Melhores Práticas de Configuração do FOPE

 

Aplica-se a: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Última modificação do tópico: 2013-05-17

Os nossos clientes concluíram que o facto de disporem das seguintes informações sobre o serviço Forefront Online Protection for Exchange (FOPE) ajudou-os a tirar o máximo partido do serviço e a garantir uma execução o mais eficaz possível. Para ver um vídeo que demonstre como configurar as opções descritas neste tópico, consulte Melhores Práticas de Configuração do Forefront Online Protection for Exchange (apenas em inglês).

A Ferramenta de Sincronização de Diretórios gratuita é uma boa forma de sincronizar de modo seguro e automático os endereços proxy de utilizador final válidos (e os seus Remetentes Seguros, se estiverem disponíveis) entre um Active Directory local, o serviço FOPE e o serviço Exchange Hosted Archive. A Ferramenta de Sincronização de Directórios está localizada no seguinte endereço:http://www.microsoft.com/downloads/details.aspx?FamilyID=3cda6dcc-1124-4e0b-b991-de9d85ed12e1&DisplayLang=en

Uma vez transferida a Ferramenta de Sincronização de Diretórios (DST), é possível carregar uma lista de utilizadores (e respetivos endereços de correio eletrónico) através da ferramenta DST para a rede Hosted Services. Depois, é possível utilizar a lista de utilizadores carregada para o Bloqueio Periférico Baseado em Directórios (definindo o Bloqueio Periférico Baseado em Directórios do domínio para o modo Rejeitar), acesso de Quarentena ou serviços de Arquivo.

Se a empresa não tiver um ambiente Active Directory do Microsoft Windows, pode definir a origem da Lista de Utilizadores como Admin Center ou Secure FTP (opções alternativas para carregar listas de utilizadores).

Para mais informações, tais como uma descrição geral conceptual, instruções de instalação e informações de suporte sobre a ferramenta DST do FOPE, consulte A Ferramenta de Sincronização de Directórios.

O SPF é utilizado para impedir a utilização não autorizada de um nome de domínio no envio de comunicações de correio eletrónico, uma técnica também conhecida como "spoofing", fornecendo um mecanismo para validar os anfitriões de envio. Se pretender configurar as definições do registo de SPF, utilize as sugestões seguintes como guia:

  1. Para os domínios que processam mensagens a enviar através da rede de filtragem, pode incluir "spf.messaging.microsoft.com" no registo de SPF, assim como nos endereços IP de servidores de envio de correio individuais. O SPF é utilizado para impedir a utilização não autorizada de um nome de domínio no envio de comunicações de correio eletrónico, uma técnica também conhecida como "spoofing", fornecendo um mecanismo para validar os anfitriões de envio.

    ImportantImportante:
    Estas instruções só são válidas para domínios que enviam mensagens de correio eletrónico a enviar através da rede de filtragem.
  2. Uma vez que o SPF é utilizado para validar se um endereço IP específico está autorizado a enviar correio para um domínio específico, os endereços IP de envio da rede de filtragem têm de ser incluídos no registo de SPF. A forma mais fácil de adicionar o conjunto completo de IPs é utilizar a instrução "include: spf.messaging.microsoft.com" no registo de SPF.

  3. Adicionalmente, pode listar todos os endereços IP de servidores de envio de correio. Estes endereços IP são necessários para garantir a entrega de correio a outros clientes do FOPE. Cada endereço IP deve ser adicionado através de uma instrução ip4: . Por exemplo, para incluir "127.0.0.1" como um IP de envio aceite, deve adicionar "ip4:127.0.0.1" ao registo de SPF. Se souber todos os IPs autorizados, adicione-os utilizando o qualificador –all (Fail). Se não tiver a certeza de que tem a lista completa de IPs, utilize o qualificador ~all (SoftFail).

    Por exemplo:

     

    Contoso.com tem três servidores de envio de correio:

    127.0.0.1

    127.0.0.2

    127.0.0.3

    O registo de SPF original da Contoso era:

    "v=spf1 ip4:127.0.0.1 ip4:127.0.0.2 ip4:127.0.0.3 -all"

    Após o encaminhamento de correio através do FOPE, o registo de SPF da Contoso passou a ser:

    "v=spf1 include:spf.messaging.microsoft.com ip4:127.0.0.1 ip4:127.0.0.2 ip4:127.0.0.3 -all"

As sugestões seguintes ajudam a garantir uma transferência de dados contínua e correcta para o serviço Hosted Filtering.

  • Configure as definições no servidor SMTP com um tempo limite de ligação de 60 segundos.

  • Assim que as regras da firewall forem restringidas para permitirem apenas ligações SMTP de recepção dos endereços IP utilizados pelo serviço Hosted Filtering, recomendamos que o servidor SMTP seja configurado para aceitar o número mais elevado de ligações de recepção concorrentes do serviço que considere ser aceitável.

  • Se o servidor estiver a enviar correio eletrónico de envio através do serviço Hosted Filtering, também recomendamos que o servidor seja configurado para enviar um máximo de 50 mensagens por ligação e utilizar menos de 50 ligações simultâneas. Em circunstâncias normais, estas definições ajudam a garantir que o servidor transfere os dados de forma contínua e correcta para o serviço.

O acesso aos serviços subscritos pode ser restringido a utilizadores que estabeleçam ligação à Web a partir de endereços IP especificados. O acesso a partir de outros endereços IP não seria permitido nesta configuração, minimizando a probabilidade de acesso não autorizado. As definições de restrição de IP estão disponíveis no âmbito da empresa, no âmbito do domínio e no âmbito do utilizador.

Deverão ser sempre utilizadas palavras-passe seguras para todas as contas, em especial para as contas de administrador. As diretrizes seguintes podem ajudar a criar palavras-passe seguras:

  • Incluem letras em maiúsculas e minúsculas, números e caracteres especiais (?, !, @, $)

  • Defina as palavras-passe para que expirem frequentemente; por exemplo, a cada 3, 4 ou 6 meses.

Estão também disponíveis opções ASF (Filtragem de Spam Adicional). Por predefinição, é recomendado que desative todas as opções ASF, possivelmente com exceção das seguintes:

  • Hiperligações de imagens para sites remotos – Esta definição é recomendada para utilizadores que recebam uma grande quantidade de correio de marketing, publicidade ou newsletters que contenham conteúdos com caraterísticas de spam.

  • Falha de Hardware no Registo de SPF – Esta definição é recomendada para organizações preocupadas com a receção de mensagens de phishing.

  • Autenticação do Endereço De – É recomendado ativar esta definição para organizações preocupadas com phishing, especialmente se os seus utilizadores estiverem a ser alvo de spoofing. No entanto, geralmente é recomendado que os utilizadores ativem esta opção em resposta a um escalamento, em vez de a ativarem por predefinição.

Para obter informações mais detalhadas sobre estas e outras opções ASF, consulte Configurar Opções Adicionais de Filtragem de Spam.

TipSugestão:

Considere ativar as opções ASF no modo Teste para identificar opções adicionais de spam agressivo e maximizar o bloqueio de spam com base no seu ambiente. Recomendamos que os clientes com percentagens de spam elevadas testem estas opções antes de as implementarem em ambiente de produção.

Os clientes devem submeter qualquer spam recebido nos seus computadores à Equipa de Spam do serviço Hosted Filtering em abuse@messaging.microsoft.com para revisão.

Os clientes também podem optar por permitir que os utilizadores finais deles instalem a Ferramenta de Reporte de Correio Eletrónico Não Solicitado. Para utilização com o Microsoft® Office Outlook®, a Ferramenta de Reporte de Correio Eletrónico Não Solicitado permite ao utilizador final submeter rapidamente mensagens de correio eletrónico não solicitado para abuse@messaging.microsoft.com para análise, de forma a melhorar a eficácia da filtragem de correio eletrónico não solicitado.

Pode transferir a Ferramenta de Reporte de Correio Eletrónico Não Solicitado aqui: http://go.microsoft.com/fwlink/?LinkID=147248

Também pode configurar o domínio para apresentar a hiperligação de transferência da Ferramenta de Reporte de Correio Eletrónico Não Solicitado aos utilizadores finais quando estes iniciam sessão no Web site Quarentena.

Para obter informações mais detalhadas sobre a Ferramenta de Reporte de Correio Eletrónico Não Solicitado, consulte Suplemento para Reportar Correio Electrónico Não Solicitado para o Microsoft Office Outlook.

A maior parte das mensagens submetidas como falsos positivos são realmente mensagens de spam filtradas correctamente, mas que os destinatários continuam a querer receber.

Para analisarem o tipo e número de mensagens reportadas ao serviço Hosted Filtering como falsos positivos, os administradores devem configurar a funcionalidade de cópia de submissão de falsos positivos do filtro de spam para obterem uma cópia das mensagens para revisão.

ImportantImportante:
Antes de enviarem uma submissão de falso positivo, os utilizadores finais têm de iniciar sessão no Web site Quarentena para verem primeiro a mensagem ou salvaguardarem-na para visualização e, em seguida, reencaminharem-na para false_positive@messaging.microsoft.com.

As mensagens que são falsos positivos têm de ser submetidas mediante o reencaminhamento de toda a mensagem e de todos os cabeçalhos da Internet para a caixa de correio false_positive.

Além da filtragem de spam e vírus, as Regras de Política do Centro de Administração do FOPE permitem impor políticas de empresa específicas através da configuração de regras de filtragem personalizáveis. Pode criar um conjunto específico de regras para identificar as mensagens e aplicar acções específicas nas mensagens durante o seu processamento pelo serviço Hosted Filtering. Por exemplo, pode criar uma regra de política que rejeite as mensagens de correio eletrónico a receber que tenham uma determinada palavra ou expressão no campo Assunto. Além disso, os Filtros de Regras de Política permitem adicionar e gerir listas grandes de valores (por exemplo, endereços de correio eletrónico, domínios e palavras-chave) para várias regras de política através do carregamento de um ficheiro (Dicionário).

É possível configurar regras de política para vários critérios de correspondência de correio eletrónico:

  • Nomes e valores do campo de cabeçalho

  • Endereços IP, domínios e endereços de correio eletrónico de remetente

  • Domínios e endereços de correio eletrónico de destinatário

  • Nomes e extensões de ficheiro de anexo

  • Assunto de correio eletrónico, corpo e outras propriedades da mensagem (tamanho, número de destinatários)

Para mais informações sobre as Regras de Política, consulte Regras de Política.

O filtro de políticas pode ser utilizado para ajudar a defender as redes empresariais de ataques por correio eletrónico e proteger as informações confidenciais dos utilizadores finais.

É possível obter proteção antiphishing adicional através da deteção de informações pessoais em mensagens de correio eletrónico que saiam da organização. Por exemplo, pode utilizar as expressões regulares seguintes para detectar a transmissão de dados financeiros pessoais ou de informações que possam comprometer a privacidade:

  • \d\d\d\d\s\d\d\d\d\s\d\d\d\d\s\d\d\d\d (MasterCard Visa)

  • \d\d\d\d\s\d\d\d\d\d\d\s\d\d\d\d\d (American Express)

  • \d\d\d\d\d\d\d\d\d\d\d\d\d\d\d\d (qualquer número de 16 dígitos)

  • \d\d\d\-\d\d\-\d\d\d\d (Números de Segurança Social)

O spam e os esquemas de phishing podem ser evitados mediante o bloqueio de mensagens de correio eletrónico a receber que aparentem ter sido enviadas pelo seu próprio domínio. Crie uma regra de rejeição para as mensagens do domínio da sua empresa enviadas para o mesmo domínio de empresa oseudominio.com para bloquear este tipo de falsificação do remetente.

ImportantImportante:
Esta regra só deve ser criada se tiver a certeza de que nenhuma mensagem de correio eletrónico legítima do seu domínio é enviada a partir da Internet para o seu servidor de correio.

O filtro de políticas pode ser utilizado de diversas formas para defender as redes empresariais de ataques por correio eletrónico e proteger as informações confidenciais dos utilizadores finais.

A prevenção de ameaças através do bloqueio de extensões de ficheiros deveria, no mínimo, bloquear as seguintes extensões: EXE, PIF, SCR, VBS

Para melhorar a protecção, recomenda-se o bloqueio de algumas ou de todas as extensões seguintes: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, exe, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh

 
Mostrar: