Kerio Connect oferece vários recursos para evitar spam. Para uma visão geral de cada recurso, consulte a configurando o controle de spam no Kerio Connect. Este artigo descreve em mais detalhes os recursos anti-spam e descreve as implicações de cada recurso.



SpamAssassin


Introdução

O SpamAssassin fornece três camadas de proteção contra spam:

• Regras
Bayes
SURBLs



Regras do SpamAssassin

SpamAssassin inclui um conjunto pré-configurado de regras estáticas que são atualizadas com versões específicas do Kerio Connect. As regras estão localizadas na pasta SpamAssassin do diretório do servidor de e-mail. A modificação das regras não é recomendada.

Kerio Connect passa o conteúdo das mensagens para SpamAssassin. O SpamAssassin avalia a mensagem em relação às suas regras e atribui um valor numérico à mensagem. Kerio Connect insere este valor como uma pontuação nos cabeçalhos da mensagem. Existem 3 cabeçalhos X-Spam possíveis:

X-Spam-Status: - A pontuação cumulativa (acertos), o valor limite 'obrigatório' e todas as regras avaliadas positivamente com seus 'testes' de valores associados


X-Spam-Flag: - SIM ou NÃO para indicar se a mensagem é spam


X-Spam-Level: - A pontuação cumulativa representada por uma contagem de asteriscos. Por exemplo, uma pontuação de 4,2 seria representada como '****'.


SpamAssassin Bayes

O filtro Bayes, ou Bayesiano, é um componente dinâmico do SpamAssassin que funciona de forma semelhante às regras, porém sua inteligência não é predefinida estaticamente. Essa inteligência inclui um banco de dados de características de mensagens que é atualizado continuamente. Kerio Connect processa dois tipos de mensagens no banco de dados Bayes:

Autoaprendizado: mensagens que excedem uma pontuação de 12 e a pontuação do cabeçalho e a pontuação do corpo estão acima de 3, ou mensagens com uma pontuação abaixo de 0,1.

Treinadas pelo usuário: Mensagens que foram marcadas pelos usuários finais do sistema de e-mail como spam ou não spam.

A pontuação de Bayes é combinada com a pontuação atribuída pelas regras estáticas. O valor numérico atribuído pelo filtro Bayes é incluído no cabeçalho X-Spam-Status como 'Bayes'.



SpamAssassin SURBLS (listas de bloqueio em tempo real URI de spam)

Todas as mensagens são verificadas em busca de links para locais da Internet ou URIs (Uniform Resource Identifier). Esses links são comparados a várias listas de bloqueio online. Se um URI estiver localizado em uma lista negra, a pontuação cumulativa de spam é ajustada de acordo com a pontuação que a lista negra atribui para o URI fornecido.
Configuração e gerenciamento de SpamAssassin

A configuração do SpamAssassin para Kerio Connect está localizada no console de administração em 
Configuração > Filtragem de conteúdo > Filtro de spamPor padrão, SpamAssassin é habilitado com as seguintes configurações:

As mensagens enviadas de usuários locais não são verificadas.


As mensagens que receberem uma pontuação de 5 ou mais serão sinalizadas como spam.


As mensagens que receberem uma pontuação de 9,5 ou mais serão descartadas.

As mensagens sinalizadas como spam serão classificadas automaticamente na pasta 'Lixo eletrônico', que é uma pasta padrão pertencente a cada usuário do Kerio Connect. Observe que os usuários que acessam o e-mail usando o protocolo POP3 não terão acesso à pasta 'Lixo eletrônico'. Esses usuários devem fazer login no webmail e desativar o filtro automático de 'Lixo eletrônico' no menu de configurações.



Ajustando o limite

O valor limite padrão de 5 é agressivo o suficiente para bloquear a maioria do spam, enquanto mantém quase nenhum falso positivo. Este valor pode ser diminuído para melhorar o número de spam detectado, no entanto, também é possível encontrar mais falsos positivos. Antes de ajustar o limite, é recomendável examinar a pontuação de spam de uma amostra de mensagens de spam que conseguiram passar na classificação do filtro de spam e comparar essas pontuações com uma amostra de mensagens legítimas.



Gerenciando SpamAssassin Bayes

Por padrão, o filtro Bayes está inativo. Isso ocorre porque ele precisa estabelecer um nível suficiente de inteligência antes de avaliar o e-mail. É altamente recomendável que os usuários treinem o servidor usando uma das seguintes técnicas:

Usar os botões 'Spam' ou 'Não é spam' no webmail para marcar mensagens que foram marcadas por engano pelo servidor.


Movendo mensagens entre as pastas 'Caixa de entrada' e 'Lixo eletrônico' que foram marcadas erroneamente pelo servidor.

Essas ações serão registradas no log de Spam, localizado no console de administração do Kerio Connect. O número total de mensagens treinadas será exibido no console de administração em 
Configuração > Filtragem de conteúdo > Filtro de spam > SpamAssassin. Assim que o número de mensagens treinadas atingir 200, o filtro Bayes ficará ativo. Isso pode ser verificado verificando o cabeçalho X-Spam-Status da pontuação 'BAYES'.

Embora o filtro Bayes possa ser muito eficaz, ele também pode ser prejudicial. É importante que o administrador monitore regularmente a pontuação de Bayes, especialmente quando há um aumento no spam não reconhecido. Muitos spammers tentarão envenenar o banco de dados de Bayes enviando e-mails especialmente criados para o servidor. Verifique a pontuação de Bayes para obter uma amostra de e-mail de spam (reconhecido e não reconhecido), bem como e-mail legítimo. A pontuação de Bayes geralmente deve ter um valor negativo para e-mail legítimo e um valor positivo para e-mail de spam. Se a pontuação de Bayes parecer universalmente baixa, pode ter sido envenenado e deve ser reiniciado.


Reiniciando o Bayes

Todos os componentes do filtro Bayes estão localizados no diretório da loja Kerio Connect em / spamassassin / bayes /. Para redefinir o Bayes, simplesmente renomeie ou exclua a pasta bayes e reinicie o Kerio Connect.



Filtros Personalizados

Embora as regras de filtro personalizadas sejam processadas independentemente do SpamAssassin, elas são usadas principalmente para modificar ou ignorar a pontuação do SpamAssassin. Como a maioria do spam é altamente variável e inconsistente, as regras personalizadas são mais comumente usadas para colocar remetentes específicos ou domínios inteiros na lista de permissões usando a opção 'tratar a mensagem como não-spam'. Com uma lista de permissões suficiente, é suficiente definir um valor de limite de spam um pouco mais agressivo.

Existem alguns tipos de regras personalizadas que podem ser criadas para reduzir o spam. Por exemplo, onde certos cabeçalhos padrão como 'De' ou 'Para' estão faltando.



Listas de bloqueio (Blacklists)

Em uma instalação padrão, o Kerio Connect inclui uma pequena lista de listas de bloqueio conhecidas da Internet, porém nenhuma delas está habilitada. Habilitar essas listas de bloqueio pode reduzir muito o spam; no entanto, alguns e-mails legítimos podem ser rejeitados. É importante revisar ocasionalmente o log de segurança para confirmar o volume de e-mails rejeitados das listas de bloqueio e para ter certeza de que não está rejeitando remetentes legítimos. No caso de você encontrar remetentes legítimos que são rejeitados pela lista de bloqueio, o endereço IP pode ser extraído do log e adicionado a um grupo de endereços IP da lista de permissões.

Observe que este recurso só é eficaz quando o Kerio Connect recebe e-mail diretamente do servidor de e-mail de saída do remetente. No caso do Kerio Connect receber todos os e-mails de um único host, como um gateway SMTP, ele não será capaz de identificar apropriadamente o endereço IP do servidor de e-mail de origem.



SPF (Sender Policy Framework)

Infelizmente, a comunicação por e-mail é projetada para que os spammers possam usar o endereço de e-mail de qualquer pessoa como remetente. O servidor de recebimento de email não possui mecanismos eficazes para verificar a identidade do remetente. Embora o SPF não possa proteger contra falsificação de um endereço de e-mail específico, ele permite que o servidor de recebimento de e-mail identifique um nome de domínio falsificado.

A arquitetura de nome de domínio permite a configuração de vários tipos de nome de host para mapeamentos de IP. Um desses tipos de registro é conhecido como TXT. As informações SPF são definidas em um registro TXT. Durante uma conversa SMTP, Kerio Connect pega o domínio de e-mail do remetente e consulta seu servidor de nomes autoritativo para um registro TXT válido contendo dados SPF. Se tal registro não existir, o Kerio Connect permitirá o recebimento do e-mail, a menos que seja rejeitado por outro componente antispam. Um registro SPF válido conterá todos os endereços IP que têm permissão para enviar e-mail usando o nome de domínio do remetente. O endereço IP do servidor de envio de email é comparado a este registro. A mensagem será rejeitada imediatamente se o endereço IP do servidor de envio de email não existir no registro SPF correspondente.

Como os spammers são capazes de verificar esses tipos de registros em domínios, eles podem usar endereços falsificados de domínios que não têm nenhum registro SPF. Este recurso é, portanto, principalmente útil na prevenção de e-mail falsificado de domínios configurados localmente no Kerio Connect. Spammers freqüentemente tentarão usar o mesmo endereço de e-mail para o remetente e o destinatário. O servidor de e-mail receptor, portanto, pode estar menos inclinado a considerar a mensagem como spam, uma vez que o endereço do remetente pertence a um destinatário local. O SPF é mais eficaz na prevenção desse tipo de ataque de spam.

O SPF é altamente eficiente, pois não resulta em falsos positivos. A desvantagem dessa tecnologia é que não é trivial formatar corretamente o registro TXT, e muitos provedores de hospedagem DNS não permitem a configuração de registros TXT. No entanto, existem empresas como a http://www.zoneedit.com/ que fornecem serviços de hospedagem DNS e permitem a configuração de registros TXT. Você pode encontrar mais informações sobre o SPF em http://www.openspf.org/, incluindo um formulário simples para gerar automaticamente o formato TXT adequado usado na configuração do DNS.



Spam Repelent

A maior parte do Spam é gerada por aplicativos especializados de envio em massa. O objetivo desse software é distribuir o máximo possível de spam em um pequeno intervalo de tempo. A entrega bem-sucedida de e-mails para spammers é, portanto, um luxo, e não uma necessidade. Os servidores de e-mail legítimos, por outro lado, são obrigados a garantir que todas as mensagens cheguem adequadamente ao seu destino.

O recurso Spam Repellent funciona introduzindo um atraso artificial na saudação SMTP. Os servidores de e-mail legítimos normalmente esperam pelo menos 2 minutos antes de fechar a conexão, enquanto os mecanismos de spam podem esperar apenas alguns segundos. Um bom valor é 25 segundos. Este ajuste simples eliminará uma quantidade significativa de spam, sem causar nenhuma perda de e-mail legítimo. A única pequena desvantagem dessa configuração é que o e-mail da Internet leva mais 25 segundos para ser recebido. Recomenda-se habilitar a exclusão do endereço IP para que os usuários internos não sejam afetados por esta configuração.


Segurança SMTP e restrições baseadas em IP

Esses recursos têm como objetivo principal evitar o abuso ou uso indevido do servidor SMTP. Como os spammers geralmente tentam abusar do servidor SMTP, essas configurações de segurança podem ser eficazes na prevenção de spam de entrada. Por padrão, nenhum desses recursos está habilitado. Embora seja recomendado habilitar essas opções, isso deve ser feito com cautela e um pouco de atenção inicial.

Máx. número de mensagens por hora de um endereço IP: Este recurso é mais eficaz na prevenção de retransmissão aberta, em vez de bloquear spam de entrada para destinatários locais. Antes de habilitar esta opção, é recomendável examinar o registro de e-mail. Em algumas configurações de rede, o Kerio Connect pode receber a maior parte de seus e-mails de um único host, como um gateway SMTP. Neste caso, o endereço IP do gateway deve ser adicionado a um grupo de endereços que é referido pela opção 'Não aplicar estes limites ao grupo de endereços IP'. Um valor apropriado para esta opção pode variar de 20 a 100, dependendo da natureza dos usuários do sistema de correio.

Máx. número de conexões SMTP simultâneas de um endereço IP: a maioria dos remetentes de e-mail legítimos só abre uma ou duas conexões SMTP, dependendo de quantas mensagens alguém está tentando enviar de uma vez. Um valor apropriado para esta opção é 5.

Máx. número de destinatários desconhecidos (proteção contra ataque de colheita de diretório): às vezes, os spammers tentam atacar um servidor de e-mail adivinhando tipos comuns de endereços. O spammer é capaz de usar essa técnica para criar uma lista de destinatários conhecidos em um servidor. Ao habilitar esta opção, o Kerio Connect recusará qualquer conexão SMTP do cliente SMTP ofensivo por uma hora. Um valor apropriado para esta opção é 3.

Bloqueie se o domínio de e-mail do remetente não foi encontrado no DNS. Esta opção deve ser habilitada. Ele confirma que o endereço de e-mail do remetente existe como um domínio válido. Qualquer mensagem legítima deve conter um endereço de remetente válido.

Máx. número de destinatários em uma mensagem: O valor desta opção é baseado no comportamento dos usuários do sistema de correio. Em algumas circunstâncias, um usuário pode ter uma lista de distribuição contendo centenas ou mesmo milhares de destinatários. É decisão do administrador determinar um valor máximo apropriado de destinatários em uma única mensagem. Esse recurso é mais eficaz na prevenção de retransmissão de e-mail não autorizada do que na rejeição de spam de entrada.

Depois de habilitar essas opções, é muito importante revisar o log de segurança para garantir que os remetentes de e-mail legítimos não sejam afetados por esses recursos.



Recursos AntiSpam do Kerio Connect Client

Os usuários finais do cliente web têm controle personalizado sobre o filtro de spam. Por padrão, todo o spam é classificado em uma pasta chamada 'Lixo Eletrônico'. Conforme mencionado anteriormente, os usuários podem ajustar o servidor global de spam ou o filtro Bayes usando os botões 'Spam' ou 'Não é Spam' que aparecem na barra de ferramentas quando uma mensagem é selecionada. Os usuários do cliente não Kerio Connect podem treinar o filtro Bayes movendo mensagens entre as pastas Caixa de entrada e Lixo eletrônico.



Configurações recomendadas

O seguinte resumo mostra as configurações recomendadas nas diferentes guias da seção Filtro de Spam na administração da Web do Kerio Connect.



Classificação de spam

Classificação de mensagens enviadas de agentes de retransmissão confiáveis - desabilitado. Isso inclui dispositivos em sua rede interna, como scanners ou aparelhos de fax. O servidor Backup MX não deve estar neste grupo de endereços IP.

Pontuação da etiqueta 4,5, pontuação do bloco 9,8.


Kerio Anti-spam

Habilite o filtro avançado Kerio Anti-Spam. Defina sua contribuição como Normal.


Recomendamos permitir o uso de assinaturas e metadados para melhorar o serviço de digitalização online.



Listas de bloqueio (Blacklists)

A lista de bloqueio da Internet deve adicionar entre 1 e 3 pontos, dependendo de sua confiabilidade:

bl.spamcop.net - adicione 3 pontos
zen.spamhaus.org - adicione 2,5 pontos
dnsbl.sorbs.net - adicione 3,0 pontos
rhsbl.sorbs.net - adicione 3,0 pontos
db.wpbl.info - adicione 2.0 pontos
b.barracudacentral.org - adicione 2,5 pontos, Perguntar diretamente = Sim
bl.spamcannibal.org - adicione 1,5 pontos

Observe que o uso de certas listas de bloqueio de DNS requer o registro no site da lista de bloqueio e a configuração do Kerio Connect para solicitar diretamente ao servidor DNS da lista negra (por exemplo, Barracudacentral).



Regras personalizadas

Use regras personalizadas como desejar. As regras podem aumentar a pontuação de spam com base no assunto da mensagem ou remetente, ou bloquear instantaneamente uma mensagem. Você também pode criar uma lista de permissões com base em vários critérios.

Não recomendamos o uso de palavras muito genéricas que podem produzir resultados falsos positivos. Por exemplo. a regra "Se o Assunto contiver substring ¨div¨" é muito genérica e pode bloquear emails legítimos.

Habilite a opção "Rejeitar mensagem assim que possível" para que as regras personalizadas de spam De e Para sejam aplicadas durante a sessão SMTP e contribuam para diminuir a carga no filtro de spam.



Caller-ID

Habilitado.
Bloquear a mensagem.
Usar a lista de exclusão para seu backup MX, gateways antispam ou servidores SMTP de retransmissão.



SPF

Habilitado.
Bloquear a mensagem.
Usar a lista de exclusão para seu backup MX, gateways antispam ou servidores SMTP de retransmissão.



Greylist

Habilitado
Usar a lista de exclusão para seu backup MX, gateways antispam ou servidores SMTP de retransmissão.



Repelente de spam

Habilitado, atrasando a saudação SMTP em 15-25 segundos.
Usar a lista de exclusões para seus clientes LAN, backup MX, gateways antispam ou servidores SMTP de retransmissão.