HOW TO: Evitar o Recebimento de Correio Eletrônico Comercial Não-Solicitado no Exchange 2000 Server

Este artigo passo a passo descreve como impedir o recebimento de mensagens comerciais de correio eletrônico não-solicitadas e como reduzir a possibilidade de o servidor ser utilizado para retransmitir mensagens comerciais de correio eletrônico não-solicitadas.

Mensagens comerciais de correio eletrônico não-solicitadas ou junk e-mail (conhecido também como ?spam?), é um aborrecimento para os usuários de mensagens de correio eletrônico sejam em escritórios ou domésticos. Excluir essas mensagens desperdiça tempo, mas seus efeitos podem se tornar muito mais incômodos se os computadores Exchange Server estiverem sendo utilizados inadvertidamente para retransmissões de grandes listas de correio.

Algumas alterações recomendadas neste artigo só se aplicam se seu provedor de serviço Internet (Internet Service Provider ? ISP) fornecer serviços de armazenamento e encaminhamento, ou um host inteligente para seu domínio. Essa é provavelmente a situação se você tem uma conexão discada com a Internet ou se seu ISP fornece serviços de firewall, roteamento ou conversão de endereço de rede (NAT) para sua organização.

Requisitos

A lista seguinte descreve o hardware, software, infra-estrutura de rede e Service Packs recomendados que você precisa:

• Microsoft Windows 2000 Server com Service Pack 2 (SP2)
• Microsoft Windows 2000 Security Rollup Package 1 (SRP1)
• Atualização de Segurança do Microsoft Windows 2000 do Simple Network Management Protocol (SNMP)
• Microsoft Windows 2000 Security Patch: Rollup do Simple Mail Transfer Protocol (SMTP)
• Active Directory
• Exchange 2000 Server com Service Pack 2 (SP2) ou versão posterior
• Outlook Express 5.0 ou versão posterior (para propósitos de teste)

NOTA : Para obter informações adicionais sobre como obter os Service Packs e as atualizações de segurança, consulte a seção ?Referências? mais adiante neste artigo.

Este artigo assume que você está familiarizado com os seguintes tópicos:

• Exchange System Manager
• Transmission Control Protocol e Internet Protocol (TCP/IP)
• Configurando conexões SMTP
• Configurando e utilizando o Microsoft Network Monitor, o que inclui configurar filtros de captura

Como Planejar e Implementar o Nível de Proteção

Ao planejar e implementar os passos para impedir a transmissão de mensagens comerciais de correio eletrônico não-solicitadas, há diversos fatores que você deve considerar.

Como Impedir a Retransmissão

A retransmissão é a ação de uma conexão de entrada com seu servidor de SMTP estar sendo utilizada para enviar mensagens de correio eletrônico para domínios externos. Com mensagens comerciais de correio eletrônico não-solicitadas, enviando uma única mensagem de correio eletrônico para seu servidor SMTP com múltiplos destinatários em domínios externos à sua organização faz isso. Como a configuração padrão para servidores SMTP é utilizar a autenticação anônima, o sistema sendo utilizado para propagar as mensagens comerciais de correio eletrônico não-solicitadas aceita a mensagem entrando como normal. Depois de a mensagem ser aceita, o servidor SMTP reconhece que os destinatários da mensagem pertencem a domínios externos e então o servidor SMTP entrega as mensagens. Portanto, os usuários não autorizados que enviam mensagens comerciais de correio eletrônico não-solicitadas só têm de enviar uma mensagem de entrada para o seu servidor SMTP de modo que ela possa então ser entregue a milhares de destinatários, o que torna o seu computador Exchange Server mais lento, congestiona as filas de e-mails e causa irritação e aborrecimento aos destinatários quando as mensagens chegam a suas caixas de entrada.

O principal meio de controlar a retransmissão é pela não-concessão de permissões de retransmissão a nenhum outro host. Entretanto, há ocasiões em que a retransmissão é necessária. Por exemplo, se você tiver clientes de Post Office Protocol (POP3) e de Internet Message Access Protocol (IMAP4) que contam com SMTP para a entrega de mensagem e que têm razões legítimas para enviar mensagens de correio eletrônico para domínios externos. Você pode contornar essa questão criando um segundo servidor virtual de SMTP que é dedicado a receber mensagens de correio eletrônico a partir de clientes POP3 e IMAP4. Esse servidor SMTP virtual adicional pode utilizar autenticação combinada com a criptografia baseada em Secure Sockets Layer (SSL) e pode ser configurado para permitir a retransmissão para clientes autenticados.

NOTA : Se você tiver clientes POP3 e IMAP4, para obter informações adicionais sobre como criptografar a entrega de mensagem SMTP, clique no número de artigo abaixo para ver o artigo na Base de Dados de Conhecimento da Microsoft:

1. Clique em Start, aponte para Programs, aponte para Microsoft Exchange e então clique em System Manager .
2. No painel esquerdo de Exchange System Manager, dê um clique duplo em Servers e então expanda o Exchange Server que você quer configurar.
3. Expanda Protocols e então expanda SMTP.
4. Clique com o botão direito do mouse em Default SMTP Virtual Server e então clique em Properties.
5. Clique na guia Access para exibir as opções Access Control.
6. Clique no botão Relay.
7. Na caixa de diálogo Relay Restrictions, certifique-se de que a seleção para a qual o computador pode retransmitir está configurada como Only the list below e que a lista está em branco.
8. A menos que esteja utilizando clientes POP3 e IMAP4 com esse servidor virtual, desmarque a caixa Allow all computers which successfully authenticate to relay, regardless of the list above e então clique em OK.
9. Na caixa de diálogo SMTP Virtual Server Properties, clique em OK.

Como Configurar Restrições de Endereço IP

Configurar as restrições de endereço de Internet Protocol (IP) permite especificar endereços IP, intervalos de IP ou domínios de Domain Name System (DNS) a partir dos quais o servidor de SMTP aceita sessões de entrada. Essa técnica é útil se seu ISP aceita mensagens por você e então as encaminha para você, uma vez que ela impede outros hosts de se conectarem a seu conector SMTP.

NOTA : Para as restrições de endereço IP funcionar, o registro de troca de correio (MX) na sua zona de DNS da Internet do seu domínio deve apontar para o servidor de mensagens de correio eletrônico do seu ISP, e não para seu Exchange Server.

Se receber mensagens externas de correio eletrônico SMTP a partir do servidor de mensagens de correio eletrônico do seu ISP, você pode configurar as restrições de endereço IP. Restrições de endereço IP indicam que seu servidor virtual SMTP só aceita conexões a partir do servidor de mensagens de correio eletrônico do seu ISP.

1. Clique em Start, aponte para Programs, aponte para Microsoft Exchange e então clique em System Manager .
2. No painel esquerdo de Exchange System Manager, dê um clique duplo em Servers e então expanda o Exchange Server que você quer configurar.
3. Expanda Protocols e então expanda SMTP.
4. Clique com o botão direito do mouse em Default SMTP Virtual Server e então clique em Properties.
5. Clique na guia Access para exibir as opções Access Control.
6. Para configurar as restrições de endereço IP, clique no botão Connection.
7. Na caixa de diálogo Connection, clique em Only the list below. Isso indica que somente os endereços IP e os domínios na lista têm permissão de se conectar ao servidor virtual de SMTP. Você pode adicionar várias entradas a partir dos tipos listados:
   
   
   1. Você pode adicionar um único endereço IP para o servidor de mensagens de correio eletrônico do seu ISP digitando o endereço na caixa de endereço IP. Alternativamente, você pode clicar no botão DNS Lookup, digitar um nome de host (como mail.example.com) e então clicar em OK.
   2. Você pode adicionar um intervalo de endereços, como 131.107.2.0, com uma máscara de sub-rede de 255.255.255.0. A Microsoft recomenda esse procedimento se seu ISP tiver uma tendência a alterar, sem aviso, o endereço IP de seu servidor de mensagens de correio eletrônico.
   3. Você também pode configurar restrições individualmente por domínio, permitindo somente as conexões que vêm a partir de *.example.com. Entretanto, note que essa opção requer uma pesquisa DNS reversa em cada conexão de entrada, o que pode afetar adversamente o desempenho do Exchange Server. Para informações adicionais, consulte a seção ?Solucionando problemas? mais adiante neste artigo.
8. Isso indica que somente os endereços IP e os domínios na lista têm permissão de se conectar ao servidor virtual de SMTP. Você pode adicionar várias entradas a partir dos tipos listados: Clique em OK .

Como Implementar Autenticação

Implementar a autenticação baseada em usuários fornece a capacidade dos clientes ou hosts externos apresentarem um nome de usuário e senha para efetuarem logon no servidor SMTP virtual. Entretanto, semelhante às restrições de endereço IP, a configuração da autenticação só é possível se seu ISP estiver atuando como um retransmissor de mensagem para sua organização e pode fornecer conexões autenticadas para seu servidor SMTP virtual. Seu ISP também deve suportar Transport Layer Security (TLS), que criptografa toda a autenticação e a sessão de transferência de mensagem.

NOTA : Não é provável que seu ISP suporte a opção para Integrated Windows Authentication (autenticação NTLM).

1. Clique em Start, aponte para Programs, aponte para Microsoft Exchange e então clique em System Manager .
2. No painel esquerdo de Exchange System Manager, dê um clique duplo em Servers e então expanda o Exchange Server que você quer configurar.
3. Expanda Protocols e então expanda SMTP.
4. Clique com o botão direito do mouse em Default SMTP Virtual Server e então clique em Properties.
5. Para configurar controle de acesso, clique na guia Access e então clique no botão Authentication.
6. Na caixa de diálogo Authentication, todos os métodos de autenticação estão selecionados. Desmarque as caixas de seleção Anonymous access e Integrated Windows Authentication.
7. Se seu ISP suportar TLS, clique na opção para Requires TLS encryption sob Basic authentication.
8. Você deve adicionar uma conta de usuário e uma senha para o Active Directory e então informar seu ISP dessas credenciais. Essa conta fornece a autenticação da conexão de entrada.
9. Clique em OK .

Como Configurar Limites de Mensagem

Configurar limites da mensagem envolve alterar o número padrão de destinatários por mensagem. Esse procedimento reduz o efeito do recebimento de mensagens comerciais de correio eletrônico não-solicitadas impedindo a entrega de uma única mensagem para um grande número de indivíduos. Adicionalmente, você pode reduzir o tamanho máximo da mensagem e o tamanho da sessão.

NOTA : Se reduzir o número de destinatários por mensagem esse procedimento pode afetar a entrega para seus destinatários internos se você tiver listas de distribuição muito grandes que recebem suas mensagens de correio eletrônico por meio de SMTP. Entretanto, essa não é uma questão para destinatários de Messaging Application Programming Interface (MAPI).

1. Clique em Start, aponte para Programs, aponte para Microsoft Exchange e então clique em System Manager .
2. No painel esquerdo de Exchange System Manager, dê um clique duplo em Servers e então expanda o Exchange Server que você quer configurar.
3. Expanda Protocols e então expanda SMTP.
4. Clique com o botão direito do mouse em Default SMTP Virtual Server e então clique em Properties.
5. Na caixa de diálogo SMTP Virtual Server Properties, clique na guia Messages. Você agora pode configurar alguns limites da mensagem.
6. Clique na caixa Limit message size to (KB) e então digite um valor menor como 2048 na caixa Size.
7. Clique na caixa Limit session size to (KB) e então digite um valor de 4096.
8. O número padrão de mensagens por conexão é 20. Você não tem de alterar esse valor.
9. A configuração padrão para Limit number of recipients per message é 64,000. Mude essa configuração para um valor entre 100 e 1000.NOTA: O valor que você seleciona depende das necessidades do sistema de mensagens de sua organização e do tamanho das listas de distribuição externa da sua organização. Qualquer mensagem que tiver um número de destinatários maior do que esse é retornada para o remetente com um relatório de não-entrega (non-delivery report ? NDR).
   
   
10. : O valor que você seleciona depende das necessidades do sistema de mensagens de sua organização e do tamanho das listas de distribuição externa da sua organização. Qualquer mensagem que tiver um número de destinatários maior do que esse é retornada para o remetente com um relatório de não-entrega (non-delivery report ? NDR). Clique em OK .

Como Utilizar Pesquisa Reversa de DNS

Se estiver recebendo mensagens diretamente de outros domínios na Internet, você pode configurar o servidor SMTP virtual para realizar uma pesquisa DNS Reversa nas mensagens de correio eletrônico que estão chegando. Essa configuração certifica-se de que o endereço IP do servidor de mensagens de correio eletrônico de envio (e seu nome totalmente qualificado de domínio) corresponde ao nome de domínio do remetente de mensagem. A pesquisa reversa ajuda a impedir o spoofing de endereço. Entretanto, a pesquisa reversa adiciona uma carga adicional no Exchange Server. Consulte a seção ?Solucionando problemas? para obter informações adicionais. Essa técnica também exige que o computador Exchange Server possa entrar em contato com zonas de pesquisa reversa para o domínio de envio.

NOTA : Se você só configurar o servidor SMTP virtual para realizar pesquisa reversa de DNS, você não bloqueia as mensagens com nome_do_domínio/endereço_ip não-correspondentes. A pesquisa reversa de DNS converterá o nome de DNS a partir do endereço IP e substituirá o nome de DNS no cabeçalho pelo nome que resultou da pesquisa reversa de DNS.

Para obter informações adicionais, clique no número abaixo para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:

1. Clique em Start, aponte para Programs, aponte para Microsoft Exchange e então clique em System Manager .
2. No painel esquerdo de Exchange System Manager, dê um clique duplo em Servers e então expanda o Exchange Server que você quer configurar.
3. Expanda Protocols e então expanda SMTP.
4. Clique com o botão direito do mouse em Default SMTP Virtual Server e então clique em Properties.
5. Para configurar a pesquisa reversa de DNS em mensagens que estão entrando, clique na guia Delivery.
6. Clique no botão Advanced e então clique na caixa de seleção Perform reverse DNS lookup on incoming messages.
7. Clique em OK e então clique em OK .

Como Configurar o Conector SMTP

Você pode ter criado um conector de SMTP no Exchange Server para fazer conexões de saída e para aceitar conexões de entrada para e a partir de outros servidores SMTP na Internet. Esse conector SMTP deve estar associado a pelo menos um servidor SMTP virtual para operar. Você deve verificar se o conector SMTP está configurado da melhor maneira para reduzir a vulnerabilidade para retransmitir mensagens comerciais de correio eletrônico não-solicitada.

1. Clique em Start, aponte para Programs, aponte para Microsoft Exchange e então clique em System Manager .
2. No painel esquerdo de Exchange System Manager, dê um clique duplo em Connectors.
3. Clique com o botão direito do mouse no conector SMTP que você utiliza para entrada e saída de mensagens de correio eletrônico para a Internet e então clique em Properties. Esse procedimento exibe a guia General da caixa de diálogo SMTP connector's Properties.
   
   
4. Esse procedimento exibe a guia Se seu ISP estiver fornecendo recursos de armazenamento e encaminhamento para o recebimento de suas mensagens de correio eletrônico, é provável que seu ISP também forneça um host inteligente para o envio de suas mensagens de correio eletrônico. Se a situação for essa, clique em Forward all mail through this connector to the following smart hosts e então digite o endereço FQDN ou endereço IP do servidor de mensagens de correio eletrônico do seu ISP.
5. Esse procedimento exibe a guia Clique na guia Address Space e certifique-se de que a caixa de seleção Allow messages to be relayed to these domains foi desmarcada.NOTA : Como o conector SMTP que entrega mensagens de correio eletrônico para Internet tem em geral um asterisco (*) (que indica todos os domínios) como seu espaço de endereçamento, se você clicar na caixa de seleção Allow messages to be relayed to these domains, permitirá a retransmissão para todos os domínios externos.
   
   
6. Esse procedimento exibe a guia Se utilizar um host inteligente para saída de mensagens de correio eletrônico, faça a conexão com seu ISP para configurar a segurança para a entrega de mensagem de correio eletrônico. Clique na guia Advanced e então clique no botão Outbound Security.
7. Esse procedimento exibe a guia Se seu ISP suportar a autenticação e criptografia, selecione Basic authentication, clique no botão Modify, adicione a senha e a conta de usuário ao host inteligente para acesso do seu ISP, clique em OK e então selecione a caixa de verificação TLS encryption.

Como Confirmar Que as Restrições de IP Funcionam

1. Para confirmar que as restrições de IP funcionam, utilize seus clientes POP3 e IMAP4 e então tente conectar a partir de um endereço IP excluído. Você recebe uma mensagem que indica que uma conexão com o servidor foi recusada.
2. Para confirmar que as restrições de retransmissão funcionam, conecte-se aos seus clientes POP3 e IMAP4 a partir de um endereço IP não-excluído e então tente enviar uma mensagem de correio eletrônico para um domínio externo. Você recebe uma mensagem que indica que a entrega para o domínio externo foi recusada por causa de restrições de retransmissão.
3. Para verificar a criptografia e autenticação TLS, confirme que você pode receber mensagens de correio eletrônico a partir do servidor de mensagens de correio eletrônico do seu ISP que fornece serviços de armazenamento e encaminhamento para seu domínio. Execute o Network Monitor no computador Exchange Server e capture pacotes que vêm do endereço de servidor de sistema de mensagens de correio eletrônico do seu ISP na porta 25 (0019h). Esses pacotes contêm dados criptografados. Você não pode ver o nome de usuário nem credenciais de senha.
4. Para confirmar a pesquisa reversa de DNS, você deve enviar uma mensagem para seu domínio a partir de um endereço que não corresponde ao domínio que o enviou. Essa mensagem aparece na pasta Badmail.

Solução de Problemas

Qualquer restrição baseada na pesquisa de DNS pode afetar adversamente o desempenho do servidor Exchange 2000. Como o computador Exchange 2000 realiza uma pesquisa reversa de DNS em cada conexão de entrada, ele exige que uma zona de pesquisa reversa de DNS em funcionamento esteja disponível e que o host de envio esteja registrado naquela zona.

Para informações adicionais sobre como configurar zonas de pesquisa reversa, clique no número de artigo abaixo para ver o artigo na Base de Dados de Conhecimento da Microsoft:

Para informações adicionais sobre como impedir o recebimento de mensagens comerciais de correio eletrônico não-solicitadas, consulte o Exchange Server 2000 Help e o Exchange 2000 Server Resource Kit. Uma lista de recursos sobre como impedir o recebimento de mensagens comerciais de correio eletrônico não-solicitadas encontra-se no seguinte artigo da Base de Dados de Conhecimento da Microsoft:

Para informações adicionais sobre como criptografar a entrega de mensagem SMTP, clique no número de artigo abaixo para ver o artigo na Base de Dados de Conhecimento da Microsoft: Para obter informações adicionais sobre como configurar a segurança para conexões POP3 de entrada para o Exchange 2000, clique no número de artigo abaixo para ver o artigo na Base de Dados de Conhecimento da Microsoft: Para obter informações adicionais sobre como configurar a segurança para conexões de entrada IMAP4 para o Exchange 2000, clique no número de artigo abaixo para ver o artigo na Base de Dados de Conhecimento da Microsoft: Para obter informações adicionais sobre como configurar zonas de pesquisa reversa, clique no número de artigo abaixo para ver o artigo na Base de Dados de Conhecimento da Microsoft: Para obter informações adicionais sobre o Window 2000 SRP1, clique no número de artigo abaixo para ver o artigo na Base de Dados de Conhecimento da Microsoft: Para obter informações adicionais sobre a Atualização de Segurança de SNMP do Windows 2000, clique no número de artigo abaixo para ver o artigo na Base de Dados de Conhecimento da Microsoft:Para obter informações adicionais sobre o Windows 2000 Security Patch, clique no número de artigo abaixo para ver o artigo na Base de Dados de Conhecimento da Microsoft: