Exchange Server 2013 - TechNet Gallery
Transcrição
Exchange Server 2013 - TechNet Gallery
Guia de Administração Exchange Server 2013 Administrando a proteção AntiSpam Outubro 2014 | Por Wellington Agápto SOBRE O AUTOR Wellington Agápto : É consultor, especializado em Unified Communications, Active Directory, Microsoft Lync Server e Exchange Server, Certificado Cisco CCNA, ITIL, MCP, MCSA, MCSE, MCSE Security, MCTS Lync, MCTS AD, MTA Lync 2013 Cisco, ITIL, MCSO, Security+, ISO 27002, Cobit, , Autor de artigos em sites especializados sobre tecnologia Microsoft, segurança da informação e empreendedorismo. | Wellington Agápto | Wellington Agápto | Wellagapto | Grupo Exchange Server Brasil | [email protected] | www.wellingtonagapto.org Índice de conteúdo Sobre a proteção antispam Agentes antispam Filtragem por Remetente ID de Remetente Filtragem de Conteúdo Reputação do Remetente Filtragem de conexão Filtragem de destinatário Filtragem de anexos Carimbos anti-spam Conclusão 3 CAPÍTULO UM SOBRE A PROTEÇÃO ANTISPAM 4 Sobre a proteção Antispam Entendendo a proteção O objetivo deste E-book é oferecer aos administradores e estudantes uma ótima fonte de conteúdo com informações essenciais para utilização da ferramenta de AntiSpam do Exchange Server. Ao adquirirmos o Microsoft Exchange Server 2013 temos direito a ferramenta de AntiSpam nativa junto à instalação do mesmo. Diversas são as técnicas utilizadas nos dias de hoje para enviar spam para a sua organização, é importante sempre termos consciência de que nenhuma ferramenta é capaz de eliminar 100% de todos os spams, fazendo com que nenhum spam nunca chegue a sua mailbox; Entretanto, o Microsoft Exchange Server 2013 trabalha com método de camadas para proteger a sua organização. Para mais recursos antispam e gerenciamento mais avançado e amigável, você pode adquirir o serviço de filtragem de emails hospedado denomidado Microsoft Exchange Online Protection (EOP). O Exchange Online Protection (EOP) substituiu o Forefront Online Protection for Exchange (FOPE). Todos os recursos de proteção antispam do EOP também estão incluídos no Exchange Online. 5 CAPÍTULO DOIS AGENTES ANTISPAM 6 Agentes Antispam Em servidores de caixa de correio Os agentes antispam, por padrão, somente são instalados de forma automática nos servidores de Transporte de Borda (Edge Server), entretanto em ambientes específicos aonde não são utilizado servidores de transporte de borda existe a possibilidade de instalarmos os agentes de Antispam em servidores de Caixa de correio (Mailbox); A lista a seguir descreve os agentes e a ordem padrão em que eles são aplicados a mensagens no servidor de Caixa de Correio: Agente de Filtro de Remetente A filtragem de remetente compara o remetente no comando SMTP MAIL FROM: a uma lista de remetentes ou domínios de remetentes definida pelo administrador que estão proibidos de enviar mensagens à organização a fim de determinar a ação que será executada em uma mensagem de entrada, caso necessário. Agente de Filtro de Destinatário A filtragem de destinatário compara os destinatários da mensagem no comando SMTP RCPT TO: a uma lista de Bloqueio de Destinatários definida pelo administrador. Se for encontrada uma correspondência, a mensagem não terá permissão para entrar na organização. O filtro de destinatários também compara destinatários em mensagens de entrada no diretório de destinatários local para determinar se ela está endereçada a destinatários válidos. Quando uma mensagem não é dirigida a destinatários válidos, ela é rejeitada. 7 Agentes Antispam Em servidores de caixa de correio Agente da ID de Remetente: A ID de Remetente depende do endereço IP do servidor do remetente e do PRA (Endereço Responsável pela Expressão) do remetente para determinar se o remetente é falsificado ou não. Agente de Filtro de Conteúdo: A filtragem de conteúdo avalia o conteúdo de uma mensagem. A quarentena de spam é um recurso do agente do Filtro de Conteúdo que reduz o risco de perder mensagens legítimas incorretamente classificadas como spam. A quarentena de spam fornece um local de repositório temporário para mensagens que estão identificadas como spam e que não devem ser entregues a uma caixa de correio de usuário dentro da organização. A filtragem de conteúdo também age no recurso de agregação de lista segura. A agregação de lista segura coleta dados das listas seguras antispam que os usuários do Microsoft Outlook e do Outlook Web App configuram e disponibiliza esses dados para o agente do Filtro de Conteúdo. Agente de Análise de Protocolo: O Agente de Análise de Protocolo é o agente subjacente que implementa a funcionalidade de reputação do remetente. A reputação do remetente se baseia em dados persistentes sobre o endereço IP do servidor de envio para determinar qual ação, se houver alguma, será tomada quando receber uma mensagem. Um nível de reputação do remetente (SRL) é calculado a partir de diversas características do remetente derivadas de análise de mensagem e testes externos. 8 Agentes Antispam Em servidores de Transporte de borda Os seguintes agentes antispam estão disponíveis somente em um servidor de Transporte de Borda: Agente de Filtragem de Conexão A filtragem de conexão inspeciona o endereço IP do servidor remoto que está tentando enviar mensagens a fim de determinar a ação que será executada em uma mensagem de entrada, caso necessário. O endereço IP remoto está disponível para o agente de Filtragem de Conexão, como um subproduto da conexão TCP/IP subjacente, necessária à seção SMTP. A filtragem de conexão usa uma variedade de listas de Bloqueios de IP, listas de Permissões de IP, assim como serviços de provedores Lista de Bloqueio de IP ou serviços de provedores de Lista de Permissão de IP para determinar se a conexão do IP específico deve ser bloqueada ou permitida na organização. Agente de Filtro de Anexos A filtragem de anexos filtra mensagens com base no nome do arquivo anexo, na extensão de nome de arquivo ou no tipo de conteúdo MIME do arquivo. Você pode configurar a filtragem de anexo para bloquear uma mensagem e seu anexo, remover o anexo e permitir que a mensagem seja transmitida ou excluir silenciosamente a mensagem e seu anexo 9 Agentes Antispam Em servidores de Transporte de borda Esta é a lista na ordem padrão na qual os agentes antispam são aplicados no servidor de Transporte de Borda ( Edge Server ): • Agente de Filtragem de Conexão • Agente de Filtro por Remetente • Agente de Filtro de Destinatários • Agente de ID de Remetente • Agente de Filtro de Conteúdo • Agente de análise de protocolo para reputação do remetente • Agente de Filtro de Anexo 10 CAPÍTULO TRÊS FILTRAGEM POR REMETENTE 11 Filtragem por remetente Sobre o filtro de remetente Através do filtro de remetente é possível filtrarmos mensagens através de remetentes individuais ([email protected]), domínios inteiros (spam.com) ou domínios incluindo seus subdomínios (*.spam.com), e com base na lista criada, podemos escolher qual ação o filtro de remetente deverá tomar caso um e-mail da lista de remetentes bloqueados seja enviado para a organização; Administrando o filtro de remetente Como habilitar o filtro de remetente através do Exchange Management Shell: Como desabilitar o filtro de remetente através do Exchange Management Shell: 12 Filtragem por remetente Administrando o filtro de remetente Como bloquear remetentes, domínios e subdomínios: neste exemplo iremos configurar o agente de Filtro de Remetentes para bloquear mensagens de [email protected] e [email protected], mensagens do domínio spam2.com e mensagens do subdomínio e domínio spam3.com. Como bloquear mensagens com remetentes em branco: Como verificar as configurações aplicadas ao filtro de remetente: 13 CAPÍTULO QUATRO ID DE REMETENTE 14 ID de Remetente Sobre ID de remetente O ID do Remetente é usado para combater a representação de um remetente ou domínio, uma prática normalmente chamada de falsificação. Um email falsificado é email que possui um endereço de envio que foi modificado para parecer ter sido enviado por outro remetente que não o remetente real do email. Quando um email é recebido, o servidor do Exchange consulta o servidor DNS do remetente para verificar se o endereço IP que enviou a mensagem está autorizado a enviar mensagens para o domínio especificado nos cabeçalhos da mensagem, caso não esteja a mensagem é rejeitada pelo agente id de remetente; Administrando o agente ID de remetente Como habilitar o agente ID de remetente através do Exchange Management Shell: 15 ID de Remetente Administrando o agente ID de remetente Como desabilitar o agente ID de remetente através do Exchange Management Shell: Como configurar o agente ID de remente para Carimbar, Rejeitar ou Excluir mensagens que não forem enviadas pelo servidor cadastrado no registro SFP do servidor DNS do remetente através do Exchange Management Shell: Como verificar as configurações aplicadas ao ID de remetente através do Exchange Managemente Shell: 16 CAPÍTULO CINCO FILTRAGEM DE CONTEÚDO 17 Filtragem de conteúdo Sobre o agente filtragem de conteúdo O agente de Filtro de Conteúdo é responsável por atribuir a classificação de SCL (nível de confiança de spam) a cada mensagem enviada para a sua organização. Basicamente é um número de 0 a 9 aonde quanto maior o número maior é a probabilidade desta mensagem ser um spam. De acordo com o nível de classificação SCL atribuída a mensagem as seguintes ações podem ser configuradas no agente de Filtro de conteúdo: • • • Excluir mensagem Rejeitar mensagem Colocar mensagem em quarentena Por exemplo, você pode determinar que mensagens com classificação de SCL 9 ou superior sejam excluídas, mensagens com classificação de SCL 7 sejam rejeitadas e mensagens com classificação de SCL 6 sejam colocadas em quarentena. 18 Filtragem de conteúdo Sobre o agente filtragem de conteúdo Como habilitar o agente filtragem de conteúdo através do Exchange Management Shell: Como desabilitar o agente filtragem de conteúdo através do Exchange Management Shell: Como configurar o agente filtragem de conteúdo para enviar uma resposta de rejeição personalizada através do Exchange Management Shell: 19 Filtragem de conteúdo Sobre o agente filtragem de conteúdo Como configurar os Limites SCL e ações a serem tomadas pelo agente Filtragem de conteúdo através do Exchange Management Shell: Neste exemplo iremos excluir uma mensagem com SCL de número 9, Rejeitar uma de número 8 e enviar a de número 7 para a quarentena. Como criar uma “Whitelist” no agente filtragem de conteúdo para que determinados domínios não passem pelo filtro, através do Exchange Management Shell: Neste exemplo iremos fazer com que o remetente [email protected] e o domínio (e subdomínios) edefense.com.br não sejam verificados através do agente filtragem de conteúdo: 20 CAPÍTULO SEIS REPUTAÇÃO DO REMETENTE 21 Reputação do remetente Sobre o agente reputação do remetente O Agente reputação do remetente se baseia em dados persistentes sobre o remetente para determinar qual ação tomar em uma mensagem de entrada, caso seja necessário. Esse cálculo de nível de reputação do remetente é realizado com base nas seguintes estatísticas: Análise de HELO/EHLO, pesquisa reversa DNS, Análise de classificações SCL em mensagens de um determinado remetente e teste de proxy aberto do remetente; Administrando o agente reputação do remetente Como habilitar o agente reputação do remetente através do Exchange Management Shell: Como desabilitar o agente reputação do remetente através do Exchange Management Shell: 22 CAPÍTULO SETE FILTRAGEM DE CONEXÃO 23 Filtragem de conexão Sobre filtragem de conexão A filtragem de conexão é um recurso antispam fornecido pelo agente Filtragem de Conexão, que só é disponibilizado em servidores de Transporte de Borda A filtragem de conexão habilita os seguintes recursos: • • • • Lista de Bloqueios de IP Provedores de Lista de Bloqueios de IP Lista de Permissões de IP Provedores de Lista de Permissões de IP Administrando a filtragem de conexão Como desabilitar o agente filtragem de conexão através do Exchange Management Shell: Como habilitar o agente filtragem de conexão através do Exchange Management Shell: 24 Filtragem de conexão Administrando a filtragem de conexão Após habilitar ou desabilitar o agente filtragem de conexão é necessário reiniciar o serviço de transporte (O serviço de messageria ficará indisponível enquanto o serviço reinicia); Como adicionar um intervalo de Ip na lista de Ips permitidos através do Exchange Management Shell: Como remover um intervalo de Ip na lista de Ips permitidos através do Exchange Management Shell: 25 CAPÍTULO OITO FILTRAGEM DE DESTINATÁRIO 26 Filtragem de destinatário Sobre filtragem de destinatário A Filtragem de destinatário é fornecida pelo agente de Filtro de Destinatários. Quando a filtragem de destinatários é habilitada em um servidor do Exchange, ela filtra mensagens de entrada que vêm da Internet, mas não são autenticadas. Essas mensagens são manipuladas como mensagens externas; Administrando a filtragem de destinatário Como desabilitar a filtragem de destinatário através do Exchange Management Shell: Como habiltar a filtragem de destinatário através do Exchange Management Shell: 27 Filtragem de destinatário Administrando a filtragem de destinatário Como configurar a lista de bloqueio de destinatários através do Exchange Management Shell: Como validar as configurações atribuídas a filtragem de destinatário: 28 CAPÍTULO NOVE FILTRAGEM DE ANEXOS 29 Filtragem de anexos Sobre a filtragem de anexo A filtragem de anexo é aonde configuramos qual formato de aquivo poderá ser enviado como anexo para os destinatários da nossa organização através do nosso servidor de Transporte de borda; Administrando a filtragem de anexo Para ver a lista completa de extensões e tipos de conteúdo administrados pela filtragem de anexo execute o seguinte comando através do Exchange Management Shell: Como desabilitar a filtragem de anexo através do Exchange Management Shell: 30 Filtragem de anexos Administrando a filtragem de anexo Como habilitar a filtragem de anexo através do Exchange Management Shell: Após habilitar ou desabilitar a filtragem de anexo é necessário reiniciar o serviço de transporte através do Exchange Management Shell (O serviço de messageria ficará indisponível enquanto o serviço estiver reiniciando): Como filtrar anexos pela filtragem de anexo através do Exchange Management Shell: [ Neste exemplo iremos bloquear anexos com a extensão .jpg ] 31 Filtragem de anexos Administrando a filtragem de anexo Como remover uma extensão de arquivo da filtragem de anexo através do Exchange Management Shell: Como configurar uma resposta personalizada para mensagens rejeitadas pela filtragem de anexo através do Exchange Management Shell: 32 CAPÍTULO DEZ CARIMBOS ANTISPAM 33 Carimbos Antispam Noções básicas sobre carimbos antispam Carimbos antispam é um grande aliado na hora de diagnosticarmos um problema relacionado a spam, trata-se de informações fornecidas pela ferramenta de antispam através do cabeçalho da mensagem, e nos auxiliam por exemplo, a determinar quais ações devem ser tomadas em casos de falsos positivos, mensagens suspeitas e demais incidentes; Existem três tipos de carimbos antispam: carimbo de nível de confiança de spam, ID de Remetente e Nível de confiança de phishing. Um resumo dos resultados dos filtros antispam aplicados a um email é denominado relatório antispam. O envelope da mensagem é carimbado pelo agente do filtro de conteúdo na forma de um Cabeçalho X; Exemplo: X-MS-Exchange-Organization-Antispam-Report: DV:<DATVersion>; CW:CustomList;PCL:PhishingVerdict <verdict>;P100:PhishingBlock; PP:Presolve;SID:SenderIDStatus <status>;TIME:<SendReceiveDelta>; MIME:MimeCompliance 34 Carimbos Antispam Visualizando os carimbos antispam no Office 2013 Para utilizarmos o Microsoft Office 2013 para visualizarmos os carimbos antispam basta abrirmos a mensagem que será analisada, clicarmos em Arquivo no canto superior esquerdo, Informações e propriedades; 35 Carimbos Antispam Visualizando os carimbos antispam no Office 2013 No campo propriedades será exibido os carimbos antispam conforme exemplo: X-MS-Exchange-Organization-PCL:7 X-MS-Exchange-Organization-SCL:6 X-MS-Exchange-Organization-Antispam-Report: DV:3.1.3924.1409; 36 Carimbos Antispam Informações de filtro em um relatório antispam Compreender as informações de filtro em um relatório antispam é simples e prático, após algum tempo administrando o Exchange Server você será capaz de identificar os casos mais recorrentes com agilidade. A tabela abaixo descreve as informações do filtro que podem ser encontradas em um relatório antispam do Exchange Server; Carimbo Descrição AllRecipientsBypassed O carimbo AllRecipientsBypassed indica que uma das seguintes condições foi atendida para todos os destinatários listados na mensagem: O parâmetro AntispamBypassedEnabled na caixa de correio do destinatário está definido como $true. Essa é uma configuração por destinatário que só pode ser definida por um administrador, usando o cmdlet Set-Mailbox. O remetente da mensagem está na Lista de Remetentes Seguros do Outlook do destinatário. Para obter mais informações sobre a Lista de Remetentes Seguros. O agente Filtro de Conteúdo não processa qualquer filtragem de conteúdo de mensagens enviadas a este destinatário. Para mais informações sobre exceções de destinatário. 37 Carimbos Antispam Informações de filtro em um relatório antispam Carimbo Descrição SenderBypassed O carimbo SenderBypassed indica que o agente Filtro de Conteúdo não processa qualquer filtragem de conteúdo de mensagens recebidas deste remetente. MessageSecurityAntispamBypass O carimbo MessageSecurityAntispamBypass indica que o conteúdo da mensagem não foi filtrado e que o remetente recebeu permissão para ignorar os filtros antispam. IPOnAllowList O carimbo IPOnAllowList indica que o endereço IP do remetente está na lista de Permissões de IP. Para mais informações sobre a Lista de IP Permitidos. P100:PhishingBlock O carimbo P100 indica que a mensagem contém uma URL presente em um arquivo de definição de phishing. MIME:MIMECompliance O carimbo MIME indica que o email não é compatível com MIME. TIME:TimeBasedFeatures O carimbo TIME indica que houve uma demora significativa entre a hora de envio e a hora de recebimento da mensagem. O carimbo TIME é usado para determinar a classificação final de SCL da mensagem. 38 Carimbos Antispam Informações de filtro em um relatório antispam Carimbo Descrição PP O carimbo AllRecipientsBypassed indica que uma das seguintes condições foi atendida para todos os destinatários listados na mensagem: O parâmetro AntispamBypassedEnabled na caixa de correio do destinatário está definido como $true. Essa é uma configuração por destinatário que só pode ser definida por um administrador, usando o cmdlet Set-Mailbox. O remetente da mensagem está na Lista de Remetentes Seguros do Outlook do destinatário. O agente Filtro de Conteúdo não processa qualquer filtragem de conteúdo de mensagens enviadas a este destinatário. CW O carimbo de peso personalizado (CW) de uma mensagem indica que ela contém uma palavra ou frase não aprovada e que o respectivo valor de SCL (o "peso") foi aplicado à pontuação final de SCL: Frases não aprovadas (ou expressões de bloqueio) têm peso máximo e alteram a pontuação de SCL para 9. Palavras ou frases aprovadas (ou expressões de permissão) têm peso mínimo e alteram o SCL para 0. DV O carimbo DV (versão DAT) indica a versão do arquivo de definição de spam usado ao verificar a mensagem. SV O carimbo SV (versão DAT de assinatura) indica a versão do arquivo de assinatura usado ao verificar a mensagem. 39 Carimbos Antispam Informações de filtro em um relatório antispam Cari mbo Descrição SCL O SCL (nível de confiança de spam) da mensagem exibe a classificação da mensagem, com base em seu conteúdo. O agente do Filtro de Conteúdo usa a tecnologia Microsoft SmartScreen para avaliar o conteúdo de uma mensagem e atribuir uma classificação SCL a cada mensagem. O valor de SCL está entre 0 e 9, em que 0 é considerado a menor probabilidade de spam e 9 é considerado a maior probabilidade de spam. As ações que o Exchange e o Outlook adotam dependem das configurações de limites de SCL. PCL O carimbo de nível de confiança de phishing (PCL) mostra a classificação da mensagem, com base em seu conteúdo, e é aplicado quando a mensagem é processada pelo agente Filtro de Conteúdo. Esse status pode ser retornado como um dos seguintes valores: Neutral O conteúdo da mensagem provavelmente não é phishing. Suspicious O conteúdo da mensagem provavelmente é phishing. O valor do PCL pode variar de 1 a 8. Uma classificação de PCL de 1 a 3 retorna um status de Neutral. Isso significa que o conteúdo da mensagem provavelmente não é phishing. Uma classificação PCL de 4 a 8 retorna um status de Suspicious. Isso significa que a mensagem provavelmente é phishing. Os valores são usados para determinar que ação o Outlook toma em relação às mensagens. O Outlook usa o carimbo PCL para bloquear o conteúdo de mensagens suspeitas. SA O carimbo SA (ação de assinatura) indica que a mensagem foi recuperada ou excluída por causa de uma assinatura encontrada na mensagem. 40 Conclusão Com isto terminamos este projeto que tem como objetivo divulgar as funcionalidades básicas e auxiliar os administradores do Microsoft Exchange Server 2013 a proteger sua organização através do Antispam nativo na ferramenta, espero que tenha sido útil e fiquem a vontade para sugerir melhorias e temas para e-books futuros. Referências: Microsoft Technet Wellingtonagapto.org Contato: [email protected] “Quem é sábio procura aprender, mas os tolos estão satisfeito com a sua própria ignorância..” - Rei Salomão | Provérbios 15:14 41