Partilhar via

Firewall de cabeçalho

  • Artigo

Aplica-se a: Exchange Server 2013

No Microsoft Exchange Server 2013, o firewall de cabeçalho é um mecanismo que remove campos de cabeçalho específicos de mensagens de entrada e saída. Há dois tipos diferentes de campos de cabeçalho que são afetados pelo firewall de cabeçalho:

  • Cabeçalhos X: um cabeçalho X é um campo de cabeçalho não oficial definido pelo usuário. Os cabeçalhos X não são especificamente mencionados na RFC 2822, mas o uso de um campo de cabeçalho indefinido que começa com X- tornou-se uma maneira aceitável de adicionar campos de cabeçalho não oficiais a uma mensagem. Aplicativos de mensagens, como servidores anti-spam, antivírus e mensagens, podem adicionar seus próprios cabeçalhos X a uma mensagem. No Exchange, os campos de cabeçalho X contêm detalhes sobre as ações executadas na mensagem pelo serviço de transporte, como o nível de confiança de spam (SCL), os resultados de filtragem de conteúdo e o status de processamento de regras. Revelar essas informações a fontes não autorizadas pode representar um risco potencial para a segurança.

  • Cabeçalhos de roteamento: cabeçalhos de roteamento são campos de cabeçalho SMTP padrão definidos em RFC 2821 e RFC 2822. Cabeçalhos de roteamento carimbam uma mensagem usando informações sobre os diferentes servidores de mensagens que foram usados para entregar a mensagem ao destinatário. Cabeçalhos de roteamento inseridos em mensagens por usuários mal-intencionados podem deturpar o caminho de roteamento que uma mensagem percorreu para chegar a um destinatário.

O firewall de cabeçalho impede a falsificação desses cabeçalhos X relacionados ao Exchange removendo-os de mensagens de entrada que entram na organização do Exchange de fontes não confiáveis. O firewall de cabeçalho impede a divulgação desses cabeçalhos X relacionados ao Exchange removendo-os de mensagens de saída enviadas para destinos não confiáveis fora da organização exchange. O firewall de cabeçalho também impede a falsificação de cabeçalhos de roteamento padrão usados para acompanhar o histórico de roteamento de uma mensagem.

Campos de cabeçalho de mensagem afetados pelo firewall de cabeçalho no Exchange

Os seguintes tipos de cabeçalhos X e cabeçalhos de roteamento são afetados pelo firewall de cabeçalho:

  • Cabeçalhos X da organização: esses campos de cabeçalho X começam com X-MS-Exchange-Organization-.

  • Cabeçalhos X da Floresta: esses campos de cabeçalho X começam com X-MS-Exchange-Forest-.

    Para obter exemplos de cabeçalhos X da organização e cabeçalhos X da floresta, confira a seção Cabeçalhos X da Organização X e cabeçalhos X da floresta na seção Exchange no final deste tópico.

  • Recebido: cabeçalhos de roteamento: uma instância diferente desse campo de cabeçalho é adicionada ao cabeçalho da mensagem por cada servidor de mensagens que aceitou e encaminhou a mensagem para o destinatário. O cabeçalho Recebido: normalmente inclui o nome do servidor de mensagens e um carimbo de data e hora.

  • Resent-*: cabeçalhos de roteamento: campos de cabeçalho ressentidos são campos de cabeçalho informativos que podem ser usados para determinar se uma mensagem foi encaminhada por um usuário. Os seguintes campos de cabeçalho ressentido estão disponíveis: Resent-Date:, Resent-From:, Resent-Sender:, Resent-Cc:, Resent-Bcc:, and Resent-Message-ID:. Os campos Ressentidos são usados para que a mensagem apareça no destinatário como se tivesse sido enviada diretamente pelo remetente original. O destinatário pode exibir o cabeçalho da mensagem para descobrir quem encaminhou a mensagem.

O Exchange usa duas maneiras diferentes de aplicar o firewall de cabeçalho aos cabeçalhos X da organização, cabeçalhos X da floresta e cabeçalhos de roteamento existentes nas mensagens:

  • As permissões são atribuídas a Enviar conectores ou receber conectores que podem ser usados para preservar ou remover tipos específicos de cabeçalhos em mensagens quando a mensagem viaja pelo conector.

  • O firewall de cabeçalho é implementado automaticamente para tipos específicos de cabeçalhos em mensagens durante outros tipos de envio de mensagem.

Como o firewall de cabeçalho é aplicado a conectores de recebimento e enviar conectores

O firewall de cabeçalho é aplicado a mensagens que percorrem conectores Send e Receive com base em permissões específicas atribuídas aos conectores.

Se a permissão for atribuída ao conector Receber ou enviar conector, o firewall de cabeçalho não será aplicado às mensagens que viajam pelo conector. Os campos de cabeçalho afetados são preservados nas mensagens.

Se a permissão não for atribuída ao conector Receber ou enviar conector, o firewall de cabeçalho será aplicado às mensagens que percorrem o conector. Os campos de cabeçalho afetados são removidos das mensagens.

A tabela a seguir descreve as permissões em Enviar conectores e receber conectores que são usados para aplicar firewall de cabeçalho e os campos de cabeçalho afetados.

Tipo de conector Permissão Descrição
Conector de recebimento Ms-Exch-Accept-Headers-Organization Essa permissão afeta campos de cabeçalho X da organização que começam com mensagens de entrada X-MS-Exchange-Organization .
Conector de recebimento Ms-Exch-Accept-Headers-Forest Essa permissão afeta campos de cabeçalho X da floresta que começam com mensagens de entrada X-MS-Exchange-Forest .
Conector de recebimento Ms-Exch-Accept-Headers-Routing Essa permissão afeta Campos de cabeçalho recebidos: e Resent-*: roteamento de campos de cabeçalho em mensagens de entrada.
Conector de envio Ms-Exch-Send-Headers-Organization Essa permissão afeta os campos de cabeçalho X da organização que começam com mensagens de saída X-MS-Exchange-Organization .
Conector de envio Ms-Exch-Send-Headers-Forest Essa permissão afeta campos de cabeçalho X da floresta que começam com mensagens de saída X-MS-Exchange-Forest .
Conector de envio Ms-Exch-Send-Headers-Routing Essa permissão afeta Campos de cabeçalho recebidos: e Resent-*: roteamento de campos de cabeçalho em mensagens de saída.

Firewall de cabeçalho para mensagens de entrada em Conectores de recebimento

A tabela a seguir descreve o aplicativo padrão das permissões de firewall de cabeçalho em Receber conectores.

Permissão Entidades de segurança padrão do Exchange que têm a permissão atribuída Grupo de permissões que tem as entidades de segurança como membros Tipo de uso padrão que atribui os grupos de permissão ao conector De recebimento
Ms-Exch-Accept-Headers-Organization e Ms-Exch-Accept-Headers-Forest
  • Servidores de transporte do Hub
  • Servidores de Transporte de Borda
  • Exchange Servers

    Observação: somente em servidores de transporte do Hub
 ExchangeServers Internal
Ms-Exch-Accept-Headers-Routing Conta de usuário anônima Anonymous Internet
Ms-Exch-Accept-Headers-Routing Contas de usuário autenticadas ExchangeUsers Client (indisponível nos servidores de Transporte do Edge)
Ms-Exch-Accept-Headers-Routing
  • Servidores de transporte do Hub
  • Servidores de Transporte de Borda
  • Exchange Servers

    Observação: somente servidores de Transporte do Hub
  • Servidores protegidos externamente
 ExchangeServers Internal
Ms-Exch-Accept-Headers-Routing Conta do Partner Server Parceiro Internet e Partner

Firewall de cabeçalho em conectores de recebimento personalizados

Se você quiser aplicar firewall de cabeçalho a mensagens em um cenário de conector de recebimento personalizado, use qualquer um dos seguintes métodos:

  • Crie o conector Receber com um tipo de uso que aplica automaticamente o firewall de cabeçalho às mensagens. Observe que você só pode definir o tipo de uso quando criar o conector Receber.

    • Para remover os cabeçalhos X da organização ou os cabeçalhos X da floresta de mensagens, crie um conector De recebimento e selecione um tipo de uso diferente de Internal.

    • Para remover os cabeçalhos de roteamento das mensagens, faça uma das seguintes ações:

      • Crie um conector De recebimento e selecione o tipo Customde uso . Não atribua nenhum grupo de permissões ao conector Receber.

      • Modifique um conector de recebimento existente e defina o parâmetro PermissionGroups como o valor None.

        Observe que, se você tiver um conector De recebimento que não tenha grupos de permissão atribuídos a ele, será necessário adicionar entidades de segurança ao conector De recebimento, conforme descrito na última etapa.

  • Use o cmdlet Remove-ADPermission para remover a permissão Ms-Exch-Accept-Headers-Organization , a permissão Ms-Exch-Accept-Headers-Forest e a permissão Ms-Exch-Accept-Headers-Routing de uma entidade de segurança configurada no conector Receive. Esse método não funcionará se a permissão tiver sido atribuída à entidade de segurança usando um grupo de permissões no conector Receber, pois você não pode modificar as atribuições de permissões ou a associação de grupo de um grupo de permissões.

  • Use o cmdlet Add-ADPermission para adicionar as entidades de segurança apropriadas necessárias para o fluxo de email no conector De recebimento. Verifique se nenhuma entidade de segurança tem a permissão Ms-Exch-Accept-Headers-Organization , a permissão Ms-Exch-Accept-Headers-Forest e a permissão Ms-Exch-Accept-Headers-Routing atribuída a eles. Se necessário, use o cmdlet Add-ADPermission para negar a permissão Ms-Exch-Accept-Headers-Organization , a permissão Ms-Exch-Accept-Headers-Forest e a permissão Ms-Exch-Accept-Headers-Routing para as entidades de segurança configuradas no conector Receive.

Para mais informações, confira os seguintes tópicos:

Firewall de cabeçalho para mensagens de saída em Enviar conectores

A tabela a seguir descreve o aplicativo padrão das permissões de firewall de cabeçalho em Enviar conectores.

Permissão Entidades de segurança padrão do Exchange que têm a permissão atribuída Tipo de uso padrão que atribui as entidades de segurança ao conector Enviar
Ms-Exch-Send-Headers-Organization e Ms-Exch-Send-Headers-Forest
  • Servidores de transporte do Hub
  • Servidores de Transporte de Borda
  • Observação do Exchange Servers: somente em servidores de transporte do Hub
  • Servidores protegidos externamente
  • Grupo de segurança universal ExchangeLegacyInterop
 Internal
Ms-Exch-Send-Headers-Routing
  • Servidores de transporte do Hub
  • Servidores de Transporte de Borda
  • Exchange Servers

    Observação: somente em servidores de transporte do Hub
  • Servidores protegidos externamente
  • Grupo de segurança universal ExchangeLegacyInterop
 Internal
Ms-Exch-Send-Headers-Routing Conta de Usuário Anônima Internet
Ms-Exch-Send-Headers-Routing Servidores parceiros Partner

Firewall de cabeçalho em conectores de envio personalizados

Se você quiser aplicar o firewall de cabeçalho às mensagens em um cenário de conector de envio personalizado, use qualquer um dos seguintes métodos:

  • Crie o conector Enviar com um tipo de uso que aplica automaticamente o firewall de cabeçalho às mensagens. Observe que você só pode definir o tipo de uso quando criar o conector Enviar.

    • Para remover os cabeçalhos X da organização ou os cabeçalhos X da floresta de mensagens, crie um conector Enviar e selecione um tipo de uso diferente Internal ou Partner.

    • Para remover os cabeçalhos de roteamento das mensagens, crie um conector Enviar e selecione o tipo Customde uso . A permissão Ms-Exch-Send-Headers-Routing é atribuída a todos os tipos de uso do conector Enviar, exceto Custom.

  • Remova uma entidade de segurança que atribui a permissão Ms-Exch-Send-Headers-Organization , a Ms-Exch-Send-Headers-Forest e a permissão Ms-Exch-Send-Headers-Routing do conector.

  • Use o cmdlet Remove-ADPermission para remover a permissão Ms-Exch-Send-Headers-Organization , a permissão Ms-Exch-Send-Headers-Forest e a permissão Ms-Exch-Send-Headers-Routing de uma das entidades de segurança configuradas no conector Enviar.

  • Use o cmdlet Add-ADPermission para negar a permissão Ms-Exch-Send-Headers-Organization , a permissão Ms-Exch-Send-Headers-Forest e a permissão Ms-Exch-Send-Headers-Routing para uma das entidades de segurança configuradas no conector Enviar.

Para mais informações, confira os seguintes tópicos:

Firewall de cabeçalho para outras fontes de mensagem

As mensagens podem inserir o pipeline de transporte em um servidor da Caixa de Correio ou em um servidor de Transporte de Borda sem usar conectores de envio ou conectores de recebimento. O firewall de cabeçalho é aplicado a essas outras fontes de mensagem, conforme descrito na seguinte lista:

  • Diretório de coleta e diretório Replay: o diretório Pickup é usado por administradores ou aplicativos para enviar arquivos de mensagens. O diretório Replay é usado para reenviar mensagens que foram exportadas de filas de mensagens do Exchange. Para obter mais informações sobre os diretórios Pickup e Replay, consulte Diretório pickup e diretório Replay.

    Cabeçalhos X da organização, cabeçalhos X da floresta e cabeçalhos de roteamento são removidos dos arquivos de mensagem no diretório Pickup.

    Os cabeçalhos de roteamento são preservados em mensagens enviadas pelo diretório Replay.

    Se os cabeçalhos X da organização e os cabeçalhos X da floresta são preservados ou removidos das mensagens no diretório Replay é controlado pelo campo X-CreatedBy: cabeçalho no arquivo de mensagem:

    • Se o valor de X-CreatedBy: for MSExchange15, os cabeçalhos X da organização e os cabeçalhos X da floresta serão preservados nas mensagens.
    • Se o valor de X-CreatedBy: não MSExchange15for , cabeçalhos X da organização e cabeçalhos X da floresta serão removidos das mensagens.
    • Se o campo X-CreatedBy: cabeçalho não existir no arquivo de mensagem, cabeçalhos X da organização e cabeçalhos X da floresta serão removidos das mensagens.

  • Drop directory: o diretório Drop é usado por conectores estrangeiros em servidores de caixa de correio para enviar mensagens para servidores de mensagens que não usam SMTP para transferir mensagens. Para obter mais informações sobre conectores estrangeiros, consulte Conectores estrangeiros.

    Cabeçalhos X da organização e cabeçalhos X da floresta são removidos dos arquivos de mensagens antes de serem colocados no diretório Drop.

    Os cabeçalhos de roteamento são preservados em mensagens enviadas pelo diretório Drop.

  • Transporte de caixa de correio: o serviço de transporte de caixa de correio existe nos servidores da caixa de correio para transmitir mensagens de e para caixas de correio em servidores de caixa de correio. Para obter mais informações sobre o serviço de Transporte de Caixa de Correio, consulte Fluxo de email.

    Cabeçalhos X da organização, cabeçalhos X da floresta e cabeçalhos de roteamento são removidos das mensagens de saída enviadas das caixas de correio pelo serviço envio de transporte da caixa de correio.

    Os cabeçalhos de roteamento são preservados para mensagens de entrada para destinatários de caixa de correio pelo serviço de Entrega de Transporte da Caixa de Correio. Os cabeçalhos X da organização a seguir são preservados para mensagens de entrada para destinatários de caixa de correio pelo serviço entrega de transporte da caixa de correio:

    • X-MS-Exchange-Organization-SCL
    • X-MS-Exchange-Organization-AuthDomain
    • X-MS-Exchange-Organization-AuthMechanism
    • X-MS-Exchange-Organization-AuthSource
    • X-MS-Exchange-Organization-AuthAs
    • X-MS-Exchange-Organization-OriginalArrivalTime
    • X-MS-Exchange-Organization-OriginalSize

  • Mensagens DSN: cabeçalhos X da organização, cabeçalhos X da floresta e cabeçalhos de roteamento são removidos da mensagem original ou do cabeçalho de mensagem original anexado à mensagem DSN. Para obter mais informações sobre mensagens DSN, consulte DSNs e NDRs no Exchange 2013.

  • Envio do agente de transporte: cabeçalhos X da organização, cabeçalhos X da floresta e cabeçalhos de roteamento são preservados em mensagens enviadas por agentes de transporte.

Cabeçalhos X da organização e cabeçalhos X da floresta no Exchange

O serviço de transporte em servidores de caixa de correio ou servidores de Transporte de Borda insere campos de cabeçalho X personalizados no cabeçalho da mensagem.

Os cabeçalhos X da organização começam com X-MS-Exchange-Organization-. Os cabeçalhos X da floresta começam com X-MS-Exchange-Forest-. A tabela a seguir descreve alguns dos cabeçalhos X da organização e cabeçalhos X da floresta que são usados em mensagens em uma organização do Exchange.

Cabeçalho X Descrição
X-MS-Exchange-Forest-RulesExecuted Regras de transporte que agiram na mensagem.
X-MS-Exchange-Organization-Antispam-Report Um resumo dos resultados do filtro anti-spam que foram aplicados à mensagem pelo agente filtro de conteúdo.
X-MS-Exchange-Organization-AuthAs Especifica a fonte de autenticação. Esse cabeçalho X sempre está presente quando a segurança de uma mensagem foi avaliada. Os valores possíveis são Anonymous, Internal, Externalou Partner.
X-MS-Exchange-Organization-AuthDomain Preenchido durante a autenticação do Domain Secure. O valor é o FQDN do domínio autenticado remoto.
X-MS-Exchange-Organization-AuthMechanism Especifica o mecanismo de autenticação para o envio da mensagem. O valor é um número hexadecimal de 2 dígitos.
X-MS-Exchange-Organization-AuthSource Especifica o FQDN do computador do servidor que avaliou a autenticação da mensagem em nome da organização.
X-MS-Exchange-Organization-Journal-Report Identifica relatórios de diários no transporte. Assim que a mensagem sair do serviço de transporte, o cabeçalho se tornará X-MS-Journal-Report.
X-MS-Exchange-Organization-OriginalArrivalTime Identifica a hora em que a mensagem entrou pela primeira vez na organização do Exchange.
X-MS-Exchange-Organization-Original-Sender Identifica o remetente original de uma mensagem em quarentena quando ela entrou pela primeira vez na organização do Exchange.
X-MS-Exchange-Organization-OriginalSize Identifica o tamanho original de uma mensagem em quarentena quando ela entrou pela primeira vez na organização do Exchange.
X-MS-Exchange-Organization-Original-Scl Identifica a SCL original de uma mensagem em quarentena quando ela entrou pela primeira vez na organização do Exchange.
X-MS-Exchange-Organization-PCL Identifica o nível de confiança de phishing. Os possíveis valores de nível de confiança de phishing são de 1 a 8. Um valor maior indica uma mensagem suspeita. Para obter mais informações, consulte Carimbos anti-spam.
X-MS-Exchange-Organization-Quarantine Indica que a mensagem foi colocada em quarentena na caixa de correio de quarentena de spam e uma DSN (notificação de status de entrega) foi enviada. Como alternativa, indica que a mensagem foi colocada em quarentena e liberada pelo administrador. Esse campo de cabeçalho X impede que a mensagem liberada seja enviada à caixa de correio de quarentena de spam novamente. Para obter mais informações, consulte [Liberar mensagens em quarentena da caixa de correio de quarentena de spam](release-quarantined-messages-from-the-spam-quarantine-mailbox-exchange-2013-help.md.
X-MS-Exchange-Organization-SCL Identifica a SCL da mensagem. Os valores de SCL possíveis são de 0 a 9. Um valor maior indica uma mensagem suspeita. O valor especial -1 isenta a mensagem de processamento pelo agente filtro de conteúdo. Para obter mais informações, consulte Filtragem de Conteúdo.
X-MS-Exchange-Organization-SenderIdResult Contém os resultados do agente de ID do Remetente. O agente de ID do Remetente usa a SPF (estrutura de política de remetente) para comparar o endereço IP de origem da mensagem com o domínio usado no endereço de email do remetente. Os resultados da ID do Remetente são usados para calcular a SCL de uma mensagem. Para obter mais informações, consulte ID de Remetentes.