Práticas recomendadas para configuração do FOPE

 

Aplica-se a: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Tópico modificado por último: 2013-05-17

Nossos clientes descobriram que saber o seguinte sobre o serviço Forefront Online Protection for Exchange (FOPE) os ajudou a obter o máximo do serviço e a garantir que ele seja executado da melhor forma possível. Para exibir um vídeo que demonstre como configurar as opções descritas neste tópico, consulte Práticas recomendadas para configurar o Forefront Online Protection for Exchange (somente em inglês).

Ferramenta de Sincronização de Diretório

A Ferramenta de Sincronização de Diretório gratuita é uma boa forma de sincronizar de forma segura e automática endereços de proxy de usuário final válidos (e seus Remetentes Confiáveis, se disponível) entre um Active Directory no local e os serviços FOPE e Arquivo Morto Hospedado do Exchange. A Ferramenta de Sincronização de Diretório se encontra no seguinte endereço:http://www.microsoft.com/downloads/details.aspx?FamilyID=3cda6dcc-1124-4e0b-b991-de9d85ed12e1&DisplayLang=en

Quando a Ferramenta de Sincronização de Diretório (DST) tiver sido baixada, uma lista de usuários (e seus endereços de email) podem ser carregados via DST para a rede de Serviços Hospedados. A lista de usuários carregada pode ser usada para Bloqueio de Borda Baseado em Diretório (configurando o Bloqueio de Borda Baseado em Diretório do domínio para o modo Rejeitar), acesso de quarentena ou serviços de arquivamento.

Se a sua empresa não possui um ambiente Microsoft Windows Active Directory, você pode definir a origem da Lista de Usuários como Administration Center ou FTP Seguro (opções alternativas para carregar listas de usuários).

Para obter mais informações como, por exemplo, uma visão geral conceitual, instruções de instalação e informações de suporte sobre a DST do FOPE, consulte A Ferramenta de Sincronização de Diretório.

Configurações do registro SPF

O SPF é usado para impedir o uso não autorizado de um nome de domínio durante o envio de comunicações por email, uma técnica conhecida também como falsificação, fornecendo um mecanismo para validar os hosts de envio. Se você deseja configurar as configurações do registro SPF, use as dicas seguintes como diretriz:

  1. Para domínios de envio de saída através da rede de filtragem, você pode incluir "spf.messaging.microsoft.com" no registro SPF assim como os endereços IP individuais do servidor de correio de saída. O SPF é usado para impedir o uso não autorizado de um nome de domínio durante o envio de comunicações por email, uma técnica conhecida também como falsificação, fornecendo um mecanismo para validar os hosts de envio.

    Importante

    Essas instruções são válidas somente para domínios que enviam mensagens de saída na rede de filtragem.

  2. Como o SPF é usado para confirmar que determinado endereço IP está autorizado a enviar emails de determinado domínio, os endereços IP de saída da rede de filtragem também precisam ser incluídos no registro SPF. A maneira mais fácil de adicionar o conjunto inteiro de IPs é usando a instrução "include: spf.messaging.microsoft.com" no registro SPF.

  3. Além disso, você pode listar todos os endereços IP do servidor de email de saída. Esses endereços IP são necessários para garantir a entrega de emails para outros clientes do FOPE. Cada endereço IP deve ser adicionado com uma instrução ip4:. Por exemplo, para incluir 127.0.0.1 como um IP de envio de saída aceito, adicione "ip4:127.0.0.1" ao registro SPF. Se você souber todos os IPs autorizados, eles deverão ser adicionados usando o qualificador -all (Fail). Se você não tiver certeza de que possui a lista completa de IPs, deverá usar o qualificador ~all (SoftFail).

    Por exemplo:

    Contoso.com possui três servidores de email de saída:

    127.0.0.1

    127.0.0.2

    127.0.0.3

    O registro SPF original da Contoso era:

    "v=spf1 ip4:127.0.0.1 ip4:127.0.0.2 ip4:127.0.0.3 -all"

    Após o roteamento do email pelo FOPE, o registro SPF da Contoso será:

    "v=spf1 include:spf.messaging.microsoft.com ip4:127.0.0.1 ip4:127.0.0.2 ip4:127.0.0.3 -all"

Configurações de conexão de rede

As dicas a seguir garantirão uma transferência de dados fluida e contínua para o serviço Hosted Filtering.

  • Configure as definições no servidor SMTP com um tempo limite de conexão de 60 segundos.

  • Assim que as regras do firewall forem restringidas para permitir apenas conexões SMTP de entrada nos endereços IP utilizados pelo serviço Hosted Filtering, recomendamos que o servidor SMTP seja configurado para aceitar o maior número de conexões de entrada simultâneas do serviço de sua preferência.

  • Se o servidor estiver enviando emails de saída por meio do serviço de Filtragem Hospedada, recomendamos que o servidor seja configurado para enviar, no máximo, 50 mensagens por conexão e usar menos de 50 conexões simultâneas. Em circunstâncias normais, essas configurações garantirão uma transferência de dados fluida e contínua do servidor para o serviço.

Segurança

Restrições de IP

O acesso aos serviços assinados pode ser restrito aos usuários que se conectarem com endereços IP específicos a sites. O acesso a partir de outros endereços IP não será permitido com esta configuração, o que minimiza a probabilidade de acesso não autorizado. As configurações de restrição de IP estão disponíveis no escopo da empresa, no escopo do domínio e no escopo do usuário.

Diretivas de senha

Senhas fortes devem ser utilizadas em todas as ocasiões e para todas as contas, principalmente contas de administrador. As diretrizes a seguir podem ajudá-lo a criar senhas fortes:

  • Possuir letras maiúsculas e minúsculas, números e caracteres especiais (?, !, @, $)

  • Configure as para expirarem com frequência, a cada 3, 4 ou 6 meses.

Opções de Filtragem de Spam Adicionais

Opções de filtragem de spam adicionais (ASF) também estão disponíveis. Por padrão, recomenda-se desativar todas as opções de ASF, com as seguintes exceções possíveis:

  • Links de imagens para sites remotos – Essa configuração é recomendada para usuários que recebem inúmeros emails de mala direta, anúncios ou boletins informativos que possuem conteúdo com características de spam.

  • Falha Grave de Registro SPF – Essa configuração é recomendada para organizações preocupadas com o recebimento de mensagens de phishing.

  • Autenticação do Endereço de Origem – A ativação dessa configuração é recomendada para organizações preocupadas com phishing, especialmente se os seus próprios usuários estiverem sendo falsificados. Entretanto, recomendamos em geral que os usuários ativem esta opção em resposta a uma escalação, em vez de deixá-la ativada por padrão.

Para obter informações mais detalhadas sobre as opções de ASF e outras opções, consulte Configurando opções adicionais de filtragem de spam.

Dica

É recomendável habilitar suas opções de ASF no modo Teste para identificar outras opções de spam agressivas para maximizar o bloqueio de spam baseado no seu ambiente. Aos clientes com altas porcentagens de spam, recomendamos que essas opções sejam testadas antes de serem implementadas no ambiente de produção.

Os clientes devem enviar qualquer spam que passe por suas áreas de trabalho para a equipe de spam do serviço Hosted Filtering em abuse@messaging.microsoft.com para fins de análise.

Os clientes também têm a opção de permitir que os usuários finais instalem a Ferramenta de Relatórios de Lixo Eletrônico. Para utilização com o Microsoft® Office Outlook®, a Ferramenta Relatórios de Lixo Eletrônico habilita o usuário final a enviar mensagens de lixo eletrônico rapidamente para abuse@messaging.microsoft.com para análise, a fim de melhorar a eficácia da filtragem de lixo eletrônico.

A Ferramenta de Relatórios de Lixo Eletrônico pode ser baixada aqui: http://go.microsoft.com/fwlink/?LinkID=147248

Também é possível configurar seu domínio para exibir o link de download para a Ferramenta de Relatórios de Lixo Eletrônico aos usuários finais quando entrarem no site da quarentena.

Para obter informações mais detalhadas sobre a Ferramenta de Relatórios de Lixo Eletrônico, consulte Junk E-mail Reporting Add-in for Microsoft Office Outlook.

Envio de Falsos Positivos

A grande maioria das mensagens enviadas como falsos positivos são mensagens de spam filtradas corretamente mas que, mesmo assim, são desejadas pelos destinatários.

Para aprofundar-se no tipo e número de mensagens relatadas pelo serviço Hosted Filtering como falsos positivos, os administradores devem configurar o recurso de cópia de envio de falsos positivos do filtro de spam para fornecer uma cópia das mensagens para exame.

Importante

Antes de enviar um falso positivo, os usuários finais devem entrar no site da Quarentena para exibir a mensagem primeiro ou salvá-la para exibi-la e, depois, encaminhá-la para false_positive@messaging.microsoft.com.

As mensagens falso positivas devem ser encaminhadas com todos os cabeçalhos da internet para a caixa de correio false_positive.

Filtro de política

Regras de política

Além da filtragem de spam e de vírus, as Regras de Política do Centro de Administração do FOPE permitem que você imponha políticas específicas da empresa, configurando regras de filtragem personalizáveis. Você pode criar um conjunto específico de regras que identificam mensagens e executam uma ação específica em relação a elas enquanto são processadas pelo serviço Hosted Filtering. Por exemplo, você pode criar uma regra de política que rejeitará todos os emails de entrada que tenham uma certa palavra ou frase no campo Assunto. Além disso, os Filtros de Regras de Política permitem que você adicione e gerencie listas grandes de valores (tais como endereços de email, domínios e palavras-chave) de várias regras de política, carregando um arquivo (Dicionário).

As regras de política podem ser configuradas para uma variedade de critérios de correspondência de email:

  • Nomes e valores do campo Cabeçalho

  • Endereços IP, domínios e endereços de email do remetente

  • Domínios e endereços de email de destinatário

  • Nomes e extensão de arquivos anexados

  • Assunto, corpo e outras propriedades de mensagem do email (tamanho, número de destinatários)

Para obter mais informações sobre regras de política, consulte Regras de diretiva.

Prevenção contra phishing e falsificação

O filtro de políticas pode ser usado para ajudar a defender redes corporativas de ataques por email e proteger as informações confidenciais do usuário.

Uma proteção anti-phishing adicional pode ser obtida por meio da detecção de informações pessoais em emails saindo da organização. As expressões regulares a seguir podem ser usadas, por exemplo, para detectar transmissões de dados financeiros pessoais ou informações que comprometam a privacidade:

  • \d\d\d\d\s\d\d\d\d\s\d\d\d\d\s\d\d\d\d (MasterCard Visa)

  • \d\d\d\d\s\d\d\d\d\d\d\s\d\d\d\d\d (American Express)

  • \d\d\d\d\d\d\d\d\d\d\d\d\d\d\d\d (qualquer número com 16 dígitos)

  • \d\d\d\-\d\d\-\d\d\d\d (Números da Previdência Social)

Spam e phishing podem ser evitados por meio do bloqueio de emails de entrada que pareçam ter sido enviados do seu próprio domínio. Crie uma regra de rejeição para mensagens enviadas do domínio da empresa para seudominio.com do domínio da mesma empresa para bloquear esse tipo de remetente forjado.

Importante

Essa regra deve ser criada somente se você estiver certo de que nenhum email legítimo do seu domínio é enviado da Internet para seu servidor de email.

Bloqueio de extensão

O filtro de políticas pode ser usado de várias maneiras para defender redes corporativas de ataques por email e proteger as informações confidenciais do usuário.

A prevenção de ameaças através do bloqueio de extensões de arquivos deve, pelo menos, bloquear estas extensões: EXE, PIF, SCR, VBS

Para maior proteção, é recomendável bloquear algumas ou todas as seguintes extensões: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, exe, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh

Consulte também

Conceitos

Primeiro logon no Centro de Administração do FOPE

Outros recursos

Vídeo - Práticas recomendadas para configurar o Forefront Online Protection for Exchange