HOW TO Melhores práticas de configuração do ASMG – Filtragem Global Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Página: Aker Secure Mail Gateway (ASMG) 2.1 e 2.2 1.0 22/09/11 15/06/10 1 de 5 O produto Aker Secure Mail Gateway (ASMG) é um Proxy de mensagens de e-mail, portanto, ele trabalha escutando e filtrando o protocolo SMTP (porta TCP 25). Podemos dividir a ação dos filtros em duas grandes partes, a primeira delas é realizada durante a conexão e a segunda após a mensagem já ter sido aceita no contexto de entrada do ASMG, onde são aplicadas as políticas de entrada por perfil. Nesta oportunidade vamos abordar os chamados “filtros de conexão” ou Filtragem Global como chamamos no ASMG. A grande vantagem da Filtragem Global é a sua enorme eficiência e assertividade dos bloqueios, ou seja, muitos SPAM são bloqueados sem exigir recursos de hardware e software do equipamento. Por isso, recomendamos que os filtros RBL, Flood, Sender-ID/SPF e Graylist sejam sempre configurados conforme orientado abaixo: • RBL – Real Blockhole List As RBls são listas públicas disponibilizadas por instituições e organizações que procuram diminuir a propagação de SPAM. Essas listas são acessadas durante a tentativa de conexão do servidor remetente com o ASMG. Nesse momento o ASMG acessa a RBL e verifica se o IP de origem está presente na lista. Em caso positivo ele bloqueia o IP de origem, caso contrário ele permitirá a conexão e submeterá o remetente ao próximo filtro. o A recomendação é que o filtro de RBL esteja sempre habilitado com pelo menos as listas disponibilizadas por default (ORBL, CBL e Spamhaus). Acesse “RBLs” em “Filtragem Global” e clique com o botão direito na janela RBL adicionando em seguida as listas (1) conforme a imagem abaixo. Não se esqueça de aplicar a configuração (2). • Controle de Flood Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento. Aker Security Solutions www.aker.com.br HOW TO Melhores práticas de configuração do ASMG – Filtragem Global Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Página: Aker Secure Mail Gateway (ASMG) 2.1 e 2.2 1.0 22/09/11 15/06/10 2 de 5 O controle de flood irá limitar o número de conexões pela origem que poderá ser realizada durante a janela de tempo configurada. No primeiro exemplo abaixo, quando a origem tentar abrir a 31º conexão, ela será bloqueada até que a janela de 30 minutos termine. o Recomendação de configuração para um volume total de e-mails dia até 20/30 mil é: o Número máximo conexões: 30 o Janela de tempo: 30 o Recomendação de configuração para um volume total de e-mails dia entre 70/110 mil é: o Número máximo conexões: 50 o Janela de tempo: 30 Acesse “Controle de Flood” em “Filtragem Global” habilitando a opção “Limitar número de conexões por cliente” (1) e altere o parâmetro “Máximo de conexões” e “Janela de tempo” (2) conforme recomendado acima. • Sender ID-SPF – Sender Policy Framework O SPF é um padrão técnico aberto que descreve e especifica um método para prevenir que o endereço do remetente (MAIL FROM) seja adulterado impedindo assim que um determinado IP de origem se passe por responsável pelo domínio de terceiros. A eficiência do filtro depende da configuração correta da entrada TXT no DNS dos remetentes. A grande vantagem é que todos os grandes provedores e todas as empresas sérias e preocupadas com o problema de SPAM já possuem a entrada TXT configuradas em seus servidores de DNS. o Recomendamos que o filtro seja configurado com a opção “Recusar mensagens de clientes não autorizados” Acesse “Sender-ID/SPF” em “Filtragem Global” e habilite a opção “Habilitar filtragem de Sender-ID/SPF” (1) e depois selecione a opção “Recusar mensagens de clientes não autorizados” (2). Não se esqueça de aplicar suas configurações (3). Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento. Aker Security Solutions www.aker.com.br HOW TO Melhores práticas de configuração do ASMG – Filtragem Global Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Página: Aker Secure Mail Gateway (ASMG) 2.1 e 2.2 1.0 22/09/11 15/06/10 3 de 5 • Gray Listing Um método de bloqueio eficaz baseado no comportamento não usual dos servidores que enviam SPAM onde, na tentativa de enviar o maior número de SPAM, acabam não tratando as mensagens de resposta dos servidores “alvo”. No momento em que o servidor remetente envia o comando MAIL FROM o ASMG responde com um erro temporário 450 (exemplo abaixo) caso ele ainda não conheça o remetente ou o tempo de permanência na graylist tenha expirado. Essa ação do filtro “graylist” força um reenvio do e-mail por parte do remetente. 220 Aker Secure Mail Gateway Sat, 7 Nov 2009 20:39:50 -0200. helo oi 250 Hello bd06125e.virtua.com.br [189.6.18.94], pleased to meet you. mail from: <[email protected]> 450-Mail from can`t be accepted! 450-Gray listing system does not know sender ([email protected]) yet. 450 Please try again in 5 minute(s) Recomendamos a configuração abaixo: o “Tempo de bloqueio após primeiro envio” seja configurado entre 3 e 5 minutos. o “Tempo de retentativa após bloqueio” entre 12 e 24 horas. Aqui, o importante é que o valor configurado tenha pelo menos 30 minutos para permitir que o servidor remetente possa ao menos realizar duas novas tentativas de reenvio do e-mail, pois por padrão, os servidores realizam uma nova tentativa de reenvio após um erro temporário em 15min, 30min, 2horas, 12horas e por fim ele realiza uma nova tentativa de 12 em 12 horas durante 5 dias. o “Limite de tempo de inatividade do remetente” entre 30 e 45 dias. Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento. Aker Security Solutions www.aker.com.br HOW TO Melhores práticas de configuração do ASMG – Filtragem Global Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Página: Aker Secure Mail Gateway (ASMG) 2.1 e 2.2 1.0 22/09/11 15/06/10 4 de 5 Habilite a graylist em “Filtragem global” > “Gray Listing” (1). Selecione “Usar remetente do envelope” (2). Defina os tempos conforme indicamos acima (3) e aplique as configurações (4). • Liberando domínios e e-mails das filtragens globais. Pode acontecer de precisarmos excluir alguns domínios da Filtragem Global. Nesse caso basta adicionarmos uma exceção na aba “Lista de Endereços Autorizados” em “Filtragem Global” > ”Servidores, Domínios e Redes”. Utilize o campo “Servidores” para liberar um host. Caso necessite liberar uma faixa completa de IPs, use o campo “Redes”. No campo domínios, o ASMG faz uma consulta ao DNS em busca do registro reverso do IP de origem da conexão que está tentando enviar uma mensagem. Caso exista um registro e esss esteja cadastrado no referido campo para liberação, o e-mail é aceito. É importante lembra que, caso o IP de origem da conexão não possua um registro DNS reverso devidamento configurado, o email também será aceito. Vale lembrar que para a liberarmos um domínio é necessário que a entidade seja criada para o domínio da entrada MX do remetente. Usaremos o domínio de e-mail do Gmail para ilustrarmos essa dica. Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento. Aker Security Solutions www.aker.com.br HOW TO Melhores práticas de configuração do ASMG – Filtragem Global Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Página: Aker Secure Mail Gateway (ASMG) 2.1 e 2.2 1.0 22/09/11 15/06/10 5 de 5 Nesse exemplo, queremos que os remetentes do gmail.com não passem pela graylist. Ao verificarmos quais são os servidores do gmail.com identificamos que as entradas MX dos servidores cadastrados no DNS estão, na verdade, associados ao domínio google.com. D:/dig MX gmail.com ; <<>> DiG 9.3.2 <<>> MX gmail.com ; (1 server found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 484 ;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 2 ;; QUESTION SECTION: ;gmail.com. IN MX ;; ANSWER SECTION: gmail.com. 3418 IN MX 10 alt1.gmail-smtp-in.l.google.com. gmail.com. 3418 IN MX 40 alt4.gmail-smtp-in.l.google.com. gmail.com. 3418 IN MX 5 gmail-smtp-in.l.google.com. gmail.com. 3418 IN MX 20 alt2.gmail-smtp-in.l.google.com. gmail.com. 3418 IN MX 30 alt3.gmail-smtp-in.l.google.com. Portanto, para liberarmos os e-mails do gmail.com, precisamos criar uma entidade do tipo Domínio para o domínio do google.com e não para o domínio do gmail.com. Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento. Aker Security Solutions www.aker.com.br
© Copyright 2024