Forefront Protection 2010 for Exchange: Come funzionano DNSBL e Backscatter Filter
Oltre al nuovo motore Cloudmark, Forefront Protection 2010 for Exchange presenta altre due nuove caratteristiche molto efficaci per bloccare i messaggi di SPAM diretti verso i nostri sistemi di posta.
In questo post vorrei evidenziare l’altissimo livello di SPAM bloccato dalla nuova DNSRBL che supera il 90% grazie all’utilizzo congiunto di svariate RBL di vendors interni ed esterni a Microsoft e l’utilità del Backscatter Filter che protegge la nostra infrastruttura di Posta dal cosiddetto NDR (Backscatter) SPAM.
L’azione effettuata dall’agente relativo al DNSBL è descritta di seguito e gli elementi coinvolti sono schematizzata nel disegno seguente:
1. L’agente DNSBL di FPE è attivato ad ogni richiesta di connessione proveniente da internet verso i nostri server MX
2. L’agente genera un’opportuna query DNS criptata verso il servizio su internet Forefront DNSBL
3. Il servizio Forefront DNSBL dopo aver validato la query risponde con:
- un codice del tipo 127.0.0.x se viene ritrovata corrispondenza con l’IP che si connette in qualche RBL (per esempio se si trova una corrispondenza nella blocklist interna di FOPE la risposta sarà 127.0.0.5 ; se la corrispondenza è trovata nella lista pubblica XBL di spamhaus il codice sarà 127.0.0.4)
- un codice del tipo NXDOMAIN (No such domain) se non viene trovata alcuna corrispondenza
4. Nel caso di corrispondenza la connessione è interrotta evitando la ricezione di messaggi di SPAM
Tale azione risulta particolarmente efficace perché, avvenendo a livello di connessione, blocca eventuali messaggi di SPAM prima dell’effettivo trasferimento. In tal modo si alleggerisce notevolmente il carico sui nostri sistemi perimetrali evitando azioni di content scanning ben più gravose dal punto di vista delle performance.
Altrettanto utile risulta l’agente relativo al Backscatter filtering. In questo caso probabilmente il numero di messaggi bloccati rispetto alla DNSBL è inferiore ma l’azione effettuata è molto utile perché permette di bloccare tutti quei “falsi” NDR che spesso generano allarme tra gli utenti meno esperti (“c’è qualcosa che non va nella posta !!! Io non ho mai scritto a questo utente … quindi qualcuno ha rubato il mio indirizzo!!! 
”)
Riusciamo, infatti, a bloccare tutti gli NDR generati da falsi mittenti non appartenenti al nostro sistema di posta (che usano impropriamente indirizzi del nostro dominio) “marchiando” tutti i messaggi in uscita dai nostri sistemi esposti su internet.
In questo caso sono obbligatorie le seguenti operazioni/configurazioni:
1. installazione di FPE su tutti i sistemi perimetrali che ricevono e inoltrano posta da/verso internet
2. distribuzione di una chiave di criptazione su tutti i sistemi che gestiscono la posta uscente verso internet
3. attivazione del backscatter filtering su tutti gli MX che gestiscono la posta entrante da internet (che non necessariamente coincidono con quelli che fanno anche la posta uscente)
In queste fasi bisogna fare attenzione perché, se dimentichiamo la configurazione di qualche server, rischiamo di non ricevere NDR relativi a messaggi effettivamente inviati dai nostri utenti
A questo punto per ogni messaggio uscente è generato il cosiddetto BATV (Bounce Address Tag Validation) ovvero un token generato crittografando l’indirizzo del mittente con la chiave fornita ad ogni server perimetrale. Tale token (con valore temporale limitato), come evidente nella figura di seguito, è associato all’envelope del messaggio nella parte riguardante l’indirizzo del mittente (campo “MAIL FROM”)
Per ogni potenziale NDR, prima di essere inoltrato verso le caselle del dominio, sarà analizzata la presenza del token e la sua validità (anche se lo spammer lo intercetta questo, ha una validità temporale limitata) e nel caso di non corrispondenza l’NDR non verrà consegnato.
Invito tutti quanti ad attivare sui vostri sistemi queste due nuove features; ovviamente dei feedback relativi alla loro utilità nella vostra infrastruttura sarebbero veramente molto graditi 
Alla prossima
Andrea