Iniciar uma conversa

Recurso de Prevenção a Intrusos

O recurso de Prevenção a Intrusos (antigo Tarpitting) é útil para bloquear ataques de dicionário, uma pessoa de fora tentando enviar emails para contas do seu sistema que inexistem, como joao@dominio.com.br, maria@dominio.com.br, vendas@dominio.com.br. Após x tentativas, o IceWarp Server bloqueia o IP remoto por x minutos. Há outras opções, como bloquear alguem por ter tido erro de relay, por estar listado em uma DNSBL, devido a x conexões simultaneas, número de RSETs, etc. Algumas opções podem gerar bloqueios excessivos, até mesmo de usuários legítimos. Por isso, focamos em demonstrar um cenário menos rigoroso, que não deve causar bloqueio de usuários legítimos.

A partir da versão 10.1.2, o recurso de Prevenção a Intrusos também traz a possibilidade de evitar ataques de POP. Note na primeira parte da tela abaixo referenciada "Condições para bloqueio de endereços IP", que você pode ativar "Processar POP3/IMAP". A opção "Bloquear IPs que estabelecem x conexões por minuto" serve tanto para POP quanto IP. Bloquear IPs que excedem número de falhas de login serve apenas para POP3/IMAP.

Em seguida, temos a seção referente a regras específicas do SMTP, descritas após a tela abaixo.


Recomendamos ativar as seguintes opções:

  • Bloquear IPs que excedem mensagens enviadas a 5 destinatários desconhecidos
  • Bloquear IP que estabelece 100 conexões por minuto
  • Bloquear IP cujo tamanho de mensagem excede 100 MB
  • Tempo para bloqueio: 240 min
  • Assinalar todos os checkboxes na seção "Ação"

A opção de bloquear IP cujo tamanho de mensagem excede 100 MB diz respeito a emails externos enviados a usuários do seu sistema. Muitas vezes o sistema remoto não indica o tamanho total do e-mail e, nesse caso, IceWarp precisa receber o e-mail inteiro para depois rejeitar, caso esteja acima do limite de tamanho de mensagem definido pelo administrador. Tal opção é util para esses casos, a fim de evitar abuso referentes ao envio de e-mails acima do limite prevista para seus usuários.

Se usuários autenticam SMTP ou caso o IP do mesmo esteja nos IPs confiáveis, será realizado um bypass automaticamente (v10). Portanto, normalmente não deve ser necessário especificar nada no bypass. De toda forma, No Bypass (B), você pode especificar Local Senders (Remetentes Locais), para que remetentes locais não sejam bloqueados.

Existe um caso no qual usuários que autenticam ou estejam no bypass serão bloqueados. Trata-se da opção "Bloquear IP que excede número de conexões em 1 minuto". Por isso recomendamos o valor alto de 100. Caso algum usuário legítimo seja bloqueado, você deve alocar IP ou respectivo hostname A no Bypass.

Já vimos casos também em que programas de e-mail de usuários legítimos emitem comandos RSET seguidos, por exemplo, caso não estejam configurados corretamente para autenticar SMTP. Por isso, costumamos não ativar a opção de bloquear por RSETs. O RSET é um comando que reinicializa a sessão e permite ao remetente tentar novo envio em caso de erro.

No help do IceWarp Server, há uma seção, em Status / Filas de Spam / Prevenção a Intrusos, que explica todas as razões (coluna Razão) pelas quais remetentes foram bloqueados. Tecle F1 nesse local para detalhes.

Escolher arquivos ou arraste e solte arquivos
Esse artigo foi útil?
Sim
Não
  1. Flávio Zarur Lucarelli

  2. Publicado
  3. Atualizado

Comentários