Title of the Presentation - download.microsoft.comdownload.microsoft.com/.../UCM006.pdf · investigação da Microsoft / Windows Live ... Pode-se forçar sincronização manual...

23/03/2007 11:55 AM

2005 Microsoft Corporation. All rights reserved.

This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 1

UCM006:Segurança e Higiene no ExchangeServer 2007

Jorge [email protected], Microsoft

Sergio [email protected], Microsoft

Patrocinadores Agenda

Overview Exchange 2007

Edge Server

EdgeSync

Antispam

Defense in-depth

19 níveis de defesa

Antivírus

23/03/2007 11:55 AM



Exchange Server 2007

Objectivos da Protecção Integrada

Protecção antispam integrada para clientes empresariais

Bloquear spam o mais cedo possível

Bloquear spam com precisão

Reduzir o TCO para os clientes e Microsoft

Funcionalidades para parceiros na área de antivírus

Reduzir o esforço global do antivírus na Organização

Reduzir as verificações das stores

Proteger os clientes

$

Rede InternaOutros

Servidores

SMTP

Mailbox

Mailbox

Routing Hygiene Routing Policy

Voice

Messaging

Client Access

PBX

or

VoIP

Public

Folders

Fax

Aplicações:OWA

Protocolos:ActiveSync, POP,

IMAP, RPC / HTTP …

Programação:Web services,

Web parts

Unified

Messaging

Edge

Transport

Hub

Transport

I

N

T

E

R

N

E

T

Exchange 2007 Roles

Plataforma para antispam e antivírus

Plataforma para mail seguro

Não é necessário que esteja inserido naActive Directory

Inclui novas features de Message Hygiene

Protocol Analysis e Sender Reputation

Outlook safe-list no Edge server

Exchange Server 2007 Edge Server

23/03/2007 11:55 AM



Papel do servidor Edge

Servidor de mail SMTP Empresarial de perímetro

● Pode ser stand-alone, necessita apenas porta 25

● Funcionalidades típicas de um servidor de perímetro : Re-escritade endereços, “EdgeSync”, TLS / Mutual TLS

● Alta disponibilidade com detecção de “mensagens envenenadas”

Vanguarda na protecção de perímetro

● Tecnologia antispam de vanguarda integrada e baseada na investigação da Microsoft / Windows Live

● Configuration data, Recipient data, Sincronização da lista Outlook Safe Senders com o Servidor Edge via “EdgeSync”

● TLS para encriptação caso a caso ou a todo o domínio de mail

Alta Disponibilidade

Detecção de “mensagens envenenadas”Pára de processar mensagens que estão a causarcrashes no servidor ou em agentes 3rd party

SMTP Back-PressureQuando em carga excessiva, trava o ritmo de entregade mensagens para garantir um mínimo de entregas

Limites de conecções, Sender Tarpittingset-ReceiveConnector "Receive Connector Name" -tarpitinterval 00:00:10

Jet Backed Queues1 milhão de mensagens em queue

EdgeSync

Algumas features do Edge Server dependem de informação armazenada na Active Directory

Os Edge Servers devem estar numa rede de perímetro, não estando ligados à Active Directory (workgroup)

Solução: EdgeSyncOs Hub Servers publicam informação via LDAP paraos Edge Servers

Opcional (mas recomendado)

Edge Server subscrito a todos os Hubs Servers de um site AD

Publicação da Informação - EdgeSync

Encriptação da informação dos destinatários (hashed)

Address Spaces / Informação do Conector

Usada para Domínios Autorizados

Endereços SMTP dos destinatáriosUsada para rejeitar o mail para destinatários inexistentes

Outlook Safe SendersEsta lista pode ser gerida no Outlook ou OWA

Aplica-se por recipiente (a lista de uma pessoa não é a mesma de outra)

Esta lista faz bypass aos filtro de conteúdo antispam

Não faz bypass a IP Block Lists

23/03/2007 11:55 AM



“Subscrição” - Servidores Edge

1. A “Subscrição” é criada no Servidor EdgeNew-EdgeSubscription -FileName "C:\EdgeSubscriptionInfo.xml“

2. A subscrição é importada no Servidor Hub

No site com a melhor conectividade de rede ao perímetro

O Hub fornece certificados para segurança da conectividade do Edge para o Hub

Configura conectores

New-EdgeSubscription -filename "C:\EdgeSubscriptionInfo.xml" -CreateInternetSendConnector $true -site "Default-First-Site-Name“

3. Em intervalos de 1 hora, o Hub publica a informação de configuração no Edge

1. A informação é hashed para proteção

2. Pode-se forçar sincronização manual

start-EdgeSynchronization

Exchange 2007 Anti-spam

Connection filtering

Real Time Block / Accept lists

Global Accept / Deny and Exception lists

SMTP Filtering Layer

Sender and Recipient Filtering

Sender ID Check

SMTP Command Tar-pitting

Content Filtering

Outlook Safe List Check

Anti-spam/Anti-Phishing SCL set

Per-user/OU Spam preferences

Computational Puzzle Validation

Quarantine and Spam Reporting

Connection Filtering

SMTP Filtering

Content Filtering

Inbox

Junk E-mail

Incoming

Internet

E-Mail

Exchange Server 2007 Messaging Protection Features (Spam and Virus Filtering)

`

15. User Safe/

Blocked Sender

Lists and

Store Threshold

Internet

1. Connection Filtering

Edge Transport

Server

2. Sender Filtering

3. Recipient Lookup

4. Recipient Filtering

5. Sender ID Lookup

Hub Transport

Server

14. Virus Scanning

Mailbox

Server

19. Antivirus Software

Real-time scanning

Outlook 2007

Client

18. Attachment and

Web Beacon Blocking

Inbox Junk E-mail

17. Client-Side Spam

Filtering

16. Outlook Client

Version Control

6. Protocol Analysis

8. Rule Processing

9. Content Filtering

10. Attachment Filtering

11. Virus Scanning

7. Header Filtering

13. Message Journaling

12. Rules Processing

E-Mail Postmarks

Active Directory

Safe Recipients Lists,

Safe Senders Lists, and

External Contacts

Safelist

Aggregation

Exchange ADAM

Hashed Recipient and

Safe Senders

Information

EdgeSync

23/03/2007 11:55 AM



Funcionalidades Antispam

Anti-spamFeature

Exchange 2003 RTM

Exchange 2003 SP1

Exchange 2003 SP2

Exchange 2007RTM

IP Allow / Deny Lists Yes Yes Yes Yes

IP DNS Block / Allow Lists Yes Yes Yes Yes (Add Allow)

Recipient Filtering Yes Yes Yes Yes

Sender Filtering Yes Yes Yes Yes

Content Filtering (SmartScreen) Yes Yes Yes

Content Filter Updates

(SmartScreen)Bi-weekly Daily+

Sender ID Check Yes Yes

IP Safe Lists (Bonded Sender) Yes

Computational Puzzle Validation Yes

Protocol Analysis-Data Gathering Yes

Protocol Analysis-Sender Reputation Yes

Open Proxy Block Yes

Enterprise Spam Data Update

ServiceYes

Per User/OU Spam Settings Yes

Admin Quarantine Yes


Bloquear ou permitir a conecção antes sequer de aceitar

a mensagem – 90% do SPAM!!!

IP allow lists, IP deny lists

Suporta listas públicas de IPs Autorizados e Negados

Faz bypass às outras funcionalidades antispam

Add-IPBlockListEntry -IPAddress <IPAddress> [-ExpirationTime <DateTime>]

Add-IPBlockListEntry -IPRange <IPRange> [-ExpirationTime <DateTime>]

Tarpitting


IP Reputation Service e Protocol AnalysisSender Reputation baseada na tecnologia do Hotmail

Distribuído via Microsoft Update

● Aprende com base nas

ligações ao servidor local

● Constrói a informação

para rejeição local e

bloqueia ataques

específicos de spamBaseado em médias de análise de spam,

verificações de proxy abertos, anomalias de protocolo

SMTP Filtering

Sender Filtering

Recipient filtering e Recipient LookupO EdgeSync mantém a lista de destinatários no Servidor Edge

Nos cenários Multi-forest requerem que os endereços sejam sincronizados para a Floresta onde o Edge está “subscrito”

Análise do Protocolo● Aprendizagem com base nas conecções locais

● Constrói a informação para rejeição local e bloqueia ataques específicos de spam

Baseado em médias de análise de spam,

verificações de proxy abertos, anomalias de protocoloGet-IPBlockListEntry | where { $_.isMachineGenerated -eq true }

23/03/2007 11:55 AM



Sender ID

Identificar mail forjado através do Sender ID

● Identifica o emissor através do algoritmo “PurportedResponsible Address” (PRA)

● Queries de DNS para obter os IPs do Domínio de origem e os registos SPF, que identificam os IPs de Outbound.

● Valida o IP do originador com a lista autorizações

● Os mails recebidos de outros IPs são consideradas falhas

Em caso de falha pode:

● Rejeitar a mensagem

● Tag and Pass – Contribui para classificação do Connection Filtering

Protocol Analysis Agent

Analisa e recolhe informação do emissor (endereço IP)

Sender Reputation Level (SRL)

Dados recolhidos são agregados e um reputation level é gerado

SRL Threshold

IP Reputation Service (IRS)

Serviço que fornece endereços IP e o SRL associado

Complementa o Sender Reputation gerado localmente

O Edge Server irá utilizar esta informação para gerar uma lista de Ips a bloquear

Análise de Protocolo

Intelligent Message Filter v3.0

Filtro de conteúdo Sofisticado● Gera o Spam Confidence Level (SCL) com base na análise das

mensagens

Domain Reputation● Afecta sobretudo Domínios muito bons ou muito maus

● Detecta spammers que usam Sender ID

Assinaturas de Spam● Bloqueia determinadas campanhas de spam (ex: Rolex)

Outlook E-mail postmark validation● Apenas é efectuado em mensagens passíveis de ser

consideradas Spam

● Aumenta a entrega de mensagens geradas pelo OutlookSet-ContentFilterConfig -OutlookEmailPostmarkValidationEnabled $true

Intelligent Message Filter v3.0

Anti Phishing

Baseado nos mais conhecidos ataques ao Hotmail e num número de serviços de reputation de 3rd partiesfornecidos via Microsoft Update

Phishing Confidence Level (PCL) marcado no Edge, usado pelo OWA/Outlook 2007 para melhorar a experiência do Junk Folder

Links colocados a disable

Custom weight lists

Palavras “boas” e “más”

O filtro altera o score

23/03/2007 11:55 AM



Fluxo de Mailhttp://technet.microsoft.com/en-us/library/36b6aaaa-17e2-48b9-9798-9455eb62d8f5.aspx

External

SMTP Servers

Edge Server1

SmartScreen (Content

Filter)Signatures Content

Phishing

2

Protocol AnalysisContentVerbs

Reputation Open Proxy

Sender Reputation

Database

IP207.46.181.2

SRL7

IRS Fed table

IP207.46.181.2

SRL7

Local SRL table

Heuristics

Database

Updates

Microsoft

Update

Publishing

TCS Training

Systems

Content Filter

DAT

IRS Reputation

DAT

3

Microsoft

Update

Client

Protocol

Analysis

Background

Agent

4

5

SRL Logic

Content Filter

Updates

IRS Updates

6

Blocked IPs

Quarentena de Spam

Mensagens acima de um determinado SCL são colocadas em Quarentena

Mailbox em Exchange 2007

Enviar novamente e procurar

Entegues como NDRs, permitindo o “send again”

Acesso à Quarantena através do Outlook / OWA

A mensagem é colocada no formato original no fluxo de mail

A gestão da Quarentena é feita pelos Admins de mail

O OWA/Outlook junk folder é gerido pelos users

Disponíveis para os utilizadoresX-MS-Exchange-Organization-PRD: 53.com

Received-SPF: None (tk5-exgwy-e803.partners.extranet.microsoft.com:

[email protected] does not designate permitted sender hosts)

X-MS-Exchange-Organization-PCL: 2

X-MS-Exchange-Organization-Antispam-Report: DV:3.3.4931.660;SV:3.3.4931.1068;SID:SenderIDStatus None

X-MS-Exchange-Organization-SCL: 8

X-MS-Exchange-Organization-SenderIdResult: NONE

X-MS-Exchange-Organization-PRD: response.microsoft.com

Received-SPF: Pass (SVC-EXGWY-E802.partners.extranet.microsoft.com: domain

of [email protected] designates 64.5.35.21 as

permitted sender) receiver=SVC-EXGWY-E802.partners.extranet.microsoft.com;

client-ip=64.5.35.21; helo=omh.response.microsoft.com;

X-MS-Exchange-Organization-PCL: 2

X-MS-Exchange-Organization-Antispam-Report: DV:3.3.4909.660;SV:3.3.4911.795;SID:SenderIDStatus Pass

X-MS-Exchange-Organization-SCL: 1

X-MS-Exchange-Organization-SenderIdResult: PASS

Seguros – protegidos pelo header firewall

Antispam Headers Exchange Server 2007 Messaging Protection Features (Spam and Virus Filtering)

`

15. User Safe/

Blocked Sender

Lists and

Store Threshold

Internet

1. Connection Filtering

Edge Transport

Server

2. Sender Filtering

3. Recipient Lookup

4. Recipient Filtering

5. Sender ID Lookup

Hub Transport

Server

14. Virus Scanning

Mailbox

Server

19. Antivirus Software

Real-time scanning

Outlook 2007

Client

18. Attachment and

Web Beacon Blocking

Inbox Junk E-mail

17. Client-Side Spam

Filtering

16. Outlook Client

Version Control

6. Protocol Analysis

8. Rule Processing

9. Content Filtering

10. Attachment Filtering

11. Virus Scanning

7. Header Filtering

13. Message Journaling

12. Rules Processing

E-Mail Postmarks

Active Directory

Safe Recipients Lists,

Safe Senders Lists, and

External Contacts

Safelist

Aggregation

Exchange ADAM

Hashed Recipient and

Safe Senders

Information

EdgeSync

23/03/2007 11:55 AM



Gestão do Exchange Antispam

Nota: usar o script install-antispamagents.ps1 para o deploy de anti-spam nos Hubs em organizações que nãotêm Edge.

Configuração

Definição de acções para os níveis SCL (contentFilterConfig)

Definição das listas dos Servidores internos (InternalSMTPServers)

Definições de antispam por mailbox e por OU

Possibilidade de configurar excepções

Set-mailbox postmaster –bypassAntispamEnabled:$true

Diagnóstico e Monitorização

O ESM é uma UI intuitiva para a maioria das tarefas

Eventos, Alertas, Relatórios via MOM

O ExBPA ajuda a manter as melhores práticas

Acções baseadas no SCL da mensagem

Thresholds podem ser configurados por utilizador

Set-mailbox jorgefe –SCLRejectThreshold:5

Configuração de SCL Thresholds

Actualizações Antispam Enterprise

Disponíveis através da Exchange EnterpriseCAL ou através da licença Forefront

Actualizações contínuas pelo canal de filtros antispam

● Publicados no “Microsoft Update” (MU)

● Não necessita de manutenção para actualizar os filtros do Edge

● Suporte para WSUS

As actualizações incluem:

● Actualizações diárias dos filtros de conteúdos do IMF

● Múltiplas actualizações das listas de IP Reputation

● Múltiplas actualizações das spam signatures

Configuração das actualizações do Antispam

23/03/2007 11:55 AM



Monitorização Antispam

Contadores de Performance (Perfmon)

Mensagens por nível de SCL

Número de Mensagens em Quarentena, Apagadas, Rejeitadas

Agregados no Exchange 2007 MOM MP

Relatórios

Hit Rate for Block Lists

Top spam sender domain, top spam sending IP

Top targeted domain/recipient

Exchange 2007 Anti-virus

Scan da Infraestrutura

● Recomendada ao nível do Edge e Hub

● Novas funcionalidades

Anti-virus Stamp para minimizar o scan desnecessário

Transport Agent permite ao scanner AV utilizar osparsers MIME e TNEF incluídos

● VSAPI ainda é utilizada para fazer o scan das mensagens na store

Anti-virus Transport Stamp

Cada mensagem apenas é analisada uma vez● Internet mail é sempre analisado no Edge

● Intranet mail é sempre analisado no Hub

● Na maior parte dos casos não é necessário analisar a mensagem na store

● Mensagem para 1000 destinatários são analisadasuma única vez (no Hub)

Aumenta significativamente a performance da Store

Store é o que gera mais I/O

Forefront AV para Exchange suporta opção de analisar as mensagens em todos os pontos (Edge, Hub, Store)

23/03/2007 11:55 AM



Múltiplos Motores de Antivírus

MicrosoftAhn LabsAuthentiumCA VETCA InoculateIT

O Forefront possui motores de antivirus da Microsoft e muitos outros 3rd party

Todos os motores estão licenciados pelo Forefront

Beneficia da experiência dos diversos motores

O Forefront gere os updates e assinaturas de todosos motores

Pode usar 5 motores simultaneamente

KasperskyNorman Data DefenseSophosVirus Buster

Servidores Exchange 2007 Edge, Hub e Mailbox

Exchange Public

Folder Server Exchange

Mailbox

Server

Exchange2007 Hub

Server

InternetExchange2007 Edge

Server

Protecção Multi-Layer Distribuida

S

Not Re-Scanned

Not Re-Scanned

ScanAV Stamp

Servidores Exchange 2007 Edge, Hub e Mailbox

Exchange Public

Folder Server Exchange

Mailbox

Server

Exchange2007 Hub

Server

InternetExchange2007 Edge

Server

Protecção Multi-Layer Distribuida

S

Not Re-Scanned

Not Re-Scanned

ScanAV Stamp

SScanAV

Stamp

Exchange Hosted Filtering

• Apenas necessita de um MX record

• Real-time Attack Prevention (RTAP) e Directory Services protegidos contra ataques

• Filtro de virus fornece protecção contra ataques day-zero através da utilizaçãomúltiplos motores de anti-vírus

• Email Retention e Email Queue

23/03/2007 11:55 AM



Encriptação: Cliente Servidor

Os clientes Outlook são seguros pordefeito

Clientes de Internet: OWA, ExchangeActiveSync, POP, IMAP, Web Services

ClientsInternal

Hubs

Perimeter

Server

Partner’s

Perimeter

Server

Safe and Happy End Users

Resources/Recursos Úteis

Exchange 2007

http://www.microsoft.com/exchange/default.mspx

Exchange Server TechCenter

http://www.microsoft.com/technet/prodtechnol/exchange/default.mspx

You had me at EHLO

http://msexchangeteam.com/

Related Sessions/ParticipeNoutras Sessões

UCM007 – Conformidadee Retenção de Informação no Exchange Server 2007

22 Março 2007, 9:30

UCM008 – Como evitar Spam

22 Março 2007, 11:15

http://www.microsoft.com/exchange/default.mspx



http://msexchangeteam.com/

23/03/2007 11:55 AM



Ask-the-ExpertObtenha Respostas às Suas Questões

22 Março 2007, 9:30 – 12:00

Outros RecursosPara Profissionais de TI

TechNet Plus2 incidentes de suporte gratuito profissional

software exclusivo: Capacity Planner

software Microsoft para avaliação

actualizações de segurança e service packs

acesso privilegiado à knowledge base

formação gratuita

e muito mais.

www.microsoft.com/technet/subscricoes

Questionário de AvaliaçãoPassatempo!

Complete o questionário de avaliação e devolva-o no balcão da recepção.

Habilite-se a ganhar uma Xbox 360 por dia!

UCM006

Segurança e higiene de Mensagens no Exchange Server 2007

23/03/2007 11:55 AM



© 2007 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Title of the Presentation - download.microsoft.comdownload.microsoft.com/.../UCM006.pdf · investigação da Microsoft / Windows Live ... Pode-se forçar sincronização manual...

Documents