

Quando a reputação do remetente calcula um SRL, tenta se conectar ao endereço IP de origem do remetente com uma série de protocolos de proxy comuns, como SOCKS4, SOCKS5, HTTP, Telnet, Cisco e Wingate. A reputação do remetente formata um pedido de protocolo específico em uma tentativa de se conectar novamente ao servidor de Transporte de Borda a partir do servidor de proxy aberto, usando um pedido SMTP. Se uma solicitação SMTP for recebida do servidor proxy, a reputação do remetente verificará se é servidor de proxy aberto e ajustará a classificação de SRL de acordo com esse resultado. Por padrão, a detecção de servidores de proxy aberto fica habilitada na reputação do remetente.

Para obter mais informações sobre como habilitar a detecção de servidores de proxy aberto, consulte Configurar as Propriedades da Reputação do Remetente.

Para obter mais informações sobre como configurar a detecção de servidores de proxy aberto, consulte Configurar o Acesso de Saída para Detecção de Servidores Proxy Abertos para Reputação do Remetente.

Voltar ao início

Definindo o Limite de Bloqueio de SRL

O SRL é um número de 0 a 9 que prevê a probabilidade de um remetente específico ser um spammer ou um usuário mal-intencionado. É necessário definir um limite para bloqueio de remetente por SRL. Esse limite de bloqueio de SRL define o valor de SRL que deve ser excedido para que a reputação do remetente bloqueie um remetente. Por padrão, o SRL é definido como 7, e você deve monitorar a eficácia do agente no nível padrão. É possível saber se o valor pode ser ajustado conforme as necessidades de sua organização. Se outros agentes antispam forem definidos rigorosamente, é possível definir um limite de SRL mais alto para a reputação do remetente do que seria definido, se os outros agentes antispam não fossem definidos rigorosamente. Para obter mais informações sobre como ajustar configurações antispam, de forma que trabalhem juntas para reduzir spam, consulte Noções Básicas Sobre a Funcionalidade Antispam e Antivírus.

Se o limite de bloqueio de SRL for excedido para um remetente específico, a reputação do remetente adicionará o remetente à lista de IP Bloqueados no agente do Filtro de Conexão. Muitas vezes, spammers enviam lotes de spam de um único remetente. Nesse cenário, se a reputação do remetente calcular um SRL que exceda o limite de bloqueio de SRL, o remetente será adicionado à lista de Bloqueios de Remetente por um tempo configurável. A duração padrão é 24 horas. Depois de 24 horas, o remetente é removido da lista de Bloqueios de Remetente e pode enviar mensagens novamente.

Quando um remetente é adicionado à lista de IP Bloqueados, a reputação do remetente exclui o perfil do remetente. Isso ocorre porque o perfil atual do remetente bloqueado indica que o SRL do remetente excede o limite de bloqueio de SRL. Isso faria com que o remetente bloqueado fosse adicionado à lista de IP Bloqueados novamente assim que o tempo de bloqueio terminasse.

Para obter mais informações, consulte Configurar as Propriedades da Reputação do Remetente.

Voltar ao início

 © 2010 Microsoft Corporation. Todos os direitos reservados.