Combater o Spam e os Vírus num Sistema de Correio Electrónico 3/26/2017 Combater o Spam e os Vírus num Sistema de Correio Electrónico Miguel Teixeira miguel.teixeira@microsoft.com Solutions-Product Manager Microsoft Portugal Sérgio Martinho sergio.martinho@microsoft.com Security Solutions Specialist Microsoft Portugal

Agenda Problemas e Preocupações Como Combater o Spam 3/26/2017 Problemas e Preocupações Como Combater o Spam Funcionalidades Anti-Spam no Exchange Server 2003 Como Combater os Vírus Requisitos para Combater os Vírus Antigen para Exchange Server

Pré-Requisitos e Conhecimentos 3/26/2017 Experiência de suporte a sistemas de correio electrónico Windows 2000 e Windows Server 2003 Exchange 2000 e Exchange Server 2003 SBS 2000 e Windows SBS 2003 Familiaridade com conceitos de anti-spam e anti-vírus

O que é o Spam? 3/26/2017 Spam Correio electrónico não solicitado e não desejado, enviado ao utilizador sem a sua permissão. Spoofing Mensagem de correio electrónico originada por uma entidade, que se faz passar por outra. Normalmente, existe um objectivo de ocultar a real identidade para levar o destinatário a proferir uma declaração prejudicial ou a fornecer informação sensível. Phishing Forma de ataque por correio electrónico com o objectivo de obter informação pessoal, onde a parte atacante se faz passar por uma entidade que requer ao destinatário uma actualização de dados pessoais num site web “mascarado” supostamente pertencente à legítima entidade.

Problemas e Preocupações 3/26/2017 Mensagens não solicitadas consomem tempo, dinheiro, produtividade e recursos Mais de 70% do tráfego de correio na Internet Hotmail bloqueia mais de 3 biliões de mensagens por dia Tira partido do sistema estar necessariamente exposto na Internet Risco para a segurança, privacidade e disponibilidade Phishing, burlas, fraudes, roubo de identidade e informação Relay não autorizado de correio electrónico Vírus, Spyware e Trojans Custo reduzido, rentável, anónimo Factores a favor do spammer e do phisher

Classificação das Mensagens 3/26/2017 Correio Legítimo Correio Spam Correio Destrutivo Relacionado com a actividade Correio pessoal Correio de negócio solicitado Correio comercial solicitado Correio promocional não solicitado Publicidade potencialmente aborrecedora e/ou ofensiva “Phishing” e fraudes Vírus Malware Spyware

3/26/2017 Como Combater o Spam

Requisitos para Combater o Spam 3/26/2017 Os falsos positivos são a preocupação Nº1 Mensagens legítimas não devem filtradas num controlo anti-spam Controlo/Filtragem à entrada da infra-estrutura O utilizador não vê as mensagens Reduz o impacto na largura de banda e nos recursos Administração Simples de implementar e administrar Equilíbrio entre gestão centralizada e gestão feita pelo utilizador

Funcionalidades Anti-Spam no Exchange Server 2003 3/26/2017 Exchange Server 2003 RTM & SP1 Connection Filtering: De onde vem Sender Filtering: Quem enviou Recipient Filtering: A quem se destina Listas de Distribuição Restritas Intelligent Message Filter: Do que se trata Exchange Server 2003 SP2 Intelligent Message Filter integrado Connection Filtering Behind Perimeter SMTP Filtering Sender ID Framework

Connection Filtering (De onde vem) 3/26/2017 Filtragem por endereço IP do servidor remoto Listas Global Accept e Deny IP’s individuais ou conjuntos por “subnet mask” Accept sobrepõe-se a Deny Suporte para serviços de Bloqueio em Tempo Real (Real-time Block Lists - RBL) NDR personalizável por fornecedor de serviço Excepções: Por endereço de correio electrónico Ordem de funcionamento Accept, deny, real-time block lists

3/26/2017 Connection Filtering

Sender Filtering (Quem enviou) 3/26/2017 Filtragem por remetente ou domínio utilizador@dominio.pt, *@dominio.pt Utilizadores autenticados não são filtrados Opcionalmente Filtragem de mensagens com remetentes “em branco” Arquivar, aceitar a mensagem sem notificar Interrupção da ligação (preferível) Nota: Adicionar o próprio domínio à lista Sender Filter pode quebrar o funcionamento de serviços de listas

3/26/2017 Sender Filtering

Recipient Filtering (A quem se destina) 3/26/2017 Filtragem por destinatário (válido ou inválido) Não é gerado um Non Delivery Report (NDR) A mensagem é rejeitada ao nível do protocolo SMTP Filtrar utilizadores inexistentes na Active Directory Desenhado para combater a tentativa de recolha de informação do directório (endereços de correio apenas) Não é gerado um NDR

Microsoft Exchange Intelligent Message Filter (IMF) 3/26/2017 Classificação da mensagem segundo a probabilidade de ser spam Spam Confidence Level (SCL) Fornece uma configuração por limites Limite SCL na Gateway e acção Rejeitar, apagar, arquivar, não tomar acção Limite SCL no Store (Mailbox) Mensagens recebidas através de ligações autenticadas não são filtradas Instalado à entrada do sistema (Gateway) Construído sobre a tecnologia SmartScreen Disponível no Outlook 2003 e implementado no Hotmail

Microsoft Exchange Intelligent Message Filter (SP2) 3/26/2017 Integrado no Exchange Server 2003 Últimas actualizações ao SmartScreen Filtro actualizado Lista de palavras-chave personalizável Mensagem de resposta à rejeição personalizável Actualizações bi-mensais Via Microsoft Update (http://update.microsoft.com) Nova tecnologia “Anti-Phishing” Transparente para o administrador e utilizadores Phishing Confidence Level (PCL) Classificado pelo IMF como parte da avaliação SCL

Intelligent Message Filter (IMF) 3/26/2017 Intelligent Message Filter (IMF)

Connection Filtering Behind Perimeter (SP2) 3/26/2017 Nova interface para adicionar endereços IP de servidores SMTP localizados no perímetro de segurança Cenário de utilização: Quando o Exchange Server 2003 não está ligado directamente na Internet para receber mensagens de servidores SMTP remotos Funcionamento com o Connection Filtering e Sender ID Filtering

SMTP Filtering (SP2) Filtro em tempo-real para sessões SMTP 3/26/2017 Filtro em tempo-real para sessões SMTP Ocorre depois do Connection Filtering e antes do Sender Filtering Força a conformidade das sessões SMTP com os standards RFCs Rejeita correio quando o remetente não está em conformidade ou viola severamente o RFC2821 Força a correcta sequência de comandos SMTP (EHLO/HELO, MAIL FROM:, RCPT TO:) Procura técnicas comuns de spam, como a injecção de caracteres 8-bit ou a alteração de ordem de comandos numa sessão Sessão é terminada ao nível do protocolo

Sender ID (SP2) De onde provêm a mensagem? 3/26/2017 De onde provêm a mensagem? Invocado depois do Recipient Filtering e antes do IMF Criado para evitar spoofing de domínios Combina o Sender Policy Framework (SPF) e o Microsoft Caller ID Autenticação de domínios de correio electrónico Registos Sender Policy Framework no DNS como mecanismo de autenticação Purported Responsible Address (PRA) – IP dos servidores autorizados Purported Responsible Domain (PRD) – Nome do domínio

Sender ID (SP2) Remetente Destinatário 3/26/2017 Mensagem circula entre um ou vários servidores para chegar ao destinatário Remetente Destinatário Pesquisa registo SPF do remetente no DNS Determina o PRA e PRD (Resent-Sender, Resent-From, Sender, From) Compara PRA com o IP legítimo no registo SPF Corresponde (Match)  Positivo (Não filtra) Não Corresponde (No Match)  Negativo (Filtra) Publica endereço IP dos servidores outbound através de registos SPF no DNS Mensagens enviadas normalmente

3/26/2017 Sender ID

Sender ID (SP2) 3/26/2017 Antes de activar o Sender ID no Exchange Server 2003 SP2, garantir que é aplicado a correcção para o Windows Server 2003 referenciada no artigo da Knowledge Base da Microsoft “Windows Server 2003 may stop responding when you enable Sender ID filtering on an SMTP virtual server in Exchange Server 2003 SP2” http://support.microsoft.com/?kbid=905214 Assistente para a criação de registos SPF www.anti-spamtools.org

Combater o Spam e os Vírus num Sistema de Correio Electrónico 3/26/2017 Combater o Spam e os Vírus num Sistema de Correio Electrónico Miguel Teixeira miguel.teixeira@microsoft.com Solutions-Product Manager Microsoft Portugal Sérgio Martinho sergio.martinho@microsoft.com Security Solutions Specialist Microsoft Portugal

Agenda Problemas e Preocupações Como Combater o Spam 3/26/2017 Problemas e Preocupações Como Combater o Spam Funcionalidades Anti-Spam no Exchange Server 2003 Como Combater os Vírus Requisitos para Combater os Vírus Antigen para Exchange Server

3/26/2017 Como Combater os Vírus

Requisitos para Combater os Vírus 3/26/2017 Requisitos para Combater os Vírus

Requisitos na Vertente Anti-Vírus 3/26/2017 Defesa em profundidade é o ponto-chave A protecção deve começar antes do servidor Utilizar mais do que uma tecnologia de detecção Anti-Vírus Tratamento diferenciado de acordo com a direcção do correio electrónico Análise Anti-Vírus não é suficiente Gestão dos anexos é fundamental Notificações Purga versus limpeza da mensagem

Requisitos na Vertente Anti-Spam 3/26/2017 Taxa de detecção de Spam Falsos críticos / positivos Antes da detecção do Anti-Vírus Antes de chegar ao servidor de correio electrónico Automático Quarentena no servidor de email?

Requisitos na Vertente Higienização 3/26/2017 É mais do que Anti-Vírus É mais do que Anti-Spam Gestão de conteúdos

3/26/2017 Gestão de Conteúdos

Gestão de Conteúdos Podemos considerar 3 níveis de gestão de conteúdos Filtragem de ficheiros Filtragem de assunto Filtragem de remetente e/ou domínio

Gestão de Conteúdos Porquê a filtragem de ficheiros? Maior pró-actividade Mais flexibilidade Melhor resposta Limita o tipo de ficheiros

Gestão de Conteúdos Filtragem de assunto W32/Goner-A, Subject: Hi Filtragem de remetente e/ou domínio Bloqueio de domínios utilizados por spammers Bloqueio de emissores não desejados É neste ponto que se definem regras para combater spoofing

3/26/2017 Anti-Vírus

Porquê Múltiplos Motores de Análise? Características únicas Cobertura de diferentes fusos horários Pesquisa múltipla de anexos em diferentes níveis Pesquisa inteligente com ajuste dos vários motores Possibilidade de definir tarefas por níveis e Storage Groups Ajuste de desempenho e Bias Settings Protecção contra “acidentes” – Crash Protection Possibilidade de enviar / receber emails e pesquisa mesmo durante as actualizações

Depuração Automática de Worms Purga automática de todas as mensagens recebidas identificadas com vírus da classe Worm, ao nível IMC / SMTP Worm List com actualizações automáticas Elimina spam e telefonemas ao Helpdesk

Tecnologia Pesquisa em memória Pesquisa de Instância Única Ficheiros em anexo Ficheiros Zip multi-nível Pesquisa de Instância Única Todos os objectos são analisados quando criados ou alterados Pesquisa manual e em tempo real

3/26/2017 Anti-Spam

Métodos de Detecção de Spam Listas RBL (Real-time Block List) Palavras-chave no corpo da mensagem Filtragem de mailhost Listas Brancas Spam Confidence Level (SCL) Advanced Spam Manager (ASM)

O que é o Antigen? Gestão de conteúdos Análise Anti-Vírus com múltiplas tecnologias de detecção Anti-Spam

3/26/2017 Antigen para Exchange

3/26/2017 Perguntas e Respostas?

3/26/20173/26/20173/26/20173/26/20173/26/20173/26/20173/26/20173/26/20173/26/2017 3/26/2017 Recursos Exchange Server 2003 http://www.microsoft.com/portugal/exchange Exchange Server 2003 TechCenter http://www.microsoft.com/technet/prodtechnol/exchange/default.mspx Anti-Phishing http://www.microsoft.com/mscorp/safety/technologies/antiphishing/default.mspx IMF e Sender ID http://www.microsoft.com/exchange/imf http://www.microsoft.com/senderid Secure Messaging http://www.microsoft.com/securemessaging/default.mspx You Had Me At EHLO... aka the Microsoft Exchange Team http://blogs.technet.com/exchange/ 44

Recursos ISA server 2004 + Exchange Server = More Secure 3/26/20173/26/20173/26/20173/26/20173/26/20173/26/20173/26/20173/26/20173/26/2017 3/26/2017 Recursos ISA server 2004 + Exchange Server = More Secure http://www.microsoft.com/isaserver/solutions/exchange.mspx Microsoft Security Baseline Analyzer 2.0 (MBSA) http://www.microsoft.com/technet/security/tools/mbsa2/default.mspx Site Segurança http://www.microsoft.com/portugal/ Actualizações e Notificações de alerta gratuitas http://www.microsoft.com/technet/security/bulletin/notify.mspx Newsletter de segurança Microsoft http://www.microsoft.com/technet/security/secnews/default.mspx Auto-avaliação de Risco de Segurança http://www.securityguidance.com/ 45

Próximas Sessões http://www.microsoft.com/portugal/webcasts/ 3/26/20173/26/20173/26/20173/26/20173/26/20173/26/20173/26/20173/26/20173/26/2017 3/26/2017 Próximas Sessões 12 Abril – Implementar o acesso seguro ao correio electrónico e à rede da organização 10 Maio - Como proteger os dados e a informação da sua organização 14 Junho - Instalação, Segurança e Manutenção de Redes Wireless http://www.microsoft.com/portugal/webcasts/ 46

Assista aos mais recentes vídeos no IT’s Showtime! 3/26/20173/26/20173/26/20173/26/20173/26/20173/26/20173/26/20173/26/20173/26/2017 3/26/2017 Assista aos mais recentes vídeos no IT’s Showtime! www.microsoft.com/emea/itsshowtime/portugal 47

3/26/2017 © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.