Microsoft Forefront: Il futuro della protezione della posta elettronica e della collaborazione Renato Francesco Giorgini Evangelist IT Pro [email protected] Agenda Informazioni generali Novità del Transport Scanning Novità del Mailbox Scanning [email protected] Roadmap Forefront In Passato Ora Fine 2006 2007+ Client Server Edge [email protected] 2008 Piattaforma Forefront Protezione e controllo della sicurezza della rete e dell’infrastruttura aziendale Edge Server Applicativi Client e Server OS [email protected] Microsoft Forefront Security for Exchange Server Nuova versione di Antigen for Exchange Antigen 9.0 Forefront Security Exchange 2000 Exchange 2003 Exchange 2007 La licenza Forefront includerà il diritto di utilizzare versioni precedenti di Antigen (e vice versa) Forefront for Exchange Beta è già disponibile per il donwload [email protected] Microsoft Forefront Security for Exchange Nella nuova versione saranno inclusi: Motori Antivirus multipli Attualmente ne sono previsiti nove Sarà possibile selezionarne fino a cinque in contemporanea File filtering Nei ruoli Transport e Store di Exchange 2007 Keyword filtering Nel ruolo Transport Subject line and sender-domain filtering Nel ruolo Store Notifiche [email protected] Microsoft Forefront Security for Exchange Non saranno inclusi Motori Antispam (SpamCure, RBLs, mailhost filters) Disclaimer Filtri Subject line e sender/domain nel ruolo Transport ….Perchè? Perchè queste funzionalità saranno parte integrante di Exchange 2007!!! [email protected] Gestione dei motori AntiVirus: Forefront Bias Settings A C DB D * I motori antivirus utilizzati non sono sempre gli stessi. Sono scelti dinamicamente tra quelli disponibili. Max Certainty: utilizza tutti i motori AV (100%) Favor Certainty: utilizza tutti i motori AV disponibili Neutral: usa circa il 50% dei motori AV disponibili Favor Performance: uses 25% dei motori AV disponibili Max Performance: utilizza un solo motore per ogni scansione [email protected] Altri cambiamenti rispetto ad Antigen 9.0 Modifica del Bias setting“Favor Certainty” In Antigen Utilizza ≈75% dei motori AV disponibili In Forefront Utilizza tutti i motori AV selezionati disponibili Evita la formazione di code SMTP Scan Job rinominato “Transport Scan Job” Tutti i servizi “Antigen” rinominati “Forefront” [email protected] Forefront Security e Exchange 2007 Supporta i ruoli Exchange Edge Transport, Hub Transport e Mailbox/Public Folder Il setup riconosce i ruoli attivi nel server Compatibilità 64 bit assicurata Exchange 2007 è 64-bit only Supporta fino a 50 storage groups e database Exchange Più storage groups su di un server saranno controllati da un singolo scan job Antigen ha una configurazione diversa per ciascun storage group [email protected] Localizzazione Sarà localizzato in 11 lingue: Brazilian Portuguese, Chinese traditional, Chinese simplified, English, French, German, Italiano, Japanese, Korean, Spanish, Russian Saranno localizzati interfaccia utente, notifiche e Event Log Il Program Log rimarrà in inglese per facilitare le procedure di supporto e troubleshooting [email protected] Exchange 2007 Enterprise Topology Enterprise network Altri server SMTP I N T E R N E T Hub Transport Edge Transport Routing Hygiene OWA Protocols: Web services, Web parts PBX or VoIP Voice Messaging Applications: ActiveSync, POP, IMAP, RPC / HTTP … Policy Unified Messaging Client Access Programmability: [email protected] Routing Mailbox Mailbox Public Folders Fax Cambiamenti del Transport Scanning Nuova logica di scansione: i messaggi già analizzati non vengono analizzati di nuovo Un messaggio analizzato viene marcato con una “Stamp” Minimizza l’overhead dei motori AV e massimizza le performance Riduce in modo significativo l’impatto di performance sullo store di Exchange È possibile riattivare la scansione in ogni ruolo [email protected] Transport Scanning: Posta in arrivo I N T E R N E T Edge Server Hub Role Mailbox Role SCAN e STAMP NO SCAN NO SCAN La posta viene analizzata solo nell’Edge Riduce il carico sui ruoli Hub e Mailbox [email protected] Mailbox Role Public Folder Client Transport Scanning: Sicurezza I N T E R N E T Edge Server Hub Role Mailbox Role SCAN FAILURE! No stamp. SCAN and STAMP NO SCAN Se la scansione nell’Edge non viene eseguita, allora verrà effettuata nell’Hub [email protected] Mailbox Role Public Folder Client Transport Scanning: Posta in uscita I N T E R N E T Edge Server Hub Role Mailbox Role NO SCAN SCAN e STAMP NO SCAN La scansione avviene nell’Hub È disattivata nello store (Mailbox) e nell’Edge per motivi di performance [email protected] Mailbox Role Public Folder Client Transport Scanning: Posta interna I N T E R N E T Edge Server NO SCAN Hub Role SCAN and STAMP Mailbox Role NO SCAN Mailbox Role Tutta la posta passa per l’Hub e lì avviene la scansione Riduce il carico sul Mailbox role [email protected] NO SCAN Public Folder Client Transport Scanning: Mobile e OWA In passato i dispositivi Mobile e Outlook Web Access accedevano direttamente allo store Exchenge via WebDAV Con Exchange 2007 qualsiasi comunicazione passa per l’Hub Transport Anche il ruolo Client Access comunica con l’Hub Forefront effettuerà quindi la scansione nell’Hub [email protected] Transport Scanning: Dettagli tecnici La “Stamp” identifica i messaggi analizzati X-Header nella mail Tre condizioni devono essere verificate: Il messaggio è stato analizzato almeno da un motore AV Non conteneva virus, o eventuali virus son stati rimossi Se è tutto ok, Forefront inserisce il messaggio aggiornato in Exchange Solo le scansioni antivirus sono valide Il File filtering non marca il messaggio con la “Stamp” La modalità Skip:detect non scrive la “Stamp” Rileva i virus ma non li rimuove [email protected] La sicurezza della “Stamp Header” E se qualcuno inserendo già tenta di bypassare l’analisi una “Stamp” nel messaggio? Nei ruoli Edge o Hub avviene l’eliminazione di ogni eventuale “Stamp” presente nella posta in arrivo (Internet) I ruoli Edge o Hub elimineranno le “Stamp” nelle email in uscita verso l’esterno Non serve che ci siano Stamp in messaggi provenienti da altre aziende… L’unico modo per bypassare il sistema è eseguire codice malevolo direttamente nel server Exchange [email protected] Mailbox Scanning: Novità La scansione delle Mailbox nello store Exchange può essere: In Realtime, sempre attiva Schedulata per essere eseguita in background Attivata manualmente Eseguita dopo l’aggiornamento dei motori AV In Forefront Security La scansione Realtime continua è disabilitata di default Migliorate performance e funzionalità della scansione in background [email protected] Incremental Background Scan Scansione periodica dello store Exchange Opzioni Scansioni di tutti i messaggi Scansioni dei messaggi ricevuti Nelle ultime 4, 6, 8, 12, 18 ore Negli ultimi 1, 2, 3, 4, 5, 7, 30 giorni Scansione solo dei messaggi con allegati Scansione dei messaggi che non sono stati ancora analizzati È eseguita una volta al giorno e può essere schedulata [email protected] Mailbox Background Scan... Prima... Inizia [email protected] Mailbox Background Scan... Ora... [email protected] Scan on Scanner Update NO Scan on Update Scan on Update 1. Mail analizzata nell’hub 1. Mail analizzata nell’hub 2. Mail depositata nello store 2. Mail depositata nello store 3. Aggiornamento motore AV 3. Aggiornamento motore AV 4. 4. Mail analizzata nello store 5. 6. Valore Stamp Incrementato 6. Mail aperta nel client 6. Mail aperta nel client [email protected] In sintesi Sfrutta al meglio i ruoli di Exchange 2007 Utilizza nuove modalità di scansione “Stamp” e nuova architettura permettono di garantire Performance Sicurezza [email protected] [email protected] http://blogs.technet.com/italy © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. AntiVirus Engines [email protected]