Introdução ao Exchange

 

Aplica-se a: Forefront Security for Exchange Server

Tópico modificado por último: 2011-04-12

No Microsoft® Exchange, os vírus podem entrar no ambiente em anexos de emails, no corpo de mensagens de email e em mensagens de pastas públicas, mas a tradicional tecnologia antivírus não pode monitorar nem verificar o conteúdo do banco de dados Exchange ou a pilha de transporte do Exchange. Os ambientes Exchange exigem uma solução antivírus que, para evitar a disseminação de vírus, verifique todas as mensagens em tempo real, com um mínimo de impacto no desempenho do servidor ou no tempo de entrega das mensagens. O Microsoft Forefront Security™ para Exchange Server (FSE) é a solução para proteção dos ambientes Exchange.

O Forefront Security para Exchange Server foi exclusivamente adaptado aos ambientes Exchange Server 2007. O programa utiliza a interface VSAPI (Exchange Virus Scanning Application Programming Interface) para fazer uma integração rigorosa com os servidores do Exchange, fornecendo proteção ininterrupta.

O Forefront Security para Exchange Server fornece recursos poderosos, que incluem:

  1. Verificação antivírus com vários mecanismos de verificação.

  2. Proteção distribuída em todas as funções de armazenamento e transporte do servidor Exchange, inclusive servidores de Borda, Hub e de Caixas de Correio/Pastas Públicas.

  3. Filtragem de arquivo por nome, extensão ou tamanho.

  4. Notificações abrangentes para o administrador e para o remetente/destinatário da mensagem.

O Forefront Security para Exchange Server oferece total proteção aos servidores de sistemas de transmissão de mensagens e é a solução antivírus para os ambientes Exchange 2007.

Benefícios da utilização de vários mecanismos de verificação

Todos os fornecedores de antivírus tentam liberar assinaturas assim que possível, mas, a cada ameaça de vírus, a rapidez com que as amostras de vírus são obtidas/analisadas e as assinaturas são liberadas não é igual entre os vários laboratórios de pesquisa antivírus. Ao usar vários mecanismos de verificação antivírus, os clientes Forefront podem obter os benefícios da diversificação. Se todas as mensagens forem verificadas por cinco mecanismos, muito provavelmente um deles estará preparado para lidar com um vírus recém-liberado, o que não ocorreria se apenas um mecanismo antivírus fosse utilizado.

O Forefront oferece opções de configuração que permitem ao cliente equilibrar desempenho e nível relativo de proteção. É possível escolher qualquer quantidade de mecanismos até um máximo de cinco, e uma configuração de ajuste pode ser selecionada para determinar se todos os mecanismos vão verificar cada mensagem ou se um determinado subconjunto de mecanismos será utilizado para verificar cada mensagem. A configuração de ajuste recomendada para uma proteção maior é “Favorecer Certeza”. Essa definição configura o Forefront para fazer a verificação com todos os mecanismos disponíveis e selecionados. (Com a opção Favorecer Certeza, um mecanismo poderá ser ignorado se estiver temporariamente indisponível; por exemplo, se estiver no meio de um recarregamento para atualizar suas assinaturas.)

  • A verificação antivírus de servidores Hub ou de Transporte de Borda é feita pelo Agente AV do Forefront, que é um agente de transporte E12 registrado no arquivo Edge Transport.exe e carregado pelo processo.

  • A verificação antivírus do servidor de caixas de correio nos processamentos em tempo real e em segundo plano é feita por uma VSAPI.dll do Forefront, compatível com E12, que é carregada pelo armazenamento do Exchange.

  • A verdadeira verificação antivírus de mensagens é executada separadamente nos processos em tempo real e de transporte do Forefront, fornecendo uma verificação isolada de mensagens nos processos de transporte e armazenamento do Exchange.

O Forefront Security para Exchange Server oferece suporte para estas funções de servidor do Exchange: transporte de borda, transporte de hub e caixa de correio/pasta pública. Com a distribuição da carga de trabalho de verificação pelos vários servidores do Exchange, o impacto em cada servidor é reduzido e a duplicação de verificação é eliminada.

O Forefront Security para Exchange incorpora uma nova lógica de verificação, que não examina emails já verificados. Por padrão, o email verificado em um transporte de borda ou de hub não é novamente verificado quando é encaminhado ou depositado em caixas de correio. Esta abordagem minimiza a sobrecarga de verificação antivírus para maximizar o desempenho do sistema de email. Além disso:

  • Reduz significativamente o impacto da verificação no armazenamento de informações.

  • Essa opção pode ser desativada para permitir a verificação de todos os pontos.

Para identificar emails já verificados, um carimbo no cabeçalho, confirmando a proteção antivírus, é aplicado em cada email quando a mensagem é verificada pela primeira vez no servidor de borda ou de hub. As operações posteriores de verificação (hub ou armazenamento) verificam esse carimbo e, se ele estiver presente no email, a mensagem não será verificada novamente. Quando a mensagem é enviada para o Armazenamento, as propriedades do carimbo antivírus são adicionadas e mantidas na propriedade de MAPI.

Para melhor utilizar essa capacidade de “verificar só uma vez”, é recomendável que todos os servidores Exchange sejam configurados com as mesmas definições, de modo que as verificações nos vários pontos distribuídos na organização do Exchange sejam todas equivalentes.

Há vários cenários de verificação:

Verificação de email de entrada

O email é verificado no servidor de borda. O email não é verificado outra vez no hub nem quando é depositado pela primeira vez nos servidores de caixas de correio. Entretanto, depois que todas as mensagens são depositadas no servidor de caixas de correio, o servidor pode ser configurado para, periodicamente, verificar outra vez todos ou alguns dos conteúdos, utilizando assinaturas mais recentes.

Verificação de email de saída

Por padrão, o email de saída não é verificado no servidor de caixas de correio, embora seja verificado no servidor de hub. Se as funções do servidor de caixas de correio ou de hub forem implantadas no mesmo computador, o email será verificado pela função Transporte de Hub. Se houver um servidor de borda implantado na organização do Exchange, o email não será verificado outra vez no servidor de borda.

Verificação de email interno

O email é verificado no servidor de hub à medida que é roteado internamente. Por padrão, o email não é verificado no servidor de caixas de correio de origem nem é novamente verificado no servidor de caixas de correio de destino.

Em todos esses cenários, o tempo e a carga de processamento são salvos nos servidores de caixas de correio.

Carimbo AV

É preciso cumprir três condições para que o Agente de Transporte AV aplique um carimbo AV em uma mensagem:

  • A mensagem deve ser verificada pelo menos por um mecanismo de vírus.

  • Nenhum vírus deve ser encontrado ou, se encontrado, deve ser limpo ou excluído.

  • Se a mensagem tiver sido atualizada, o Forefront deverá regravá-la com êxito no Exchange.

Se o Forefront for definido com o modo de verificação de vírus Ignorar:detectar, nenhum carimbo será gravado se um vírus for encontrado. Somente a verificação antivírus conta. Se a opção Filtragem de Arquivos for a única habilitada, o carimbo não será criado.

Verificação de caixa de correio

A verificação do armazenamento é feita por:

  • Trabalho de verificação em tempo real e pela verificação em segundo plano

  • Trabalho de verificação manual

Por padrão, a opção Verificação Proativa (verifica quando mensagens e arquivos são gravados no armazenamento) está desativada.

Também por padrão, as mensagens que chegam no servidor de caixas de correio carregam um carimbo de transporte e não são verificadas novamente pelos processos de verificação em tempo real. O hub de transporte que verificou essas mensagens pode estar localizado em um servidor separado ou coexistir com o servidor de caixas de correio. O conteúdo que não tiver sido roteado via hub de transporte não terá um carimbo AV e será verificado quando for recuperado pela primeira vez, no armazenamento, pela verificação de acesso.

Por padrão, a opção Verificação de Acesso é utilizada para verificar uma mensagem no momento em que é acessada, mas somente se essa mensagem não tiver sido verificada anteriormente. O acesso inclui as operações de abrir a mensagem, exibi-la no painel de visualização e indexar o conteúdo. A maioria das recuperações não tem impacto no Armazenamento, desde que as mensagens tenham sido verificadas em trânsito. A verificação de acesso fornece proteção para mensagens na pasta Itens Enviados, Caixa de Saída e Pastas Públicas.

Há definições opcionais de configuração de alta segurança que podem ser habilitadas no servidor de caixas de correio para verificar uma mensagem no acesso se novas assinaturas tiverem chegado desde a última verificação da mensagem. (Consulte a opção “Verificar ao Atualizar Scanner” em Configurações-Opções Gerais.) É recomendável que essas configurações de alta segurança sejam utilizadas no caso de uma ameaça séria, que exija constantes verificações de email para proteger os usuários contra uma ameaça conhecida e que exija esse nível de proteção.

É preciso observar que a proteção durante acesso é limitada. Depois que o email já tiver sido baixado no cache do Outlook cliente, no Outlook 2003 ou no Outlook 2007 (se o modo cache do Outlook estiver ativado), a ação de acessar localmente o email no Outlook não causará um evento durante acesso no servidor do Exchange. A verificação em segundo plano será útil neste caso, quando o email já estiver armazenado no cache cliente. Se a verificação em segundo plano detectar um vírus, a cópia da mensagem no armazenamento será limpa ou excluída, forçando o cliente a sincronizar outra vez as mensagens (limpas) na próxima vez que o cliente conectar o Exchange.

A Verificação em Segundo Plano agora fornece verificação incremental para melhorar o desempenho. Essa funcionalidade permite que os administradores configurem trabalhos de verificação em segundo plano para verificar mensagens com base no tempo de existência. Por exemplo, os administradores podem configurar o Forefront para agendar um trabalho de verificação em segundo plano a ser executado nas horas de pico e somente para mensagens recebidas nos últimos dois dias. Os administradores também podem executar um trabalho de verificação em segundo plano para limpar o servidor de caixas de correio, em resposta a um evento conhecido que tenha depositado itens infectados no armazenamento.

A verificação incremental em segundo plano reduz substancialmente a sobrecarga do armazenamento e fornece um nível significativo de proteção para as mensagens recém-recebidas no servidor Exchange antes do recebimento das correspondentes assinaturas de vírus. A verificação em segundo plano usa as mesmas configurações definidas para o trabalho de verificação em tempo real.

A Microsoft recomenda que a verificação proativa seja ativada em um servidor de pastas públicas, para que o conteúdo seja verificado quando postado no servidor e para que não ocorra nenhum atraso de download quando o conteúdo for acessado.

Como usuário licenciado do Forefront Security para Exchange Server, você recebe serviços premium anti-spam. O serviço premium atualiza diariamente o filtro de conteúdo, usando o Microsoft Update. Além disso, o serviço inclui atualizações do serviço de assinatura de spam e do serviço de reputação de IP, que são disponibilizadas conforme a necessidade, várias vezes ao dia. Criado no nível básico de proteção anti-spam do Exchange 2007, esses serviços premium anti-spam adicionam:

  • Serviço de Reputação IP da Microsoft, que fornecem informações de reputação do remetente, referentes a endereços IP conhecidos como emissores de spam. Esta é uma lista de bloqueios de IP, oferecida exclusivamente para os clientes Exchange 2007. A proteção premium contra spam também inclui atualizações automatizadas deste filtro, as quais são disponibilizadas conforme a necessidade, várias vezes ao dia.

  • Atualizações de assinatura de spam, para identificar as campanhas mais recentes de spam. As atualizações de assinatura são disponibilizadas conforme a necessidade, várias vezes ao dia.

  • Atualizações automatizadas de filtragem de conteúdo para heurísticas de spam Microsoft Smartscreen, sites de phishing e outras atualizações de filtros inteligentes de mensagens (IMF).

  • Atualizações automáticas e de dados de assinatura de spam dirigido, para identificar as campanhas mais recentes de spam.

Esses recursos ajudam a garantir que a sua organização dispõe da proteção mais atual contra os ataques mais recentes de spam.

Para obter mais informações sobre a proteção anti-spam, consulte o tópico sobre gerenciamento de recursos anti-spam e antivírus da documentação do Microsoft Exchange Server 2007.

O Forefront Security para Exchange Server oferece os seguintes componentes:

  1. FSCController

  2. Forefront Server Security Administrator

A documentação mais recente do Microsoft Forefront Security para Exchange Server, incluindo o "Guia Rápido de Introdução do Microsoft Forefront Security para Exchange", o "Guia de Melhores Práticas do Microsoft Forefront Security para Exchange Server" e o "Guia de Instalação de Cluster do Microsoft Forefront Security para Exchange Server", está disponível no Microsoft Forefront Security para Exchange Server TechCenter.

 
Mostrar: