Exchange Online Protection – Filtros de Conexão, Conteúdo e Categorizações

  • Article

 

By: Caio Ribeiro César

 

O cenário mais comum de suporte em casos de mailflow é entender o motivo pelo qual uma mensagem é blacklisted ou categorizada pelo EOP.

O método mais simples para este entendimento seria a coleta de um trace de mensagem no EOP e a leitura do cabeçalho da mensagem. A leitura do cabeçalho pode nos ajudar em entender diversos motivos, desde uma categorização específica até um delay no recebimento (ou no envio, quando capturamos o cabeçalho do destinarátio).

Então vamos ao entendimento inicial – connection e content filter.

O EOP (assim como diversos outros serviços SMTP) trabalha com filtros de conteúdo e conexão. A mensagem passa pelos filtros antes de chegar ao usuário, podendo ser barrada a qualquer momento – desde que o EOP considere que a mensagem não deve ser entregue.

Nesta imagem, temos um resumo de como os filtros funcionam antes da mensagem chegar até a mailbox do usuário final:

1

 

Então seguindo o fluxo do desenho:

a) A mensagem sai da internet e é roteada para o SMTP server que está adicionado no seu MX record;

b) A mensagem passa inicialmente pelo filtro de conexão para que seja efetuada a validação de reputação do endereço que está enviando o email;

c) A mensagem passa pela tool interna de Anti-Malware do EOP;

d) A mensagem vai para o Policy Filtering, aqui aplicamos as custom rules criadas por admins;

e) No último passo, a mensagem é analizada pelo filtro de conteúdo. Aqui efetuamos algumas validações como por exemplo palavras específicas no corpo do email que podem categorizar a mensagem como SPAM.

 

Então primeiro a mensagem é analizada pelo filtro de conexão e depois pelo filtro de conteúdo.

1) Filtro de Conexão

Baseando-se nas informações do header da mensagem, o EOP revisa o sending IP address vs. suas blocklists/safelists e pode aprovar ou rejeitar a mensagem.

Caso a mensagem não passe pelo filtro de conexão, o header será atualizado com algumas informações específicas, tais como:

2

Caso o Sender IP esteja listado na allow list do EOP, o header será categorizado como “X-MS-Exchange-Organization-SCL: -1”, o que faria o bypass do SPAM Filter.

2) Filtro de conteúdo

O filtro de conteúdo trabalha na camada do corpo da mensagem. Como a maioria das mensagens SPAMs é bloqueada no filtro de conexão, o filtro de conteúdo bloqueia somente uma parte das mensagens.

Um dos motivos dos SMTP providers escolherem colocar o filtro de conteúdo após o de conexão é devido à performance que ele pode tomar dos servidores (já que este filtro efetua uma análise mais completa, pelas informações do corpo da mensagem, ou seja, do data).

Alguns métodos de bloqueio são: filtrar mensagens de acordo com a linguagem escrita, filtrar mensagens de países ou regiões específicas, HTML tag ou URL redirection dentro do corpo da mensagem, palavras ou frases específicas.

A análise de cabeçalho é feita com as informações de header disponíveis no site da Microsoft “Anti-spam message headers”. A mensagem que é filtrada possui um valor de “X-Forefront-Antispam-Report”, que pode ajudar os administradores a entender o motivo pelo qual a mensagem foi categorizada.

Uma análise simples de uma mensagem filtrada pode ser feita seguindo o exemplo abaixo:

3

 

Podemos entender que o SCL está listado como SPAM (com a nota 6, a mensagem é enviada para a Junk folder do Outlook do usuário final). Especificamente neste cenário, podemos ver que a mensagem foi categorizada como SCL6 pelo fato de possuir um “Numeric IP in URL”.

Podemos testar este comportamento simplesmente enviando um email com um site como www.bing.com e alterar o hyperlink apontando para um outro IP externo.