Filtragem de conexão em Servidores de Transporte de Borda
Aplica-se a: Exchange Server 2013
Filtragem de conexão é um recurso antispam do Microsoft Exchange Server 2013 que permite ou bloqueia emails de acordo com a origem da mensagem. A filtragem de conexão é feita pelo agente Filtragem de Conexão, que está disponível somente em servidores de Transporte de Borda. O agente Filtragem de Conexão considera o endereço IP do servidor de email conectado para determinar a ação (se houver) a ser executada em uma mensagem de entrada.
Por padrão, o agente Filtragem de Conexão é o primeiro agente antispam a avaliar uma mensagem de entrada em um servidor de Transporte de Borda. O endereço IP de origem da conexão SMTP é verificado nos endereços IP permitidos e bloqueados. Se o endereço IP de origem estiver lá na lista de endereços IP permitidos, não será necessário mais processamento. Em seguida, a mensagem é enviada. Se o endereço IP de origem for bloqueado, a conexão SMTP será descartada. Se o endereço IP de origem não for permitido ou bloqueado, a mensagem flui pelos outros agentes anti-spam no servidor de Transporte do Edge.
A filtragem de conexão compara o endereço IP do servidor de email de origem com os valores nos seguintes armazenamentos de dados:
- Lista de permissões de IP
- Lista de blocos IP
- Provedores de lista de permissões IP
- Provedores de blocos IP
Configure pelo menos um armazenamento de dados de endereço IP para a filtragem de conexão para a função. Se não especificar qualquer dado de endereço IP, será preciso desabilitar o agente Filtragem de Conexão. Para obter mais informações, consulte Manage Connection Filtering on Edge Transport Servers.
Lista de blocos IP
A Lista de Blocos IP contém os endereços IP dos servidores de email que você deseja bloquear. Você mantém manualmente os endereços IP na Lista de Blocos de IP. Você pode adicionar cada endereço IP ou intervalos de endereços IP. E pode especificar uma data e hora de expiração que defina por quanto tempo a entrada de endereço IP ficará bloqueada. Quando o tempo de expiração é atingido, a entrada de endereço IP na Lista de Blocos IP é desabilitada.
Se o agente de Filtragem de Conexão encontrar o endereço IP de origem na Lista de Blocos IP, a conexão SMTP será descartada depois que todos os cabeçalhos RCPT TO (destinatários do envelope) na mensagem forem processados.
Os endereços IP também podem ser adicionados automaticamente à Lista de Bloqueios IP pelo recurso Reputação do Remetente do agente de Análise de Protocolo. Para mais informações, consulte Reputação do remetente e o agente de análise de protocolo.
Lista de permissões de IP
A Lista de Permissões de IP contém os endereços IP de servidores de email que você deseja designar como fontes confiáveis de email. Email de servidores de email que você especificar na Lista de Permissões de IP está isenta de processamento por outros agentes anti-spam do Exchange.
Você mantém manualmente os endereços IP na Lista de Permissões de IP. Você pode adicionar cada endereço IP ou intervalos de endereços IP. E especifique uma data e hora de expiração que defina por quanto tempo a entrada de endereço IP será permitida. Quando o tempo de expiração é atingido, a entrada na Lista de Permissões de IP é desabilitada.
Provedores de blocos IP
Os provedores de blocos IP são frequentemente chamados de blocklists em tempo real ou RBLs. Os provedores de blocos IP compilam listas de endereços IP do servidor de email que enviam spam. Muitos provedores de blocos IP também compilam listas de endereços IP do servidor de email que poderiam ser usados para spam. Incluem, por exemplo, servidores de email configurados para provedores de serviço de Internet de retransmissão aberta (ISPs), que atribuem endereços IP dinâmicos, e ISPs que permitem tráfego de servidor de email SMTP de contas dial-up.
Quando você configura a filtragem de conexão para usar um provedor de Blocos IP, o agente de Filtragem de Conexões compara o endereço IP do servidor de email de conexão com a lista de endereços IP no provedor de Blocos IP. Se houver correspondência, a mensagem não será permitida na sua organização. Você pode configurar a filtragem de conexão para usar vários provedores blocklist de IP e atribuir valores de prioridade diferentes a cada provedor.
O agente de Filtragem de Conexões verifica o endereço IP de origem na Lista de Permissões de IP e na Lista de Blocos de IP. Se o endereço IP não existir em nenhuma das listas, o agente de filtragem de conexões consultará o provedor de blocos IP de acordo com o valor de prioridade atribuído. Se o endereço IP for definido em um provedor blocklist de IP, o servidor de Transporte de Borda aguardar e processará o cabeçalho RCPT TO , responderá ao servidor de email de envio com um SMTP 550 erro e fechará a conexão. A conexão não é descartada imediatamente para que a tentativa de conexão possa ser registrada e porque você pode especificar destinatários isentos de ter mensagens bloqueadas por quaisquer provedores de Blocklist de IP.
Se o endereço IP não estiver definido em nenhum dos provedores de Blocklist de IP, o agente de Filtragem de Conteúdo enviará a mensagem para o próximo agente de transporte no servidor de Transporte de Borda.
Para cada provedor de blocos IP, você pode personalizar o SMTP 550 erro retornado ao remetente quando uma mensagem é bloqueada. Identifique o provedor de blocos IP que identificou a fonte de mensagem como spam. Se um servidor de email de origem legítimo for identificado erroneamente como uma fonte de spam, o administrador poderá entrar em contato com o provedor de blocos IP e tomar as etapas necessárias para remover o servidor de email do provedor de blocos IP.
Os provedores de blocos IP podem retornar códigos diferentes para identificar por que um endereço IP é definido em suas listas. A maioria dos provedores de blocos IP retorna tipos de dados de valor absoluto ou bits. Dentro desses tipos de dados, o provedor blocklist de IP pode usar vários valores para classificar o endereço IP por tipo de ameaça.
Há problemas a serem considerados ao usar provedores blocklist de IP:
Interrupções ou atrasos no serviço do provedor de blocklist de IP podem causar atrasos no processamento de mensagens no servidor de Transporte de Borda. Selecione provedores de blocos IP confiáveis.
Servidores de origem que você sabe que são legítimos podem ser incorretamente identificados como fontes de spam. Por exemplo, o servidor de email pode ser inadvertidamente configurado para agir como retransmissão aberta. Selecione provedores de blocos IP que fornecem procedimentos claros para avaliação e remoção de seus serviços.
Exemplos de bitmask e valores absolutos
Esta seção mostra um exemplo dos códigos de status retornados pela maioria dos provedores blocklist. Para detalhes sobre os códigos de status retornados pelo provedor, consulte a documentação do provedor específico.
Para tipos de dados bitmask, o serviço de provedor de blocklist ip retorna um código de status de 127.0.0. x, em que o inteiro x é qualquer um dos valores listados na tabela a seguir.
| Valor | Código de status |
|---|---|
| 1 | O endereço IP está em uma lista de blocos de IP. |
| 2 | O servidor SMTP está configurado para atuar como uma retransmissão aberta. |
| 4 | O endereço IP oferece suporte a um endereço IP de dial-up. |
Para tipos de valor absoluto, o provedor blocklist de IP retorna respostas explícitas que definem por que o endereço IP é definido em suas listas de blocos. A tabela a seguir mostra alguns exemplos de valores absolutos e respostas explícitas.
| Valor | Resposta explícita |
|---|---|
| 127.0.0.2 | O endereço IP é uma fonte de spam direta. |
| 127.0.0.4 | O endereço IP envia emails em massa. |
| 127.0.0.5 | O servidor remoto que está enviando a mensagem é conhecido por oferecer suporte a retransmissões abertas de vários estágios. |
Provedores de lista de permissões IP
Os provedores de lista de permissões de IP também são conhecidos como listas seguras ou listas de permissões. Os provedores de lista de permissões IP são configurados como provedores de blocos IP, mas os resultados são o oposto: eles definem endereços IP do servidor de email que definitivamente não estão associados à atividade de spam. Se o endereço IP do servidor de email de conexão for definido em um provedor de lista de permissões ip, a mensagem será isenta de processamento por outros agentes anti-spam do Exchange. Por esse motivo, os provedores de blocklist de IP são usados com muito mais frequência do que os provedores de lista de permissões de IP. Escolha cuidadosamente seus provedores de lista de permissões de IP.
Testar provedores de blocos IP e provedores de lista de permissões de IP
Depois de configurar a filtragem de conexão para usar um provedor blocklist de IP ou um provedor de lista de permissões IP, você pode executar testes para verificar se os provedores estão funcionando corretamente. A maioria dos provedores fornece endereços IP que você pode usar para testar seus serviços. Ao testar um provedor, o agente Filtragem de Conexão emite uma consulta DNS que deve resultar em uma resposta específica do provedor. Para obter mais informações sobre como testar endereços IP em um serviço de provedor de blocos IP ou um serviço de provedor de permissão ip, consulte Gerenciar filtragem de conexão em servidores de transporte de borda.
Configurar a filtragem de conexão em servidores de Transporte de Borda que não estejam diretamente conectados à Internet
Você pode usar a filtragem de conexão em servidores de Transporte de Borda que não recebam emails diretamente da Internet. Nesse cenário, o servidor de Transporte de Borda está usando outro servidor de email, que recebe e processa as mensagens diretamente da Internet. Por exemplo, a sua organização pode enviar tráfego de emails por um servidor, serviço ou aplicativo antispam antes de as mensagens chegarem ao servidor de Transporte de Borda. Nesse cenário, o agente Filtragem de Conexão precisa extrair o endereço IP de origem correto da mensagem. Para extrair o endereço IP de origem da mensagem, o agente de Filtragem de Conexões precisa analisar os valores de campo de cabeçalho recebidos no cabeçalho da mensagem e comparar esses valores com os endereços IP conhecidos do servidor de email que fica entre o servidor de Transporte de Borda e a Internet.
Cada servidor de email que aceite e transmita uma mensagem SMTP no caminho de entrega adiciona seu próprio campo de cabeçalho Received ao cabeçalho da mensagem. O cabeçalho Received contém, geralmente, o nome de domínio e o endereço IP do servidor de email que processou a mensagem.
Se o servidor de Transporte de Borda não aceitar mensagens diretamente da Internet, você precisará usar o parâmetro InternalSMTPServers no cmdlet Set-TransportConfig em um servidor de caixa de correio do Exchange 2013 para identificar o endereço IP do servidor de email que fica entre o servidor edge transport e a Internet. Os dados de endereço IP são replicados nos servidores de Transporte de Borda pelo EdgeSync. Quando são recebidas mensagens pelo servidor de Transporte de Borda, o agente Filtragem de Conexão considera que um endereço IP em um campo de cabeçalho Received não corresponde a um valor especificado pelo parâmetro InternalSMTPServers, que é o endereço IP de origem que precisa ser verificado. Portanto, você precisa especificar todos os servidores SMTP internos para que a filtragem de conexão funcione corretamente.