Partilhar via

Proteção antisspam no Exchange Server

  • Artigo

Os remetentes de spam ou maliciosos utilizam várias técnicas para enviar e-mails indesejados para a sua organização. Nenhum processo ou ferramenta única pode eliminar todos os spams. No entanto, o Microsoft Exchange fornece uma abordagem multifacetada em camadas para reduzir estas mensagens indesejadas. O Exchange utiliza agentes de transporte para fornecer proteção antispam e os agentes incorporados que estão disponíveis no Exchange Server 2016 e no Exchange Server 2019 permanecem relativamente inalterados em comparação com o Exchange Server 2010. No Exchange 2016 e exchange 2019, a configuração e gestão destes agentes só estão disponíveis na Shell de Gestão do Exchange.

Para obter mais funcionalidades antispam e uma gestão mais fácil, pode comprar a Proteção do Exchange Online (EOP), que faz parte do Microsoft 365 e do Office 365. Para saber mais sobre a proteção antisspam do Microsoft 365 ou do Office 365, consulte Proteção antisspam na EOP.

Agentes antispam em servidores de Caixa de Correio

Normalmente, ativa os agentes antispam num servidor de Caixa de Correio se a sua organização não tiver um servidor de Transporte edge ou se não efetuar outra filtragem antispam nas mensagens recebidas. Para saber mais, confira Habilitar a funcionalidade antispam em servidores Caixa de Correio.

Tal como todos os agentes de transporte, é atribuído um valor de prioridade a cada agente antisspam. Um valor mais baixo indica uma prioridade mais alta, por isso, normalmente, um agente antispam com prioridade 1 age numa mensagem antes de um agente antispam com prioridade 9. No entanto, o evento SMTP no pipeline de transporte onde o agente antispam está registado também é muito importante para determinar a ordem pela qual o agente antispam atua nas mensagens. Um agente antispam de baixa prioridade registado no início do pipeline de transporte atua em mensagens perante um agente antispam de alta prioridade que é registado mais tarde no pipeline de transporte.

Com base no valor de prioridade predefinido do agente e do evento SMTP onde o agente está registado, esta é a ordem pela qual os agentes antispam são aplicados às mensagens nos servidores da Caixa de Correio:

  1. Agente de Filtro do Remetente: a filtragem do remetente compara o servidor de envio a uma lista de remetentes ou domínios do remetente que estão proibidos de enviar mensagens para a sua organização. Para obter mais informações, consulte Filtragem de remetentes.

  2. Agente do ID do Remetente: o ID do remetente baseia-se no endereço IP do servidor de envio e no Endereço Responsável (PRA) do remetente para determinar se o endereço de e-mail de envio está falsificado. Para obter mais informações, consulte ID de Remetentes.

  3. Agente de Filtro de Conteúdo: o agente de filtragem de conteúdos atribui um nível de confiança de spam (SCL) a cada mensagem com base em dados de mensagens legítimas e de spam. Para obter mais informações, consulte Filtragem de Conteúdo.

    A quarentena de spam é um componente do agente do Filtro de Conteúdo que reduz o risco de perder mensagens legítimas classificadas incorretamente como spam. A quarentena de spam fornece uma localização de armazenamento temporária para mensagens suspeitas para que um administrador possa rever as mensagens. Para obter mais informações, consulte Quarentena de spam no Exchange Server.

    A filtragem de Conteúdo também utiliza o recurso de agregação de listas seguras. A agregação de listas seguras coleta dados de listas seguras que os usuários configuram na Microsoft, no Outlook e no Outlook na Web e disponibiliza essas informações para o agente de Filtro de Conteúdo. Para obter mais informações, consulte Agregação de listas seguras.

  4. Agente de Análise de Protocolos (reputação do remetente): o agente de Análise de Protocolos é o agente que fornece a reputação do remetente. A reputação do remetente utiliza vários testes para calcular um nível de reputação do remetente (SRL) nas mensagens recebidas que determinam a ação a tomar nessas mensagens. Para mais informações, consulte Reputação do remetente e o agente de análise de protocolo.

Agentes antispam nos servidores de Transporte do Edge

Se a sua organização tiver um servidor de Transporte Edge instalado na rede de perímetro, todos os agentes antispam que estão disponíveis num servidor de Caixa de Correio são instalados e ativados por predefinição no servidor de Transporte edge. No entanto, os seguintes agentes antispam só estão disponíveis nos servidores de Transporte edge:

  • Agente de Filtragem de Ligações: a filtragem de ligações utiliza uma lista de blocos IP, uma lista de permissões de IP, fornecedores de listas de blocos IP e fornecedores de lista de permissões de IP para determinar se uma ligação deve ser bloqueada ou permitida. Para obter mais informações, consulte Filtragem de conexões nos servidores de Transporte de Borda.

  • Agente de Filtro do Destinatário: a filtragem de destinatários utiliza uma lista de bloqueios de destinatários para identificar mensagens que não têm permissão para entrar na organização. O filtro de destinatário também usa o diretório de destinatários local para rejeitar mensagens enviadas a destinatários inválidos. Para mais informações, consulte Filtragem de destinatário nos servidores de Transporte de Borda.

    Observação

    Embora o agente Filtro de Destinatários esteja disponíveis em servidores de caixas de correio, você não deve configurá-lo. Quando um filtro de destinatários, em um servidor de caixas de correio, detecta um destinatário inválido ou bloqueado em uma mensagem contendo outros destinatários válidos, a mensagem é rejeitada. O agente do Filtro de Destinatários é ativado quando instala os agentes antispam num servidor de Caixa de Correio, mas não está configurado para bloquear destinatários.

  • Agente de Filtragem de Anexos: a filtragem de anexos bloqueia mensagens ou anexos com base no nome do ficheiro de anexo, extensão ou tipo de conteúdo MIME. Para obter mais informações, consulte Filtragem de anexos nos servidores de Transporte de Borda.

Com base no valor de prioridade predefinido do agente antispam e no evento SMTP no pipeline de transporte onde o agente está registado, esta é a ordem pela qual os agentes antispam são aplicados às mensagens nos servidores de Transporte edge:

  1. Agente de Filtragem de Conexão

  2. Agente de Filtro por Remetente

  3. Agente de Filtro de Destinatários

  4. Agente de ID de Remetente

  5. Agente de Filtro de Conteúdo

  6. Agente de Análise de Protocolos (reputação do remetente)

  7. Agente de Filtragem de Anexo

Carimbos antispam

Os selos antispam são aplicados às mensagens e são utilizados pelos agentes antispam. Pode ver os carimbos antisspam para o ajudar a diagnosticar problemas relacionados com spam. Para mais informações, consulte Carimbos antispam.

Estratégia para a abordagem antispam

O antispam é um ato de equilíbrio entre bloquear mensagens indesejadas e permitir mensagens legítimas. Se configurar as funcionalidades antispam de forma demasiado agressiva, é provável que bloqueie demasiadas mensagens legítimas (falsos positivos). Se configurar as funcionalidades antispam de forma demasiado vaga, é provável que permita demasiado spam na sua organização.

Estas são algumas das melhores práticas a considerar ao configurar as funcionalidades de antispam incorporadas no Exchange:

  • Rejeite mensagens identificadas pelo agente de Filtragem de Ligação, pelo agente do Filtro de Destinatário e pelo agente do Filtro do Remetente em vez de colocalizar as mensagens ou aplicar selos antisspam. Esta abordagem é recomendada por estes motivos:

    • As mensagens identificadas pelas configurações padrão da filtragem de conexões, filtragem de destinatários ou filtragem de remetentes normalmente não requerem testes adicionais para determinar se são indesejadas. Por exemplo, se você configurou a filtragem de remetentes para bloquear remetentes específicos, não há motivo para continuar a processar mensagens desses remetentes. (Se não quisesse que as mensagens fossem rejeitadas, não as teria colocado na lista de remetentes bloqueados).

    • Configurar um nível mais agressivo para os agentes antispam que encontram mensagens no início do pipeline de transporte guarda o processamento, a largura de banda e os recursos do disco. Quanto mais longe for o pipeline de transporte que uma mensagem percorre, maior é o número de variáveis que as restantes funcionalidades antisspam precisam de avaliar para identificar com êxito a mensagem como spam. Rejeite mensagens óbvias mais cedo para que possa processar mensagens ambíguas mais tarde.

  • Tem de monitorizar a eficácia das funcionalidades antispam nos níveis de configuração atuais. A monitorização permite-lhe reagir a tendências e aumentar ou diminuir a agressividade das definições. Deve começar com as predefinições para minimizar o número de falsos positivos. À medida que monitora a quantidade de spam e falsos positivos, você pode aumentar a agressividade das configurações com base no tipo de spam e dos ataques de spam que sua organização enfrenta.

Confira também

Proteção antispam no EOP