Compartilhar via


Noções Básicas Sobre o Fluxo de Mensagens Antispam e Antivírus

Aplica-se a: Exchange Server 2010

Tópico modificado em: 2010-01-18

Quando um usuário externo envia mensagens de email a um servidor do Microsoft Exchange que executa os recursos antispam, esses recursos avaliam de forma cumulativa as características de mensagens de entrada e filtram as mensagens com suspeita de serem spam ou atribuem uma classificação às mensagens com base na probabilidade de que elas sejam spam. Essa classificação é armazenada com a mensagem como uma propriedade denominada classificação de nível de confiança de spam (SCL). Essa classificação persiste na mensagem quando ela é enviada a outros servidores Exchange.

A figura a seguir mostra a ordem em que os recursos antispam padrão e o Microsoft Forefront Security para Exchange Server filtram mensagens de entrada da Internet. Por padrão, os recursos antispam e antivírus são organizados nessa ordem, com os filtros que usam poucos recursos de filtragem primeiro e os filtros que usam muitos recursos de filtragem por último.

Dica

Recursos anti-spam adicionais podem se tornar disponíveis no futuro. À medida que novos recursos anti-spam forem desenvolvidos, eles serão incluídos no fluxo de mensagens global. Além disso, a figura e a explicação a seguir supõem que o servidor de Transporte de Borda do Exchange Server 2010 seja o primeiro servidor SMTP a aceitar mensagens de entrada. Em algumas organizações, o servidor de Transporte de Borda pode ser implementado por trás de um servidor SMTP de terceiros. Quando o servidor de Transporte de Borda do Exchange 2010 é implantado por trás de um servidor de gateway SMTP de terceiros, o servidor de Transporte de Borda do Exchange 2010 exige configuração adicional. Especificamente, você deve verificar se todos os servidores de gateway SMTP são listados na propriedade InternalSMTPServer do objeto TransportConfig. Para obter mais informações, consulte Set-TransportConfig

Recursos antispam padrão com filtro antivírus de mensagens de entrada da Internet
Diagrama de filtros de anti-spam e antivírus

Conforme a figura anterior, quando um servidor SMTP se conecta ao Exchange 2010 e inicia uma sessão SMTP, os filtros são aplicados nesta ordem, quando o servidor de Transporte de Borda está voltado para a Internet:

  • Filtragem de conexão
  • Filtragem por remetente
  • Filtragem por destinatário
  • Filtragem de ID por remetente
  • Filtragem de conteúdo
  • Filtragem de anexos
  • Verificação antivírus

Dica

A filtragem de conexões reúne informações durante dois eventos diferentes. No primeiro evento, a filtragem de conexões reúne informações do endereço IP da conexão (mostrado na figura anterior). No segundo evento, a filtragem de conexões reúne informações quando o agente Filtro do Remetente analisa os cabeçalhos de mensagem para determinar o primeiro endereço de IP externo (mostrado na figura "Filtragem de Remetente", adiante neste tópico). Os agentes podem monitorar vários eventos. A figura anterior mostra uma exibição de alto nível da ordem aproximada que os agentes são aplicados, quando todos os agentes estiverem habilitados, com o objetivo de ilustrar o fluxo de mensagens. Para obter mais informações sobre eventos específicos e quais agentes monitoram quais eventos, consulte Noções Básicas Sobre Agentes de Transporte.

Procurando outras tarefas de gerenciamento relacionadas a funcionalidades antispam e antivírus? Consulte Gerenciando recursos anti-spam e antivírus.

Conteúdo

Filtragem de Conexão

Filtragem por Remetente

Filtragem por Destinatário

Filtragem de ID por Remetente

Filtragem de Conteúdo

Filtragem de anexos

Verificação Antivírus

Filtragem de Lixo Eletrônico do Outlook

Filtragem de Conexão

Durante a sessão SMTP, o Exchange 2010 aplica filtragem de conexão usando os critérios mostrados na figura a seguir:

Fluxo de mensagens de filtragem de conexão
Diagrama de filtragem de conexões

O seguinte processo se aplica:

  1. O agente Filtro de Conexão examina a Lista de Permissões de IP definida pelo administrador. Se o endereço IP do servidor remetente estiver na Lista de Permissões de IP definida pelo administrador, a mensagem será então processada pela Filtragem por Remetente.
  2. O agente Filtro de Conexão examina a Lista de Bloqueios de IP local. Se o endereço IP do servidor remetente for encontrado na Lista de Bloqueios de IP local, a mensagem será automaticamente rejeitada e nenhum outro filtro será aplicado.
  3. O agente Filtro de Conexão examina a lista de endereços IP permitidos dos provedores da Lista de Permissões de IP que você tem. Se o endereço IP do servidor remetente estiver na lista de endereços IP permitidos dos provedores da Lista de Permissões de IP, a mensagem será processada pela Filtragem por Remetente.
  4. O agente Filtro de Conexão examina as listas de bloqueio em tempo real de quaisquer provedores de Lista de Bloqueios de IP que você tiver configurado. Se o endereço IP do servidor remetente for encontrado em uma lista de bloqueio em tempo real, a mensagem será rejeitada e nenhum outro filtro será aplicado.

Para mais informações, consulte Noções Básicas Sobre Filtragem por Remetente.

Dica

Se o agente Filtro de Conexão estiver implantado em um computador por trás de outro servidor voltado para a Internet, outros filtros, como filtragem por remetente e por destinatário, serão acionados antes do agente Filtro de Conexão.

Retornar ao início

Filtragem por Remetente

Depois da aplicação da filtragem de conexão, o Exchange 2010 examina os endereços de email do remetente, comparando-os com a lista de remetentes bloqueados configurada na filtragem por remetente, conforme a figura a seguir.

Fluxo de mensagens de filtragem de remetente
Diagrama de filtragem por remetente

O agente Filtro de Remetente verifica o endereço de email do remetente contido nos campos do cabeçalho De, no envelope e no cabeçalho da mensagem. E um dos campos De corresponder ao endereço da lista de Remetentes Bloqueados, o Exchange 2010 rejeitará a mensagem em nível de protocolo e nenhum outro filtro será aplicado.

Dica

Mesmo que destinatários da sua organização tenham colocado remetentes na Lista de Remetentes Seguros do Microsoft Outlook, a filtragem por remetente do servidor de Transporte de Borda substituirá a configuração do Outlook do destinatário e rejeitará as mensagens.

Para mais informações sobre filtragem de remetentes, consulte Noções Básicas Sobre Filtragem por Remetente.

Para mais informações sobre envelopes e cabeçalhos de mensagens, consulte Entendendo os Diretórios de Retirada e de Repetição.

Retornar ao início

Filtragem por Destinatário

Se a filtragem de remetente não rejeitar a mensagem, o Exchange executa a filtragem de conexão novamente. O Exchange, então, aplica o agente Filtro de Destinatário, conforme a figura a seguir.

Fluxo de mensagens de filtragem de remetente
Diagrama de filtro de destinatários

O agente de Filtro de Destinatário examina o destinatário contra a lista de Bloqueio de Destinatários definida nas configurações do agente de filtro de destinatário. Se o destinatário pretendido corresponder a um endereço de email da Lista de Bloqueios de Destinatários, o Exchange 2010 rejeitará a mensagem desse destinatário específico. Além disso, o agente Filtro de Destinatário verifica se o destinatário está presente na organização. Se não estiver, o Exchange rejeitará a mensagem para aquele destinatário específico.

Se vários destinatários estiverem listados na mensagem e nem todos constarem na lista de Bloqueios de Destinatários, a mensagem continuará sendo processada. Caso contrário, se a mensagem estiver ligada a apenas um destinatário bloqueado, nenhum outro filtro será aplicado.

Quando uma mensagem com destinatários bloqueados for processada, o conjunto de destinatários bloqueados será removido da mensagem e a mensagem continuará na organização. As respostas de rejeição de SMTP do nível de protocolo são enviadas ao remetente de cada destinatário bloqueado. O agente Reputação de Remetente monitora o evento OnReject para calcular o nível de reputação do remetente.

Para mais informações, consulte Noções Básicas Sobre Filtragem por Destinatário.

Retornar ao início

Filtragem de ID por Remetente

Se a mensagem ainda contiver destinatários válidos depois da aplicação da filtragem por destinatário, o Exchange 2010 executará ID de Remetente, conforme a figura a seguir.

Fluxo de mensagens de filtragem de ID do remetente
Diagrama de filtragem por ID de remetente

Primeiro, o agente ID de Remetente determina o PRA (Endereço Responsável por Expressão) da mensagem, usando o algoritmo descrito em RFC 4407. Essa etapa é necessária para identificar com precisão o remetente da mensagem. O PRA é um endereço SMTP, como kim@contoso.com. O agente ID de Remetente, então, executa uma pesquisa de DNS (serviço de nome de domínio) em relação à parte do domínio do PRA. Se aquele domínio tiver publicado um registro da SPF (estrutura da diretiva de remetente), o agente usará o registro da SPF para avaliar a mensagem de acordo com a especificação de RFC 4408. O resultado da avaliação é carimbado na mensagem no carimbo anti-spam. Se o domínio não tiver um registro da SPF publicado, o agente ID de Remetente carimbará "Nenhum" na mensagem, como resultado da ID de Remetente. Para obter mais informações sobre os tipos de carimbos usados para a filtragem de ID por Remetente, consulte Noções Básicas Sobre Carimbos Antispam.

Se o DNS do remetente vier de um domínio ou endereço bloqueado, as seguintes ações poderão ser tomadas, dependendo da configuração de ações de ID de Remetente:

  • Rejeitar mensagem   Se a ação da ID de Remetente estiver definida como Rejeitar Mensagem, o Exchange rejeitará a mensagem e enviará uma resposta de erro de SMTP para o servidor remetente. A resposta de erro SMTP é uma resposta de protocolo no nível 5xx com texto que corresponde ao status do ID de Remetente.
  • Excluir mensagem   Se a ação do ID de Remetente estiver definida como Excluir Mensagem, o Exchange excluirá a mensagem sem informar o servidor remetente da exclusão. O computador com a função de servidor Transporte de Borda instalada envia um comando SMTP "OK" falso para o servidor de envio e exclui a mensagem. Como o servidor de envio pressupõe que a mensagem foi enviada, ele não tentará enviar novamente a mensagem na mesma sessão.
  • Carimbar mensagem com resultado de ID de Remetente e continuar o processamento   O Exchange carimba a mensagem com o resultado de ID de Remetente e continua a processá-la. Esses metadados são avaliados pelo agente de Filtro de Conteúdo quando um SCL é calculado. Além disso, a reputação do remetente usa os metadados da mensagem ao calcular o nível de reputação do remetente da mensagem.

Para mais informações, consulte Noções Básaicas sobre ID de remetente.

Retornar ao início

Filtragem de Conteúdo

Antes de a filtragem de conteúdo do Exchange acionar o Filtro Inteligente de Mensagens do Exchange, ela aplicará novamente a filtragem por remetente. O servidor Exchange, então, aplicará o agente Filtro de Conteúdo, conforme a figura a seguir.

Fluxo de mensagens de filtragem de conteúdo
Fluxo de email do agente do filtro de conteúdo

O agente de Filtro de Conteúdo verifica as seguintes condições na mensagem. Se alguma das condições for verdadeira, a mensagem irá ignorar a filtragem de conteúdo e de anexo. Essas mensagens serão, então, enviadas para verificação antivírus, para processamento. As seguintes condições são verificadas:

  • O endereço IP do remetente está na Lista de Permissões de IP para filtragem de conexão.
  • Todos os destinatários estão na lista de exceções para filtragem de conteúdo.
  • O parâmetro AntiSpamBypassEnabled está definido como $True em todas as caixas de correio dos destinatários.
  • Todos os destinatários adicionaram esse remetente à Lista de Remetentes Seguros do Outlook, que é atualizada para o servidor de Transporte de Borda usando agregação de lista segura.
  • O remetente é um parceiro confiável e está na lista de remetentes da organização que não são filtrados.

Além das condições mencionadas aqui, se a sessão SMTP tiver sido autenticada como um parceiro confiável e se o administrador tiver concedido a permissão para Ignorar Antispam (Ms-Exch-Bypass-Anti-Spam) aos parceiros, os agentes antispam serão desabilitados para mensagens durante aquela sessão. A permissão para Ignorar Antispam não é concedida a parceiros por padrão e deve ser atribuída por um administrador.

Se uma mensagem não satisfizer nenhuma das condições descritas aqui, a filtragem de conteúdo será aplicada. A filtragem de conteúdo atribui à mensagem um valor de SCL. Com base no valor de SCL, ocorrerá uma das seguintes ações:

  • Se o valor de SCL da mensagem for igual ou maior do que o limite de exclusão de SCL e esse limite estiver habilitado, o agente Filtro de Conteúdo excluirá a mensagem. Não existe comunicação no nível de protocolo que informe ao sistema de envio ou ao remetente que a mensagem foi excluída. Se o valor de SCL for menor que o valor do limite de exclusão de SCL, o agente Filtro de Conteúdo não excluirá a mensagem. Em vez disso, o agente do Filtro de Conteúdo comparará o valor da SCL com o limite de rejeição da SCL.
  • Se o valor de SCL da mensagem for igual ou maior do que o limite de rejeição de SCL e esse limite estiver habilitado, o agente Filtro de Conteúdo rejeitará a mensagem e enviará uma resposta de rejeição para o sistema remetente. Você pode personalizar a resposta de rejeição. Em alguns casos, uma notificação de falha na entrega é enviada ao remetente original da mensagem. Se o valor de SCL for menor que o valor do limite de rejeição de SCL, o agente Filtro de Conteúdo não rejeitará a mensagem. Em vez disso, o agente do Filtro de Conteúdo comparará o valor da SCL ao limite de quarentena da SCL.
  • Se o valor de SCL da mensagem for igual ou maior do que o limite de quarentena de SCL e esse limite estiver habilitado, o agente de Filtro de Conteúdo enviará a mensagem para a caixa de correio de quarentena de spam. Para mais informações sobre como gerenciar a caixa de correio de quarentena de spam, consulte Noções Básicas Sobre Filtragem de Conteúdo. A mensagem, então, seguirá para a filtragem de anexos.

Para obter mais informações, consulte os seguintes tópicos:

Retornar ao início

Filtragem de anexos

Depois da aplicação da filtragem de conteúdo, o Exchange aplicará a filtragem de anexos, conforme a figura a seguir.

Fluxo de mensagens de filtragem de anexo
Diagrama de filtros de anexos

Você pode configurar a filtragem de anexos para bloquear anexos com base no tipo de conteúdo MIME, nome de arquivo ou extensão de nome de arquivo. Se a filtragem de anexos detectar um tipo de conteúdo de nome de arquivo bloqueado, ocorrerá uma das seguintes ações com base nas configurações de filtragem de anexos:

  • Rejeitar   Se a ação estiver configurada como Rejeitar, tanto a mensagem de email como o anexo serão impedidos de chegar ao destinatário, e o sistema irá gerar uma mensagem de falha de DSN para o remetente. Você pode personalizar a resposta de rejeição.
  • Excluir Sem Aviso   Se a ação estiver configurada como Excluir Sem Aviso, tanto a mensagem de email como o anexo serão impedidos de chegar ao destinatário. Nenhuma notificação de que a mensagem e o anexo de email foram bloqueados será enviada ao remetente.
  • Remover   Se a ação estiver configurada como Remover, o anexo será removido da mensagem de email. Esse valor permite que a mensagem e outros anexos que não correspondam a uma entrada na lista de bloqueio de anexos sejam entregues ao destinatário. Uma notificação de que o anexo foi bloqueado é adicionada à mensagem de email do destinatário.

Se a mensagem não for rejeitada ou excluída, ou se a filtragem de anexos não detectar tipos de anexos bloqueados, ela será, então, verificada em busca de vírus.

Para obter mais informações, consulte Configurar a Filtragem de Anexo.

Retornar ao início

Verificação Antivírus

Depois da aplicação da filtragem de anexos ou se os destinatários forem ignorados na filtragem de conteúdo, a verificação antivírus com o Forefront Security para Exchange Server será aplicada, conforme a figura a seguir.

Forefront Security para Exchange Server, fluxo de mensagens de verificação de antivírus
Diagrama de filtro antivírus do Forefront

O Forefront Security para Exchange Server é uma pacote de software antivírus que está intimamente integrado ao Exchange 2010 e oferece proteção antivírus adicional para o ambiente do Exchange. Quando o Forefront Security para Exchange Server detecta mensagens que parecem conter um vírus, o sistema exclui a mensagem, gera uma mensagem de notificação e envia a notificação para a caixa de correio do destinatário.

Para mais informações sobre Forefront Security para Exchange Server, consulte Protecting Your Microsoft Exchange Organization with Microsoft Forefront Security for Exchange Server.

Retornar ao início

Filtragem de Lixo Eletrônico do Outlook

Depois da aplicação de todos os filtros e da verificação de vírus, a mensagem é enviada para a caixa de correio do destinatário pretendido e a filtragem de Lixo Eletrônico é aplicada, conforme a figura a seguir.

Fluxo de mensagens de filtragem de Lixo Eletrônico do Outlook.
Diagrama de filtro de lixo eletrônico do Outlook

Se o valor de SCL para a mensagem for igual ou maior do que o limite da pasta de Lixo Eletrônico de SCL e esse limite estiver habilitado, o servidor de Caixa de Correio colocará a mensagem na pasta de Lixo Eletrônico do usuário do Outlook. Se o valor de SCL para uma mensagem for menor que os valores de limite de exclusão, rejeição, quarentena e da pasta Lixo Eletrônico de SCL, o servidor de Caixa de Correio colocará a mensagem na Caixa de Entrada do usuário. Para obter mais informações sobre limites de SCL, consulte Noções Básicas Sobre Limites de Nível de Confiança de Spam.

Retornar ao início