Reputação do Remetente

Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Tópico modificado em: 2006-09-18

A Reputação do Remetente é uma funcionalidade anti-spam habilitada em computadores em que a função de servidor Transporte de Borda do Microsoft Exchange Server 2007 esteja instalada para bloquear mensagens de acordo com as diversas características do remetente. A Reputação do remetente se baseia em dados persistentes sobre o remetente para determinar qual ação tomar em uma mensagem de entrada, caso seja necessário.

Quando você configura agentes anti-spam em um servidor de Transporte de Borda, estes agem em mensagens de maneira cumulativa para reduzir o número de mensagens não solicitadas que entram na organização. Para obter mais informações sobre como planejar e implantar os agentes anti-spam, consulte Funcionalidade anti-spam e antivírus.

Cálculo do nível de Reputação do Remetente

Um SRL (nível de reputação do remetente) é calculado a partir das seguintes estatísticas:

• Análise de HELO/EHLO   Os comandos SMTP HELO e EHLO têm como finalidade fornecer o nome de domínio, como Contoso.com, ou o endereço IP do servidor SMTP de envio para o servidor SMTP de recebimento. Usuários mal-intencionados, ou spammers, normalmente falsificam a instrução HELO/EHLO de várias maneiras. Por exemplo, eles digitam um endereço IP que não corresponde ao endereço IP do qual a conexão se originou. Os spammers também colocam domínios reconhecidamente aceitos localmente no servidor destinatário na instrução HELO como uma tentativa de parecer que os domínios são da organização. Em outros casos, os spammers alteram o domínio transmitido na instrução HELO. O comportamento típico de um usuário legítimo pode ser utilizar um conjunto diferente, mas relativamente constante, de domínios, em suas instruções HELO.

  Portanto, a análise da instrução HELO/EHLO com base em cada remetente pode indicar que o remetente provavelmente seja um spammer. Por exemplo, um remetente que forneça várias instruções HELO/EHLO exclusivas diferentes em um período de tempo específico é provavelmente um spammer. Os remetentes que fornecem constantemente um endereço IP na instrução HELO que não corresponde ao endereço IP de origem, conforme determinado pelo agente de Filtro de Conexão, também podem ser spammers, da mesma forma que remetentes remotos que fornecem constantemente um nome de domínio local, que está na mesma organização do servidor de Transporte de Borda, na instrução HELO.

• Pesquisa reversa de DNS   A Reputação do remetente verifica também se o endereço IP de origem a partir do qual o remetente transmitiu a mensagem corresponde ao nome de domínio registrado que o remetente envia no comando SMTP HELO ou EHLO.

  A Reputação do remetente executa uma pesquisa reversa de DNS enviando o endereço IP de origem ao DNS. O resultado retornado pelo DNS é o nome de domínio registrado com a autoridade de nome de domínio desse endereço IP. A Reputação do remetente compara o nome de domínio retornado pelo DNS com o nome de domínio que o remetente enviou no comando SMTP HELO/EHLO. Se os nomes de domínio não corresponderem, o remetente provavelmente é um spammer e a classificação SRL geral do remetente será ajustada para cima.

  O agente do ID de Remetente executa uma tarefa semelhante, mas o êxito do agente do ID de Remetente se baseia em remetentes legítimos para atualizar sua infra-estrutura de DNS para identificar todos os servidores SMTP de envio de email na organização. Com a execução de uma pesquisa reversa de DNS, é possível ajudar a identificar prováveis spammers.

• Análise de classificações SCL em mensagens de um determinado remetente   Quando o agente de Filtro de Conteúdo processa uma mensagem, ele atribui uma classificação SCL (nível de confiança de spam) a ela. A classificação de SCL é um número entre 0 e 9. Uma classificação de SCL mais alta indica que a mensagem tem maior probabilidade de ser spam. Os dados sobre cada remetente e as classificações SCL que suas mensagens geram são persistentes para a análise pela reputação do remetente. A reputação do remetente calcula estatísticas sobre um remetente de acordo com a razão entre todas as mensagens desse remetente que tiveram uma classificação SCL baixa no passado e todas as mensagens desse remetente que tiveram uma classificação SCL alta no passado. Além disso, o número de mensagens com uma classificação SCL alta enviadas pelo remetente no dia anterior é aplicado ao SRL geral.

• Teste de proxy aberto do remetente   Um proxy aberto é um servidor proxy que aceita pedidos de conexão de qualquer pessoa em qualquer lugar e encaminha o tráfego como se ele fosse originado dos hosts locais. Os servidores de proxy retransmitem o tráfego TCP por hosts de firewall para fornecer aos aplicativos do usuário acesso transparente pelo firewall. Como os protocolos do proxy são leves e independentes de protocolos do aplicativo do usuário, os proxies podem ser usados por vários serviços diferentes. Os proxies podem ser usados também para compartilhar uma conexão única de Internet por vários hosts. Os proxies são normalmente configurados para que somente hosts confiáveis do firewall possam transmiti-los.

  Os proxies abertos podem existir devido às seguintes condições:

  • Configuração errada não intencional

  • Programas Cavalo de Tróia mal-intencionados. Um Cavalo de Tróia é um programa que se disfarça como se fosse outro programa comum, em uma tentativa de receber informações.

  Geralmente com registro em log insuficiente, os proxies abertos fornecem uma maneira ideal para usuários mal-intencionados ocultarem suas verdadeiras identidades e iniciarem ataques DoS (negação de serviço) ou enviarem spams. À medida que mais servidores proxy são configurados como “abertos por padrão”, os proxies abertos se tornam mais comuns. Além disso, usuários mal-intencionados podem usar vários proxies abertos juntos para ocultar o endereço IP de origem do remetente.

  Para executar um teste de proxy aberto, a reputação do remetente formata uma solicitação SMTP, em uma tentativa de se conectar com o servidor de Transporte de Borda a partir do proxy aberto. Se um pedido SMTP for recebido do proxy, a reputação do remetente verifica se o proxy é um proxy aberto e atualiza a estatística de teste do proxy aberto desse remetente.

A reputação do remetente considera cada uma dessas estatísticas e calcula um SRL para cada remetente. O SRL é um número entre 0 e 9 que prevê a probabilidade de um remetente específico ser um spammer ou um usuário mal-intencionado. Um valor de 0 indica que o remetente provavelmente não é um spammer, um valor de 9 indica que provavelmente o remetente é um spammer.

Você pode configurar um limite de bloqueio entre 0 e 9 no qual a reputação do remetente emitirá uma solicitação para o agente do Filtro por Remetente e, portanto, impedirá o remetente de enviar uma mensagem à organização. Quando um remetente é bloqueado, ele é adicionado à lista de Remetentes Bloqueados por um período configurável. A maneira como as mensagens bloqueadas são tratadas depende da configuração do agente de Filtro por Remetente. As seguintes ações são as opções para manipulação de mensagens bloqueadas:

• Rejeitar

• Excluir e arquivar

• Aceitar e marcar como um remetente bloqueado

Se um remetente for incluído na Lista de Bloqueios da Microsoft ou no Serviço de Reputação de IP, a reputação do remetente emitirá uma solicitação imediata ao agente do Filtro por Remetente para bloquear o remetente. Para aproveitar essa funcionalidade, você deve ativar e configurar o Serviço de Atualização Anti-spam do Microsoft Exchange.

Por padrão, o servidor de Transporte de Borda define uma classificação de 0 para remetentes que não foram analisados. Depois que um remetente envia 20 ou mais mensagens, a reputação do remetente calcula um SRL que se baseia nas estatísticas listadas anteriormente neste tópico.

Uso do SRL

A Reputação do Remetente atua nas mensagens durante duas fases da sessão SMTP:

• No MAIL FROM: comando SMTP   A Reputação do remetente atua em uma mensagem somente se ela tiver sido bloqueada ou manipulada pelo agente do Filtro de Conexão, agente do Filtro por Remetente, agente do Filtro de Destinatários ou agente do ID de Remetente. Nesse caso, a reputação do remetente recupera a classificação SRL atual do remetente a partir do perfil do remetente que persiste sobre esse remetente no banco de dados de Transporte de Borda. Depois que essa classificação for recuperada e avaliada, a configuração do servidor de Transporte de Borda ditará o comportamento que ocorre em uma determinada conexão, de acordo com o limite de bloqueio.

• Após o comando SMTP "final dos dados"   O comando SMTP de fim da transferência dos dados (_EOD) é fornecido quando todos os dados reais da mensagem tiverem sido enviados. Nesse ponto da sessão SMTP, muitos dos agentes anti-spam já processaram a mensagem. Como um subproduto do processamento anti-spam, as estatísticas em que a reputação do remetente se baseia são atualizadas. Portanto, a reputação do remetente tem os dados para calcular ou recalcular uma classificação SRL para o remetente.

Para obter mais informações, consulte Configurando a reputação do remetente.

Para obter mais informações

Para obter mais informações sobre recursos anti-spam no Outlook 2007, consulte os seguintes tópicos:

• Funcionalidade anti-spam e antivírus

• Gerenciando recursos anti-spam e antivírus

Para obter mais informações sobre como configurar a reputação do remetente, consulte os tópicos a seguir:

• Configurando a reputação do remetente

• Como habilitar a reputação do remetente

• Como definir Limite de Bloqueio de Nível de Reputação do Remetente

• Como habilitar ou desabilitar a detecção do servidor proxy aberto para reputação do remetente

• Como configurar o acesso de saída para detecção de servidores proxies abertos para reputação do remetente