Combater o Spam e os Vírus num Sistema de Correio Electrónico Miguel Teixeira...
Transcript of Combater o Spam e os Vírus num Sistema de Correio Electrónico Miguel Teixeira...
Combater o Spam e os Combater o Spam e os Vírus num Sistema de Vírus num Sistema de Correio ElectrónicoCorreio Electrónico
Miguel TeixeiraMiguel [email protected]@microsoft.com
Solutions-Product ManagerSolutions-Product Manager
Microsoft PortugalMicrosoft Portugal
Sérgio MartinhoSérgio [email protected]@microsoft.co
mm
Security Solutions SpecialistSecurity Solutions Specialist
Microsoft PortugalMicrosoft Portugal
AgendaAgenda
Problemas e PreocupaçõesProblemas e PreocupaçõesComo Combater o SpamComo Combater o SpamFuncionalidades Anti-Spam no Exchange Funcionalidades Anti-Spam no Exchange Server 2003Server 2003Como Combater os VírusComo Combater os VírusRequisitos para Combater os VírusRequisitos para Combater os VírusAntigen para Exchange ServerAntigen para Exchange Server
Pré-Requisitos e ConhecimentosPré-Requisitos e Conhecimentos
Experiência de suporte a sistemas de Experiência de suporte a sistemas de correio electrónicocorreio electrónico
Windows 2000 e Windows Server 2003Windows 2000 e Windows Server 2003
Exchange 2000 e Exchange Server 2003Exchange 2000 e Exchange Server 2003
SBS 2000 e Windows SBS 2003SBS 2000 e Windows SBS 2003
Familiaridade com conceitos de anti-spam Familiaridade com conceitos de anti-spam e anti-víruse anti-vírus
O que é o Spam?O que é o Spam?
SpamSpamCorreio electrónico não solicitado e não desejado, enviado Correio electrónico não solicitado e não desejado, enviado ao utilizador sem a sua permissão.ao utilizador sem a sua permissão.
SpoofingSpoofingMensagem de correio electrónico originada por uma Mensagem de correio electrónico originada por uma entidade, que se faz passar por outra. Normalmente, existe entidade, que se faz passar por outra. Normalmente, existe um objectivo de ocultar a real identidade para levar o um objectivo de ocultar a real identidade para levar o destinatário a proferir uma declaração prejudicial ou a destinatário a proferir uma declaração prejudicial ou a fornecer informação sensívelfornecer informação sensível..
PhishingPhishingForma de ataque por correio electrónico com o objectivo de Forma de ataque por correio electrónico com o objectivo de obter informação pessoal, onde a parte atacante se faz obter informação pessoal, onde a parte atacante se faz passar por uma entidade que requer ao destinatário uma passar por uma entidade que requer ao destinatário uma actualização de dados pessoais num site web “mascarado” actualização de dados pessoais num site web “mascarado” supostamente pertencente à legítima entidade.supostamente pertencente à legítima entidade.
Problemas e PreocupaçõesProblemas e Preocupações
Mensagens não solicitadas consomem tempo, Mensagens não solicitadas consomem tempo, dinheiro, produtividade e recursosdinheiro, produtividade e recursos
Mais de 70% do tráfego de correio na InternetMais de 70% do tráfego de correio na InternetHotmail bloqueia mais de 3 biliões de mensagens por Hotmail bloqueia mais de 3 biliões de mensagens por diadiaTira partido do sistema estar necessariamente exposto Tira partido do sistema estar necessariamente exposto na Internetna Internet
Risco para a segurança, privacidade e Risco para a segurança, privacidade e disponibilidadedisponibilidade
PhishingPhishing, burlas, fraudes, roubo de identidade e , burlas, fraudes, roubo de identidade e informaçãoinformaçãoRelayRelay não autorizado de correio electrónico não autorizado de correio electrónicoVírus, Vírus, SpywareSpyware e e TrojansTrojans
Custo reduzido, rentável, anónimoCusto reduzido, rentável, anónimoFactores a favor do Factores a favor do spammerspammer e do e do phisherphisher
Classificação das MensagensClassificação das Mensagens
Relacionado Relacionado com a com a actividadeactividade
Correio pessoalCorreio pessoal
Correio de Correio de negócio negócio solicitadosolicitado
Correio Correio comercial comercial solicitadosolicitado
Correio Correio promocional não promocional não solicitadosolicitado
Publicidade Publicidade potencialmente potencialmente aborrecedora aborrecedora e/ou ofensivae/ou ofensiva
““PhishingPhishing” e ” e fraudesfraudes
CorreioCorreioSpamSpam
CorreioCorreioLegítimoLegítimo
Correio Correio DestrutivoDestrutivo
VírusVírus
MalwareMalware
SpywareSpyware
Como Combater o Como Combater o SpamSpam
Requisitos para Combater o SpamRequisitos para Combater o Spam
Os falsos positivos são a preocupação Nº1Os falsos positivos são a preocupação Nº1Mensagens legítimas não devem filtradas num controlo Mensagens legítimas não devem filtradas num controlo anti-spamanti-spam
Controlo/Filtragem à entrada da infra-estruturaControlo/Filtragem à entrada da infra-estruturaO utilizador não vê as mensagensO utilizador não vê as mensagensReduz o impacto na largura de banda e nos recursosReduz o impacto na largura de banda e nos recursos
AdministraçãoAdministraçãoSimples de implementar e administrarSimples de implementar e administrarEquilíbrio entre gestão centralizada e gestão feita pelo Equilíbrio entre gestão centralizada e gestão feita pelo utilizadorutilizador
Funcionalidades Anti-Spam no Funcionalidades Anti-Spam no Exchange Server 2003Exchange Server 2003
Exchange Server 2003 RTM & SP1Exchange Server 2003 RTM & SP1Connection Filtering: De onde vemConnection Filtering: De onde vemSender Filtering: Quem enviouSender Filtering: Quem enviouRecipient Filtering: A quem se destinaRecipient Filtering: A quem se destinaListas de Distribuição RestritasListas de Distribuição RestritasIntelligent Message Filter: Do que se trataIntelligent Message Filter: Do que se trata
Exchange Server 2003 SP2Exchange Server 2003 SP2Intelligent Message Filter integradoIntelligent Message Filter integradoConnection Filtering Behind PerimeterConnection Filtering Behind PerimeterSMTP FilteringSMTP FilteringSender ID FrameworkSender ID Framework
Connection FilteringConnection Filtering(De onde vem)(De onde vem)
Filtragem por endereço IP do servidor remotoFiltragem por endereço IP do servidor remoto
Listas Global Accept e DenyListas Global Accept e DenyIP’s individuais ou conjuntos por IP’s individuais ou conjuntos por “subnet mask”“subnet mask”Accept sobrepõe-se a DenyAccept sobrepõe-se a Deny
Suporte para serviços de Bloqueio em Tempo Suporte para serviços de Bloqueio em Tempo Real (Real-time Block Lists - RBL)Real (Real-time Block Lists - RBL)
NDR personalizável por fornecedor de serviçoNDR personalizável por fornecedor de serviçoExcepções: Por endereço de correio electrónicoExcepções: Por endereço de correio electrónico
Ordem de funcionamentoOrdem de funcionamentoAccept, deny, real-time block listsAccept, deny, real-time block lists
Connection FilteringConnection Filtering
Sender FilteringSender Filtering(Quem enviou)(Quem enviou)
Filtragem por remetente ou domínioFiltragem por remetente ou domí[email protected], *@[email protected], *@dominio.pt
Utilizadores autenticados não são filtradosUtilizadores autenticados não são filtrados
OpcionalmenteOpcionalmenteFiltragem de mensagens com remetentes “em branco”Filtragem de mensagens com remetentes “em branco”Arquivar, aceitar a mensagem sem notificarArquivar, aceitar a mensagem sem notificarInterrupção da ligação (preferível)Interrupção da ligação (preferível)
Nota: Adicionar o próprio domínio à lista Sender Nota: Adicionar o próprio domínio à lista Sender Filter pode quebrar o funcionamento de serviços Filter pode quebrar o funcionamento de serviços de listasde listas
Sender FilteringSender Filtering
Recipient FilteringRecipient Filtering(A quem se destina)(A quem se destina)
Filtragem por destinatário (válido ou inválido)Filtragem por destinatário (válido ou inválido)
Não é gerado um Non Delivery Report (NDR)Não é gerado um Non Delivery Report (NDR)A mensagem é rejeitada ao nível do protocolo SMTPA mensagem é rejeitada ao nível do protocolo SMTP
Filtrar utilizadores inexistentes na Active Filtrar utilizadores inexistentes na Active DirectoryDirectory
Desenhado para combater a tentativa de recolha de Desenhado para combater a tentativa de recolha de informação do directório (endereços de correio apenas)informação do directório (endereços de correio apenas)Não é gerado um NDRNão é gerado um NDR
Microsoft Exchange Intelligent Microsoft Exchange Intelligent Message Filter (IMF)Message Filter (IMF)
Classificação da mensagem segundo a Classificação da mensagem segundo a probabilidade de ser spamprobabilidade de ser spam
Spam Confidence Level (SCL)Spam Confidence Level (SCL)
Fornece uma configuração por limitesFornece uma configuração por limitesLimite SCL na Gateway e acçãoLimite SCL na Gateway e acção
Rejeitar, apagar, arquivar, não tomar acçãoRejeitar, apagar, arquivar, não tomar acçãoLimite SCL no Store (Mailbox)Limite SCL no Store (Mailbox)
Mensagens recebidas através de ligações Mensagens recebidas através de ligações autenticadas não são filtradasautenticadas não são filtradas
Instalado à entrada do sistema (Gateway)Instalado à entrada do sistema (Gateway)
Construído sobre a tecnologia SmartScreenConstruído sobre a tecnologia SmartScreenDisponível no Outlook 2003 e implementado no HotmailDisponível no Outlook 2003 e implementado no Hotmail
Microsoft Exchange Intelligent Microsoft Exchange Intelligent Message Filter (SP2)Message Filter (SP2)
Integrado no Exchange Server 2003Integrado no Exchange Server 2003
Últimas actualizações ao SmartScreenÚltimas actualizações ao SmartScreenFiltro actualizadoFiltro actualizadoLista de palavras-chave personalizávelLista de palavras-chave personalizávelMensagem de resposta à rejeição personalizávelMensagem de resposta à rejeição personalizável
Actualizações bi-mensaisActualizações bi-mensaisVia Microsoft Update (http://update.microsoft.com)Via Microsoft Update (http://update.microsoft.com)
Nova tecnologia Nova tecnologia “Anti-Phishing”“Anti-Phishing”Transparente para o administrador e utilizadoresTransparente para o administrador e utilizadoresPhishing Confidence Level (PCL)Phishing Confidence Level (PCL)
Classificado pelo IMF como parte da avaliação SCLClassificado pelo IMF como parte da avaliação SCL
Intelligent Message Filter Intelligent Message Filter (IMF)(IMF)
Connection Filtering Behind Connection Filtering Behind Perimeter (SP2)Perimeter (SP2)
Nova interface para adicionar endereços IP de Nova interface para adicionar endereços IP de servidores SMTP localizados no perímetro de servidores SMTP localizados no perímetro de segurançasegurança
Cenário de utilização:Cenário de utilização:Quando o Exchange Server 2003 não está ligado Quando o Exchange Server 2003 não está ligado directamente na Internet para receber mensagens de directamente na Internet para receber mensagens de servidores SMTP remotosservidores SMTP remotos
Funcionamento com o Connection Filtering e Funcionamento com o Connection Filtering e Sender ID FilteringSender ID Filtering
SMTP Filtering (SP2)SMTP Filtering (SP2)
Filtro em tempo-real para sessões SMTPFiltro em tempo-real para sessões SMTPOcorre depois do Connection Filtering e antes do Ocorre depois do Connection Filtering e antes do Sender FilteringSender FilteringForça a conformidade das sessões SMTP com os Força a conformidade das sessões SMTP com os standards RFCsstandards RFCsRejeita correio quando o remetente não está em Rejeita correio quando o remetente não está em conformidade ou viola severamente o RFC2821conformidade ou viola severamente o RFC2821Força a correcta sequência de comandos SMTP Força a correcta sequência de comandos SMTP (EHLO/HELO, MAIL FROM:, RCPT TO:)(EHLO/HELO, MAIL FROM:, RCPT TO:)Procura técnicas comuns de spam, como a injecção de Procura técnicas comuns de spam, como a injecção de caracteres 8-bit ou a alteração de ordem de comandos caracteres 8-bit ou a alteração de ordem de comandos numa sessãonuma sessão
Sessão é terminada ao nível do protocoloSessão é terminada ao nível do protocolo
Sender ID (SP2)Sender ID (SP2)
De onde provêm a mensagem?De onde provêm a mensagem?
Invocado depois do Recipient Filtering e antes do Invocado depois do Recipient Filtering e antes do IMFIMFCriado para evitar spoofing de domíniosCriado para evitar spoofing de domínios
Combina o Sender Policy Framework (SPF) e o Combina o Sender Policy Framework (SPF) e o Microsoft Caller IDMicrosoft Caller ID
Autenticação de domínios de correio electrónicoAutenticação de domínios de correio electrónicoRegistos Sender Policy Framework no DNS como Registos Sender Policy Framework no DNS como mecanismo de autenticaçãomecanismo de autenticaçãoPurported Responsible Address (PRA) – IP dos Purported Responsible Address (PRA) – IP dos servidores autorizadosservidores autorizadosPurported Responsible Domain (PRD) – Nome do Purported Responsible Domain (PRD) – Nome do domíniodomínio
Sender ID (SP2)Sender ID (SP2)
Publica endereço IP dos servidores outbound através de registos SPF no DNS
Mensagens enviadas normalmente
Pesquisa registo SPF do remetente no DNS Determina o PRA e PRD (Resent-Sender,
Resent-From, Sender, From) Compara PRA com o IP legítimo no registo
SPF Corresponde (Match) Positivo (Não filtra) Não Corresponde (No Match) Negativo
(Filtra)
Mensagem circula entre um ou vários servidores para
chegar ao destinatário
RemetenteRemetente DestinatárioDestinatário
Sender IDSender ID
Sender ID (SP2)Sender ID (SP2)
Antes de activar o Sender ID no Exchange Server Antes de activar o Sender ID no Exchange Server 2003 SP2, garantir que é aplicado a correcção 2003 SP2, garantir que é aplicado a correcção para o Windows Server 2003 referenciada no para o Windows Server 2003 referenciada no artigo da Knowledge Base da Microsoftartigo da Knowledge Base da Microsoft
““Windows Server 2003 may stop responding when you enable Sender ID Windows Server 2003 may stop responding when you enable Sender ID filtering on an SMTP virtual server in Exchange Server 2003 SP2filtering on an SMTP virtual server in Exchange Server 2003 SP2””
http://support.microsoft.com/?kbid=905214http://support.microsoft.com/?kbid=905214
Assistente para a criação de registos SPFAssistente para a criação de registos SPFwww.anti-spamtools.orgwww.anti-spamtools.org
Combater o Spam e os Combater o Spam e os Vírus num Sistema de Vírus num Sistema de Correio ElectrónicoCorreio Electrónico
Miguel TeixeiraMiguel [email protected]@microsoft.com
Solutions-Product ManagerSolutions-Product Manager
Microsoft PortugalMicrosoft Portugal
Sérgio MartinhoSérgio [email protected]@microsoft.co
mm
Security Solutions SpecialistSecurity Solutions Specialist
Microsoft PortugalMicrosoft Portugal
AgendaAgenda
Problemas e PreocupaçõesProblemas e PreocupaçõesComo Combater o SpamComo Combater o SpamFuncionalidades Anti-Spam no Exchange Funcionalidades Anti-Spam no Exchange Server 2003Server 2003Como Combater os VírusComo Combater os VírusRequisitos para Combater os VírusRequisitos para Combater os VírusAntigen para Exchange ServerAntigen para Exchange Server
Como Combater os Como Combater os VírusVírus
Requisitos para Requisitos para Combater os VírusCombater os Vírus
Requisitos na Vertente Anti-Requisitos na Vertente Anti-VírusVírus
Defesa em profundidade é o ponto-chaveDefesa em profundidade é o ponto-chaveA protecção deve começar antes do servidorA protecção deve começar antes do servidor
Utilizar mais do que uma tecnologia de detecção Anti-Utilizar mais do que uma tecnologia de detecção Anti-VírusVírus
Tratamento diferenciado de acordo com a Tratamento diferenciado de acordo com a direcção do correio electrónicodirecção do correio electrónico
Análise Anti-Vírus não é suficienteAnálise Anti-Vírus não é suficienteGestão dos anexos é fundamentalGestão dos anexos é fundamental
NotificaçõesNotificações
Purga versus limpeza da mensagemPurga versus limpeza da mensagem
Requisitos na Vertente Anti-SpamRequisitos na Vertente Anti-Spam
Taxa de detecção de SpamTaxa de detecção de Spam
Falsos críticos / positivosFalsos críticos / positivos
Antes da detecção do Anti-VírusAntes da detecção do Anti-Vírus
Antes de chegar ao servidor de correio Antes de chegar ao servidor de correio electrónicoelectrónico
AutomáticoAutomático
Quarentena no servidor de email?Quarentena no servidor de email?
Requisitos na Vertente Requisitos na Vertente HigienizaçãoHigienização
É mais do que Anti-VírusÉ mais do que Anti-Vírus
É mais do que Anti-SpamÉ mais do que Anti-Spam
Gestão de conteúdosGestão de conteúdos
Gestão de ConteúdosGestão de Conteúdos
Gestão de ConteúdosGestão de Conteúdos
Podemos considerar 3 níveis de gestão de Podemos considerar 3 níveis de gestão de conteúdosconteúdos
Filtragem de ficheirosFiltragem de ficheiros
Filtragem de assuntoFiltragem de assunto
Filtragem de remetente e/ouFiltragem de remetente e/oudomíniodomínio
Gestão de ConteúdosGestão de Conteúdos
Porquê a filtragem de ficheiros?Porquê a filtragem de ficheiros?
Maior pró-actividadeMaior pró-actividade
Mais flexibilidadeMais flexibilidade
Melhor respostaMelhor resposta
Limita o tipo de ficheirosLimita o tipo de ficheiros
Gestão de ConteúdosGestão de Conteúdos
Filtragem de assuntoFiltragem de assuntoW32/Goner-A,W32/Goner-A,
Subject: Subject: HiHi
Filtragem de remetente e/ou domínioFiltragem de remetente e/ou domínioBloqueio de domínios utilizadosBloqueio de domínios utilizadospor por spammersspammers
Bloqueio de emissores não desejadosBloqueio de emissores não desejados
É neste ponto que se definem regras para É neste ponto que se definem regras para combater combater spoofingspoofing
Anti-VírusAnti-Vírus
Porquê Múltiplos Motores de Porquê Múltiplos Motores de Análise?Análise?
Características únicasCaracterísticas únicas
Cobertura de diferentes fusos horáriosCobertura de diferentes fusos horários
Pesquisa múltipla de anexos em diferentes níveisPesquisa múltipla de anexos em diferentes níveis
Pesquisa inteligente com ajuste dos vários motoresPesquisa inteligente com ajuste dos vários motores
Possibilidade de definir tarefas por níveis e Possibilidade de definir tarefas por níveis e Storage Storage GroupsGroups
Ajuste de desempenho e Ajuste de desempenho e Bias SettingsBias Settings
Protecção contra “acidentes” – Protecção contra “acidentes” – Crash ProtectionCrash Protection
Possibilidade de enviar / receber emails e pesquisa Possibilidade de enviar / receber emails e pesquisa mesmo durante as actualizaçõesmesmo durante as actualizações
Depuração Automática de WormsDepuração Automática de Worms
Purga automática de todas as mensagens Purga automática de todas as mensagens recebidas identificadas com vírus da classe recebidas identificadas com vírus da classe WormWorm, ao nível, ao nívelIMC / SMTPIMC / SMTP
Worm ListWorm List com actualizações automáticas com actualizações automáticas
Elimina spam e telefonemas ao HelpdeskElimina spam e telefonemas ao Helpdesk
TecnologiaTecnologia
Pesquisa em memóriaPesquisa em memóriaFicheiros em anexoFicheiros em anexo
Ficheiros Zip multi-nívelFicheiros Zip multi-nível
Pesquisa de Instância ÚnicaPesquisa de Instância Única
Todos os objectos são analisados quando Todos os objectos são analisados quando criados ou alteradoscriados ou alterados
Pesquisa manual e em tempo realPesquisa manual e em tempo real
Anti-SpamAnti-Spam
Métodos de Detecção de SpamMétodos de Detecção de Spam
Listas RBL (Real-time Block List)Listas RBL (Real-time Block List)
Palavras-chave no corpo da mensagemPalavras-chave no corpo da mensagem
Filtragem de Filtragem de mailhostmailhost
Listas BrancasListas Brancas
Spam Confidence Level (SCL)Spam Confidence Level (SCL)
Advanced Spam Manager (ASM)Advanced Spam Manager (ASM)
O que é o Antigen?O que é o Antigen?
Gestão de conteúdosGestão de conteúdos
Análise Anti-Vírus com múltiplas Análise Anti-Vírus com múltiplas tecnologias de detecçãotecnologias de detecção
Anti-SpamAnti-Spam
Antigen para ExchangeAntigen para Exchange
Perguntas e Respostas?Perguntas e Respostas?
RecursosRecursosExchange Server 2003Exchange Server 2003http://www.microsoft.com/portugal/exchange
Exchange Server 2003 TechCenterExchange Server 2003 TechCenterhttp://www.microsoft.com/technet/prodtechnol/exchange/default.mspx
Anti-PhishingAnti-Phishinghttp://www.microsoft.com/mscorp/safety/technologies/antiphishing/default.mspx
IMF e Sender IDIMF e Sender IDhttp://www.microsoft.com/exchange/imf
http://www.microsoft.com/senderid
Secure MessagingSecure Messaginghttp://www.microsoft.com/securemessaging/default.mspxhttp://www.microsoft.com/securemessaging/default.mspx
You Had Me At EHLO... aka the Microsoft ExchangeYou Had Me At EHLO... aka the Microsoft ExchangeTeamTeamhttp://blogs.technet.com/exchange/
RecursosRecursos
ISA server 2004 + Exchange Server = More SecureISA server 2004 + Exchange Server = More Securehttp://www.microsoft.com/isaserver/solutions/exchange.mspxhttp://www.microsoft.com/isaserver/solutions/exchange.mspx
Microsoft Security Baseline Analyzer 2.0 (MBSA)Microsoft Security Baseline Analyzer 2.0 (MBSA)http://www.microsoft.com/technet/security/tools/mbsa2/default.mspxhttp://www.microsoft.com/technet/security/tools/mbsa2/default.mspx
Site SegurançaSite Segurança http://www.microsoft.com/portugal/
Actualizações e Notificações de alerta gratuitasActualizações e Notificações de alerta gratuitas http://www.microsoft.com/technet/security/bulletin/notify.mspx
Newsletter de segurança Microsoft Newsletter de segurança Microsoft http://www.microsoft.com/technet/security/secnews/default.mspx
Auto-avaliação de Risco de SegurançaAuto-avaliação de Risco de Segurança http://www.securityguidance.com/
Próximas SessõesPróximas Sessões
12 Abril12 Abril – Implementar o acesso seguro – Implementar o acesso seguro ao correio electrónico e à rede da ao correio electrónico e à rede da organizaçãoorganização
10 Maio10 Maio - Como proteger os dados e a - Como proteger os dados e a informação da sua organizaçãoinformação da sua organização
14 Junho14 Junho - Instalação, Segurança e - Instalação, Segurança e Manutenção de Redes WirelessManutenção de Redes Wireless
http://www.microsoft.com/portugal/webcasts/
Assista aos mais recentes Assista aos mais recentes vídeos no IT’s Showtime!vídeos no IT’s Showtime!
www.microsoft.com/emea/itsshowtime/www.microsoft.com/emea/itsshowtime/portugalportugalwww.microsoft.com/emea/itsshowtime/www.microsoft.com/emea/itsshowtime/portugalportugal
© 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only.MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.