Page 1
23/03/2007 11:55 AM
2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 1
UCM006:Segurança e Higiene no ExchangeServer 2007
Jorge [email protected] , Microsoft
Sergio [email protected] , Microsoft
Patrocinadores Agenda
Overview Exchange 2007
Edge Server
EdgeSync
Antispam
Defense in-depth
19 níveis de defesa
Antivírus
Page 2
23/03/2007 11:55 AM
2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 2
Exchange Server 2007
Objectivos da Protecção Integrada
Protecção antispam integrada para clientes empresariais
Bloquear spam o mais cedo possível
Bloquear spam com precisão
Reduzir o TCO para os clientes e Microsoft
Funcionalidades para parceiros na área de antivírus
Reduzir o esforço global do antivírus na Organização
Reduzir as verificações das stores
Proteger os clientes
$
Rede InternaOutros
Servidores
SMTP
Mailbox
Mailbox
Routing Hygiene Routing Policy
Voice
Messaging
Client Access
PBX
or
VoIP
Public
Folders
Fax
Aplicações:OWA
Protocolos:ActiveSync, POP,
IMAP, RPC / HTTP …
Programação:Web services,
Web parts
Unified
Messaging
Edge
Transport
Hub
Transport
I
N
T
E
R
N
E
T
Exchange 2007 Roles
Plataforma para antispam e antivírus
Plataforma para mail seguro
Não é necessário que esteja inserido naActive Directory
Inclui novas features de Message Hygiene
Protocol Analysis e Sender Reputation
Outlook safe-list no Edge server
Exchange Server 2007 Edge Server
Page 3
23/03/2007 11:55 AM
2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 3
Papel do servidor Edge
Servidor de mail SMTP Empresarial de perímetro
● Pode ser stand-alone, necessita apenas porta 25
● Funcionalidades típicas de um servidor de perímetro : Re-escritade endereços, “EdgeSync”, TLS / Mutual TLS
● Alta disponibilidade com detecção de “mensagens envenenadas”
Vanguarda na protecção de perímetro
● Tecnologia antispam de vanguarda integrada e baseada na investigação da Microsoft / Windows Live
● Configuration data, Recipient data, Sincronização da lista Outlook Safe Senders com o Servidor Edge via “EdgeSync”
● TLS para encriptação caso a caso ou a todo o domínio de mail
Alta Disponibilidade
Detecção de “mensagens envenenadas”Pára de processar mensagens que estão a causarcrashes no servidor ou em agentes 3rd party
SMTP Back-PressureQuando em carga excessiva, trava o ritmo de entregade mensagens para garantir um mínimo de entregas
Limites de conecções, Sender Tarpittingset-ReceiveConnector "Receive Connector Name" -tarpitinterval 00:00:10
Jet Backed Queues1 milhão de mensagens em queue
EdgeSync
Algumas features do Edge Server dependem de informação armazenada na Active Directory
Os Edge Servers devem estar numa rede de perímetro, não estando ligados à Active Directory (workgroup)
Solução: EdgeSyncOs Hub Servers publicam informação via LDAP paraos Edge Servers
Opcional (mas recomendado)
Edge Server subscrito a todos os Hubs Servers de um site AD
Publicação da Informação - EdgeSync
Encriptação da informação dos destinatários (hashed)
Address Spaces / Informação do Conector
Usada para Domínios Autorizados
Endereços SMTP dos destinatáriosUsada para rejeitar o mail para destinatários inexistentes
Outlook Safe SendersEsta lista pode ser gerida no Outlook ou OWA
Aplica-se por recipiente (a lista de uma pessoa não é a mesma de outra)
Esta lista faz bypass aos filtro de conteúdo antispam
Não faz bypass a IP Block Lists
Page 4
23/03/2007 11:55 AM
2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 4
“Subscrição” - Servidores Edge
1. A “Subscrição” é criada no Servidor EdgeNew-EdgeSubscription -FileName "C:\EdgeSubscriptionInfo.xml“
2. A subscrição é importada no Servidor Hub
No site com a melhor conectividade de rede ao perímetro
O Hub fornece certificados para segurança da conectividade do Edge para o Hub
Configura conectores
New-EdgeSubscription -filename "C:\EdgeSubscriptionInfo.xml" -CreateInternetSendConnector $true -site "Default-First-Site-Name“
3. Em intervalos de 1 hora, o Hub publica a informação de configuração no Edge
1. A informação é hashed para proteção
2. Pode-se forçar sincronização manual
start-EdgeSynchronization
Exchange 2007 Anti-spam
Connection filtering
Real Time Block / Accept lists
Global Accept / Deny and Exception lists
SMTP Filtering Layer
Sender and Recipient Filtering
Sender ID Check
SMTP Command Tar-pitting
Content Filtering
Outlook Safe List Check
Anti-spam/Anti-Phishing SCL set
Per-user/OU Spam preferences
Computational Puzzle Validation
Quarantine and Spam Reporting
Connection Filtering
SMTP Filtering
Content Filtering
Inbox
Junk E-mail
Incoming
Internet
E-Mail
Exchange Server 2007 Messaging Protection Features (Spam and Virus Filtering)
`
15. User Safe/
Blocked Sender
Lists and
Store Threshold
Internet
1. Connection Filtering
Edge Transport
Server
2. Sender Filtering
3. Recipient Lookup
4. Recipient Filtering
5. Sender ID Lookup
Hub Transport
Server
14. Virus Scanning
Mailbox
Server
19. Antivirus Software
Real-time scanning
Outlook 2007
Client
18. Attachment and
Web Beacon Blocking
Inbox Junk E-mail
17. Client-Side Spam
Filtering
16. Outlook Client
Version Control
6. Protocol Analysis
8. Rule Processing
9. Content Filtering
10. Attachment Filtering
11. Virus Scanning
7. Header Filtering
13. Message Journaling
12. Rules Processing
E-Mail Postmarks
Active Directory
Safe Recipients Lists,
Safe Senders Lists, and
External Contacts
Safelist
Aggregation
Exchange ADAM
Hashed Recipient and
Safe Senders
Information
EdgeSync
Page 5
23/03/2007 11:55 AM
2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 5
Funcionalidades Antispam
Anti-spamFeature
Exchange 2003 RTM
Exchange 2003 SP1
Exchange 2003 SP2
Exchange 2007RTM
IP Allow / Deny Lists Yes Yes Yes Yes
IP DNS Block / Allow Lists Yes Yes Yes Yes (Add Allow)
Recipient Filtering Yes Yes Yes Yes
Sender Filtering Yes Yes Yes Yes
Content Filtering (SmartScreen) Yes Yes Yes
Content Filter Updates
(SmartScreen)Bi-weekly Daily+
Sender ID Check Yes Yes
IP Safe Lists (Bonded Sender) Yes
Computational Puzzle Validation Yes
Protocol Analysis-Data Gathering Yes
Protocol Analysis-Sender Reputation Yes
Open Proxy Block Yes
Enterprise Spam Data Update
ServiceYes
Per User/OU Spam Settings Yes
Admin Quarantine Yes
Connection Filtering
Bloquear ou permitir a conecção antes sequer de aceitar
a mensagem – 90% do SPAM!!!
IP allow lists, IP deny lists
Suporta listas públicas de IPs Autorizados e Negados
Faz bypass às outras funcionalidades antispam
Add-IPBlockListEntry -IPAddress <IPAddress> [-ExpirationTime <DateTime>]
Add-IPBlockListEntry -IPRange <IPRange> [-ExpirationTime <DateTime>]
Tarpitting
Connection Filtering
IP Reputation Service e Protocol AnalysisSender Reputation baseada na tecnologia do Hotmail
Distribuído via Microsoft Update
● Aprende com base nas
ligações ao servidor local
● Constrói a informação
para rejeição local e
bloqueia ataques
específicos de spamBaseado em médias de análise de spam,
verificações de proxy abertos, anomalias de protocolo
SMTP Filtering
Sender Filtering
Recipient filtering e Recipient LookupO EdgeSync mantém a lista de destinatários no Servidor Edge
Nos cenários Multi-forest requerem que os endereços sejam sincronizados para a Floresta onde o Edge está “subscrito”
Análise do Protocolo● Aprendizagem com base nas conecções locais
● Constrói a informação para rejeição local e bloqueia ataques específicos de spam
Baseado em médias de análise de spam,
verificações de proxy abertos, anomalias de protocoloGet-IPBlockListEntry | where { $_.isMachineGenerated -eq true }
Page 6
23/03/2007 11:55 AM
2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 6
Sender ID
Identificar mail forjado através do Sender ID
● Identifica o emissor através do algoritmo “PurportedResponsible Address” (PRA)
● Queries de DNS para obter os IPs do Domínio de origem e os registos SPF, que identificam os IPs de Outbound.
● Valida o IP do originador com a lista autorizações
● Os mails recebidos de outros IPs são consideradas falhas
Em caso de falha pode:
● Rejeitar a mensagem
● Tag and Pass – Contribui para classificação do Connection Filtering
Protocol Analysis Agent
Analisa e recolhe informação do emissor (endereço IP)
Sender Reputation Level (SRL)
Dados recolhidos são agregados e um reputation level é gerado
SRL Threshold
IP Reputation Service (IRS)
Serviço que fornece endereços IP e o SRL associado
Complementa o Sender Reputation gerado localmente
O Edge Server irá utilizar esta informação para gerar uma lista de Ips a bloquear
Análise de Protocolo
Intelligent Message Filter v3.0
Filtro de conteúdo Sofisticado● Gera o Spam Confidence Level (SCL) com base na análise das
mensagens
Domain Reputation● Afecta sobretudo Domínios muito bons ou muito maus
● Detecta spammers que usam Sender ID
Assinaturas de Spam● Bloqueia determinadas campanhas de spam (ex: Rolex)
Outlook E-mail postmark validation● Apenas é efectuado em mensagens passíveis de ser
consideradas Spam
● Aumenta a entrega de mensagens geradas pelo OutlookSet-ContentFilterConfig -OutlookEmailPostmarkValidationEnabled $true
Intelligent Message Filter v3.0
Anti Phishing
Baseado nos mais conhecidos ataques ao Hotmail e num número de serviços de reputation de 3rd partiesfornecidos via Microsoft Update
Phishing Confidence Level (PCL) marcado no Edge, usado pelo OWA/Outlook 2007 para melhorar a experiência do Junk Folder
Links colocados a disable
Custom weight lists
Palavras “boas” e “más”
O filtro altera o score
Page 7
23/03/2007 11:55 AM
2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 7
Fluxo de Mailhttp://technet.microsoft.com/en-us/library/36b6aaaa-17e2-48b9-9798-9455eb62d8f5.aspx
External
SMTP Servers
Edge Server1
SmartScreen (Content
Filter)Signatures Content
Phishing
2
Protocol AnalysisContentVerbs
Reputation Open Proxy
Sender Reputation
Database
IP207.46.181.2
SRL7
IRS Fed table
IP207.46.181.2
SRL7
Local SRL table
Heuristics
Database
Updates
Microsoft
Update
Publishing
TCS Training
Systems
Content Filter
DAT
IRS Reputation
DAT
3
Microsoft
Update
Client
Protocol
Analysis
Background
Agent
4
5
SRL Logic
Content Filter
Updates
IRS Updates
6
Blocked IPs
Quarentena de Spam
Mensagens acima de um determinado SCL são colocadas em Quarentena
Mailbox em Exchange 2007
Enviar novamente e procurar
Entegues como NDRs, permitindo o “send again”
Acesso à Quarantena através do Outlook / OWA
A mensagem é colocada no formato original no fluxo de mail
A gestão da Quarentena é feita pelos Admins de mail
O OWA/Outlook junk folder é gerido pelos users
Disponíveis para os utilizadoresX-MS-Exchange-Organization-PRD: 53.com
Received-SPF: None (tk5-exgwy-e803.partners.extranet.microsoft.com:
[email protected] does not designate permitted sender hosts)
X-MS-Exchange-Organization-PCL: 2
X-MS-Exchange-Organization-Antispam-Report: DV:3.3.4931.660;SV:3.3.4931.1068;SID:SenderIDStatus None
X-MS-Exchange-Organization-SCL: 8
X-MS-Exchange-Organization-SenderIdResult: NONE
X-MS-Exchange-Organization-PRD: response.microsoft.com
Received-SPF: Pass (SVC-EXGWY-E802.partners.extranet.microsoft.com: domain
of [email protected] designates 64.5.35.21 as
permitted sender) receiver=SVC-EXGWY-E802.partners.extranet.microsoft.com;
client-ip=64.5.35.21; helo=omh.response.microsoft.com;
X-MS-Exchange-Organization-PCL: 2
X-MS-Exchange-Organization-Antispam-Report: DV:3.3.4909.660;SV:3.3.4911.795;SID:SenderIDStatus Pass
X-MS-Exchange-Organization-SCL: 1
X-MS-Exchange-Organization-SenderIdResult: PASS
Seguros – protegidos pelo header firewall
Antispam Headers Exchange Server 2007 Messaging Protection Features (Spam and Virus Filtering)
`
15. User Safe/
Blocked Sender
Lists and
Store Threshold
Internet
1. Connection Filtering
Edge Transport
Server
2. Sender Filtering
3. Recipient Lookup
4. Recipient Filtering
5. Sender ID Lookup
Hub Transport
Server
14. Virus Scanning
Mailbox
Server
19. Antivirus Software
Real-time scanning
Outlook 2007
Client
18. Attachment and
Web Beacon Blocking
Inbox Junk E-mail
17. Client-Side Spam
Filtering
16. Outlook Client
Version Control
6. Protocol Analysis
8. Rule Processing
9. Content Filtering
10. Attachment Filtering
11. Virus Scanning
7. Header Filtering
13. Message Journaling
12. Rules Processing
E-Mail Postmarks
Active Directory
Safe Recipients Lists,
Safe Senders Lists, and
External Contacts
Safelist
Aggregation
Exchange ADAM
Hashed Recipient and
Safe Senders
Information
EdgeSync
Page 8
23/03/2007 11:55 AM
2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 8
Gestão do Exchange Antispam
Nota: usar o script install-antispamagents.ps1 para o deploy de anti-spam nos Hubs em organizações que nãotêm Edge.
Configuração
Definição de acções para os níveis SCL (contentFilterConfig)
Definição das listas dos Servidores internos (InternalSMTPServers)
Definições de antispam por mailbox e por OU
Possibilidade de configurar excepções
Set-mailbox postmaster –bypassAntispamEnabled:$true
Diagnóstico e Monitorização
O ESM é uma UI intuitiva para a maioria das tarefas
Eventos, Alertas, Relatórios via MOM
O ExBPA ajuda a manter as melhores práticas
Acções baseadas no SCL da mensagem
Thresholds podem ser configurados por utilizador
Set-mailbox jorgefe –SCLRejectThreshold:5
Configuração de SCL Thresholds
Actualizações Antispam Enterprise
Disponíveis através da Exchange EnterpriseCAL ou através da licença Forefront
Actualizações contínuas pelo canal de filtros antispam
● Publicados no “Microsoft Update” (MU)
● Não necessita de manutenção para actualizar os filtros do Edge
● Suporte para WSUS
As actualizações incluem:
● Actualizações diárias dos filtros de conteúdos do IMF
● Múltiplas actualizações das listas de IP Reputation
● Múltiplas actualizações das spam signatures
Configuração das actualizações do Antispam
Page 9
23/03/2007 11:55 AM
2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 9
Monitorização Antispam
Contadores de Performance (Perfmon)
Mensagens por nível de SCL
Número de Mensagens em Quarentena, Apagadas, Rejeitadas
Agregados no Exchange 2007 MOM MP
Relatórios
Hit Rate for Block Lists
Top spam sender domain, top spam sending IP
Top targeted domain/recipient
Exchange 2007 Anti-virus
Scan da Infraestrutura
● Recomendada ao nível do Edge e Hub
● Novas funcionalidades
Anti-virus Stamp para minimizar o scan desnecessário
Transport Agent permite ao scanner AV utilizar osparsers MIME e TNEF incluídos
● VSAPI ainda é utilizada para fazer o scan das mensagens na store
Anti-virus Transport Stamp
Cada mensagem apenas é analisada uma vez● Internet mail é sempre analisado no Edge
● Intranet mail é sempre analisado no Hub
● Na maior parte dos casos não é necessário analisar a mensagem na store
● Mensagem para 1000 destinatários são analisadasuma única vez (no Hub)
Aumenta significativamente a performance da Store
Store é o que gera mais I/O
Forefront AV para Exchange suporta opção de analisar as mensagens em todos os pontos (Edge, Hub, Store)
Page 10
23/03/2007 11:55 AM
2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 10
Múltiplos Motores de Antivírus
MicrosoftAhn LabsAuthentiumCA VETCA InoculateIT
O Forefront possui motores de antivirus da Microsoft e muitos outros 3rd party
Todos os motores estão licenciados pelo Forefront
Beneficia da experiência dos diversos motores
O Forefront gere os updates e assinaturas de todosos motores
Pode usar 5 motores simultaneamente
KasperskyNorman Data DefenseSophosVirus Buster
Servidores Exchange 2007 Edge, Hub e Mailbox
Exchange Public
Folder Server Exchange
Mailbox
Server
Exchange2007 Hub
Server
InternetExchange2007 Edge
Server
Protecção Multi-Layer Distribuida
S
Not Re-Scanned
Not Re-Scanned
ScanAV Stamp
Servidores Exchange 2007 Edge, Hub e Mailbox
Exchange Public
Folder Server Exchange
Mailbox
Server
Exchange2007 Hub
Server
InternetExchange2007 Edge
Server
Protecção Multi-Layer Distribuida
S
Not Re-Scanned
Not Re-Scanned
ScanAV Stamp
SScanAV
Stamp
Exchange Hosted Filtering
• Apenas necessita de um MX record
• Real-time Attack Prevention (RTAP) e Directory Services protegidos contra ataques
• Filtro de virus fornece protecção contra ataques day-zero através da utilizaçãomúltiplos motores de anti-vírus
• Email Retention e Email Queue
Page 11
23/03/2007 11:55 AM
2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 11
Encriptação: Cliente Servidor
Os clientes Outlook são seguros pordefeito
Clientes de Internet: OWA, ExchangeActiveSync, POP, IMAP, Web Services
ClientsInternal
Hubs
Perimeter
Server
Partner’s
Perimeter
Server
Safe and Happy End Users
Resources/Recursos Úteis
Exchange 2007
http://www.microsoft.com/exchange/default.mspx
Exchange Server TechCenter
http://www.microsoft.com/technet/prodtechnol/exchange/default.mspx
You had me at EHLO
http://msexchangeteam.com/
Related Sessions/ParticipeNoutras Sessões
UCM007 – Conformidadee Retenção de Informação no Exchange Server 2007
22 Março 2007, 9:30
UCM008 – Como evitar Spam
22 Março 2007, 11:15
Page 12
23/03/2007 11:55 AM
2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 12
Ask-the-ExpertObtenha Respostas às Suas Questões
22 Março 2007, 9:30 – 12:00
Outros RecursosPara Profissionais de TI
TechNet Plus2 incidentes de suporte gratuito profissional
software exclusivo: Capacity Planner
software Microsoft para avaliação
actualizações de segurança e service packs
acesso privilegiado à knowledge base
formação gratuita
e muito mais.
www.microsoft.com/technet/subscricoes
Questionário de AvaliaçãoPassatempo!
Complete o questionário de avaliação e devolva-o no balcão da recepção.
Habilite-se a ganhar uma Xbox 360 por dia!
UCM006
Segurança e higiene de Mensagens no Exchange Server 2007
Page 13
23/03/2007 11:55 AM
2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 13
© 2007 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.