A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

João Carlos Manzano Microsoft Brasil Melhores Práticas para proteção contra vírus, spam e ataques por e-mail Como a Microsoft protege sua própria infraestrutura.

Apresentações semelhantes


Apresentação em tema: "João Carlos Manzano Microsoft Brasil Melhores Práticas para proteção contra vírus, spam e ataques por e-mail Como a Microsoft protege sua própria infraestrutura."— Transcrição da apresentação:

1 João Carlos Manzano Microsoft Brasil Melhores Práticas para proteção contra vírus, spam e ataques por Como a Microsoft protege sua própria infraestrutura.

2 Agenda Visão geral do tratamento de mensagensVisão geral do tratamento de mensagens Microsoft ® Exchange Server 2003, funcionalidades de limpeza de mensagensMicrosoft ® Exchange Server 2003, funcionalidades de limpeza de mensagens Infraestrutura de AntispamInfraestrutura de Antispam Infraestrutura de Antivírus ( ´s)Infraestrutura de Antivírus ( ´s) Microsoft ® Exchange Server 2007 – Projeto de Servidores Perímetrais (Edge Server Design)Microsoft ® Exchange Server 2007 – Projeto de Servidores Perímetrais (Edge Server Design) OBS: Algumas figuras ilustrativas nessa apresentação estão em Inglês para garantir a sua terminologia/fraseologiaOBS: Algumas figuras ilustrativas nessa apresentação estão em Inglês para garantir a sua terminologia/fraseologia

3 Pré Requisitos dos Participantes Conhecimento Técnico nos itens:Conhecimento Técnico nos itens: –Protocolo SMTP e Internet –Roteamento e Transporte do Exchange Server 2003 –Domain Name System (DNS) –Conceitos Genéricos sobre Anti vírus e Anti Spam

4 O que é higiene de mensagens? Objetivo: Garantir que o ambiente de mensageria da empresa seja livre de conteúdo malicioso ou não autorizado.Objetivo: Garantir que o ambiente de mensageria da empresa seja livre de conteúdo malicioso ou não autorizado. Ameaças:Ameaças: –Mensagens infectadas com vírus –Mensagens comerciais não solicitadas (spam) –Ataques de Denial-of-service (DoS) –Ataques de Directory harvesting (DHA) [Colheita de dados] –Spoofing –Usar minha infraestrutura para o envio de não autorizado (relaying) NO MORE MRH –Phishing

5 Internet Mail na Microsoft Visão Geral Domínio Alguns Números atualizados:Alguns Números atualizados: –~8-12 M mensagens de entrada são submetidos por dia. –95% ou mais são caracterizados como não legítimos pelos nossos filtros (spam, vírus, etc…) –~500, ,000 Mensagens de saída por dia. Arquitetura Distribuída:Arquitetura Distribuída: –4 Pontos distintos de Gateways para Internet Inbound / Outbound: Redmond e Silicon ValleyInbound / Outbound: Redmond e Silicon Valley Somente Outbound : Dublin e SingaporeSomente Outbound : Dublin e Singapore –6 Servidores E2K3 Gateway Primários executam a limpeza das mensagens –6 Servidores Primários Exchange Server 2007 de borda executam a limpeza das mensagens (going forward)

6 Infraestrutura: Impacto dos Spam´s Conteúdo malicioso e não solicitadoConteúdo malicioso e não solicitado –Atrapalha a produtividade dos usuários –Consome recursos de infraestrutura Connection Filtering Sender and Recipient Filtering Sender ID & Intelligent Message Filtering Microsoft ® Office Outlook ® 2003 Mailbox Inbox Junk ´s entrada Receptores rejeitados por Diretório Lookups/Sec por a passagem Receptores rejeitados por Receptor Filtering/Sec por a passagem

7 Microsoft IT Higiene de MSG´s Nossos Princípios Antispam DEVE ser feito antes do AntivírusAntispam DEVE ser feito antes do Antivírus Antivírus DEVE fazer a varredura do correio inbound e outboundAntivírus DEVE fazer a varredura do correio inbound e outbound Antivírus DEVE seguir a regra block on failAntivírus DEVE seguir a regra block on fail Antivírus e antispam DEVEM se integrar literalmente ao Exchange ServerAntivírus e antispam DEVEM se integrar literalmente ao Exchange Server

8 Exchange SMTP Routing Hubs Mailbox Servers Exchange SMTP Gateways Internet Clients Exchange Hosted Filtering Connection Filtering Sender/Recipient Filtering Sender ID Filtering Antispam (IMF) Attachment Filtering Antivírus Attachment Blocking AntivírusAntispam Higiene de MSG´s - HOJE Defesa em Camadas Exchange Server 2003 (SP2)Exchange Server 2003 (SP2) Exchange Servers são máquinas juntadas ao Domínio.Exchange Servers são máquinas juntadas ao Domínio.

9 Connection Filtering e Real-Time Block Lists (RBLs) Real-time DNS-based block listsReal-time DNS-based block lists –Checa o IP de quem envia e bloqueia usando uma pesquisa de DNS. –Se o registro do DNS consta o IP do emissor, bloqueia. Utiliza lista de terceiros (fornecedores). Exchange Server 2003Exchange Server 2003 –Suporta multiplos fornecedores de RBL. –Termina a conexão de o IP for bloqueado (SMTP protocol 550 error) rejected because is listed by sbl-xbl.spamhaus.org. Please see for more information. If you still need assistance contact Exchange Server 2003 SP2 - Header ParsingExchange Server 2003 SP2 - Header Parsing –Permite implementar e configurar RBL dentro do perímetro –IP de perímetros e LOCAL RANGE, devem ser claramente definidas

10 Real-Time Block Lists Avaliação Block list´s ProvêBlock list´s Provê Critério de AnaliseCritério de Analise –Qualidade no serviço de bloqueio e índices de Falso-Positivos. –Relatórios –Usabilidade –Suporte a transferência de zona (DNS zone transfer preferenciamente incremental) –Arquitetura Robusta para suportar operação pesada em regime 24x7x365.

11 Sender/Recipient Filtering Filtra Mensagens enviadas olhando um enderço em particular ou um domínio.Filtra Mensagens enviadas olhando um enderço em particular ou um domínio. –Medida provisória durante ataques do bombardeio contra o sistema de correio eletrônico Bloqueia a conexção antes do message payload ser aceito.Bloqueia a conexção antes do message payload ser aceito. Filtra mensagens com emissor em branco.Filtra mensagens com emissor em branco. –RFC822 Bloquear domínios pode interferir em alguns cenários.(ex, ListServ)Bloquear domínios pode interferir em alguns cenários.(ex, ListServ) Filtre as mensagens emitidas aos receptores particulares do (válido ou inválido)Filtre as mensagens emitidas aos receptores particulares do (válido ou inválido)

12 Recipient Lookup Valida o receptor antes de aceitar a mensagem, e em caso de erro retorna o código 550.Valida o receptor antes de aceitar a mensagem, e em caso de erro retorna o código 550. Resultado: Não transmite as mensagens – Salva sua performanceResultado: Não transmite as mensagens – Salva sua performance Resultado colateral: possibilidade de varredura rápida de alias (ex. Ataque DHA)Resultado colateral: possibilidade de varredura rápida de alias (ex. Ataque DHA) –Aproximadamente 20 minutos para colher todos os alias de 4-characteres válidos pela enumeração (Ataque de força Bruta). Solução prática: Atrase a resposta 550 para n segundos: vc vai reduzir a performance do seu opressor significativamente. Veja mais em:Solução prática: Atrase a resposta 550 para n segundos: vc vai reduzir a performance do seu opressor significativamente. Veja mais em: Trabalhe somente em domínios autoritativos!Trabalhe somente em domínios autoritativos!

13 Melhorias no Exchange Spam Confidence Level (SCL) Exchange Server 2003 possuí o recursdo do IMFExchange Server 2003 possuí o recursdo do IMF Mensagens são indicadas como SPAM ou não usando o SCL.Mensagens são indicadas como SPAM ou não usando o SCL. –Valores de 0 até 9 Exchange Server 2003 permite duas análises / açõesExchange Server 2003 permite duas análises / ações –No nível de gateway SMTP –Na camanda de armazenamento –Outlook não usa SCL para seus filtros –O filtro SCL não afeta ´s internos

14 SCL Valores Valor SCL Categorização Reservado ao Exchange Server 2003 para mensagens submetidas internamente. Um valor de -1 não deve sobrescrito porque é este valor que é usado para eliminar falsos-positivos e ´s internos 0 Marca as mensagens que não são SPAM. 1 Probabilidade extremamente BAIXA que a mensagem é um SPAM. 2,3,4,5,6,7,8 Faixa de critério de Probabilidade 9 Probabilidade extremamente ALTA que a mensagem é um SPAM Veja mais sobre SCL

15 Intelligent Message Filter (IMF) Arquitetura É engajado antes de qualquer componente antivírus ou antispam.É engajado antes de qualquer componente antivírus ou antispam. IMF Somente faz scan em mensagens submetidas pelo protocolo SMTPIMF Somente faz scan em mensagens submetidas pelo protocolo SMTP

16 Higiene de s na Microsoft IT Usando o Intelligent Message Filter (IMF) Pontos Chaves da Infraestrutura IMFPontos Chaves da Infraestrutura IMF –IMF é posicionado antes do Antivírus –Todo tráfego SMTP é analisado: Tráfego conhecido? / Autenticado?Tráfego conhecido? / Autenticado? Message Envelope EXCH50 Blob with SCL rating Message body RFC 2822 Internet Exchange 2003 Mailbox Server Exchange 2003 SMTP Gateway +IMF Third Party SMTP Server

17 Intelligent Message Filter Customização IMF modos de operação no GatewayIMF modos de operação no Gateway No actionNo action ArchiveArchive DeleteDelete RejectReject Customize a mensagem de Erro (Exchange SP2)Customize a mensagem de Erro (Exchange SP2) –HKLM\Software\Microsoft\Exchange\ContentFilter\C ustomRejectResponse

18 Exchange 2003 Gateways Exchange 2003 Hubs Mailbox Servers Clients Antivírus e Antispam: End to End Gateway Server Transport SCL>=GatewayThreshold? Sender ID Filtering Exchange IMF Sender/RecipientFiltering Filter Action Connection Filtering RBLs No Yes Gateway Server Transport Attachment Stripping Virus Scanning SCL Mailbox Server Store SCL Store Threshold User Safe/ BlockedSenders SCL>StoreThreshold? Junk mail Inbox YesNo SCL Client (Outlook 2003) Desktop Antivírus Attachment blocking User Safe/Blocked Senders Spam? Junk mail Inbox Internet

19 Restringir/Autenticar DGs Distribution groups (DGs) contém um grande número de destinatários.Distribution groups (DGs) contém um grande número de destinatários. Uma única mensagem maliciosa destinada a um DG afeta um grande número de usuáriosUma única mensagem maliciosa destinada a um DG afeta um grande número de usuários Recomendamos: Restringir grandes DG´s, somente mediante autenticaçãoRecomendamos: Restringir grandes DG´s, somente mediante autenticação Protege contra SPAM´s, mas… Pode ser muito mais seguro!

20 Sender ID Na sua concepção o Sender ID é : = uma política publicada que defina quem é autorizado para emitir o correio de um domínio particular + os agentes de recepção que verificam e reforçam esta políticaNa sua concepção o Sender ID é : = uma política publicada que defina quem é autorizado para emitir o correio de um domínio particular + os agentes de recepção que verificam e reforçam esta política Um mix de propostas de s internet e comunidadesUm mix de propostas de s internet e comunidades –Sender Policy Framework (SPF) –Microsoft Caller ID for Incluí 5 rascunhos técnicosIncluí 5 rascunhos técnicos –www.microsoft.com/senderid Sender ID isSender ID is –Uma maneira para que os remetentes protejam seus nomes do tipo e do domínio de spoofing e de phishing. –Uma maneira para que os receptores validem a origem do correio Mais informações para o filtro de SPAM.Mais informações para o filtro de SPAM. –Uma fundação para aumentar as listas seguras.

21 Como funciona o Sender ID? Os remetentes publicam endereços IP de servidores de no DNSOs remetentes publicam endereços IP de servidores de no DNS Os receptores determinam que domínio verificarOs receptores determinam que domínio verificar –Usa o cabeçalho RFC 2822 –RFC 2821 Mail From domain A pergunta DNS dos receptores para os usuários do do domínio escolhido e executa o teste spoofing do domínioA pergunta DNS dos receptores para os usuários do do domínio escolhido e executa o teste spoofing do domínio

22 One time: Publish SPF record in DNS No other changes required sent as normal Look up Senders SPF record in DNS Determine PRA Compare PRA to legitimate IPs in SPF record Match positive filter input No match negative filter input Message transits one or more servers en route to receiver Sender ID Framework

23 Exemplos de construção example.com TXT v=spf1 -allexample.com TXT v=spf1 -all –This domain never sends mail example.com TXT v=spf1 mx -allexample.com TXT v=spf1 mx -all –Inbound servers also send outbound mail example.com TXT v=spf1 ip4: /24 –allexample.com TXT v=spf1 ip4: /24 –all –Specify an IP range Possible results:Possible results: –Pass (+), Fail (-), Softfail (~), Neutral (?), None (record does not exist), TempError, PermError (domain does not exist) Sugerimos que você faça o download desse webcast para colecionar essa documentação.Sugerimos que você faça o download desse webcast para colecionar essa documentação.

24 Sender ID Framework: Status Sender ID StatusDescriptionActions NeutralPublished Sender ID data is explicitly inconclusive Accept Pass (+)IP Address for the PRA is in the permitted set in DNS Accept Fail (-) Domain Does not Exist Sender not permitted Malformed domain No PRA found in the header IP Address for the PRA is not in the permitted set Accept Delete Reject Soft Fail (~)IP Address for the PRA may be in the permitted set Accept NoneNo Sender ID records are published for this domain Accept TempErrorReceiving server encountered a transient error such as unavailable DNS server Accept PermErrorReceiving server encountered a unrecoverable error such as an error in the record format Accept

25 Nosso SPF Record no DNS Nslookup –q=TXT microsoft.com microsoft.com text = "v=spf1 mx include:_spf-a.microsoft.com include:_spf- b.microsoft.com include:_spf-c.microsoft.com ~all" _spf-a.microsoft.com text = v=spf1 ip4: ip4: ip4: ip4: ip4: ip4: ip4: ip4: a:delivery.pens.microsoft.com a:mh.microsoft.m0.net mx:microsoft.com ~all"

26 Sender ID - Conclusão Sender ID tem limitações…Sender ID tem limitações… –Autentica domínios, não usuários. –Valida o last hop não end-to-end –Os spammers podem registar seus próprios domínios …mas prove uma fundação em:…mas prove uma fundação em: –Maior acuracidade para as listas de acesso ou restrição. –Baseado em reputação –Ótima proteção contra phishing. …Complementar com tecnologias Anti-Spam…Complementar com tecnologias Anti-Spam

27 Microsoft IT Antivírus Fronteira de Proteção contra pragas virtuais Nível de Gateway´sNível de Gateway´s Nível de Information StoreNível de Information Store Nível de ClientesNível de Clientes

28 Microsoft IT Antivírus Segurança em anexos já no gateway. Descascar o anexo (Attachment stripping)Descascar o anexo (Attachment stripping) –Proteção contra qualquer malware Implementado como add-onImplementado como add-on Recomendamos a leitura no KB:Recomendamos a leitura no KB: KB829982:

29 Microsoft IT Antivírus Nossos princípios A chave é Defesa em CamadasA chave é Defesa em Camadas Boa Prática: Scan em múltiplos níveisBoa Prática: Scan em múltiplos níveis –Quanto custa mitigar? –Cada camada adiciona despesas gerais do desempenho? –Tratamento diferenciado para In / Out Somente escanear não é suficiente…Somente escanear não é suficiente… –Gerenciamento de anexos é mandatório –Análise de diretório antes de escanear –Notificações de segurança –Limpar ou remover mensagens????? Métricas e Relatórios (Mensurar é OBRIGATÓRIO)Métricas e Relatórios (Mensurar é OBRIGATÓRIO)

30 Microsoft IT Antivírus Nossa arquitetura SMTP – Utilizam Microsoft Antigen for SMTP 9.0SMTP – Utilizam Microsoft Antigen for SMTP 9.0 Integrado ao Exchange ServerIntegrado ao Exchange Server Ainda podemos empregarAinda podemos empregar –Transport VSAPI.. Para qq aplicação de 3º.s

31 Múltiplos Engines Multiplos scanning engines (Atualmente são 9 na família ForeFront)Multiplos scanning engines (Atualmente são 9 na família ForeFront) Todos engines engajados (maximum certainty)Todos engines engajados (maximum certainty) Diferentes engines mostram níveis diferentes de acuracidade, a utilização simultânea potencializa nossa precisão.Diferentes engines mostram níveis diferentes de acuracidade, a utilização simultânea potencializa nossa precisão.

32 Tecnologias para clientes Attachment blocking, script strippingAttachment blocking, script stripping –www.microsoft.com/office/ork/xp/four/outg03.htm Client-side spam filteringClient-side spam filtering –Update for Outlook 2003: Junk Filter KB870765: Outlook client version controlOutlook client version control –KB288894:

33 Overview do Exchange Server 2007 Edge Server Plataforma para antispam e AntivírusPlataforma para antispam e Antivírus Plataforma para seguro.Plataforma para seguro. Novas funcionalidades para higiene das mensagens de correio eletrônicoNovas funcionalidades para higiene das mensagens de correio eletrônico –Análise de protocolos. –Consultas ao Outlook safe-list –Quarentena de SPAM

34 Arquitetura Conceitual (Animação)

35 Antivírus e Antispam Boas Práticas Implemente defesa em camadas.Implemente defesa em camadas. Implemente scans nos dois sentidos IN / OUT.Implemente scans nos dois sentidos IN / OUT. Scan para SPAM antes do scan de vírus.Scan para SPAM antes do scan de vírus. Teste Antivírus com vários encode´s de mensagens e formatos de anexos.Teste Antivírus com vários encode´s de mensagens e formatos de anexos.

36 Para mais informações Additional content on Microsoft IT deployments and best practices can be found on Microsoft TechNet: content on Microsoft IT deployments and best practices can be found on Microsoft TechNet: Information Security at Microsoft Overview milyID=e959f26c-1f5c-4331-b1fb- 6c d&displaylang=enInformation Security at Microsoft Overview milyID=e959f26c-1f5c-4331-b1fb- 6c d&displaylang=en milyID=e959f26c-1f5c-4331-b1fb- 6c d&displaylang=en milyID=e959f26c-1f5c-4331-b1fb- 6c d&displaylang=en How Microsoft IT Defends Against Spam, Viruses, and Attacks rity/messaginghygienewp.mspxHow Microsoft IT Defends Against Spam, Viruses, and Attacks rity/messaginghygienewp.mspx rity/messaginghygienewp.mspx rity/messaginghygienewp.mspx

37 Obrigado


Carregar ppt "João Carlos Manzano Microsoft Brasil Melhores Práticas para proteção contra vírus, spam e ataques por e-mail Como a Microsoft protege sua própria infraestrutura."

Apresentações semelhantes


Anúncios Google