none
Exchange 2007 - AntiSpam !!! RRS feed

  • Pergunta

  • Olá Pessoal,

    No mercado existem várias ferramentas de AntiSpam com características de funcionalidades diferentes umas das outras. Por exemplo: A ferramenta "A" recebe(o servidor) todo tráfego de Spam para depois tratar o que é e o que NÃO é Spam. Uma desvantagem deste tipo(ferramenta A) é o consumo do link. A partir do Exchange 2007, com os cincos papeis de servidor distintos, temos o Edge(servidor de borda, certo ?) que faz as políticas e tratamento do lixo da Internet. Gostaria de saber como ele trabalha com está questão ? - Ele já barra os Spam´s nas trocas das mensagens Ehlo ou ele faz o recebimento e trata tudo no próprio server(como a ferramenta A) ? - Pesquisei na Internet e não achei um material mais profundo sobre o assunto. Agradeço quem puder ajudar e indicar alguns links falando sobre isto.
    sábado, 9 de maio de 2009 22:21

Respostas

  • Emerson

    Existem várias formas e algoritmos para tratamento de SPAM´s. Porém de qualque forma, o seu servidor de Anti-Spam, seja ele appliance ou software, precisará receber as mensagens para depois analisá-las.

    Existem formas diferentes, por exemplo, bloqueio por DNS REVERSO, nesse caso o seu anti-spam recebe a solicitação de conexão para envio de SMTP e faz o teste do DNS reverso, no caso de resposta negativa, automaticamente o anti-spam descarta essa conexão.

    Em outro caso, pode se utilizar o algoritmo de dicionário para análise e pontuação da mensagem como SPAM, nesse caso o serviço vai varrer o conteúdo da mensagem e procurar por palavras que a caracterizem como SPAM, cada palavra recebe uma pontuação, e no final, se a soma desta pontuação atingir um limite que a caracterize como SPAM, então ela será descartada.

    Existem vários outras forma de detecção como SPF, QUANTIDADE x REMETENTE, QUANTIDADE x TEMPO, etc. Cada uma tem uma característica, no caso do teste de DNS REVERSO, a utilização de link e processamento é menor, porque ele faz o teste na tentativa da primeira conexão SMTP, se não estiver no padrão que aceita, ele descarta na hora, ou seja, não há uso de link porque a mensagem nem chegou a ser transmitida, no segundo caso, de análise de dicionário, o serviço precisa receber a mensagem, e processá-la para identificar se é SPAM ou não, neste caso houve utilização maior do link, pois a mensagem foi transmitida e precisou ser processada, e é assim com todos os métodos de qualquer sistema de higienização, seja ele 2G ou 3G.

    Com o Exchange não é diferente, se você habilitar todas as funções de análise, as mensagens serão analisadas de forma sequencial por cada método que ele possui, se for identificado SPAM nos primeiros métodos, a utilização de link é menor, se a mensagem for carimbada como SPAM através dos últimos métodos da sequência, haverá maior utilização do link, e mais processamento demandado, pois ela teve que ser recebida, e processada diversas vezes para análise.

    Quanto a sua dúvida, não há nenhum sistema que faça a higienização sem utilização de banda, pois se a solução estiver no seu site, ela precisará no mínimo receber as conexões. A única forma do volume de SPAM´s não onerar o seu link de comunicações, é você terceirizar este serviço, ou seja, direcionar os seus registros MX para uma empresa que faça higienização no site deles, e redirecione para os seus servidores, apenas o que foi considerado como mensagens verdadeiras. A própria Microsoft possui este serviço, que provavelmente fará parte do Azure.

    Espero ter ajudado.
    Ajude a melhorar a eficiência nas buscas, se foi útil, classifique. Rafael Carneiro Machado
    • Marcado como Resposta EMERSAO quinta-feira, 14 de maio de 2009 13:33
    quarta-feira, 13 de maio de 2009 14:06
  • Exato, eu sugiro que você utilize todos os filtros para que a higienização seja eficiente. Mesmo porque, cada um tem a sua função independente, é o mesmo que os quatro pneus de um carro, eles trabalham sozinhos, mas para que o carro ande do jeito que você quer, você precisa dos 4 trabalhando juntos. (desculpe a analogia tosca)

    Os filtros CONNECTION, SENDER e RECIPIENT são exemplos de filtros que demandam utilização menor de link e processamento, por exemplo, se você tiver uma blacklist com vários remetentes que você identificou como SPAMMERS, você irá cadastrá-los nessa blacklist que fará parte do SENDER FILTERING, quando um e-mail vindo de um destes remetentes chegar, o Exchange já identifica que ele está na black list e descarta a mensagem, ou joga para quarentena dependendo da sua configuração. Ou seja, ele não perderá tempo analisando o conteúdo pelo CONTENT FILTERING, ou abrindo os anexos pelo ATTACHMENT FILTERING.

    []´s
    Ajude a melhorar a eficiência nas buscas, se foi útil, classifique. Rafael Carneiro Machado
    • Marcado como Resposta EMERSAO quinta-feira, 14 de maio de 2009 16:36
    quinta-feira, 14 de maio de 2009 13:41
  • Ola Emerson,

    A ordem de aplicação dos filtros é relacionado ao protoclo SMTP, ou seja, nem é exchange :) dependendo do filtro antispam é como ele vai agir durante a comunicação smtp, tu sabendo como o smtp é processado, validaçao de host, sender, recipient, texto tu vai começar entender melhor e colocar os filtros na ordem certa, mas a regra geral é que eles nao vao se sobrepor.

    Fora isso, se o filtro ataca o 1 verbo, 2 verbo, se tu nao habilitar o 1 verbo ele vai passar direto e fazer segurança só no segundo, o processo é bem logico.


    Grande abraço, Anderson Patricio http://www.andersonpatricio.org .:. http://blog.andersonpatricio.org http://msmvps.org/blogs/andersonpatricio
    • Marcado como Resposta EMERSAO quinta-feira, 14 de maio de 2009 16:36
    quinta-feira, 14 de maio de 2009 15:46

Todas as Respostas

  • Ola Emerson,

    Depende do filtro anti-spam que vc está habilitando cada um deles é para uma determinada parte dos verbos smtp, na verdade isto está bem documentado no help do produto, chegou a olhar? lá no site tb temos um tutorial detalhando o processo.

    Se nao achar avisa,

    Grande abraço, Anderson Patricio http://www.andersonpatricio.org .:. http://blog.andersonpatricio.org http://msmvps.org/blogs/andersonpatricio
    domingo, 10 de maio de 2009 00:31
  • Olá Anderson, tudo bem ?

    Então, eu olhei o seu site e vi o procedimento abaixo:

    http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?tut=870

    Também li o help do produto, mas como estou iniciando com o produto(Exchange) ainda me persistiu a dúvida. O procedimento está enfatizando todo o processo de análise do Spam(até aí ok), mas isto é feito antes das mensagens chegarem no servidor(por exemplo usando os filtros: Connection Filtering e Sender Filtering) ?

    Desculpe-me, se não consegui ser claro na pergunta, mas para você entender melhor é que no meu cenário atual a solução que temos hoje de AntiSpam faz toda análise com as mensagens no servidor(pelo que entendi estudando a solução desta ferramenta "A" não temos como barrar isto já no servidor do remetente), ou seja, nada interessante, pois consome o nosso link de Internet.

    A minha sugestão seria implementarmos o Exchange, mas não consegui achar na documentação se a análise(dos filtros que mencionei)é feita ANTES ou DEPOIS das mensagens chegarem para a nossa empresa(servidor de correio)...

    Pode me indicar exatamente onde está tal informação ?

    Agradeço pela sua ajuda.

    domingo, 10 de maio de 2009 22:19
  • Alguém sabe ?

    Obrigado aos que puderem ajudar e me indicar a informação.
    terça-feira, 12 de maio de 2009 13:00
  • Emerson

    Existem várias formas e algoritmos para tratamento de SPAM´s. Porém de qualque forma, o seu servidor de Anti-Spam, seja ele appliance ou software, precisará receber as mensagens para depois analisá-las.

    Existem formas diferentes, por exemplo, bloqueio por DNS REVERSO, nesse caso o seu anti-spam recebe a solicitação de conexão para envio de SMTP e faz o teste do DNS reverso, no caso de resposta negativa, automaticamente o anti-spam descarta essa conexão.

    Em outro caso, pode se utilizar o algoritmo de dicionário para análise e pontuação da mensagem como SPAM, nesse caso o serviço vai varrer o conteúdo da mensagem e procurar por palavras que a caracterizem como SPAM, cada palavra recebe uma pontuação, e no final, se a soma desta pontuação atingir um limite que a caracterize como SPAM, então ela será descartada.

    Existem vários outras forma de detecção como SPF, QUANTIDADE x REMETENTE, QUANTIDADE x TEMPO, etc. Cada uma tem uma característica, no caso do teste de DNS REVERSO, a utilização de link e processamento é menor, porque ele faz o teste na tentativa da primeira conexão SMTP, se não estiver no padrão que aceita, ele descarta na hora, ou seja, não há uso de link porque a mensagem nem chegou a ser transmitida, no segundo caso, de análise de dicionário, o serviço precisa receber a mensagem, e processá-la para identificar se é SPAM ou não, neste caso houve utilização maior do link, pois a mensagem foi transmitida e precisou ser processada, e é assim com todos os métodos de qualquer sistema de higienização, seja ele 2G ou 3G.

    Com o Exchange não é diferente, se você habilitar todas as funções de análise, as mensagens serão analisadas de forma sequencial por cada método que ele possui, se for identificado SPAM nos primeiros métodos, a utilização de link é menor, se a mensagem for carimbada como SPAM através dos últimos métodos da sequência, haverá maior utilização do link, e mais processamento demandado, pois ela teve que ser recebida, e processada diversas vezes para análise.

    Quanto a sua dúvida, não há nenhum sistema que faça a higienização sem utilização de banda, pois se a solução estiver no seu site, ela precisará no mínimo receber as conexões. A única forma do volume de SPAM´s não onerar o seu link de comunicações, é você terceirizar este serviço, ou seja, direcionar os seus registros MX para uma empresa que faça higienização no site deles, e redirecione para os seus servidores, apenas o que foi considerado como mensagens verdadeiras. A própria Microsoft possui este serviço, que provavelmente fará parte do Azure.

    Espero ter ajudado.
    Ajude a melhorar a eficiência nas buscas, se foi útil, classifique. Rafael Carneiro Machado
    • Marcado como Resposta EMERSAO quinta-feira, 14 de maio de 2009 13:33
    quarta-feira, 13 de maio de 2009 14:06
  • Rafael, tudo bem ?

    Obrigado pela resposta ou melhor pela aula, rs. Como estou iniciando com está parte de mensageria gostaria de entender como o Exchange 2007 se comporta em cada filtro:

    Connection Filtering
    Sender Filtering
    Recipient Filtering
    SenderID Filtering
    Content Filtering
    Attachment Filtering
    Antivirus Scanning
    Outlook Junk E-mail Filtering

    O link abaixo explica como cada um procede, mas para mim alguns não está muito claro, referente ao que mencionou:
    http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?tut=870

    "...a utilização de link e processamento é menor, porque ele faz o teste na tentativa da primeira conexão SMTP, se não estiver no padrão que aceita, ele descarta na hora, ou seja, não há uso de link porque a mensagem nem chegou a ser transmitida, no segundo caso, de análise de dicionário, o serviço precisa receber a mensagem, e processá-la para identificar se é SPAM ou não, neste caso houve utilização maior do link, pois a mensagem foi transmitida e precisou ser processada..."

    - Em quais filtros existe está pouca utilização do link ?
    - A ordem de execução do Exchange é a acima, caso eu habilite todos os filtros AntiSpam ?

    Obrigado.

    Emerson.



    quinta-feira, 14 de maio de 2009 13:32
  • Exato, eu sugiro que você utilize todos os filtros para que a higienização seja eficiente. Mesmo porque, cada um tem a sua função independente, é o mesmo que os quatro pneus de um carro, eles trabalham sozinhos, mas para que o carro ande do jeito que você quer, você precisa dos 4 trabalhando juntos. (desculpe a analogia tosca)

    Os filtros CONNECTION, SENDER e RECIPIENT são exemplos de filtros que demandam utilização menor de link e processamento, por exemplo, se você tiver uma blacklist com vários remetentes que você identificou como SPAMMERS, você irá cadastrá-los nessa blacklist que fará parte do SENDER FILTERING, quando um e-mail vindo de um destes remetentes chegar, o Exchange já identifica que ele está na black list e descarta a mensagem, ou joga para quarentena dependendo da sua configuração. Ou seja, ele não perderá tempo analisando o conteúdo pelo CONTENT FILTERING, ou abrindo os anexos pelo ATTACHMENT FILTERING.

    []´s
    Ajude a melhorar a eficiência nas buscas, se foi útil, classifique. Rafael Carneiro Machado
    • Marcado como Resposta EMERSAO quinta-feira, 14 de maio de 2009 16:36
    quinta-feira, 14 de maio de 2009 13:41
  • Ola Emerson,

    A ordem de aplicação dos filtros é relacionado ao protoclo SMTP, ou seja, nem é exchange :) dependendo do filtro antispam é como ele vai agir durante a comunicação smtp, tu sabendo como o smtp é processado, validaçao de host, sender, recipient, texto tu vai começar entender melhor e colocar os filtros na ordem certa, mas a regra geral é que eles nao vao se sobrepor.

    Fora isso, se o filtro ataca o 1 verbo, 2 verbo, se tu nao habilitar o 1 verbo ele vai passar direto e fazer segurança só no segundo, o processo é bem logico.


    Grande abraço, Anderson Patricio http://www.andersonpatricio.org .:. http://blog.andersonpatricio.org http://msmvps.org/blogs/andersonpatricio
    • Marcado como Resposta EMERSAO quinta-feira, 14 de maio de 2009 16:36
    quinta-feira, 14 de maio de 2009 15:46
  • Outra coisa se vc tem um caminho de X passos (relacionados aos verbos que o servidor smtp vai entrar durante a transimissao) se tu bloquear no primeiro em teoria teu link será menos utilizado qu eo 2, e assim sucessivamente.

    Em teoria se tu bloquear todo mundo com black list é menor do que ficar validando sender, recipient ou ainda nivel de spam. Mas o que funciona melhor é o conjunto da obra, tendo segurancao em varios niveis para mesmo que o cara passe por um, o outro pode pegar. faz uma analogia com segurança de aeroporto: checam passaporte, detector de metais e por ai vai ;)


    Grande abraço, Anderson Patricio http://www.andersonpatricio.org .:. http://blog.andersonpatricio.org http://msmvps.org/blogs/andersonpatricio
    quinta-feira, 14 de maio de 2009 16:05
  • Obrigado a todos pela grande aula.

    Um abraço e sucesso a vocês.

    Emerson.
    quinta-feira, 14 de maio de 2009 16:35