Combater o Spam e os Combater o Spam e os Vírus num Sistema de Vírus num Sistema de Correio ElectrónicoCorreio Electrónico

Miguel TeixeiraMiguel Teixeiramiguel.teixeira@microsoft.commiguel.teixeira@microsoft.com

Solutions-Product ManagerSolutions-Product Manager

Microsoft PortugalMicrosoft Portugal

Sérgio MartinhoSérgio Martinhosergio.martinho@microsoft.cosergio.martinho@microsoft.co

mm

Security Solutions SpecialistSecurity Solutions Specialist

Microsoft PortugalMicrosoft Portugal

AgendaAgenda

Problemas e PreocupaçõesProblemas e PreocupaçõesComo Combater o SpamComo Combater o SpamFuncionalidades Anti-Spam no Exchange Funcionalidades Anti-Spam no Exchange Server 2003Server 2003Como Combater os VírusComo Combater os VírusRequisitos para Combater os VírusRequisitos para Combater os VírusAntigen para Exchange ServerAntigen para Exchange Server

Pré-Requisitos e ConhecimentosPré-Requisitos e Conhecimentos

Experiência de suporte a sistemas de Experiência de suporte a sistemas de correio electrónicocorreio electrónico

Windows 2000 e Windows Server 2003Windows 2000 e Windows Server 2003

Exchange 2000 e Exchange Server 2003Exchange 2000 e Exchange Server 2003

SBS 2000 e Windows SBS 2003SBS 2000 e Windows SBS 2003

Familiaridade com conceitos de anti-spam Familiaridade com conceitos de anti-spam e anti-víruse anti-vírus

O que é o Spam?O que é o Spam?

SpamSpamCorreio electrónico não solicitado e não desejado, enviado Correio electrónico não solicitado e não desejado, enviado ao utilizador sem a sua permissão.ao utilizador sem a sua permissão.

SpoofingSpoofingMensagem de correio electrónico originada por uma Mensagem de correio electrónico originada por uma entidade, que se faz passar por outra. Normalmente, existe entidade, que se faz passar por outra. Normalmente, existe um objectivo de ocultar a real identidade para levar o um objectivo de ocultar a real identidade para levar o destinatário a proferir uma declaração prejudicial ou a destinatário a proferir uma declaração prejudicial ou a fornecer informação sensívelfornecer informação sensível..

PhishingPhishingForma de ataque por correio electrónico com o objectivo de Forma de ataque por correio electrónico com o objectivo de obter informação pessoal, onde a parte atacante se faz obter informação pessoal, onde a parte atacante se faz passar por uma entidade que requer ao destinatário uma passar por uma entidade que requer ao destinatário uma actualização de dados pessoais num site web “mascarado” actualização de dados pessoais num site web “mascarado” supostamente pertencente à legítima entidade.supostamente pertencente à legítima entidade.

Problemas e PreocupaçõesProblemas e Preocupações

Mensagens não solicitadas consomem tempo, Mensagens não solicitadas consomem tempo, dinheiro, produtividade e recursosdinheiro, produtividade e recursos

Mais de 70% do tráfego de correio na InternetMais de 70% do tráfego de correio na InternetHotmail bloqueia mais de 3 biliões de mensagens por Hotmail bloqueia mais de 3 biliões de mensagens por diadiaTira partido do sistema estar necessariamente exposto Tira partido do sistema estar necessariamente exposto na Internetna Internet

Risco para a segurança, privacidade e Risco para a segurança, privacidade e disponibilidadedisponibilidade

PhishingPhishing, burlas, fraudes, roubo de identidade e , burlas, fraudes, roubo de identidade e informaçãoinformaçãoRelayRelay não autorizado de correio electrónico não autorizado de correio electrónicoVírus, Vírus, SpywareSpyware e e TrojansTrojans

Custo reduzido, rentável, anónimoCusto reduzido, rentável, anónimoFactores a favor do Factores a favor do spammerspammer e do e do phisherphisher

Classificação das MensagensClassificação das Mensagens

Relacionado Relacionado com a com a actividadeactividade

Correio pessoalCorreio pessoal

Correio de Correio de negócio negócio solicitadosolicitado

Correio Correio comercial comercial solicitadosolicitado

Correio Correio promocional não promocional não solicitadosolicitado

Publicidade Publicidade potencialmente potencialmente aborrecedora aborrecedora e/ou ofensivae/ou ofensiva

““PhishingPhishing” e ” e fraudesfraudes

CorreioCorreioSpamSpam

CorreioCorreioLegítimoLegítimo

Correio Correio DestrutivoDestrutivo

VírusVírus

MalwareMalware

SpywareSpyware

Como Combater o Como Combater o SpamSpam

Requisitos para Combater o SpamRequisitos para Combater o Spam

Os falsos positivos são a preocupação Nº1Os falsos positivos são a preocupação Nº1Mensagens legítimas não devem filtradas num controlo Mensagens legítimas não devem filtradas num controlo anti-spamanti-spam

Controlo/Filtragem à entrada da infra-estruturaControlo/Filtragem à entrada da infra-estruturaO utilizador não vê as mensagensO utilizador não vê as mensagensReduz o impacto na largura de banda e nos recursosReduz o impacto na largura de banda e nos recursos

AdministraçãoAdministraçãoSimples de implementar e administrarSimples de implementar e administrarEquilíbrio entre gestão centralizada e gestão feita pelo Equilíbrio entre gestão centralizada e gestão feita pelo utilizadorutilizador

Funcionalidades Anti-Spam no Funcionalidades Anti-Spam no Exchange Server 2003Exchange Server 2003

Exchange Server 2003 RTM & SP1Exchange Server 2003 RTM & SP1Connection Filtering: De onde vemConnection Filtering: De onde vemSender Filtering: Quem enviouSender Filtering: Quem enviouRecipient Filtering: A quem se destinaRecipient Filtering: A quem se destinaListas de Distribuição RestritasListas de Distribuição RestritasIntelligent Message Filter: Do que se trataIntelligent Message Filter: Do que se trata

Exchange Server 2003 SP2Exchange Server 2003 SP2Intelligent Message Filter integradoIntelligent Message Filter integradoConnection Filtering Behind PerimeterConnection Filtering Behind PerimeterSMTP FilteringSMTP FilteringSender ID FrameworkSender ID Framework

Connection FilteringConnection Filtering(De onde vem)(De onde vem)

Filtragem por endereço IP do servidor remotoFiltragem por endereço IP do servidor remoto

Listas Global Accept e DenyListas Global Accept e DenyIP’s individuais ou conjuntos por IP’s individuais ou conjuntos por “subnet mask”“subnet mask”Accept sobrepõe-se a DenyAccept sobrepõe-se a Deny

Suporte para serviços de Bloqueio em Tempo Suporte para serviços de Bloqueio em Tempo Real (Real-time Block Lists - RBL)Real (Real-time Block Lists - RBL)

NDR personalizável por fornecedor de serviçoNDR personalizável por fornecedor de serviçoExcepções: Por endereço de correio electrónicoExcepções: Por endereço de correio electrónico

Ordem de funcionamentoOrdem de funcionamentoAccept, deny, real-time block listsAccept, deny, real-time block lists

Connection FilteringConnection Filtering

Sender FilteringSender Filtering(Quem enviou)(Quem enviou)

Filtragem por remetente ou domínioFiltragem por remetente ou domínioutilizador@dominio.pt, *@dominio.ptutilizador@dominio.pt, *@dominio.pt

Utilizadores autenticados não são filtradosUtilizadores autenticados não são filtrados

OpcionalmenteOpcionalmenteFiltragem de mensagens com remetentes “em branco”Filtragem de mensagens com remetentes “em branco”Arquivar, aceitar a mensagem sem notificarArquivar, aceitar a mensagem sem notificarInterrupção da ligação (preferível)Interrupção da ligação (preferível)

Nota: Adicionar o próprio domínio à lista Sender Nota: Adicionar o próprio domínio à lista Sender Filter pode quebrar o funcionamento de serviços Filter pode quebrar o funcionamento de serviços de listasde listas

Sender FilteringSender Filtering

Recipient FilteringRecipient Filtering(A quem se destina)(A quem se destina)

Filtragem por destinatário (válido ou inválido)Filtragem por destinatário (válido ou inválido)

Não é gerado um Non Delivery Report (NDR)Não é gerado um Non Delivery Report (NDR)A mensagem é rejeitada ao nível do protocolo SMTPA mensagem é rejeitada ao nível do protocolo SMTP

Filtrar utilizadores inexistentes na Active Filtrar utilizadores inexistentes na Active DirectoryDirectory

Desenhado para combater a tentativa de recolha de Desenhado para combater a tentativa de recolha de informação do directório (endereços de correio apenas)informação do directório (endereços de correio apenas)Não é gerado um NDRNão é gerado um NDR

Microsoft Exchange Intelligent Microsoft Exchange Intelligent Message Filter (IMF)Message Filter (IMF)

Classificação da mensagem segundo a Classificação da mensagem segundo a probabilidade de ser spamprobabilidade de ser spam

Spam Confidence Level (SCL)Spam Confidence Level (SCL)

Fornece uma configuração por limitesFornece uma configuração por limitesLimite SCL na Gateway e acçãoLimite SCL na Gateway e acção

Rejeitar, apagar, arquivar, não tomar acçãoRejeitar, apagar, arquivar, não tomar acçãoLimite SCL no Store (Mailbox)Limite SCL no Store (Mailbox)

Mensagens recebidas através de ligações Mensagens recebidas através de ligações autenticadas não são filtradasautenticadas não são filtradas

Instalado à entrada do sistema (Gateway)Instalado à entrada do sistema (Gateway)

Construído sobre a tecnologia SmartScreenConstruído sobre a tecnologia SmartScreenDisponível no Outlook 2003 e implementado no HotmailDisponível no Outlook 2003 e implementado no Hotmail

Microsoft Exchange Intelligent Microsoft Exchange Intelligent Message Filter (SP2)Message Filter (SP2)

Integrado no Exchange Server 2003Integrado no Exchange Server 2003

Últimas actualizações ao SmartScreenÚltimas actualizações ao SmartScreenFiltro actualizadoFiltro actualizadoLista de palavras-chave personalizávelLista de palavras-chave personalizávelMensagem de resposta à rejeição personalizávelMensagem de resposta à rejeição personalizável

Actualizações bi-mensaisActualizações bi-mensaisVia Microsoft Update (http://update.microsoft.com)Via Microsoft Update (http://update.microsoft.com)

Nova tecnologia Nova tecnologia “Anti-Phishing”“Anti-Phishing”Transparente para o administrador e utilizadoresTransparente para o administrador e utilizadoresPhishing Confidence Level (PCL)Phishing Confidence Level (PCL)

Classificado pelo IMF como parte da avaliação SCLClassificado pelo IMF como parte da avaliação SCL

Intelligent Message Filter Intelligent Message Filter (IMF)(IMF)

Connection Filtering Behind Connection Filtering Behind Perimeter (SP2)Perimeter (SP2)

Nova interface para adicionar endereços IP de Nova interface para adicionar endereços IP de servidores SMTP localizados no perímetro de servidores SMTP localizados no perímetro de segurançasegurança

Cenário de utilização:Cenário de utilização:Quando o Exchange Server 2003 não está ligado Quando o Exchange Server 2003 não está ligado directamente na Internet para receber mensagens de directamente na Internet para receber mensagens de servidores SMTP remotosservidores SMTP remotos

Funcionamento com o Connection Filtering e Funcionamento com o Connection Filtering e Sender ID FilteringSender ID Filtering

SMTP Filtering (SP2)SMTP Filtering (SP2)

Filtro em tempo-real para sessões SMTPFiltro em tempo-real para sessões SMTPOcorre depois do Connection Filtering e antes do Ocorre depois do Connection Filtering e antes do Sender FilteringSender FilteringForça a conformidade das sessões SMTP com os Força a conformidade das sessões SMTP com os standards RFCsstandards RFCsRejeita correio quando o remetente não está em Rejeita correio quando o remetente não está em conformidade ou viola severamente o RFC2821conformidade ou viola severamente o RFC2821Força a correcta sequência de comandos SMTP Força a correcta sequência de comandos SMTP (EHLO/HELO, MAIL FROM:, RCPT TO:)(EHLO/HELO, MAIL FROM:, RCPT TO:)Procura técnicas comuns de spam, como a injecção de Procura técnicas comuns de spam, como a injecção de caracteres 8-bit ou a alteração de ordem de comandos caracteres 8-bit ou a alteração de ordem de comandos numa sessãonuma sessão

Sessão é terminada ao nível do protocoloSessão é terminada ao nível do protocolo

Sender ID (SP2)Sender ID (SP2)

De onde provêm a mensagem?De onde provêm a mensagem?

Invocado depois do Recipient Filtering e antes do Invocado depois do Recipient Filtering e antes do IMFIMFCriado para evitar spoofing de domíniosCriado para evitar spoofing de domínios

Combina o Sender Policy Framework (SPF) e o Combina o Sender Policy Framework (SPF) e o Microsoft Caller IDMicrosoft Caller ID

Autenticação de domínios de correio electrónicoAutenticação de domínios de correio electrónicoRegistos Sender Policy Framework no DNS como Registos Sender Policy Framework no DNS como mecanismo de autenticaçãomecanismo de autenticaçãoPurported Responsible Address (PRA) – IP dos Purported Responsible Address (PRA) – IP dos servidores autorizadosservidores autorizadosPurported Responsible Domain (PRD) – Nome do Purported Responsible Domain (PRD) – Nome do domíniodomínio

Sender ID (SP2)Sender ID (SP2)

Publica endereço IP dos servidores outbound através de registos SPF no DNS

Mensagens enviadas normalmente

Pesquisa registo SPF do remetente no DNS Determina o PRA e PRD (Resent-Sender,

Resent-From, Sender, From) Compara PRA com o IP legítimo no registo

SPF Corresponde (Match) Positivo (Não filtra) Não Corresponde (No Match) Negativo

(Filtra)

Mensagem circula entre um ou vários servidores para

chegar ao destinatário

RemetenteRemetente DestinatárioDestinatário

Sender IDSender ID

Sender ID (SP2)Sender ID (SP2)

Antes de activar o Sender ID no Exchange Server Antes de activar o Sender ID no Exchange Server 2003 SP2, garantir que é aplicado a correcção 2003 SP2, garantir que é aplicado a correcção para o Windows Server 2003 referenciada no para o Windows Server 2003 referenciada no artigo da Knowledge Base da Microsoftartigo da Knowledge Base da Microsoft

““Windows Server 2003 may stop responding when you enable Sender ID Windows Server 2003 may stop responding when you enable Sender ID filtering on an SMTP virtual server in Exchange Server 2003 SP2filtering on an SMTP virtual server in Exchange Server 2003 SP2””

http://support.microsoft.com/?kbid=905214http://support.microsoft.com/?kbid=905214

Assistente para a criação de registos SPFAssistente para a criação de registos SPFwww.anti-spamtools.orgwww.anti-spamtools.org

Combater o Spam e os Combater o Spam e os Vírus num Sistema de Vírus num Sistema de Correio ElectrónicoCorreio Electrónico

Miguel TeixeiraMiguel Teixeiramiguel.teixeira@microsoft.commiguel.teixeira@microsoft.com

Solutions-Product ManagerSolutions-Product Manager

Microsoft PortugalMicrosoft Portugal

Sérgio MartinhoSérgio Martinhosergio.martinho@microsoft.cosergio.martinho@microsoft.co

mm

Security Solutions SpecialistSecurity Solutions Specialist

Microsoft PortugalMicrosoft Portugal

AgendaAgenda

Problemas e PreocupaçõesProblemas e PreocupaçõesComo Combater o SpamComo Combater o SpamFuncionalidades Anti-Spam no Exchange Funcionalidades Anti-Spam no Exchange Server 2003Server 2003Como Combater os VírusComo Combater os VírusRequisitos para Combater os VírusRequisitos para Combater os VírusAntigen para Exchange ServerAntigen para Exchange Server

Como Combater os Como Combater os VírusVírus

Requisitos para Requisitos para Combater os VírusCombater os Vírus

Requisitos na Vertente Anti-Requisitos na Vertente Anti-VírusVírus

Defesa em profundidade é o ponto-chaveDefesa em profundidade é o ponto-chaveA protecção deve começar antes do servidorA protecção deve começar antes do servidor

Utilizar mais do que uma tecnologia de detecção Anti-Utilizar mais do que uma tecnologia de detecção Anti-VírusVírus

Tratamento diferenciado de acordo com a Tratamento diferenciado de acordo com a direcção do correio electrónicodirecção do correio electrónico

Análise Anti-Vírus não é suficienteAnálise Anti-Vírus não é suficienteGestão dos anexos é fundamentalGestão dos anexos é fundamental

NotificaçõesNotificações

Purga versus limpeza da mensagemPurga versus limpeza da mensagem

Requisitos na Vertente Anti-SpamRequisitos na Vertente Anti-Spam

Taxa de detecção de SpamTaxa de detecção de Spam

Falsos críticos / positivosFalsos críticos / positivos

Antes da detecção do Anti-VírusAntes da detecção do Anti-Vírus

Antes de chegar ao servidor de correio Antes de chegar ao servidor de correio electrónicoelectrónico

AutomáticoAutomático

Quarentena no servidor de email?Quarentena no servidor de email?

Requisitos na Vertente Requisitos na Vertente HigienizaçãoHigienização

É mais do que Anti-VírusÉ mais do que Anti-Vírus

É mais do que Anti-SpamÉ mais do que Anti-Spam

Gestão de conteúdosGestão de conteúdos

Gestão de ConteúdosGestão de Conteúdos

Gestão de ConteúdosGestão de Conteúdos

Podemos considerar 3 níveis de gestão de Podemos considerar 3 níveis de gestão de conteúdosconteúdos

Filtragem de ficheirosFiltragem de ficheiros

Filtragem de assuntoFiltragem de assunto

Filtragem de remetente e/ouFiltragem de remetente e/oudomíniodomínio

Gestão de ConteúdosGestão de Conteúdos

Porquê a filtragem de ficheiros?Porquê a filtragem de ficheiros?

Maior pró-actividadeMaior pró-actividade

Mais flexibilidadeMais flexibilidade

Melhor respostaMelhor resposta

Limita o tipo de ficheirosLimita o tipo de ficheiros

Gestão de ConteúdosGestão de Conteúdos

Filtragem de assuntoFiltragem de assuntoW32/Goner-A,W32/Goner-A,

Subject: Subject: HiHi

Filtragem de remetente e/ou domínioFiltragem de remetente e/ou domínioBloqueio de domínios utilizadosBloqueio de domínios utilizadospor por spammersspammers

Bloqueio de emissores não desejadosBloqueio de emissores não desejados

É neste ponto que se definem regras para É neste ponto que se definem regras para combater combater spoofingspoofing

Anti-VírusAnti-Vírus

Porquê Múltiplos Motores de Porquê Múltiplos Motores de Análise?Análise?

Características únicasCaracterísticas únicas

Cobertura de diferentes fusos horáriosCobertura de diferentes fusos horários

Pesquisa múltipla de anexos em diferentes níveisPesquisa múltipla de anexos em diferentes níveis

Pesquisa inteligente com ajuste dos vários motoresPesquisa inteligente com ajuste dos vários motores

Possibilidade de definir tarefas por níveis e Possibilidade de definir tarefas por níveis e Storage Storage GroupsGroups

Ajuste de desempenho e Ajuste de desempenho e Bias SettingsBias Settings

Protecção contra “acidentes” – Protecção contra “acidentes” – Crash ProtectionCrash Protection

Possibilidade de enviar / receber emails e pesquisa Possibilidade de enviar / receber emails e pesquisa mesmo durante as actualizaçõesmesmo durante as actualizações

Depuração Automática de WormsDepuração Automática de Worms

Purga automática de todas as mensagens Purga automática de todas as mensagens recebidas identificadas com vírus da classe recebidas identificadas com vírus da classe WormWorm, ao nível, ao nívelIMC / SMTPIMC / SMTP

Worm ListWorm List com actualizações automáticas com actualizações automáticas

Elimina spam e telefonemas ao HelpdeskElimina spam e telefonemas ao Helpdesk

TecnologiaTecnologia

Pesquisa em memóriaPesquisa em memóriaFicheiros em anexoFicheiros em anexo

Ficheiros Zip multi-nívelFicheiros Zip multi-nível

Pesquisa de Instância ÚnicaPesquisa de Instância Única

Todos os objectos são analisados quando Todos os objectos são analisados quando criados ou alteradoscriados ou alterados

Pesquisa manual e em tempo realPesquisa manual e em tempo real

Anti-SpamAnti-Spam

Métodos de Detecção de SpamMétodos de Detecção de Spam

Listas RBL (Real-time Block List)Listas RBL (Real-time Block List)

Palavras-chave no corpo da mensagemPalavras-chave no corpo da mensagem

Filtragem de Filtragem de mailhostmailhost

Listas BrancasListas Brancas

Spam Confidence Level (SCL)Spam Confidence Level (SCL)

Advanced Spam Manager (ASM)Advanced Spam Manager (ASM)

O que é o Antigen?O que é o Antigen?

Gestão de conteúdosGestão de conteúdos

Análise Anti-Vírus com múltiplas Análise Anti-Vírus com múltiplas tecnologias de detecçãotecnologias de detecção

Anti-SpamAnti-Spam

Antigen para ExchangeAntigen para Exchange

Perguntas e Respostas?Perguntas e Respostas?

RecursosRecursosExchange Server 2003Exchange Server 2003http://www.microsoft.com/portugal/exchange

Exchange Server 2003 TechCenterExchange Server 2003 TechCenterhttp://www.microsoft.com/technet/prodtechnol/exchange/default.mspx

Anti-PhishingAnti-Phishinghttp://www.microsoft.com/mscorp/safety/technologies/antiphishing/default.mspx

IMF e Sender IDIMF e Sender IDhttp://www.microsoft.com/exchange/imf

http://www.microsoft.com/senderid

Secure MessagingSecure Messaginghttp://www.microsoft.com/securemessaging/default.mspxhttp://www.microsoft.com/securemessaging/default.mspx

You Had Me At EHLO... aka the Microsoft ExchangeYou Had Me At EHLO... aka the Microsoft ExchangeTeamTeamhttp://blogs.technet.com/exchange/

RecursosRecursos

ISA server 2004 + Exchange Server = More SecureISA server 2004 + Exchange Server = More Securehttp://www.microsoft.com/isaserver/solutions/exchange.mspxhttp://www.microsoft.com/isaserver/solutions/exchange.mspx

Microsoft Security Baseline Analyzer 2.0 (MBSA)Microsoft Security Baseline Analyzer 2.0 (MBSA)http://www.microsoft.com/technet/security/tools/mbsa2/default.mspxhttp://www.microsoft.com/technet/security/tools/mbsa2/default.mspx

Site SegurançaSite Segurança http://www.microsoft.com/portugal/

Actualizações e Notificações de alerta gratuitasActualizações e Notificações de alerta gratuitas http://www.microsoft.com/technet/security/bulletin/notify.mspx

Newsletter de segurança Microsoft Newsletter de segurança Microsoft http://www.microsoft.com/technet/security/secnews/default.mspx

Auto-avaliação de Risco de SegurançaAuto-avaliação de Risco de Segurança http://www.securityguidance.com/

Próximas SessõesPróximas Sessões

12 Abril12 Abril – Implementar o acesso seguro – Implementar o acesso seguro ao correio electrónico e à rede da ao correio electrónico e à rede da organizaçãoorganização

10 Maio10 Maio - Como proteger os dados e a - Como proteger os dados e a informação da sua organizaçãoinformação da sua organização

14 Junho14 Junho - Instalação, Segurança e - Instalação, Segurança e Manutenção de Redes WirelessManutenção de Redes Wireless

http://www.microsoft.com/portugal/webcasts/

Assista aos mais recentes Assista aos mais recentes vídeos no IT’s Showtime!vídeos no IT’s Showtime!

www.microsoft.com/emea/itsshowtime/www.microsoft.com/emea/itsshowtime/portugalportugalwww.microsoft.com/emea/itsshowtime/www.microsoft.com/emea/itsshowtime/portugalportugal

© 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only.MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.