Iniciar uma conversa

Como configurar o Anti-Spam e segurança do servidor, bem como ler logs do anti-spam?

Introdução

Spam é um  problema cada vez maior, que causa prejuízos às empresas. Os spammers sempre reagem a novos filtros e métodos de combate rapidamente, o que torna necessário constante vigilância e novas tecnologias. Este documento tem o objetivo de detalhar como configurar o Anti-Spam do IceWarp, bem como opções diversas de seguranca, visando ótimos resultados.

Dicas

  • Desative o POP antes de SMTP, reduza entradas nos IPs confiáveis, etc.

Vale ressaltar que o SMTP não possui senha. Por isso, servidores de e-mail possuem mecanismos para tentar detectar se o usuário que está enviando e-mails tem autorização para enviar e-mails para fora, ou seja, realizar o chamado "relay".

Em Correio/Segurança, na aba Geral, recomendamos que desative o "POP antes de SMTP". Tal opção é perigosa e muitas vezes algo de spam. Isso porque ela considera que o usuário deve primeiro receber e-mails, momento no qual IceWarp guarda o endereço IP dele e permite que realize envios por tantos minutos desde o recebimento. Caso o usuário tenha um vírus em sua máquina que realize spam, o mesmo poderá enviar por x minutos. Além disso, é muito difícil auditar um spam enviado pelo seu servidor a fim de detectar de qual conta originou, já que você precisa conflitar o log do SMTP (envio do spam para o sistema externo) com o log do POP.

Em IPs Confiáveis aloque apenas 127.0.0.1, IP da própria máquina e, possivelmente, IP de outros servidores, como servidores web que possuem formulários que precisam conseguir enviar emails para fora. Vale ressaltar que os IPs confiáveis não serão tratados pelo sistema Anti-Spam. Além disso, tais IP's estão liberados para realizar relay sem qualquer tipo de autenticação e limitação de envio. Um servidor web, por exemplo, que envia e-mails através do comando MAIL do PHP, deve, preferencialmente, autenticar conta a conta e, neste caso, não necessitaria ser liberado nos IPs confiáveis. Caso realmente precise liberar determinado IP nos IP's confiáveis, para que consiga efetuar relay (enviar e-mails para fora) sem autenticar, considere criar um filtro que audita todos os emails vindos de tal IP.

A forma mais segura de validar o envio de e-mails é a chamada autenticação SMTP, disponível graças ao ESMTP. A cada envio, o programa de e-mail cliente do usuário precisa apresentar a senha de recebimento. Tal opção é ativada por padrão no IceWarp e pode ser desabilitada apenas via API (veja FAQ sobre a ferramenta "tool").

Trata-se da opção "Meu servidor requer autenticação" que usuários marcam ao configurar uma conta de email em um programa de email e faz com que o usuário apresente a senha de recebimento para poder enviar.

Considere também ativar a opção "Rejeitar se SMTP AUTH diferente do remetente", em Correio/Segurança/Avançado. Dessa forma, mesmo que um spammer abuse de uma conta, não conseguirá enviar caso autentique com uma conta válida e use outra conta como remetente, o que é a forma como normalmente agem, apesar de facilmente notarem tal restrição e passarem a enviar o spam com remetente igual à conta que está autenticando... Sugerimos colocar no Bypass dessa opção Remetente <>, ou seja, remetentes nulos, já que mensagens de confirmação de leitura costumam ser enviadas autenticando com a conta válida do usuário, porém usando um remetente nulo.

  • Ative o AntiSpam, agende os updates

É importante manter a base de dados do Anti-Spam atualizada. A tela abaixo, em Anti-Spam/Geral/aba Geral, exibe a definição de agendamento para obter updates.

Você pode atualizar manualmente a qualquer momento clicando no botão Atualizar Agora.

Caso esteja com os upgrades em dia (veja em Ajuda/Licenças, se o Anti-Spam possui a coluna "Renovação Expira Em" com dias positivos. Caso tenha instalado a versão 11.0.0.1 como nova instalação, já estão inclusas regras Brasileiras para o SpamAssassin. Caso tenha vindo de um upgrade de versão anterior, siga as instruçoes a seguir para obtê-las, sendo importante estar na versão 11+:

Acesse o menu Arquivo – Console API, a partir do console de administração IceWarp. Procure por 'spamupdateurl' e altere a URL existente.

URL antiga: http://www.icewarp.com/update/spam.xml
URL nova: http://www.icewarp.com.br/update/spam.xml

Ainda, no menu Arquivo - Console  API,  localize  a  variável  spammaxtextbytes.  Trata-se  do tamanho  do  buffer  de  texto  considerado  pelo  SpamAssassin,  que
foi aumentado de 1536 para 4096, de forma que novas regras que calculam a proporção entre texto e imagens funcionem adequadamente.  Em instalações de upgrade,  altere  o  valor,  portanto,  para 4096.

Ainda, em Anti-Spam/Geral/aba Outros, garanta que esteja com 8 no campo máximo de threads e em "tamanho máximo de mensagem a processar", recomendamos que mantenha 1 MB.

  • Ative logging

Em Sistema/Serviços, ao lado do módulo Anti-Spam, ative o logging em modo depurado. Isto pode ajudar a investigar a razão pela qual uma mensagem foi ou não foi marcada como spam.

No Anti-Spam, em Geral/aba Outro, existe a opção de processar mensagens de saída sem rejeitar, rejeitando ou simplesmente não processar, o que pode ser útil para minimizar processamento, caso tenha certeza que as mensagens de saída são sempre legítimas (exceto claro, caso ocorra algum tipo de abuso) e queira evitar problemas em bloquear e-mails saintes...

A opção de processar anti-spam em contas desconhecidas, é útil caso possua Domínios de backup (Backup domains), que servem como gateway para filtragem de spam, caso no qual as contas não foram criadas no IceWarp, pois os emails são verificados por spam e redirecionados para outro servidor. 

  • Defina cuidadosamente a pontuação exigida para ações do Anti-Spam

Trata-se de uma parte importante da configuração Anti-Spam. É difícil determinar valores exatos, pois existem vários cenários de uso e a possibilidade de achar um meio termo na pontuação que agrade. Por exemplo uma pontuação muito alta, que sempre detecta spams corretamente, pode deixar alguns spams passarem (falso negativo) ou um valor para marcar como spam mais baixo, que pode gerar falsos positivos.

É importante entender que temos 2 ações básicas, marcar como spam (anti-spam inteligente) e colocar uma mensagem em quarentena. Vamos considerar o cenário do template Médio. Neste caso, a quarentena é usada como uma barreira inicial, com pontuação 3 e marcar como spam ocorre com pontuação 5. Isto significa que, de 3 a 5 pontos, a mensagem será quarentenada e não aparecerá na caixa de entrada do usuário. 5 pontos para cima fazem com que a mensagem seja marcada como spam e seja entregue na caixa de entrada do usuário (ou pasta de spam, caso configurada). Veja como fica este cenário na tela a seguir:

Se você está começando, de forma a manter a pontuação simples e eficiente, recomendamos usar inicialmente apenas "Pontuação para classificar mensagens como spam" (marcação de spam no assunto e uso opcional do spam folder) com pontuação 3,5.

Caso você não tenha conseguido ativar pontuação para Quarentena, é porque tal recurso está desabilitado. Ative a quarentena em Anti-Spam/Quarantine (Anti-Spam/Quarentena). Nas configurações da quarentena, você pode ativar também o chamado "desafio", ou seja, se a pontuação for de 3 a 5, será enviada uma mensagem, uma única vez, para o remetente contendo link para que ele digite alguns letras, a fim de que a mensagem seja liberada (e o remetente alocado na list branca do usuário para quem ele está enviando email). Esta opção é interessante, pois raramente spammers respondem a tais tipos de confirmações, entretanto, o desafio (challenge response) pode gerar o chamado "backscaterring", ou seja, responder a e-mails que foram forjados, portanto, é recomendado apenas ativá-lo, caso deseje, por algumas semanas, para ajudar a construir a lista branca dos usuários de forma automática.

O cenário exposto acima pode ser, entretanto, confuso. Isto porque estamos usando 2 fatores, pasta de spam e quarentena. A quarentena só pode ser vista através do WebMail, ou relatórios de quarentena recebidos via e-mail. A pasta de spam, pode ser vista através do WebMail e clientes de e-mail configurados com conta do tipo IMAP.

Vejamos, portanto, mais alguns cenários de pontuação. Um bastante popular, é usar a Quarentena com 0 pontos e 3.5 pontos para Anti-Spam. Dessa forma, você pode orientar o seu cliente a ativar, em cada conta, um mecanismo ou outro e poderá definir um template padrão de conta (em Gerenciamento/Configurações Globais/Templates). Por exemplo, você pode criar um template de conta e definí-lo como sendo "padrão", no qual toda nova conta terá o anti-spam ativado e a quarentena desativada. Você pode orientar clientes que, caso desejem um anti-spam mais rigoroso, que bloqueia e-mails de todos remetentes exceto aqueles que estão na sua lista branca, podem ativar a quarentena. Usuários podem gerenciar configurações de spam através do WebMail, em Ferramentas/Opções/Segurança/Anti-Spam.

O cenário acima, ainda, fica um pouco estranho com ambos, quarentena e anti-spam inteligente ativado ao mesmo tempo, pois ocorreria quarentena de 0 a 3 e de 3 para cima, marcaria como spam. Recomendamos, no cenário acima, ativar um (como spam folder, por padrão) ou o outro (quarentena) por vez na configuração de cada usuário. Nós, por exemplo, mantemos um padrão (através dos templates, em Configurações Globais/Templates/criar template de conta marcando checkbox "padrão") de spam folder com relatórios de spam (pontuação 3 para marcar como spam) e, caso o usuário queira, pode desativar o anti-spam inteligente (via webmail em Ferramentas/Opções/Segurança/Anti-Spam ou via /admin) e ativar a quarentena (de preferêcia sem desafio ou usando desafio na quarentena apenas no primeiro mês de uso, pois pode gerar backscattering - enviar o desafio a remetentes forjados).

Outros cenários incluem não usar a Quarentena, apenas marcando mensagens com 3.5 pontos como spam ou até usar apenas a quarentena, útil em um cenário onde você deseja ter administradores de spam gerenciando as quarentenas de outros usuários (através do console IceWarp ou WebAdmin, ou ainda via relatórios definindo um administrator de spam para recebimento dos mesmos) e, de forma manual, garantindo perto de 100% de eficácia.

Veja que não estamos usando a opção de rejeitar/excluir e-mails, o que pode embarreirar comunicação, mesmo que ative tal recurso para 10 pontos (o máximo que pode ser definido no IceWarp e normalmente caracteriza mensagens de spam). Note também que, caso opte por ativar uma pontuação para recusar/excluir mensagens, você pode definir uma conta no campo "Arquivar mensagens recusadas para a conta", a fim de auditar as mensagens rejeitadas. Especifique uma conta que não tenha limita de espaço em disco (espaço em disco definido para 0, ou seja, sem limite, nas propriedades da conta, na aba limites).

Note também que escolhemos o que aparecerá no assunto quando uma mensagem for marcada como spam (5 pontos e acima), digitando [Possivel Spam], sem acentuação, para eivtar problemas de charset em determinados casos.

Na aba Relatórios, você pode ativar relatórios de spam recebidos via e-mail. Na verdade, tal recurso já vem configurado, porém sem agendamento. Basta incluir um agendamento (como a cada 60 minutos), para que o recurso passe a funcionar. Muito útil, sobretudo para aqueles que usam contas POP com pasta de spam. Já que a pasta de spam é visível apenas para contas IMAP ou via Cliente Web, os relatórios são uma forma de informar ao usuário todos itens presos em sua quarentena através de um relatório enviado a cada x minutos e através do qual o usuário pode liberar ou rejeitar mensagens. 

  • Ative o SpamAssassin

SpamAssassin (spamassassin.org) consiste de um conjunto de regras  poderosas que ajudam muito no combate ao spam, utilizando regex e procurando por padrões de textos específicos em e-mails, aumentando a pontuação do sistema inteligente Anti-Spam. Veja, na tela a seguir, as configurações recomendadas.

 

Vale ressaltar a opção de exibir detalhes da pontuação Anti-Spam no header das mensagens.

Um recurso útil são os logs referentes ao SpamAssassin. Note que definimos um caminho e arquivo, onde serão mantidas estatísticas de eficiência do SpamAssassin, quais testes estão sendo mais usados, bem como aqueles nunca usados.

  • Use Listas Negras DNSBL (Blackhole Lists ou RBLs)

RBL

Real-time blackhole lists também ajudam muito no combate ao spam. Trata-se de uso do DNS para manter uma lista de IPs conhecidos por realizarem spam. Todo email recebido será verificando na respectiva lista negra configurada. Na configuração do Anti-Spam, em SpamAsssassin/RBL, caso o remetente esteja nas listas negras definidos, a pontuação do Anti-Spam será aumentada.

Existe outra opção em Correio/Segurança/DNS, em que você configura DNSBLs e, caso o remetente conste nessas, o email será rejeitado. Ativamos a opção para ativar DNSBLs e fechar conexões.

Os 2 sistemas que recomendamos alocar são: zen.spamhaus.org e bl.spamcop.net. Outra ótima opção é b.barracudacentral.org, sendo que este último requer que seja feito cadastro gratuito no site http://www.barracudacentral.org, onde você deve indicar o IP do seu servidor.

Ainda, existe uma lista Brasileira nova em funcionamento denominada DNSBL SPFBL, que recebe inserções através de sistemas que usam o serviço SPFBL e realizam denúncias de spam. A lista tem tido ótimos resultados e deve atualmente ser usada apenas por servidores no Brasil (a não ser que faça contato com eles e peça a liberação do seu IP, caso tenha servidor no exterior) e o host é o seguinte: dnsbl.spfbl.net

Clique aqui para baixar um filtro de conteúdo que adiciona 10 pontos ao anti-spam, o que faz com que, na maioria dos casos, marque e-mails detectados pela DNSBL SPFBL como spam. Descompacte o arquivo, importe o arquivo XML em Correio/Regras/Filtros de conteúdo e aloque-o logo abaixo dos filtros padrão do sistema.

Importante: O filtro SPFBL inclui exemplo de remetentes/hostnames negados (com ! ou NOT na descrição), que seria a forma de criar bypasses/excessões, ou seja, "e quando o remetente ou hostname não é tal", para removê-lo da checagem.

Importante 2: No filtro SPFBL, lista branca/negra do IceWarp não é respeitada. Para que seja respeitada, acesse Arquivo/Console API, no console e busque por "challenge.connectionstring" (sem aspas). Dê um duplo clique na chave encontrada e copie todo conteúdo do campo valor, usando Control-C. Guarde tal texto, usaremos logo a seguir, conforme detalhado abaixo.

No filtro SPFBL, adicione uma condição "Quando SQL retorna registros com". Clica ao lado de tal texto, após escolher tal condição, na descrição do filtro e clique no ponto de exclamação (!), para negar tal condição.

Em seguida, clique em cima da palavra "valor", no descritivo da regra.

No campo conexão BD, cole o valor obtido anteriormente na API.

No campo instrução SQL, colete o seguinte: select * from Senders where SndAuthorized='1' AND (SndEmail = '%%Sender_Email%%' OR SndEmail = '%%From_Email%%') AND (SndOwner = '*' OR SndOwner = '%%Recipient_Email%%')

Lembrando que você pode auditar os resultados da lista, definindo uma ação no filtro de copiar para um endereço de e-mail (uma conta de auditoria), preferencialmente sem limite de espaço (caixa postal setada em tamanho 0, sem limite), para evitar que gere retornos de erro ao remetente, caso encha.

Os responsáveis por tal DNSBL costumam estar na lista Masoch-l. Caso use a DNSBL, considere auxiliar com o desenvolvimento do projeto gratuito, através de uma doação mensal (ex: US$ 5,00/mês).

Lembrando que, caso queira, poderá auditar listas negras através de filtros, antes de colocá-las em produção. 

Quando estiver confortável, pode alterar a regra para efetivamente aumentar a pontuação do anti-spam (ação adicionar pontuação). Reecomendamos que use a lista DNSBL SPFBL aumentando a pontuação do anti-spam, acrescentado algo como 2,5 pontos, ao invés de alocá-la nas DNSBLs exibidas na imagem acima (rejeição). Com o filtro, você pode criar excessões, por exemplo, uma condição "e quando hostname do sistema remoto não é tal" ou "quando IP do sistema remoto não é tal".

Já no Anti-Spam, em SpamAssassin/RBL, você pode ativar outras listas que aumentarão a pontuação do Anti-Spam. Não repita as listas já definidas em Correio/Segurança/DNS e, no total, não especifique mais de 4 listas (considerando ambos locais). Sugerimos não ativar nenhuma lista em SpamAssassin/RBL, pois já temos 3 listas definidas em Correio/Segurança/DNS, efetivamente rejeitando e-mails que estão listados nas mesmas. Caso um e-mail remoto tente enviar e-mail para seu sistema e esteja em uma blacklist, você sempre pode alocar o IP ou domínio remetente no Bypass ("Bzinho") ao lado da opção de DNSBL.

Ainda em Correio/Segurança/DNS, recomendamos ativar a opção "Rejeitar se domínio do originador inexiste". IceWarp irá verificar se o domínio do remetente existe e, caso negativo, rejeitará o email.

Existe, ainda, a opção Rejeitar se IP do originador não possui rDNS (reverso). Todo sistema deveria ter um reverso (um nome associado ao IP de saída) devidamente configurado. Usar tal opção pode significar eliminar muito spam, entretanto também pode causar rejeição de e-mails vindos de sistemas que não possuem um reverso configurado. O erro que tais sistemas receberiam seria "Sender must resolve". Nesse caso, eles podem configurar o reverso em seu respectivo servidor ou você pode alocar o IP ou domínio do remetente no Bypass (B). Alguns sistemas preferem não ativar tal opção, mas não costuma gerar muito transtorno e elimina muito spam, além de ser de praxe o fato que todo sistema deveria ter o reverso configurado, logo, recomendamos ativar tal opção.

  • Filtros Bayesianos

O sistema Bayesiano já teve melhores resultados no passado, através de um banco de dados de palavras (icewarp/spam/spam.db) que traz detalhamento de palavras e quantas vezes apareceram em mensagens de spam ou legítimas, baseado em amostras. É até possível ensinar o sistema Bayesiano, através das Regras de Aprendizado, mapeando pastas no seu IMAP e arrastando mensagens para ela. Entretanto, isto envolve trabalho rotineiro e em grande volume e podem ocorrer falhas no ensinamento, portanto não é algo recomendado de ser feito. Caso ensine o sistema Bayesiano e queira desfazer tal ensinamento, basta apagar o arquivo icewarp/spam/spam.db.usr. Hoje em dia, spammers enviam spams com imagens ou texto escrito de forma atípica, como V1agra, reduzindo o desempenho dos filtros bayesianos.

OBS: Sugerimos manter atualmente a opção de filtros bayesianos desativada.

Note que também não ativamos o Auto learn (Auto aprendizado) e recomendamos que não ative tal recurso, mesmo caso opte por manter o recurso de filtros bayesianos ativado.

  • Ative Listas Negra e & Branca

Uma das funções mais usadas e poderosas é a lista negra e branca, que cada usuário tem acesso via webmail (pasta Filtros/Lista Negra e Lista Branca), ou até arrastando e-mails em um cliente IMAP da pasta de spam para a inbox (e vice-versa), caso no qual o sistema automaticamente aloca o remetente de tais mensagens para a lista branca ou negra do usuário. Ainda, ao liberar um e-mail da quarentena, o mesmo também é alocado para a lista branca do usuário.

A lista negra permite definir palavras que, caso constem na mensagem, farão com que a pontuação do Anti-Spam inteligente aumente em x pontos, de acordo com o que definir, conforme tela a seguir.

Não deixe de marcar "Excluir mensagens" na lista negra, sobretudo caso use quarentena, caso negativo, a parte de lista negra do Anti-Spam pode não funcionar adequadamente.

Por outro lado, a lista branca permite que defina palavras-chave nas quais você confia e deseja que, caso presentes, façam com que respectivos emails sejam entregues, independente das configurações do Anti-Spam. Muito cuidado com tal opção, aloque apenas palavras-chave que você tem certeza que não aparecem em spams, ou até não use tal opção.

No item Lista Branca, recomendamos que marque o primeiro checkbox, para evitar que e-mails enviados entre usuários legítimos, que autenticam, sejam marcadas como spam.

O segundo checkbox (Colocar na lista branca remetentes de domínios locais) normalmente não deve ser marcado. Tal opção faz com que seja verificado apenas o FROM do header de mensagens recebidas e, caso possuam @dominiolocal, tais mensagens sejam desviadas do anti-spam, ou seja, poderá fazer com que mensagens forjadas passem direto pelo Anti-Spam.

As demais opções são opcionais, pode ser interessante lista branca automática dos contatos nos livros de endereços dos usuários e nos contatos do mensageiro instantâneo de cada respectivo usuário. A última opção, auto lista branca, é bastante pessoal e muitos podem prefer mantê-la desabilitada ou ativá-la apenas durante o primeiro mês de funcionamento do servidor, para ajudar a construir a lista branca dos usuários de forma automatizada. Esta opção está ligada ao modo Anti-Spam, definido em Anti-Spam/Geral/Outros. Digamos que o modo anti-spam esteja definido como "usuário". Isto significa que, se algum usuário enviar mensagem para determinado endereço, tal endereço entra na sua lista branca. Se escolher "domínio", entraria na lista branca do domínio todo e "servidor", tal destinatário entraria na lista branca de todos os usuários do servidor. Note que você não pode simplesmente alterar o modo anti-spam, caso o servidor já tenha executado com um modo anterior. Seria necessário, antes, limpar os registros de auto whitelisting, conforme detalhes no help (F1).

Por vezes, tal opção pode ser perigosa, quando a conta de um usuário é abusada, envia spam para endereços diversos não confiáveis, que acabam por entrar na lista branca do usuário. Teclando F1, há detalhes, inclusive, de como limpar registros de lista branca que foram inclusos devido ao recurso de auto lista branca.

  • Greylisting

A lista cinza (greylisting) é um método sofisticado de controle de spam. Ele é baseado no fato de que spammers e remetentes de email não-solicitado não usam máquinas compatíveis com os padrões da Internet. A lista cinza evita spams respondendo com um erro de SMTP temporário após a primeira tentativa de envio de mensagem. Boa parte das mensagens de spam e dos vírus são enviados por bombardeadores de email (programas de envio automático de email), que nunca tentam enviar o email novamente. Portanto, esses emails não são recebidos, pelo fato do sistema remoto não tentar novo envio. Após um erro temporário, os servidores de email normais tentam novamente um pouco mais tarde, e a lista cinza permite a passagem do email.

A base da lista cinza é uma idéia simples. Os servidores de email confiáveis e compatíveis com os padrões da Internet tentarão enviar a mensagem, mesmo que ocorra rejeição temporária. O servidor de email (ou MTA, Mail Transfer Agent - agente de transferência de email), após a rejeição, colocará a mensagem em uma fila e tentará enviá-la novamente após um determinado período. Por outro lado, a maioria esmagadora das mensagens de spam é enviada por bombardeadores de email (programas de envio de email especializados), que tentarão enviar muitas mensagens para um número enorme de destinatários em um curto intervalo de tempo. Esses bombardeadores de email automatizados estão tão ansiosos por enviar emails que não toleram esperar por respostas nem tentar novamente um envio malsucedido.

O ideal é configurar o Greylisting para armazenar o email do remetente (Sender). Caso escolha IP, terá problemas, pois o sistema remoto pode reconectar com outro IP. Veja a configuração na tela abaixo:

Vale ressaltar que o Greylisting pode implicar num atraso de até 5 minutos para receber o email do remetente, a cada 30 dias, de acordo com as configurações padrão. Em Status/Filas de Spam/Greylisting, você notará a eficiência do sistema e inúmeros sistemas bloqueados. Nesse local, você pode também liberar sessões pendentes.

Ainda, há sistemas que não respeitam Greylisting. Quando seu IceWarp retorna um erro temporário 4xx do tipo "tente novamente mais tarde", conforme pode ser visto no log SMTP, alguns sistemas remotos emitem um RSET e QUIT, reinicializando a sessão e por isso, não tentam enviar novamente. Nesses casos, precisaria alocar os remetentes (domínio, e-mail ou IP) no arquivo de bypass ("Bzinho" visto na tela acima).

Por esses motivos, alguns administradores preferem não ativar o greylisting.

Há uma nova opção, em versões mais recentes, chamada Greylisting adaptativo. Caso ative tal checkbox, o greylisting será aplicado apenas para sistemas cujas mensagens foram marcadas como spam, na conexão seguinte à primeira.

  • Prevenção a Intrusos

O Intrusion prevention é um recurso útil para bloquear ataques de dicionário, uma pessoa de fora tentando enviar emails para contas do seu sistema que inexistem, como joao@dominio.com.br, maria@dominio.com.br, vendas@dominio.com.br. Após x tentativas, IceWarp bloqueia o IP remoto por x minutos. Há outras, como bloquear alguem por ter tido erro de relay, por estar listado em uma DNSBL, devido a x conexões simultaneas, número de RSETs, etc.

Recomendamos ativar o recurso em Correio/Segurança/aba Prevenção a Intrusos e usar as seguintes opções:

  • Bloquear IPs que excedem mensagens enviadas a 5 destinatários desconhecidos
  • Bloquear IP que estabelece 100 conexões por minuto
  • Bloquear IP cujo tamanho de msg excede 100 MB
  • Tempo para bloqueio: 240 min
  • Assinalar opção "recusar endereços IP bloqueados" e "fechar conexões bloqueadas"

No help do IceWarp (F1), há uma sessão em Status/Filas de Spam/Prevenção a Intrusos, que explica todas as razões pelas quais remetentes foram bloqueados.

Você sempre tem a opcao do Bypass/Desvio, em que você pode informar um IP, domínio ou até endereço de email que nunca deve ser bloqueado. Usuários autenticando SMTP devem ser liberados da prevenção a intrusos, exceto no caso de número de conexões por minuto e RSET. Caso algum remetente válido seja bloqueado devido à opcão de conexões por minuto, em Status/Filas de Spam/Prevenção a intrusos, a coluna razão deve trazer a letra "I". Remova o usuário de tal listagem e aloque o IP, domínio ou e-mail do mesmo no Bypass da Prevenção a Intrusos.

Veja tela capturada:

  • Prevenção a Intrusos (método alternativo - spam traps)

Tivemos bastante sucesso ao usar o recurso de prevenção a intrusos, com uma única finalidade, bloquear sistemas que estão enviando e-mails para contas do tipo spam trap, ou seja, contas definidas na aba Limites/opção Estado, para "Armadilha de spam". Faça isso apenas para contas que realmente nunca foram divulgadas de forma explítica, pois, caso alguém envie e-mail para tal tipo de conta, o IP do sistema remetente é bloqueado pelo tempo especificado no recurso Prevenção a Intrusos. Você pode alocar e-mails recém-criados em páginas HTML, com o texto do e-mail na mesma cor do fundo da página, ou seja, se algúem obteve o email foi usando programas de spammers que localizam e-mails em páginas, de forma indiscriminada.

Ainda, você pode descobrir contas inexistentes para as quais emails são enviados e usá-las como spam traps. 

Após criadas algumas contas do tipo spam trap (para facilitar, você pode criar contas com múltiplos apelidos), no recurso de Prevenção a Intrusos, ative apenas as seguintes opções:

  • Bloquear IP que estabelece 150 conexões por minuto
  • Tempo para bloqueio: Recomendamos manter baixo, algo como 30 min. a 2 horas, pois sistemas legítimos podem enviar spam e a técnica usada pela maioria das listas é remover IPs das listagem após um tempo curto.
  • Marque os últimos 3 checkboxes na seção "Ação"

Veja como fica no screen shot:



Tal cenário tem trazido ótimos resultados, mantendo sempre cerca de 100 hosts listados, todos spammers. Caso opte por este caminho, entretanto, não recomendamos ativar outras opções, já que optamos por um tempo de bloqueio bastante alto. Porém, você pode baixar o tempo de bloqueio para algo como 1 ou 2h e ativar também "Bloquear IPs que excedem mensagens enviadas a 5 destinatários desconhecidos".

  • Diversos

Em Diversos/aba Conteúdo, ative os 3 últimos checkboxes apenas, e aloque a pontuação de cada um em 1,0.

Na guia Conjunto de caracteres, e-mails com charset chinês tem sua pontuação aumentada em 2,50 pontos, bem como e-mails sem charset com caracteres não us-ascii em 2 pontos. Na lacuna "Conj. de caracteres proibidos", inserimos o seguinte: gb2312;big5;koi8-r;windows-1251

Na guia Remetente, recomendamos manter marcada apenas a opção do meio (Pontuar mensagens em que HELO não resolve a um IP remoto) com 0,50 pontos. Desmarcamos a primeira opção, pois você já rejeita emails de remententes cujo domínio não existem em Correio/Segurança/DNS e também desmarque a última opção, que usa processamento em demasia (vide F1 help).

  • Anti-Spam Live

O Anti-spam Live utiliza a tecnologia CommTouch RDP, analisando envio de mensagens em massa na internet em tempo real, fazendo testes verificando por mensagens de vírus e spams.


A pontuação do Anti-Spam Live entra em ação em mensagens que não são marcadas como Spam (pontuação abaixo do valor definido para marcar como spam). Seguem recomendações quanto à pontuação.

Abaixo, os valores que recomendamos, considerando que você alocou 3 pontos para marcar como spam no anti-spam, em Ação.

- Score de vírus altamente suspeita mensagem = 1,70
- Score de confirmação de vírus ou spam = 3,50
- Pontuar mensagens legítimas = 0,00

O Anti-Spam Live realizará os testes e caso algum dos resultados seja positivo, adicionária a pontuação ao score do Anti-Spam, ou até remover pontuação (opção pontuar mensagens legítimas, atualmente não recomendada).

Uma dica, caso queira excluir e-mails definidos pelo LIVE com vírus confirmados, crie um filtro de conteúdo (Correio/Regras/Filtros de Conteúdo), da seguinte forma:

Quando Qualquer cabeçalho da mensagem combina com VOD="virus
Excluir mensagem
    AND Parar o processamento de regras adicionais

Clique aqui para baixar este filtro e importe em Regras/Filtros de Conteúdo. Caso queira, adicione ação de encaminhar para conta de auditoria, lembrando de definir essa conta sem limite de espaço em disco (valor 0), a fim de evitar retornos de erro.

Caso queira, configure também uma conta para auditar tal filtragem.

  • Outros filtros e dicas

Recomendamos, ainda, que considere implementar os seguintes filtros de conteúdo, importando-os em Correio/Regras/aba Filtros de conteúdo, botão Importar.

Ao alocar filtros, lembre-se que, caso haja um filtro que seja satisfeito, com a ação de "parar o processamento", os filtros abaixo dele não serão executados. Considere alocar os filtros acima logo abaixo dos filtros padrão do IceWarp. Lembrando que você pode auditar os resultados de determinado filtro, definindo uma ação no filtro, de copiar para um endereço de e-mail (uma conta de auditoria), preferencialmente sem limite de espaço (caixa postal setada em tamanho 0, sem limite), para evitar que gere retornos de erro ao remetente, caso encha.

Seguem detalhes sobre filtros sugeridos:

- Filtro que consulta DNSBL Uce Protect, aumentado pontuação em 1,5 pontos. Clique aqui para obter. UCE Protect é uma lista rigorosa, porém é útil ao aumentar a pontuação de e-mails que muitas vezes não são detectados por outros métodos, já que tem ótima detecção em identificar sistemas que estão comprometidos, enviando emails de spam em massa.

Lembre-se de não usar, no total, mais do que 4 DNSBLs. Normalmente usados as anteriormente citadas, em Correio/Segurança/DNSBLs, onde rejeita sistemas listados (Spamcop, Spamhaus e Barracuda Blacklist) e a UCE Protect como filtro de conteúdo, mantendo em Anti-Spam/SpamAssassin/DNSBLs (que aumentam a pontuação do anti-spam) com todos desmarcados.

- Bloquear sufixos perigosos dentro de arquivos comprimidos. Veja a FAQ do nosso antivírus a respeito.

- Obter novos filtros clicando aqui.

São os filtros: SPFBL dnswl high trust (lista Branca Brasileira) e www-data sender (10 pontos para emails com tal sender usando comumente em apenas spams).

Descompactar e importar pacote com 2 filtros úteis em Correio/Regras/Filtros de conteúdo/Importar.

Sobre a DNSWL brasileira:

DNSWL da lista Brasileira SPFBL. Apenas sistemas confiáveis de grande importância, que não enviam spam. Deve fornecer serviços indispensáveis à comunidade. Por exemplo, Facebook, Yahoo, Google, universidades, grandes centros de pesquisa, instituições governamentais, etc. Result code é 127.0.0.3. O filtro aceita emails em tal situação e não os marca como spam.

Update: Poderá ver que a DNSWL do SPFBL, no filtro obtido, usa result code 127.0.0.3. Há uma nova opção confiável que seria replicar o filtro (ou importá-lo novamente) e trocar o result code para 127.0.0.2 e também aceitar emails com tal result code. O 127.0.0.2 contém sistemas que tem um areputação impecável na SPFBL e ajudará a evitar falsos positivos. Recomendamos usar 2 filtros, um para cada result code, 127.0.0.2 e 127.0.0.3, respectivamente. Após replicar o filtro (e manter o filtro original) que tem result code 127.0.0.3, troque, clicando em cima de de dnswl.spfbl.net, de 127.0.\d+.2, para 127.0.\d+.3. Mantenha ambos os filtros.

- no arquivo local.cf, em icewarp/spam/rules, coloque a seguinte linha:

SCORE SPF_FAIL 5

Isso é para fazer com que mensagens com SPF Hard fail sejam marcadas como spam.

Estes, abaixo, não temos como fornecer suporte técnico, por envolverem softwares de terceiros e procedimentos mais extensos:

- ClamAV com assinaturas não oficiais. Configuração de filtro externo para antivírus IceWarp, que analise anexos HTML com malware (comando de redir, etc). Feito para plataforma Windows, no caso de Linux precisaria fazer devidas adaptações. Vale ficar atento a questões de performance, por rodar no DOS.

Clique aqui para baixar ZIP com instruções, versão 2 (veja readme.txt, em Inglês).

O seguinte site pode ser útil, podendo colar o nome do malware citado no clamd.log, para ter detalhes a respeito: http://sane.mxuptime.com/

- Filtro externo para o antivírus que roda grep e detecta malware em HTMLs anexados a emails. Clique aqui para obter Zip com instruções.

  • Entendendo a pontuação e analisando logs

Considerando que ativamos logs em modo depurado, digamos que determinada mensagem deixou de ser marcada como spam, mas possui características de spam ou não foi marcada pelo anti-spam. É sempre importante, além de verificar o header da mensagem, averiguar o log do antispam, que deve estar ativado em modo depurado (em Sistema/Serviços/coluna Tipo de Logging). Localize a mensagem no log do anti-spam pelo message ID que consta no header da mesma (ou no log do SMTP, também em modo depurado).

Verificando o header da mensagem e logs, notamos que consta BYPASS=S. De acordo com o Help do IceWarp (F1), em Anti-Spam Reason Codes (Códigos de razão do Anti-Spam), notamos que a razão do Bypass/Desvio, foi devido ao fato da mensagem ser maior que o tamanho mínimo de mensagem a ser varrida, definido em Anti-Spam/Outros e cujo padrão é 128 Kbytes (normalmente pode ser aumentado para 1 MB, mas cuidado pois pode afetar a performance do servidor).

Veja um exemplo prático de uma mensagem que foi marcada como spam, obtido do log anti-spam.

189.50.62.215   [093C] 11:40:09 KWO60107 '<contato@newschannel.com.br>(<sendercontact@newschannel.com.br>)' '<destino@dominio.com.br>' 1 score 3.21 reason [SpamAssassin=0.21,Other=3.00:Body=PE] action SPAM

Do lado do horário, há o message ID da mensagem, que também consta no cabeçalho da mensagem e no log SMTP.

Neste caso, note que o FROM do header da mensagem aparece primeira, seguido do sender (MAIL TO) da mensagem. Lista branca e negra, como a maioria das opções, consideram o FROM do header da mensagem. No caso ,a mensagem obteve pontuação 3.21, sendo 0.21 destinados ao SpamAsssassin (detalhes, em termos de quais testes do SpamAssassin pontuaram, poderiam ser obtidos analisando o header da mensagem) e 3 pontos devido a 2 testes de BODY/corpo da mensagem, "P" e "E". Verificando o help do IceWarp (F1), em Códigos de Razão do Anti-Spam, detectamos que "P" seria a parte de que parte texto não combina parte HTML da mensagem (em Anti-Spam/Diversos/Conteúdo) e o "E", pelo fato de ter link para imagem externa.

Essas são nossas dicas para você rapidamente iniciar esforços no sentido de combater spam. Em caso de dúvidas, favor contatar o suporte.

Escolher arquivos ou arraste e solte arquivos
Esse artigo foi útil?
Sim
Não
  1. Flávio Zarur Lucarelli

  2. Publicado
  3. Atualizado

Comentários