Neste artigo, descrevemos como complementamos os vários recursos anti-spam de código aberto fornecidos com o Zimbra com dois provedores de listas de bloqueio comerciais para uma solução de baixo custo e alto impacto.
Nosso provedor favorito de lista de bloqueio gratuito é o Barracuda (mas não se esqueça de registrar seus endereços IP antes de tentar usá-lo.) Os termos de serviço da Spamhaus agora proíbem o uso de suas listas de bloqueio para fins comerciais, exceto por meio de uma assinatura paga. Descobrimos em testes que Spamhaus capturou muito pouco que Barracuda não capturou. Portanto, nós mesmos não usamos Spamhaus, embora muitos de nossos clientes o façam e com bom sucesso.
Mas há muito mais em anti-spam do que apenas bloquear e-mails indesejados recebidos. Uma boa estratégia antispam se estende aos esforços para garantir que seu sistema e domínio de e-mail não sejam uma fonte de spam, por isso, apresentaremos nossas práticas recomendadas nesse espaço e também em uma futura postagem no blog.
Acima de tudo, não podemos enfatizar demais a necessidade de treinamento periódico do usuário final. O anti-spam nunca será perfeito, portanto, os usuários precisam ser treinados para fazer uma pausa, respirar fundo e pensar antes de abrir ou responder a um email. Quando um usuário recebe um email de alguém que conhece, mas o email parece suspeito, NÃO responda ao email! Em vez disso, treine seus usuários para ENVIAR o e-mail para o (suposto) remetente original. Isso ocorre porque a parte “De:” de um email pode ser facilmente falsificada, mas o destinatário terá o endereço de email correto para o remetente no Catálogo de Endereços.
Essa técnica de “remetente forjado” é tipicamente como os emails de bancos, operadoras de telefonia ou fornecedores de serviços que solicitam o pagamento antecipado a um fornecedor ou cliente (na verdade, o fraudador que enviou o email em primeiro lugar) causa muitos problemas; o mal funcionário de contabilidade ou financeiro, pensa que está respondendo ao requerente verdadeiro, mas está realmente respondendo ao fraudador.
Por fim, na maioria dos hacks de email recentes com os quais eu estou familiarizado, a autenticação de dois fatores teria impedido a implantação da exploração, por isso estamos incentivando fortemente nossos clientes a implantar a autenticação de dois fatores (versão paga do Zimbra) – não é tão inconveniente de usar quanto a maioria das pessoas presume.
Conjunto de níveis rápidos anti-spam: terminologia, abordagem e técnicas
Aqui estão alguns termos e conceitos importantes para garantir que todos estejam na mesma página:
Correio cinza – e-mail que tecnicamente não é spam, mas que a maioria dos usuários não deseja. Você fez o download de um documento técnico e teve que desistir do seu endereço de e-mail. Agora, você recebe todos os tipos de ofertas por e-mail que você tecnicamente autorizou quando aceitou os termos e condições para poder fazer o download desse documento.
Spam – Para nossos propósitos, “spam” é um email que foi determinado como lixo eletrônico. Nos Estados Unidos, a Lei CAN-SPAM tem uma definição mais rigorosa. Nos países cobertos pelo GDPR, o “UCE” ou o email comercial não solicitado são ainda mais fortemente restringidos. Se um email é inequívoco, o Zimbra o exclui. Se for um pouco lixo eletrônico, o Zimbra pode acrescentar um aviso à linha Assunto e colocá-lo na pasta Lixo eletrônico do usuário. O limite entre exclusão e envio é ajustável.
Lista de bloqueios – Um serviço de terceiros que o Zimbra pode usar para identificar endereços IP e domínios que são fontes conhecidas de spam, porque são apenas bandidos (aos olhos do provedor da lista de bloqueios) ou porque são caras legais que foram hackeado. Algumas listas de bloqueio são muito agressivas em suas políticas de listagem; outros nem tanto. Existem três tipos de listas de bloqueio:
- Listas de blocos do lado esquerdo para verificação de endereços IP (“RBLs”);
- Listas de bloqueio do lado direito para verificar domínios (“RHSBLs”) e;
- Listas de bloqueio de URI para verificação de links em um corpo de email (“URIBLs”).
Falso positivo – Um email legítimo identificado incorretamente como spam. As listas de bloqueio são classificadas com base na frequência de falsos positivos. Normalmente, quanto maior a taxa de falsos positivos, menos spam uma lista de bloqueios permitirá. Essa troca entre eficácia e precisão justifica uma discussão com a gerência. Os clientes que têm altos requisitos para ambos os falsos positivos baixos e spam quase zero geralmente são perspectivas de serviços comerciais adicionais de terceiros, como o Mimecast.
Postfix – O software MTA (Mail Transfer Agent) de código aberto incluído no Zimbra que aceita emails de e envia emails para outros servidores de email e caixas de correio do Zimbra.
Amavisd – O software de código aberto totalmente integrado ao Postfix e que processa emails por meio do SpamAssassin e ClamAV antes de permitir que o Postfix os entregue.
SpamAssassin – Um poderoso software de código aberto fornecido com o Zimbra e que executa centenas de testes em um email. Cada resultado do teste adiciona uma pontuação positiva (ruim) ou negativa (boa) a um email. No final do exercício, o SpamAssassin adiciona todas as pontuações individuais dos testes para obter uma pontuação combinada para o e-mail. Pontuações acima de um determinado limite resultam na classificação do email como spam. Os limites nos quais o SpamAssassin marca um email como Lixo eletrônico e o entrega ao usuário final ou o exclui totalmente são ajustáveis.
ClamAV – O mecanismo antivírus de código aberto fornecido com o Zimbra e pré-configurado para se atualizar.
O restante do artigo presume que você já se inscreveu para assinaturas de avaliação e uribl (ou de provedores alternativos que considere mais adequados ao seu ambiente) e deseja implantar seus serviços no Zimbra.
Técnica # 1 – Bloqueio total com o Postscreen
O Postfix de Zimbra agora é enviado com o Postscreen, um tipo de firewall de entrada de e-mail. O Postscreen bloqueia efetivamente os bandidos sem sobrecarregar o servidor Zimbra. O wiki do Zimbra Postscreen descreve essa ferramenta e como configurá-la em grandes detalhes. Mas o wiki recomenda algumas listas negras muito agressivas para a variável zimbraMtaPostscreenDnsblSites, e nossa experiência foi que o uso das listas negras listadas nesse wiki causa muitos falsos positivos. Como resultado, usamos apenas a lista gratuita fornecida pela Barracuda Central (obrigado Barracuda!) E uma das listas de nossos fornecedores pagos. Para simplificar, executamos como usuário do Zimbra:
zmprov mcf zimbraMtaPostscreenDnsblSites 'b.barracudacentral.org=127.0.0.2*7' zimbraMtaPostscreenDnsblSites 'sip-sip24.<your-account-code>.invaluement.com=127.0.0.2*6' zmprov mcf zimbraMtaPostscreenDnsblAction enforce zmprov mcf zimbraMtaPostscreenGreetAction enforce zmprov mcf zimbraMtaPostscreenNonSmtpCommandAction drop zmprov mcf zimbraMtaPostscreenPipeliningAction enforce
Dentro de alguns minutos, o daemon de configuração zmconfigd do Zimbra captará as alterações acima e recarregará o Postfix adequadamente.
Técnica # 2 – Bloqueio total com verificações do protocolo DNS Postfix
Os servidores de email externos que tentam enviar e-mails devem se comportar adequadamente e ser configurados de acordo com os padrões publicados e aceitos. A maioria não é, e geralmente por razões aceitáveis. O Postfix de Zimbra permite verificar várias delas através das configurações no Admin Console (Página inicial> Configurar> Configurações globais> MTA), mas todas, exceto duas, podem gerar falsos positivos frequentes. As duas verificações que não geram falsos positivos, mas que bloqueiam muito spam são:
zmprov mcf +zimbraMtaRestriction reject_non_fqdn_sender
zmprov mcf +zimbraMtaRestriction reject_unknown_sender_domain
O “reject_unknown_sender_domain”, de acordo com a documentação do Postfix, realiza algumas verificações específicas para garantir que o domínio do remetente realmente exista no DNS público. Se o domínio do remetente não existir, o email não será aceito. Da mesma forma, a verificação “reject_non_fqdn_sender” rejeitará o email se o MAIL FROM não for um endereço de email adequadamente formado. “Johnny @ hosting” seria rejeitado pela verificação não-fqdn e “[email protected]” seria rejeitado pelo teste de domínio do remetente desconhecido porque (pelo menos até o momento em que este artigo foi escrito) o domínio “hosting666.com” não existir.
Técnica # 3 – Bloqueio total de servidores de envio incorretos
Agora começamos a usar listas de bloqueio no Postfix, e são dois tipos: “RBLs” ou listas de bloqueio do lado esquerdo e RHSBLs ou listas de bloqueio do lado direito. RBLs listam endereços IP; Os RHSBLs listam domínios. Diferentes provedores de listas de bloqueio têm diferentes filosofias sobre como os endereços e domínios IP são listados. Alguns são próximos e transparentes; outros nem tanto. Alguns são claramente muito agressivos em suas metodologias de listagem e reconhecem plenamente que causarão alguns “falsos positivos” periodicamente. Alguns têm regras claras para excluir a lista; outros não fazem. Portanto, antes de escolher qualquer lista de bloqueio a ser usada, verifique se a cultura da lista negra está alinhada com a cultura da sensibilidade da sua empresa a falsos positivos. Eis o que fazemos (substitua primeiro o seu próprio código de conta de invaluement!):
zmprov mcf +zimbraMtaRestriction "reject_rbl_client b.barracudacentral.org" zmprov mcf +zimbraMtaRestriction "reject_rbl_client sip-sip24.<account_code>.invaluement.com" zmprov mcf +zimbraMtaRestriction "reject_rbl_client psbl.surriel.com" zmprov mcf +zimbraMtaRestriction "reject_rbl_client cbl.abuseat.org"
Incluídos entre as três listas de bloqueio gratuitas acima, usamos uma lista de bloqueio paga da avaliação. Passamos mais de nove meses testando muitos fornecedores de RBL, e a valorização chegou ao topo com base em sua capacidade de capturar fontes de spam muito cedo (antes de muitos dos principais). Eles têm uma taxa de falsos positivos muito baixos e seus preços são muito justos. Por fim, eles também fornecem verificação URIBL (mas chegaremos a isso daqui a pouco …)
Esses quatro RBLs juntos descobrimos fazer um trabalho fantástico de bloquear spam de endereços IP ruins conhecidos.
Técnica # 4 – Bloqueio definitivo de domínios de envio incorretos
Até o momento, usamos o Postscreen do Postfix e o próprio Postfix, com alguns suplementos de RBL, para bloquear spam de endereços IP ruins conhecidos. O próximo passo é usar o Postfix para bloquear spam de domínios inválidos conhecidos. Para isso, usamos RHSBLs de um de nossos fornecedores pagos de listas de bloqueio (novamente, lembre-se de usar o código da sua conta depois de se inscrever no serviço):
zmprov mcf +zimbraMtaRestriction "reject_rhsbl_client <account_code>.df.uribl.com" zmprov mcf +zimbraMtaRestriction "reject_rhsbl_reverse_client <account_code>.df.uribl.com" zmprov mcf +zimbraMtaRestriction "reject_rhsbl_sender <account_code>.df.uribl.com"
Técnica # 5 – Bloqueio definitivo de certos anexos
Por padrão, o Zimbra não bloqueia o que poderia ser anexos de email perigosos, como scripts do Visual Basic, edições do Registro do Windows etc. Portanto, precisamos bloquear esses anexos e informar ao administrador do sistema e ao destinatário que o fizemos. Por padrão, o Zimbra também bloqueia anexos criptografados, mas hoje em dia é mais comum que muitos usuários enviem arquivos protegidos por senha uns aos outros, portanto, em nossos sistemas, permitimos isso. Para efetuar essas alterações, executamos:
zmprov mcf +zimbraMtaBlockedExtension asd zmprov mcf +zimbraMtaBlockedExtension bat zmprov mcf +zimbraMtaBlockedExtension cab zmprov mcf +zimbraMtaBlockedExtension chm zmprov mcf +zimbraMtaBlockedExtension cmd zmprov mcf +zimbraMtaBlockedExtension com zmprov mcf +zimbraMtaBlockedExtension dll zmprov mcf +zimbraMtaBlockedExtension do zmprov mcf +zimbraMtaBlockedExtension exe zmprov mcf +zimbraMtaBlockedExtension hlp zmprov mcf +zimbraMtaBlockedExtension hta zmprov mcf +zimbraMtaBlockedExtension js zmprov mcf +zimbraMtaBlockedExtension jse zmprov mcf +zimbraMtaBlockedExtension lnk zmprov mcf +zimbraMtaBlockedExtension ocx zmprov mcf +zimbraMtaBlockedExtension pif zmprov mcf +zimbraMtaBlockedExtension reg zmprov mcf +zimbraMtaBlockedExtension scr zmprov mcf +zimbraMtaBlockedExtension shb zmprov mcf +zimbraMtaBlockedExtension shm zmprov mcf +zimbraMtaBlockedExtension shs zmprov mcf +zimbraMtaBlockedExtension vbe zmprov mcf +zimbraMtaBlockedExtension vbs zmprov mcf +zimbraMtaBlockedExtension vbx zmprov mcf +zimbraMtaBlockedExtension vxd zmprov mcf +zimbraMtaBlockedExtension wsf zmprov mcf +zimbraMtaBlockedExtension wsh zmprov mcf +zimbraMtaBlockedExtension xl zmprov mcf +zimbraMtaBlockedExtensionWarnAdmin TRUE zmprov mcf +zimbraMtaBlockedExtensionWarnRecipient TRUE zmprov mcf zimbraVirusBlockEncryptedArchive FALSE
Técnica # 6 – Verificação de conteúdo por email
Até agora, o Postfix / Postscreen fez todo o trabalho por meio de pesquisas de DNS de baixo custo, e todas as verificações foram binárias: o remetente está em uma lista negra? Sim? Desconecte a conexão ou não aceite o email. Para e-mails que ainda não foram rejeitados, o Postfix agora aceita o e-mail e o transmite ao Amavisd para processamento.
O Zimbra envia o Amavisd pré-configurado para processar e-mails através do ClamAV e SpamAssassin. O Amavisd pode ser configurado para processar emails por meio de serviços adicionais de terceiros (configuração que está além do escopo deste artigo). Depois de processados, os emails são (a) entregues ao destinatário (porque o email está limpo ou porque o email foi marcado como spam e colocado na pasta Lixo eletrônico do usuário), (b) colocado em quarentena ou (c) apenas descartado se a pontuação de spam do email estiver fora dos gráficos. Controlamos os limites de “descarte / spam / não spam” e o Assunto é precedido por e-mails com spam da seguinte forma:
zmprov mcf zimbraSpamKillPercent 75 zmprov mcf zimbraSpamTagPercent 20 zmprov mcf zimbraSpamSubjectTag "** CUIDADO! EMAIL SUSPEITO **"
Pelo menos no Ubuntu, uma instalação básica do sistema operacional não instala tantas ferramentas de extração de arquivos e bibliotecas Perl quanto o Amavis e o SpamAssassin gostariam. Para instalar algumas ferramentas adicionais que o Amavis pode usar para verificar o conteúdo de muitos arquivos não criptografados, executamos como usuário root o seguinte comando, que também instala o Pyzor e o Razor.
apt-get install libgeo-ip-perl libgeo-ipfree-perl libnet-patricia-perl lrzip lzop arj zoo rar unrar p7zip-full p7zip-rar tnef ripole nomarch arc pyzor razor
Pyzor e Razor são duas ferramentas anti-spam de origem popular, que são especialmente eficazes para bloquear aqueles “aluguéis de férias incríveis!” e-mails de spam igualmente abusivos com base na lista de assinaturas. Porém, depois de instalar os pacotes Pyzor e Razor acima, precisamos configurá-los executando:
su - zimbra pyzor --homedir /opt/zimbra/data/amavisd/.pyzor discover razor-admin -home=/opt/zimbra/data/amavisd/.razor -create razor-admin -home=/opt/zimbra/data/amavisd/.razor -discover razor-admin -home=/opt/zimbra/data/amavisd/.razor -register
Seguindo em frente, o arquivo de log do Zimbra “/var/log/zimbra.log” contém muitas informações boas sobre quais emails são aceitos / rejeitados, mas nenhum detalhe sobre os componentes da pontuação de spam de um email. Para obter esses detalhes (para que possamos ajustar as coisas mais tarde, se necessário, e explicar a um usuário insatisfeito por que um email foi marcado como spam), precisamos aumentar o nível de log do Amavis do padrão 1 para 2, da seguinte forma:
zmprov mcf zimbraAmavisLogLevel 2
Nem todas as configurações do Amavis são ajustáveis por meio das variáveis de configuração global do Zimbra. O Zimbra envia o arquivo de modelo de configuração do Amavis como “/opt/zimbra/conf/amavisd.conf.in”. Sempre que o Zimbra (ou apenas o Amavis) é reiniciado, o daemon de configuração zmconfigd do Zimbra lê esse arquivo de modelo e reescreve o arquivo amavisd.conf real antes de iniciar o serviço amavisd. Precisamos fazer algumas pequenas alterações …
Primeiro, o SpamAssassin ignora e-mails com entidades grandes, com a premissa de que os spammers não perderão tempo enviando e-mails grandes. Errado. Os spammers apenas protegem os emails com um monte de lixo invisível para evitar a verificação do conteúdo dos emails. Portanto, precisamos habilitar o SpamAssassin para verificar esses e-mails maiores.
A segunda coisa que precisamos fazer no amavisd.conf.in é a Daily Mail Report do Zimbra na lista de permissões, caso contrário, as listas de domínios incorretos bloqueados farão com que o Daily Mail Report seja marcado como spam.
Para efetuar essas duas alterações, conforme o usuário do zimbra edite “/opt/zimbra/conf/amavisd.conf.in” em dois lugares:
# LINHA ORIGINAL ABAIXO - ALTERAÇÕES NESTE ARQUIVO NÃO SOBREVIVERÃO A ATUALIZAÇÕES DE ZIMBRA # $sa_mail_body_size_limit = 512*1024; # don't waste time on SA if mail is larger $sa_mail_body_size_limit = 1024*1024; # don't waste time on SA if mail is larger
No nível inferior do arquivo, procure as seguintes linhas e insira uma pré-classificação para o email do remetente das notificações de vírus que você usa (exemplo em negrito):
‘returns.groups.yahoo.com’ => -3.0,
‘[email protected]’ => -3.0,
‘[email protected]’ => -10.0,
lc(‘[email protected]’) => -3.0,
lc(‘[email protected]’) => -5.0,# soft-blacklisting (positive score)
‘[email protected]’ => 3.0,
‘.example.net’ => 1.0,
Agora que o SpamAssassin será solicitado a processar muito mais e e-mails maiores, o Amavis precisa de um disco RAM para que o SpamAssassin faça esse trabalho. O provisionamento de disco RAM varia de distribuição para distribuição, mas no Ubuntu 16.04 com Zimbra 8.8.xe onde o UID e o GID do usuário do zimbra são 999, você pode adicionar a seguinte linha ao / etc / fstab para criar um disco RAM de 1 GB:
tmpfs /opt/zimbra/data/amavisd/tmp tmpfs defaults,noexec,nodev,nosuid,size=1024m,mode=750,uid=999,gid=999 0 0
ou na maioria dos MTAs do Zimbra, um disco de 1 GB de RAM será grande o suficiente. Mas se você tiver mais do que os processos amavis padrão em execução ou permitir anexos de tamanho grande, é possível que você precise de um disco RAM maior. Ralf Hildebrandt, autor do seminal Livro do Postfix, possui um blog que contém a fórmula de dimensionamento de disco RAM que você pode usar.
Observe que o Amavis não pode estar em execução se você deseja implementar isso sem uma reinicialização. Para fazer isso em um sistema Zimbra ao vivo, você faria:
(As root)
su – zimbra
zmamavisdctl stop
ls /opt/zimbra/data/amavisd/tmp <= This directory should be empty with Amavis stopped
exit <= To go back to being root
mount /opt/zimbra/data/amavisd/tmp
df -h <= To make sure the mount succeeded
chown -R zimbra.zimbra /opt/zimbra/data/amavisd/tmp
su – zimbra
zmamavisdctl start
postfix flush
ls /opt/zimbra/data/amavisd/tmp <= This directory should now have a few “amavis-2019…” directories
O projeto SpamAssassin atualiza periodicamente as centenas de regras que o SpamAssassin usa, mas o Zimbra, por padrão, não atualiza as regras do SpamAssassin, portanto, precisamos dizer ao Zimbra para atualizar o SpamAssassin periodicamente e reiniciar o SpamAssassin após uma atualização:
zmlocalconfig -e antispam_enable_rule_updates=true zmlocalconfig -e antispam_enable_restarts=true
ClamAV takes care of updating itself by default; Zimbra runs ClamAV’s companion “freshclam” service periodically to update ClamAV’s virus definitions. Unfortunately, the default update frequency is too infrequent for us, so to update the virus definitions every two hours we run:
zmprov mcf zimbraVirusDefinitionsUpdateFrequency 2h
Agora que o Amavis, o SpamAssasin e o ClamAV estão prontos para aumentar o zoom, precisamos ajustar o SpamAssassin para usar nossos fornecedores pagos da lista negra e evitar alguns falsos positivos comuns.
A avaliação e o uribl.com fornecem aos clientes arquivos de configuração do SpamAssassin que devem ser colocados em / opt / zimbra / data / spamassassin / localrules. Esses arquivos fazem com que o SpamAssasin execute os testes de verificação de conteúdo de email adicionais / alterados, suportados pelos provedores. Além disso, os arquivos que não são do Zimbra neste diretório são deixados intactos pelo instalador do Zimbra, portanto, o Zimbra Patches e as atualizações da versão do Zimbra não “quebram” as personalizações do SpamAssassin.
Precisamos fazer mais uma coisa para personalizar o SpamAssassin … Se você ainda não o fez, como o usuário zimbra executa:
nano ~/data/spamassassin/localrules/sauser.cf
Adicione as seguintes linhas ao arquivo sauser.cf acima:
score DOS_OUTLOOK_TO_MX 0 score TO_EQ_FM_DIRECT_MX 0 score RCVD_IN_PBL 0.1 score RDNS_NONE 0.1 score FREEMAIL_FORGED_REPLYTO 4.0 score RCVD_IN_RP_RNBL 4.0 score FROM_FMBLA_NEWDOM 2.5 score FROM_NEWDOM_BTC 3.0 score __RCVD_IN_DNSWL 0.001 use_bayes 1 score BAYES_00 0 score BAYES_05 0 internal_networks 10.7.57.15/32 internal_networks 10.7.57.16/32 internal_networks 10.7.57.17/32 internal_networks 10.7.57.18/32 internal_networks 10.7.57.19/32 internal_networks 10.7.57.129/32 internal_networks 10.7.57.29/32 internal_networks 10.8.0.101/32 use_razor2 1 use_pyzor 1 pyzor_path /usr/bin/pyzor pyzor_timeout 10 score RAZOR2_CHECK 2.0 score PYZOR_CHECK 2.0
As três primeiras linhas que contêm os testes SpamAssassin “_MX” e “_PBL” têm pontuações padrão realmente altas. Esses testes serão acionados quando um usuário do Zimbra Connector for Outlook enviar emails, portanto, precisamos ajustar a pontuação desses testes para zero. Caso contrário, os emails enviados do Outlook usando o Outlook Connector geralmente serão sinalizados como spam. O teste PBL, no entanto, é usado por outros testes, portanto, (veja abaixo), definimos isso como um valor pequeno.
O próximo teste, para DNS reverso, também vem com uma pontuação alta padrão, e uma rápida pesquisa no Google produzirá muitas postagens reclamando da alta taxa de falsos positivos desse teste. Não podemos definir essa pontuação no RDNS_NONE como zero, porque vários outros testes úteis do SpamAssassin dependem do RDNS_NONE. Porém, podemos definir que a pontuação desse teste seja realmente pequena, de modo que não resultará em falsos positivos.
No teste do freemail forjado, atribuímos uma pontuação mais alta do que a pontuação padrão do SpamAssassin, porque vemos que os spammers enviarão lixo eletrônico de um servidor de email “real”, mas forjarão a resposta para apontar para uma caixa de correio do gmail, hotmail etc. Isso é para que o remetente de spam possa receber respostas para uma conta de email que não era a fonte do spam.
O teste RCVD_IN_RP_RNBL consulta uma lista negra mantida pelo ReturnPath, que centra-se na reputação principalmente positiva dos remetentes. Você precisa trabalhar muito para entrar na lista negra e, como tal, possui uma taxa de falsos positivos muito baixa, para aumentar a pontuação padrão que o SpamAssassin fornece. Mais informações em https://senderscore.org/.
Os próximos dois testes “NEWDOM” adicionam pontos para e-mails enviados de novos domínios. Os spammers geralmente registram novos domínios e enviam spam até as listas negras do lado direito começarem a colocá-los na lista negra. Esses dois testes cobrem essa lacuna, mas podem causar falsos positivos para o envio de emails legítimos de domínios registrados nos últimos dias. Porém, considerando que geralmente leva um dia ou dois para que usuários legítimos configurem seus emails após registrar seu domínio, consideramos extremamente baixo o risco de falsos positivos nesses testes.
O último teste, “__RCVD_IN_DNSWL”, tem reputação de gerar falsos positivos, mas pelo menos dois outros testes dependem dele, por isso atribuímos a esse teste a menor pontuação possível. (Se atribuíssemos uma pontuação zero, os outros testes dependentes desse teste não aconteceriam.)
O SpamAssassin também vem com um mecanismo de filtragem Bayes. Bayes funciona muito bem para alguns, mas não para outros. No meu caso, descobri que muitos e-mails semelhantes a spam NÃO seriam sinalizados como spam, porque os testes de presunto de Bayes adicionariam alguns pontos negativos à pontuação geral do e-mail, impedindo que o e-mail problemático fosse sinalizado como spam quando realmente deveria estar. Eu costumava desativar o filtro Bayes definindo “use_bayes” como zero para corrigir isso. Mas agora o que faço é remover as pontuações negativas de quando Bayes acha que o email é incorreto.
As próximas linhas são os endereços IP dos servidores em um farm de hospedagem Zimbra com vários servidores, e não apenas os servidores MTA. A documentação sobre isso não combina muito com a realidade, e o parâmetro “internal_networks” não é uma lista branca, mas, na minha experiência, você terá menos problemas se listar todos os seus servidores Zimbra aqui.
Os últimos conjuntos de linhas dizem ao SpamAssassin para usar Pyzor e Razor e substituir as pontuações padrão de Pyzor e Razor por pontuações um pouco mais altas.
Recapitular
Então, o que conseguimos? Nós:
Configurou o Postscreen do Postfix e o próprio Postfix para bloquear uma grande porcentagem de e-mails indesejados de uma maneira que não sobrecarrega o servidor Zimbra, porque fazemos isso usando nada além de uma série de pesquisas de DNS.
Bloqueou anexos perigosos conhecidos e configurou o Zimbra para que o destinatário e o Administrador do sistema saibam que o fizemos.
Ajustado os limites de pontuação de spam para valores que bloquearão mais spam sem aumentar os falsos positivos.
Permitiu que o Amavis nos desse informações mais acionáveis, aumentando seu nível de log.
Desempenho aprimorado implantando um disco RAM.
Precisão aprimorada por:
Habilitando o SpamAssassin a se atualizar.
Habilitando o ClamAV a atualizar suas definições de vírus com mais frequência.
Personalizando as pontuações do SpamAssassin para eliminar falsos positivos especificamente para usuários do Zimbra Connector for Outlook e para todos os usuários em geral.
Personalizando as pontuações do SpamAssassin para melhorar a detecção de spam em geral.
Gastou algo entre US $ 1 e US $ 4 por caixa de correio por ano para obter o benefício de dois muito bons fornecedores comerciais da lista negra.
Fizemos nossos usuários muito felizes e reduzimos a frustração para os administradores de email!
O Zimbra também permite e suporta personalizações adicionais para bloquear o spam que as técnicas acima podem, por si só, não capturar, mas que podem ser específicas ao seu ambiente. Um exemplo disso são os endereços de email aninhados destinados a falsificar endereços de email legítimos.
Espero que ajude,
Robson Romeiro.