Noções sobre Proteção Antisspam

 

Aplica-se a: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Última modificação do tópico: 2012-02-29

Este tópico apresenta uma descrição geral das funcionalidades antisspam disponíveis no Microsoft® Forefront® Online Protection for Exchange (FOPE).

O FOPE tem quatro opções de gestão e armazenamento de spam. As definições destas opções são geridas ao nível do domínio.

  1. Configurar a Quarentena de Spam: A Quarentena de Spam é a opção mais utilizada para o armazenamento de spam, pois isenta os servidores empresariais de correio eletrónico de processarem e armazenarem este tipo de correio eletrónico. Adicionalmente, esta opção evita que os utilizadores tenham de analisar as mensagens de spam, contribuindo para o aumento da produtividade dos colaboradores. Para esta opção, as mensagens de correio eletrónico identificadas como spam são redirecionadas para as caixas de correio eletrónico de spam baseadas na Web dos utilizadores individuais, alojadas pelo serviço FOPE. As mensagens de spam são armazenadas durante 15 dias, sendo depois eliminadas automaticamente.

  2. Configurar X-Header no FOPE: Esta opção entrega as mensagens de correio eletrónico normalmente, mas insere um cabeçalho spam X especial no cabeçalho da mensagem de correio eletrónico. Pode adicionar comentários de Cabeçalho X personalizados às mensagens identificadas como spam pelo serviço FOPE. O X-Header é adicionado ao cabeçalho da Internet de todas as mensagens de spam subsequentes. A opção X-Header fornece uma contagem legítima do número de mensagens de correio electrónico filtradas como spam. Se for necessário, também pode estabelecer regras de servidor de correio ou regras do lado do cliente para filtrar mensagens de correio eletrónico marcadas com Cabeçalhos X.

  3. Noções sobre Redirecionamento de Spam: O correio electrónico identificado como spam é redireccionado para um único endereço SMTP no domínio. Quando lhe for conveniente, poderá rever estas mensagens a partir de uma localização única alojada no servidor de correio.

  4. Noções sobre Modificar Assunto no FOPE: É possível adicionar uma palavra ou expressão de identificação à linha de assunto das mensagens identificadas como spam (por exemplo, SPAM). Se for necessário, poderá então criar regras do lado do cliente para filtrar as mensagens de spam.

Poderá encontrar mais informações sobre cada opção em Noções sobre Definições de Ação para Spam no FOPE.

O FOPE atinge uma precisão avançada através de uma tecnologia de antisspam multicamada proprietária que ajuda a garantir a filtragem automática do correio eletrónico não solicitado, antes de este entrar nos sistemas de mensagens da empresa. Assim que um domínio estiver configurado e ativado para o serviço FOPE, é designado um registo MX para encaminhar o correio através do serviço. Depois disto, deixa de ser necessária uma intervenção contínua por parte dos utilizadores ou administradores de TI.

O bloqueio de reputação de IP do FOPE constitui a primeira linha de defesa contra correio eletrónico indesejável, bloqueando cerca de 90% do correio eletrónico não solicitado recebido através de análises de ligação e reputação.

Cada ligação à rede do FOPE é monitorizada exaustivamente, sendo avaliada com base nos comandos SMTP emitidos pelo servidor de ligação. Os pedidos de ligação não padrão que não estejam em conformidade com as normas RFC e as tentativas de ligação falsificadas são ignorados de imediato. Isto ajuda a proteger as redes destas tentativas de ligação inválidas.

O bloqueio de ligação baseado na reputação fornecido pelo FOPE utiliza uma lista proprietária que, com base na análise dos dados do histórico, contém os endereços dos computadores ligados à Internet que são responsáveis pela maior parte do spam. Graças à parceria em curso com o Microsoft® Windows Live™ Hotmail®, o FOPE agrega os dados de correio eletrónico não solicitado de consumidores e empresas para preencher uma extensa e completa base de dados de reputação.

O FOPE também utiliza as informações de reputação de IP de outras empresas e ISPs para fornecer uma proteção melhorada contra IPs duvidosos e ataques de botnet, com origem num conjunto de computadores comprometidos que executam software sob uma infraestrutura comum de comando e controlo. Os remetentes de spam criam constantemente Web sites maliciosos que utilizam para phishing e infeções por software maligno. O FOPE tira partido de um conjunto de fontes para atualizar rapidamente as listas de URLs maliciosos conhecidos e para atualizar os seus filtros de conteúdo para bloquear estas mensagens.

Depois de serem processadas no bloqueio periférico, as mensagens têm de passar pelas quatro camadas adicionais da tecnologia antisspam:

Muitos clientes pretendem maior controlo sobre mensagens de correio electrónico que possam conter imagens obscenas, afectar a privacidade ou tentar enganar– os utilizadores de forma a divulgarem informações confidenciais. A funcionalidade de filtro de spam adicional (ASF) do FOPE permite aplicar sinalizadores de filtragem e colocar em quarentena mensagens que contenham diversos tipos de conteúdo ativo ou suspeito. Para obter informações detalhadas sobre os sinalizadores de filtragem ASF disponíveis, consulte Configurar Opções Adicionais de Filtragem de Spam.

O serviço FOPE autentica a identidade do remetente de cada mensagem de correio eletrónico. Se não for possível autenticar uma mensagem e for determinado que provém de um remetente falsificado, muito provavelmente será considerada spam. O SPF (Sender Policy Framework), uma norma do setor que impede a falsificação de endereços return path utilizando a identidade SMTP Mail From no correio eletrónico, facilita a identificação de falsificações. As pesquisas do SPF ajudam a verificar se a entidade listada como remetente enviou de facto a mensagem de correio electrónico.

Quando as mensagens contêm características de spam conhecidas, são identificadas e marcadas. Quando uma mensagem é marcada, é-lhe atribuído uma ID exclusiva com base no conteúdo. A base de dados de impressões digitais agrega dados de todo o spam bloqueado pelo sistema FOPE, melhorando e refinando o processo de atribuição de impressões digitais à medida que as mensagens vão sendo processadas. Se uma mensagem com uma impressão digital específica voltar a aparecer no sistema, a impressão digital é detectada e a mensagem é marcada como spam. O sistema analisa continuamente as mensagens a receber para determinar novos métodos de spam. A equipa de análise de spam do FOPE atualiza a camada de impressões digitais à medida que são detetadas novas campanhas.

O serviço FOPE atribui pontuações às mensagens com base em mais de 20.000 regras que incorporam e definem as caraterísticas de mensagens de correio eletrónico legítimas e de spam. São adicionados pontos se uma mensagem contiver características de spam; contrariamente, são subtraídos pontos se contiver características de correio eletrónico legítimo. Quando a pontuação de uma mensagem atingir um limiar definido, a mensagem é assinalada como spam.

As caraterísticas das mensagens avaliadas e pontuadas pelo FOPE incluem:

  • Expressões no corpo e assunto da mensagem, incluindo URLs

  • Ocultação HTTP, que consiste em disfarçar URLs de spam como URLs legítimos

  • Cabeçalhos malformados, que são cabeçalhos construídos incorrectamente

  • Tipo de cliente de correio electrónico

  • Formação de cabeçalhos; por exemplo, ID de Mensagem, Recebido, caracteres aleatórios

  • Servidor de correio de origem

  • Agente de correio de origem

  • Endereço De e endereço De SMTP

A equipa de spam modifica as regras actuais e adiciona regras novas, conforme necessário, várias vezes ao dia, todos os dias.

Existem diversas causas para um aumento súbito de relatórios de entrega sem êxito (NDRs) que podem afectar um ambiente de correio electrónico. Por exemplo, um dos endereços de correio electrónico num domínio pode ser afectado por uma campanha de spoofing ou ser o endereço de origem de um ataque DHA (Directory Harvest Attack). Qualquer um destes problemas pode resultar num aumento súbito do número de NDRs entregues aos utilizadores finais. O backscatter de NDRs, referente às inúmeras mensagens recebidas quando um endereço de correio electrónico é falsificado como sendo o remetente de spam, constitui actualmente um problema sério para muitas empresas. Além das regras de deteção de NDR, uma regra ASF adicional do FOPE ajuda a bloquear o backscatter. Esta opção filtra as mensagens de NDR e envia-as para a quarentena.

Para os clientes de filtragem no envio, utiliza-se lógica para ajudar a detectar NDRs que são mensagens de devolução legítimas. Estas são entregues ao remetente original sem activação da opção ASF. Para os clientes de recepção, a detecção inteligente de NDRs legítimos é activada por predefinição.

 
Mostrar: