Noções Básicas Sobre Filtragem por Remetente
Aplica-se a: Exchange Server 2010
Tópico modificado em: 2010-01-22
O agente do Filtro de Conexão é um agente antispam habilitado nos computadores executando o Microsoft Exchange Server 2010 em que a função de servidor Transporte de Borda está instalada. O agente do Filtro de Conexão se baseia no endereço IP do servidor remoto que está tentando se conectar para determinar a ação que será executada em uma mensagem de entrada, caso necessário. O endereço IP remoto está disponível para o agente de Filtro de Conexão como um subproduto da conexão TCP/IP subjacente, necessária à sessão SMTP. Como o agente do Filtro de Conexão deve avaliar o endereço IP do servidor remoto que está enviando a mensagem para ter efeito, o agente do Filtro de Conexão será normalmente habilitado no servidor de Transporte de Borda na ponta voltada para a Internet. No entanto, também é possível efetuar configurações adicionais para executar o agente do Filtro de Conexão dentro do caminho da mensagem de entrada.
Ao configurar agentes antispam em um servidor de Transporte de Borda, estes agem em mensagens de maneira cumulativa para reduzir o número de mensagens não solicitadas que entram na organização. Para reduzir a redundância e melhorar o desempenho geral e a eficiência do sistema, você deve compreender a ordem com que os agentes avaliam as mensagens de entrada. Conhecer a ordem em que os filtros avaliam as mensagens de entrada o ajudará a otimizar a configuração dos servidores de Transporte de Borda. Para obter mais informações sobre como planejar e implantar os agentes antispam, consulte Noções Básicas Sobre a Funcionalidade Antispam e Antivírus.
Ao habilitar o agente do Filtro de Conexão, ele é o primeiro agente antispam a ser executado quando uma mensagem de entrada é avaliada.
Quando uma mensagem de entrada é enviada para um servidor de Transporte de Borda em que o agente do Filtro de Conexão está habilitado, o endereço IP de origem da conexão SMTP é verificado em relação às listas de IPs Permitidos e de IPs Bloqueados. Se o endereço IPs de origem estiver relacionado na lista de IPs Permitidos, a mensagem será enviada ao destino sem processamento adicional por outros agentes antispam. Se o endereço IP de origem estiver relacionado na lista de IPs Bloqueados, a conexão SMTP será eliminada depois que todos os cabeçalhos RCPT TO da mensagem forem processados.
Dica
O tempo para que uma determinada conexão seja eliminada pode depender de outras configurações antispam. Por exemplo, você pode especificar os destinatários que sempre recebem mensagens de email, mesmo se o endereço IP de origem estiver bloqueado. Além disso, você pode ter configurado outros agentes que se baseiam no conteúdo do comando DATA a ser analisado. O agente do Filtro de Conexão sempre elimina conexões bloqueadas, de acordo com a configuração antispam geral.
Se o endereço IP de origem não estiver relacionado em nenhuma das listas de IPs Permitidos ou IPs Bloqueados, a mensagem continuará a fluir pelos outros agentes antispam, caso haja outros configurados.
Procurando outras tarefas de gerenciamento relacionadas a funcionalidades antispam e antivírus? Consulte Gerenciando recursos anti-spam e antivírus.
Sumário
Listas de IPs Permitidos e listas de IPs Bloqueados
Configurando a Filtragem de Conexão para Servidores de Transporte de Borda que Não São o Primeiro Ponto de Entrada do SMTP
Testando a Funcionalidade de Lista de IPs Bloqueados e Lista de IPs Permitidos
Listas de IPs Permitidos e listas de IPs Bloqueados
O agente do Filtro de Conexão compara o endereço IP do servidor que está enviando uma mensagem a qualquer um dos seguintes armazenamentos de dados de endereços IP:
- Listas de IPs Permitidos e listas de IPs Bloqueados definidas pelo administrador
- Provedores de Lista de IPs Bloqueados
- Provedores de Lista de IPs Permitidos
Para obter mais informações sobre provedores de Lista de IPs Bloqueados, consulte "Provedores de Lista de IPs Bloqueados" posteriormente neste tópico.
Você deve configurar pelo menos um desses armazenamentos de dados de endereços IP para tornar o agente do Filtro de Conexão operacional. Se os armazenamentos de dados de endereços IP não contiverem os endereços IP nas listas de IPs Permitidos ou listas de IPs Bloqueados, ou se não houver nenhum provedor de Lista de IPs Bloqueados ou de Lista de IPs Permitidos configurado, você deve desabilitar o agente do Filtro de Conexão.
Listas de IPs Permitidos e listas de IPs Bloqueados Definidas pelo administrador
Os administradores de servidores de Transporte de Borda mantêm listas de endereços IP definidas pelo administrador. Você pode inserir e excluir os endereços IP que deseja permitir ou bloquear usando o Console de Gerenciamento do Exchange (EMC) ou do Shell de Gerenciamento do Exchange. Você pode adicionar endereços IP individualmente, pelo intervalo de endereço IP ou pelo endereço IP e máscara de sub-rede.
Quando um endereço IP ou um intervalo de endereço IP é adicionado, você deve especificar o endereço IP ou o intervalo de endereço IP como um endereço de lista de IPs Bloqueados ou um endereço de lista de IPs Permitidos. Além disso, é possível especificar um tempo de expiração para cada entrada criada na lista de IPs Bloqueados. Quando o tempo de expiração é definido, ele especifica por quanto tempo a entrada da Lista de IPs Bloqueados ficará ativa. Quando a duração do tempo de expiração for atingida, a entrada da lista de IPs Bloqueados é desabilitada.
Com o uso das listas de IPs Permitidos e IPs Bloqueados definidas pelo administrador é possível configurar a filtragem de conexão para os seguintes cenários:
- Isentar endereços IP das listas de IPs Bloqueados dos fornecedores de listas de IPs Bloqueados
Pode ser necessário isentar endereços IP das listas de IPs Bloqueados dos fornecedores de listas de IPs Bloqueados quando remetentes legítimos são colocados, despropositadamente, em uma lista de IPs Bloqueados de um fornecedor de listas de IPs Bloqueados. Por exemplo, remetentes legítimos podem ter sido involuntariamente colocados em uma lista de IPs Bloqueados quando um servidor SMTP foi involuntariamente configurado para atuar como uma retransmissão aberta. Neste cenário, o remetente provavelmente tentará corrigir a configuração incorreta e removerá o endereço IP da lista de IPs Bloqueados dos provedores de Lista de IPs Bloqueados.
Para obter mais informações sobre provedores de Lista de IPs Bloqueados, consulte "Provedores de Lista de IPs Bloqueados" posteriormente neste tópico. - Negar acesso de endereços IP que são origem de mensagens de email não solicitadas, mas não são encontrados em uma lista de IPs Bloqueados de um provedor de listas de IPs Bloqueados
Às vezes, você pode receber uma grande quantidade de mensagens não solicitadas de uma origem que ainda não foi identificada pelo serviço lista de bloqueios em tempo real no qual você está inscrito.
Provedores de Lista de IPs Bloqueados
Os serviços do provedor de Lista de IPs Bloqueados podem ajudar a reduzir o número de mensagens de email não solicitadas que chegam na organização.
Dica
Os serviços do provedor de Lista de IPs Bloqueados são normalmente chamados de serviços RBL (lista de bloqueios em tempo real). O EMC refere-se ao serviço de bloqueios em tempo real como serviços de provedor de Lista de IPs Bloqueados. Os termos serviços de lista de bloqueios em tempo real, serviços RBL e serviços de provedor de Lista de IPs Bloqueados são equivalentes.
Os serviços do provedor de Lista de IPs Bloqueados compilam listas de endereços IP que originaram spam no passado. Além disso, alguns provedores de Lista de IPs Bloqueados fornecem listas de endereços IP em que o SMTP está configurado para retransmissão aberta. Há também serviços de provedor de Lista de IPs Bloqueados que fornecem listas de endereços IP que aceitam acesso dial-up. Os ISPs (provedores de serviços de Internet) que fornecem serviços de acesso dial-up a seus clientes atribuem endereços IP dinâmicos para cada sessão dial-up. Alguns ISPs bloqueiam o tráfego SMTP de contas dial-up. Esses ISPs e os intervalos de IPs dial-up do atendedor não são normalmente adicionados às listas de IPs Bloqueados. No entanto, alguns ISPs permitem que os clientes enviem tráfego SMTP de contas dial-up. Usuários mal-intencionados se aproveitam de ISPs que permitem o tráfego SMTP para enviar spam para endereços IP atribuídos dinamicamente. Quando o endereço IP é colocado em uma lista de IPs Bloqueados, usuários mal-intencionados começam outra sessão dial-up e recebem um novo endereço IP. Normalmente, um único provedor de Lista de IPs Bloqueados pode fornecer uma lista de endereços IP que engloba todas essas ameaças de spam.
Você pode definir várias configurações de provedor de Lista de IPs Bloqueados usando o EMC ou o Shell. Cada serviço exige uma configuração separada do provedor de Lista de IPs Bloqueados no EMC ou no Shell.
Ao configurar o agente do Filtro de Conexão para usar um provedor de Lista de IPs Bloqueados, o agente do Filtro de Conexão consulta o serviço do provedor de Lista de IPs Bloqueados para determinar se existe uma correspondência com os endereços IP de conexão antes de a mensagem ser aceita na organização.
Antes de o agente do Filtro de Conexão contatar o provedor de Lista de IPs Bloqueados para verificar um endereço IP, o endereço IP é primeiramente comparado às listas de IPs Permitidos e IP Bloqueados definidas pelo administrador. Se o endereço IP não existir em nenhuma das listas de IPs Permitidos ou IPs Bloqueados definidas pelo administrador, o agente do Filtro de Conexão consulta os serviços do provedor de Lista de IPs Bloqueados de acordo com a classificação de prioridade atribuída a cada provedor. Se o endereço IP aparecer na lista de IPs Bloqueados de um provedor de Lista de IPs Bloqueados, o servidor de Transporte de Borda aguarda e analisa o cabeçalho RCPT TO, responde ao sistema de envio com um erro SMTP 550 e fecha a conexão. Se o endereço IP não aparecer nas listas de IPs Bloqueados de algum dos provedores de Lista de IPs Bloqueados, o próximo agente da cadeia antispam processa a conexão. Para obter mais informações sobre a ordem na qual os agentes padrão de antispam e antivírus filtram as mensagens de entrada da Internet, consulte Noções Básicas Sobre a Funcionalidade Antispam e Antivírus.
Quando você usa o agente do Filtro de Conexão, a prática recomendada é usar um ou mais provedores de Lista de IPs Bloqueados para gerenciar o acesso à organização. O uso de uma lista de bloqueios definida pelo administrador para manter sua própria lista de IPs Bloqueados é demorado e pode ser impossível do ponto de vista de recursos humanos em várias organizações. Portanto, é recomendável o uso de um serviço de provedor externo de Lista de IPs Bloqueados, cuja única finalidade é manter listas de IPs Bloqueados.
No entanto, pode haver algumas desvantagens no uso de um provedor de Lista de IPs Bloqueados. Como o agente do Filtro de Conexão deve consultar uma entidade externa para cada endereço IP desconhecido, interrupções ou atrasos no serviço do provedor de Lista de IPs Bloqueados podem causar atrasos no processamento de mensagens no servidor de Transporte de Borda. Em casos extremos, tais interrupções ou atrasos poderiam causar um gargalo no fluxo de mensagens no servidor de Transporte de Borda.
Outra desvantagem do uso de um serviço externo do provedor de Lista de IPs Bloqueados é que remetentes legítimos são, às vezes, adicionados por engano às listas de IPs Bloqueados dos provedores de Lista de IPs Bloqueados. Por exemplo, remetentes legítimos podem ser adicionados às listas de IPs Bloqueados que são mantidos pelo provedor de Lista de IPs Bloqueados como resultado de uma configuração errada do SMTP, em que o servidor SMTP foi involuntariamente configurado para atuar como uma retransmissão aberta.
Para cada serviço de provedor de Lista de IPs Bloqueados que for configurado, você deve personalizar o erro SMTP 550 que é retornado ao remetente quando o endereço IP do remetente corresponder a um serviço de provedor de Lista de IPs Bloqueados e for subsequentemente bloqueado pelo agente do Filtro de Conexão. É prática recomendada personalizar o erro SMTP 550 para identificar o serviço de provedor de Lista de IPs Bloqueados que identifica o remetente como um endereço IP bloqueado. Essa prática recomendada habilita remetentes legítimos a entrar em contato com o serviço de provedor de Lista de IPs Bloqueados para que eles possam ser removidos da Lista de IPs Bloqueados do serviço.
Diferentes serviços de provedor de Lista de IPs Bloqueados podem retornar códigos diferentes quando o endereço IP de um servidor remoto que envia uma mensagem corresponder a um endereço IP em uma Lista de IPs Bloqueados de um serviço de provedor de Lista de IPs Bloqueados. A maior parte dos serviços de provedor de Lista de IPs Bloqueados retorna um dos seguintes tipos de dados: bitmask ou valor absoluto. Nesses tipos de dados, pode haver diversos valores que indicam o tipo de lista em que o endereço IP enviado está.
Exemplo de bitmask
Essa seção mostra um exemplo dos códigos de status retornados pela maioria dos provedores de Lista de Bloqueios. Para detalhes sobre os códigos de status retornados pelo provedor, consulte a documentação do provedor específico.
Para tipos de dados bitmask, o serviço de provedor de Lista de IPs Bloqueados retorna o código de status 127.0.0.x, onde o inteiro x é um dos valores listados na tabela a seguir.
Códigos de valores e status para tipos de dados bitmask
Valor | Código de status |
---|---|
1 |
O endereço IP está numa Lista de IPs Bloqueados. |
2 |
O servidor SMTP está configurado para atuar como uma retransmissão aberta. |
4 |
O endereço IP oferece suporte a um endereço IP de dial-up. |
Para tipos de valores absolutos, o serviço de provedor de Lista de IPs Bloqueados retorna respostas explícitas baseadas na causa do bloqueio do endereço IP. A tabela a seguir mostra alguns exemplos de valores absolutos e respostas explícitas.
Códigos de valores e status para tipos de dados de valor absoluto
Valor | Resposta explícita |
---|---|
127.0.0.2 |
O endereço IP é uma fonte de spam direta. |
127.0.0.4 |
O endereço IP envia emails em massa. |
127.0.0.5 |
O servidor remoto que está enviando a mensagem é conhecido por oferecer suporte a retransmissões abertas de vários estágios. |
Provedores de Lista de IPs Permitidos
Você também pode gerenciar mensagens de entrada por meio dos serviços de provedor de Lista de IPs Permitidos que fornecem listas de IPs Permitidos. As listas de IPs Permitidos são, às vezes, chamadas de listas de segurança de IP ou listas brancas no setor de software. Os provedores de Lista de IPs Permitidos mantêm listas de endereços IP que são definitivamente reconhecidos por não estarem associadas a nenhuma atividade de spam. Quando um provedor de Lista de IPs Permitidos retorna uma correspondência de IP Permitido, que indica que o endereço IP do remetente parece ser de um remetente respeitável ou seguro, o agente do Filtro de Conexão confia a mensagem ao próximo agente da cadeia antispam.
Retornar ao início
Configurando a Filtragem de Conexão para Servidores de Transporte de Borda que Não São o Primeiro Ponto de Entrada do SMTP
Em algumas organizações, a função de servidor Transporte de Borda está instalada em computadores que não processam solicitações SMTP diretamente na Internet. Nesse cenário, o servidor de Transporte de Borda está usando outro servidor front-end SMTP, que processa as mensagens de entrada diretamente da Internet. Nesse cenário, o agente do Filtro de Conexão deve ser capaz de extrair da mensagem o endereço IP de origem correto. Para extrair e avaliar o endereço IP de origem, o agente do Filtro de Conexão deve analisar os cabeçalhos Recebidos da mensagem e comparar esses cabeçalhos com o servidor SMTP conhecido na rede de perímetro.
Quando um servidor SMTP compatível com RFC recebe uma mensagem, o servidor atualiza o cabeçalho Recebido da mensagem com o nome de domínio e o endereço IP do remetente. Portanto, para cada servidor SMTP entre o remetente de origem e o servidor de Transporte de Borda, o servidor SMTP adiciona uma entrada de cabeçalho Recebido.
Quando a rede de perímetro estiver configurada para oferecer suporte ao Exchange 2010, é necessário especificar todos os endereços IP dos servidores SMTP em sua rede de perímetro. Os dados de endereço IP são replicados nos servidores de Transporte de Borda pelo EdgeSync. Quando mensagens são recebidas pelo computador que executa o agente do Filtro de Conexão, o endereço IP no cabeçalho Recebido que não corresponde ao endereço IP do servidor SMTP em sua rede de perímetro é presumido como sendo o endereço IP de origem.
Você deve especificar todos os servidores SMTP internos no objeto de configuração de transporte na floresta do Active Directory antes de executar a filtragem de conexão. Especifique os servidores SMTP internos com o parâmetro InternalSMTPServers no cmdlet Set-TransportConfig.
Retornar ao início
Testando a Funcionalidade de Lista de IPs Bloqueados e Lista de IPs Permitidos
Depois de configurar um serviço de provedor de Lista de IPs Bloqueados ou um serviço de provedor de Lista de IPs Permitidos, você pode testar para garantir que a filtragem de conexão está configurada corretamente para o serviço especificado. A maioria dos serviços de provedor de Lista de IPs Bloqueados ou serviços de provedor de Lista de IPs Permitidos fornece endereços IP de teste que você pode usar para testar seus serviços. Quando um teste com um serviço de provedor de Lista de IPs Bloqueados ou um serviço de provedor de Lista de IPs Permitidos é executado, o agente do Filtro de Conexão emite uma consulta do DNS (Sistema de Nome de Domínio) baseada no endereço IP da lista de bloqueios em tempo real (RBL), que deve enviar uma resposta específica. Para obter mais informações sobre como testar os endereços IP com um serviço de provedor de Lista de IPs Bloqueados ou um serviço de provedor de Lista de IPs Permitidos, consulte Test-IPAllowListProvider e Test-IPBlockListProvider.
Retornar ao início