Sugerir tradução
Outras sugestões:

progress indicator
Sem sugestões.
TechNet Magazine > Home > Todas as edições > 2009 > TechNet Magazine Maio 2009 >  Proteger email em seu ambiente do Exchange 2007...
Exibir Conteúdo: Lado a LadoExibir Conteúdo: Lado a Lado
Este é um conteúdo traduzido por máquina que os membros da comunidade podem editar. Incentivamos você a melhorar a tradução clicando no link Editar associado a qualquer sentença abaixo.
Protect E-Mail with Forefront Security
Neetu Rajpal
At a Glance:
  • Installing and configuring Forefront Security for Exchange Server
  • Multiple scanning engines and scanning policies
  • Fighting spam with connection and content filtering
  • Configuring and managing FSE using Windows PowerShell

The next generation release of Forefront Security for Exchange Server (from here on referred to as FSE) is a premium antimalware (antispam, antivirus, and content filtering) product for protecting e-mail that flows through Exchange server environments. It is integrated with Exchange Server and can scan all e-mail messages that are in transit (moving in, out, or within the enterprise), in use (being read), or at rest (stored in the user's mailbox). The product ships with a default configuration to allow immediate use after installation but can be modified to meet the exact needs of the enterprise.
More information, case studies, and an evaluation version of the product will be available from the Microsoft Forefront Server Security TechCenter after FSE is released later this year.
In this article, I will walk through the features of FSE. I will assume you are familiar with Exchange Server 2007 and look only at the security and content filtering capabilities of FSE installed on the local Exchange Server. I will discuss how you can protect your enterprise from unwanted spam and malware, as well as how to restrict content in your enterprise e-mail using various types of filtering. To navigate through all that technical content, I will use the new simplified management experience for FSE, which is integrated with the upcoming Microsoft Forefront (codename "Stirling") management server. I will not, however, cover Stirling or FSE integration with it.

Getting Started
If you already have Exchange Server set up for your organization, installing FSE is simple. You install the product on the same machine as the Exchange Server; FSE supports the Exchange Edge Transport, Exchange Hub Transport, and Exchange Mailbox server roles. FSE seamlessly plugs into the Exchange environment using the publicly accessible agent architecture and virus scanning API ( VSAPI ). Once installed, the security and filtering policies can be edited via the Forefront Server Security Administrator console, shown in Figure 1. The Navigation pane on the left lets you move to a particular area of the UI to view or edit. The Details pane in the middle displays the configuration information, and the Actions pane on the right is used for executing actions.
Figure 1 The Forefront Server Security Administrator console
Let's look at the Antimalware settings (on the left in Figure 1). In this example, the Antimalware node has three subnodes that can be used to configure the security settings for e-mail at different points:
Mailbox Realtime These settings are for e-mail in use (as it is read). This section is disabled when the local Exchange Server that FSE is installed on is not the Mailbox role. It has been a design assumption for these settings that e-mail is always scanned on its way to the Mailbox, (in transit) using the Hub Transport or the Edge Transport scan settings. But the Mailbox Realtime scan is useful when there is a large lag between the time the e-mail comes into the system and the time the e-mail is read. Since FSE scans malware using AV signatures and heuristics built into the engines, updated engines and updated signatures can make a significant difference in what malware is caught
Hub Transport This section is used for configuring the settings for e-mail in transit (inbound, outbound, and internal). You will see this section only when the underlying local Exchange server has the Hub Transport role deployed. Some enterprises make a decision to forgo the Edge server role and deploy the Hub server role only. Starting with Exchange 2007, all e-mail (inbound, outbound, and internal) is routed through a Hub server. Enterprises that deploy only a Hub server can set all the security settings for e-mail in transit in the Hub Transport section of the Administrator console. Enterprises that deploy both Edge and Hub servers can choose to not rescan e-mail when it gets to the Hub server after passing through the Edge server.
Mailbox Scheduled These are malware security settings for e-mail at rest (e-mail received previously and stored in the user's mailbox). This section is visible only when the local Exchange Server is the Mailbox role. This scan is useful for catching any malware that has slipped through the scans for in-transit mail, as well as for measuring the effectiveness of proposed keyword filter policies. For example, suppose the fictional enterprise Contoso introduces a new policy that prohibits profanity in e-mail. They aren't sure, however, whether this policy is really needed or whether it will be effective. To measure the effectiveness of the policy, the company sets up a keyword filter with FSE and runs a Mailbox Scheduled scan. Then, using this scan, the IT admin scans the e-mail in a few (or many, or all) selected users' mailboxes and generates a report of all the e-mail that would have been in violation of this policy if it was implemented. With this data in hand, Contoso can make a more informed decision regarding the keyword filtering policies for its organization.
Note that there's no Edge Transport node in Figure 1. The Edge Transport section, for configuring the antimalware settings for e-mail in transit (inbound and outbound), is only available when the underlying local Exchange server is the Edge Transport role. In the example in Figure 1, the underlying Exchange server is the Hub Transport role and Mailbox role so the Edge Transport settings are not available. The Exchange Edge role is primarily deployed in the DMZ and used for e-mail hygiene; it is recommended that the security settings be set to the max on this role.

Forefront Security for Exchange uses multiple antimalware engines to find viruses, worms, and spyware. Some engines are signature-based while others have heuristic capabilities. A common request from customers is for guidance on selecting which engines to run for the best detection and performance. With new pre-set options, FSE now makes the process much simpler while also maintaining all the previously available advanced settings for customers who want a higher level of control. You can choose one of the engine-selection policies based on your security vs. performance needs—and all the other engine management settings are automatically decided. Figure 2 describes the different types of scans that the Intelligent Engine Selection section makes available.
Figure 2 The different scanning policy offerings
Policy Description
Always scan with all selected engines This is the most secure setting. When this is selected, FSE will scan all e-mail with all the engines that are part of the product. In the likely case that any of the engines or signatures for the engines are updating, FSE will block all e-mail until the updates have finished and FSE is able to use the new engine or signature.
Scan with the subset of selected engines that are available This setting is slightly less secure. When this is chosen, FSE will scan all e-mail with all engines that are currently available. If all selected engines are available, the e-mail will be scanned by all of them. However, if one of the selected engines is being updated, e-mail will be scanned with the remaining engines and allowed to pass through if determined to be free of malware.
Scan with a dynamically chosen subset of the selected engines This setting balances between performance and security. A subset of engines will be selected by FSE to scan the e-mail. Choose this setting when you want some extra protection and the value of using multiple engines, but need to take performance into consideration.
Scan with only one of the selected engines This setting should be picked only when performance is critical and the e-mail has been previously scanned. With this choice, FSE will dynamically select one engine to scan the e-mail.
Enterprises that need precise control over which engines are used for scanning can use the Advanced Engine Management setting at the bottom of the policy page.

Spam continues to be one of the most egregious resource taxes for enterprises in terms of e-mail. A disproportionately large number of e-mails received by most enterprises are spam. FSE offers a new premium antispam solution that takes a two-pronged approach—filtering based on both connection and content.
Connection Filtering Before e-mail gets into the enterprise, FSE can make a reputation assessment based on the IP address of the sender. If the IP address is marked as a known spam sender, the connection is refused and the e-mail never enters the enterprise. The reputation-based assessment is supported by an online service that Microsoft maintains. FSE also recognizes that IT and messaging administrators need to be able to overwrite the reputation assessments that FSE makes, so it provides an IP Allow List and an IP Block List. Any IP address on the IP Allow List will not be assessed and will actually be passed straight to the recipient's Inbox. Any e-mail connections from IP addresses on the IP Block List will be rejected without any reputation analysis. Figure 3 shows the Protection Settings for FSE's connection-based antispam filtering.
Figure 3 Antispam connection fi ltering
Content Filtering After the e-mail goes through the FSE Connection Filtering, it gets a second-level spam evaluation based on the content of the e-mail. FSE integrates an industry-leading third-party antispam engine. When content filtering is enabled, FSE assigns a Spam Confidence Level to each e-mail message it scans. Based on the spam confidence level, enterprises can decide to delete the e-mail, quarantine it, or just mark it and deliver it to the user's mailbox where it will end up in the Junk Mail folder.
There are several types of content filters that can be specified via the FSE administrative console. Figure 4 shows what you would see when specifying the file filter policy, which lets enterprises block e-mails with a specific file type. FSE will detect the file type based on binary inspection rather than the filename to avoid danger if a file extension has been changed. Thus, if the enterprise sets a policy for not sharing executables through e-mail, FSE can block executables—even if the sender attempts to bypass detection by changing the name of the file to something like NotExecutable.txt. In addition to file type filtering, FSE can also block files based on the name of the file or a combination of both.
Figure 4 Configuring the file filter

Show Me the Results
Once your settings are configured, FSE will work in the background. The Monitoring section of the Navigation pane can be used to see everything that has been going on with FSE. The Incident pane (Figure 5) lists of all the security incidents and filtering policy matches. There is also a Quarantine pane that shows all the e-mail quarantined by FSE. You can use this pane not only to see which e-mail was blocked but also to deliver e-mail that was previously quarantined.
Figure 5 Displaying security incidents

Windows PowerShell
FSE implements a new, extensive Windows PowerShell layer. All configuration settings, reports, and other options accessible through the UI are also accessible through this layer. The FSE PowershellSnapIn is available from the Forefront Management Shell. You can view the commands available for FSE by typing
Get-Help *FSE*
One of the most useful aspects of using Windows PowerShell it that the commands make it easy to establish the configuration settings for FSE on one server and then transfer them to any other server. After configuring one server, you can export the settings using the Export-FSESettings command, then import to another server using the Import-FSESettings.

Wrapping Up
This article introduces some of the capabilities of the next generation Forefront Security for Exchange Server. With multiple scanning engines and filtering capabilities, the product protects e-mail while allowing you to take performance into consideration. You can also handle configuration and management as you prefer, using either the administration console or Windows PowerShell. I hope this article encourages you to evaluate FSE for yourself.

Neetu Rajpal is the Group Program Manager for the Forefront Sever Security team based in Hauppauge, NY. She has been a software professional for over 13 years and loves building cool software. She spent the early part of her career on all things XML and now works on server-based security software.

Proteger email com o Forefront Security
Neetu Rajpal
Visão geral:
  • Instalando e configurando o Forefront Security para Exchange Server
  • Vários mecanismos de verificação e verificação de diretivas
  • Combatendo spam com conexão e filtragem de conteúdo
  • Configurar e gerenciar FSE usando o Windows PowerShell

A próxima versão de geração do Forefront Security para Exchange Server (daqui em chamado de FSE) é um produto de antimalware (antispam, antivírus e conteúdo filtragem) premium para proteção de email que flui através de ambientes de servidor do Exchange. Ele é integrado com o Exchange Server e pode verificar todos os emails estão em trânsito (mover no, check-out ou dentro da empresa), em uso (sendo leitura), ou em repouso (armazenado na caixa de correio do usuário). O produto é fornecido com uma configuração padrão para permitir o uso imediato após a instalação, mas pode ser modificado para atender às necessidades exatas da empresa.
Obter mais informações, estudos de caso e uma versão de avaliação do produto estarão disponíveis da TechCenter do Microsoft Forefront Server Security Após o FSE lançamento posteriormente neste ano.
Neste artigo, eu orientará por meio dos recursos de FSE. Eu assumirá você estiver familiarizado com o Exchange Server 2007 e examine apenas a segurança e recursos de FSE instalado no Exchange Server local de filtragem de conteúdo. Discutirei como você pode proteger sua empresa contra spam indesejado e malware, como bem como como para restringir conteúdo no email da empresa usando vários tipos de filtragem. Para navegar por conteúdo técnico tudo isso, VOU usar a nova experiência de gerenciamento simplificado de FSE, que é integrado ao servidor de gerenciamento Microsoft Forefront (codinome "Stirling") futuro. Eu não, no entanto, abordará Stirling ou FSE integração com ele.

Guia de Introdução
Se você já tiver definido para sua organização do Exchange Server, instalar FSE é simples. Você instalar o produto na mesma máquina que o Exchange Server; FSE oferece suporte as funções de servidor Transporte de Borda do Exchange, Transporte de Hub do Exchange e caixa de correio do Exchange. FSE perfeitamente se conecta no ambiente do Exchange usando a arquitetura de agente publicamente acessíveis e o antivírus API (VSAPI). Uma vez instalado, a segurança e diretivas de filtragem podem ser editadas por meio do console do Forefront Server Security Administrator, mostrado na Figura 1 . O painel de navegação à esquerda permite mover para uma área específica da interface do usuário para exibir ou editar. O painel de detalhes no meio exibe as informações de configuração, e o painel de ações à direita é usado para executar ações.
Figura 1 O Forefront Server Security Administrator console
Vamos examinar as configurações de antimalware (no lado esquerdo da Figura 1 ). Neste exemplo, o nó de antimalware tem três subnós que podem ser usadas para configurar as configurações de segurança de email em diferentes pontos:
em tempo real de caixa de correio Essas configurações são para email em uso (como ele é lido). Esta seção é desativada quando o Exchange Server local que FSE está instalada no não é a função de caixa de correio. Tem sido uma suposição de design para essas configurações que email é examinado sempre sobre sua maneira de caixa de correio, (em trânsito) usando o transporte de Hub ou as configurações de verificação de Transporte de Borda. Mas a verificação em tempo real de caixas de correio é útil quando há um grande atraso entre o momento que o email entra no sistema e o tempo que o email é lido. Como FSE verifica malware usando assinaturas de antivírus e heurística embutidas os mecanismos, atualizados mecanismos e atualizados assinaturas podem fazer uma diferença significativa no malware é detectada
Transporte de Hub Esta seção é usada para definir as configurações de email em trânsito (entrado, saído e interno). Você verá esta seção somente quando o servidor Exchange local base tem a função de Transporte de Hub esteja implantada. Algumas empresas tomar uma decisão não a função de servidor de borda e implantar a função de servidor hub somente. Começando com o Exchange 2007, todos os emails (entrado, saído e internos) será roteado através um servidor de Hub. As empresas que implantam apenas um servidor de Hub podem defina todas as configurações de segurança de email em trânsito na seção Transporte de Hub do console do administrador. As empresas que implantam servidores de Borda e Hub podem optar por não examinar novamente email quando chegar a servidor de Hub depois de passar pelo servidor de borda.
caixa de correio agendadas Essas são malware configurações de segurança de email em repouso (email recebidos anteriormente e armazenados em caixa de correio do usuário). Esta seção é visível somente quando o servidor Exchange local é a função de caixa de correio. Essa verificação é útil para capturar qualquer malware que tiver adiadas por meio de verificações de mensagens em trânsito, bem como para medir a eficiência de diretivas de filtro de palavra-chave proposto. Por exemplo, suponha que a empresa fictícia Contoso introduz uma nova diretiva que proíba profanação no email. Não são se, no entanto, se essa diretiva, na verdade, é necessário ou se será eficiente. Para medir a eficiência da diretiva, a empresa configura um filtro de palavra-chave com FSE e executa uma verificação agendada de caixa de correio. Em seguida, usar essa verificação, o administrador IT verifica o email nas caixas de correio dos alguns (ou muitos ou todos os) usuários selecionados e gera um relatório de todos os emails teria sido violando essa diretiva se ele foi implementado. Com esses dados em mãos, a Contoso pode tomar uma decisão mais embasada sobre a palavra-chave filtragem diretivas para sua organização.
Observe que não há nenhum nó de Transporte de Borda na Figura 1 . A seção de Transporte de Borda, para definir as configurações de antimalware para email em trânsito (entrado / saído), só está disponível quando o servidor Exchange local base é a função Transporte de Borda. No exemplo na Figura 1 , o servidor do Exchange subjacente é a função de Transporte de Hub e a função de caixa de correio para que as configurações de Transporte de Borda não sejam disponíveis. A função de Borda do Exchange principalmente é implantada no DMZ e usada para higiene de troca de email; é recomendável que as configurações de segurança ser definidas para o máximo nessa função.

O Forefront Security for Exchange usa vários mecanismos de antimalware para encontrar vírus, worms e spyware. Alguns mecanismos são com base em assinatura enquanto outros têm recursos de heurístico. Uma solicitação comum de clientes é para obter orientação sobre como selecionar quais mecanismos para executar para a detecção e o desempenho melhor. Com novas opções predefinidas, FSE agora torna o processo muito mais simples e também manter todas as anteriormente disponíveis configurações avançadas para clientes que desejam um nível mais alto de controle. Você pode escolher uma das diretivas de mecanismo de seleção com base em suas segurança vs. necessidades de desempenho — e todas as outras configurações da gerenciamento mecanismo são decidiu automaticamente. a Figura 2 descreve os diferentes tipos de verificações que disponibiliza a seção inteligente Engine Selection.
Figura 2 as verificação ofertas de diretiva diferente
Diretiva Descrição
Sempre verificar com todos os mecanismos selecionados Esta é a configuração mais segura. Quando essa opção é selecionada, FSE verificará todos os emails com todos os mecanismos que fazem parte do produto. No caso provável que qualquer um dos mecanismos ou assinaturas para os mecanismos de está atualizando, FSE bloqueará todos os emails até que as atualizações tem terminado e FSE é capaz de usar o novo mecanismo ou a assinatura.
Verificar com o subconjunto dos mecanismos selecionados que estão disponíveis Essa configuração é um pouco menos segura. Quando isso é escolhido, FSE verificará todos os emails com todos os mecanismos que estão disponíveis no momento. Se todos os mecanismos selecionados estiverem disponíveis, o email será examinado por todos eles. No entanto, se um dos mecanismos selecionados está sendo atualizado, email será verificado com os mecanismos de restantes e permissão para passar se considerado livre de malware.
Verificar com um subconjunto dinamicamente escolhido dos mecanismos selecionados Essa configuração de saldos entre desempenho e segurança. Um subconjunto dos mecanismos será selecionado por FSE para verificar o email. Escolha esta configuração quando você deseja alguma proteção extra e a importância de usar vários mecanismos, mas precisará tomar o desempenho em consideração.
Verificar com apenas um dos mecanismos selecionados Essa configuração deve ser separada somente quando o desempenho é fundamental e o email tem sido digitalizado anteriormente. Com essa opção, FSE dinamicamente selecionará um mecanismo para verificar o email.
Empresas que precisa de controle preciso sobre quais mecanismos são usados para a digitalização podem usar a configuração do Gerenciamento Avançado de mecanismo de na parte inferior da página da diretiva.

O spam continua a ser uma dos impostos de recurso mais egregious para empresas em termos de email. Um número grande desproporcionalmente de emails recebidos pela maioria das empresas são spam. FSE oferece uma nova solução antispam de premium que adota uma abordagem de dois pinos — filtragem com base em tanto conexão e o conteúdo.
filtragem de conexão Antes de email recebe para a empresa, FSE pode fazer uma avaliação de reputação com base no endereço IP do remetente. Se o endereço IP estiver marcado como um remetente de spam conhecidos, a conexão é recusada e o email nunca insere a empresa. Há suporte para a avaliação de reputação-com base em um serviço online que a Microsoft mantém. FSE também reconhece que a TI e a necessidade dos administradores para poder substituir as avaliações de reputação FSE faz, portanto, ele fornece uma lista de Permissão de IP e uma lista de bloqueios de IP de mensagens. Qualquer endereço IP na lista de permissões de IP não será avaliado e, na verdade, será ser passado diretamente para a caixa de entrada do destinatário. Quaisquer conexões de email de endereços IP na lista de bloqueios de IP serão rejeitadas sem qualquer análise da reputação. a Figura 3 mostra as configurações de proteção para a FSE-com base em antispam filtragem de conexão.
A Figura 3 conexão antispam fi ltering
filtragem de conteúdo Depois que o email passa a filtragem de conexão de FSE, ele obtém uma avaliação de spam de segundo nível com base no conteúdo do email. FSE integra um mecanismo de antispam de terceiros líderes do setor. Quando a filtragem de conteúdo está habilitada, o FSE atribui um nível de confiança de spam a cada mensagem de email verifica. Dependendo o nível de confiança de spam, as empresas podem optar por excluir o email, colocar em quarentena, ou simplesmente marcá-la e entregá-lo para a caixa de correio do usuário onde ele acabará na pasta Lixo Eletrônico.
Há vários tipos de filtros de conteúdo que podem ser especificados por meio do console administrativo do FSE. a Figura 4 mostra o que você vê ao especificar a diretiva de filtro de arquivo, que permite que os emails de bloco de empresas com um tipo de arquivo específico. FSE detectará o tipo de arquivo com base em inspeção binária em vez do nome de arquivo para evitar perigo se uma extensão de arquivo foi alterada. Portanto, se a empresa define uma diretiva para o compartilhamento não executáveis através de email, FSE pode bloquear arquivos executáveis — mesmo se o remetente tenta ignorar a detecção alterando o nome do arquivo para algo como NotExecutable.txt. Bem como filtragem de tipo de arquivo, FSE também pode bloquear arquivos com base em que o nome do arquivo ou uma combinação de ambos.
A Figura 4 Configurando o filtro de arquivo

Mostrar-me os resultados
Quando as configurações estão definidas, FSE funcionarão no plano de fundo. A seção de monitoramento do painel de navegação pode ser usada para ver tudo o que tem sido acontecendo com FSE. A lista de painel ( Figura 5 ) incidentes de todos os incidentes de segurança e filtragem correspondências de diretiva. Há também um painel de quarentena que mostra todos os emails colocados em quarentena pelo FSE. Você pode usar esse painel não apenas para ver qual email foi bloqueado mas também para entregar email que foi anteriormente em quarentena.
A Figura 5 exibindo incidentes de segurança

O Windows PowerShell
FSE implementa uma camada de Windows PowerShell nova e ampla. Todas as definições de configuração, relatórios e outras opções acessíveis pela interface do usuário também são acessíveis através dessa camada. O PowershellSnapIn FSE está disponível no Shell de Gerenciamento do Forefront. Você pode exibir os comandos disponíveis para FSE digitando
Get-Help *FSE*
Um dos aspectos mais úteis de usar o Windows PowerShell é que os comandos tornam fácil estabelecer as configurações de configuração de FSE em um servidor e transferi-los para qualquer outro servidor. Depois de configurar um servidor, você pode exportar as configurações usando o comando FSESettings de exportar e importar para outro servidor usando o Import-FSESettings.

Quebra automática para cima
Este artigo apresenta alguns dos recursos da próxima geração Forefront Security para Exchange Server. Com vários mecanismos de verificação e recursos de filtragem, o produto protege email permitindo que você se o desempenho em consideração. Você também pode tratar configuração e gerenciamento de como você preferir, usando o console de administração ou o Windows PowerShell. Espero que este artigo incentiva a avaliar FSE para si mesmo.

Neetu Rajpal é gerente de programa do grupo do equipe do Forefront Server Security em Hauppauge, em Nova York. Ela tem sido um software profissional para sobre 13 anos e adora a criação de software interessante. Ela gasto a parte inicial da sua carreira em tudo XML e agora funciona no software de segurança baseado em servidor.

Page view tracker