Compreendendo o fluxo de mensagens anti-spam e antivírus
Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Tópico modificado em: 2009-01-22
Quando um usuário externo envia mensagens de email a um servidor Microsoft Exchange que executa os recursos anti-spam, esses recursos avaliam de forma cumulativa as características de mensagens de entrada e filtram as mensagens com suspeita de serem spam ou atribuem uma classificação às mensagens com base na probabilidade de que elas sejam spam. Essa classificação é armazenada com a mensagem como uma propriedade denominada classificação de SCL (nível de confiança de spam). Essa classificação persiste na mensagem quando ela é enviada a outros servidores Exchange.
A Figura 1 mostra a ordem em que os recursos anti-spam padrão e o Microsoft Forefront Security para Exchange Server filtram mensagens de entrada da Internet. Por padrão, os recursos anti-spam e antivírus são organizados nessa ordem, com os filtros que usam poucos recursos de filtragem primeiro e os filtros que usam muitos recursos de filtragem por último.
Dica
Recursos anti-spam adicionais podem se tornar disponíveis no futuro. À medida que novos recursos anti-spam forem desenvolvidos, eles serão incluídos no fluxo de mensagens global. Além disso, a figura e a explicação a seguir supõem que o servidor de Transporte de Borda do Exchange Server 2007 seja o primeiro servidor SMTP a aceitar mensagens de entrada. Em algumas organizações, o servidor de Transporte de Borda pode ser implementado por trás de um servidor SMTP de terceiros. Quando o servidor de Transporte de Borda do Exchange 2007 é implantado por trás de um servidor de gateway SMTP de terceiros, o servidor de Transporte de Borda do Exchange 2007 exige configuração adicional. Especificamente, você deve verificar se todos os servidores de gateway SMTP são listados na propriedade InternalSMTPServer do objeto TransportConfig. Para obter mais informações, consulte Set-TransportConfig.
Figura 1 Recursos anti-spam padrão com filtro antivírus de mensagens de entrada da Internet
Como mostra a Figura 1, os filtros são aplicados na seguinte ordem quando o servidor de Transporte de Borda está voltado para a Internet:
Um servidor SMTP é conectado ao Exchange 2007 e inicia uma sessão SMTP.
Filtragem de conexão
Filtragem por remetente
Filtragem por destinatário
Filtragem de ID por remetente
Filtragem de conteúdo
Filtragem de anexos
Verificação antivírus
Dica
Embora esse detalhe não seja mostrado na Figura 1, a filtragem de conexão coleta informações durante dois eventos diferentes. O primeiro evento em que a filtragem de conexão coleta informações é mostrado na Figura 1, em que a filtragem de conexão coleta informações de endereço IP da conexão. A segunda vez que a filtragem de conexão coleta informações é mostrada na Figura 3 quando o agente Filtro de Remetente analisa cabeçalhos de mensagens para determinar o primeiro endereço IP externo. Os agentes podem monitorar vários eventos. A Figura 1 mostra uma exibição de alto nível da ordem aproximada que os agentes são aplicados, quando todos os agentes estiverem habilitados, com o objetivo de ilustrar o fluxo de mensagens. Para obter mais informações sobre eventos específicos e quais agentes monitoram quais eventos, consulte Visão geral de agentes de transporte.
Filtragem de Conexão
Durante a sessão SMTP, o Exchange 2007 aplica filtragem de conexão usando os seguintes critérios, como mostra a Figura 2:
Figura 2 Fluxo de mensagens na filtragem de conexão
O agente de filtragem de conexão examina a Lista de Permissões de IP definida pelo administrador. Se o endereço IP do servidor remetente estiver na Lista de Permissões de IP definida pelo administrador, a mensagem será então processada pela Filtragem por Remetente.
O agente de filtro de conexão examina a Lista de Bloqueios de IP local. Se o endereço IP do servidor remetente for encontrado na Lista de Bloqueios de IP local, a mensagem será automaticamente rejeitada e nenhum outro filtro será aplicado.
O agente de filtro de conexão examina a lista de endereços IP permitidos dos provedores da Lista de Permissões de IP que você tem. Se o endereço IP do servidor remetente estiver na lista de endereços IP permitidos dos provedores da Lista de Permissões de IP, a mensagem será processada pela Filtragem por Remetente.
O agente de filtro de conexão examina as listas de bloqueio em tempo real (RBL) de quaisquer provedores de Lista de Bloqueios de IP que você tiver configurado. Se o endereço IP do servidor remetente for encontrado em um RBL, a mensagem será rejeitada e nenhum outro filtro será aplicado.
Para obter mais informações, consulte Configurando a filtragem de conexão.
Dica
Se o agente de filtro de conexão estiver implementado em um computador por trás de outro servidor voltado para a Internet, outros filtros, como filtragem por remetente e por destinatário, serão acionados antes do agente de filtro de conexão.
Filtragem por Remetente
Depois da aplicação da filtragem de conexão, o Exchange 2007 examina os endereços de email do remetente comparando-os com a lista de remetentes bloqueados configurada na filtragem por remetente, como mostra a Figura 3.
Figura 3 Fluxo de mensagens na filtragem por remetente
O agente de Filtro por Remetente verifica, então, o endereço de email do remetente que está nos campos de cabeçalho De: no envelope da mensagem e no cabeçalho da mensagem. Se um dos campos de cabeçalho De: corresponder ao endereço da lista de Remetentes Bloqueados, o Exchange 2007 rejeitará a mensagem em nível de protocolo e nenhum outro filtro será aplicado.
Dica
Mesmo que destinatários da sua organização tenham colocado remetentes na Lista de Remetentes Seguros do Microsoft Office Outlook, a filtragem por remetente do servidor de Transporte de Borda substituirá a configuração do Outlook do destinatário e rejeitará as mensagens.
Para obter mais informações sobre a filtragem de remetentes, consulte Configurando a filtragem por remetente.
Para obter mais informações sobre envelopes e cabeçalhos de mensagens, consulte Gerenciando o diretório Repetição.
Filtragem por Destinatário
Se a filtragem por remetente não rejeitar a mensagem, o Exchange executará a filtragem de conexão novamente. O Exchange, então, aplicará o agente de Filtro de Destinatário como mostra a Figura 4.
Figura 4 Fluxo de mensagens na filtragem por destinatário
O agente de Filtro de Destinatário examina o destinatário contra a lista de Bloqueio de Destinatários definida nas configurações do agente de filtro de destinatário. Se o destinatário pretendido corresponder a um endereço de email da Lista de Bloqueios de Destinatários, o Exchange 2007 rejeitará a mensagem desse destinatário específico. Além disso, o agente de Filtro de Destinatário verifica se o destinatário está presente na organização. Se não estiver, o Exchange rejeitará a mensagem para aquele destinatário específico.
Se vários destinatários estiverem listados na mensagem e nem todos constarem na lista de Bloqueios de Destinatários, a mensagem continuará sendo processada. Caso contrário, se a mensagem estiver ligada a apenas um destinatário bloqueado, nenhum outro filtro será aplicado.
Quando uma mensagem com destinatários bloqueados for processada, o conjunto de destinatários bloqueados será removido da mensagem e a mensagem continuará na organização. As respostas de rejeição de SMTP do nível de protocolo são enviadas ao remetente de cada destinatário bloqueado. O agente Reputação de Remetente monitora o evento OnReject para calcular o nível de reputação do remetente.
Para obter mais informações, consulte Configurando a filtragem por destinatário.
Filtragem de ID por Remetente
Se a mensagem ainda contiver destinatários válidos depois da aplicação da filtragem por destinatário, o Exchange 2007 executará ID de Remetente como mostra a Figura 5.
Figura 5 Fluxo de mensagens na filtragem de ID por remetente
Primeiro, o agente de ID de Remetente determina o PRA (Endereço Responsável por Expressão) da mensagem usando o algoritmo descrito em RFC 4407. Essa etapa é necessária para identificar com precisão o remetente da mensagem. O PRA é um endereço SMTP, como kim@contoso.com. O agente de ID de Remetente, então, executa uma pesquisa de DNS (serviço de nome de domínio) contra a parte de domínio do PRA. Se aquele domínio tiver publicado um registro da SPF (estrutura da diretiva de remetente), o agente usará o registro da SPF para avaliar a mensagem de acordo com a especificação de RFC 4408. O resultado da avaliação é carimbado na mensagem no carimbo anti-spam. Se o domínio não tiver um registro da SPF publicado, o agente de ID de Remetente carimbará "Nenhum" na mensagem, como resultado de ID de Remetente. Para obter mais informações sobre os tipos de carimbos usados para a filtragem de ID por Remetente, consulte Carimbos anti-spam.
Se o DNS do remetente vier de um domínio ou endereço bloqueado, as seguintes ações poderão ser tomadas, dependendo da configuração de ações de ID de Remetente:
Rejeitar mensagem Se a ação da ID de Remetente estiver definida como Rejeitar Mensagem, o Exchange rejeitará a mensagem e enviará uma resposta de erro de SMTP para o servidor remetente. A resposta de erro SMTP é uma resposta de protocolo no nível 5xx com texto que corresponde ao status do ID de Remetente.
Excluir mensagem Se a ação do ID de Remetente estiver definida como Excluir Mensagem, o Exchange excluirá a mensagem sem informar o servidor remetente da exclusão. Na verdade, o computador com a função de servidor de Transporte de Borda instalada envia um comando SMTP "OK" falso para o servidor de envio e exclui a mensagem. Como pressupõe que a mensagem foi enviada, o servidor de envio não tentará enviar novamente a mensagem na mesma sessão.
Carimbar mensagem com resultado de ID de Remetente e continuar o processamento O Exchange carimba a mensagem com o resultado de ID de Remetente e continua a processá-la. Esses metadados são avaliados pelo agente de Filtro de Conteúdo quando um SCL é calculado. Além disso, a reputação do remetente usa os metadados da mensagem ao calcular o nível de reputação do remetente da mensagem.
Para obter mais informações, consulte Configurando a identificação do remetente.
Filtragem de Conteúdo
Antes de a filtragem de conteúdo do Exchange acionar o Filtro Inteligente de Mensagens do Exchange, ela aplicará novamente a filtragem por remetente. O servidor Exchange, então, aplicará o agente de Filtro de Conteúdo como mostra a Figura 6.
Figura 6 Fluxo de mensagens da filtragem de conteúdo
O agente de Filtro de Conteúdo verifica as seguintes condições na mensagem. Se alguma das condições for verdadeira, a mensagem irá ignorar a filtragem de conteúdo. Essas mensagens serão, então, enviadas para verificação antivírus para processamento.
O endereço IP do remetente está na Lista de Permissões de IP para filtragem de conexão.
Todos os destinatários estão na lista de exceções para filtragem de conteúdo.
O parâmetro AntiSpamBypassEnabled é definido como
$True
em todas as caixas de correio dos destinatários.Todos os destinatários adicionaram esse remetente à Lista de Remetentes Seguros do Outlook, que é atualizada para o servidor de Transporte de Borda usando agregação de lista segura.
O remetente é um parceiro confiável e está na lista de remetentes da organização que não são filtrados.
Além das condições mencionadas aqui, se a sessão SMTP tiver sido autenticada como um parceiro confiável e se o administrador tiver concedido a permissão para Ignorar Anti-Spam (Ms-Exch-Bypass-Anti-Spam) aos parceiros, os agentes anti-spam serão desabilitados para mensagens durante aquela sessão. A permissão para Ignorar Anti-Spam não é concedida a parceiros por padrão e deve ser atribuída por um administrador.
Se uma mensagem não satisfizer nenhuma das condições descritas aqui, a filtragem de conteúdo será aplicada. A filtragem de conteúdo atribui à mensagem um valor de SCL. Com base no valor de SCL, ocorrerá uma das seguintes ações:
Se o valor de SCL da mensagem for igual ou maior do que o limite de exclusão de SCL e esse limite estiver habilitado, o agente de Filtro de Conteúdo excluirá a mensagem. Não existe comunicação no nível de protocolo que informe ao sistema de envio ou ao remetente que a mensagem foi excluída. Se o valor de SCL for menor que o valor do limite de exclusão de SCL, o agente do Filtro de Conteúdo não excluirá a mensagem. Em vez disso, o agente do Filtro de Conteúdo comparará o valor da SCL com o limite de rejeição da SCL.
Se o valor de SCL da mensagem for igual ou maior do que o limite de rejeição de SCL e esse limite estiver habilitado, o agente de Filtro de Conteúdo rejeitará a mensagem e enviará uma resposta de rejeição para o sistema remetente. Você pode personalizar a resposta de rejeição. Em alguns casos, uma notificação de falha na entrega é enviada ao remetente original da mensagem. Se o valor de SCL for menor que o valor do limite de rejeição de SCL, o agente do Filtro de Conteúdo não rejeitará a mensagem. Em vez disso, o agente do Filtro de Conteúdo comparará o valor da SCL ao limite de quarentena da SCL.
Se o valor de SCL da mensagem for igual ou maior do que o limite de quarentena de SCL e esse limite estiver habilitado, o agente de Filtro de Conteúdo enviará a mensagem para a caixa de correio de quarentena de spam. Para obter mais informações sobre como gerenciar a quarentena de spam, consulte Configurando e gerenciando a quarentena de spam. A mensagem, então, seguirá para a filtragem de anexos.
Para obter mais informações, consulte os seguintes tópicos:
Filtragem de anexos
Depois da aplicação da filtragem de conteúdo, o Exchange aplicará a filtragem de anexos como mostra a Figura 7.
Figura 7 Fluxo de mensagens na filtragem de anexos
Você pode configurar a filtragem de anexos para bloquear anexos com base no tipo de conteúdo MIME, nome de arquivo ou extensão de nome de arquivo. Se a filtragem de anexos detectar um tipo de conteúdo de nome de arquivo bloqueado, ocorrerá uma das seguintes ações com base nas configurações de filtragem de anexos:
Rejeitar Se a ação estiver configurada como Rejeitar, tanto a mensagem de email como o anexo serão impedidos de chegar ao destinatário e o sistema irá gerar uma mensagem de falha de DSN para o remetente. Você pode personalizar a resposta de rejeição.
Excluir Sem Aviso Se a ação estiver configurada como Excluir Sem Aviso, tanto a mensagem de email como o anexo serão impedidos de chegar ao destinatário. Nenhuma notificação de que a mensagem e o anexo de email foram bloqueados será enviada ao remetente.
Remover Se a ação estiver configurada como Remover, o anexo será removido da mensagem de email. Este valor permite que a mensagem e outros anexos que não correspondam a uma entrada na lista de bloqueio de anexos sejam entregues ao destinatário. Uma notificação de que o anexo foi bloqueado é adicionada à mensagem de email do destinatário.
Se a mensagem não for rejeitada ou excluída, ou se a filtragem de anexos não detectar tipos de anexos bloqueados, ela será, então, verificada em busca de vírus.
Para obter mais informações, consulte Como configurar a Filtragem de Anexo.
Verificação Antivírus
Depois da aplicação da filtragem de anexos ou se os destinatários forem ignorados na filtragem de conteúdo, a verificação antivírus com o Forefront Security para Exchange Server será aplicada como mostra a Figura 8.
Figura 8 Fluxo de mensagens de verificação antivírus com Forefront Security para Exchange Server
O Forefront Security para Exchange Server é uma pacote de software antivírus que está intimamente integrado ao Exchange 2007 e oferece proteção antivírus adicional para o ambiente Exchange. Quando o Forefront Security para Exchange Server detecta mensagens que parecem conter um vírus, o sistema exclui a mensagem, gera uma mensagem de notificação e envia a notificação para a caixa de correio do destinatário.
Para obter mais informações sobre Forefront Security para Exchange Server, consulte Protecting Your Microsoft Exchange Organization with Microsoft Forefront Security for Exchange Server (página em inglês).
Filtragem de Lixo Eletrônico do Outlook
Depois da aplicação de todos os filtros e da verificação de vírus, a mensagem é enviada para a caixa de correio do destinatário pretendido e a filtragem de Lixo Eletrônico é aplicada como mostra a Figura 9.
Figura 9 Fluxo de mensagens de filtragem de Lixo Eletrônico do Outlook
Se o valor de SCL para a mensagem for igual ou maior do que o limite da pasta de Lixo Eletrônico de SCL e esse limite estiver habilitado, o servidor de Caixa de Correio colocará a mensagem na pasta de Lixo Eletrônico do usuário do Outlook. Se o valor de SCL para uma mensagem for menor que os valores de limite de exclusão, rejeição, quarentena e da pasta Lixo Eletrônico de SCL, o servidor de Caixa de Correio colocará a mensagem na Caixa de Entrada do usuário. Para obter mais informações sobre limites de SCL, consulte Ajustando o limite de nível de confiança de spam.
Para obter mais informações
Para obter mais informações sobre recursos anti-spam e antivírus, consulte os seguintes tópicos: