Estrutura de Anti-Spam no Exchange Server 2003 Service Pack 2 – Parte III



 


Estrutura de Anti-Spam no Exchange Server 2003 Service Pack 2 – Parte III


Por: Viviane Lopes


 


Neste artigo, vamos conhecer o último nível de proteção anti-spam do Exchange 2003 Service Pack 2.


 


Filtro de Conteúdo


 


Depois que a mensagem passa pelo filtros de conexão e de protocolo, a próxima camada de defesa é o filtro de conteúdo, onde o conteúdo da mensagem será analisado.


 


1.     Exchange Intelligent Message Filter


 


O Intelligent Message Filter, mais conhecido como IMF, é um filtro de conteúdo desenvolvido especialmente para o Exchange. O IMF é baseado em uma tecnologia patenteada pela Microsoft chamada Microsoft SmartScreen®. O SmartScreen é utilizado também pelo MSN, Hotmail e pelo Outlook 2003.


 


Diferente de outras tecnologias, o IMF utiliza uma amostragem estatística contendo exemplos de mensagens de SPAM para determinar se a mensagem é SPAM ou não. Adicionalmente, mensagens legitimas são incluídas nesta amostragem, reduzindo a possibilidade de erros. Como o IMF reconhece as características dos dois tipos de mensagens, legitima e SPAM, a precisão do IMF é aumentada.


 


O IMF deve ser instalado em servidores Exchange que aceitam mensagens da Internet. Quando um usuário externo envia uma mensagem para um Exchange com IMF habilitado, o conteúdo desta mensagem é analisado e uma pontuação é estampada no cabeçalho da mensagem indicando a probabilidade da mensagem ser SPAM.


 


A pontuação varia de 1 a 9. Esta informação fica armazenada em uma propriedade de mensagem chamada ‘SPAM Confidence Level’ (SCL). Esta propriedade é mantida na mensagem mesmo quando ela passa outros servidores Exchange dentro da organização.



 



 



Depois que o IMF estampa o SCL na mensagem, a mesma será avaliada por duas configurações definidas pelo administrador, conforme explicado à seguir:


 



  1. Gateway blocking configuration: Block messages with an SCL rating greater than or equal to:

 


Se o SCL da mensagem for igual ou maior que o valor configurado aqui, uma das seguintes ações será tomada contra a mensagem:




    1. Archive (arquivar a mensagem)

    2. Delete (apagar a mensagem)

    3. No action (nenhuma ação será tomada)

    4. Reject (recusar a mensagem)

 



  1. Store junk e-mail configuration: Move messages with an SCL rating greater than.

 


Se o SCL da mensagem for maior que o valor configurado aqui, a mensagem será entregue ao usuário, porém a mesma será colocada na pasta “Lixo Eletrônico” (a menos que o usuário tenha adicionado este remetente na lista de “remetentes seguros” do Outlook). 




 


 


 


 


 


1.1  IMF Custom Weighting


 


O IMF possui uma funcionalidade denominada “Custom Weighting”, que permite aos administradores customizar o comportamento do IMF, baseado em frases encontradas no corpo da mensagem, no assunto ou em ambos.


 


Para implementar esta funcionalidade, é preciso criar um arquivo chamado MSExchange.UceContentFilter.xml  e salvá-lo dentro do mesmo diretório onde os arquivos MSExchange.UceContentFilter.dll e .DAT se encontram. Tipicamente estes arquivos estarão no diretório “C:\Program Files\Exchsrvr\bin\MSCFV2”.


 


O arquivo MSExchange.UceContentFilter.xml define frases as quais o IMF dará maior ou menor ênfase. Isso permite a customização do funcionamento do IMF de forma a permitir ou negar mensagens baseado em frases, que de outra forma, receberiam um SCL diferente pelo IMF.


 


O IMF carrega o arquivo .XML durante a sua inicialização, e entende mudanças realizadas no arquivo sem que seja necessário reinicializar o serviço de SMTP no Exchange.


 


Exemplo de um MSExchange.UceContentFilter.xml:


 


<?xml version=”1.0″ encoding=”UTF-16″?>


<CustomWeightEntries xmlns=”http://schemas.microsoft.com/2005/CustomWeight”>


            <CustomWeightEntry Type=”BODY” Change=”1″ Text=”Compre agora”/>


            <CustomWeightEntry Type=”BODY” Change=”-1″ Text=”Spam”/>


            <CustomWeightEntry Type=”SUBJECT” Change=”MIN” Text=”Ofertas imperdiveis”/>


            <CustomWeightEntry Type=”BOTH” Change=”MAX” Text=”Sexo gratis!”/>


</CustomWeightEntries>


 


Durante o processamento da mensagem, o IMF lê o arquivo XML e então busca dentro da mensagem por uma string/palavra/frase que esteja listado na customização. Se algo for encontrado, o SCL da mensagem será ajustado de acordo com o “modificador” especificado.


 


Por exemplo, se a mensagem receber um SCL inicial de 4, e possuir a frase “Compre agora, o SCL será ajustado em mais 1 ponto. O valor final será SCL = 5.


 


Se você especificar MAX ou MIN no modificador para uma frase ou palavra específica, quando a mesma for encontrada em uma mensagem, o IMF irá mover o SCL para o valor máximo (9), ou mínimo (0).


 


Especificação dos campos do arquivo MSExchange.UceContentFilter.xml:


 


Type= BODY – busca da frase ou palavra no corpo da mensagem


Type= SUBJECT –  Busca da frase ou palavra no assunto da mensagem


Type= BOTH – busca da frase ou palavra no corpo e assunto da mensagem


 


CHANGE – modificador que indica o ajuste a ser realizado no SCL da mensagem. Se você utilizar MAX, o SCL será ajustado para o valor máximo 9. Se você utilizar MIN, o SCL será ajustado para 0. Valores negativos decrementam o SCL, e valores positivos incrementam o SCL.


 


Na Microsoft, 38% da mensagens que passam o filtro de conexão e o filtro de protocolo são bloqueadas pelo IMF.


 


 


2.   Lixo Eletrônico no Outlook 2003 e Outlook Web Access


 


Depois que a mensagem passar a linha de defesa baseada no servidor, o cliente Outlook 2003 pode atuar nas mensagens com o SCL maior ou igual a configuração especificada para armazenar lixo eletrônico no IMF. As mensagens que excederem a configuração especificada no servidor serão enviadas a pasta Lixo Eletrônico do cliente.


 


O Outlook 2003 e OWA permite ao usuário criar uma lista de remetentes seguros – esta lista contem endereços de e-mail de usuários os quais o clientes sempre irá aceitar mensagens. Também é possível criar uma lista de usuários bloqueados, ou seja, remetentes os quais o usuário não deseja receber mensagens.


 


Independente do SCL da mensagem, o Exchange sempre irá respeitar as listas criadas por usuários. Mensagens de usuários pertencentes a lista bloqueada serão sempre entregues a pasta lixo eletrônico, e mensagens de usuários permitidos serão sempre entregues na Caixa de Entrada.


 




 


 


Versões anteriores do Outlook não suportam as listas de usuários bloqueados ou permitidos. Qualquer mensagem estampada como SPAM é entregue diretamente na caixa postal do usuário, no folder Caixa de Entrada. Neste caso, o usuário pode definir as listas pelo Outlook Web Access.


 


Se você quiser conhecer mais sobre o IMF:


 


Microsoft Exchange Server Intelligent Message Filter v2 Operations Guide:


 


http://www.microsoft.com/downloads/details.aspx?familyid=B1218D8C-E8B3-48FB-9208-6F75707870C2&displaylang=en


 


 


Spam Confidence Level:


 


http://msdn.microsoft.com/library/default.asp?url=/library/en-us/e2k3/e2k3/ast_spam_confidence_level.asp


 


 


Fonte utilizada: http://www.microsoft.com/exchange/evaluation/features/antispam_framework.mspx


 


Comments (3)

  1. Jorge Machado says:

    O controle por conteúdo é perigoso, porque algumas informações estratégicas das corporações não são de conhecimento da área de TI: Vejamos uma hipotese:

    O Diretor Presidente da Contoso, contrata uma empresa de consultoria para a compra de uma Empresa X. E por questões estratégicas não divulga isto, não é de se esperar que o Diretor Presidente da Contoso saiba de todas as configurações do Exchange,talvez nem saiba o que  é. O consultor envia um e-mail para o Diretor pedindo uma informação importante para o fechamento do negócio, porém coloca no e-mail uma palavra ou frase configurada no servidor Exchange como spam.

    Qual seria o resultado disto?  

  2. Viviane Lopes says:

    Ol Jorge,

    A ao a ser tomada no caso da mensagem ser classificada como Spam depende de como o IMF est configurado (apagar, recusar ou no tomar nenhuma ao). Para reduzir as chances de um “falso positivo”, como no exemplo dado por voc, o ideal adaptar o IMF Custom Weighting de acordo com as necessidades da sua empresa.

    Obrigado pelo comentrio!

    Viviane Lopes

  3. Diego Castro says:

    Muito boa esta série de artigos sobre o Anti-Spam.

    Excelente.