McAfee Security for Microsoft Exchange 8.6.0

Análisis de correo electrónico entrante

Información paso por paso de lo que le sucede a un correo electrónico que llega a su organización y cómo MSME lo analiza para determinar si está limpio o infectado.

En el proceso descrito a continuación, se da por hecho que en su organización se ha instalado MSME con todas estas funciones.

Microsoft Exchange Server 2010:
Transporte perimetral
Transporte de concentradores
Buzón de correo
Microsoft Exchange Server 2013 y 2016:
Transporte perimetral
MBX

Si no dispone de un servidor de Exchange con las funciones de transporte perimetral y transporte de concentradores, MSME ignora los pasos relacionados con dichas funciones.

Procedimiento
1 La pila de SMTP alojada en EdgeTransport.exe en la función perimetral recibe el correo electrónico.
2 El agente de IP de MSME (McTxIPAgent) comprueba la reputación de la dirección IP de origen. La comprobación del agente de IP se ejecuta antes que las operaciones del agente de transporte.
3 El agente de transporte de MSME (McAfeeTxAgent) analiza el correo electrónico en busca de spam, phishing o un tamaño excesivo.
4 Si se detecta algo, se desecha; si no, se devuelve a la pila de SMTP.
5 Si el correo electrónico está limpio, lo procesa McAfeeTxRoutingAgent.
6 MSME recibe el mismo flujo y lleva a cabo un análisis de filtrado de archivos, análisis de contenido, análisis antivirus y filtrado de URL.
7 Si se detecta algo, se realiza alguna acción según la configuración del producto.
8 MSME asigna un sello de antivirus según las especificaciones de Microsoft.
9 El correo electrónico se envía a la función de concentradores de Exchange Server.
10 La pila de SMTP alojada en EdgeTransport.exe en la función de servidor de concentradores recibe el correo electrónico.
11 El agente de transporte MSME (McAfeeTxAgent) analiza el correo electrónico en busca de spam o phishing, y analiza su tamaño. Solo en caso de EdgeSync (servidor perimetral y de concentradores), se autentica la sesión cuando se omite el análisis antispam. En ese caso, la verificación del creador se usa para la autenticación de la sesión.
12 Si se detecta algo, se desecha el correo; si no, se devuelve a la pila de SMTP.
13 Si el correo electrónico está limpio, McAfeeTxRoutingAgent lo procesa y verifica si tiene sello de antivirus (si hay alguno).
14 Si tiene sello de antivirus, lo verifica y lo compara con las formas del sello de MSME con el motor/DAT en la función de servidor de concentrador.
15 Si el sello es diferente, MSME recibe el mismo flujo y lo analiza para el filtrado de archivos, análisis de contenido y análisis antivirus.
16 En transporte, MSME busca el sello de antivirus mientras que en VSAPI, el almacén de Exchange realiza esta tarea y MSME no recibe un pedido de análisis si el sello de antivirus coincide.
17 Si se detecta algo, se realiza alguna acción según la configuración del producto.
18 MSME asigna un sello de antivirus según las especificaciones de Microsoft.
19 El correo electrónico se envía a la función de buzón de Exchange Server.
20 El almacén de Exchange recibe el correo electrónico y, antes de guardarlo en su base de datos, verifica el sello de antivirus.
21 Si este coincide, guarda el elemento sin analizarlo.
22 Si el sello de antivirus no coincide, el almacén de Exchange llama a VSAPI (API de análisis de virus) y analiza el correo electrónico.
La comprobación de VSAPI solo es aplicable a Microsoft Exchange Server 2010.
23 Si se produce una detección, el correo electrónico se sustituye o elimina según la configuración del producto.
En el caso de Microsoft Exchange Server 2013 y 2016, las funciones de transporte de concentradores y de buzón de correo no son aplicables.