Guia de Administração

Exchange Server 2013

Administrando a proteção AntiSpam

Outubro 2014 | Por Wellington Agápto

SOBRE O AUTOR

Wellington Agápto : É consultor, especializado em UnifiedCommunications, Active Directory, Microsoft Lync Server eExchange Server, Certificado Cisco CCNA, ITIL, MCP, MCSA, MCSE,MCSE Security, MCTS Lync, MCTS AD, MTA Lync 2013 Cisco, ITIL,MCSO, Security+, ISO 27002, Cobit, , Autor de artigos em sitesespecializados sobre tecnologia Microsoft, segurança dainformação e empreendedorismo.

| Wellington Agápto

| Wellagapto

| Wellington Agápto

| Grupo Exchange Server Brasil

| wagapto@edefense.com.br | www.wellingtonagapto.org

Índice de conteúdo

Sobre a proteção antispam

Agentes antispam

Filtragem por Remetente

ID de Remetente

Filtragem de Conteúdo

Reputação do Remetente

Filtragem de conexão

Filtragem de destinatário

Filtragem de anexos

Carimbos anti-spam

Conclusão

3

CAPÍTULO UM

SOBRE A PROTEÇÃO ANTISPAM

4

Sobre a proteção Antispam

Entendendo a proteção

O objetivo deste E-book é oferecer aos administradores e estudantes umaótima fonte de conteúdo com informações essenciais para utilização daferramenta de AntiSpam do Exchange Server.

Ao adquirirmos o Microsoft Exchange Server 2013 temos direito a ferramentade AntiSpam nativa junto à instalação do mesmo.

Diversas são as técnicas utilizadas nos dias de hoje para enviar spam para a suaorganização, é importante sempre termos consciência de que nenhumaferramenta é capaz de eliminar 100% de todos os spams, fazendo com quenenhum spam nunca chegue a sua mailbox; Entretanto, o Microsoft ExchangeServer 2013 trabalha com método de camadas para proteger a suaorganização.

Para mais recursos antispam e gerenciamento mais avançado e amigável, vocêpode adquirir o serviço de filtragem de emails hospedado denomidadoMicrosoft Exchange Online Protection (EOP).

O Exchange Online Protection (EOP) substituiu o Forefront Online Protectionfor Exchange (FOPE). Todos os recursos de proteção antispam do EOP tambémestão incluídos no Exchange Online.

5

CAPÍTULO DOIS

AGENTES ANTISPAM

6

Agentes Antispam

Em servidores de caixa de correio

Os agentes antispam, por padrão, somente são instalados de forma automáticanos servidores de Transporte de Borda (Edge Server), entretanto em ambientesespecíficos aonde não são utilizado servidores de transporte de borda existe apossibilidade de instalarmos os agentes de Antispam em servidores de Caixa decorreio (Mailbox);

A lista a seguir descreve os agentes e a ordem padrão em que eles sãoaplicados a mensagens no servidor de Caixa de Correio:

Agente de Filtro de Remetente A filtragem de remetente compara oremetente no comando SMTP MAIL FROM: a uma lista de remetentes oudomínios de remetentes definida pelo administrador que estão proibidos deenviar mensagens à organização a fim de determinar a ação que será executadaem uma mensagem de entrada, caso necessário.

Agente de Filtro de Destinatário A filtragem de destinatário compara osdestinatários da mensagem no comando SMTP RCPT TO: a uma lista deBloqueio de Destinatários definida pelo administrador. Se for encontrada umacorrespondência, a mensagem não terá permissão para entrar na organização.O filtro de destinatários também compara destinatários em mensagens deentrada no diretório de destinatários local para determinar se ela estáendereçada a destinatários válidos. Quando uma mensagem não é dirigida adestinatários válidos, ela é rejeitada.

7

Agentes Antispam

Em servidores de caixa de correio

Agente da ID de Remetente: A ID de Remetente depende do endereço IP doservidor do remetente e do PRA (Endereço Responsável pela Expressão) doremetente para determinar se o remetente é falsificado ou não.

Agente de Filtro de Conteúdo: A filtragem de conteúdo avalia o conteúdo deuma mensagem. A quarentena de spam é um recurso do agente do Filtro deConteúdo que reduz o risco de perder mensagens legítimas incorretamenteclassificadas como spam. A quarentena de spam fornece um local derepositório temporário para mensagens que estão identificadas como spam eque não devem ser entregues a uma caixa de correio de usuário dentro daorganização. A filtragem de conteúdo também age no recurso de agregação delista segura. A agregação de lista segura coleta dados das listas segurasantispam que os usuários do Microsoft Outlook e do Outlook Web Appconfiguram e disponibiliza esses dados para o agente do Filtro de Conteúdo.

Agente de Análise de Protocolo: O Agente de Análise de Protocolo é o agentesubjacente que implementa a funcionalidade de reputação do remetente. Areputação do remetente se baseia em dados persistentes sobre o endereço IPdo servidor de envio para determinar qual ação, se houver alguma, serátomada quando receber uma mensagem. Um nível de reputação do remetente(SRL) é calculado a partir de diversas características do remetente derivadas deanálise de mensagem e testes externos.

8

Agentes Antispam

Em servidores de Transporte de borda

Os seguintes agentes antispam estão disponíveis somente em um servidor deTransporte de Borda:

Agente de Filtragem de Conexão A filtragem de conexão inspeciona oendereço IP do servidor remoto que está tentando enviar mensagens a fim dedeterminar a ação que será executada em uma mensagem de entrada, casonecessário. O endereço IP remoto está disponível para o agente de Filtragemde Conexão, como um subproduto da conexão TCP/IP subjacente, necessária àseção SMTP. A filtragem de conexão usa uma variedade de listas de Bloqueiosde IP, listas de Permissões de IP, assim como serviços de provedores Lista deBloqueio de IP ou serviços de provedores de Lista de Permissão de IP paradeterminar se a conexão do IP específico deve ser bloqueada ou permitida naorganização.

Agente de Filtro de Anexos A filtragem de anexos filtra mensagens com baseno nome do arquivo anexo, na extensão de nome de arquivo ou no tipo deconteúdo MIME do arquivo. Você pode configurar a filtragem de anexo parabloquear uma mensagem e seu anexo, remover o anexo e permitir que amensagem seja transmitida ou excluir silenciosamente a mensagem e seuanexo

9

Agentes Antispam

Em servidores de Transporte de borda

Esta é a lista na ordem padrão na qual os agentes antispam são aplicados noservidor de Transporte de Borda ( Edge Server ):

• Agente de Filtragem de Conexão

• Agente de Filtro por Remetente

• Agente de Filtro de Destinatários

• Agente de ID de Remetente

• Agente de Filtro de Conteúdo

• Agente de análise de protocolo para reputação do remetente

• Agente de Filtro de Anexo

10

CAPÍTULO TRÊS

FILTRAGEM POR REMETENTE

11

Filtragem por remetente

Sobre o filtro de remetente

Através do filtro de remetente é possível filtrarmos mensagens através deremetentes individuais (spam@spam.com), domínios inteiros (spam.com) oudomínios incluindo seus subdomínios (*.spam.com), e com base na lista criada,podemos escolher qual ação o filtro de remetente deverá tomar caso um e-mailda lista de remetentes bloqueados seja enviado para a organização;

12

Administrando o filtro de remetente

Como habilitar o filtro de remetente através do Exchange Management Shell:

Como desabilitar o filtro de remetente através do Exchange ManagementShell:

Filtragem por remetente

13

Administrando o filtro de remetente

Como bloquear remetentes, domínios e subdomínios: neste exemplo iremosconfigurar o agente de Filtro de Remetentes para bloquear mensagens despam@spam.com e spam2@spam2.com, mensagens do domínio spam2.com emensagens do subdomínio e domínio spam3.com.

Como bloquear mensagens com remetentes em branco:

Como verificar as configurações aplicadas ao filtro de remetente:

CAPÍTULO QUATRO

ID DE REMETENTE

14

ID de Remetente

Sobre ID de remetente

O ID do Remetente é usado para combater a representação de um remetenteou domínio, uma prática normalmente chamada de falsificação. Um emailfalsificado é email que possui um endereço de envio que foi modificado paraparecer ter sido enviado por outro remetente que não o remetente real doemail. Quando um email é recebido, o servidor do Exchange consulta o servidorDNS do remetente para verificar se o endereço IP que enviou a mensagem estáautorizado a enviar mensagens para o domínio especificado nos cabeçalhos damensagem, caso não esteja a mensagem é rejeitada pelo agente id deremetente;

15

Administrando o agente ID de remetente

Como habilitar o agente ID de remetente através do Exchange ManagementShell:

ID de Remetente

16

Administrando o agente ID de remetente

Como desabilitar o agente ID de remetente através do Exchange ManagementShell:

Como configurar o agente ID de remente para Carimbar, Rejeitar ou Excluirmensagens que não forem enviadas pelo servidor cadastrado no registro SFPdo servidor DNS do remetente através do Exchange Management Shell:

Como verificar as configurações aplicadas ao ID de remetente através doExchange Managemente Shell:

CAPÍTULO CINCO

FILTRAGEM DE CONTEÚDO

17

Filtragem de conteúdo

Sobre o agente filtragem de conteúdo

O agente de Filtro de Conteúdo é responsável por atribuir a classificação deSCL (nível de confiança de spam) a cada mensagem enviada para a suaorganização. Basicamente é um número de 0 a 9 aonde quanto maior o númeromaior é a probabilidade desta mensagem ser um spam.

De acordo com o nível de classificação SCL atribuída a mensagem as seguintesações podem ser configuradas no agente de Filtro de conteúdo:

• Excluir mensagem• Rejeitar mensagem• Colocar mensagem em quarentena

Por exemplo, você pode determinar que mensagens com classificação de SCL 9ou superior sejam excluídas, mensagens com classificação de SCL 7 sejamrejeitadas e mensagens com classificação de SCL 6 sejam colocadas emquarentena.

18

Filtragem de conteúdo

Sobre o agente filtragem de conteúdo

19

Como habilitar o agente filtragem de conteúdo através do ExchangeManagement Shell:

Como desabilitar o agente filtragem de conteúdo através do ExchangeManagement Shell:

Como configurar o agente filtragem de conteúdo para enviar uma resposta derejeição personalizada através do Exchange Management Shell:

Filtragem de conteúdo

Sobre o agente filtragem de conteúdo

20

Como configurar os Limites SCL e ações a serem tomadas pelo agenteFiltragem de conteúdo através do Exchange Management Shell:

Neste exemplo iremos excluir uma mensagem com SCL de número 9, Rejeitaruma de número 8 e enviar a de número 7 para a quarentena.

Como criar uma “Whitelist” no agente filtragem de conteúdo para quedeterminados domínios não passem pelo filtro, através do ExchangeManagement Shell:

Neste exemplo iremos fazer com que o remetente wagapto@contoso.com.br eo domínio (e subdomínios) edefense.com.br não sejam verificados através doagente filtragem de conteúdo:

CAPÍTULO SEIS

REPUTAÇÃO DO REMETENTE

21

Reputação do remetente

Sobre o agente reputação do remetente

O Agente reputação do remetente se baseia em dados persistentes sobre oremetente para determinar qual ação tomar em uma mensagem de entrada,caso seja necessário.

Esse cálculo de nível de reputação do remetente é realizado com base nasseguintes estatísticas: Análise de HELO/EHLO, pesquisa reversa DNS, Análisede classificações SCL em mensagens de um determinado remetente e teste deproxy aberto do remetente;

22

Como habilitar o agente reputação do remetente através do ExchangeManagement Shell:

Administrando o agente reputação do remetente

Como desabilitar o agente reputação do remetente através do ExchangeManagement Shell:

CAPÍTULO SETE

FILTRAGEM DE CONEXÃO

23

Filtragem de conexão

Sobre filtragem de conexão

A filtragem de conexão é um recurso antispam fornecido pelo agente Filtragemde Conexão, que só é disponibilizado em servidores de Transporte de Borda

A filtragem de conexão habilita os seguintes recursos:

• Lista de Bloqueios de IP• Provedores de Lista de Bloqueios de IP• Lista de Permissões de IP• Provedores de Lista de Permissões de IP

24

Administrando a filtragem de conexão

Como desabilitar o agente filtragem de conexão através do ExchangeManagement Shell:

Como habilitar o agente filtragem de conexão através do ExchangeManagement Shell:

Filtragem de conexão

25

Administrando a filtragem de conexão

Após habilitar ou desabilitar o agente filtragem de conexão é necessárioreiniciar o serviço de transporte (O serviço de messageria ficará indisponívelenquanto o serviço reinicia);

Como adicionar um intervalo de Ip na lista de Ips permitidos através doExchange Management Shell:

Como remover um intervalo de Ip na lista de Ips permitidos através doExchange Management Shell:

CAPÍTULO OITO

FILTRAGEM DE DESTINATÁRIO

26

Filtragem de destinatário

Sobre filtragem de destinatário

A Filtragem de destinatário é fornecida pelo agente de Filtro de Destinatários.Quando a filtragem de destinatários é habilitada em um servidor do Exchange,ela filtra mensagens de entrada que vêm da Internet, mas não sãoautenticadas. Essas mensagens são manipuladas como mensagens externas;

27

Como desabilitar a filtragem de destinatário através do ExchangeManagement Shell:

Administrando a filtragem de destinatário

Como habiltar a filtragem de destinatário através do Exchange ManagementShell:

Filtragem de destinatário

28

Como configurar a lista de bloqueio de destinatários através do ExchangeManagement Shell:

Administrando a filtragem de destinatário

Como validar as configurações atribuídas a filtragem de destinatário:

CAPÍTULO NOVE

FILTRAGEM DE ANEXOS

29

Filtragem de anexos

Sobre a filtragem de anexo

A filtragem de anexo é aonde configuramos qual formato de aquivo poderá serenviado como anexo para os destinatários da nossa organização através donosso servidor de Transporte de borda;

30

Para ver a lista completa de extensões e tipos de conteúdo administradospela filtragem de anexo execute o seguinte comando através do ExchangeManagement Shell:

Administrando a filtragem de anexo

Como desabilitar a filtragem de anexo através do Exchange ManagementShell:

Filtragem de anexos

31

Administrando a filtragem de anexo

Como habilitar a filtragem de anexo através do Exchange Management Shell:

Após habilitar ou desabilitar a filtragem de anexo é necessário reiniciar oserviço de transporte através do Exchange Management Shell (O serviço demessageria ficará indisponível enquanto o serviço estiver reiniciando):

Como filtrar anexos pela filtragem de anexo através do Exchange ManagementShell: [ Neste exemplo iremos bloquear anexos com a extensão .jpg ]

Filtragem de anexos

32

Administrando a filtragem de anexo

Como remover uma extensão de arquivo da filtragem de anexo através doExchange Management Shell:

Como configurar uma resposta personalizada para mensagens rejeitadas pelafiltragem de anexo através do Exchange Management Shell:

CAPÍTULO DEZ

CARIMBOS ANTISPAM

33

Carimbos Antispam

Noções básicas sobre carimbos antispam

Carimbos antispam é um grande aliado na hora de diagnosticarmos umproblema relacionado a spam, trata-se de informações fornecidas pelaferramenta de antispam através do cabeçalho da mensagem, e nos auxiliampor exemplo, a determinar quais ações devem ser tomadas em casos de falsospositivos, mensagens suspeitas e demais incidentes;

Existem três tipos de carimbos antispam: carimbo de nível de confiança despam, ID de Remetente e Nível de confiança de phishing.

Um resumo dos resultados dos filtros antispam aplicados a um email édenominado relatório antispam. O envelope da mensagem é carimbado peloagente do filtro de conteúdo na forma de um Cabeçalho X;

Exemplo:

X-MS-Exchange-Organization-Antispam-Report: DV:<DATVersion>;CW:CustomList;PCL:PhishingVerdict <verdict>;P100:PhishingBlock;PP:Presolve;SID:SenderIDStatus <status>;TIME:<SendReceiveDelta>;MIME:MimeCompliance

34

Carimbos Antispam

Visualizando os carimbos antispam no Office 2013

Para utilizarmos o Microsoft Office 2013 para visualizarmos os carimbosantispam basta abrirmos a mensagem que será analisada, clicarmos em Arquivono canto superior esquerdo, Informações e propriedades;

35

Carimbos Antispam

Visualizando os carimbos antispam no Office 2013

No campo propriedades será exibido os carimbos antispam conforme exemplo:

X-MS-Exchange-Organization-PCL:7X-MS-Exchange-Organization-SCL:6X-MS-Exchange-Organization-Antispam-Report: DV:3.1.3924.1409;

36

Carimbos Antispam

Compreender as informações de filtro em um relatório antispam é simples eprático, após algum tempo administrando o Exchange Server você será capaz deidentificar os casos mais recorrentes com agilidade.

A tabela abaixo descreve as informações do filtro que podem ser encontradas emum relatório antispam do Exchange Server;

Carimbo Descrição

AllRecipientsBypassed O carimbo AllRecipientsBypassed indica que uma das seguintescondições foi atendida para todos os destinatários listados namensagem:O parâmetro AntispamBypassedEnabled na caixa de correio dodestinatário está definido como $true. Essa é uma configuração pordestinatário que só pode ser definida por um administrador, usandoo cmdlet Set-Mailbox.O remetente da mensagem está na Lista de Remetentes Seguros doOutlook do destinatário. Para obter mais informações sobre a Listade Remetentes Seguros.O agente Filtro de Conteúdo não processa qualquer filtragem deconteúdo de mensagens enviadas a este destinatário. Para maisinformações sobre exceções de destinatário.

Informações de filtro em um relatório antispam

37

Carimbos Antispam

Informações de filtro em um relatório antispam

Carimbo Descrição

SenderBypassed O carimbo SenderBypassed indica que o agente Filtro deConteúdo não processa qualquer filtragem de conteúdode mensagens recebidas deste remetente.

MessageSecurityAntispamBypass O carimbo MessageSecurityAntispamBypass indica que oconteúdo da mensagem não foi filtrado e que o remetenterecebeu permissão para ignorar os filtros antispam.

IPOnAllowList O carimbo IPOnAllowList indica que o endereço IP doremetente está na lista de Permissões de IP. Para maisinformações sobre a Lista de IP Permitidos.

P100:PhishingBlock O carimbo P100 indica que a mensagem contém uma URLpresente em um arquivo de definição de phishing.

MIME:MIMECompliance O carimbo MIME indica que o email não é compatível comMIME.

TIME:TimeBasedFeatures O carimbo TIME indica que houve uma demorasignificativa entre a hora de envio e a hora derecebimento da mensagem. O carimbo TIME é usado paradeterminar a classificação final de SCL da mensagem.

38

Carimbos Antispam

Carimbo Descrição

PP O carimbo AllRecipientsBypassed indica que uma das seguintes condiçõesfoi atendida para todos os destinatários listados na mensagem:O parâmetro AntispamBypassedEnabled na caixa de correio do destinatárioestá definido como $true. Essa é uma configuração por destinatário que sópode ser definida por um administrador, usando o cmdlet Set-Mailbox.O remetente da mensagem está na Lista de Remetentes Seguros do Outlookdo destinatário. O agente Filtro de Conteúdo não processa qualquerfiltragem de conteúdo de mensagens enviadas a este destinatário.

CW O carimbo de peso personalizado (CW) de uma mensagem indica que elacontém uma palavra ou frase não aprovada e que o respectivo valor de SCL(o "peso") foi aplicado à pontuação final de SCL:Frases não aprovadas (ou expressões de bloqueio) têm peso máximo ealteram a pontuação de SCL para 9.Palavras ou frases aprovadas (ou expressões de permissão) têm pesomínimo e alteram o SCL para 0.

DV O carimbo DV (versão DAT) indica a versão do arquivo de definição de spamusado ao verificar a mensagem.

SV O carimbo SV (versão DAT de assinatura) indica a versão do arquivo deassinatura usado ao verificar a mensagem.

Informações de filtro em um relatório antispam

39

Carimbos Antispam

Cari

mbo

Descrição

SCL O SCL (nível de confiança de spam) da mensagem exibe a classificação da mensagem,com base em seu conteúdo. O agente do Filtro de Conteúdo usa a tecnologiaMicrosoft SmartScreen para avaliar o conteúdo de uma mensagem e atribuir umaclassificação SCL a cada mensagem. O valor de SCL está entre 0 e 9, em que 0 éconsiderado a menor probabilidade de spam e 9 é considerado a maior probabilidadede spam. As ações que o Exchange e o Outlook adotam dependem das configuraçõesde limites de SCL.

PCL O carimbo de nível de confiança de phishing (PCL) mostra a classificação damensagem, com base em seu conteúdo, e é aplicado quando a mensagem éprocessada pelo agente Filtro de Conteúdo. Esse status pode ser retornado como umdos seguintes valores:Neutral O conteúdo da mensagem provavelmente não é phishing.Suspicious O conteúdo da mensagem provavelmente é phishing.O valor do PCL pode variar de 1 a 8. Uma classificação de PCL de 1 a 3 retorna umstatus de Neutral. Isso significa que o conteúdo da mensagem provavelmente não éphishing. Uma classificação PCL de 4 a 8 retorna um status de Suspicious. Isso significaque a mensagem provavelmente é phishing.Os valores são usados para determinar que ação o Outlook toma em relação àsmensagens. O Outlook usa o carimbo PCL para bloquear o conteúdo de mensagenssuspeitas.

SA O carimbo SA (ação de assinatura) indica que a mensagem foi recuperada ou excluídapor causa de uma assinatura encontrada na mensagem.

Informações de filtro em um relatório antispam

40

“Quem é sábio procura aprender,

mas os tolos estão satisfeito com a sua

própria ignorância..”

- Rei Salomão | Provérbios 15:14

41

Conclusão

Referências: Microsoft TechnetWellingtonagapto.org

Com isto terminamos este projeto que tem como objetivo divulgar asfuncionalidades básicas e auxiliar os administradores do MicrosoftExchange Server 2013 a proteger sua organização através do Antispamnativo na ferramenta, espero que tenha sido útil e fiquem a vontade parasugerir melhorias e temas para e-books futuros.

Contato: Wellington.agapto@edefense.com.br