You are on page 1of 41

Guia de Administrao

Exchange Server 2013


Administrando a proteo AntiSpam

Outubro 2014 | Por Wellington Agpto


SOBRE O AUTOR
Wellington Agpto : consultor, especializado em Unified
Communications, Active Directory, Microsoft Lync Server e
Exchange Server, Certificado Cisco CCNA, ITIL, MCP, MCSA, MCSE,
MCSE Security, MCTS Lync, MCTS AD, MTA Lync 2013 Cisco, ITIL,
MCSO, Security+, ISO 27002, Cobit, , Autor de artigos em sites
especializados sobre tecnologia Microsoft, segurana da
informao e empreendedorismo.

| Wellington Agpto | Wellington Agpto

| Wellagapto | Grupo Exchange Server Brasil

| wagapto@edefense.com.br | www.wellingtonagapto.org
ndice de contedo

Sobre a proteo antispam


Agentes antispam
Filtragem por Remetente
ID de Remetente
Filtragem de Contedo
Reputao do Remetente
Filtragem de conexo
Filtragem de destinatrio
Filtragem de anexos
Carimbos anti-spam
Concluso

3
CAPTULO UM
SOBRE A PROTEO ANTISPAM

4
Sobre a proteo Antispam
Entendendo a proteo

O objetivo deste E-book oferecer aos administradores e estudantes uma


tima fonte de contedo com informaes essenciais para utilizao da
ferramenta de AntiSpam do Exchange Server.

Ao adquirirmos o Microsoft Exchange Server 2013 temos direito a ferramenta


de AntiSpam nativa junto instalao do mesmo.

Diversas so as tcnicas utilizadas nos dias de hoje para enviar spam para a sua
organizao, importante sempre termos conscincia de que nenhuma
ferramenta capaz de eliminar 100% de todos os spams, fazendo com que
nenhum spam nunca chegue a sua mailbox; Entretanto, o Microsoft Exchange
Server 2013 trabalha com mtodo de camadas para proteger a sua
organizao.

Para mais recursos antispam e gerenciamento mais avanado e amigvel, voc


pode adquirir o servio de filtragem de emails hospedado denomidado
Microsoft Exchange Online Protection (EOP).

O Exchange Online Protection (EOP) substituiu o Forefront Online Protection


for Exchange (FOPE). Todos os recursos de proteo antispam do EOP tambm
esto includos no Exchange Online.

5
CAPTULO DOIS
AGENTES ANTISPAM

6
Agentes Antispam
Em servidores de caixa de correio

Os agentes antispam, por padro, somente so instalados de forma automtica


nos servidores de Transporte de Borda (Edge Server), entretanto em ambientes
especficos aonde no so utilizado servidores de transporte de borda existe a
possibilidade de instalarmos os agentes de Antispam em servidores de Caixa de
correio (Mailbox);

A lista a seguir descreve os agentes e a ordem padro em que eles so


aplicados a mensagens no servidor de Caixa de Correio:

Agente de Filtro de Remetente A filtragem de remetente compara o


remetente no comando SMTP MAIL FROM: a uma lista de remetentes ou
domnios de remetentes definida pelo administrador que esto proibidos de
enviar mensagens organizao a fim de determinar a ao que ser executada
em uma mensagem de entrada, caso necessrio.

Agente de Filtro de Destinatrio A filtragem de destinatrio compara os


destinatrios da mensagem no comando SMTP RCPT TO: a uma lista de
Bloqueio de Destinatrios definida pelo administrador. Se for encontrada uma
correspondncia, a mensagem no ter permisso para entrar na organizao.
O filtro de destinatrios tambm compara destinatrios em mensagens de
entrada no diretrio de destinatrios local para determinar se ela est
endereada a destinatrios vlidos. Quando uma mensagem no dirigida a
destinatrios vlidos, ela rejeitada.
7
Agentes Antispam
Em servidores de caixa de correio

Agente da ID de Remetente: A ID de Remetente depende do endereo IP do


servidor do remetente e do PRA (Endereo Responsvel pela Expresso) do
remetente para determinar se o remetente falsificado ou no.

Agente de Filtro de Contedo: A filtragem de contedo avalia o contedo de


uma mensagem. A quarentena de spam um recurso do agente do Filtro de
Contedo que reduz o risco de perder mensagens legtimas incorretamente
classificadas como spam. A quarentena de spam fornece um local de
repositrio temporrio para mensagens que esto identificadas como spam e
que no devem ser entregues a uma caixa de correio de usurio dentro da
organizao. A filtragem de contedo tambm age no recurso de agregao de
lista segura. A agregao de lista segura coleta dados das listas seguras
antispam que os usurios do Microsoft Outlook e do Outlook Web App
configuram e disponibiliza esses dados para o agente do Filtro de Contedo.

Agente de Anlise de Protocolo: O Agente de Anlise de Protocolo o agente


subjacente que implementa a funcionalidade de reputao do remetente. A
reputao do remetente se baseia em dados persistentes sobre o endereo IP
do servidor de envio para determinar qual ao, se houver alguma, ser
tomada quando receber uma mensagem. Um nvel de reputao do remetente
(SRL) calculado a partir de diversas caractersticas do remetente derivadas de
anlise de mensagem e testes externos.

8
Agentes Antispam
Em servidores de Transporte de borda

Os seguintes agentes antispam esto disponveis somente em um servidor de


Transporte de Borda:

Agente de Filtragem de Conexo A filtragem de conexo inspeciona o


endereo IP do servidor remoto que est tentando enviar mensagens a fim de
determinar a ao que ser executada em uma mensagem de entrada, caso
necessrio. O endereo IP remoto est disponvel para o agente de Filtragem
de Conexo, como um subproduto da conexo TCP/IP subjacente, necessria
seo SMTP. A filtragem de conexo usa uma variedade de listas de Bloqueios
de IP, listas de Permisses de IP, assim como servios de provedores Lista de
Bloqueio de IP ou servios de provedores de Lista de Permisso de IP para
determinar se a conexo do IP especfico deve ser bloqueada ou permitida na
organizao.

Agente de Filtro de Anexos A filtragem de anexos filtra mensagens com base


no nome do arquivo anexo, na extenso de nome de arquivo ou no tipo de
contedo MIME do arquivo. Voc pode configurar a filtragem de anexo para
bloquear uma mensagem e seu anexo, remover o anexo e permitir que a
mensagem seja transmitida ou excluir silenciosamente a mensagem e seu
anexo

9
Agentes Antispam
Em servidores de Transporte de borda

Esta a lista na ordem padro na qual os agentes antispam so aplicados no


servidor de Transporte de Borda ( Edge Server ):

Agente de Filtragem de Conexo


Agente de Filtro por Remetente
Agente de Filtro de Destinatrios
Agente de ID de Remetente
Agente de Filtro de Contedo
Agente de anlise de protocolo para reputao do remetente
Agente de Filtro de Anexo

10
CAPTULO TRS
FILTRAGEM POR REMETENTE

11
Filtragem por remetente
Sobre o filtro de remetente

Atravs do filtro de remetente possvel filtrarmos mensagens atravs de


remetentes individuais (spam@spam.com), domnios inteiros (spam.com) ou
domnios incluindo seus subdomnios (*.spam.com), e com base na lista criada,
podemos escolher qual ao o filtro de remetente dever tomar caso um e-mail
da lista de remetentes bloqueados seja enviado para a organizao;

Administrando o filtro de remetente

Como habilitar o filtro de remetente atravs do Exchange Management Shell:

Como desabilitar o filtro de remetente atravs do Exchange Management


Shell:

12
Filtragem por remetente
Administrando o filtro de remetente
Como bloquear remetentes, domnios e subdomnios: neste exemplo iremos
configurar o agente de Filtro de Remetentes para bloquear mensagens de
spam@spam.com e spam2@spam2.com, mensagens do domnio spam2.com e
mensagens do subdomnio e domnio spam3.com.

Como bloquear mensagens com remetentes em branco:

Como verificar as configuraes aplicadas ao filtro de remetente:

13
CAPTULO QUATRO
ID DE REMETENTE

14
ID de Remetente
Sobre ID de remetente

O ID do Remetente usado para combater a representao de um remetente


ou domnio, uma prtica normalmente chamada de falsificao. Um email
falsificado email que possui um endereo de envio que foi modificado para
parecer ter sido enviado por outro remetente que no o remetente real do
email. Quando um email recebido, o servidor do Exchange consulta o servidor
DNS do remetente para verificar se o endereo IP que enviou a mensagem est
autorizado a enviar mensagens para o domnio especificado nos cabealhos da
mensagem, caso no esteja a mensagem rejeitada pelo agente id de
remetente;

Administrando o agente ID de remetente

Como habilitar o agente ID de remetente atravs do Exchange Management


Shell:

15
ID de Remetente
Administrando o agente ID de remetente

Como desabilitar o agente ID de remetente atravs do Exchange Management


Shell:

Como configurar o agente ID de remente para Carimbar, Rejeitar ou Excluir


mensagens que no forem enviadas pelo servidor cadastrado no registro SFP
do servidor DNS do remetente atravs do Exchange Management Shell:

Como verificar as configuraes aplicadas ao ID de remetente atravs do


Exchange Managemente Shell:

16
CAPTULO CINCO
FILTRAGEM DE CONTEDO

17
Filtragem de contedo
Sobre o agente filtragem de contedo

O agente de Filtro de Contedo responsvel por atribuir a classificao de


SCL (nvel de confiana de spam) a cada mensagem enviada para a sua
organizao. Basicamente um nmero de 0 a 9 aonde quanto maior o nmero
maior a probabilidade desta mensagem ser um spam.

De acordo com o nvel de classificao SCL atribuda a mensagem as seguintes


aes podem ser configuradas no agente de Filtro de contedo:

Excluir mensagem
Rejeitar mensagem
Colocar mensagem em quarentena

Por exemplo, voc pode determinar que mensagens com classificao de SCL 9
ou superior sejam excludas, mensagens com classificao de SCL 7 sejam
rejeitadas e mensagens com classificao de SCL 6 sejam colocadas em
quarentena.

18
Filtragem de contedo
Sobre o agente filtragem de contedo

Como habilitar o agente filtragem de contedo atravs do Exchange


Management Shell:

Como desabilitar o agente filtragem de contedo atravs do Exchange


Management Shell:

Como configurar o agente filtragem de contedo para enviar uma resposta de


rejeio personalizada atravs do Exchange Management Shell:

19
Filtragem de contedo
Sobre o agente filtragem de contedo

Como configurar os Limites SCL e aes a serem tomadas pelo agente


Filtragem de contedo atravs do Exchange Management Shell:

Neste exemplo iremos excluir uma mensagem com SCL de nmero 9, Rejeitar
uma de nmero 8 e enviar a de nmero 7 para a quarentena.

Como criar uma Whitelist no agente filtragem de contedo para que


determinados domnios no passem pelo filtro, atravs do Exchange
Management Shell:

Neste exemplo iremos fazer com que o remetente wagapto@contoso.com.br e


o domnio (e subdomnios) edefense.com.br no sejam verificados atravs do
agente filtragem de contedo:

20
CAPTULO SEIS
REPUTAO DO REMETENTE

21
Reputao do remetente
Sobre o agente reputao do remetente

O Agente reputao do remetente se baseia em dados persistentes sobre o


remetente para determinar qual ao tomar em uma mensagem de entrada,
caso seja necessrio.

Esse clculo de nvel de reputao do remetente realizado com base nas


seguintes estatsticas: Anlise de HELO/EHLO, pesquisa reversa DNS, Anlise
de classificaes SCL em mensagens de um determinado remetente e teste de
proxy aberto do remetente;

Administrando o agente reputao do remetente


Como habilitar o agente reputao do remetente atravs do Exchange
Management Shell:

Como desabilitar o agente reputao do remetente atravs do Exchange


Management Shell:

22
CAPTULO SETE
FILTRAGEM DE CONEXO

23
Filtragem de conexo
Sobre filtragem de conexo
A filtragem de conexo um recurso antispam fornecido pelo agente Filtragem
de Conexo, que s disponibilizado em servidores de Transporte de Borda

A filtragem de conexo habilita os seguintes recursos:

Lista de Bloqueios de IP
Provedores de Lista de Bloqueios de IP
Lista de Permisses de IP
Provedores de Lista de Permisses de IP

Administrando a filtragem de conexo


Como desabilitar o agente filtragem de conexo atravs do Exchange
Management Shell:

Como habilitar o agente filtragem de conexo atravs do Exchange


Management Shell:

24
Filtragem de conexo
Administrando a filtragem de conexo

Aps habilitar ou desabilitar o agente filtragem de conexo necessrio


reiniciar o servio de transporte (O servio de messageria ficar indisponvel
enquanto o servio reinicia);

Como adicionar um intervalo de Ip na lista de Ips permitidos atravs do


Exchange Management Shell:

Como remover um intervalo de Ip na lista de Ips permitidos atravs do


Exchange Management Shell:

25
CAPTULO OITO
FILTRAGEM DE DESTINATRIO

26
Filtragem de destinatrio
Sobre filtragem de destinatrio

A Filtragem de destinatrio fornecida pelo agente de Filtro de Destinatrios.


Quando a filtragem de destinatrios habilitada em um servidor do Exchange,
ela filtra mensagens de entrada que vm da Internet, mas no so
autenticadas. Essas mensagens so manipuladas como mensagens externas;

Administrando a filtragem de destinatrio

Como desabilitar a filtragem de destinatrio atravs do Exchange


Management Shell:

Como habiltar a filtragem de destinatrio atravs do Exchange Management


Shell:

27
Filtragem de destinatrio
Administrando a filtragem de destinatrio

Como configurar a lista de bloqueio de destinatrios atravs do Exchange


Management Shell:

Como validar as configuraes atribudas a filtragem de destinatrio:

28
CAPTULO NOVE
FILTRAGEM DE ANEXOS

29
Filtragem de anexos
Sobre a filtragem de anexo

A filtragem de anexo aonde configuramos qual formato de aquivo poder ser


enviado como anexo para os destinatrios da nossa organizao atravs do
nosso servidor de Transporte de borda;

Administrando a filtragem de anexo

Para ver a lista completa de extenses e tipos de contedo administrados


pela filtragem de anexo execute o seguinte comando atravs do Exchange
Management Shell:

Como desabilitar a filtragem de anexo atravs do Exchange Management


Shell:

30
Filtragem de anexos
Administrando a filtragem de anexo

Como habilitar a filtragem de anexo atravs do Exchange Management Shell:

Aps habilitar ou desabilitar a filtragem de anexo necessrio reiniciar o


servio de transporte atravs do Exchange Management Shell (O servio de
messageria ficar indisponvel enquanto o servio estiver reiniciando):

Como filtrar anexos pela filtragem de anexo atravs do Exchange Management


Shell: [ Neste exemplo iremos bloquear anexos com a extenso .jpg ]

31
Filtragem de anexos
Administrando a filtragem de anexo

Como remover uma extenso de arquivo da filtragem de anexo atravs do


Exchange Management Shell:

Como configurar uma resposta personalizada para mensagens rejeitadas pela


filtragem de anexo atravs do Exchange Management Shell:

32
CAPTULO DEZ
CARIMBOS ANTISPAM

33
Carimbos Antispam
Noes bsicas sobre carimbos antispam

Carimbos antispam um grande aliado na hora de diagnosticarmos um


problema relacionado a spam, trata-se de informaes fornecidas pela
ferramenta de antispam atravs do cabealho da mensagem, e nos auxiliam
por exemplo, a determinar quais aes devem ser tomadas em casos de falsos
positivos, mensagens suspeitas e demais incidentes;

Existem trs tipos de carimbos antispam: carimbo de nvel de confiana de


spam, ID de Remetente e Nvel de confiana de phishing.

Um resumo dos resultados dos filtros antispam aplicados a um email


denominado relatrio antispam. O envelope da mensagem carimbado pelo
agente do filtro de contedo na forma de um Cabealho X;

Exemplo:

X-MS-Exchange-Organization-Antispam-Report: DV:<DATVersion>;
CW:CustomList;PCL:PhishingVerdict <verdict>;P100:PhishingBlock;
PP:Presolve;SID:SenderIDStatus <status>;TIME:<SendReceiveDelta>;
MIME:MimeCompliance

34
Carimbos Antispam
Visualizando os carimbos antispam no Office 2013

Para utilizarmos o Microsoft Office 2013 para visualizarmos os carimbos


antispam basta abrirmos a mensagem que ser analisada, clicarmos em Arquivo
no canto superior esquerdo, Informaes e propriedades;

35
Carimbos Antispam
Visualizando os carimbos antispam no Office 2013

No campo propriedades ser exibido os carimbos antispam conforme exemplo:

X-MS-Exchange-Organization-PCL:7
X-MS-Exchange-Organization-SCL:6
X-MS-Exchange-Organization-Antispam-Report: DV:3.1.3924.1409;

36
Carimbos Antispam
Informaes de filtro em um relatrio antispam

Compreender as informaes de filtro em um relatrio antispam simples e


prtico, aps algum tempo administrando o Exchange Server voc ser capaz de
identificar os casos mais recorrentes com agilidade.

A tabela abaixo descreve as informaes do filtro que podem ser encontradas em


um relatrio antispam do Exchange Server;

Carimbo Descrio

AllRecipientsBypassed O carimbo AllRecipientsBypassed indica que uma das seguintes


condies foi atendida para todos os destinatrios listados na
mensagem:
O parmetro AntispamBypassedEnabled na caixa de correio do
destinatrio est definido como $true. Essa uma configurao por
destinatrio que s pode ser definida por um administrador, usando
o cmdlet Set-Mailbox.
O remetente da mensagem est na Lista de Remetentes Seguros do
Outlook do destinatrio. Para obter mais informaes sobre a Lista
de Remetentes Seguros.
O agente Filtro de Contedo no processa qualquer filtragem de
contedo de mensagens enviadas a este destinatrio. Para mais
informaes sobre excees de destinatrio.

37
Carimbos Antispam
Informaes de filtro em um relatrio antispam

Carimbo Descrio

SenderBypassed O carimbo SenderBypassed indica que o agente Filtro de


Contedo no processa qualquer filtragem de contedo
de mensagens recebidas deste remetente.
MessageSecurityAntispamBypass O carimbo MessageSecurityAntispamBypass indica que o
contedo da mensagem no foi filtrado e que o remetente
recebeu permisso para ignorar os filtros antispam.
IPOnAllowList O carimbo IPOnAllowList indica que o endereo IP do
remetente est na lista de Permisses de IP. Para mais
informaes sobre a Lista de IP Permitidos.
P100:PhishingBlock O carimbo P100 indica que a mensagem contm uma URL
presente em um arquivo de definio de phishing.
MIME:MIMECompliance O carimbo MIME indica que o email no compatvel com
MIME.
TIME:TimeBasedFeatures O carimbo TIME indica que houve uma demora
significativa entre a hora de envio e a hora de
recebimento da mensagem. O carimbo TIME usado para
determinar a classificao final de SCL da mensagem.

38
Carimbos Antispam
Informaes de filtro em um relatrio antispam

Carimbo Descrio

PP O carimbo AllRecipientsBypassed indica que uma das seguintes condies


foi atendida para todos os destinatrios listados na mensagem:
O parmetro AntispamBypassedEnabled na caixa de correio do destinatrio
est definido como $true. Essa uma configurao por destinatrio que s
pode ser definida por um administrador, usando o cmdlet Set-Mailbox.
O remetente da mensagem est na Lista de Remetentes Seguros do Outlook
do destinatrio. O agente Filtro de Contedo no processa qualquer
filtragem de contedo de mensagens enviadas a este destinatrio.
CW O carimbo de peso personalizado (CW) de uma mensagem indica que ela
contm uma palavra ou frase no aprovada e que o respectivo valor de SCL
(o "peso") foi aplicado pontuao final de SCL:
Frases no aprovadas (ou expresses de bloqueio) tm peso mximo e
alteram a pontuao de SCL para 9.
Palavras ou frases aprovadas (ou expresses de permisso) tm peso
mnimo e alteram o SCL para 0.
DV O carimbo DV (verso DAT) indica a verso do arquivo de definio de spam
usado ao verificar a mensagem.
SV O carimbo SV (verso DAT de assinatura) indica a verso do arquivo de
assinatura usado ao verificar a mensagem.

39
Carimbos Antispam
Informaes de filtro em um relatrio antispam

Cari Descrio
mbo
SCL O SCL (nvel de confiana de spam) da mensagem exibe a classificao da mensagem,
com base em seu contedo. O agente do Filtro de Contedo usa a tecnologia
Microsoft SmartScreen para avaliar o contedo de uma mensagem e atribuir uma
classificao SCL a cada mensagem. O valor de SCL est entre 0 e 9, em que 0
considerado a menor probabilidade de spam e 9 considerado a maior probabilidade
de spam. As aes que o Exchange e o Outlook adotam dependem das configuraes
de limites de SCL.
PCL O carimbo de nvel de confiana de phishing (PCL) mostra a classificao da
mensagem, com base em seu contedo, e aplicado quando a mensagem
processada pelo agente Filtro de Contedo. Esse status pode ser retornado como um
dos seguintes valores:
Neutral O contedo da mensagem provavelmente no phishing.
Suspicious O contedo da mensagem provavelmente phishing.
O valor do PCL pode variar de 1 a 8. Uma classificao de PCL de 1 a 3 retorna um
status de Neutral. Isso significa que o contedo da mensagem provavelmente no
phishing. Uma classificao PCL de 4 a 8 retorna um status de Suspicious. Isso significa
que a mensagem provavelmente phishing.
Os valores so usados para determinar que ao o Outlook toma em relao s
mensagens. O Outlook usa o carimbo PCL para bloquear o contedo de mensagens
suspeitas.
SA O carimbo SA (ao de assinatura) indica que a mensagem foi recuperada ou excluda
por causa de uma assinatura encontrada na mensagem.

40
Concluso
Com isto terminamos este projeto que tem como objetivo divulgar as
funcionalidades bsicas e auxiliar os administradores do Microsoft
Exchange Server 2013 a proteger sua organizao atravs do Antispam
nativo na ferramenta, espero que tenha sido til e fiquem a vontade para
sugerir melhorias e temas para e-books futuros.

Referncias: Microsoft Technet


Wellingtonagapto.org
Contato: Wellington.agapto@edefense.com.br

Quem sbio procura aprender,


mas os tolos esto satisfeito com a sua
prpria ignorncia..
- Rei Salomo | Provrbios 15:14

41

You might also like