Arquitetura de proteção EOP Exchange Online

 

EOP Exchange Online Protection Architecture

Esta postagem do blog cobre a arquitetura de proteção do Exchange Online EOP e explica em detalhes como os componentes internos do EOP funcionam. Como as coisas estão mudando muito rápido na nuvem, as informações nesta postagem do blog representam o estado atual do serviço no momento em que esta postagem é escrita. As informações apresentadas nesta postagem do blog são baseadas em meu próprio entendimento e experiência de como o serviço funciona.

Estarei cobrindo os seguintes tópicos:

  • Introdução EOP
  • Cabeçalhos de mensagens
  • Arquitetura de proteção EOP Exchange Online
  • Apêndices

Observação: as informações apresentadas nesta postagem do blog são baseadas em meu próprio entendimento e experiência de como o serviço funciona e não na documentação da Microsoft.

Introdução EOP

A Proteção do Exchange Online é um serviço online da Microsoft que ajuda a proteger sua organização contra spam e malware. Você pode usar essa solução mesmo se seu sistema de email estiver hospedado no local e mesmo se você não estiver usando o sistema de email da Microsoft local.

Embora a maioria das soluções anti-spam em que trabalhei nos últimos anos sejam boas e eficazes, falta-lhes a simplicidade de configuração e integração. A Proteção do Microsoft Exchange Online oferece uma interface administrativa simples para configurar e rastrear diferentes recursos de proteção por meio de uma interface da web simples e limpa.

Embora o portal de administração pareça simples, o EOP tem muito a oferecer quando se trata de anti-spam, ataques de dia zero e recursos de relatório. Nesta postagem do blog, vou nos aprofundar nos bastidores e mostrar como o EOP realmente funciona para garantir essas medidas de alta proteção.

Cabeçalhos de mensagens

A primeira coisa a discutir na Arquitetura de Proteção do Exchange Online EOP são os cabeçalhos das mensagens.

Introdução

Qualquer mensagem de e-mail contém um corpo de mensagem e um cabeçalho de mensagem. Normalmente, qualquer servidor SMTP que participe do roteamento de mensagens adicionará suas próprias informações ao cabeçalho da mensagem. Essas informações permitem que você analise qualquer cabeçalho de mensagem e inspecione o que aconteceu com a mensagem durante a entrega.

Os cabeçalhos das mensagens desempenham um grande papel em qualquer solução anti-spam. na verdade, toda a solução anti-spam depende do cabeçalho da mensagem para marcar certas informações relacionadas a vários testes realizados pelos mecanismos anti-spam.

Arquitetura de proteção 2 do Exchange Online EOP

É assim. Uma mensagem é entregue à solução anti-spam para inspeção, antes de ser encaminhada ao sistema de e-mail do destinatário. O resultado da inspeção anti-spam será marcado no cabeçalho da mensagem, antes de ir para a caixa de correio do destinatário ou para a pasta de lixo eletrônico. Olhando para o cabeçalho da mensagem, você pode ver facilmente os resultados da inspeção anti-spam. Os cabeçalhos Exchange SCL e EOP desempenham um grande papel na compreensão da mecânica do EOP.

Cabeçalhos P1 e P2

Para entender o funcionamento da Arquitetura de Proteção do Exchange Online EOP (ou qualquer outra solução anti-spam), você deve entender completamente o que significam os cabeçalhos de Email Message P1 e P2 .

Arquitetura de proteção EOP Exchange Online

Seções de cabeçalho

Para entender melhor a Arquitetura de Proteção do Exchange Online EOP, vamos aprender sobre as três seções de cabeçalho importantes para prestar atenção:

  • Relatório X-Forefront-Antispam:  Este é importante e mostra muitas coisas, incluindo os valores SCL e SFV.
  • X-Microsoft-Antispam:  mostra os níveis de confiança de e-mail em massa e punitiva.
  • Resultados da autenticação : mostrando o resultado da autenticação da mensagem.

Arquitetura de proteção EOP Exchange Online 11

Por fim, gostaria de fazer uma revisão rápida de algumas coisas que você verá nos cabeçalhos das mensagens:

  • SCL (nível de confiança de spam) : indica a probabilidade da mensagem ser spam. O principal a ser lembrado é que, ao longo do caminho, muitas entidades podem alterar o valor de SCL. A mudança final é o que importa. Por exemplo, você pode usar as regras de transporte do Exchange para forçar um valor SCL para a mensagem com base em uma condição.
  • Veredicto para Filtragem de Spam (SFV):  É um sonho que se torna realidade para todo administrador de e-mail, pois dá uma boa razão e uma explicação do por que essa mensagem foi tratada de maneira específica. Você pode encontrar o valor SFV = SFE, que indica que “A filtragem foi ignorada e a mensagem foi deixada passar porque foi enviada de um endereço na lista de remetentes seguros de um indivíduo”. Verifique minha planilha SFV para uma lista rápida de todos os valores SFV.
  • IP de conexão (CIP): endereço IP do remetente da mensagem. Por que este é um valor importante? Se você deseja permitir ou bloquear um remetente por IP, para obter o endereço IP do remetente cujas mensagens deseja permitir ou bloquear no Filtro de Conexão de IP EOP, você pode verificar o valor do cabeçalho CIP.
  • IPV:  mostra verificações de anti-spam relacionadas ao endereço IP do remetente. Os valores disso podem ser:
    • IPV: CAL > A mensagem foi permitida através dos filtros de spam porque o endereço IP foi especificado em uma lista de IPs Permitidos no filtro de conexão.
    • IPV: NLI > O endereço IP não estava listado em nenhuma lista de reputação de IP.
  • CTRY:  “O país de onde a mensagem foi conectada ao serviço. Isso é determinado pelo endereço IP de conexão, que pode não ser o mesmo que o endereço IP de envio de origem ”.
  • LANG: “O idioma em que a mensagem foi escrita, conforme especificado pelo código do país (por exemplo, ru_RU para russo)”.
  • PCL:  o valor do Nível de confiança de phishing (PCL) da mensagem.

Folha de Valor SCL

Para dominar a arquitetura de proteção do EOP Exchange Online, devemos saber mais sobre os valores SCL

Classificação SCL Interpretação de confiança de spam Ação padrão
-1 Não é spam vindo de um remetente seguro, destinatário seguro ou endereço IP listado seguro (parceiro confiável) Entregue a mensagem na caixa de entrada dos destinatários.
0,1 Não é spam porque a mensagem foi verificada e determinada como limpa Entregue a mensagem na caixa de entrada dos destinatários.
5,6 Spam [suspeita de spam] Entregue a mensagem na pasta de lixo eletrônico dos destinatários.
7,8,9 Spam de alta confiança Entregue a mensagem na pasta de lixo eletrônico dos destinatários.

Folha de Valor SFV

Para dominar a Arquitetura de Proteção do Exchange Online EOP, devemos saber mais sobre os valores SFV.

Categoria Cabeçalho Descrição
INFORMAÇÕES DE IP CIP
[IP de conexão]
IP de conexão [Este que deve ser colocado no filtro de conexão se você quiser permitir um remetente.
IPV: CAL
[Veredicto de IP]
A mensagem foi permitida por meio dos filtros de spam porque o endereço IP foi especificado em uma lista de Permissões de IP no filtro de conexão.
IPV: NLI
[Veredicto IP]
O endereço IP não estava listado em nenhuma lista de reputação de IP.
CTRY
[País]
O país de onde a mensagem foi conectada ao serviço. Isso é determinado pelo endereço IP de conexão, que pode não ser igual ao endereço IP de envio de origem.
LANG
[idioma]
O idioma em que a mensagem foi escrita, conforme especificado pelo código do país (por exemplo, ru_RU para russo).
Inspecionado pelo  Filtro de Conteúdo SFV: SPM
[Veredito de filtragem de spam]
A mensagem foi marcada como spam pelo Filtro de Conteúdo.
SFV: NSPM
[Veredito de filtragem de spam]
A mensagem foi marcada como não-spam pelo Filtro de Conteúdo e foi enviada aos destinatários pretendidos.
Listas de permissão / bloqueio de filtro de spam SFV: SKA
[Veredito de filtragem de spam]
A mensagem ignorou a filtragem de conteúdo e foi entregue na caixa de entrada porque correspondia a uma lista de permissões na política de filtro de spam, como a lista de permissão de remetente dentro da lista de permissão de política de filtro de spam.
SFV: SKB
[Veredito de filtragem de spam]
A mensagem foi marcada como spam porque corresponde a uma lista de bloqueio na política de filtro de spam, como a lista de bloqueio de remetente dentro da Lista de bloqueio de filtro de spam.
Permitir / bloquear a pasta de lixo eletrônico da caixa de correio do usuário SFV: SFE
[Veredito de filtragem de spam]
A filtragem foi ignorada e a mensagem foi deixada passar porque foi enviada de um endereço na lista de remetentes seguros de um indivíduo.
SFV: BLK
[Veredito de filtragem de spam]
A filtragem foi ignorada e a mensagem foi bloqueada porque foi enviada de um endereço na lista de remetentes bloqueados de um indivíduo.
PULAR FILTRO DE SPAM SFV: SKN
[Veredito de filtragem de spam]
A mensagem foi marcada como não spam antes de ser processada pelo filtro de conteúdo. Isso inclui mensagens em que a mensagem correspondeu a uma regra de transporte para marcá-la automaticamente como não-spam e ignorar toda a filtragem adicional ou Lista de Permissões de Filtro de Conexão.
SFV: SKI
[Veredito de filtragem de spam]
Semelhante a SFV: SKN, a mensagem ignorou a filtragem por outro motivo, como ser um e-mail intraorganizacional em um locatário. Isso inclui mensagens trocadas dentro da organização.
Liberar da Quarentena SFV: SKQ
[Veredito de filtragem de spam]
A mensagem foi liberada da quarentena e enviada aos destinatários pretendidos.
FORCE  BEING SPAM SFV: SKS
[veredito de filtragem de spam]
A mensagem foi marcada como spam antes de ser processada pelo filtro de conteúdo. Isso inclui mensagens em que a mensagem correspondeu a uma regra de transporte para marcá-la automaticamente como spam e ignorar toda a filtragem adicional.
SCL O valor do nível de confiança de spam (SCL) da mensagem
H
[helostring]
A string HELO ou EHLO do servidor de e-mail conectado.
PTR
[ReverseDNS]
O registro PTR, ou registro de ponteiro, do endereço IP de envio, também conhecido como endereço DNS reverso.
X-CustomSpam: [ASFOption] A mensagem correspondeu a uma opção de filtragem avançada de spam (ASF).
SRV: BULK A mensagem foi identificada como uma mensagem de email em massa. Se a opção de filtragem avançada de spam Bloquear todas as mensagens de e-mail em massa estiver ativada, ela será marcada como spam. Se não estiver habilitado, só será marcado como spam se o resto das regras de filtragem determinarem que a mensagem é spam.

Arquitetura de proteção EOP Exchange Online

Vou dividir a arquitetura em seções, começando por como os e-mails estão sendo entregues ao EOP e como uma mensagem passa por cada fase de proteção e inspeção em grandes detalhes. Para saber mais sobre como funciona o roteamento EOP e a conectividade, dê uma olhada na postagem do blog Visão Geral da Proteção do Exchange Online .

Conexões de entrada

EOP A arquitetura de proteção do Exchange Online começa analisando como as mensagens estão sendo enviadas para o EOP. Os remetentes para o Exchange Online Protection podem ser:

  • Remetentes locais (configuração híbrida) por meio de conexões TLS.
  • Organização parceira por meio de conexões TLS.
  • Remetentes seguros : trata-se de um remetente externo da Internet que é identificado pelo usuário como um remetente seguro em seu Outlook. Essas informações são propagadas para a Proteção do Exchange Online por meio de AADConnect ou DirSync.
  • Remetente da Internet.

Arquitetura de proteção EOP Exchange Online 4

Além disso, se você estiver usando o modelo Hybrid Exchange, em que tem um ambiente Exchange local e algumas caixas de correio no Office 365, as coisas podem ser interessantes. Nesse caso, você terá conectores de entrada e saída TLS SMTP entre o Exchange local e o Office 365. A parte interessante é como os emails que chegam por meio desse conector para o Office 365 são tratados.

Então, imagine que você tem um ambiente local com servidores Exchange e caixas de correio locais. Você também tem um conector para o Office 365 executando o assistente híbrido. Existem dois tipos de fluxo de e-mail em sua rede local:

  • Um usuário de caixa de correio abrindo seu Activesync, Outlook ou OWA e enviando emails. Este usuário é:
    • Autenticado antes de enviar e-mails.
    • É tratado pelo Exchange como AuthAs: Interno   e nas regras de transporte, será considerado   tráfego Dentro da Organização .
    • Quando esse e-mail for enviado por meio do conector ao EOP, ele terá:
      • SFV: SKI [Semelhante a SFV: SKN, a mensagem ignorou a filtragem por outro motivo, como ser um e-mail intraorganizacional em um locatário. Isso inclui mensagens trocadas dentro da organização.]
      • SCL = -1
  • Impressora ou aplicativo que precisa enviar e-mail SMTP sem autenticação:
    • Não autenticado.
    • É tratado pelo Exchange como AuthAs: Anônimo   e em regras de transporte, será considerado   tráfego Fora da Organização .
    • Quando esse e-mail é enviado por meio do conector ao EOP, e supondo que você adicionou seus IPs públicos locais ao Filtro de conexão EOP na Lista de Permissões:
      • SFV: SKN [A mensagem foi marcada como não-spam antes de ser processada pelo filtro de conteúdo. Isso inclui mensagens em que a mensagem correspondeu a uma regra de transporte para marcá-la automaticamente como não-spam e ignorar todos os filtros adicionais ou Lista de Permissões de Filtro de Conexão.]
      • SCL = -1
      • IPV: CAL  [A mensagem foi permitida através dos filtros de spam porque o endereço IP foi especificado em uma lista de IP Permitidos no filtro de conexão.]

Arquitetura de proteção EOP Exchange Online 3

Bônus: baixe minha tabela de referência de cabeçalho EOP para entender melhor todos os valores de SFV. Além disso, dê uma olhada na  postagem do blog Exchange SCL e EOP Headers .

Proteção de perímetro EOP 

A arquitetura de proteção do EOP Exchange Online continua com a proteção de perímetro EOP. A primeira coisa que o EOP faz após receber uma mensagem de e-mail é adicionar o  valor CIP ao  cabeçalho da mensagem X-FOREFRONT-ANTISPAM-REPORT  . CIP  significa Client IP e representa o IP do cliente do qual o EOP recebeu a mensagem. Este atributo torna-se útil quando você deseja adicionar o IP do remetente à lista de permissões ou bloqueios do filtro de conexão EOP. Você pode abrir os cabeçalhos das mensagens, pesquisar o valor CIP e, aqui, encontrar o IP a ser adicionado. A mensagem agora se parece com a figura abaixo, com os cabeçalhos P1 e P2 e pronta para processamento pelo EOP.

Arquitetura de proteção EOP Exchange Online 12

A próxima etapa seria a fase de proteção do perímetro. A maioria das inspeções aqui dependem das informações do cabeçalho P1 da mensagem. As fases da Proteção de Perímetro EOP são:

  • Bloqueio de borda com base em diretório [Ataque de dicionário]: Se o domínio do destinatário for definido como autoritativo em domínios aceitos pelo EOP, o EOP aplicará a inspeção de Bloqueio de borda com base em diretório. É assim. Se o endereço de email do destinatário não existir no Azure AD, a mensagem será descartada. Essa técnica ajuda a mitigar o ataque de dicionário.
  • Lista de permissão / bloqueio de filtro de conexão [entradas estáticas por administrador de EOP]:
    • Se o   valor CIP no cabeçalho da mensagem corresponder a uma entrada na lista de bloqueios do Filtro de Conexão IP, a mensagem será excluída.
    • Se o   valor CIP no cabeçalho da mensagem corresponder a uma entrada na lista de Permissões do Filtro de Conexão IP, o    valor IPV no cabeçalho da mensagem será definido como IPV: CAL  . Isso significa que [ a mensagem foi permitida pelos filtros de spam porque o endereço IP foi especificado em uma lista de Permissões de IP no filtro de conexão] . Além disso, SCL será definido como SCL = -1   e SFV será definido como SFV: SKN  [Isso significa que a mensagem nunca será inspecionada pelo Filtro de conteúdo EOP SPAM]. Em seguida, a mensagem sai da fase de proteção de perímetro EOP.
    • Se o  valor CIP no cabeçalho da mensagem não corresponder a nenhuma entrada nas listas de permissão / bloqueio de conexão IP, passe para a próxima fase.
  • Lista Segura de IP da Microsoft:  Nas configurações do Filtro de Conexão IP EOP, há uma opção chamada (Habilitar Lista Segura). A Microsoft assina fontes terceirizadas de remetentes confiáveis. Usar essa lista segura significa que esses remetentes confiáveis ​​não são marcados por engano como spam. Se o CIP no cabeçalho da mensagem corresponder a uma entrada na lista segura de IP da Microsoft, o  valor IPV será definido como IPV = CAL. Além disso, SCL será definido como SCL = -1   e SFV será definido como SFV: SKN   [Isso significa que a mensagem nunca será inspecionada pelo Filtro de conteúdo EOP SPAM]. Em seguida, a mensagem sai da fase de proteção de perímetro EOP. Caso contrário, a mensagem será enviada para a próxima fase, que é o bloqueio de reputação.
  • Bloco de reputação:  esta é uma das fases mais importantes no pipeline de proteção de perímetro EOP. É a lista de reputação, em que a Microsoft mantém uma lista de reputação atualizada e mantida pela Microsoft e ajuda a determinar dinamicamente se a mensagem vem de um endereço de má reputação. Você não pode ver o que está na lista, pois ela é mantida pela Microsoft.
    • Se a mensagem foi bloqueada devido a esta lista de reputação, a mensagem será bloqueada e excluída. Você pode ir para https://sender.office.com e enviar um formulário para colocar na lista de permissões o IP do remetente da mensagem (o IP do remetente está disponível no   valor CIP ).
    • Se a mensagem não estiver listada na lista de reputação da Microsoft, a mensagem será movida com segurança para a próxima fase do pipeline EOP e o   valor IPV no cabeçalho da mensagem será definido como IPV: NLI  ( O endereço IP não foi listado em qualquer lista de reputação de IP .) Observe que os valores de SCL e SFV da mensagem não são alterados aqui.

Truque: se a mensagem foi bloqueada devido ao filtro de reputação na Proteção de Perímetro EOP e você deseja que a mensagem não seja bloqueada pelo filtro de reputação, então você pode fazer isso facilmente certificando-se de que a mensagem nunca chegue à caixa de inspeção de reputação. Isso pode adicionar o IP do remetente à lista de Permissões do Filtro de Conexão de IP.

Truque2:  Além da solução proposta no truque anterior, adicionar o endereço IP do remetente à lista de permissões de Conexão IP EOP, não apenas fará com que a mensagem passe pela fase de bloqueio de reputação, mas marcará a mensagem com SCL = -1   e SFV = SKN  . Isso significa que a mensagem também ignorará o filtro de spam. Este pode ser o caso desejado para você. Mas, às vezes, você deseja que a mensagem sobreviva à fase de bloqueio de reputação, mas ainda seja inspecionada pelo filtro de conteúdo Spam. Para fazer isso, você pode criar posteriormente uma regra de transporte para definir a mensagem SCL como SCL = 0  para que ela passe pelo Filtro de Conteúdo de Spam.

Resumo:  A maioria das mensagens que saem da fase de proteção de perímetro terão IPV: NLI   e nenhum valor SCL ou SFV atribuído a elas. Isso significa que eles normalmente serão inspecionados pelo filtro de conteúdo de spam. Se a mensagem estiver em uma lista de permissões de IP, ela terá IPV = CAL   e SCL = -1   e SFV = SKN   (SKN significa que a mensagem foi marcada como não-spam antes de ser processada pelo filtro de conteúdo. Isso inclui mensagens onde a mensagem correspondeu a uma regra de transporte para marcá-la automaticamente como não-spam e ignorar toda a filtragem adicional ou Lista de Permissões de Filtro de Conexão.

Tenha cuidado ao adicionar um IP na lista de permissões do Filtro de conexão de IP do EOP. Isso significa que a mensagem terá SCL = -1 e não passará pela filtragem de conteúdo de spam.

Arquitetura de proteção do EOP Exchange Online 13

O EOP também executará algumas verificações de autenticação na mensagem e adicionará o resultado na seção de cabeçalho Resultados da  autenticação  . Isso inclui verificações de SPF , DKIM e DMARC .

EOP HUB Fase 1

EOP HUB Fase 1 inclui o seguinte:

  • Inspeção de antimalware : o EOP usará vários mecanismos AV para inspecionar a mensagem em busca de malware. a seção Anti Malware contém o filtro ( Bloqueio de anexo comum ), que bloqueará os anexos se eles corresponderem a um conjunto predefinido de tipos, então você pode dizer que não deseja nenhum anexo que contenha .exe ou .dll.
  • Resolver:  o mecanismo de resolução fará duas coisas:
    • Pegará o endereço de email do destinatário e o mapeará para um destinatário no Azure AD e, em seguida, escolherá o SMTP principal para esse destinatário e o colocará como o endereço do destinatário. Então, suponha que temos um destinatário chamado bob. Bob tem dois endereços de email, um endereço smtp primário denominado [email protected] e um endereço smtp secundário [email protected] Agora, se a mensagem for enviada para [email protected], o resolvedor irá substituí-la por [email protected]
    • Se o destinatário for um grupo e o grupo estiver sincronizado com o Azure AD, a expansão do grupo acontecerá aqui.
  • Phishing & Bulk email  Inspection:  EOP nesta fase irá adicionar o filtro X-Microsoft-Antispam com dois valores BCL   e PCL  .
    • O Bulk Complaint Level (BCL): é uma pontuação atribuída pelo EOP para indicar se esta mensagem é considerada uma mensagem em massa ou não. Uma visão geral completa sobre este valor pode ser encontrada aqui.
    • O nível de confiança de phishing (PCL): é uma pontuação atribuída pelo EOP que indica se é uma mensagem de phishing.

Por fim, existe o ZAP que se integra à fase de inspeção do Anti-Malware. Mais sobre o ZAP posteriormente nesta postagem do blog.

Arquitetura de proteção do EOP Exchange Online 15

EOP HUB Fase 2 – Regra de Transporte de Troca (ETR)

Em seguida no EOP estão as Regras de Transporte do Exchange (ETR). Esta é a primeira fase em que podemos colocar a mensagem em quarentena. Todas as fases anteriores permitirão ou excluirão a mensagem. Agora, podemos permitir que a mensagem seja passada, excluí-la, colocá-la em quarentena ou fazer outras coisas, como alterar o valor SCL da mensagem, mesmo que ela tenha sido definida anteriormente pelo EOP.

O importante a observar é que a quarentena de mensagens de que trata esta fase é chamada de quarentena de administrador e as mensagens permanecem lá por apenas 7 dias. O usuário final não pode ver o conteúdo na quarentena de administrador. Apenas administradores podem ver esta quarentena.

Aqui podemos fazer muitas coisas como:

  • Permitir endereço de remetente específico ou bloqueá-lo.
  • Mova a mensagem para a pasta de lixo eletrônico do usuário, colocando SCL = 5 ou 6.
  • Bloqueia executável (observando o conteúdo do arquivo e não apenas a extensão)
  • Muitas outras coisas.

EOP HUB Fase 3 – Proteção contra SPAM

A proteção contra spam inclui o Filtro de Conteúdo de Spam, que é um mecanismo tão caro em termos de processamento. Normalmente, a mensagem deve passar por todas as verificações anteriores para chegar aqui. As mensagens também podem ser configuradas para ignorar a filtragem de spam devido a muitos fatores, como lista de permissões de IP ou regra ETR.

Como a filtragem de conteúdo de spam é muito cara e exige muito processamento, a mensagem será inspecionada antes de ser encaminhada para a filtragem de conteúdo de spam:

  • Verificação de remetentes protegidos / bloqueados do Outlook:
    • Se o remetente for um dos Remetentes Seguros que o usuário configurou em seu Outlook, a mensagem SCL será definida como SCL = -1   e SFV = SFE  . A mensagem sairá de todo o pipeline de Proteção contra Spam e não será inspecionada pela Filtragem de Conteúdo de Spam.
    • Se o remetente for um dos Remetentes Bloqueados que o usuário configurou em seu Outlook, a mensagem SCL será definida como SCL = 6   e SFV = BLK  . A mensagem sairá de todo o pipeline de Proteção contra Spam e não será inspecionada pela Filtragem de Conteúdo de Spam. A mensagem provavelmente será entregue na pasta de lixo eletrônico do destinatário.
    • Observação: se o usuário configurou um domínio seguro em sua perspectiva, como * contoso.com, os domínios seguros não são sincronizados com o EOP. Apenas destinatários seguros e bloqueados são sincronizados.
    • Observação: é importante observar que, mesmo que a mensagem tenha SCL = -1 anterior ou qualquer outro valor, a fase de remetentes seguros / bloqueados do Outlook ignorará esse valor e gravará um novo valor de SCL se ocorrer uma correspondência no destinatário listas seguras / bloqueadas. Em outras palavras, se a mensagem passar por todas as verificações de pipeline EOP anteriores e chegar à fase de proteção contra spam sem ser excluída, a verificação de remetentes seguros / bloqueados do Outlook terá a palavra final no que diz respeito ao valor de SCL. Depois disso, ninguém mudará o valor SCL da mensagem dentro do EOP.
    • Nota: A verificação de Remetentes Seguros / Bloqueados do Outlook é exclusiva por destinatário. Por exemplo, você pode ter alguém que bloqueou [email protected] remetente e outras pessoas adicionando [email protected] como um remetente seguro em seu Outlook. O EOP respeitará as escolhas individuais e as tratará de maneira diferente de acordo com a preferência do usuário.
  • Verificação limpa anteriormente
    • Se o remetente da mensagem não corresponder a uma entrada na verificação de remetentes seguros / bloqueados do Outlook, o SCL da mensagem será inspecionado. a nuvem SCL pode ser definida por ETR ou por IP Connection Filter, por exemplo. SE SCL = -1  , a mensagem sairá de todo o pipeline de Proteção contra Spam e não será inspecionada pela Filtragem de Conteúdo de Spam.
    • Se o SCL não foi definido antes como -1 pela proteção de perímetro ETR ou EOP, a mensagem será verificada se o SCL foi definido anteriormente como 5 ou 6. Você, como administrador, pode usar a Regra de Transporte do Exchange para definir o SCL como 5 ou 6 (forçar spam) para garantir que a mensagem seja encerrada na pasta de lixo eletrônico do usuário se ela atender a determinados critérios. Lembre-se de que, mesmo se você fizer isso, a mensagem deverá primeiro passar pela verificação de Remetentes Seguros / Bloqueados do Outlook. Quando você usa as regras ETR para definir o SCL para 5 ou 6, o SFV será automaticamente definido para SFV = SKS
  • Permitir / Remetentes / Domínios bloqueados
    • Há um local dentro da configuração do Filtro de Spam do EOP chamado (Listas de Permissão, Listas de Bloqueio). Este é um lugar onde você pode colocar remetentes na lista de permissões ou bloquear remetentes, não por seus endereços IP, como costumávamos fazer no Filtro de Conexão IP EOP, mas usando endereços e domínios SMTP.
    • Este estágio vem somente após passar por todas as verificações anteriores. Ou seja, se o usuário (Alice) de sua perspectiva adicionou [email protected] como um remetente seguro e você, como administrador, adicionou [email protected] como uma das listas de bloqueio aqui, a mensagem será enviada para o caixa de correio do usuário com SCL = -1. A razão é que o EOP nem se preocupa em verificar, já que os remetentes do Outlook Seguro / Bloqueado vêm primeiro.
    • Se a mensagem chegar aqui, uma das três coisas acontecerá:
      • Se o remetente corresponder a uma entrada nas Listas de Permissões dentro da fase Allow.Blocked Senders / Domains, a mensagem terá SCL = -1   e SFV = SKA  . A mensagem será então entregue à pasta da caixa de entrada do usuário e não será inspecionada pelo Filtro de Conteúdo de Spam.
      • Se o remetente corresponder a uma entrada nas Listas de Bloqueio dentro da fase Permitir / Remetentes / Domínios Bloqueados, a mensagem terá SCL = 9   e SFV = SKB  . A mensagem será enviada para a área de Quarentena do Usuário EOP , onde ficará por 15 dias. O usuário final pode acessar esta área de quarentena e talvez liberar mensagens de lá.
      • Se o remetente não corresponder a nenhuma entrada nas Listas de Permissão ou Listas de Bloqueio, a mensagem será enviada para o Filtro de Conteúdo de Spam.
    • Nota: É muito perigoso adicionar seus próprios nomes de domínio na lista de permissões aqui, pois isso significa que a mensagem não será inspecionada pelo Filtro de Conteúdo de Spam e, portanto, não haverá nenhuma detecção de spoof aplicada. Isso pode fazer com que alguém envie e-mails e se faça passar por domínios da lista branca.

Arquitetura de proteção EOP Exchange Online 18

  • Filtro de conteúdo de spam
    • Se a mensagem não tiver nenhum SCL neste ponto, ela passará pelo filtro de conteúdo de spam para atribuir um SCL.
    • A filtragem de conteúdo de spam é onde você pode configurar as opções avançadas de filtro de spam como:
      • como lidar com mensagens vazias
      • SPF hard fail.
      • Retrodifusão NDR.
      • Links de imagens para sites remotos.
      • Endereço IP numérico no URL.
      • Muitos outros [Vá para EOP> Filtro de Spam> Opções Avançadas]
    • O resultado do filtro de conteúdo é simplesmente atribuir um SCL à mensagem:
      • SCL = -1   , SFV = NSPM   : se a mensagem não for spam.
      • SCL = 5   , SFV = SPM   : se a mensagem for spam suspeito: provavelmente ela irá para a pasta de lixo eletrônico do usuário.
      • SCL = 9   , SFV = SPM   : se a mensagem for spam: ela irá para o usuário EOP colocado em quarentena.
  • Fase de ação de SPAM
    • Se a mensagem SCL = 9> Mova-o para a área de quarentena do usuário final EOP. [ficará lá por 15 dias, e o usuário final pode acessar essa quarentena].

Arquitetura de proteção EOP Exchange Online 16

Arquitetura de proteção EOP Exchange Online 17

Exchange ATP (proteção avançada contra ameaças) 

Se você tiver uma licença do Exchange Advance Threat Protection, a mensagem será inspecionada pelo Exchange ATP.  O ATP é um assunto muito longo, então vou apenas listar os três principais recursos que o ATP faz aqui:

  • Links Seguros
  • Anexos Seguros
  • Entrega Dinâmica

Arquitetura de proteção do EOP Exchange Online 19

Uma observação aqui é que o ATP não é necessariamente iniciado aqui. Tenho certeza de em qual fase o ATP começará a processar a mensagem, mas para fins de ilustração, adicionei o ATP para ficar após o filtro de spam.

Entrega final

A mensagem não será preparada para ser enviada ao destinatário final, conforme mostrado na figura abaixo.

Arquitetura de proteção do EOP Exchange Online 21

Apêndices

Autenticação

Arquitetura de proteção do EOP Exchange Online 22

P1, Cabeçalhos P2

Arquitetura de proteção do Exchange Online EOP 23

Misc

Arquitetura de proteção EOP Exchange Online 24

Arquitetura de proteção do Exchange Online EOP 25

Arquitetura de proteção EOP Exchange Online 26

Baixe todo o diagrama de arquitetura EOP

Você pode baixar o diagrama completo completo da Arquitetura de Proteção do Exchange Online do EOP que fiz aqui. Tem muitas informações, por isso pode precisar de muito zoom e tempos de carregamento. Você pode aprender mais sobre o Office365 SPF DKIM E DMARC com meu colega MVP Ahmad Mahmoud blog post

MICROSOFT 365 ADVANCED THREAT PROTECTION VIDEO

Aqui está um vídeo que publiquei no meu canal do YouTube. É sobre “ Como proteger seu local de trabalho moderno com a Proteção Avançada contra Ameaças da Microsoft ”. Por favor, inscreva-se no  canal  para receber atualizações sobre meus novos vídeos.

“Apresentarei os serviços de proteção contra ameaças do Microsoft 365 e demonstrarei como a proteção contra ameaças do Microsoft 365 aproveita a força do sinal, integração, aprendizado de máquina e IA para ajudar a proteger o local de trabalho moderno de ameaças persistentes avançadas ou APT.”

Referências

Artigo traduzido e adaptado de: https://blog.ahasayen.com/eop-exchange-online-protection-architecture/, acessado em 16/09/2020