Introdução

Spam é um  problema cada vez maior, que causa prejuízos às empresas. Os spammers sempre reagem a novos filtros e métodos de combate rapidamente, o que torna necessário constante vigilância e novas tecnologias. Este documento tem o objetivo de detalhar como configurar o Anti-Spam do IceWarp, visando ótimos resultados.

Dicas

• Manter relay fechado

A configuração de segurança mais importante do IceWarp. Caso tenha um relay aberto, spammers enviarão spam através do seu servidor e você entrará em inúmeras listas negras.Na versão 10, inexiste a opção de manter relay aberto ou fechado. Ele vem fechado e pode ser alterado/aberto apenas via API, o que normalmente não é desejado.

Relaying pode ser configurado em Serviço de Correio/Segurança (Mail Service/Security).

Como pode ser visto acima, a sugestão é manter a opção Closed Relay (Relay fechado) marcada, o que é padrão do Merak. Além disso, recomendamos desativar POP before SMTP (POP antes de SMTP) e, em Trusted IPs (IPs Confiáveis) colocar apenas 127.0.0.1, IP da própria máquina e, possivelmente, IP de outros servidores, como servidores web que possuem formulários que precisam conseguir enviar emails para fora. Vale ressaltar que os IPs confiáveis não serão tratados pelo sistema Anti-Spam.

Assegure-se de que, em Mail Service/Security/Advanced, Deny SMTP AUTH (Serviço de Correio/Segurança/Avançado/Negar SMTP AUTH) esteja desmarcado, permitindo assim, autenticação SMTP (opção Meu servidor requer autenticação no client), considerada a forma mais segurança de autenticação. Trata-se da opção "Meu servidor requer autenticação" que usuários marcam ao configurar uma conta de email em um programa de email e faz com que o usuário apresente a senha de recebimento para poder enviar. Ressaltando que tal opção inexiste na console da versão 10 e está desmarcada (ou seja, SMTP AUTH habilitado, o que é recomendado) por padrão, sendo possível realizar alterações apenas via API.

Em Serviço de Correio/Segurança/Avançado, recomendamos marcar as 3 últimas opções (Deny SMTP EXPN, Deny SMTP VRFY e Deny Telnet access). Na v10, tais opções inexistem no console, já estando marcadas por padrão e possível de serem alteradas apenas via API.

Considere também ativar a opção "Rejeitar se SMTP AUTH diferente do remetente", em Serviço de Correio/Segurança/Avancado. Dessa forma, mesmo que um spammer abuse de uma conta, não conseguirá enviar caso autentique com uma conta válida e use outra conta como remetente, o que é a forma como normalmente agem. Sugerimos colocar no Bypass dessa opção Remetente <>, ou seja, remetentes nulos, já que mensagens de confirmação de leitura costumam ser enviadas autenticando a conta válida do usuário, porém usando um remetente nulo.

• Ative o AntiSpam, agende os updates

É importante manter a base de dados do Anti-Spam atualizada. A tela abaixo exibe a definição de agendamento para obter updates.

Você pode atualizar manualmente a qualquer momento clicando no botão Update Now (Atualizar Agora).

• Ative logging
  

Conforme exibido na tela abaixo, ative logging do AntiSpam. Isto pode ajudar a investigar a razão pela qual uma mensagem foi ou não foi marcada como spam. Existe a opção de processar mensagens de saída sem rejeitar, rejeitando ou simplesmente não processar, o que pode ser útil para minimizar processamento, caso tenha certeza que as mensagens de saída são sempre legítimas.

A opção de processar anti-spam em contas desconhecidas (Unknown accounts), é útil caso possua Domínios de backup (Backup domains), que servem como gateway para filtragem de spam, caso no qual as contas não foram criadas no IceWarp, pois os emails são verificados por spam e redirecionados para outro servidor.

• Defina cuidadosamente a pontuação exigida para ações do Anti-Spam

Trata-se de uma parte importante da configuração Anti-Spam. É difícil determinar valores exatos, pois existem vários cenários de uso e os resultados podem variar de acordo com o tipo dos emails de entrada, portanto você pode precisar ajustar de acordo com as suas necessidades. Há varios templates pré-definidos, Low, Medium e High (Baixo, Médio a Alto), que incluem configurações pré-estabelecidas.

É importante entender que temos 2 ações básicas, marcar como spam (anti-spam inteligente) e colocar uma mensagem em quarentena. Vamos considerar o cenário do template Médio. Neste caso, a quarentena é usada como uma barreira inicial, com pontuação 3 e marcar como spam ocorre com pontuação 5. Isto significa que, de 3 a 5 pontos, a mensagem será quarentenada e não aparecerá na caixa de entrada do usuário. 5 pontos para cima fazem com que a mensagem seja marcada como spam e seja entregue na caixa de entrada do usuário (ou pasta de spam, caso configurada). Veja como fica este cenário na tela a seguir:

Caso você não tenha conseguido ativar pontuação para Quarentena, é porque o Modo de Acesso desse recurso vem por padrão desativar. Ative a quarentena em Anti-Spam/Quarantine (Anti-Spam/Quarentena).

Outro aspecto muito importante diz respeito ao Access Mode (Modo de Acesso) dos módulos IceWarp. Todos eles vem por padrão com Access Mode definido como "Todas as contas". Isto significa que o serviço está ativado em todas as contas e não pode ser desativado. Trata-se de uma ótima política, por exemplo, para o Antivírus, já que dificilmente desejaremos que alguém desative este recurso.

Este cenário pode ser útil por não necessitar que o cliente ative o Anti-Spam, mas por outro lado, usuários podem ficar confusos com mensagens sendo marcadas como spam, ou pior, mensagens entrarem na quarentena sem que ele saiba como gerenciar a mesma, a não ser que repasse instruções adequadas ao seu cliente.

Outra opção seria alterar o Access Mode (Modo de Acesso), tanto do Anti-Spam inteligente (na guia General/Geral) quanto da Quarentena (em Anti-Spam/Quarentena) para "Use account options" (Somente contas selecionadas). Dessa forma, você pode ativar tais módulos em cada conta, na guia Options (Opções) de uma conta e o próprio usuário também pode ativar o antispam, seja o administrador de domínio via interface web (/admin) ou até pelo WebMail, conta por conta. É possível, ainda, definir o acesso a serviços a nível de domínio.

Vejamos, portanto, mais alguns cenários de pontuação. Um bastante popular, é definir o Modo de Acesso do Anti-Spam inteligente e da Quarentena para contas selecionadas, em seguida, alocar 0 pontos para Quarentena e 3 pontos para Anti-Spam. Dessa forma, você pode orientar o seu cliente a ativar, em cada conta, um mecanismo ou outro. Caso o usuário ative apenas quarentena, todas as mensagens serão quarentenadas e, caso ative em Anti-Spam/Quarentena para enviar um desafio via email, todos remetentes serão desafios uma única vez. Caso o usuário ative o Anti-Spam em sua conta, mensagens a partir de 3 pontos serão marcadas como spam. Vale ressaltar que a Quarentena pode ser gerenciada pelo Cliente Web, através do /admin pelo Domain administrador, via Console IceWarp pelo administrador e através de relatórios de spam recebidos via e-mail (vistos mais adiante), sendo possível até criar administradores de spam, para gerenciarem a quarentena de outros usuários.

Outros cenários incluem não usar a Quarentena, apenas marcando mensagens com 3 pontos como spam ou até usar apenas a quarentena, útil em um cenário onde você deseja ter administradores de spam gerenciando as quarentenas de outros usuários e, de forma manual, garantindo perto de 100% de eficácia.

Veja que não estamos usando a opção de rejeitar e-mails, o que pode embarreirar comunicação, mesmo que ative tal recurso para 10 pontos (o máximo que pode ser definido no IceWarp e normalmente caracteriza mensagens de spam). Note também que, caso opte por ativar uma pontuação para recusar mensagens (refuse messages), você pode escolher a ação da rejeição, rejeitar tais mensagens que atingem 10 pontos e acima ou apagá-las, o que não recomendamos.

Note também que escolhemos o que aparecerá no assunto quando uma mensagem for marcada como spam (5 pontos e acima), digitando [Possivel Spam], sem acentuação em possível. Podemos incluir quais testes tiveram pontuaram, acrescentando algo como [Possivel Spam - %%SpamReason%%], de preferência sem acentuação no texto.

Veja, ainda, FAQ a respeito de usar pastas de spam por padrão: https://suporte.icewarp.com.br/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=229&nav=0,50,56

Na aba Relatórios, você pode ativar relatórios de spam recebidos via e-mail. Muito útil, sobretudo para aqueles que usam contas POP com pasta de spam. Já que a pasta de spam é visível apenas para contas IMAP ou via Cliente Web, os relatórios são uma forma de informar ao usuário todos itens presos em sua quarentena através de um relatório enviado a cada x minutos e através do qual o usuário pode liberar ou rejeitar mensagens. Detalhes em: https://suporte.icewarp.com.br/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=377

• Ative o SpamAssassin

SpamAssassin consiste de um conjunto de ferramentas poderosas que ajudam muito no combate ao spam, aumentando a pontuação do sistema inteligente Anti-Spam. Veja, na tela a seguir, as configurações recomendadas.

Vale ressaltar a opção de exibir detalhes da pontuação Anti-Spam no header das mensagens.

Um recurso novo útil são os relatórios referentes ao SpamAssassin. Note que definimos um caminho e arquivo, onde serão mantidas estatísticas de eficiência do SpamAssassin, quais testes estão sendo mais usados, bem como aqueles nunca usados.

• Use Listas Negras DNSBL (Blackhole Lists ou RBLs)

RBL

Real-time blackhole lists também ajudam muito no combate ao spam. Trata-se de uso do DNS para manter uma lista de IPs conhecidos por realizarem spam. Todo email recebido será verificando na respectiva lista negra configurada. Na configuração do Anti-Spam, em SpamAsssassin/RBL, caso o remetente esteja nas listas negras definidos, a pontuação do Anti-Spam será aumentada.

Existe outra opção em Mail Service/Security/DNS (Serviço de Correio/Segurança/DNS), em que você configura DNSBLs e, caso o remetente conste nessas, o email será rejeitado. Ativamos a opção para ativar DNSBLs e fechar conexões, conforme a tela a seguir:

Os 2 sistemas que recomendamos alocar são: zen.spamhaus.org e bl.spamcop.net. O list.dsbl.org, referenciando na imagem acima, já não existe mais e não deve ser usado.

Note que também ativamos opção que rejeita mensagens quando o domínio do remetente inexiste, mas optamos por não rejeitar mensagens em que o sistema remoto não possui reverso (PTR), pois apesar de ser algo recomendado, muitos sistemas não configuram o reverso e, caso enviem mensagens para seu sistema e tenha tal opção (Rejeitar se IP do originatário não possui rDNS) ativada, receberão erro "Sender must resolve". Nesse caso, eles podem configurar o reverso em seu respectivo servidor ou você pode alocar o IP ou domínio do remetente no Bypass (B).

Listas negras DNSBL funcionam de formas variadas, como através de denúncias (caso do Spamcop), proxy aberto, armadilhas de spam (caso envie email para determinado endereço feito para detectar o envio de spam), etc. Use as listas com cuidado e saiba as regras e forma de funcionamento de cada uma. Cuidado, pois há listas que recusam, até mesmo, todos emails vindos do Brasil. Detalhes sobre as listas acima, nos respectivos sites (spamhaus.org e dsbl.org). Devemos alocar, em Segurança/DNS, no máximo 3 blacklists, devido a processamento. Outra opção útil é o Bypass (B)/Desvio (D), para criar uma excessão e informar que determinado endereço IP, domínio ou e-mail não deverá ser recusado pelas DNSBLs definidas, mesmo que ele conste nas mesmas.

Uma fonte fonte para verificar índice de resultados de DNSBLs é http://stats.dnsbl.com.

Veja nosso Treinamento Web sobre filtros de conteúdo para aprender a construir filtros que auditam blacklists, a fim de determinar a validade de se passar a usar uma nova lista em seu sistema.

Já no Anti-Spam, em SpamAssassin/RBL, ativamos 3 outras listas, não usadas em Security/Segurança, que aumentarão a pontuação do Anti-Spam. Veja tela a seguir:

• Use o banco de dados Bayesiano

O sistema Bayesiano já deve melhores resultados no passado, através de um banco de dados de palavras (merak/spam/spam.db) que traz detalhamento de palavras e quantas vezes apareceram em mensagens de spam ou legítimas, baseado em amostras. É até possível ensinar o sistema Bayesiano, através das Learn Rules (Regras de Aprendizado), mapeando pastas no seu IMAP e arrastando mensagens para ela. Entretanto, isto envolve trabalho e podem ocorrer falhas no ensinamento, portanto não é algo recomendado de ser feito. Caso ensine o sistema Bayesiano e queira desfazer tal ensinamento, basta apagar o arquivo merak/spam/spam.db.usr. Hoje em dia, spammers enviam spams com imagens ou texto escrito de forma atípica, como V1agra, reduzindo o desempenho dos filtros bayesianos.

Note que não ativamos o Auto learn (Auto aprendizado), pois pode causar resultados inesperados.

• Ative Listas Negra e & Branca

Uma das funções mais usadas e poderosas é a lista negra e branca.

A lista negra permite definir palavras que, caso constem na mensagem, farão com que a pontuação do Anti-Spam inteligente aumente em x pontos, de acordo com o que definir, conforme tela a seguir.

Não deixe de marcar "Excluir mensagens" na lista negra, sobretudo caso use quarentena, caso negativo, a parte de lista negra do Anti-Spam pode não funcionar adequadamente.

Por outro lado, a lista branca permite que defina palavras-chave nas quais você confia e deseja que, caso presentes, façam com que respectivos emails sejam entregues, independente das configurações do Anti-Spam.

Note que ativamos o Whitelist automático com modo User. Isso significa que os remetentes de todas mensagens enviadas para fora, contanto que usuário tenha Anti-Spam e/ou Quarentena ativados, serão automaticamente colocados na lista branca de cada usuário, de forma que emails vindos dessas pessoas nunca serão marcados como spam ou quarentenados. Pode ser uma boa opção orientar seus usuários a enviarem um email para todos seus contatos, o que liberaria os mesmos de serem desafiados. A opção User é útil para provedores, já que um usuário normalmente nada tem a ver com outro usuário de outro domínio. Em outras organizações, pode ser útil realizar este auto whitelisting por domínio ou a nível de sistema. A nível de domínio, por exemplo, se um usuário de determinado domínio enviar email para fora, o destinatário será incluso na lista branca de todos usuários. Cuidado, pois caso as contas sejam usadas para fazer spam (sofram abuso), o whitelist do usuário pode facilmente conter endereços para os quais spams foram enviados.

Além disso, podemos definir palavras (keywords) e se elas constarem no corpo de emails, tais emails não serão processados pelo anti-spam. Neste caso procure especificar palavras que não sejam muito genéricas e que tenham a ver com seu negócio.

Em Advanced, inicie marcando apenas o primeiro checkbox (colocar na lista branca IP's confiáveis e sessões autenticadas). Detalhes em https://suporte.icewarp.com.br/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=448

• Uma das ferramentas mais poderosas, Greylisting

A lista cinza (greylisting) é um método sofisticado de controle de spam. Ele é baseado no fato de que spammers e remetentes de email não-solicitado não usam máquinas compatíveis com os padrões da Internet. A lista cinza evita spams respondendo com um erro de SMTP temporário após a primeira tentativa de envio de mensagem. Noventa e nove porcento das mensagens de spam e dos vírus são enviados por bombardeadores de email (programas de envio automático de email), que nunca tentam enviar o email novamente. Portanto, esses emails são bloqueados para sempre. Após um erro temporário, os servidores de email normais tentam novamente um pouco mais tarde, e a lista cinza permite a passagem do email.

A base da lista cinza é uma idéia simples. Os servidores de email confiáveis e compatíveis com os padrões da Internet tentarão enviar a mensagem, mesmo que ocorra rejeição temporária. O servidor de email (ou MTA, Mail Transfer Agent - agente de transferência de email), após a rejeição, colocará a mensagem em uma fila e tentará enviá-la novamente após um determinado período. Por outro lado, a maioria esmagadora das mensagens de spam é enviada por bombardeadores de email (programas de envio de email especializados), que tentarão enviar muitas mensagens para um número enorme de destinatários em um curto intervalo de tempo. Esses bombardeadores de email automatizados estão tão ansiosos por enviar emails que não toleram esperar por respostas nem tentar novamente um envio malsucedido.

O ideal é configurar o Greylisting para armazenar o email do remetente (Sender). Caso escolha IP, terá problemas, pois o sistema remoto pode reconectar com outro IP. Veja a configuração na tela abaixo:

Vale ressaltar que o Greylisting pode implicar num atraso de até 5 minutos para receber o email do remetente, a cada 30 dias, de acordo com as configurações padrão. Em Status/Spam Queues/Greylisting (Status/Filas de Spam/Greylisting), você notará a eficiência do sistema e inúmeros sistemas bloqueados. Neste local, você pode também liberar sessões pendentes.

• Limites de usuários

Para evitar que usuários do seu IceWarp enviem spam, pode ser interessante limitar o número de mensagens que um domínio (ou usuário) pode enviar por dia. A maior parte dos usuários não enviam mais de 200 mensagens por dia, portanto este pode ser um bom limite. Lembre-se que para ativar tais limites em Domains & Accounts (Domínios & Contas), você precisa ativar a opção de usar limites a nível de domínio em Global Settings/Domains/aba Limits (Configurações Globais/Domínios/aba Limites). Se um usuário específico precisa enviar mais de 200 mensagens por dia, você pode alterar o limite do usuário, na aba Limites de uma conta, lembrando de ativar para usar limites a nivel de usuário em Configurações Globais. Veja tela das configurações Globais como ativar as opções.

• Política de Senha
  

• Prevenção a Intrusos

O Intrusion prevention é um recurso útil para bloquear ataques de dicionário, uma pessoa de fora tentando enviar emails para contas do seu sistema que inexistem, como joao@dominio.com.br, maria@dominio.com.br, vendas@dominio.com.br. Após x tentativas, IceWarp bloqueia o IP remoto por x minutos. Há outras, como bloquear alguem por ter tido erro de relay, por estar listado em uma DNSBL, devido a x conexões simultaneas, número de RSETs, etc.

Recomendamos ativar o recurso (Active) em Mail Service/Security (Serviço de Correio/Segurança) e usar as seguintes opções:

• Bloquear IPs que excedem mensagens enviadas a 5 destinatários desconhecidos
• Bloquear IP que estabelece 50 conexões por minuto
• Bloquear IP que excede 5 RSETs
• Bloquear IP cujo tamanho de msg excede 100 MB
• Tempo para bloqueio: 240 min
• Assinalar opção de refuse blocked IP address (recusar endereços IP bloqueados) e close blocked connections (fechar conexões bloqueadas)

No help do IceWarp (F1), há uma sessão em Status/Spam Queues/Intrusion Prevention (Status/Filas de Spam/Prevenção a Intrusos), que explica todas as razões pelas quais remetentes foram bloqueados.

E voce sempre tem a opcao do Bypass/Desvio, em que você pode informar um IP, domínio ou até endereço de email que nunca deve ser bloqueado. Usuários autenticando SMTP devem ser liberados da prevenção a intrusos, exceto no caso de número de conexões por minuto. Caso algum remetente válido seja bloqueado devido a tal opcão, em Status/Filas de Spam/Prevenção a intrusos, a coluna razão deve trazer a letra "I". Remova o usuário de tal listagem e aloque o IP, domínio ou e-mail do mesmo no Bypass da Prevenção a Intrusos.

Veja tela capturada:

• Miscelaneous (Diversos)

Ative todos os testes em Miscelaneous (Diversos). São diversos truques de spammers que são combatidos e aumentam a pontuação de acordo com os valores referenciados. Por exemplo, mensagens com imagens incorporadas nela, são aumentadas em 1,50 pontos.

Recomendamos manter desmarcadas apenas a primeira opção da guia Sender (Remetente), pois você já rejeita emails de remententes cujo domínio não existem em Mail Service/Security/DNS (Serviço de Correio/Segurança/DNS) e também deixar apenas o checkbox do meio (Pontuar mensagens em que HELO não resolve a um IP remoto), ja que as demais opções usam processamento em demasia (vide F1 help).

• Anti-Spam Live

O Anti-spam Live utiliza a tecnologia CommTouch RDP, analisando envio de mensagens em massa na internet em tempo real, fazendo testes verificando por mensagens de vírus e spams.

• Entendendo a pontuação

Considerando que ativamos logs em modo summary & debug, digamos que determinada mensagem deixou de ser marcada como spam, mas possui características de spam. Verificando o header da mensagem e logs, notamos que consta BYPASS=S. De acordo com o Help do IceWarp (F1), em Anti-Spam Reason Codes, notamos que a razão do Bypass/Desvio, foi devido ao fato da mensagem ser maior que o tamanho mínimo de mensagem a ser varrida, definido em Anti-Spam/Other (Outros) e cujo padrão é 128 Kbytes (normalmente pode ser aumentado para 512 Kbytes, mas cuidado pois pode afetar a performance do servidor).

Essas são nossas dicas para você rapidamente iniciar esforços no sentido de combater spam. Não deixe de ler nossa documentação e verificar os filtros de conteúdo disponíveis na seção de Downloads do nosso site. Em caso de dúvidas, favor contatar o suporte.