Search Blogs
Tags
Blog - News

Where Are You Coming From Today?

Where are you now?

Follow us on:

Options
Archive
Archives

Estrutura de Anti-Spam no Exchange Server 2003 Service Pack 2 – Parte III

TechNet Blogs > LATAM Team blog > Estrutura de Anti-Spam no Exchange Server 2003 Service Pack 2 – Parte III

Estrutura de Anti-Spam no Exchange Server 2003 Service Pack 2 – Parte III

9 Jun 2006 6:50 PM
  • Comments 3

 

Estrutura de Anti-Spam no Exchange Server 2003 Service Pack 2 – Parte III

Por: Viviane Lopes

 

Neste artigo, vamos conhecer o último nível de proteção anti-spam do Exchange 2003 Service Pack 2.

 

Filtro de Conteúdo

 

Depois que a mensagem passa pelo filtros de conexão e de protocolo, a próxima camada de defesa é o filtro de conteúdo, onde o conteúdo da mensagem será analisado.

 

1.     Exchange Intelligent Message Filter

 

O Intelligent Message Filter, mais conhecido como IMF, é um filtro de conteúdo desenvolvido especialmente para o Exchange. O IMF é baseado em uma tecnologia patenteada pela Microsoft chamada Microsoft SmartScreen®. O SmartScreen é utilizado também pelo MSN, Hotmail e pelo Outlook 2003.

 

Diferente de outras tecnologias, o IMF utiliza uma amostragem estatística contendo exemplos de mensagens de SPAM para determinar se a mensagem é SPAM ou não. Adicionalmente, mensagens legitimas são incluídas nesta amostragem, reduzindo a possibilidade de erros. Como o IMF reconhece as características dos dois tipos de mensagens, legitima e SPAM, a precisão do IMF é aumentada.

 

O IMF deve ser instalado em servidores Exchange que aceitam mensagens da Internet. Quando um usuário externo envia uma mensagem para um Exchange com IMF habilitado, o conteúdo desta mensagem é analisado e uma pontuação é estampada no cabeçalho da mensagem indicando a probabilidade da mensagem ser SPAM.

 

A pontuação varia de 1 a 9. Esta informação fica armazenada em uma propriedade de mensagem chamada ‘SPAM Confidence Level’ (SCL). Esta propriedade é mantida na mensagem mesmo quando ela passa outros servidores Exchange dentro da organização.


 

 

Depois que o IMF estampa o SCL na mensagem, a mesma será avaliada por duas configurações definidas pelo administrador, conforme explicado à seguir:

 

  1. Gateway blocking configuration: Block messages with an SCL rating greater than or equal to:

 

Se o SCL da mensagem for igual ou maior que o valor configurado aqui, uma das seguintes ações será tomada contra a mensagem:

    1. Archive (arquivar a mensagem)
    2. Delete (apagar a mensagem)
    3. No action (nenhuma ação será tomada)
    4. Reject (recusar a mensagem)

 

  1. Store junk e-mail configuration: Move messages with an SCL rating greater than.

 

Se o SCL da mensagem for maior que o valor configurado aqui, a mensagem será entregue ao usuário, porém a mesma será colocada na pasta “Lixo Eletrônico” (a menos que o usuário tenha adicionado este remetente na lista de “remetentes seguros” do Outlook). 

 

 

 

 

 

1.1  IMF Custom Weighting

 

O IMF possui uma funcionalidade denominada “Custom Weighting”, que permite aos administradores customizar o comportamento do IMF, baseado em frases encontradas no corpo da mensagem, no assunto ou em ambos.

 

Para implementar esta funcionalidade, é preciso criar um arquivo chamado MSExchange.UceContentFilter.xml  e salvá-lo dentro do mesmo diretório onde os arquivos MSExchange.UceContentFilter.dll e .DAT se encontram. Tipicamente estes arquivos estarão no diretório “C:\Program Files\Exchsrvr\bin\MSCFV2”.

 

O arquivo MSExchange.UceContentFilter.xml define frases as quais o IMF dará maior ou menor ênfase. Isso permite a customização do funcionamento do IMF de forma a permitir ou negar mensagens baseado em frases, que de outra forma, receberiam um SCL diferente pelo IMF.

 

O IMF carrega o arquivo .XML durante a sua inicialização, e entende mudanças realizadas no arquivo sem que seja necessário reinicializar o serviço de SMTP no Exchange.

 

Exemplo de um MSExchange.UceContentFilter.xml:

 

<?xml version="1.0" encoding="UTF-16"?>

<CustomWeightEntries xmlns="http://schemas.microsoft.com/2005/CustomWeight">

            <CustomWeightEntry Type="BODY" Change="1" Text="Compre agora"/>

            <CustomWeightEntry Type="BODY" Change="-1" Text="Spam"/>

            <CustomWeightEntry Type="SUBJECT" Change="MIN" Text="Ofertas imperdiveis"/>

            <CustomWeightEntry Type="BOTH" Change="MAX" Text="Sexo gratis!"/>

</CustomWeightEntries>

 

Durante o processamento da mensagem, o IMF lê o arquivo XML e então busca dentro da mensagem por uma string/palavra/frase que esteja listado na customização. Se algo for encontrado, o SCL da mensagem será ajustado de acordo com o “modificador” especificado.

 

Por exemplo, se a mensagem receber um SCL inicial de 4, e possuir a frase “Compre agora, o SCL será ajustado em mais 1 ponto. O valor final será SCL = 5.

 

Se você especificar MAX ou MIN no modificador para uma frase ou palavra específica, quando a mesma for encontrada em uma mensagem, o IMF irá mover o SCL para o valor máximo (9), ou mínimo (0).

 

Especificação dos campos do arquivo MSExchange.UceContentFilter.xml:

 

Type= BODY – busca da frase ou palavra no corpo da mensagem

Type= SUBJECT -  Busca da frase ou palavra no assunto da mensagem

Type= BOTH – busca da frase ou palavra no corpo e assunto da mensagem

 

CHANGE – modificador que indica o ajuste a ser realizado no SCL da mensagem. Se você utilizar MAX, o SCL será ajustado para o valor máximo 9. Se você utilizar MIN, o SCL será ajustado para 0. Valores negativos decrementam o SCL, e valores positivos incrementam o SCL.

 

Na Microsoft, 38% da mensagens que passam o filtro de conexão e o filtro de protocolo são bloqueadas pelo IMF.

 

 

2.   Lixo Eletrônico no Outlook 2003 e Outlook Web Access

 

Depois que a mensagem passar a linha de defesa baseada no servidor, o cliente Outlook 2003 pode atuar nas mensagens com o SCL maior ou igual a configuração especificada para armazenar lixo eletrônico no IMF. As mensagens que excederem a configuração especificada no servidor serão enviadas a pasta Lixo Eletrônico do cliente.

 

O Outlook 2003 e OWA permite ao usuário criar uma lista de remetentes seguros – esta lista contem endereços de e-mail de usuários os quais o clientes sempre irá aceitar mensagens. Também é possível criar uma lista de usuários bloqueados, ou seja, remetentes os quais o usuário não deseja receber mensagens.

 

Independente do SCL da mensagem, o Exchange sempre irá respeitar as listas criadas por usuários. Mensagens de usuários pertencentes a lista bloqueada serão sempre entregues a pasta lixo eletrônico, e mensagens de usuários permitidos serão sempre entregues na Caixa de Entrada.

 

 

 

Versões anteriores do Outlook não suportam as listas de usuários bloqueados ou permitidos. Qualquer mensagem estampada como SPAM é entregue diretamente na caixa postal do usuário, no folder Caixa de Entrada. Neste caso, o usuário pode definir as listas pelo Outlook Web Access.

 

Se você quiser conhecer mais sobre o IMF:

 

Microsoft Exchange Server Intelligent Message Filter v2 Operations Guide:

 

http://www.microsoft.com/downloads/details.aspx?familyid=B1218D8C-E8B3-48FB-9208-6F75707870C2&displaylang=en

 

 

Spam Confidence Level:

 

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/e2k3/e2k3/ast_spam_confidence_level.asp

 

 

Fonte utilizada: http://www.microsoft.com/exchange/evaluation/features/antispam_framework.mspx

 

Comments
Comments
  • Jorge Machado
    1 Oct 2006 11:06 AM
    O controle por conteúdo é perigoso, porque algumas informações estratégicas das corporações não são de conhecimento da área de TI: Vejamos uma hipotese:
    O Diretor Presidente da Contoso, contrata uma empresa de consultoria para a compra de uma Empresa X. E por questões estratégicas não divulga isto, não é de se esperar que o Diretor Presidente da Contoso saiba de todas as configurações do Exchange,talvez nem saiba o que  é. O consultor envia um e-mail para o Diretor pedindo uma informação importante para o fechamento do negócio, porém coloca no e-mail uma palavra ou frase configurada no servidor Exchange como spam.
    Qual seria o resultado disto?  

  • Viviane Lopes
    2 Oct 2006 12:22 PM
    Ol Jorge, A ao a ser tomada no caso da mensagem ser classificada como Spam depende de como o IMF est configurado (apagar, recusar ou no tomar nenhuma ao). Para reduzir as chances de um "falso positivo", como no exemplo dado por voc, o ideal adaptar o IMF Custom Weighting de acordo com as necessidades da sua empresa. Obrigado pelo comentrio! Viviane Lopes
  • Diego Castro
    23 Nov 2006 11:53 AM

    Muito boa esta série de artigos sobre o Anti-Spam.

    Excelente.

Page 1 of 1 (3 items)