Informazioni sulle funzionalità per la protezione da posta indesiderata e antivirus

  • Articolo

 

Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Ultima modifica dell'argomento: 2016-11-28

Gli spammer, ovvero mittenti non autorizzati, ricorrono a diverse tecniche per inviare posta indesiderata all'organizzazione. Non esiste un singolo strumento o processo in grado di eliminare tutta la posta indesiderata. Microsoft Exchange Server 2010 sfrutta le basi di Exchange Server 2007 per offrire un approccio a più livelli, diversificato e sfaccettato per ridurre la posta indesiderata e i virus. Exchange 2010 comprende una serie di funzionalità di protezione da posta indesiderata e antivirus progettate per l'interazione per ridurre la posta indesiderata che entra nell'organizzazione.

È possibile ridurre il numero degli attacchi virus da parte di software dannosi, denominati anche malware, nell'organizzazione riducendo la quantità globale di posta indesiderata che accede all'organizzazione. Eliminando la maggior parte della posta indesiderata dal computer in cui è installato il ruolo del server Trasporto Edge, vengono risparmiate molte risorse di elaborazione, la larghezza di banda e l'archiviazione quando nei messaggi vengono individuati virus e altro malware lungo il percorso del flusso di posta.

L'approccio stratificato alla riduzione della posta indesiderata fa riferimento alla configurazione di diverse funzionalità antivirus e di protezione da posta indesiderata che consentono di filtrare i messaggi in ingresso in un ordine specifico. Ciascuna funzionalità consente di filtrare caratteristiche specifiche o un set di caratteristiche correlate nel messaggio in ingresso.

Nelle sezioni seguenti vengono fornite brevi descrizioni di ciascuna funzione antivirus e di protezione da posta indesiderata.

Per informazioni sulle attività relative alla gestione dei server di trasporto, vedere Gestione dei server di trasporto.

Sommario

Filtri antivirus e per la posta indesiderata

Indicatori protezione posta indesiderata

Microsoft Update per i servizi di protezione da posta indesiderata

Utilizzo di Exchange Hosted Services

Strategia per l'approccio di protezione da posta indesiderata

Filtri antivirus e per la posta indesiderata

I filtri per la protezione da posta indesiderata e antivirus vengono applicati in un ordine specifico. Per ulteriori informazioni, vedere Informazioni sul flusso di posta per la protezione posta indesiderata e antivirus. Viene applicato il seguente ordine:

  1. Filtro connessioni   Il filtro connessioni si basa sull'indirizzo IP del server remoto che sta tentando di inviare messaggi per determinare l'eventuale azione da intraprendere per un messaggio in ingresso. L'indirizzo IP remoto è disponibile per l'agente Filtro connessioni come sottoprodotto della connessione TCP/IP sottostante necessaria per la sessione SMTP. Il filtro connessioni utilizza diversi elenchi indirizzi IP bloccati e consentiti, nonché servizi provider elenco indirizzi IP bloccati o consentiti per determinare se la connessione dall'IP specifico deve essere bloccata o consentita per l'organizzazione.

  2. Filtro mittente   Il filtro mittente confronta il mittente presente nel comando MAIL FROM: SMTP con un elenco definito dall'amministratore di mittenti a cui è vietato inviare messaggi all'organizzazione per determinare l'eventuale azione da intraprendere su un messaggio in ingresso.

  3. Filtro destinatario   Il filtro destinatario confronta i destinatari del messaggio presenti nel comando RCPT TO: SMTP con un elenco di destinatari bloccati definito dall'amministratore. Se viene rilevata una corrispondenza, il messaggio non può accedere all'organizzazione. Il filtro destinatario confronta i destinatari dei messaggi in ingresso anche con una directory dei destinatari locale per stabilire se il messaggio è indirizzato a destinatari validi. Se non è indirizzato a destinatari validi, il messaggio può essere rifiutato in corrispondenza del perimetro della rete dell'organizzazione.

  4. ID mittente   L'ID mittente si basa sull'indirizzo IP del server di invio e il Purported Responsible Address (PRA) del mittente per determinare se quest'ultimo è contraffatto o meno. Il PRA viene calcolato in base alle seguenti intestazioni del messaggio:

    • Resent-Sender:

    • Resent-From:

    • Sender:

    • From:

    Per ulteriori informazioni sul PRA, vedere Informazioni sull'ID mittente e RFC 4407.

  5. Filtro contenuto   Il filtro contenuto utilizza la tecnologia Microsoft SmartScreen per la valutazione dei contenuti di un messaggio. Filtro messaggi intelligente è la tecnologia su cui si basa il filtro contenuto di Exchange. Il Filtro messaggi intelligente è basato sulla tecnologia brevettata di apprendimento elettronico di Microsoft Research, grazie alla quale sono state messe a punto tecniche per distinguere le caratteristiche dei messaggi di posta elettronica legittimi da quelle della posta indesiderata. Effettuando regolarmente gli aggiornamenti con il servizio di aggiornamento della protezione da posta indesiderata di Microsoft Exchange, è possibile assicurarsi che vengano comprese sempre le informazioni più aggiornate durante l'esecuzione del Filtro messaggi intelligente. In base alle caratteristiche di milioni di messaggi, il Filtro messaggi intelligente è in grado di riconoscere le caratteristiche identificative di messaggi legittimi e posta indesiderata. Il Filtro messaggi intelligente è in grado di effettuare una valutazione accurata della probabilità che un messaggio di posta elettronica in ingresso sia legittimo o indesiderato.

    La quarantena della posta indesiderata è una funzione dell'agente filtro contenuto che riduce il rischio di perdita di messaggi legittimi erroneamente classificati come posta indesiderata. Questa funzionalità fornisce un percorso di archiviazione temporanea per i messaggi identificati come posta indesiderata che non devono essere recapitati alla cassetta postale di un utente all'interno dell'organizzazione.

    Inoltre, il filtro contenuto agisce sulla funzionalità di aggregazione dell'elenco indirizzi attendibili. L'aggregazione dell'elenco indirizzi attendibili consente di raccogliere dati dagli elenchi di questo tipo configurati dagli utenti di Microsoft Outlook e Outlook Web App e di rendere questi dati disponibili per l'agente Filtro contenuto sul computer in cui è installato il ruolo del server Trasporto Edge in Exchange 2010.

    Quando un amministratore di Exchange abilita e configura correttamente l'aggregazione degli elenchi indirizzi attendibili, l'agente filtro contenuto trasmette i messaggi di posta sicuri alla cassetta postale dell'azienda senza ulteriori elaborazioni. I messaggi di posta che gli utenti di Outlook ricevono dai contatti o dagli utenti che hanno aggiunto ai propri elenchi Mittenti attendibili di Outlook o che ritengono attendibili vengono identificati dall'agente filtro contenuto come sicuri. In questo modo, i messaggi identificati come sicuri non vengono classificati come posta indesiderata e non vengono involontariamente eliminati dal sistema di messaggistica.

  6. Reputazione mittente   Reputazione mittente si basa sui dati permanenti relativi all'indirizzo IP del server di invio per determinare l'eventuale azione da intraprendere su un messaggio in ingresso. L'agente di analisi protocollo implementa la funzionalità di reputazione dei mittenti. Il livello di reputazione mittente (SRL, Sender Reputation Level) viene calcolato da diverse caratteristiche del mittente derivate dall'analisi del messaggio e da verifiche esterne.

    I mittenti il cui SRL supera una soglia configurabile vengono temporaneamente bloccati Tutte le connessioni future provenienti da questi mittenti vengono rifiutate fino a un massimo di 48 ore.

    Oltre alla reputazione IP calcolata localmente, Exchange 2010 si avvale anche degli aggiornamenti della posta indesiderata per la reputazione IP, disponibili tramite Microsoft Update, che forniscono informazioni sulla reputazione dei mittenti basandosi sugli indirizzi IP noti come mittenti di posta indesiderata.

  7. **Applicazione del filtro agli allegati   **Il filtro degli allegati funziona sui messaggi basandosi sul nome del file allegato, l'estensione del file o il tipo di contenuto MIME del file. È possibile configurare il filtro degli allegati per bloccare il messaggio e l'allegato, rimuovere l'allegato e consentire la trasmissione del messaggio oppure eliminare automaticamente il messaggio e l'allegato.

  8. **Microsoft Forefront Protection 2010 for Exchange Server   **Forefront Protection 2010 for Exchange Server (FPE) è un pacchetto di software antivirus strettamente integrato con Exchange 2010 e offre protezione antivirus per l'ambiente Exchange. La protezione antivirus fornita da FPE è indipendente dalla lingua. Tuttavia, installazione, amministrazione del prodotto e notifiche per utenti remoti sono disponibili in 11 lingue diverse. Per ulteriori informazioni, vedere Microsoft Forefront Protection 2010 for Exchange Server.

  9. Filtro posta indesiderata di Outlook   Il filtro posta indesiderata di Outlook utilizza una tecnologia avanzata per valutare se un messaggio deve essere considerato come un messaggio di posta indesiderata in base a diversi fattori come, ad esempio, l'ora di invio, il contenuto e la struttura del messaggio e i metadati raccolti dai filtri di protezione da posta indesiderata di Exchange Server. I messaggi rilevati dal filtro vengono spostati in una cartella speciale di posta indesiderata che permette al destinatario di accedere ai messaggi in un secondo momento.

Inizio pagina

Indicatori protezione posta indesiderata

Gli indicatori di protezione da posta indesiderata permettono di effettuare una diagnosi dei problemi relativi alla posta indesiderata applicando i metadati diagnostici o gli indicatori, come le informazioni specifiche sul mittente, i risultati della convalida puzzle e di filtro contenuto, ai messaggi quando passano attraverso le funzionalità di protezione da posta indesiderata che filtrano i messaggi in ingresso da Internet. Questi indicatori sono visibili per il client di posta elettronica dell'utente finale e codificano le informazioni specifiche sul mittente, la versione del file di definizione per il filtro posta indesiderata, i risultati della convalida puzzle di Outlook e quelli del filtro contenuto.

Inizio pagina

Microsoft Update per i servizi di protezione da posta indesiderata

Exchange 2010 offre altri servizi che consentono di aggiornare i componenti di protezione da posta indesiderata, sfruttando l'infrastruttura consolidata di Microsoft Update.

Gli aggiornamenti del filtro di protezione da posta indesiderata standard MicrosoftExchange 2010 offrono aggiornamenti di protezione da posta indesiderata ogni due settimane tramite Microsoft Update.

Il servizio di aggiornamento della protezione da posta indesiderata di Forefront Security for Exchange Server è un servizio avanzato che aggiorna quotidianamente il filtro contenuto tramite Microsoft Update. Inoltre, il servizio avanzato comprende gli aggiornamenti del servizio firma posta indesiderata e reputazione IP disponibili in base alle necessità, fino a più volte al giorno. Gli aggiornamenti della firma posta indesiderata identificano le campagne di posta indesiderata più recenti. Gli aggiornamenti del servizio reputazione IP forniscono informazioni sulla reputazione dei mittenti relative agli indirizzi IP noti come indirizzi che inviano posta indesiderata.

Nota

Per utilizzare il servizio avanzato, è necessario disporre della licenza di accesso client (CAL) Enterprise di Exchange.

Inizio pagina

Utilizzo di Exchange Hosted Services

Il filtro posta indesiderata viene fornito o è anche disponibile come servizio di Microsoft Exchange Hosted Services.

Exchange Hosted Services è un insieme di quattro servizi in hosting distinti:

  • Hosted Filtering, che consente alle organizzazioni di proteggersi dai malware inviati tramite posta elettronica

  • Hosted Archive, che consente di soddisfare i requisiti di mantenimento per la conformità

  • Hosted Encryption, che consente di crittografare i dati per mantenerne la riservatezza

  • Hosted Continuity, che consente di mantenere l'accesso alla posta elettronica durante e dopo situazioni di emergenza

Questi servizi si integrano con qualsiasi server di Exchange on-premises gestito internamente o con servizi di posta elettronica di Hosted Exchange offerti da provider dei servizi. Per ulteriori informazioni su Exchange Hosted Services, vedere Microsoft Exchange Hosted Services.

Inizio pagina

Strategia per l'approccio di protezione da posta indesiderata

La strategia di configurazione delle funzionalità di protezione da posta indesiderata e di definizione dell'aggressività delle impostazioni dell'agente di protezione da posta indesiderata richiede una pianificazione e un calcolo accurati. Se tutti i filtri di protezione da posta indesiderata vengono impostati ai livelli più alti e configurati per il rifiuto di tutti i messaggi sospetti, è più probabile che vengano rifiutati i messaggi non indesiderati. Al contrario, se i filtri di protezione da posta indesiderata non vengono impostati a un livello sufficientemente alto e la soglia del livello di probabilità di posta indesiderata a un livello sufficientemente basso, probabilmente non si verificherà una riduzione nella quantità di posta indesiderata che accede all'organizzazione.

Si consiglia di rifiutare un messaggio quando Exchange rileva un messaggio errato tramite l'agente Filtro connessioni, l'agente Filtro destinatari o l'agente Filtro mittente. Questo approccio è migliore rispetto alla messa in quarantena dei messaggi o all'assegnazione di metadati, quali contrassegni di protezione da posta indesiderata, a questi messaggi. L'agente Filtro connessioni e destinatari bloccano automaticamente i messaggi identificati dai rispettivi filtri. L'agente filtro mittente può essere configurato.

Questa procedura è consigliata poiché il livello di probabilità di posta indesiderata su cui si basano il filtro connessioni, il filtro destinatari o il filtro mittente è relativamente alto. Ad esempio, se l'amministratore ha configurato il blocco di mittenti specifici nel filtro mittente, non è necessario associare i dati relativi al filtro mittente a tali messaggi e continuare a elaborarli. Nella maggior parte delle organizzazioni, i messaggi bloccati vengono rifiutati. Se non si desidera rifiutarli, non occorre inserire i messaggi nell'elenco Mittenti bloccati.

La stessa logica viene applicata ai servizi relativi all'elenco indirizzi bloccati in tempo reale e al filtro destinatari, anche se il livello di protezione su cui si basano non è così alto come quello dell'elenco indirizzi IP bloccati. Più in profondità un messaggio viene trasmesso nel percorso del flusso di posta, più alta è la probabilità di falsi positivi, poiché le funzionalità di protezione da posta indesiderata valutano più variabili. Pertanto, si noterà che configurando le prime funzionalità di protezione da posta indesiderata nella catena di protezione da posta indesiderata in modo più aggressivo, è possibile ridurre la quantità di posta indesiderata. Di conseguenza, si risparmieranno risorse di elaborazione, larghezza di banda e di disco in modo da poter elaborare i messaggi più ambigui.

Infine, è necessario pianificare di monitorare l'efficacia generale delle funzionalità di protezione da posta indesiderata. Con un monitoraggio accurato, è possibile continuare a regolare le funzionalità di protezione da posta indesiderata per un corretto funzionamento nell'ambiente. Con questo approccio, all'avvio si consiglia di pianificare una configurazione non eccessivamente aggressiva delle funzionalità di protezione da posta indesiderata. Questo approccio consente di ridurre al minimo il numero di falsi positivi. Monitorando e regolando le funzionalità di protezione da posta indesiderata, è possibile incrementare l'aggressività relativa al tipo e agli attacchi di posta indesiderata subiti dall'organizzazione.

Inizio pagina

 ©2010 Microsoft Corporation. Tutti i diritti riservati.