Melhores Práticas para proteção
contra vírus, spam e ataques
por e-mail
Como a Microsoft protege sua própria infraestrutura.
João Carlos Manzano
Microsoft Brasil
Agenda
• Visão geral do tratamento de mensagens
• Microsoft® Exchange Server 2003,
funcionalidades de limpeza de mensagens
• Infraestrutura de Antispam
• Infraestrutura de Antivírus (E-Mail´s)
• Microsoft® Exchange Server 2007 – Projeto
de Servidores Perímetrais (Edge Server Design)
• OBS: Algumas figuras ilustrativas nessa apresentação estão
em Inglês para garantir a sua terminologia/fraseologia
Pré Requisitos dos Participantes
• Conhecimento Técnico nos itens:
– Protocolo SMTP e Internet e-mail
– Roteamento e Transporte do Exchange Server
2003
– Domain Name System (DNS)
– Conceitos Genéricos sobre Anti vírus e Anti
Spam
O que é higiene de mensagens?
• Objetivo: Garantir que o ambiente de mensageria
da empresa seja livre de conteúdo malicioso ou
não autorizado.
• Ameaças:
–
–
–
–
–
–
Mensagens infectadas com vírus
Mensagens comerciais não solicitadas (spam)
Ataques de Denial-of-service (DoS)
Ataques de Directory harvesting (DHA) [Colheita de dados]
Spoofing
Usar minha infraestrutura para o envio de e-mail não
autorizado (relaying) NO MORE MRH
– Phishing
Internet Mail na Microsoft
Visão Geral
• Domínio Primário: @microsoft.com
• Alguns Números atualizados:
– ~8-12 M mensagens de entrada são submetidos por dia.
– 95% ou mais são caracterizados como não legítimos pelos
nossos filtros (spam, vírus, etc…)
– ~500,000-700,000 Mensagens de saída por dia.
• Arquitetura Distribuída:
– 4 Pontos distintos de Gateways para Internet e-mail
• Inbound / Outbound: Redmond e Silicon Valley
• Somente Outbound : Dublin e Singapore
– 6 Servidores E2K3 Gateway Primários executam a limpeza das
mensagens
– 6 Servidores Primários Exchange Server 2007 de borda
executam a limpeza das mensagens (going forward)
Infraestrutura: Impacto dos
Spam´s
• Conteúdo malicioso e não solicitado
– Atrapalha a produtividade dos usuários
– Consome recursos de infraestrutura
E-mail´s entrada
`
Connection Filtering
Sender and
Recipient Filtering
Sender ID & Intelligent
Message Filtering
Receptores rejeitados por Receptor
Diretório
Filtering/Sec por a passagem
Lookups/Sec
Microsoft®
Office Outlook®
2003
Mailbox
Inbox
Junk E-mail
Microsoft IT Higiene de MSG´s
Nossos Princípios
• Antispam DEVE ser feito antes do Antivírus
• Antivírus DEVE fazer a varredura do
correio inbound e outbound
• Antivírus DEVE seguir a regra “block on
fail”
• Antivírus e antispam DEVEM se integrar
literalmente ao Exchange Server
Higiene de MSG´s - HOJE
Defesa em Camadas
• Exchange Server 2003 (SP2)
• Exchange Servers são máquinas juntadas
ao Domínio.
`
Exchange
Hosted Filtering
Internet
Exchange SMTP
Gateways
Connection Filtering
Sender/Recipient Filtering
Sender ID Filtering
Antispam (IMF)
Exchange SMTP
Routing Hubs
Attachment Filtering
Antivírus
Mailbox
Servers
Clients
Attachment Blocking
Antivírus
Antispam
Connection Filtering e
Real-Time Block Lists (RBLs)
• Real-time DNS-based block lists
– Checa o IP de quem envia e bloqueia usando uma pesquisa de DNS.
– Se o registro do DNS consta o IP do emissor, bloqueia. Utiliza lista de
terceiros (fornecedores).
• Exchange Server 2003
– Suporta multiplos fornecedores de RBL.
– Termina a conexão de o IP for bloqueado (SMTP protocol 550 error)
550 5.7.1 E-mail rejected because 213.241.32.5 is
listed by sbl-xbl.spamhaus.org. Please see
http://www.spamhaus.org/lookup.lasso for more
information. If you still need assistance
contact [email protected]
• Exchange Server 2003 SP2 - Header Parsing
– Permite implementar e configurar RBL dentro do perímetro
– IP de perímetros e LOCAL RANGE, devem ser claramente definidas
Real-Time Block Lists
Avaliação
• Block list´s Provê
• Critério de Analise
– Qualidade no serviço de bloqueio e índices de
Falso-Positivos.
– Relatórios
– Usabilidade
– Suporte a transferência de zona (DNS zone
transfer preferenciamente incremental)
– Arquitetura Robusta para suportar operação
pesada em regime 24x7x365.
Sender/Recipient Filtering
• Filtra Mensagens enviadas olhando um enderço em
particular ou um domínio.
– Medida provisória durante ataques do bombardeio
contra o sistema de correio eletrônico
• Bloqueia a conexção antes do message payload ser
aceito.
• Filtra mensagens com emissor em branco.
– RFC822
• Bloquear domínios pode interferir em alguns
cenários.(ex, ListServ)
• Filtre as mensagens emitidas aos receptores
particulares do E-mail (válido ou inválido)
Recipient Lookup
• Valida o receptor antes de aceitar a mensagem, e em caso
de erro retorna o código 550.
• Resultado: Não transmite as mensagens – Salva sua
performance
• Resultado colateral: possibilidade de varredura rápida de
alias (ex. Ataque DHA)
– Aproximadamente 20 minutos para colher todos os alias
de 4-characteres válidos pela enumeração (Ataque de
força Bruta).
• Solução prática: Atrase a resposta 550 para n segundos: vc
vai reduzir a performance do seu opressor
significativamente. Veja mais em:
• http://support.microsoft.com/default.aspx?kbid=842851
• Trabalhe somente em domínios autoritativos!
Melhorias no Exchange
Spam Confidence Level (SCL)
• Exchange Server 2003 possuí o recursdo do IMF
• Mensagens são indicadas como SPAM ou não usando o
SCL.
– Valores de 0 até 9
• Exchange Server 2003 permite duas análises / ações
– No nível de gateway SMTP
– Na camanda de armazenamento
– Outlook não usa SCL para seus filtros
– O filtro SCL não afeta e-mail´s internos
SCL Valores
Valor SCL
Categorização
-1
Reservado ao Exchange Server 2003 para mensagens submetidas
internamente.
Um valor de -1 não deve sobrescrito porque é este valor que é usado para
eliminar falsos-positivos e e-mail´s internos
0
Marca as mensagens que não são SPAM.
1
Probabilidade extremamente BAIXA que a mensagem é um SPAM.
2,3,4,5,6,7,8
9
Faixa de critério de
< Probabilidade para > Probabilidade
Probabilidade extremamente ALTA que a mensagem é um SPAM
Veja mais sobre SCL
http://blogs.msdn.com/exchange/archive/2004/05/26/142607.aspx
Intelligent Message Filter (IMF)
Arquitetura
• É engajado antes de qualquer componente antivírus ou
antispam.
• IMF Somente faz scan em mensagens submetidas pelo
protocolo SMTP
Exchange
Information Store
Exchange Store
Driver
Exchange Transport
Antivirus API Sink
SMTP Outbound
Advanced Queuing
SMTP Inbound
On_Submission
Event
PreCat
Event
IMF Antispam Sink
Routing
Event
Categorizer
Event
Exchange Categorizer Sink
(PhatCat)
PostCat
Event
Exchange Routing
SInk
Higiene de e-mails na Microsoft IT
Usando o Intelligent Message Filter (IMF)
• Pontos Chaves da Infraestrutura IMF
– IMF é posicionado antes do Antivírus
– Todo tráfego SMTP é analisado:
• Tráfego conhecido? / Autenticado?
Third Party SMTP
Server
Internet
Message
Envelope
EXCH50 Blob
with SCL rating
Message body
RFC 2822
Exchange 2003
SMTP Gateway +IMF
Exchange 2003
Mailbox Server
Intelligent Message Filter
Customização
• IMF modos de operação no
Gateway
•
•
•
•
•
No action
Archive
Delete
Reject
Customize a mensagem de Erro (Exchange
SP2)
–
HKLM\Software\Microsoft\Exchange\ContentFilter\C
ustomRejectResponse
Antivírus e Antispam: End to End
Gateway Server
Transport
Gateway Server
Transport
Connection Filtering
RBLs
Sender/Recipient
Filtering
Mailbox Server
Store
SCL Store
Threshold
User Safe/
Blocked
Senders
Client
(Outlook 2003)
Desktop Antivírus
Attachment Stripping
SCL>Store
Threshold?
Sender ID Filtering
Exchange IMF
Yes
No
Attachment blocking
User Safe/Blocked
Senders
Virus Scanning
SCL>=Gateway
Threshold?
Spam?
No
Yes
Junk mail
Inbox
Filter Action
Internet
Exchange 2003 Exchange 2003
Gateways
Hubs
Inbox
Mailbox Servers
Junk mail
Clients
Restringir/Autenticar DGs
• Distribution groups (DGs) contém um grande número de destinatários.
• Uma única mensagem maliciosa destinada a um DG afeta um grande
número de usuários
• Recomendamos: Restringir grandes DG´s, somente mediante
autenticação
Protege contra
SPAM´s, mas…
Pode ser muito mais
seguro!
Sender ID
• Na sua concepção o Sender ID é : = uma política
publicada que defina quem é autorizado para emitir o
correio de um domínio particular + os agentes de
recepção que verificam e reforçam esta política
• Um mix de propostas de e-mails internet e comunidades
– Sender Policy Framework (SPF)
– Microsoft Caller ID for e-mail
• Incluí 5 rascunhos técnicos
– www.microsoft.com/senderid
• Sender ID is
– Uma maneira para que os remetentes protejam seus nomes do
tipo e do domínio de spoofing e de phishing.
– Uma maneira para que os receptores validem a origem do
correio
• Mais informações para o filtro de SPAM.
– Uma fundação para aumentar as listas seguras.
Como funciona o Sender ID?
• Os remetentes publicam endereços IP de
servidores de E-mail no DNS
• Os receptores determinam que domínio
verificar
– Usa o cabeçalho RFC 2822
– RFC 2821 Mail From domain
• A pergunta DNS dos receptores para os
usuários do E-mail do domínio escolhido e
executa o teste spoofing do domínio
Sender ID Framework
Message transits one or more e-mail
servers en route to receiver
One time: Publish SPF record in DNS
No other changes required
E-mail sent as normal
Look up Sender’s SPF record in DNS
Determine PRA
Compare PRA to legitimate IPs in SPF record
Match  positive filter input
No match  negative filter input
Exemplos de construção
• example.com TXT “v=spf1 -all”
– This domain never sends mail
• example.com TXT “v=spf1 mx -all”
– Inbound e-mail servers also send outbound mail
• example.com TXT “v=spf1 ip4:192.0.2.0/24 –all”
– Specify an IP range
• Possible results:
– Pass (+), Fail (-), Softfail (~), Neutral (?), None (record does not
exist), TempError, PermError (domain does not exist)
• Sugerimos que você faça o download desse
webcast para colecionar essa documentação.
Sender ID Framework: Status
Sender ID Status
Description
Actions
Neutral
Published Sender ID data is explicitly
inconclusive
Accept
Pass (+)
IP Address for the PRA is in the permitted
set in DNS
Accept
Fail




IP Address for the PRA is not in the
permitted set
Accept
Delete
Reject
Soft Fail (~)
IP Address for the PRA may be in the
permitted set
Accept
None
No Sender ID records are published for this
domain
Accept
TempError
Receiving server encountered a transient
error such as unavailable DNS server
Accept
PermError
Receiving server encountered a
unrecoverable error such as an error in the
record format
Accept
(-)
Domain Does not Exist
Sender not permitted
Malformed domain
No PRA found in the
header
Nosso SPF Record no DNS
Nslookup –q=TXT microsoft.com
microsoft.com text =
"v=spf1 mx include:_spf-a.microsoft.com include:_spfb.microsoft.com include:_spf-c.microsoft.com ~all"
_spf-a.microsoft.com
text =
“v=spf1 ip4:213.199.128.139 ip4:213.199.128.145
ip4:207.46.50.72 ip4:207.46.50.82 ip4:131.107.3.116
ip4:131.107.3.117 ip4:131.107.3.100 ip4:131.107.3.108
a:delivery.pens.microsoft.com a:mh.microsoft.m0.net
mx:microsoft.com ~all"
Sender ID - Conclusão
• Sender ID tem limitações…
– Autentica domínios, não usuários.
– Valida o “last hop” não end-to-end
– Os spammers podem registar seus próprios
domínios
• …mas prove uma fundação em:
– Maior acuracidade para as listas de acesso ou
restrição.
– Baseado em reputação
– Ótima proteção contra phishing.
• …Complementar com tecnologias Anti-Spam
Microsoft IT Antivírus
Fronteira de Proteção contra pragas virtuais
•
•
•
Nível de Gateway´s
Nível de Information Store
Nível de Clientes
Microsoft IT Antivírus
Segurança em anexos já no gateway.
• Descascar o anexo (Attachment stripping)
– Proteção contra qualquer malware
• Implementado como add-on
• Recomendamos a leitura no KB:
• KB829982: http://support.microsoft.com/kb/829982/en-us
Microsoft IT Antivírus
Nossos princípios
• A chave é Defesa em Camadas
• Boa Prática: Scan em múltiplos níveis
– Quanto custa mitigar?
– Cada camada adiciona despesas gerais do
desempenho?
– Tratamento diferenciado para In / Out
• Somente escanear não é suficiente…
–
–
–
–
Gerenciamento de anexos é mandatório
Análise de diretório antes de escanear
Notificações de segurança
Limpar ou remover mensagens?????
• Métricas e Relatórios (Mensurar é OBRIGATÓRIO)
Microsoft IT Antivírus
Nossa arquitetura
• SMTP – Utilizam Microsoft Antigen for
SMTP 9.0
• Integrado ao Exchange Server
• Ainda podemos empregar
– Transport VSAPI.. Para qq aplicação de 3º.s
Múltiplos Engines
• Multiplos scanning engines (Atualmente são 9 na família
ForeFront)
• Todos engines engajados (maximum certainty)
• Diferentes engines mostram níveis diferentes de acuracidade, a
utilização simultânea potencializa nossa precisão.
Tecnologias para clientes
• Attachment blocking, script stripping
– www.microsoft.com/office/ork/xp/four/outg03.htm
• Client-side spam filtering
– Update for Outlook 2003: Junk E-mail Filter
KB870765: http://support.microsoft.com/?kbid=870765
• Outlook client version control
– KB288894: http://support.microsoft.com/?ID=288894
Overview do Exchange Server 2007
Edge Server
• Plataforma para antispam e Antivírus
• Plataforma para e-mail seguro.
• Novas funcionalidades para higiene das
mensagens de correio eletrônico
– Análise de protocolos.
– Consultas ao Outlook safe-list
– Quarentena de SPAM
Arquitetura Conceitual (Animação)
Active Directory Forest
in Perimeter Network Non corporate AD joined
OR trusted
Port 25 (SMTP)
Port 53 (DNS)
Port 80 (AV Signature Updates)
Port 25 (SMTP)
Port 3389 (Terminal Services)
Port 1636 (EdgeSync)
DC / GC
SMS
DC / GC
MOM
Exchange 2007
Mailbox servers
Internet
Region1 Region2
Exchange 2007
Edge Servers
Port 25 (SMTP)
Perimeter Forest
Connection Filtering
Sender Filtering
Recipient Filtering
Recipient Lookup
Antispam
Antivirus
Exchange 2007
HUB servers
Corp Forest
Port 25 (SMTP)
MOM
Antivírus e Antispam
Boas Práticas
• Implemente defesa em camadas.
• Implemente scans nos dois sentidos IN /
OUT.
• Scan para SPAM antes do scan de vírus.
• Teste Antivírus com vários encode´s de
mensagens e formatos de anexos.
Para mais informações
• Additional content on Microsoft IT deployments
and best practices can be found on Microsoft
TechNet: www.microsoft.com/technet/itshowcase
• Information Security at Microsoft Overview
www.microsoft.com/downloads/details.aspx?Fa
milyID=e959f26c-1f5c-4331-b1fb6c720795704d&displaylang=en
• How Microsoft IT Defends Against Spam,
Viruses, and E-Mail Attacks
www.microsoft.com/technet/itsolutions/msit/secu
rity/messaginghygienewp.mspx
• www.navegueprotegido.org
Obrigado