Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
APLICA-SE A:
2016 2019 Subscription Edition
A reputação do remetente faz parte da funcionalidade antispam do Exchange que bloqueia mensagens de acordo com muitas características do remetente. A reputação do remetente baseia-se em dados persistentes sobre o remetente para determinar a ação a tomar nas mensagens de entrada. O agente de Análise de Protocolos é o agente subjacente para a funcionalidade de reputação do remetente.
Para obter mais informações sobre como configurar a reputação do remetente e o agente de Análise de Protocolos, veja Procedimentos de reputação do remetente.
Por predefinição, o agente de Análise de Protocolos está ativado nos servidores de Transporte edge, mas pode ativá-lo nos servidores da Caixa de Correio. Para saber mais, confira Habilitar a funcionalidade antispam em servidores Caixa de Correio.
Calcular o nível de reputação do remetente (SRL)
Um nível de reputação de remetente (SRL) é calculado a partir das seguintes estatísticas:
Análise HELO/EHLO: os comandos HELO e EHLO SMTP destinam-se a fornecer o nome de domínio, como Contoso.com ou o endereço IP do servidor SMTP de envio para o servidor SMTP recetor. Os utilizadores maliciosos ou os remetentes de spam falsificam frequentemente a instrução HELO/EHLO de várias formas. Por exemplo, escrevem um endereço IP que não corresponde ao endereço IP a partir do qual a ligação teve origem. Os spammers também colocam domínios que são conhecidos por serem suportados localmente no servidor de receção na instrução HELO numa tentativa de aparecer como se os domínios fossem da organização. Noutros casos, os spammers alteram o domínio transmitido na instrução HELO. O comportamento típico de um utilizador legítimo pode ser utilizar um conjunto de domínios diferente, mas relativamente constante, nas instruções HELO.
Por conseguinte, a análise da instrução HELO/EHLO numa base persender pode indicar que é provável que o remetente seja um spammer. Por exemplo, um remetente que fornece muitas instruções HELO/EHLO exclusivas diferentes num período de tempo específico é mais provável que seja um spammer. Os remetentes que fornecem consistentemente um endereço IP na instrução HELO que não corresponde ao endereço IP de origem, conforme determinado pelo agente de Filtragem de Ligações, também são mais propensos a serem spammers. Os remetentes remotos que fornecem consistentemente um nome de domínio local na instrução HELO que está na mesma organização que o servidor Exchange também são mais propensos a serem spammers.
Pesquisa de DNS inversa: a reputação do remetente também verifica se o endereço IP de origem a partir do qual o remetente transmitiu a mensagem corresponde ao nome de domínio registado que o remetente submete no comando HELO ou EHLO SMTP.
A reputação do remetente efetua uma consulta DNS inversa ao submeter o endereço IP de origem para o DNS. O resultado devolvido pelo DNS é o nome de domínio registado através da utilização da autoridade de nomenclatura de domínio para esse endereço IP. A reputação do remetente compara o nome de domínio devolvido pelo DNS com o nome de domínio que o remetente submeteu no comando HELO/EHLO SMTP. Se os nomes de domínio não corresponderem, é provável que o remetente seja um spammer e a classificação SRL geral do remetente seja aumentada.
O agente do ID do Remetente executa uma tarefa semelhante, mas o êxito do agente do ID do Remetente baseia-se em remetentes legítimos para atualizar a respetiva infraestrutura de DNS para identificar todos os servidores SMTP de envio de e-mail na respetiva organização. Ao efetuar uma pesquisa de DNS inversa, pode ajudar a identificar potenciais spammers.
Análise das classificações de SCL em mensagens de um remetente específico: quando o agente do Filtro de Conteúdo processa uma mensagem, atribui uma classificação de nível de confiança de spam (SCL) à mensagem. A classificação SCL é um número de 0 a 9. Uma classificação SCL mais elevada indica que é mais provável que uma mensagem seja spam. Os dados sobre cada remetente e as classificações SCL que as suas mensagens produzem são mantidos para análise pela reputação do remetente. A reputação do remetente calcula estatísticas sobre um remetente de acordo com o rácio entre todas as mensagens desse remetente que tinham uma classificação SCL baixa no passado e todas as mensagens desse remetente que tinham uma classificação SCL elevada no passado. Além disso, o número de mensagens que têm uma classificação SCL elevada que o remetente enviou no último dia é aplicado à SRL geral.
Teste de proxy aberto do remetente: um proxy aberto é um servidor proxy que aceita pedidos de ligação de qualquer pessoa em qualquer lugar e reencaminha o tráfego como se tivesse origem nos anfitriões locais. Os servidores proxy reencaminham o tráfego TCP através de anfitriões de firewall para fornecer às aplicações do utilizador acesso transparente através da firewall. Uma vez que os protocolos proxy são leves e independentes dos protocolos de aplicação do utilizador, os proxies podem ser utilizados por vários serviços diferentes. Os proxies também podem ser utilizados para partilhar uma única ligação à Internet por vários anfitriões. Normalmente, os proxies são configurados para que apenas os anfitriões fidedignos dentro da firewall possam atravessar os proxies. Um remetente legítimo pode ser um proxy aberto devido a uma configuração incorreta não intencional ou software maligno.
Os proxies abertos fornecem uma forma ideal para os utilizadores maliciosos ocultarem as identidades verdadeiras e iniciarem ataques denial of service (DoS) ou enviarem spam. À medida que mais servidores proxy estão configurados para serem abertos por predefinição, os proxies abertos tornaram-se mais comuns. Além disso, os utilizadores maliciosos podem utilizar vários proxies abertos em conjunto para ocultar o endereço IP de origem do remetente.
Quando a reputação do remetente executa um teste de proxy aberto, fá-lo ao formatar um pedido SMTP numa tentativa de ligar novamente ao servidor Exchange a partir do proxy aberto. Se for recebido um pedido SMTP do proxy, a reputação do remetente verifica se o proxy é um proxy aberto e atualiza a estatística de teste do proxy aberto para esse remetente.
A reputação do remetente pesa cada uma destas estatísticas e calcula uma SRL para cada remetente. O SRL é um número entre 0 e 9 que prevê a probabilidade de um remetente específico ser um remetente de spam ou um usuário mal-intencionado. Um valor de 0 indica que o remetente provavelmente não é um remetente de spam; um valor de 9 indica que provavelmente o remetente é um remetente de spam.
Pode configurar um limiar de bloqueio de 0 a 9 em que a reputação do remetente emite um pedido ao agente do Filtro do Remetente e, por conseguinte, impede o remetente de enviar uma mensagem para a organização. Quando um remetente é bloqueado, o remetente é adicionado à lista remetentes bloqueados durante um período de tempo configurável. A maneira como as mensagens bloqueadas são tratadas depende da configuração do agente de Filtro por Remetente. As seguintes ações são as opções para manipulação de mensagens bloqueadas:
Rejeitar: as mensagens são devolvidas num relatório de entrega sem êxito (também conhecido como NDR, notificação de status de entrega, DSN ou mensagem de devolução)
Eliminar: as mensagens são eliminadas automaticamente sem um NDR.
Aceitar: as mensagens são aceites e marcadas como provenientes de um remetente bloqueado
Para obter mais informações sobre o agente do Filtro do Remetente, veja Filtragem do remetente.
Se um remetente estiver incluído na lista Bloco IP ou no Serviço de Reputação do IP da Microsoft, a reputação do remetente emitirá um pedido imediato ao agente do Filtro do Remetente para bloquear o remetente. Para tirar partido desta funcionalidade, tem de ativar e configurar o Microsoft Exchange Antispam Update Service.
Por predefinição, a reputação do remetente define uma classificação de 0 para remetentes que não foram analisados. Depois de um remetente ter enviado 20 ou mais mensagens, a reputação do remetente calcula uma SRL baseada nas estatísticas descritas anteriormente neste tópico.
Quando utilizar o SRL
A reputação do remetente atua em mensagens durante duas fases da sessão SMTP:
No comando MAIL FROM: SMTP: A reputação do remetente age numa mensagem apenas se a mensagem tiver sido bloqueada ou for executada pelo agente de Filtragem de Ligação, pelo agente do Filtro do Remetente, pelo agente do Filtro de Destinatário ou pelo agente do ID do Remetente. Neste caso, a reputação do remetente obtém a classificação SRL atual do remetente do perfil de remetente que persiste sobre esse remetente no servidor Exchange. Após esta classificação ser obtida e avaliada, a configuração do servidor Exchange dita o comportamento que ocorre numa ligação específica de acordo com o limiar de bloco.
Após o comando SMTP "fim dos dados": o comando SMTP de fim da transferência de dados (EOD) é fornecido quando todos os dados reais da mensagem são enviados. Nesta fase da sessão SMTP, muitos dos agentes antisspam processaram a mensagem. Como um subproduto do processamento antisspam, as estatísticas em que a reputação do remetente depende são atualizadas. Por conseguinte, a reputação do remetente tem os dados para calcular ou recalcular uma classificação SRL para o remetente.
Configurar a deteção de servidores proxy abertos
Quando a reputação do remetente calcula uma SRL, a reputação do remetente tenta ligar-se ao endereço IP de origem do remetente através de uma variedade de protocolos de proxy comuns, como SOCKS4, SOCKS5, HTTP, Telnet, Cisco e Wingate. A reputação do remetente formata um pedido específico do protocolo numa tentativa de ligar novamente ao servidor Exchange a partir do servidor proxy aberto através de um pedido SMTP. Se for recebido um pedido SMTP do servidor proxy, a reputação do remetente verifica se o servidor proxy é um servidor proxy aberto e ajusta a classificação SRL de acordo com este resultado. Por predefinição, a deteção de servidores proxy abertos está ativada na reputação do remetente.
Para obter mais informações sobre como configurar a deteção de servidores proxy abertos, veja Procedimentos de reputação do remetente.
Definir o limiar do bloco SRL
O SRL é um número entre 0 e 9 que prevê a probabilidade de um remetente específico ser um remetente de spam ou um usuário mal-intencionado. Tem de definir um limiar SRL para o remetente bloquear para especificar o valor SRL que faz com que a reputação do remetente bloqueie um remetente. Por predefinição, o limiar do bloco SRL é 7, o que significa que os remetentes com uma SRL de 7, 8 ou 9 estão bloqueados.. Deve monitorizar a eficácia da reputação do remetente e do agente de Análise de Protocolos no nível predefinido.
Num servidor de Transporte Edge, se o limiar do bloco SRL for atingido ou excedido por um remetente específico, a reputação do remetente adiciona o remetente à lista de Blocos IP no agente de Filtragem de Ligações. Por vezes, os spammers enviam lotes de spam a partir de um único remetente. Neste cenário, se a reputação do remetente calcular uma SRL que exceda o limiar do bloco SRL, o remetente é adicionado à Lista de Blocos do Remetente durante um período de tempo configurável. A duração padrão é 24 horas. Após 24 horas, o remetente é removido da Lista de Bloqueios do Remetente e pode enviar mensagens novamente.
Quando um remetente é adicionado à lista de Blocos IP, a reputação do remetente elimina o perfil do remetente. A reputação do remetente elimina o perfil porque o perfil existente do remetente bloqueado indica que o SRL do remetente excede o limiar do bloco SRL. Isto faria com que o remetente bloqueado fosse adicionado novamente à lista de Blocos IP assim que a duração do bloqueio do remetente terminasse.
Para obter mais informações sobre como configurar o bloqueio do remetente, veja Procedimentos de reputação do remetente.