HOW TO  Melhores práticas de configuração  do ASMG – Filtragem Global 

HOW TO Melhores práticas de configuração do ASMG – Filtragem Global Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Página: Aker Secure Mail Gateway (ASMG) 2.1 e 2.2 1.0 22/09/11 15/06/10 1 de 5 O produto Aker Secure Mail Gateway (ASMG) é um Proxy de mensagens de e-mail, portanto, ele trabalha escutando
e filtrando o protocolo SMTP (porta TCP 25).
Podemos dividir a ação dos filtros em duas grandes partes, a primeira delas é realizada durante a conexão e a segunda
após a mensagem já ter sido aceita no contexto de entrada do ASMG, onde são aplicadas as políticas de entrada por
perfil. Nesta oportunidade vamos abordar os chamados “filtros de conexão” ou Filtragem Global como chamamos no
ASMG.
A grande vantagem da Filtragem Global é a sua enorme eficiência e assertividade dos bloqueios, ou seja, muitos
SPAM são bloqueados sem exigir recursos de hardware e software do equipamento. Por isso, recomendamos que os
filtros RBL, Flood, Sender-ID/SPF e Graylist sejam sempre configurados conforme orientado abaixo:
• RBL – Real Blockhole List
As RBls são listas públicas disponibilizadas por instituições e organizações que procuram diminuir a
propagação de SPAM. Essas listas são acessadas durante a tentativa de conexão do servidor remetente com
o ASMG. Nesse momento o ASMG acessa a RBL e verifica se o IP de origem está presente na lista. Em
caso positivo ele bloqueia o IP de origem, caso contrário ele permitirá a conexão e submeterá o remetente
ao próximo filtro.
o A recomendação é que o filtro de RBL esteja sempre habilitado com pelo menos as listas
disponibilizadas por default (ORBL, CBL e Spamhaus).
Acesse “RBLs” em “Filtragem Global” e clique com o botão direito na janela RBL adicionando em seguida
as listas (1) conforme a imagem abaixo. Não se esqueça de aplicar a configuração (2).
• Controle de Flood
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Aker Security Solutions
www.aker.com.br
HOW TO Melhores práticas de configuração do ASMG – Filtragem Global Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Página: Aker Secure Mail Gateway (ASMG) 2.1 e 2.2 1.0 22/09/11 15/06/10 2 de 5 O controle de flood irá limitar o número de conexões pela origem que poderá ser realizada durante a janela
de tempo configurada. No primeiro exemplo abaixo, quando a origem tentar abrir a 31º conexão, ela será
bloqueada até que a janela de 30 minutos termine.
o Recomendação de configuração para um volume total de e-mails dia até 20/30 mil é:
o Número máximo conexões: 30
o Janela de tempo: 30
o Recomendação de configuração para um volume total de e-mails dia entre 70/110 mil é:
o Número máximo conexões: 50
o Janela de tempo: 30
Acesse “Controle de Flood” em “Filtragem Global” habilitando a opção “Limitar número de conexões por
cliente” (1) e altere o parâmetro “Máximo de conexões” e “Janela de tempo” (2) conforme recomendado
acima.
• Sender ID-SPF – Sender Policy Framework
O SPF é um padrão técnico aberto que descreve e especifica um método para prevenir que o endereço do
remetente (MAIL FROM) seja adulterado impedindo assim que um determinado IP de origem se passe por
responsável pelo domínio de terceiros.
A eficiência do filtro depende da configuração correta da entrada TXT no DNS dos remetentes. A grande
vantagem é que todos os grandes provedores e todas as empresas sérias e preocupadas com o problema de
SPAM já possuem a entrada TXT configuradas em seus servidores de DNS.
o Recomendamos que o filtro seja configurado com a opção “Recusar mensagens de clientes não
autorizados”
Acesse “Sender-ID/SPF” em “Filtragem Global” e habilite a opção “Habilitar filtragem de Sender-ID/SPF”
(1) e depois selecione a opção “Recusar mensagens de clientes não autorizados” (2). Não se esqueça de
aplicar suas configurações (3).
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Aker Security Solutions
www.aker.com.br
HOW TO Melhores práticas de configuração do ASMG – Filtragem Global Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Página: Aker Secure Mail Gateway (ASMG) 2.1 e 2.2 1.0 22/09/11 15/06/10 3 de 5 • Gray Listing
Um método de bloqueio eficaz baseado no comportamento não usual dos servidores que enviam SPAM
onde, na tentativa de enviar o maior número de SPAM, acabam não tratando as mensagens de resposta dos
servidores “alvo”. No momento em que o servidor remetente envia o comando MAIL FROM o ASMG
responde com um erro temporário 450 (exemplo abaixo) caso ele ainda não conheça o remetente ou o
tempo de permanência na graylist tenha expirado. Essa ação do filtro “graylist” força um reenvio do e-mail
por parte do remetente.
220 Aker Secure Mail Gateway Sat, 7 Nov 2009 20:39:50 -0200.
helo oi
250 Hello bd06125e.virtua.com.br [189.6.18.94], pleased to meet you.
mail from: <[email protected]>
450-Mail from can`t be accepted!
450-Gray listing system does not know sender ([email protected]) yet.
450 Please try again in 5 minute(s)
Recomendamos a configuração abaixo:
o “Tempo de bloqueio após primeiro envio” seja configurado entre 3 e 5 minutos.
o “Tempo de retentativa após bloqueio” entre 12 e 24 horas. Aqui, o importante é que o valor
configurado tenha pelo menos 30 minutos para permitir que o servidor remetente possa ao menos
realizar duas novas tentativas de reenvio do e-mail, pois por padrão, os servidores realizam uma
nova tentativa de reenvio após um erro temporário em 15min, 30min, 2horas, 12horas e por fim
ele realiza uma nova tentativa de 12 em 12 horas durante 5 dias.
o “Limite de tempo de inatividade do remetente” entre 30 e 45 dias.
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Aker Security Solutions
www.aker.com.br
HOW TO Melhores práticas de configuração do ASMG – Filtragem Global Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Página: Aker Secure Mail Gateway (ASMG) 2.1 e 2.2 1.0 22/09/11 15/06/10 4 de 5 Habilite a graylist em “Filtragem global” > “Gray Listing” (1). Selecione “Usar remetente do envelope” (2).
Defina os tempos conforme indicamos acima (3) e aplique as configurações (4).
• Liberando domínios e e-mails das filtragens globais.
Pode acontecer de precisarmos excluir alguns domínios da Filtragem Global. Nesse caso basta
adicionarmos uma exceção na aba “Lista de Endereços Autorizados” em “Filtragem Global” > ”Servidores,
Domínios e Redes”. Utilize o campo “Servidores” para liberar um host. Caso necessite liberar uma faixa
completa de IPs, use o campo “Redes”. No campo domínios, o ASMG faz uma consulta ao DNS em busca
do registro reverso do IP de origem da conexão que está tentando enviar uma mensagem. Caso exista um
registro e esss esteja cadastrado no referido campo para liberação, o e-mail é aceito. É importante lembra
que, caso o IP de origem da conexão não possua um registro DNS reverso devidamento configurado, o email também será aceito.
Vale lembrar que para a liberarmos um domínio é necessário que a entidade seja criada para o domínio da
entrada MX do remetente. Usaremos o domínio de e-mail do Gmail para ilustrarmos essa dica.
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Aker Security Solutions
www.aker.com.br
HOW TO Melhores práticas de configuração do ASMG – Filtragem Global Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Página: Aker Secure Mail Gateway (ASMG) 2.1 e 2.2 1.0 22/09/11 15/06/10 5 de 5 Nesse exemplo, queremos que os remetentes do gmail.com não passem pela graylist. Ao verificarmos quais
são os servidores do gmail.com identificamos que as entradas MX dos servidores cadastrados no DNS
estão, na verdade, associados ao domínio google.com.
D:/dig MX gmail.com
; <<>> DiG 9.3.2 <<>> MX gmail.com
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 484
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 2
;; QUESTION SECTION:
;gmail.com.
IN
MX
;; ANSWER SECTION:
gmail.com.
3418
IN
MX
10 alt1.gmail-smtp-in.l.google.com.
gmail.com.
3418
IN
MX
40 alt4.gmail-smtp-in.l.google.com.
gmail.com.
3418
IN
MX
5 gmail-smtp-in.l.google.com.
gmail.com.
3418
IN
MX
20 alt2.gmail-smtp-in.l.google.com.
gmail.com.
3418
IN
MX
30 alt3.gmail-smtp-in.l.google.com.
Portanto, para liberarmos os e-mails do gmail.com, precisamos criar uma entidade do tipo Domínio para o
domínio do google.com e não para o domínio do gmail.com.
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Aker Security Solutions
www.aker.com.br