Compartilhar via


Reputação do remetente e o agente de Análise do Protocolo

Aplica-se a: Exchange Server 2013

A reputação do remetente faz parte da funcionalidade anti-spam do Exchange que bloqueia mensagens de acordo com muitas características do remetente. A reputação do remetente se baseia em dados persistentes sobre o remetente para determinar qual ação tomar em uma mensagem de entrada, caso seja necessário. O agente de Análise de Protocolo é o agente subjacente para a funcionalidade de reputação do remetente.

Quando você configura agentes anti-spam em um servidor do Exchange, os agentes atuam em mensagens cumulativamente para reduzir o número de mensagens não solicitadas que entram na organização.

Cálculo do nível de reputação do remetente

Um SRL (nível de reputação do remetente) é calculado a partir das seguintes estatísticas:

  • Análise HELO/EHLO: os comandos SMTP helo e EHLO destinam-se a fornecer o nome de domínio, como Contoso.com ou endereço IP do servidor SMTP de envio para o servidor SMTP receptor. Usuários mal-intencionados ou spammers frequentemente forjam a instrução HELO/EHLO de várias maneiras. Por exemplo, eles digitam um endereço IP que não corresponde ao endereço IP do qual a conexão se originou. Os spammers também colocam domínios que são conhecidos por serem compatíveis localmente no servidor receptor na instrução HELO na tentativa de aparecer como se os domínios estiverem na organização. Em outros casos, os spammers alteram o domínio passado na instrução HELO. O comportamento típico de um usuário legítimo pode ser usar um conjunto diferente, mas relativamente constante, de domínios em suas instruções HELO.

    Portanto, a análise da instrução HELO/EHLO por remetente pode indicar que o remetente provavelmente será um spammer. Por exemplo, um remetente que fornece muitas instruções HELO/EHLO exclusivas diferentes em um período de tempo específico é mais provável que seja um spammer. Remetentes que fornecem consistentemente um endereço IP na instrução HELO que não corresponde ao endereço IP de origem conforme determinado pelo agente filtro de conexão também são mais propensos a serem spammers. Remetentes remotos que fornecem consistentemente um nome de domínio local na instrução HELO que está na mesma organização que o servidor exchange também são mais propensos a serem spammers.

  • Pesquisa DNS reversa: a reputação do remetente também verifica se o endereço IP de origem do qual o remetente transmitiu a mensagem corresponde ao nome de domínio registrado que o remetente envia no comando HELO ou EHLO SMTP.

    A reputação do remetente executa uma consulta DNS reversa enviando o endereço IP de origem ao DNS. O resultado retornado pelo DNS é o nome de domínio registrado usando a autoridade de nomenclatura de domínio para esse endereço IP. A reputação do remetente compara o nome de domínio retornado pelo DNS ao nome de domínio enviado pelo remetente no comando SMTP HELO/EHLO. Se os nomes de domínio não corresponderem, o remetente provavelmente será um spammer e a classificação geral de SRL para o remetente será aumentada.

    O agente de ID do Remetente executa uma tarefa semelhante, mas o sucesso do agente de ID do Remetente depende de remetentes legítimos para atualizar sua infraestrutura DNS para identificar todos os servidores SMTP que enviam email em sua organização. Ao realizar uma pesquisa DNS reversa, você pode ajudar a identificar possíveis spammers.

  • Análise das classificações de SCL em mensagens de um remetente específico: quando o agente filtro de conteúdo processa uma mensagem, ele atribui uma classificação de SCL (nível de confiança de spam) à mensagem. A classificação SCL é um número de 0 a 9. Uma classificação SCL mais alta indica que é mais provável que uma mensagem seja spam. Os dados sobre cada remetente e as classificações de SCL que suas mensagens produzem são persistentes para análise por reputação do remetente. A reputação do remetente calcula estatísticas sobre um remetente de acordo com a razão entre todas as mensagens desse remetente que tinham uma classificação SCL baixa no passado e todas as mensagens desse remetente que tinham uma classificação SCL alta no passado. Além disso, o número de mensagens que têm uma classificação SCL alta que o remetente enviou no último dia é aplicado ao SRL geral.

  • Teste de proxy aberto do remetente: um proxy aberto é um servidor proxy que aceita solicitações de conexão de qualquer pessoa em qualquer lugar e encaminha o tráfego como se ele tivesse se originado dos hosts locais. Os servidores proxy retransmitim o tráfego TCP por meio de hosts de firewall para fornecer aos aplicativos de usuário acesso transparente em todo o firewall. Como os protocolos proxy são leves e independentes de protocolos de aplicativo de usuário, os proxies podem ser usados por muitos serviços diferentes. Proxies também podem ser usados para compartilhar uma única conexão com a Internet por vários hosts. Os proxies geralmente são configurados para que apenas hosts confiáveis dentro do firewall possam atravessar os proxies. Um remetente legítimo pode ser um proxy aberto devido a uma configuração incorreta ou malware não intencional.

    Os proxies abertos fornecem uma maneira ideal para os usuários mal-intencionados ocultarem suas identidades verdadeiras e iniciarem ataques de negação de serviço (DoS) ou enviarem spam. À medida que mais servidores proxy são configurados para serem abertos por padrão, proxies abertos se tornaram mais comuns. Além disso, usuários mal-intencionados podem usar vários proxies abertos juntos para ocultar o endereço IP originário do remetente.

    Quando a reputação do remetente executa um teste de proxy aberto, ele faz isso formatando uma solicitação SMTP na tentativa de se conectar novamente ao servidor exchange do proxy aberto. Se uma solicitação SMTP for recebida do proxy, a reputação do remetente verificará se o proxy é um proxy aberto e atualizará a estatística de teste de proxy aberta para esse remetente.

A reputação do remetente pesa cada uma dessas estatísticas e calcula uma SRL para cada remetente. O SRL é um número entre 0 e 9 que prevê a probabilidade de um remetente específico ser um remetente de spam ou um usuário mal-intencionado. Um valor de 0 indica que o remetente provavelmente não é um remetente de spam; um valor de 9 indica que provavelmente o remetente é um remetente de spam.

Você pode configurar um limite de bloco de 0 a 9 no qual a reputação do remetente emite uma solicitação para o agente filtro de remetente e, portanto, impede que o remetente envie uma mensagem para a organização. Quando um remetente é bloqueado, ele é adicionado à lista de Remetentes Bloqueados por um período configurável. A maneira como as mensagens bloqueadas são tratadas depende da configuração do agente de Filtro por Remetente. As seguintes ações são as opções para manipulação de mensagens bloqueadas:

  • Rejeitar

  • Excluir e arquivar

  • Aceitar e marcar como um remetente bloqueado

Se um remetente for incluído na lista blocos IP ou no Serviço de Reputação de IP da Microsoft, a reputação do remetente emitirá uma solicitação imediata ao agente do Filtro de Remetente para bloquear o remetente. Para aproveitar essa funcionalidade, você deve habilitar e configurar o Serviço de Atualização Anti-spam do Microsoft Exchange.

Por padrão, a reputação do remetente define uma classificação de 0 para remetentes que não foram analisados. Depois que um remetente enviar 20 ou mais mensagens, a reputação do remetente calcula uma SRL com base nas estatísticas listadas anteriormente neste tópico.

Uso do SRL

A reputação do remetente atua em mensagens durante duas fases da sessão SMTP:

  • No comando MAIL FROM: SMTP: a reputação do remetente atua em uma mensagem somente se a mensagem foi bloqueada ou de outra forma executada pelo agente filtro de conexão, agente filtro de remetente, agente de filtro de destinatário ou agente de ID do remetente. Nesse caso, a reputação do remetente recupera a classificação srl atual do remetente do perfil do remetente que persiste sobre esse remetente no servidor exchange. Depois que essa classificação é recuperada e avaliada, a configuração do servidor do Exchange dita o comportamento que ocorre em uma determinada conexão de acordo com o limite de bloco.

  • Após o comando SMTP "fim dos dados": o comando SMTP do fim da transferência de dados (EOD) é dado quando todos os dados reais da mensagem são enviados. Neste ponto da sessão SMTP, muitos dos agentes anti-spam processaram a mensagem. Como um subproduto do processamento anti-spam, as estatísticas nas quais a reputação do remetente depende são atualizadas. Portanto, a reputação do remetente tem os dados para calcular ou recalcular uma classificação SRL para o remetente.

Para saber mais, consulte Gerenciar reputação do remetente.

Habilitar e configurar a detecção de servidores proxy abertos

A reputação do remetente avalia várias características do remetente para calcular uma SRL. Entre as características avaliadas pela reputação do remetente estão os resultados de um teste para servidores proxy abertos. Frequentemente, os spammers roteiam mensagens por meio de servidores proxy abertos na Internet. Ao rotear spam por meio de servidores proxy abertos, os spammers podem enviar mensagens que parecem ser originadas de um servidor diferente do seu.

Quando a reputação do remetente calcula uma SRL, a reputação do remetente tenta se conectar ao endereço IP originário do remetente usando uma variedade de protocolos proxy comuns, como SOCKS4, SOCKS5, HTTP, Telnet, Cisco e Wingate. A reputação do remetente formata uma solicitação específica do protocolo na tentativa de se conectar novamente ao servidor de Transporte de Borda do servidor proxy aberto usando uma solicitação SMTP. Se uma solicitação SMTP for recebida do servidor proxy, a reputação do remetente verificará se o servidor proxy é um servidor proxy aberto e ajustará a classificação SRL de acordo com este resultado. Por padrão, a detecção de servidores proxy abertos está habilitada na reputação do remetente.

Para obter mais informações sobre como habilitar e configurar a detecção de servidores proxy abertos, consulte Gerenciar reputação do remetente.

Definir o limite de bloco SRL

O SRL é um número entre 0 e 9 que prevê a probabilidade de um remetente específico ser um remetente de spam ou um usuário mal-intencionado. Você deve definir um limite para o bloqueio de remetente por SRL. Esse limite de bloco SRL define o valor SRL que deve ser excedido para que a reputação do remetente bloqueie um remetente. Por padrão, o SRL é definido como 7. Você deve monitorar a eficácia do agente no nível padrão. Você pode descobrir que pode ajustar o valor para atender às necessidades da sua organização. Se você definir outros agentes anti-spam agressivamente, poderá definir um limite de SRL mais alto para a reputação do remetente do que faria se os outros agentes anti-spam não fossem definidos agressivamente. Para obter mais informações sobre como ajustar configurações anti-spam para que elas trabalhem juntas para reduzir o spam, consulte Proteção anti-spam.

Em um servidor de Transporte de Borda, se o limite de bloco SRL for excedido para um remetente específico, a reputação do remetente adicionará o remetente à lista Blocos IP no agente filtro de conexão. Às vezes, os spammers enviam lotes de spam de um único remetente. Nesse cenário, se a reputação do remetente calcular uma SRL que exceda o limite de bloco SRL, o remetente será adicionado à Lista de Blocos do Remetente por uma duração configurável de tempo. A duração padrão é 24 horas. Após 24 horas, o remetente é removido da Lista de Blocos do Remetente e pode enviar mensagens novamente.

Quando um remetente é adicionado à lista Blocos IP, a reputação do remetente exclui o perfil do remetente. A reputação do remetente exclui o perfil porque o perfil existente do remetente bloqueado indica que o SRL do remetente excede o limite de bloco SRL. Isso faria com que o remetente bloqueado fosse adicionado à lista de Blocos IP novamente assim que a duração do bloqueio do remetente terminar.

Para saber mais, consulte Gerenciar reputação do remetente.