joão carlos manzano microsoft brasil melhores práticas para proteção contra vírus, spam e...
TRANSCRIPT
João Carlos João Carlos ManzanoManzanoMicrosoft BrasilMicrosoft Brasil
Melhores Práticas para proteção Melhores Práticas para proteção contra vírus, spam e ataques contra vírus, spam e ataques por e-mailpor e-mailComo a Como a MicrosoftMicrosoft protege sua própria infraestrutura. protege sua própria infraestrutura.
AgendaAgenda
• Visão geral do tratamento de mensagensVisão geral do tratamento de mensagens
• MicrosoftMicrosoft®® Exchange Server 2003, Exchange Server 2003, funcionalidades de limpeza de mensagensfuncionalidades de limpeza de mensagens
• Infraestrutura de AntispamInfraestrutura de Antispam
• Infraestrutura de Antivírus (E-Mail´s)Infraestrutura de Antivírus (E-Mail´s)
• MicrosoftMicrosoft®® Exchange Server 2007 – Projeto Exchange Server 2007 – Projeto de Servidores Perímetrais de Servidores Perímetrais (Edge Server Design)(Edge Server Design)
• OBS: Algumas figuras ilustrativas nessa apresentação estão OBS: Algumas figuras ilustrativas nessa apresentação estão em Inglês para garantir a sua terminologia/fraseologiaem Inglês para garantir a sua terminologia/fraseologia
Pré Requisitos dos ParticipantesPré Requisitos dos Participantes
• Conhecimento Técnico nos itens:Conhecimento Técnico nos itens:– Protocolo SMTP e Internet e-mailProtocolo SMTP e Internet e-mail– Roteamento e Transporte do Exchange Server Roteamento e Transporte do Exchange Server
20032003– Domain Name System (DNS)Domain Name System (DNS)– Conceitos Genéricos sobre Anti vírus e Anti Conceitos Genéricos sobre Anti vírus e Anti
SpamSpam
O que é higiene de mensagens?O que é higiene de mensagens?
• ObjetivoObjetivo: Garantir que o ambiente de mensageria : Garantir que o ambiente de mensageria da empresa seja livre de conteúdo malicioso ou não da empresa seja livre de conteúdo malicioso ou não autorizado.autorizado.
• AmeaçasAmeaças::– Mensagens infectadas com vírusMensagens infectadas com vírus– Mensagens comerciais não solicitadas (spam)Mensagens comerciais não solicitadas (spam)– Ataques de Denial-of-service (DoS)Ataques de Denial-of-service (DoS)– Ataques de Directory harvesting (DHA) Ataques de Directory harvesting (DHA) [Colheita de dados][Colheita de dados]
– SpoofingSpoofing– Usar minha infraestrutura para o envio de e-mail não Usar minha infraestrutura para o envio de e-mail não
autorizado (relaying) autorizado (relaying) NO MORE MRHNO MORE MRH
– PhishingPhishing
Internet Mail na Microsoft Internet Mail na Microsoft Visão GeralVisão Geral
• Domínio Primário: Domínio Primário: @[email protected]
• Alguns Números atualizados:Alguns Números atualizados:– ~8-12 M mensagens de entrada são submetidos por dia.~8-12 M mensagens de entrada são submetidos por dia.– 95% ou mais95% ou mais são caracterizados como não legítimos pelos são caracterizados como não legítimos pelos
nossos filtros (spam, vírus, etc…)nossos filtros (spam, vírus, etc…)– ~500,000-700,000 Mensagens de saída por dia.~500,000-700,000 Mensagens de saída por dia.
• Arquitetura Distribuída:Arquitetura Distribuída:– 4 Pontos distintos de Gateways para Internet e-mail4 Pontos distintos de Gateways para Internet e-mail
• Inbound / Outbound: Redmond e Silicon ValleyInbound / Outbound: Redmond e Silicon Valley• Somente Outbound : Dublin e SingaporeSomente Outbound : Dublin e Singapore
– 6 Servidores E2K3 Gateway Primários executam a limpeza das 6 Servidores E2K3 Gateway Primários executam a limpeza das mensagensmensagens
– 6 Servidores Primários Exchange Server 2007 de borda 6 Servidores Primários Exchange Server 2007 de borda executam a limpeza das mensagens executam a limpeza das mensagens (going forward)(going forward)
Infraestrutura: Impacto dos Infraestrutura: Impacto dos Spam´sSpam´s• Conteúdo malicioso e não solicitado Conteúdo malicioso e não solicitado
– Atrapalha a produtividade dos usuáriosAtrapalha a produtividade dos usuários– Consome recursos de infraestruturaConsome recursos de infraestrutura
`
Connection FilteringConnection Filtering
Sender andSender andRecipient Recipient FilteringFiltering
Sender ID & Sender ID & IntelligentIntelligent
Message FilteringMessage Filtering
MicrosoftMicrosoft®® Office Office
OutlookOutlook®® 20032003
MailboxMailbox
InboxInbox
Junk E-mailJunk E-mail
E-mail´s E-mail´s entradaentrada
Receptores rejeitados por Receptores rejeitados por Diretório Lookups/Sec por a Diretório Lookups/Sec por a
passagempassagem
Receptores rejeitados por Receptores rejeitados por Receptor Filtering/Sec por a Receptor Filtering/Sec por a
passagempassagem
Microsoft IT Higiene de MSG´sMicrosoft IT Higiene de MSG´sNossos PrincípiosNossos Princípios
• Antispam DEVE ser feito antes do AntivírusAntispam DEVE ser feito antes do Antivírus
• Antivírus DEVE fazer a varredura do Antivírus DEVE fazer a varredura do correio inbound e outboundcorreio inbound e outbound
• Antivírus DEVE seguir a regra “block on Antivírus DEVE seguir a regra “block on fail”fail”
• Antivírus e antispam DEVEM se integrar Antivírus e antispam DEVEM se integrar literalmente ao Exchange Serverliteralmente ao Exchange Server
Exchange SMTP Exchange SMTP Routing HubsRouting Hubs
MailboxMailboxServersServers
Exchange SMTP Exchange SMTP GatewaysGateways
InternetInternet
`
ClientsClientsExchange Exchange Hosted Hosted FilteringFiltering
Connection FilteringConnection FilteringSender/Recipient FilteringSender/Recipient FilteringSender ID FilteringSender ID FilteringAntispam (IMF)Antispam (IMF)
Attachment FilteringAttachment FilteringAntivírusAntivírus
Attachment BlockingAttachment BlockingAntivírusAntivírusAntispamAntispam
Higiene de MSG´s - HOJEHigiene de MSG´s - HOJEDefesa em CamadasDefesa em Camadas
• Exchange Server 2003 (SP2)Exchange Server 2003 (SP2)
• Exchange Servers são máquinas juntadas Exchange Servers são máquinas juntadas ao Domínio.ao Domínio.
Connection Filtering e Connection Filtering e Real-Time Block Lists (RBLs)Real-Time Block Lists (RBLs)• Real-time DNS-based block listsReal-time DNS-based block lists
– Checa o IP de quem envia e bloqueia usando uma pesquisa de DNS.Checa o IP de quem envia e bloqueia usando uma pesquisa de DNS.– Se o registro do DNS consta o IP do emissor, bloqueia. Utiliza lista de Se o registro do DNS consta o IP do emissor, bloqueia. Utiliza lista de
terceiros (fornecedores).terceiros (fornecedores).
• Exchange Server 2003Exchange Server 2003– Suporta multiplos fornecedores de RBL.Suporta multiplos fornecedores de RBL.– Termina a conexão de o IP for bloqueado (SMTP protocol 550 error)Termina a conexão de o IP for bloqueado (SMTP protocol 550 error)
550 5.7.1 E-mail rejected because 213.241.32.5 is 550 5.7.1 E-mail rejected because 213.241.32.5 is listed by sbl-xbl.spamhaus.org. Please see listed by sbl-xbl.spamhaus.org. Please see http://www.spamhaus.org/lookup.lassohttp://www.spamhaus.org/lookup.lasso for more for more information. If you still need assistance contact information. If you still need assistance contact [email protected]@microsoft.com
• Exchange Server 2003 SP2 - Header ParsingExchange Server 2003 SP2 - Header Parsing– Permite implementar e configurar RBL dentro do perímetroPermite implementar e configurar RBL dentro do perímetro– IP de perímetros e LOCAL RANGE, devem ser claramente definidasIP de perímetros e LOCAL RANGE, devem ser claramente definidas
Real-Time Block ListsReal-Time Block ListsAvaliaçãoAvaliação
• Block list´s ProvêBlock list´s Provê
• Critério de AnaliseCritério de Analise– Qualidade no serviço de bloqueio e índices de Qualidade no serviço de bloqueio e índices de
Falso-Positivos.Falso-Positivos.– RelatóriosRelatórios– UsabilidadeUsabilidade– Suporte a transferência de zona (Suporte a transferência de zona (DNS zone DNS zone
transfertransfer preferenciamente incremental) preferenciamente incremental)– Arquitetura Robusta para suportar operação Arquitetura Robusta para suportar operação
pesada em regime 24x7x365.pesada em regime 24x7x365.
Sender/Recipient FilteringSender/Recipient Filtering
• Filtra Mensagens enviadas olhando um enderço em Filtra Mensagens enviadas olhando um enderço em particular ou um domínio.particular ou um domínio.– Medida provisória durante ataques do bombardeio Medida provisória durante ataques do bombardeio
contra o sistema de correio eletrônicocontra o sistema de correio eletrônico
• Bloqueia a conexção antes do Bloqueia a conexção antes do message payloadmessage payload ser ser aceito.aceito.
• Filtra mensagens com emissor em branco.Filtra mensagens com emissor em branco.– RFC822RFC822
• Bloquear domínios pode interferir em alguns cenários.Bloquear domínios pode interferir em alguns cenários.(ex, ListServ)(ex, ListServ)
• Filtre as mensagens emitidas aos receptores Filtre as mensagens emitidas aos receptores particulares do E-mail (válido ou inválido)particulares do E-mail (válido ou inválido)
Recipient LookupRecipient Lookup
• Valida o receptor antes de aceitar a mensagem, e em caso Valida o receptor antes de aceitar a mensagem, e em caso de erro retorna o código 550.de erro retorna o código 550.
• ResultadoResultado: Não transmite as mensagens – Salva sua : Não transmite as mensagens – Salva sua performanceperformance
• Resultado colateralResultado colateral: possibilidade de varredura rápida de : possibilidade de varredura rápida de alias (ex. Ataque DHA)alias (ex. Ataque DHA)– Aproximadamente 20 minutos para colher todos os alias Aproximadamente 20 minutos para colher todos os alias
de 4-characteres válidos pela enumeração (de 4-characteres válidos pela enumeração (Ataque de Ataque de força Brutaforça Bruta).).
• Solução práticaSolução prática: Atrase a resposta 550 para : Atrase a resposta 550 para nn segundos: vc segundos: vc vai reduzir a performance do seu opressor vai reduzir a performance do seu opressor significativamente. Veja mais em:significativamente. Veja mais em:
• http://support.microsoft.com/default.aspx?kbid=842851http://support.microsoft.com/default.aspx?kbid=842851
• Trabalhe somente em domínios autoritativos!Trabalhe somente em domínios autoritativos!
Melhorias no ExchangeMelhorias no ExchangeSpam Confidence Level (SCL)Spam Confidence Level (SCL)• Exchange Server 2003 possuí o recursdo do IMFExchange Server 2003 possuí o recursdo do IMF
• Mensagens são indicadas como SPAM ou não usando o Mensagens são indicadas como SPAM ou não usando o SCL.SCL.– Valores de 0 até 9Valores de 0 até 9
• Exchange Server 2003 permite duas análises / açõesExchange Server 2003 permite duas análises / ações– No nível de gateway SMTPNo nível de gateway SMTP– Na camanda de armazenamentoNa camanda de armazenamento
– Outlook não usa SCL para seus filtros Outlook não usa SCL para seus filtros – O filtro SCL não afeta e-mail´s internosO filtro SCL não afeta e-mail´s internos
SCL ValoresSCL ValoresValor SCLValor SCL CategorizaçãoCategorização
-1-1 Reservado ao Exchange Server 2003 para mensagens submetidas Reservado ao Exchange Server 2003 para mensagens submetidas internamente. internamente.
Um valor de -1 não deve sobrescrito porque é este valor que é usado para Um valor de -1 não deve sobrescrito porque é este valor que é usado para eliminar falsos-positivos e e-mail´s internos eliminar falsos-positivos e e-mail´s internos
00 Marca as mensagens que não são SPAM.Marca as mensagens que não são SPAM.
11 Probabilidade extremamente BAIXA que a mensagem é um SPAMProbabilidade extremamente BAIXA que a mensagem é um SPAM..
2,3,4,5,6,7,82,3,4,5,6,7,8Faixa de critério de Faixa de critério de << Probabilidade para Probabilidade para >> Probabilidade Probabilidade
99 Probabilidade extremamente ALTA que a mensagem é um SPAMProbabilidade extremamente ALTA que a mensagem é um SPAM
Veja mais sobre SCLVeja mais sobre SCL
http://blogs.msdn.com/exchange/archive/2004/05/26/142607.aspxhttp://blogs.msdn.com/exchange/archive/2004/05/26/142607.aspx
Intelligent Message Filter (IMF)Intelligent Message Filter (IMF)ArquiteturaArquitetura• É engajado antes de qualquer componente antivírus ou É engajado antes de qualquer componente antivírus ou
antispam.antispam.• IMF Somente faz scan em mensagens submetidas pelo IMF Somente faz scan em mensagens submetidas pelo
protocolo SMTP protocolo SMTP
Exchange Transport Antivirus API Sink
Advanced Queuing
On_Submission Event
PreCatEvent
CategorizerEvent
PostCatEvent
RoutingEvent
Exchange Routing SInk
Exchange Categorizer Sink(PhatCat)
Exchange Store Driver
SMTP Outbound
Exchange Information Store
SMTP Inbound
IMF Antispam Sink
Higiene de e-mails na Microsoft ITHigiene de e-mails na Microsoft ITUsando o Intelligent Message Filter (IMF)Usando o Intelligent Message Filter (IMF)
• Pontos Chaves da Infraestrutura IMFPontos Chaves da Infraestrutura IMF– IMF é posicionado antes do AntivírusIMF é posicionado antes do Antivírus– Todo tráfego SMTP é analisado:Todo tráfego SMTP é analisado:
• Tráfego conhecido? / Autenticado? Tráfego conhecido? / Autenticado?
MessageEnvelope
EXCH50 Blobwith SCL rating
Message bodyRFC 2822
Internet
Exchange 2003Mailbox Server
Exchange 2003SMTP Gateway
+IMF
Third Party SMTP Server
Intelligent Message FilterIntelligent Message FilterCustomizaçãoCustomização
• IMF modos de operação no IMF modos de operação no GatewayGateway
• No actionNo action• ArchiveArchive• DeleteDelete• RejectReject
• Customize a mensagem de Erro (Exchange Customize a mensagem de Erro (Exchange SP2)SP2)
– HKLM\Software\Microsoft\Exchange\ContentFilter\HKLM\Software\Microsoft\Exchange\ContentFilter\CustomRejectResponseCustomRejectResponse
Exchange Exchange 20032003
GatewaysGateways
Exchange Exchange 20032003HubsHubs
Mailbox Mailbox ServersServers
ClientsClients
Antivírus e Antispam: End to EndAntivírus e Antispam: End to End
Gateway ServerGateway ServerTransportTransport
SCL>=GatewaySCL>=GatewayThreshold?Threshold?
Sender ID FilteringSender ID FilteringExchange IMFExchange IMF
Sender/RecipientSender/RecipientFilteringFiltering
Filter ActionFilter Action
Connection FilteringConnection FilteringRBLsRBLs
NoNoYesYes
Gateway ServerGateway ServerTransportTransport
Attachment StrippingAttachment Stripping
Virus ScanningVirus Scanning
SCLSCL
Mailbox ServerMailbox ServerStoreStore
SCL StoreSCL StoreThresholdThreshold
User Safe/User Safe/BlockedBlockedSendersSenders
SCL>StoreSCL>StoreThreshold?Threshold?
Junk mailJunk mail InboxInbox
YesYes NoNoSCLSCL
ClientClient(Outlook 2003)(Outlook 2003)
Desktop AntivírusDesktop Antivírus
Attachment blockingAttachment blocking
User Safe/BlockedUser Safe/BlockedSendersSenders
Spam?Spam?
Junk mailJunk mailInboxInbox
InternetInternet
Restringir/Autenticar DGsRestringir/Autenticar DGs• Distribution groups (DGs) contém um grande número de destinatários.Distribution groups (DGs) contém um grande número de destinatários.• Uma única mensagem maliciosa destinada a um DG afeta um grande Uma única mensagem maliciosa destinada a um DG afeta um grande
número de usuáriosnúmero de usuários• RecomendamosRecomendamos: Restringir grandes DG´s, somente mediante : Restringir grandes DG´s, somente mediante
autenticaçãoautenticação
Protege contra Protege contra SPAM´s, mas…SPAM´s, mas…
Pode ser muito mais Pode ser muito mais seguro!seguro!
Sender IDSender ID• Na sua concepção o Sender ID é Na sua concepção o Sender ID é : = : = uma política uma política
publicada que defina quem é autorizado para emitir o publicada que defina quem é autorizado para emitir o correio de um domínio particular + os agentes de correio de um domínio particular + os agentes de recepção que verificam e reforçam esta políticarecepção que verificam e reforçam esta política
• Um mix de propostas de e-mails internet e comunidadesUm mix de propostas de e-mails internet e comunidades– Sender Policy Framework (SPF)Sender Policy Framework (SPF)– Microsoft Caller ID for e-mailMicrosoft Caller ID for e-mail
• Incluí 5 rascunhos técnicosIncluí 5 rascunhos técnicos– www.microsoft.com/senderidwww.microsoft.com/senderid
• Sender ID isSender ID is– Uma maneira para que os remetentes protejam seus nomes do Uma maneira para que os remetentes protejam seus nomes do
tipo e do domínio de spoofing e de phishing.tipo e do domínio de spoofing e de phishing.– Uma maneira para que os receptores validem a origem do Uma maneira para que os receptores validem a origem do
correiocorreio• Mais informações para o filtro de SPAM.Mais informações para o filtro de SPAM.
– Uma fundação para aumentar as listas seguras.Uma fundação para aumentar as listas seguras.
Como funciona o Sender ID?Como funciona o Sender ID?
• Os remetentes publicam endereços IP de Os remetentes publicam endereços IP de servidores de E-mail no DNSservidores de E-mail no DNS
• Os receptores determinam que domínio Os receptores determinam que domínio verificarverificar– Usa o cabeçalho RFC 2822Usa o cabeçalho RFC 2822– RFC 2821 Mail From domainRFC 2821 Mail From domain
• A pergunta DNS dos receptores para os A pergunta DNS dos receptores para os usuários do E-mail do domínio escolhido e usuários do E-mail do domínio escolhido e executa o teste spoofing do domínioexecuta o teste spoofing do domínio
One time: Publish SPF record in DNSOne time: Publish SPF record in DNS
No other changes requiredNo other changes required
E-mail sent as normalE-mail sent as normal
Look up Sender’s SPF record in DNS Look up Sender’s SPF record in DNS
Determine PRADetermine PRA
Compare PRA to legitimate IPs in SPF recordCompare PRA to legitimate IPs in SPF record
Match Match positive filter input positive filter input
No match No match negative filter input negative filter input
Message transits one or more e-mail Message transits one or more e-mail servers en route to receiverservers en route to receiver
Sender ID FrameworkSender ID Framework
Exemplos de construçãoExemplos de construção
• example.com TXT “v=spf1 -all”example.com TXT “v=spf1 -all”– This domain never sends mailThis domain never sends mail
• example.com TXT “v=spf1 mx -all”example.com TXT “v=spf1 mx -all”– Inbound e-mail servers also send outbound mailInbound e-mail servers also send outbound mail
• example.com TXT “v=spf1 ip4:192.0.2.0/24 –all”example.com TXT “v=spf1 ip4:192.0.2.0/24 –all”– Specify an IP rangeSpecify an IP range
• Possible results:Possible results:– Pass (+), Fail (-), Softfail (~), Neutral (?), None (record does not Pass (+), Fail (-), Softfail (~), Neutral (?), None (record does not
exist), TempError, PermError (domain does not exist)exist), TempError, PermError (domain does not exist)
• Sugerimos que você faça o download desse Sugerimos que você faça o download desse webcast para colecionar essa documentação.webcast para colecionar essa documentação.
Sender ID Framework: StatusSender ID Framework: StatusSender ID Status Description Actions
Neutral Published Sender ID data is explicitly inconclusive
Accept
Pass (+) IP Address for the PRA is in the permitted set in DNS
Accept
Fail (-) Domain Does not Exist Sender not permitted Malformed domain No PRA found in the
header
IP Address for the PRA is not in the permitted set
AcceptDeleteReject
Soft Fail (~) IP Address for the PRA may be in the permitted set
Accept
None No Sender ID records are published for this domain
Accept
TempError Receiving server encountered a transient error such as unavailable DNS server
Accept
PermError Receiving server encountered a unrecoverable error such as an error in the record format
Accept
Nosso SPF Record no DNSNosso SPF Record no DNSNslookup –q=TXT microsoft.comNslookup –q=TXT microsoft.com
microsoft.com text =microsoft.com text =
"v=spf1 mx include:_spf-a.microsoft.com include:_spf-"v=spf1 mx include:_spf-a.microsoft.com include:_spf-b.microsoft.com include:_spf-c.microsoft.com ~all"b.microsoft.com include:_spf-c.microsoft.com ~all"
_spf-a.microsoft.com text =_spf-a.microsoft.com text =
““v=spf1 ip4:213.199.128.139 ip4:213.199.128.145 v=spf1 ip4:213.199.128.139 ip4:213.199.128.145 ip4:207.46.50.72 ip4:207.46.50.82 ip4:131.107.3.116 ip4:207.46.50.72 ip4:207.46.50.82 ip4:131.107.3.116 ip4:131.107.3.117 ip4:131.107.3.100 ip4:131.107.3.108 ip4:131.107.3.117 ip4:131.107.3.100 ip4:131.107.3.108 a:delivery.pens.microsoft.com a:mh.microsoft.m0.net a:delivery.pens.microsoft.com a:mh.microsoft.m0.net mx:microsoft.com ~all"mx:microsoft.com ~all"
Sender ID - ConclusãoSender ID - Conclusão
• Sender ID tem limitações…Sender ID tem limitações…– Autentica domínios, não usuários.Autentica domínios, não usuários.– Valida o “last hop” não end-to-endValida o “last hop” não end-to-end– Os spammers podem registar seus próprios Os spammers podem registar seus próprios
domíniosdomínios
• ……mas prove uma fundação em:mas prove uma fundação em:– Maior acuracidade para as listas de acesso ou Maior acuracidade para as listas de acesso ou
restrição.restrição.– Baseado em reputaçãoBaseado em reputação– Ótima proteção contra phishing.Ótima proteção contra phishing.
• ……Complementar com tecnologias Anti-SpamComplementar com tecnologias Anti-Spam
Microsoft IT AntivírusMicrosoft IT AntivírusFronteira de Proteção contra pragas virtuaisFronteira de Proteção contra pragas virtuais
• Nível de Gateway´sNível de Gateway´s
• Nível de Information StoreNível de Information Store
• Nível de ClientesNível de Clientes
Microsoft IT AntivírusMicrosoft IT AntivírusSegurança em anexos já no gateway.Segurança em anexos já no gateway.
• Descascar o anexo Descascar o anexo (Attachment stripping)(Attachment stripping)
– Proteção contra qualquer malwareProteção contra qualquer malware
• Implementado como add-on Implementado como add-on • Recomendamos a leitura no KB:Recomendamos a leitura no KB:• KBKB829982829982: : http://support.microsoft.com/kb/829982/en-ushttp://support.microsoft.com/kb/829982/en-us
Microsoft IT AntivírusMicrosoft IT AntivírusNossos princípiosNossos princípios
• A chave é A chave é Defesa em CamadasDefesa em Camadas• Boa Prática: Scan em múltiplos níveisBoa Prática: Scan em múltiplos níveis
– Quanto custa mitigar?Quanto custa mitigar?– Cada camada adiciona despesas gerais do Cada camada adiciona despesas gerais do
desempenho?desempenho?– Tratamento diferenciado para In / OutTratamento diferenciado para In / Out
• Somente escanear não é suficiente…Somente escanear não é suficiente…– Gerenciamento de anexos é mandatórioGerenciamento de anexos é mandatório– Análise de diretório antes de escanearAnálise de diretório antes de escanear– Notificações de segurançaNotificações de segurança– Limpar ou remover mensagens?????Limpar ou remover mensagens?????
• Métricas e Relatórios (Mensurar é OBRIGATÓRIO)Métricas e Relatórios (Mensurar é OBRIGATÓRIO)
Microsoft IT AntivírusMicrosoft IT AntivírusNossa arquiteturaNossa arquitetura
• SMTP – Utilizam Microsoft Antigen for SMTP – Utilizam Microsoft Antigen for SMTP 9.0SMTP 9.0
• Integrado ao Exchange Server Integrado ao Exchange Server
• Ainda podemos empregarAinda podemos empregar– Transport VSAPI.. Para qq aplicação de 3º.sTransport VSAPI.. Para qq aplicação de 3º.s
Múltiplos EnginesMúltiplos Engines
• Multiplos scanning engines (Atualmente são 9 na família Multiplos scanning engines (Atualmente são 9 na família ForeFront)ForeFront)
• Todos engines engajados (maximum certainty)Todos engines engajados (maximum certainty)
• Diferentes engines mostram níveis diferentes de acuracidade, a Diferentes engines mostram níveis diferentes de acuracidade, a utilização simultânea potencializa nossa precisão.utilização simultânea potencializa nossa precisão.
Tecnologias para clientesTecnologias para clientes
• Attachment blocking, script strippingAttachment blocking, script stripping– www.microsoft.com/office/ork/xp/four/outg03.htmwww.microsoft.com/office/ork/xp/four/outg03.htm
• Client-side spam filteringClient-side spam filtering– Update for Outlook 2003: Junk E-mail FilterUpdate for Outlook 2003: Junk E-mail Filter
KB870765: KB870765: http://support.microsoft.com/?kbid=870765http://support.microsoft.com/?kbid=870765
• Outlook client version controlOutlook client version control– KB288894: KB288894: http://support.microsoft.com/?ID=288894http://support.microsoft.com/?ID=288894
Overview do Exchange Server 2007 Overview do Exchange Server 2007 Edge ServerEdge Server
• Plataforma para antispam e AntivírusPlataforma para antispam e Antivírus
• Plataforma para e-mail seguro.Plataforma para e-mail seguro.
• Novas funcionalidades para higiene das Novas funcionalidades para higiene das mensagens de correio eletrônicomensagens de correio eletrônico– Análise de protocolos.Análise de protocolos.– Consultas ao Outlook safe-listConsultas ao Outlook safe-list– Quarentena de SPAMQuarentena de SPAM
Perimeter Forest
Arquitetura Conceitual Arquitetura Conceitual (Animação)(Animação)
Exchange 2007 Mailbox servers
MOMExchange 2007 HUB servers
Corp Forest
DC / GC
Internet
Exchange 2007 Edge Servers
Region1 Region2
DC / GC
SMS MOM
Port 25 (SMTP) Port 25 (SMTP)
Port 25 (SMTP)Port 53 (DNS)Port 80 (AV Signature Updates)
Connection FilteringSender FilteringRecipient FilteringRecipient LookupAntispamAntivirus
Port 25 (SMTP)Port 3389 (Terminal Services)
Port 1636 (EdgeSync)
Active Directory Forest in Perimeter Network - Non corporate AD joined OR trusted
Antivírus e AntispamAntivírus e AntispamBoas PráticasBoas Práticas
• Implemente defesa em camadas.Implemente defesa em camadas.
• Implemente scans nos dois sentidos IN / Implemente scans nos dois sentidos IN / OUT.OUT.
• Scan para SPAM antes do scan de vírus.Scan para SPAM antes do scan de vírus.
• Teste Antivírus com vários encode´s de Teste Antivírus com vários encode´s de mensagens e formatos de anexos.mensagens e formatos de anexos.
Para mais informaçõesPara mais informações• Additional content on Microsoft IT deployments Additional content on Microsoft IT deployments
and best practices can be found on Microsoft and best practices can be found on Microsoft TechNet: TechNet: www.microsoft.com/technet/itshowcasewww.microsoft.com/technet/itshowcase
• Information Security at Microsoft OverviewInformation Security at Microsoft Overviewwww.microsoft.com/downloads/details.aspx?Fawww.microsoft.com/downloads/details.aspx?FamilyID=e959f26c-1f5c-4331-b1fb-6c720795704dmilyID=e959f26c-1f5c-4331-b1fb-6c720795704d&displaylang=en&displaylang=en
• How Microsoft IT Defends Against Spam, How Microsoft IT Defends Against Spam, Viruses, and E-Mail Attacks Viruses, and E-Mail Attacks www.microsoft.com/technet/itsolutions/msit/secuwww.microsoft.com/technet/itsolutions/msit/security/messaginghygienewp.mspxrity/messaginghygienewp.mspx
• www.navegueprotegido.orgwww.navegueprotegido.org
ObrigadoObrigado