Compartilhar via


Noções Básicas Sobre a Funcionalidade Antispam e Antivírus

Aplica-se a: Exchange Server 2010

Tópico modificado em: 2010-01-18

Spammers, ou remetentes mal-intencionados, usam diversas técnicas para enviar spam para a sua organização. Nenhum processo ou ferramenta única pode eliminar todos os spams. O Microsoft Exchange Server 2010 é criado com base no Exchange Server 2007 para fornecer uma abordagem complexa, de várias frentes e em camadas para reduzir spam e vírus. O Exchange 2010 inclui diversos recursos antispam e antivírus que foram projetados para funcionar de forma cumulativa a fim de reduzir a quantidade de spam que entra em sua organização.

Você poderá reduzir as incidências de epidemias de vírus e ataques por softwares mal-intencionados, também chamados de malware, em sua organização se reduzir o volume geral de spam que entra. Ao eliminar a maioria do spam no computador em que a função de servidor de Transporte de Borda esteja instalada, você poupa recursos de processamento, de largura de banda e de repositório quando as mensagens são verificadas quanto a vírus e outros malwares ao longo do caminho de fluxo de mensagens.

A abordagem em camadas para reduzir spam refere-se à configuração de vários recursos anti-spam e antivírus que filtram mensagens de entrada em uma ordem específica. Cada recurso filtra uma característica específica ou um conjunto de características relacionadas na mensagem de entrada.

As seguintes seções fornecem breves descrições de cada recurso padrão anti-spam e antivírus:

Procurando tarefas de gerenciamento relacionadas ao gerenciamento de servidores de transporte? Consulte Gerenciando Servidores de Transporte.

Sumário

Filtros anti-spam e antivírus

Carimbos anti-spam

Microsoft Update para serviços anti-spam

Usando os Serviços Hospedados pelo Exchange

Estratégia para a abordagem de antispam

Filtros anti-spam e antivírus

Os filtros antispam e antivírus são aplicados em uma ordem específica. Para obter mais informações, consulte Noções Básicas Sobre o Fluxo de Mensagens Antispam e Antivírus. O seguinte ordem se aplica:

  1. Filtragem de conexão    A filtragem de conexão inspeciona o endereço IP do servidor remoto que está tentando enviar mensagens a fim de determinar a ação que será executada em uma mensagem de entrada, caso necessário. O endereço IP remoto está disponível para o agente de Filtro de Conexão como um subproduto da conexão TCP/IP subjacente, necessária à seção SMTP. A filtragem de conexão usa uma variedade de listas de Bloqueios de IP, listas de Permissões de IP, assim como serviços de provedores Lista de Bloqueio de IP ou serviços de provedores de Lista de Permissão de IP para determinar se a conexão do IP específico deve ser bloqueada ou permitida na organização.
  2. Filtragem por remetente   A filtragem por remetente compara o remetente no comando SMTP MAIL FROM: a uma lista de remetentes ou domínios de remetentes definida pelo administrador que estão proibidos de enviar mensagens à organização a fim de determinar a ação que será executada em uma mensagem de entrada, caso necessário.
  3. Filtragem por destinatário   A filtragem por destinatário compara os destinatários da mensagem no comando SMTP RCPT TO: a uma lista de Bloqueio de Destinatários definida pelo administrador. Se for encontrada uma correspondência, a mensagem não terá permissão para entrar na organização. O filtro de destinatários também compara destinatários em mensagens de entrada no diretório de destinatários local para determinar se ela está endereçada a destinatários válidos. Quando uma mensagem não está endereçada a destinatários válidos, ela pode ser rejeitada no perímetro de rede da organização.
  4. ID de Remetente   A ID de Remetente depende do endereço IP do servidor do remetente e do PRA (Purported Responsible Address, Endereço Responsável por Expressão) do remetente para determinar se o remetente é falsificado ou não. O PRA é calculado com base nos seguintes cabeçalhos de mensagem:
  5. Filtragem de conteúdo   A filtragem de conteúdo usa a tecnologia Microsoft SmartScreen para avaliar o conteúdo de uma mensagem. Filtro Inteligente de Mensagens é a tecnologia subjacente da filtragem de conteúdo do Exchange. A Filtragem Inteligente de Mensagens se baseia em tecnologia patenteada para aprendizado de máquinas do Centro de Pesquisa da Microsoft. Durante seu desenvolvimento, o Filtro Inteligente de Mensagens aprendeu a distinguir características de mensagens de email legítimas e spam. Atualizações regulares no Serviço de Atualização do Microsoft Exchange Antispam garantem que as informações mais atualizadas sejam sempre incluídas quando o Filtro Inteligente de Mensagens é executado. Com base nas características de milhões de mensagens, o Filtro Inteligente de Mensagens reconhece indicadores de mensagens legítimas e mensagens de spam. O Filtro Inteligente de Mensagens pode avaliar com precisão a probabilidade de uma mensagem de email de entrada ser legítima ou spam.
    A quarentena de spam é um recurso do agente do Filtro de Conteúdo que reduz o risco de perder mensagens legítimas incorretamente classificadas como spam. A quarentena de spam fornece um local de repositório temporário para mensagens que estão identificadas como spam e que não devem ser entregues a uma caixa de correio de usuário dentro da organização.
    A filtragem de conteúdo também age no recurso de agregação de lista segura. A agregação de lista segura coleta dados das listas seguras antispam que os usuários do Microsoft Outlook e do Outlook Web App configuram e disponibiliza dados para o agente do Filtro de Conteúdo no computador que tem a função de servidor Transporte de Borda instalada no Exchange 2010.
    Quando um administrador do Exchange habilita e configura corretamente a agregação de lista segura, o agente do Filtro de Conteúdo transmite mensagens de email seguras para a caixa de correio corporativa sem processamento adicional. As mensagens de email que usuários do Outlook recebem de contatos que eles tenham adicionado às suas listas de Remetentes Seguros do Outlook ou em que tenham confiado são identificadas pelo agente do Filtro de Conteúdo como seguras. O resultado é que as mensagens identificadas como seguras não são classificadas como spams e não são excluídas acidentalmente do sistema de mensagens.
  6. Reputação do remetente   A reputação do remetente se baseia em dados persistentes sobre o endereço IP do servidor do remetente para determinar qual ação tomar em uma mensagem de entrada, caso necessário. O Agente de Análise de Protocolo é o agente subjacente que implementa a funcionalidade de reputação do remetente. Um nível de reputação do remetente (SRL) é calculado a partir de diversas características do remetente derivadas de análise de mensagem e testes externos.
    Remetentes cujo SRL exceda um limite configurável serão temporariamente bloqueados. Todas as conexões futuras serão rejeitadas por até 48 horas.
    Além da reputação de IP calculada localmente, o Exchange 2010 também aproveita as atualizações de antispam de reputação de IP, disponíveis por meio do Microsoft Update, que fornecem informações de reputação do remetente sobre endereços IP conhecidos por enviar spam.
  7. **Filtragem de anexo   **A filtragem de anexo filtra mensagens com base no nome do arquivo, na extensão de nome de arquivo ou no tipo de conteúdo MIME do anexo. Você pode configurar a filtragem de anexo para bloquear uma mensagem e seu anexo, remover o anexo e permitir que a mensagem seja transmitida ou excluir silenciosamente a mensagem e seu anexo.
  8. **Microsoft ForeFront Protection 2010 para Exchange Server   ** Forefront Protection 2010 para Exchange Server (FPE) é um pacote de software antivírus altamente integrado ao Exchange 2010 e oferece proteção antivírus para o ambiente do Exchange. A proteção antivírus fornecida pelo FPE não depende de idioma. No entanto, a instalação, a administração do produto e as notificações ao usuário final estão disponíveis em 11 idiomas do servidor. Para obter mais informações, consulte Microsoft Forefront Protection 2010 para Exchange Server.
  9. Filtragem de lixo eletrônico do Outlook   O filtro de lixo eletrônico do Outlook usa tecnologia avançada para avaliar se uma mensagem deve ser tratada como lixo eletrônico baseando-se em vários fatores, como a hora em que a mensagem foi enviada, o conteúdo e a estrutura da mensagem e os metadados coletados pelos filtros antispam do Exchange Server. As mensagens capturadas pelo filtro são movidas para uma pasta especial de Lixo Eletrônico, onde o destinatário pode acessá-las mais tarde.

Retornar ao início

Carimbos anti-spam

Carimbos antispam ajudam a diagnosticar problemas relacionados a spam através da aplicação de metadados de diagnóstico, ou carimbos, como informações específicas do remetente, resultados de validação do quebra-cabeça e resultados da filtragem de conteúdo, a mensagens na medida em que elas passam pelos recursos antispam que filtram mensagens de entrada provenientes da Internet. Esses carimbos ficam visíveis para o cliente de email do usuário final e codificam as informações específicas do remetente, a versão do arquivo de definição de filtro de spam, os resultados de validação de quebra-cabeça do Outlook e os resultados de filtragem de conteúdo.

Retornar ao início

Microsoft Update para serviços anti-spam

O Exchange 2010 oferece serviços adicionais para ajudar a manter componentes antispam atualizados, aproveitando a comprovada infraestrutura do Microsoft Update.

As Atualizações de Filtro Antispam Padrão do Microsoft Exchange 2010 oferecem atualizações antispam a cada duas semanas por meio do Microsoft Update.

O Serviço de Atualização do Forefront Security para Exchange Server Antispam é um serviço premium que atualiza o filtro de conteúdo diariamente por meio do Microsoft Update. Além disso, o serviço premium inclui atualizações de assinatura de spam e Serviço de Reputação de IP disponibilizadas de acordo com a necessidade, até várias vezes por dia. Atualizações de assinatura de spam identificam as campanhas de spam mais recentes. As atualizações do serviço de Reputação de IP fornecem informações de reputação do remetente sobre endereços IP conhecidos por enviar spam.

Dica

Para usar o serviço premium, você deve ter a CAL (licença de acesso para cliente) do Exchange Enterprise.

Retornar ao início

Usando os Serviços Hospedados pelo Exchange

A filtragem de spam é melhorada por ou também está disponível como um serviço que faz parte dos Serviços Hospedados pelo Microsoft Exchange.

O Exchange Hosted Services representa um conjunto de quatro serviços hospedados distintos:

  • Filtragem Hospedada, que ajuda as organizações a se protegerem contra malware proveniente de email
  • Arquivamento Hospedado, que os ajuda a atender aos requisitos de retenção quanto à conformidade
  • Criptografia Hospedada, que os ajuda a criptografar dados para preservar o sigilo
  • Continuidade Hospedada, que os ajuda a preservar o acesso a email durante e após situações de emergência

Esses serviços se integram a quaisquer servidores Exchange locais que são gerenciados internamente ou por serviços de email do Hosted Exchange que são oferecidos por meio de provedores de serviços. Para mais informações sobre o Exchange Hosted Services, consulte Microsoft Exchange Hosted Services.

Retornar ao início

Estratégia para a abordagem de antispam

Sua estratégia para configurar os recursos antispam e estabelecer a intensidade de suas configurações do agente antispam requer planejamento e cálculo cuidadosos. Se você definir todos os filtros de recursos antispam com os níveis mais agressivos e configurar todos os recursos antispam para que rejeitem todas as mensagens suspeitas, provavelmente você rejeitará mensagens que não são spam. Por outro lado, se não definir os filtros antispam em um nível suficientemente alto e não definir o limite do nível de confiança de spam (SCL) baixo o suficiente, provavelmente você não verá uma redução na quantidade de spam que entra em sua organização.

É uma prática recomendada rejeitar uma mensagem quando o Exchange detecta uma mensagem inválida através do agente de Filtro de Conexão, agente de Filtro de Destinatário ou agente de Filtro de Remetente. Esse método é mais adequado do que colocar essas mensagens em quarentena ou atribuir-lhes metadados, como carimbos antispam. Portanto, o agente de Filtro de Conexão e Filtro Destinatário bloqueiam automaticamente as mensagens identificadas pelos respectivos filtros. O agente de Filtro de Remetente é configurável.

Essa prática é recomendada, pois o nível de confiança de spam subjacente na filtragem de conexão, na filtragem de destinatário ou na filtragem de remetente é relativamente alto. Por exemplo, com filtragem de remetente, em que o administrador tenha configurado remetentes específicos para serem bloqueados, não há motivo para atribuir os dados da filtragem de remetente a essas mensagens e continuar a processá-las. Na maioria das organizações, as mensagens bloqueadas devem ser rejeitadas. (Se não quiser rejeitar as mensagens, coloque-as na Lista de Rementente Bloqueados.)

A mesma lógica se aplica aos serviços de lista de bloqueios em tempo real e à filtragem de destinatário, embora a confiança subjacente não seja tão alta quanto a da Lista de Bloqueios de IP. Você deve observar que quanto mais uma mensagem percorre o caminho de fluxo de mensagens, tanto mais alta é a probabilidade de falsos positivos, pois os recursos antispam estão avaliando mais variáveis. Portanto, você pode perceber que, se configurar os primeiros recursos antispam na cadeia antispam com mais intensidade, poderá reduzir a maior parte de seu spam. Assim, economizará processamento, largura de banda e recursos de disco para processar mensagens mais ambíguas.

Por último, você deve planejar monitorar a eficácia geral dos recursos antispam. Com monitoramento cuidadoso, você pode continuar ajustando os recursos antispam para funcionar em seu ambiente de modo adequado. Com esse método, planeje uma configuração não muito agressiva dos recursos antispam no início. Esse método permite reduzir o número de falsos positivos. À medida que monitorar e ajustar os recursos antispam, você poderá se tornar mais agressivo em relação ao tipo de spam e aos ataques de spam detectados por sua organização.

Retornar ao início