Proteção antispam
Aplica-se a: Exchange Server 2013
Spammers, ou remetentes mal-intencionados, usam uma variedade de técnicas para enviar email indesejado para sua organização. Nenhum processo ou ferramenta única pode eliminar todos os spams. No entanto, Microsoft Exchange Server 2013 fornece uma abordagem em camadas, multifacetada e multifacetada para reduzir essas mensagens indesejadas. O Exchange usa agentes de transporte para fornecer proteção anti-spam e os agentes internos disponíveis no Exchange 2013 são relativamente inalterados em relação ao Microsoft Exchange Server 2010.
Para obter mais recursos anti-spam e um gerenciamento mais fácil, você pode optar por comprar Microsoft Exchange Online Protection (EOP). Para uma comparação entre os recursos do EOP e do Exchange 2013, consulte Benefícios e recursos antispam do Exchange Online Protection no Exchange Server 2013. Para saber mais sobre o Microsoft 365 ou Office 365 proteção anti-spam, consulte Proteção anti-spam no EOP.
Para obter informações sobre os recursos internos anti-malware no Exchange 2013, consulte Proteção anti-malware.
Agentes antispam nos servidores de Caixa de Correio
Normalmente, você habilita os agentes antispam em um servidor de caixa de correio, se a sua organização não tiver um servidor de Transporte de Boda ou não fizer nenhuma filtragem antispam anterior, antes de aceitar a mensagens de entrada. Para mais informações, consulte Habilitar a funcionalidade anti-spam em servidores de caixa de correio.
Como todos os agentes de transporte, a cada agente antispam é atribuído um valor de prioridade. Um valor mais baixo indica uma prioridade mais alta, então, normalmente, um agente antispam com prioridade 1 irá agir em uma mensagem antes de um agente antispam com prioridade 9. Entretanto, o evento SMTP em que o agente antispam é registrado também é muito importante para determinar a ordem em que os agentes antispam agem nas mensagens. Um agente antispam de baixa prioridade registrado em um evento SMTP mais cedo na pipeline de transporte irá agir em uma mensagem antes de um agente antispam de alta prioridade registrado em um evento SMTP mais tarde na pipeline de transporte.
Com base no valor de prioridade padrão do agente antispam e no evento de SMTP na pipeline de transporte em que o agente antispam é registrado, a lista a seguir descreve os agentes e a ordem padrão em que eles são aplicados a mensagens no servidor de Caixa de Correio:
Agente de filtro de remetente: a filtragem de remetente compara o remetente no comando MAIL FROM: SMTP a uma lista definida pelo administrador de remetentes ou domínios de remetente que são proibidos de enviar mensagens à organização para determinar qual ação, se houver, assumir uma mensagem de entrada. Para obter mais informações, consulte Filtragem de remetentes.
Agente de ID do remetente: a ID do remetente depende do endereço IP do servidor de envio e do Suposto Endereço Responsável (PRA) do remetente para determinar se o remetente é falsificado ou não. Para obter mais informações, consulte ID de Remetentes.
Agente filtro de conteúdo: a filtragem de conteúdo avalia o conteúdo de uma mensagem. Para obter mais informações, consulte Filtragem de Conteúdo.
A quarentena de spam é um recurso do agente do Filtro de Conteúdo que reduz o risco de perder mensagens legítimas incorretamente classificadas como spam. A quarentena de spam fornece um local de repositório temporário para mensagens que estão identificadas como spam e que não devem ser entregues a uma caixa de correio de usuário dentro da organização. Para mais informações, consulte Quarentena de spam.
A filtragem de conteúdo também age no recurso de agregação de lista segura. A agregação de lista segura coleta dados das listas seguras antispam que os usuários do Microsoft Outlook e do Outlook Web App configuram e disponibiliza esses dados para o agente do Filtro de Conteúdo. Para mais informações, consulte Agregação de Lista Segura.
Agente de Análise de Protocolo: o agente de Análise de Protocolo é o agente subjacente que implementa a funcionalidade de reputação do remetente. A reputação do remetente se baseia em dados persistentes sobre o endereço IP do servidor de envio para determinar qual ação, se houver alguma, será tomada quando receber uma mensagem. Um nível de reputação do remetente (SRL) é calculado a partir de diversas características do remetente derivadas de análise de mensagem e testes externos. Para mais informações, consulte Reputação do remetente e o agente de análise de protocolo.
Anti-spam agents on Edge Transport servers
Se sua organização tiver um servidor do Edge Transport instalado na rede de perímetro, todos os agentes anti-spam que estão disponíveis em um servidor da Caixa de Correio serão instalados e habilitados por padrão no servidor de Transporte de Borda. Entretanto, os seguintes agentes antispam estão disponíveis somente em um servidor de Transporte de Borda:
Agente de filtragem de conexão: a filtragem de conexões inspeciona o endereço IP do servidor remoto que está tentando enviar mensagens para determinar qual ação, se houver, assumir uma mensagem de entrada. A filtragem de conexões usa uma lista de blocos IP, lista de permissões de IP, serviços de provedor de lista de blocos IP e serviços de provedor de lista de permissões ip para determinar se o IP de conexão deve ser bloqueado ou permitido. Para obter mais informações, confira Filtragem de Conexão em Servidores de Transporte de Borda.
Agente de filtro de destinatário: a filtragem do destinatário compara os destinatários da mensagem no comando RCPT TO: SMTP a uma lista de Blocos de Destinatário definida pelo administrador. Se for encontrada uma correspondência, a mensagem não terá permissão para entrar na organização. O filtro de destinatários também compara destinatários em mensagens de entrada no diretório de destinatários local para determinar se ela está endereçada a destinatários válidos. Quando uma mensagem não é dirigida a destinatários válidos, ela é rejeitada. Para mais informações, consulte Filtragem de destinatário nos servidores de Transporte de Borda.
Observação
Embora o agente Filtro de Destinatários esteja disponíveis em servidores de caixas de correio, você não deve configurá-lo. Quando um filtro de destinatários, em um servidor de caixas de correio, detecta um destinatário inválido ou bloqueado em uma mensagem contendo outros destinatários válidos, a mensagem é rejeitada. Se você instalar o agente antispam em um servidor de caixas de correio, o agente Filtro de Destinatários será habilitado por padrão. Entretanto, ele não estará configurado para bloquear qualquer destinatário.
Agente de filtragem de anexo: a filtragem de anexo bloqueia mensagens com base no nome do arquivo de anexo, na extensão do nome do arquivo ou no tipo de conteúdo MIME do arquivo. Você pode configurar a filtragem de anexo para bloquear uma mensagem e seu anexo, remover o anexo e permitir que a mensagem seja transmitida ou excluir silenciosamente a mensagem e seu anexo. Para obter mais informações, consulte Filtragem de anexos nos servidores de Transporte de Borda.
Com base no valor prioritário do agente antispam, e no caso de SMTP no pipeline de transporte onde o antispam for registrado, esta é a ordem padrão na qual os agentes antispam são aplicados no servidor de Transporte de Borda:
Agente de Filtragem de Conexão
Agente de Filtro por Remetente
Agente de Filtro de Destinatários
Agente de ID de Remetente
Agente de Filtro de Conteúdo
Agente de análise de protocolo para reputação do remetente
Agente de Filtragem de Anexo
Carimbos antispam
Carimbos antispam ajudam a diagnosticar problemas relacionados a spam através da aplicação de metadados de diagnóstico, ou carimbos, como informações específicas do remetente, resultados de validação do quebra-cabeça e resultados da filtragem de conteúdo, a mensagens na medida em que elas passam pelos recursos antispam que filtram mensagens de entrada provenientes da Internet. Para mais informações, consulte Carimbos anti-spam.
Estratégia para a abordagem antispam
Sua estratégia para configurar os recursos antispam e estabelecer a intensidade de suas configurações do agente antispam requer planejamento e cálculo cuidadosos. Se você definir todos os filtros de recursos antispam com os níveis mais agressivos e configurar todos os recursos antispam para que rejeitem todas as mensagens suspeitas, provavelmente você rejeitará mensagens que não são spam. Por outro lado, se não definir os filtros antispam em um nível suficientemente alto e não definir o limite do nível de confiança de spam (SCL) baixo o suficiente, provavelmente você não verá uma redução na quantidade de spam que entra em sua organização.
É uma prática recomendada rejeitar uma mensagem quando o Exchange detectar uma mensagem inválida através do agente de Filtragem de Conexão, agente de Filtro de Destinatário ou agente de Filtro de Remetente. Esse método é mais adequado do que colocar essas mensagens em quarentena ou atribuir-lhes metadados, como carimbos antispam. Os agentes de Filtragem de Conexão e de Filtro de Destinatário bloqueiam automaticamente as mensagens identificadas pelos respectivos filtros. O agente de Filtro de Remetente é configurável.
Essa prática é recomendada, pois o nível de confiança de spam subjacente na filtragem de conexão, na filtragem de destinatário ou na filtragem de remetente é relativamente alto. Por exemplo, com filtragem de remetente, em que o administrador tenha configurado remetentes específicos para serem bloqueados, não há motivo para atribuir os dados da filtragem de remetente a essas mensagens e continuar a processá-las. Na maioria das organizações, as mensagens bloqueadas devem ser rejeitadas. (Se não quiser rejeitar as mensagens, coloque-as na Lista de Rementente Bloqueados.)
A mesma lógica se aplica aos serviços de lista de bloqueios em tempo real e à filtragem de destinatário, embora a confiança subjacente não seja tão alta quanto a da Lista de Bloqueios de IP. Você deve observar que quanto mais uma mensagem percorre o caminho de fluxo de mensagens, tanto mais alta é a probabilidade de falsos positivos, pois os recursos antispam estão avaliando mais variáveis. Portanto, você pode perceber que, se configurar os primeiros recursos antispam na cadeia antispam com mais intensidade, poderá reduzir a maior parte de seu spam. Assim, economizará processamento, largura de banda e recursos de disco para processar mensagens mais ambíguas.
Por último, você deve planejar monitorar a eficácia geral dos recursos antispam. Com monitoramento cuidadoso, você pode continuar ajustando os recursos antispam para funcionar em seu ambiente de modo adequado. Com esse método, planeje uma configuração não muito agressiva dos recursos antispam no início. Esse método permite reduzir o número de falsos positivos. À medida que monitorar e ajustar os recursos antispam, você poderá se tornar mais agressivo em relação ao tipo de spam e aos ataques de spam detectados por sua organização.