Estrutura de Anti-Spam no Exchange Server 2003 Service Pack 2 – Parte III

  • Article

Estrutura de Anti-Spam no Exchange Server 2003 Service Pack 2 – Parte III

Por: Viviane Lopes

Neste artigo, vamos conhecer o último nível de proteção anti-spam do Exchange 2003 Service Pack 2.

Filtro de Conteúdo

Depois que a mensagem passa pelo filtros de conexão e de protocolo, a próxima camada de defesa é o filtro de conteúdo, onde o conteúdo da mensagem será analisado.

1. Exchange Intelligent Message Filter

O Intelligent Message Filter, mais conhecido como IMF, é um filtro de conteúdo desenvolvido especialmente para o Exchange. O IMF é baseado em uma tecnologia patenteada pela Microsoft chamada Microsoft SmartScreen®. O SmartScreen é utilizado também pelo MSN, Hotmail e pelo Outlook 2003.

Diferente de outras tecnologias, o IMF utiliza uma amostragem estatística contendo exemplos de mensagens de SPAM para determinar se a mensagem é SPAM ou não. Adicionalmente, mensagens legitimas são incluídas nesta amostragem, reduzindo a possibilidade de erros. Como o IMF reconhece as características dos dois tipos de mensagens, legitima e SPAM, a precisão do IMF é aumentada.

O IMF deve ser instalado em servidores Exchange que aceitam mensagens da Internet. Quando um usuário externo envia uma mensagem para um Exchange com IMF habilitado, o conteúdo desta mensagem é analisado e uma pontuação é estampada no cabeçalho da mensagem indicando a probabilidade da mensagem ser SPAM.

A pontuação varia de 1 a 9. Esta informação fica armazenada em uma propriedade de mensagem chamada ‘SPAM Confidence Level’ (SCL). Esta propriedade é mantida na mensagem mesmo quando ela passa outros servidores Exchange dentro da organização.

 

Depois que o IMF estampa o SCL na mensagem, a mesma será avaliada por duas configurações definidas pelo administrador, conforme explicado à seguir:

  1. Gateway blocking configuration: Block messages with an SCL rating greater than or equal to:

Se o SCL da mensagem for igual ou maior que o valor configurado aqui, uma das seguintes ações será tomada contra a mensagem:

    1. Archive (arquivar a mensagem)
    2. Delete (apagar a mensagem)
    3. No action (nenhuma ação será tomada)
    4. Reject (recusar a mensagem)
  1. Store junk e-mail configuration: Move messages with an SCL rating greater than.

Se o SCL da mensagem for maior que o valor configurado aqui, a mensagem será entregue ao usuário, porém a mesma será colocada na pasta “Lixo Eletrônico” (a menos que o usuário tenha adicionado este remetente na lista de “remetentes seguros” do Outlook). 

1.1 IMF Custom Weighting

O IMF possui uma funcionalidade denominada “Custom Weighting”, que permite aos administradores customizar o comportamento do IMF, baseado em frases encontradas no corpo da mensagem, no assunto ou em ambos.

Para implementar esta funcionalidade, é preciso criar um arquivo chamado MSExchange.UceContentFilter.xml e salvá-lo dentro do mesmo diretório onde os arquivos MSExchange.UceContentFilter.dll e .DAT se encontram. Tipicamente estes arquivos estarão no diretório “C:\Program Files\Exchsrvr\bin\MSCFV2”.

O arquivo MSExchange.UceContentFilter.xml define frases as quais o IMF dará maior ou menor ênfase. Isso permite a customização do funcionamento do IMF de forma a permitir ou negar mensagens baseado em frases, que de outra forma, receberiam um SCL diferente pelo IMF.

O IMF carrega o arquivo .XML durante a sua inicialização, e entende mudanças realizadas no arquivo sem que seja necessário reinicializar o serviço de SMTP no Exchange.

Exemplo de um MSExchange.UceContentFilter.xml:

<?xml version="1.0" encoding="UTF-16"?>

<CustomWeightEntries xmlns="https://schemas.microsoft.com/2005/CustomWeight">

            <CustomWeightEntry Type="BODY" Change="1" Text="Compre agora"/>

            <CustomWeightEntry Type="BODY" Change="-1" Text="Spam"/>

            <CustomWeightEntry Type="SUBJECT" Change="MIN" Text="Ofertas imperdiveis"/>

            <CustomWeightEntry Type="BOTH" Change="MAX" Text="Sexo gratis!"/>

</CustomWeightEntries>

Durante o processamento da mensagem, o IMF lê o arquivo XML e então busca dentro da mensagem por uma string/palavra/frase que esteja listado na customização. Se algo for encontrado, o SCL da mensagem será ajustado de acordo com o “modificador” especificado.

Por exemplo, se a mensagem receber um SCL inicial de 4, e possuir a frase “Compre agora, o SCL será ajustado em mais 1 ponto. O valor final será SCL = 5.

Se você especificar MAX ou MIN no modificador para uma frase ou palavra específica, quando a mesma for encontrada em uma mensagem, o IMF irá mover o SCL para o valor máximo (9), ou mínimo (0).

Especificação dos campos do arquivo MSExchange.UceContentFilter.xml:

Type= BODY – busca da frase ou palavra no corpo da mensagem

Type= SUBJECT -  Busca da frase ou palavra no assunto da mensagem

Type= BOTH – busca da frase ou palavra no corpo e assunto da mensagem

CHANGE – modificador que indica o ajuste a ser realizado no SCL da mensagem. Se você utilizar MAX, o SCL será ajustado para o valor máximo 9. Se você utilizar MIN, o SCL será ajustado para 0. Valores negativos decrementam o SCL, e valores positivos incrementam o SCL.

Na Microsoft, 38% da mensagens que passam o filtro de conexão e o filtro de protocolo são bloqueadas pelo IMF.

2. Lixo Eletrônico no Outlook 2003 e Outlook Web Access

Depois que a mensagem passar a linha de defesa baseada no servidor, o cliente Outlook 2003 pode atuar nas mensagens com o SCL maior ou igual a configuração especificada para armazenar lixo eletrônico no IMF. As mensagens que excederem a configuração especificada no servidor serão enviadas a pasta Lixo Eletrônico do cliente.

O Outlook 2003 e OWA permite ao usuário criar uma lista de remetentes seguros – esta lista contem endereços de e-mail de usuários os quais o clientes sempre irá aceitar mensagens. Também é possível criar uma lista de usuários bloqueados, ou seja, remetentes os quais o usuário não deseja receber mensagens.

Independente do SCL da mensagem, o Exchange sempre irá respeitar as listas criadas por usuários. Mensagens de usuários pertencentes a lista bloqueada serão sempre entregues a pasta lixo eletrônico, e mensagens de usuários permitidos serão sempre entregues na Caixa de Entrada.

Versões anteriores do Outlook não suportam as listas de usuários bloqueados ou permitidos. Qualquer mensagem estampada como SPAM é entregue diretamente na caixa postal do usuário, no folder Caixa de Entrada. Neste caso, o usuário pode definir as listas pelo Outlook Web Access.

Se você quiser conhecer mais sobre o IMF:

Microsoft Exchange Server Intelligent Message Filter v2 Operations Guide:

https://www.microsoft.com/downloads/details.aspx?familyid=B1218D8C-E8B3-48FB-9208-6F75707870C2&displaylang=en

Spam Confidence Level:

https://msdn.microsoft.com/library/default.asp?url=/library/en-us/e2k3/e2k3/ast_spam_confidence_level.asp

Fonte utilizada: https://www.microsoft.com/exchange/evaluation/features/antispam_framework.mspx