Implementando o IMF (Intelligent Message Filter) - Parte I
Por Anderson Patricio
A Microsoft está trabalhando cada vez mais forte na parte de segurança e o com o Exchange não poderia ser diferente. O IMF é mais uma ferramenta do Exchange Server 2003 para combater o SPAM. Durante o seu desenvolvimento, o IMF aprendeu determinadas características que permitem que ele defina se uma mensagem é legítima ou UCE (unsolicited commercial e-mail). Esta aprendizagem foi baseada em e-mails enviados por parceiros da Microsoft e classificados como legítimos ou SPAM. Baseado nas características de milhões de mensagens o IMF reconhece indicadores de mensagens legítimas e SPAM. O IMF ao contrário de outros produtos possui uma listagem de mensagens legítimas diminuindo assim a possibilidade de erros.
Funcionamento do IMF
Em uma topologia típica de Exchange Server 2003, há 2 tipos de funções dos servidores Exchange: os gateways, também chamados de front-end servers, que são os responsáveis pela entrada e saída de e-mails para internet e que não possuem nenhuma caixa postal e os back-end servers, servidores que ficam na rede interna e que possuem todas as mailboxes de usuários. O IMF deve ser instalado nos servidores front-end.
.jpg "Cc668529.IMF_1_01(pt-br,TechNet.10).jpg")
Quando um usuário da internet envia um e-mail para um servidor Exchange que possui o IMF instalado, o IMF valida o conteúdo da mensagem e atribui um SCL baseado na probabilidade desta mensagem ser um Spam, exatamente como no exemplo acima. Este SCL é armazenado nas propriedades da mensagem e o nome deste atributo é Spam Confidence Level (SCL) e o mesmo permanece na mensagem, inclusive quando é enviada para outros servidores Exchange.
O Administrador do Exchange pode determinar 2 filtros para prevenir o spam utilizando este novo recurso: um filtro em nível de gateway com uma determinada ação e um outro no nível de mailboxstore. Se uma mensagem for enviada e possuir o nível igual ou superior ao nível definido no gateway o IMF executa a ação predefinida, caso a mensagem tenha um SCL menor que o gateway, a mensagem é enviada para o Exchange Mailbox store do destinatário. No nível de Exchange Mailbox Store, se a mensagem tiver um SCL maior ou igual que a definição de mailbox store ela é colocado no Junk Mail do usuário, caso seja menor ela é entregue na Caixa de Entrada do usuário.
INSTALANDO E CONFIGURANDO O IMF
A instalação do produto é bem simples, basta baixar o produto do site da Microsoft (https://www.microsoft.com/exchange ir até downloads e pegar a versão mais atual).
A instalação do produto é composta de apenas quatro telas.
.jpg "Cc668529.IMF_1_02(pt-br,TechNet.10).jpg")
.jpg "Cc668529.IMF_1_03(pt-br,TechNet.10).jpg")
.jpg "Cc668529.IMF_1_04(pt-br,TechNet.10).jpg")
.jpg "Cc668529.IMF_1_05(pt-br,TechNet.10).jpg")
Instalado o produto, precisamos configurar o produto, a configuração é quase tão fácil quanto à instalação.
Para definirmos os limites do IMF, vamos em Global Settings / propriedades de Message Delivery e vamos até a guia Intelligent Message Filtering é nesta parte que definimos os limites e a ação a ser tomada em uma mensagem
|
|
No exemplo acima as mensagens reconhecidas como spam nível 7 serão arquivadas na pasta UCEArchive, as outras opções possíveis são exclusão, nada e rejeição (retorna, se configurado, uma mensagem de NDR para o destinatário), tudo isto em nível de gateway, já em nível de usuário as mensagens que forem reconhecidas como nível 6 de spam serão automaticamente adicionado ao Lixo Eletrônico do Outlook 2003 e/ou OWA 2003 do usuário. |
Uma outra mudança que o IMF traz é nos Protocols que é adicionado o item Intelligent Message filtering é nele que definimos se o IMF está habilitado ou não, para tanto devemos pedir propriedades do mesmo. |
|
|
|
Depois de pedido as propriedades há um checkbox que deve ser habilitado para cada servidor virtual SMTP que terá o IMF habilitado. Detalhe importante: o IMF é a nível de organização, não podemos definir vários níveis de IMF para smtp virtuais diferentes, ou seja, o nível do IMF é global. |
.jpg "Cc668529.IMF_1_06(pt-br,TechNet.10).jpg")
.jpg "Cc668529.IMF_1_07(pt-br,TechNet.10).jpg")
.jpg "Cc668529.IMF_1_08(pt-br,TechNet.10).jpg")
VERIFICANDO AS MENSAGENS FILTRADAS
Depois de implementarmos o IMF e definirmos o nível do filtro em mailbox e user, temos que validar os falsos positivos, para tanto, devemos habilitar no registry a chave ArchiveSCL que adiciona uma linha na mensagem arquivada com o TAG X-SCL mais a regra e quantos % ele pertence, exemplo:
.jpg "Cc668529.IMF_1_09(pt-br,TechNet.10).jpg")
Esta mensagem pertence 99.77% a regra 9 de acordo com o algortimo do IMF.
Para adicionar esta feature temos que ir no Registry em HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange\ContentFilter e adicionar uma nova chave do tipo DWORD chamada ArchiveSCL com valor 1.
CONCLUSÃO
Demonstramos aqui como implementar o IMF de forma simples e fácil, mas vale ainda lembrar algumas dicas importantes:
Comece fácil, não coloque a regra de mailboxstore para 2 e a de user para 1 isto pode impactar no usuário final, comece com regras muito altas e vá baixando conforme a necessidade
O IMF não funciona em Cluster, caso possua um ambiente com Exchange em Cluster coloque o IMF no front-end
O IMF não funciona com Exchange 2000 e anteriores, somente em Exchange Server 2003.
Cuidado com softwares terceiros de Anti-spam, alguns podem tirar a TAG SCL do corpo da mensagem e a mesma não irá mais cair no Junk Mail do Outlook 2003.
O IMF não funciona com versões anteriores do Outlook 2003.
Anderson Patricio
MSN: ander.patricio@terra.com.br