Combater o Spam e os Vírus
num Sistema de Correio
Electrónico
Miguel Teixeira
[email protected]
Solutions-Product Manager
Microsoft Portugal
Sérgio Martinho
[email protected]
Security Solutions Specialist
Microsoft Portugal
Agenda
Problemas e Preocupações
Como Combater o Spam
Funcionalidades Anti-Spam no Exchange
Server 2003
Como Combater os Vírus
Requisitos para Combater os Vírus
Antigen para Exchange Server
Pré-Requisitos e Conhecimentos
Experiência de suporte a sistemas de correio
electrónico
Windows 2000 e Windows Server 2003
Exchange 2000 e Exchange Server 2003
SBS 2000 e Windows SBS 2003
Familiaridade com conceitos de anti-spam e
anti-vírus
O que é o Spam?
Spam
Correio electrónico não solicitado e não desejado, enviado ao
utilizador sem a sua permissão.
Spoofing
Mensagem de correio electrónico originada por uma entidade, que
se faz passar por outra. Normalmente, existe um objectivo de
ocultar a real identidade para levar o destinatário a proferir uma
declaração prejudicial ou a fornecer informação sensível.
Phishing
Forma de ataque por correio electrónico com o objectivo de obter
informação pessoal, onde a parte atacante se faz passar por uma
entidade que requer ao destinatário uma actualização de dados
pessoais num site web “mascarado” supostamente pertencente à
legítima entidade.
Problemas e Preocupações
Mensagens não solicitadas consomem tempo, dinheiro,
produtividade e recursos
Mais de 70% do tráfego de correio na Internet
Hotmail bloqueia mais de 3 biliões de mensagens por dia
Tira partido do sistema estar necessariamente exposto na
Internet
Risco para a segurança, privacidade e disponibilidade
Phishing, burlas, fraudes, roubo de identidade e informação
Relay não autorizado de correio electrónico
Vírus, Spyware e Trojans
Custo reduzido, rentável, anónimo
Factores a favor do spammer e do phisher
Classificação das Mensagens
Correio
Legítimo
Relacionado com a
actividade
Correio
Spam
Correio
Destrutivo
Correio
promocional não
solicitado
Vírus
Publicidade
potencialmente
aborrecedora e/ou
ofensiva
Spyware
Malware
Correio pessoal
Correio de negócio
solicitado
Correio comercial
solicitado
“Phishing” e
fraudes
Como Combater o Spam
Requisitos para Combater o Spam
Os falsos positivos são a preocupação Nº1
Mensagens legítimas não devem filtradas num controlo antispam
Controlo/Filtragem à entrada da infra-estrutura
O utilizador não vê as mensagens
Reduz o impacto na largura de banda e nos recursos
Administração
Simples de implementar e administrar
Equilíbrio entre gestão centralizada e gestão feita pelo
utilizador
Funcionalidades Anti-Spam no
Exchange Server 2003
Exchange Server 2003 RTM & SP1
Connection Filtering: De onde vem
Sender Filtering: Quem enviou
Recipient Filtering: A quem se destina
Listas de Distribuição Restritas
Intelligent Message Filter: Do que se trata
Exchange Server 2003 SP2
Intelligent Message Filter integrado
Connection Filtering Behind Perimeter
SMTP Filtering
Sender ID Framework
Connection Filtering
(De onde vem)
Filtragem por endereço IP do servidor remoto
Listas Global Accept e Deny
IP’s individuais ou conjuntos por “subnet mask”
Accept sobrepõe-se a Deny
Suporte para serviços de Bloqueio em Tempo Real
(Real-time Block Lists - RBL)
NDR personalizável por fornecedor de serviço
Excepções: Por endereço de correio electrónico
Ordem de funcionamento
Accept, deny, real-time block lists
Connection Filtering
Sender Filtering
(Quem enviou)
Filtragem por remetente ou domínio
[email protected], *@dominio.pt
Utilizadores autenticados não são filtrados
Opcionalmente
Filtragem de mensagens com remetentes “em branco”
Arquivar, aceitar a mensagem sem notificar
Interrupção da ligação (preferível)
Nota: Adicionar o próprio domínio à lista Sender Filter
pode quebrar o funcionamento de serviços de listas
Sender Filtering
Recipient Filtering
(A quem se destina)
Filtragem por destinatário (válido ou inválido)
Não é gerado um Non Delivery Report (NDR)
A mensagem é rejeitada ao nível do protocolo SMTP
Filtrar utilizadores inexistentes na Active Directory
Desenhado para combater a tentativa de recolha de informação
do directório (endereços de correio apenas)
Não é gerado um NDR
Microsoft Exchange Intelligent
Message Filter (IMF)
Classificação da mensagem segundo a probabilidade
de ser spam
Spam Confidence Level (SCL)
Fornece uma configuração por limites
Limite SCL na Gateway e acção
Rejeitar, apagar, arquivar, não tomar acção
Limite SCL no Store (Mailbox)
Mensagens recebidas através de ligações autenticadas
não são filtradas
Instalado à entrada do sistema (Gateway)
Construído sobre a tecnologia SmartScreen
Disponível no Outlook 2003 e implementado no Hotmail
Microsoft Exchange Intelligent
Message Filter (SP2)
Integrado no Exchange Server 2003
Últimas actualizações ao SmartScreen
Filtro actualizado
Lista de palavras-chave personalizável
Mensagem de resposta à rejeição personalizável
Actualizações bi-mensais
Via Microsoft Update (http://update.microsoft.com)
Nova tecnologia “Anti-Phishing”
Transparente para o administrador e utilizadores
Phishing Confidence Level (PCL)
Classificado pelo IMF como parte da avaliação SCL
Intelligent Message Filter (IMF)
Connection Filtering Behind Perimeter
(SP2)
Nova interface para adicionar endereços IP de
servidores SMTP localizados no perímetro de
segurança
Cenário de utilização:
Quando o Exchange Server 2003 não está ligado directamente
na Internet para receber mensagens de servidores SMTP
remotos
Funcionamento com o Connection Filtering e Sender ID
Filtering
SMTP Filtering (SP2)
Filtro em tempo-real para sessões SMTP
Ocorre depois do Connection Filtering e antes do Sender
Filtering
Força a conformidade das sessões SMTP com os standards
RFCs
Rejeita correio quando o remetente não está em conformidade
ou viola severamente o RFC2821
Força a correcta sequência de comandos SMTP (EHLO/HELO,
MAIL FROM:, RCPT TO:)
Procura técnicas comuns de spam, como a injecção de
caracteres 8-bit ou a alteração de ordem de comandos numa
sessão
Sessão é terminada ao nível do protocolo
Sender ID (SP2)
De onde provêm a mensagem?
Invocado depois do Recipient Filtering e antes do IMF
Criado para evitar spoofing de domínios
Combina o Sender Policy Framework (SPF) e o
Microsoft Caller ID
Autenticação de domínios de correio electrónico
Registos Sender Policy Framework no DNS como mecanismo
de autenticação
Purported Responsible Address (PRA) – IP dos servidores
autorizados
Purported Responsible Domain (PRD) – Nome do domínio
Sender ID (SP2)
Mensagem circula entre um
ou vários servidores para
chegar ao destinatário
Remetente


Publica endereço IP dos
servidores outbound através de
registos SPF no DNS
Mensagens enviadas
normalmente
Destinatário





Pesquisa registo SPF do remetente no DNS
Determina o PRA e PRD (Resent-Sender,
Resent-From, Sender, From)
Compara PRA com o IP legítimo no registo
SPF
Corresponde (Match)  Positivo (Não filtra)
Não Corresponde (No Match)  Negativo
(Filtra)
Sender ID
Sender ID (SP2)
Antes de activar o Sender ID no Exchange Server 2003
SP2, garantir que é aplicado a correcção para o
Windows Server 2003 referenciada no artigo da
Knowledge Base da Microsoft
“Windows Server 2003 may stop responding when you enable Sender ID filtering on
an SMTP virtual server in Exchange Server 2003 SP2”
http://support.microsoft.com/?kbid=905214
Assistente para a criação de registos SPF
www.anti-spamtools.org
Combater o Spam e os Vírus
num Sistema de Correio
Electrónico
Miguel Teixeira
[email protected]
Solutions-Product Manager
Microsoft Portugal
Sérgio Martinho
[email protected]
Security Solutions Specialist
Microsoft Portugal
Agenda
Problemas e Preocupações
Como Combater o Spam
Funcionalidades Anti-Spam no Exchange
Server 2003
Como Combater os Vírus
Requisitos para Combater os Vírus
Antigen para Exchange Server
Como Combater os Vírus
Requisitos para Combater
os Vírus
Requisitos na Vertente Anti-Vírus
Defesa em profundidade é o ponto-chave
A protecção deve começar antes do servidor
Utilizar mais do que uma tecnologia de detecção Anti-Vírus
Tratamento diferenciado de acordo com a direcção do
correio electrónico
Análise Anti-Vírus não é suficiente
Gestão dos anexos é fundamental
Notificações
Purga versus limpeza da mensagem
Requisitos na Vertente Anti-Spam
Taxa de detecção de Spam
Falsos críticos / positivos
Antes da detecção do Anti-Vírus
Antes de chegar ao servidor de correio electrónico
Automático
Quarentena no servidor de email?
Requisitos na Vertente Higienização
É mais do que Anti-Vírus
É mais do que Anti-Spam
Gestão de conteúdos
Gestão de Conteúdos
Gestão de Conteúdos
Podemos considerar 3 níveis de gestão de conteúdos
Filtragem de ficheiros
Filtragem de assunto
Filtragem de remetente e/ou
domínio
Gestão de Conteúdos
Porquê a filtragem de ficheiros?
Maior pró-actividade
Mais flexibilidade
Melhor resposta
Limita o tipo de ficheiros
Gestão de Conteúdos
Filtragem de assunto
W32/Goner-A,
Subject: Hi
Filtragem de remetente e/ou domínio
Bloqueio de domínios utilizados
por spammers
Bloqueio de emissores não desejados
É neste ponto que se definem regras para combater
spoofing
Anti-Vírus
Porquê Múltiplos Motores de Análise?
Características únicas
Cobertura de diferentes fusos horários
Pesquisa múltipla de anexos em diferentes níveis
Pesquisa inteligente com ajuste dos vários motores
Possibilidade de definir tarefas por níveis e Storage Groups
Ajuste de desempenho e Bias Settings
Protecção contra “acidentes” – Crash Protection
Possibilidade de enviar / receber emails e pesquisa mesmo
durante as actualizações
Depuração Automática de Worms
Purga automática de todas as mensagens recebidas
identificadas com vírus da classe Worm, ao nível
IMC / SMTP
Worm List com actualizações automáticas
Elimina spam e telefonemas ao Helpdesk
Tecnologia
Pesquisa em memória
Ficheiros em anexo
Ficheiros Zip multi-nível
Pesquisa de Instância Única
Todos os objectos são analisados quando criados ou
alterados
Pesquisa manual e em tempo real
Anti-Spam
Métodos de Detecção de Spam
Listas RBL (Real-time Block List)
Palavras-chave no corpo da mensagem
Filtragem de mailhost
Listas Brancas
Spam Confidence Level (SCL)
Advanced Spam Manager (ASM)
O que é o Antigen?
Gestão de conteúdos
Análise Anti-Vírus com múltiplas
tecnologias de detecção
Anti-Spam
Antigen para Exchange
Perguntas e Respostas?
Recursos
Exchange Server 2003
http://www.microsoft.com/portugal/exchange
Exchange Server 2003 TechCenter
http://www.microsoft.com/technet/prodtechnol/exchange/default.mspx
Anti-Phishing
http://www.microsoft.com/mscorp/safety/technologies/antiphishing/default.mspx
IMF e Sender ID
http://www.microsoft.com/exchange/imf
http://www.microsoft.com/senderid
Secure Messaging
http://www.microsoft.com/securemessaging/default.mspx
You Had Me At EHLO... aka the Microsoft Exchange
Team
http://blogs.technet.com/exchange/
Recursos
ISA server 2004 + Exchange Server = More Secure
http://www.microsoft.com/isaserver/solutions/exchange.mspx
Microsoft Security Baseline Analyzer 2.0 (MBSA)
http://www.microsoft.com/technet/security/tools/mbsa2/default.mspx
Site Segurança
http://www.microsoft.com/portugal/
Actualizações e Notificações de alerta gratuitas
http://www.microsoft.com/technet/security/bulletin/notify.mspx
Newsletter de segurança Microsoft
http://www.microsoft.com/technet/security/secnews/default.mspx
Auto-avaliação de Risco de Segurança
http://www.securityguidance.com/
Próximas Sessões
12 Abril – Implementar o acesso seguro ao
correio electrónico e à rede da organização
10 Maio - Como proteger os dados e a
informação da sua organização
14 Junho - Instalação, Segurança e
Manutenção de Redes Wireless
http://www.microsoft.com/portugal/webcasts/
Assista aos mais recentes vídeos
no IT’s Showtime!
www.microsoft.com/emea/itsshowtime/portugal
© 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only.
MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.