Infra - Exchange Server
Gerenciando o SenderID no Exchange Server 2007
O SenderID é uma técnica que irá nos proteger de spammers conforme as empresas forem configurando esta funcionalidade em seus servidores DNS externos. A caractertística básica do SenderID é proteger que domínios sejam falsificados.
por Anderson PatricioOverview
O SenderID é uma promissora técnica que irá nos proteger de spammers conforme as empresas forem configurando esta funcionalidade em seus servidores DNS externos. A caractertística básica do SenderID é proteger que domínios sejam falsificados.
Solução
O processo do SenderID é fácil e o mesmo pode ser utilizado com outras soluções de anti-spam para aumentar a segurança da organização Exchange.
SenderID Framework
O processo pode ser resumido da seguinte forma:
-
O emissor envia uma mensagem para o destinatário
-
O Exchange Server de entrada (Inbound Mail Server) recebe o e-mail
-
O Exchange Server de entrada verifica o domínio que o emissor utilizou nos verbos de envio de e-mail e verifica no DNS do domínio do emissor se há uma entrada SPF. O Exchange Server determina se o endereço IP de quem está enviando condiz com o que está publicado no registro SPF do DNS
-
Se o endereço IP estiver na lista do SPF, o e-mail é autenticado e entrega ao destinatário. Se o endereço não estiver, a autenticação irá falhar e o mesmo não será entrega.
Lembrando que o SenderID é aplicado em todas conexões anônimas de entrada.
Configurando o SenderID no Exchange Server 2007
Por padrão o SenderID já vem configurado no Exchange Server 2007 no papél de Edge Transport Server, vamos analisá-lo:
- Abrir o Exchange Management Console
- Clicar em Edge Transport
- Na Work Panel clicar no Servidor Edge Transport Desejado
- No Result Panel clicar na guia Anti-spam
- Clicar em Sender ID e na Toolbox Actions clicar em Properties
- Na guia Action definimos qual a ação que o servidor irá tomar em relação a qualquer mensagem que tiver o status de Fail, as ações possíveis são estas:
Reject Message
Rejeita a mensagem e mostra um erro SMTP para o emissor, a mensagem será 5xx e terá o código de erro do Sender ID
Delete Message
Deleta a mensagem sem avisar o emissor. Para o emissor ele receberá um falso OK como a mensagem tivesse sido recebida mas o Exchange Server a deleta sem chegar no usuário.
Stamp message with Sender ID result and continue processing
É a opção padrão do Exchange Server 2007 Edge Transport. Este valor é adicionado a mensagem mas ela não sofre nenhuma ação, podemos depois trabalhar com este valor através de uma regra de transport ou ainda software de terceiros. Este valor também auxilia no SRL (Sender Reputation Level) que é calculado no agente Sender Reputation, onde se um específico IP entrar nesta lista pode ficar bloqueado por X horas no Exchange Server.
Ok, já visualizamos nossas opções, devemos clicar em OK
- No cabeçalho da mensagem no OWA, podemos verificar que é adicionado um cabeçalho a mensagem com a informação do SenderID, o cabeçalho é chamado de X-MS-Exchange-Organization-SenderIDResult: <valor> em nosso caso foi de falha.
Verificando as configurações avançadas do SenderID...
O SenderID do Exchange Server 2007 ao contrário do Exchange Server 2003 é muito flexível e nos permite gerenciá-lo exatamente com as necessidades da organização Exchange.
Primeiramente vamos ver as configurações de SenderID do Edge Transport Server através do cmdlet Get-SenderIDConfig
Com estas configurações acima podemos atender algumas necessidades de alguns administradores de correio, como segue:
Como liberar um único usário do SenderID?
Através do atributo BypassedRecipients, como segue:
Set-SenderIDConfig -BypassedRecipients:<usuario@dominio.com.br>
Observações:
-
Se forem mais de um usuário podemos utilizar o formato: "user1@dominio.com.br,user2@dominio.com.br".
-
Limite máximo de 100 entradas
Como liberar um domínio inteiro?
Através do bypassedSenderDomains, como segue:
Set-SenderIDConfig -BypassedSenderDomains:<dominio.com.br>
Observações:
-
O formato para múltimos domínios é "dominio.com.br,dominio2.com.br"
-
Limite máximo de 100 domínios
Como tratar os erros temporários do SenderID..
Em alguns casos os chamados TempErros que é relacionado a erros de DNS resolução ou coisas do gênero.
Set-SenderIDConfig -TempErrorAction:Reject
Testando o SenderID...
O Exchange Server 2007 também possui um cmdlet que permite testarmos um IP contra um domínio internet e validar se os registros do SenderID estão configurados de forma correta.
O cmdlet é o Test-SenderID onde passamos o nome do servidor que enviará a mensagem e o domínio ao qual pertence, vamos testar com o domínio terra:
Agora vamos testar outro IP com o mesmo domínio terra caso ele tivesse a intenção de enviar um e-mail se passando pelo domínio terra, o resultado é falho, podemos verificar abaixo:
Verificando a ação Reject no SenderID
Vamos mostrar o erro informado ao usuário quando configuramos a ação para Reject message no agente do Sender ID, depois de configurado como reject, foi tentado falsificar o emissor para @terra.com.br, podemos perceber o erro abaixo:
Conclusão
Com este tutorial mostramos como gerenciar o SenderID no Exchange Server 2007.
- Migrando e removendo o Exchange 2007 para Exchange 2010Exchange Server
- Migrando (e removendo) o Exchange 2007 para Exchange 2010Exchange Server
- Foto no Outlook 2010Exchange Server
- Exchange UM Test PhoneExchange Server
- Integrando o OCS ao Exchange UMOCS / LCS
