Reputação do remetente e o agente de Análise de Protocolo no Exchange Server

A reputação do remetente faz parte da funcionalidade antispam do Exchange que bloqueia mensagens de acordo com muitas características do remetente. A reputação do remetente depende de dados persistentes sobre o remetente para determinar a ação para assumir mensagens de entrada. O agente de Análise de Protocolo é o agente subjacente para a funcionalidade de reputação do remetente.

Para obter mais informações sobre como configurar a reputação do remetente e o agente de Análise de Protocolo, confira Procedimentos de reputação do Remetente.

Por padrão, o agente de Análise de Protocolo está habilitado em servidores do Edge Transport, mas você pode habilitá-lo em servidores de caixa de correio. Para saber mais, confira Habilitar a funcionalidade antispam em servidores Caixa de Correio.

Calculando o nível de reputação do remetente (SRL)

Um SRL (nível de reputação do remetente) é calculado a partir das seguintes estatísticas:

• Análise HELO/EHLO: os comandos SMTP helo e EHLO destinam-se a fornecer o nome de domínio, como Contoso.com ou endereço IP do servidor SMTP de envio para o servidor SMTP receptor. Usuários mal-intencionados ou spammers frequentemente forjam a instrução HELO/EHLO de várias maneiras. Por exemplo, eles digitam um endereço IP que não corresponde ao endereço IP do qual a conexão se originou. Os spammers também colocam domínios que são conhecidos por serem compatíveis localmente no servidor receptor na instrução HELO na tentativa de aparecer como se os domínios estiverem na organização. Em outros casos, os spammers alteram o domínio passado na instrução HELO. O comportamento típico de um usuário legítimo pode ser usar um conjunto diferente, mas relativamente constante, de domínios em suas instruções HELO.

  Portanto, a análise da instrução HELO/EHLO em uma base de persender pode indicar que o remetente provavelmente será um spammer. Por exemplo, um remetente que fornece muitas instruções HELO/EHLO exclusivas diferentes em um período de tempo específico é mais provável que seja um spammer. Remetentes que fornecem consistentemente um endereço IP na instrução HELO que não corresponde ao endereço IP de origem conforme determinado pelo agente de Filtragem de Conexões também são mais propensos a serem spammers. Remetentes remotos que fornecem consistentemente um nome de domínio local na instrução HELO que está na mesma organização que o servidor exchange também são mais propensos a serem spammers.

• Pesquisa DNS reversa: a reputação do remetente também verifica se o endereço IP de origem do qual o remetente transmitiu a mensagem corresponde ao nome de domínio registrado que o remetente envia no comando HELO ou EHLO SMTP.

  A reputação do remetente executa uma consulta DNS reversa enviando o endereço IP de origem ao DNS. O resultado retornado pelo DNS é o nome de domínio registrado usando a autoridade de nomenclatura de domínio para esse endereço IP. A reputação do remetente compara o nome de domínio retornado pelo DNS ao nome de domínio enviado pelo remetente no comando SMTP HELO/EHLO. Se os nomes de domínio não corresponderem, o remetente provavelmente será um spammer e a classificação geral de SRL para o remetente será aumentada.

  O agente de ID do Remetente executa uma tarefa semelhante, mas o sucesso do agente de ID do Remetente depende de remetentes legítimos para atualizar sua infraestrutura DNS para identificar todos os servidores SMTP que enviam email em sua organização. Ao realizar uma pesquisa DNS reversa, você pode ajudar a identificar possíveis spammers.

• Análise das classificações de SCL em mensagens de um remetente específico: quando o agente filtro de conteúdo processa uma mensagem, ele atribui uma classificação de SCL (nível de confiança de spam) à mensagem. A classificação SCL é um número de 0 a 9. Uma classificação SCL mais alta indica que é mais provável que uma mensagem seja spam. Os dados sobre cada remetente e as classificações de SCL que suas mensagens produzem são persistentes para análise por reputação do remetente. A reputação do remetente calcula estatísticas sobre um remetente de acordo com a razão entre todas as mensagens desse remetente que tinham uma classificação SCL baixa no passado e todas as mensagens desse remetente que tinham uma classificação SCL alta no passado. Além disso, o número de mensagens que têm uma classificação SCL alta que o remetente enviou no último dia é aplicado ao SRL geral.

• Teste de proxy aberto do remetente: um proxy aberto é um servidor proxy que aceita solicitações de conexão de qualquer pessoa em qualquer lugar e encaminha o tráfego como se ele tivesse se originado dos hosts locais. Os servidores proxy retransmitim o tráfego TCP por meio de hosts de firewall para fornecer aos aplicativos de usuário acesso transparente em todo o firewall. Como os protocolos proxy são leves e independentes de protocolos de aplicativo de usuário, os proxies podem ser usados por muitos serviços diferentes. Proxies também podem ser usados para compartilhar uma única conexão com a Internet por vários hosts. Os proxies geralmente são configurados para que apenas hosts confiáveis dentro do firewall possam atravessar os proxies. Um remetente legítimo pode ser um proxy aberto devido a uma configuração incorreta ou malware não intencional.

  Os proxies abertos fornecem uma maneira ideal para os usuários mal-intencionados ocultarem suas identidades verdadeiras e iniciarem ataques de negação de serviço (DoS) ou enviarem spam. À medida que mais servidores proxy são configurados para serem abertos por padrão, proxies abertos se tornaram mais comuns. Além disso, usuários mal-intencionados podem usar vários proxies abertos juntos para ocultar o endereço IP originário do remetente.

  Quando a reputação do remetente executa um teste de proxy aberto, ele faz isso formatando uma solicitação SMTP na tentativa de se conectar novamente ao servidor exchange do proxy aberto. Se uma solicitação SMTP for recebida do proxy, a reputação do remetente verificará se o proxy é um proxy aberto e atualizará a estatística de teste de proxy aberta para esse remetente.

A reputação do remetente pesa cada uma dessas estatísticas e calcula uma SRL para cada remetente. O SRL é um número entre 0 e 9 que prevê a probabilidade de um remetente específico ser um remetente de spam ou um usuário mal-intencionado. Um valor de 0 indica que o remetente provavelmente não é um remetente de spam; um valor de 9 indica que provavelmente o remetente é um remetente de spam.

Você pode configurar um limite de bloco de 0 a 9 no qual a reputação do remetente emite uma solicitação para o agente filtro de remetente e, portanto, impede que o remetente envie uma mensagem para a organização. Quando um remetente é bloqueado, o remetente é adicionado à lista De remetentes bloqueados por um período de tempo configurável. A maneira como as mensagens bloqueadas são tratadas depende da configuração do agente de Filtro por Remetente. As seguintes ações são as opções para manipulação de mensagens bloqueadas:

• Rejeitar: as mensagens são retornadas em um relatório de não entrega (também conhecido como NDR, notificação de status de entrega, DSN ou mensagem de retorno)

• Excluir: as mensagens são excluídas silenciosamente sem uma NDR.

• Aceitar: as mensagens são aceitas e marcadas como provenientes de um remetente bloqueado

Para obter mais informações sobre o agente do Filtro de Remetente, consulte Filtragem de Remetente.

Se um remetente for incluído na lista blocos IP ou no Serviço de Reputação de IP da Microsoft, a reputação do remetente emitirá uma solicitação imediata ao agente do Filtro de Remetente para bloquear o remetente. Para aproveitar essa funcionalidade, você precisa habilitar e configurar o Serviço de Atualização Antispam do Microsoft Exchange.

Por padrão, a reputação do remetente define uma classificação de 0 para remetentes que não foram analisados. Depois que um remetente enviar 20 ou mais mensagens, a reputação do remetente calcula uma SRL com base nas estatísticas descritas anteriormente neste tópico.

Quando usar o SRL

A reputação do remetente atua em mensagens durante duas fases da sessão SMTP:

• No comando MAIL FROM: SMTP: a reputação do remetente atua em uma mensagem somente se a mensagem foi bloqueada ou executada de outra forma pelo agente de filtragem de conexão, agente de filtro de remetente, agente de filtro de destinatário ou agente de ID do Remetente. Nesse caso, a reputação do remetente recupera a classificação srl atual do remetente do perfil do remetente que persiste sobre esse remetente no servidor exchange. Depois que essa classificação é recuperada e avaliada, a configuração do servidor do Exchange dita o comportamento que ocorre em uma determinada conexão de acordo com o limite de bloco.

• Após o comando SMTP "fim dos dados": o comando SMTP do fim da transferência de dados (EOD) é dado quando todos os dados reais da mensagem são enviados. Neste ponto da sessão SMTP, muitos dos agentes antispam processaram a mensagem. Como um subproduto do processamento antispam, as estatísticas nas quais a reputação do remetente depende são atualizadas. Portanto, a reputação do remetente tem os dados para calcular ou recalcular uma classificação SRL para o remetente.

Configurando a detecção de servidores proxy abertos

Quando a reputação do remetente calcula uma SRL, a reputação do remetente tenta se conectar ao endereço IP originário do remetente usando uma variedade de protocolos proxy comuns, como SOCKS4, SOCKS5, HTTP, Telnet, Cisco e Wingate. A reputação do remetente formata uma solicitação específica do protocolo na tentativa de se conectar novamente ao servidor exchange do servidor proxy aberto usando uma solicitação SMTP. Se uma solicitação SMTP for recebida do servidor proxy, a reputação do remetente verificará se o servidor proxy é um servidor proxy aberto e ajustará a classificação SRL de acordo com este resultado. Por padrão, a detecção de servidores proxy abertos está habilitada na reputação do remetente.

Para obter mais informações sobre como configurar a detecção de servidores proxy abertos, consulte Procedimentos de reputação do Remetente.

Definir o limite de bloco SRL

O SRL é um número entre 0 e 9 que prevê a probabilidade de um remetente específico ser um remetente de spam ou um usuário mal-intencionado. Você precisa definir um limite de SRL para o bloqueio do remetente para especificar o valor SRL que faz com que a reputação do remetente bloqueie um remetente. Por padrão, o limite de bloco srl é 7, o que significa que os remetentes que têm uma SRL de 7, 8 ou 9 estão bloqueados.. Você deve monitorar a eficácia da reputação do remetente e o agente de Análise de Protocolo no nível padrão.

Em um servidor de Transporte de Borda, se o limite de bloco SRL for atendido ou excedido por um remetente específico, a reputação do remetente adicionará o remetente à lista Blocos IP no agente de Filtragem de Conexões. Às vezes, os spammers enviam lotes de spam de um único remetente. Nesse cenário, se a reputação do remetente calcular uma SRL que exceda o limite de bloco SRL, o remetente será adicionado à Lista de Blocos do Remetente por uma duração configurável de tempo. A duração padrão é 24 horas. Após 24 horas, o remetente é removido da Lista de Blocos do Remetente e pode enviar mensagens novamente.

Quando um remetente é adicionado à lista Blocos IP, a reputação do remetente exclui o perfil do remetente. A reputação do remetente exclui o perfil porque o perfil existente do remetente bloqueado indica que o SRL do remetente excede o limite de bloco SRL. Isso faria com que o remetente bloqueado fosse adicionado à lista de Blocos IP novamente assim que a duração do bloqueio do remetente terminar.

Para obter mais informações sobre como configurar o bloqueio de remetente, consulte Procedimentos de reputação do Remetente.