Estrutura de Anti-Spam no Exchange Server 2003 Service Pack 2 – Parte I
Por: Viviane Lopes
O Exchange Server 2003 Service Pack 2 utiliza diversos métodos para reduzir o volume de mensagens não solicitadas, popularmente conhecidas como ‘Spam’.
Nesta série de artigos apresentaremos uma visão geral dos métodos disponíveis no Exchange Server 2003 SP2 para controlar Spam e como este métodos trabalham juntos para reduzir o número total de mensagens indesejadas que chegam na caixa postal dos usuários.
O Exchange Server 2003 fornece proteção contra spam em três níveis diferentes:
§ Filtro de Conexão (Connection Filtering) - analisa o servidor de SMTP que está realizando a conexão.
§ Filtro de Protocolo (Protocol Filtering) – analisa o remetente e destinatário da mensagem.
§ Filtro de Conteúdo (Content Filtering) – analisa o conteúdo da mensagem.
Veja o exemplo à seguir:
Neste artigo, vamos conhecer mais sobre o Filtro de Conexão.
1 - Filtro de Conexão
A proteção oferecida pelo filtro de conexão é considerada a mais eficiente contra Spam, porque este tipo de filtro impede que a mensagem entre na organização Exchange. O filtro de conexão trabalha analisando cada tentativa de conexão SMTP entrante. Se o servidor que está tentando enviar a mensagem é identificado como uma fonte conhecida de spam, ou como um servidor que tipicamente não envia mensagens SMTP, então a conexão pode ser recusada, eliminando a necessidade de continuar o processamento da mensagem.
O Exchange 2003 Server possui dois tipos de Filtros de Conexão:
1.1 - Filtro de Conexão por endereço IP
Você pode definir se deseja recusar conexões SMTP baseado no endereço IP do servidor remoto. Este método de proteção é simples de ser configurado, porém a lista de endereços IP deve ser administrada manualmente.
Para incluir endereços IP na lista de bloqueio, basta ir no ‘Exchange System Manager’, propriedades de ‘Message Delivery’, e na guia ‘Connection Filtering’ selecionar ‘Deny’, como indicado na imagem abaixo:
Se incluirmos o endereço IP 10.0.0.200 na lista de endereços negados, qualquer tentativa de envio de mensagens provenientes deste endereço IP irá falhar com o erro:
550 5.7.0 Access Denied
Também é possível especificar endereços IP que são permitidos para conexões SMTP. Se você deseja receber mensagens de um servidor que foi identificado como origem de spam, basta você incluir o endereço IP na lista de “Accept”.
1.2 – Listas de bloqueio em tempo real (Real-Time Block lists)
Listas de bloqueio em tempo real são bancos de dados contendo endereços IPs de servidores já conhecidos como fonte de spam, open-relays, ou endereços IPs que fazem parte de um escopo que não deve incluir um servidor SMTP, por exemplo, um endereço IP fornecido por um provedor de Internet à um cliente de acesso discado.
Diversas empresas fazem a manutenção destes bancos de dados, coletando os endereços IPs que se encaixam nos perfis citados acima. Existem provedores RBL gratuitos, e também provedores RBL pagos.
O processo de filtro por RBL funciona da seguinte forma:
1 – Um servidor SMTP faz uma conexão ao servidor Exchange na porta TCP 25.
2 – O Servidor Exchange faz uma consulta DNS ao provedor RBL para verificar se o servidor SMTP que realizou a conexão está incluído na lista.
3 – Se o servidor SMTP não estiver incluído na lista, a conexão é permitida. Se o servidor SMTP estiver na lista RBL, então a conexão é cancelada.
A consulta DNS enviada ao provedor RBL é realizada utililizando o seguinte formato:
Se no exemplo acima, o endereço IP do servidor SMTP for 10.0.0.200, e o domínio SMTP do provedor RBL for contoso.com, a consulta realizada pelo servidor Exchange será:
200.0.0.10.contoso.com
O provedor RBL retorna uma das seguintes respostas:
§ ‘Host not found’ – o endereço IP solicitado não foi encontrado no banco de dados do provedor RBL.
§ ‘127.0.0.Status code’ – o endereço IP solicitado foi encontrado no banco de dados do provedor RBL. ‘Status code’ indica qual é o tipo de ofensa cometida por este servidor SMTP. O código pode variar entre provedores RBL, uma vez que não existe um padrão definido.
Você pode utilizar vários filtros de conexão para criar prioridades. Se você utilizar múltiplos servidores RBL, cada provedor será consultado seguindo a ordem em que eles aparecem na configuração do Exchange. Se uma resposta positiva for retornada, o Exchange não irá consultar nenhum provedor RBL adicional existente na lista.
Para configurar a listas RBL:
Na guia ‘Connection Filtering’, selecione ‘Add’ em ‘Block List Service Configuration’.
- ‘Display name’: nome para o filtro.
- ‘DNS Suffix of Provider’ – sufixo DNS fornecido pelo provedor RBL.
- ‘Custom Error Message to Return’ – você pode customizar a mensagem de erro que será mostrada ao servidor SMTP externo.
%0 – endereço IP do servidor SMTP externo
%1 – nome da regra do filtro de conexão
%2 – o provedor RBL
No exemplo acima, a mensagem de erro foi customizada para:
O endereço IP %0 foi rejeitado pelo provedor %2.
Em ‘Return Status Code’, você configurar como deseja configurar este filtro, de acordo com o ‘Status Code’ retornado pelo provedor RBL. O padrão é ‘Match Filter Rule to Any Return Code’.
Se o endereço IP 10.0.0.200 estiver presente no banco de dados do provedor RBL, qualquer tentativa de envio de mensagens provenientes deste endereço IP irá falhar com o erro:
550 5.7.1 Mensagem de erro customizada..
Na versões anteriores ao Service Pack 2, o filtro de conexão só está disponível se ‘firewalls’ ou servidores SMTP intermediários não existirem entre o servidor Exchange e o servidor SMTP externo. A razão é porque o filtro de conexão anterior ao Service Pack 2 considera somente o servidor realizando a conexão. Quando um servidor intermediário está posicionado entre o Exchange e o servidor SMTP externo, então apenas o endereço IP do servidor intermediário é analisado, o que praticamente inviabiliza o funcionamento do filtro de conexão.
Com a instalação do Exchange 2003 Service Pack 2, o servidor Exchange pode ser posicionado em qualquer lugar na organização – o filtro de conexão continua funcionando normalmente mesmo se houverem servidores intermediários, por exemplo, um servidor de antivírus, entre o servidor SMTP externo e o servidor Exchange. Isso é possível através da configuração dos endereços IPs ‘internos’ no Exchange System Manager. Desta forma, o endereço IP a ser analisado pelo RBL será efetivamente o endereço IP do servidor SMTP externo.
Na Microsoft, 25% das mensagens vindas da Internet são bloqueadas usando o filtro de conexão.
Nós próximos artigos, iremos explicar como funciona o Filtro de Protocolo e o Filtro de Conteúdo.
Se você deseja saber mais sobre o assunto, por favor verifique os seguintes links:
823866 How to configure connection filtering to use Realtime Block Lists (RBLs) and how to configure recipient filtering in Exchange 2003
https://support.microsoft.com/default.aspx?scid=kb;EN-US;823866
Fonte utilizada: https://www.microsoft.com/exchange/evaluation/features/antispam_framework.mspx
Viviane Lopes