Email Security Gateway. Раздел «Безопасность» - «Защита от спама»

Управление разделом «Защита от спама»

 

Раздел «Защита от спама» в меню «Безопасность» содержит параметры, которые помогут Вам предотвратить спам или нежелательную почту.

Начальные настройки приведены к оптимальной конфигурации для большинства клиентов, но если требуется «ужесточить» какие-либо проверки в индивидуальном порядке, то в панели администрирования антиспама необходимо выбрать какую из защит требуется скорректировать и выставить переключатель в режим «Использовать для этого домена заданные ниже собственные настройки».

Если для организации заведено более одного домена (поз.1), то есть возможность задать индивидуальные настройки для каждого домена отдельно или оставить настройки по умолчанию. Если заданы индивидуальные настройки, то есть возможность копировать их с одного домена на другие (поз.2).

Рейтинг сообщений 

В данном разделе указывается логика обработки писем по суммарному рейтингу сообщений. Сообщению присваивается определенный рейтинг на каждом этапе проверки через определенный модуль безопасности. И когда сообщение пройдет через все этапы этих проверок, оно будет иметь определенный суммарный рейтинг. И в зависимости от уровня этого суммарного рейтинга будет выносится решение в соответствии с настройками в этом разделе, при условии, что сообщение не было отклонено или помещено в карантин на предыдущих этапах проверок.

Используйте параметры на этой странице, чтобы указать действия, которые будут выполняться, когда оценка сообщения превысит определенные пороговые значения. Вы можете установить пороговые значения для пометки сообщений как спама, помещения их в карантин или отклонения во время сеанса SMTP. Вы также можете настроить SecurityGateway на исключение сообщений из ограничений оценки сообщений, если они получены от отправителей из разрешенного списка, аутентифицированных сеансов или являются исходящими сообщениями. Параметры оценки сообщений можно устанавливать на уровне определенных доменов.

Доступные опции:

Включить действия на основании финального рейтинга сообщения

По умолчанию SecurityGateway присваивает каждому сообщению оценку, а затем предпринимает действия на основе этой оценки в соответствии с пороговыми значениями оценки, указанными ниже. Снимите этот флажок, если вы не хотите основывать какие-либо действия на оценке сообщения.

Отклонять письма со спам-рейтингом больше или равным [xx]

По умолчанию любое сообщение с итоговой оценкой 12.0 или выше будет отклонено во время сеанса SMTP. Вы можете изменить это значение, если захотите, или можете полностью отключить опцию, если не хотите, чтобы какое-либо сообщение отклонялось из-за его оценки.

Помещать в карантин письма со спам-рейтингом больше или равным [xx]

Сообщения с оценкой 5.0 или выше будут помещены в карантин по умолчанию. Это значение можно изменить, или вы можете полностью отключить эту опцию, если вы не хотите помещать сообщения в карантин на основе их оценок. Если вы также используете опцию «Отклонять сообщения с оценкой, большей или равной [xx]» выше, то сообщения с оценкой между этим порогом карантина и этим порогом отклонения будут помещены в карантин. Сообщения с оценкой, равной или превышающей порог отклонения, будут отклонены.

Вставить тег темы в сообщения с рейтингом не менее [xx]

Включите эту опцию, если вы хотите добавить текст к теме сообщения, когда его окончательная оценка больше или равна этому значению. Значение по умолчанию — 5,0.

 

Исключения

Исключить сообщения от отправителей из разрешенного списка

Сообщения по умолчанию исключаются из ограничений рейтинга сообщения, если они от отправителей из разрешенного списка. Снимите этот флажок, если вы не хотите исключать отправителей из разрешенного списка из рейтинга сообщения.

Исключить сообщения из авторизованных сессий

По умолчанию любое сообщение, отправляемое через аутентифицированный сеанс SMTP, исключается из ограничений рейтинга сообщения. Снимите этот флажок, если вы не хотите исключать эти сообщения.

Исключить сообщения с почтовых серверов домена

Установите этот флажок, если вы хотите исключить из ограничений рейтинга сообщения все сообщения, приходящие с почтовых серверов вашего домена.

Outbreak Protection

Модуль «Outbreak Protection» обнаруживает и классифицирует все типы типовых угроз, связанных с электронной почтой, в реальном времени. Этот модуль извлекает и анализирует релевантные образцы, которые затем используются для идентификации массовых эпидемий почтовых вирусов. Результаты анализа позволяют выявить эпидемии на стадии зарождения ("Zero Hour") - гораздо быстрее, чем традиционные фильтры и решения на основе сигнатур.

Доступны следующие настройки.

Можно совсем выключить защиту от спама через чек-бокс «Включить защиту от спама в Outbreak Protection»

Если Outbreak Protection считает это сообщение спамом:

Выбранный ниже параметр определяет действие, которое будет предпринято, если Outbreak Protection определит сообщение как спам.

• не принимать это письмо

Выберите эту опцию, если вы хотите блокировать сообщения во время процесса SMTP, когда Outbreak Protection подтверждает, что они являются частью вспышки спама. Эти сообщения не будут помещены в карантин или помечены как спам и доставлены предполагаемым получателям — они будут отклонены сервером.

• поместить это письмо в карантин

Если выбран этот параметр, функция Outbreak Protection будет помещать в карантин сообщения, которые она определит как спам.

• принять сообщение

По умолчанию Outbreak Protection принимает сообщение, которое он определяет как спам, и корректирует оценку сообщения в соответствии с опцией « ...добавить [XX] баллов к рейтингу сообщения » ниже.

• добавить к теме тег [SPAM]

Эта опция отключена по умолчанию. Если вы включите эту опцию, то она добавит текст в начало заголовка темы сообщения, когда Outbreak Protection определит, что это спам. Добавляемый по умолчанию текст: "*** SPAM ***", но вы можете изменить этот текст, если захотите.

В блоках «Если Outbreak Protection считает это сообщение потенциальным спамом» и «Если Outbreak Protection считает это сообщение ненужным (рассылкой)» представлены те же настройки что и в случае выше, но для ситуаций, когда Outbreak Protection классифицирует сообщения уже не как спам, а как потенциальный спам или как массовое сообщение (рассылка). В каждом из этих трех блоков можно выставить свои значения баллов, которые будут добавлены к общему спам рейтингу сообщения.

Общий спам рейтинг определяется значениями на вкладке «Рейтинг сообщений».

 Антивирус Outbreak Protection — это компонент антивируса MDaemon с встроенной опцией защиты от эпидемий. Основная функция этого модуля заключается в проактивной защите системы от потенциальных угроз, которые могут возникнуть в результате распространения вредоносного ПО. Outbreak Protection так же анализирует вложения на наличие нестандартных или подозрительных сигнатур, которые могут указывать на новые или модифицированные вредоносные программы нулевого дня. Это позволяет системе обнаруживать угрозы, которые еще не были добавлены в базы данных антивируса.

Перед включением данной опции рекомендуем учесть особенности:

- эта настройка будет работать на глобальном уровне Вашего домена и будет отправлять в карантин сообщения с подозрением на изменения, те потенциально валидное сообщение так же может быть направлено в карантин

- на пользовательском уровне не поддерживает исключения белых списков.

Особенности модуля «Outbreak Protection»:

1. Даже если в данных блоках будет произведена настройка на прием сообщения (поз. 1), а не на его отклонение или помещение в карантин, оно все равно может быть отклонено или помещено в карантин, если его оценка сообщения окажется достаточно высокой, в зависимости от того, как были настроены другие параметры безопасностии параметры на странице «Рейтинг сообщений».
2. В русской локализации интерфейса пункт «Если Outbreak Protection считает это сообщение ненужным» (английский вариант – «If Outbreak Protection determines that a message is bulk») правильнее переводить как «Если Outbreak Protection определяет, что сообщение является массовым (рассылкой)» (поз. 2).
3. Если в разных модулях в опциях с добавлением текста к теме изменить значения тега по умолчанию «SPAM», которое помещается в начало заголовка «Тема», то будут добавлены сразу все измененные значения. Например, все теги «SPAM, Outbreak, Virus» будут добавлены в начало темы сообщения.

 Эвристика и Байесовский фильтр

SecurityGateway для Почтовых Серверов использует высокопроизводительную, адаптированную к специфическим нуждам версию популярного открытого ПО SpamAssassin™ в основе которого лежат методы эвристического анализа и Байесовой классификации. В ходе проверки этот защитный механизм рассчитывает спам-рейтинг каждого сообщения, на основании его содержания.

Доступны следующие настройки.

Использовать правила эвристики и Байесовскую классификацию для анализа сообщений (поз.1)

По умолчанию эта опция включена, что означает, что сообщения будут проходить через эвристические правила и байесовскую систему классификации и им будет присвоена оценка SpamAssassin на основе результатов. Снимите этот флажок, если вы хотите совсем отключить эту систему.

Добавить оценку, которую вернул SpamAssassin, к рейтингу сообщения (поз.2)

При использовании опций оценки сообщений добавление оценки SpamAssassin к окончательной оценке сообщения может дать вам еще один уровень защиты от спама и повысить вероятность обнаружения спама.

Отклонять письма с рейтингом SpamAssassin больше или равным [xx] (поз.3)

Когда оценка SpamAssassin для сообщения больше или равна этому значению, сообщение будет отклонено в этот момент сеанса SMTP, а не будет помещено в карантин или продолжено обрабатываться с помощью оставшихся параметров защиты от спама и оценки сообщений.

Помещать в карантин письма с рейтингом SpamAssassin больше или равным [xx] (поз.4)

Если вы используете эту опцию вместе с опцией «Отклонять письма с рейтингом SpamAssassin больше или равным [xx]» из поз.3, вы всегда должны устанавливать для опции из поз.4 значение ниже, чем для опции из поз.1.

 

Исключения

Исключить сообщения размером более [xx] MB

Укажите здесь желаемое значение (в мегабайтах), если вы хотите исключить более крупные сообщения из сканирования эвристикой и байесовской системой. Большие сообщения редко считаются спамом; исключение их из сканирования может сэкономить много ресурсов.

Исключить сообщения от отправителей из разрешенного списка

Сообщения по умолчанию исключаются из ограничений рейтинга сообщения, если они от отправителей из разрешенного списка. Снимите этот флажок, если вы не хотите исключать отправителей из разрешенного списка из рейтинга сообщения.

Исключить сообщения из авторизованных сессий

По умолчанию любое сообщение, отправляемое через аутентифицированный сеанс SMTP, исключается из ограничений рейтинга сообщения. Снимите этот флажок, если вы не хотите исключать эти сообщения.

Исключить сообщения с почтовых серверов домена

Установите этот флажок, если вы хотите исключить из ограничений рейтинга сообщения все сообщения, приходящие с почтовых серверов вашего домена.

Запрещенные списки DNS (DNSBL) 

Запрещенные списки DNS (DNSBL) — это службы, которые предоставляют собственную оценку репутации определенного IP-адреса. Механизм DNSBL работает, опрашивая каждую приведенную ниже службу и проверяя, был ли IP-адрес входящего SMTP-соединения занесен в запрещенный список за распространение спама.

Доступны следующие настройки.

Включить DNSBL-запросы

Эта опция используется для проверки входящей почты по спискам DNS-блокировок. SecurityGateway запросит IP-адрес сервера-отправителя у каждого из перечисленных хостов DNSBL. Если хост отвечает на запрос положительным результатом, указывающим на то, что IP-адрес занесен в черный список, сообщение будет отклонено, помещено в карантин или принято и помечено в зависимости от указанных ниже опций.

Выбранный ниже параметр определяет действие, которое будет предпринято, если IP-адрес сервера-отправителя окажется в списках DNSBL.

• не принимать это письмо

Если вы выберете эту опцию, то входящие сообщения с заблокированных IP-адресов будут отклоняться во время сеанса SMTP. Эти сообщения не будут помещены в карантин или помечены как спам и доставлены предполагаемым получателям — они будут отклонены сервером.

• поместить это письмо в карантин

Выберите этот параметр, если вы хотите помещать в карантин сообщения с IP-адресов, занесенных в черный список DNS.

• принять сообщение

По умолчанию сообщения с адресов, занесенных в черный список, будут приняты и затем могут быть помечены как спам, иметь тег, добавленный к теме, и/или иметь скорректированные оценки сообщений. Использование этой опции может позволить почтовым серверам или пользователям самостоятельно фильтровать сообщения на основе результатов DNSBL-запросов SecurityGateway.

• добавить к теме тег [SPAM]

Эта опция отключена по умолчанию. Если вы включите эту опцию, то она добавит текст в начало заголовка темы сообщения, когда сообщение приходит с заблокированного IP-адреса. Добавляемый по умолчанию текст: "*** SPAM ***", но вы можете изменить этот текст, если захотите.

• добавить оценку, возвращаемую механизмом DNSBL, к оценке сообщения 

Особенности модуля «Запрещенные списки DNS (DNSBL)»

1. Даже если в данных блоках будет произведена настройка на прием сообщения, а не на его отклонение или помещение в карантин, оно все равно может быть отклонено или помещено в карантин, если его оценка сообщения окажется достаточно высокой, в зависимости от того, как были настроены другие параметры безопасностии параметры на странице «Рейтинг сообщений».
2. Если в разных модулях в опциях с добавлением текста к теме изменить значения тега по умолчанию «SPAM», которое помещается в начало заголовка «Тема», то будут добавлены сразу все измененные значения. Например, все теги «SPAM, DNSBL, Virus» будут добавлены в начало темы сообщения.

Исключения

Исключить сообщения от отправителей из разрешенного списка

По умолчанию сообщения исключаются из запросов DNSBL, если они исходят от отправителя из разрешенного списка. Отключите эту опцию, если вы хотите запрашивать хосты DNSBL, даже если отправитель находится в разрешенном списке.

Исключить сообщения из авторизованных сессий

Используйте эту опцию, если вы хотите исключить сообщение из запросов DNSBL, когда сеанс, в который оно поступает, был аутентифицирован.

Исключить сообщения с почтовых серверов домена

Сообщения, поступающие с почтовых серверов домена, всегда исключаются из запросов хоста DNSBL.

 

Расширенные

Проверять заголовки "Received:" в полученных сообщениях

По умолчанию SecurityGateway запрашивает только DNSBL Hosts для IP-адреса хоста, который фактически подключен к нему и пытается доставить сообщение. Отметьте этот параметр, если вы хотите выполнять DNSBL-запросы для IP-адресов, найденных также в заголовках Received сообщения.

Проверять только столько заголовков "Received:" [xx] (Проверить только указанное количество заголовков)

Если вы настроили SecurityGateway на проверку заголовков Received для заблокированных IP-адресов, введите значение в эту опцию, если вы хотите ограничить количество проверяемых заголовков. Используйте «0», если вы хотите проверить все из них.

Пропускать такое количество самых новых заголовков "Received:" [xx] (Пропускать указанное количество самых новых заголовков)

Если вы настроили SecurityGateway на проверку заголовков Received на предмет заблокированных IP-адресов, введите значение в эту опцию, если вы хотите пропустить определенное количество последних заголовков. В зависимости от конфигурации вашей конкретной почтовой системы, иногда последние заголовки будут содержать IP-адреса доверенных хостов или других компьютеров в вашей сети, которые не нужно проверять по каким-либо заблокированным спискам. Используйте "0" в этой опции, если вы не хотите пропускать ни один из последних заголовков.

Пропускать такое количество самых старых заголовков "Received:" [xx] (Пропускать указанное количество самых старых заголовков)

Если вы настроили SecurityGateway на проверку заголовков Received на предмет заблокированных IP-адресов, введите значение в эту опцию, если вы хотите пропустить определенное количество самых старых заголовков. Часто самые старые заголовки не содержат никаких соответствующих адресов для проверки, поскольку они добавляются внутренним почтовым сервером отправителя или подделываются, чтобы выглядеть законными. Используйте «0» в этой опции, если вы не хотите пропускать какие-либо из самых старых недавних заголовков.

Запрещенные списки URI (URIBL) 

Списки блокировки URI (URIBL) — это черные списки блокировки в режиме реального времени, разработанные для использования с целью блокировки или маркировки спама на основе унифицированных идентификаторов ресурсов (обычно доменных имен или веб-сайтов), найденных в теле сообщения. Также известные как списки блокировки спама URI в режиме реального времени (SURBL), URIBL отличаются от списков блокировки DNS тем, что они не используются для идентификации спама на основе содержимого заголовков сообщений или подключаемого IP-адреса. Вместо этого URIBL блокируют спам на основе содержимого сообщения.

Доступны следующие настройки.

 

Включить URIBL-запросы

По умолчанию SecurityGateway будет выполнять запросы URIBL по сообщениям. Снимите этот флажок, если вы не хотите выполнять эти запросы.

Если сообщение содержит URI из списка:

• не принимать это письмо

Выберите этот вариант, если вы хотите отклонить сообщение во время процесса SMTP, если оно содержит заблокированный URI. Это не рекомендуемый вариант в большинстве ситуаций, поскольку простая ссылка на заблокированный URI в теле сообщения не гарантирует, что само сообщение является спамом.

• поместить это письмо в карантин

Выберите этот параметр, если вы хотите поместить сообщение в карантин, если в нем обнаружен занесенный в черный список URI.

• принять сообщение

Выберите этот параметр, если вы хотите принять сообщение, если оно содержит заблокированный URI, но хотите пометить его как спам, добавить тег в строку темы и/или настроить оценку сообщения. Использование этого параметра позволяет почтовым серверам или получателям фильтровать сообщение на основе результатов запросов URIBL SecurityGateway.

• добавить к теме тег [SPAM]

Включите эту опцию и укажите текст, если вы хотите добавить что-то в начало заголовка «Тема» сообщения, если сообщение содержит заблокированный URI. Если включено, текст по умолчанию, добавляемый в тему, будет: «*** СПАМ ***».

• добавить оценку, возвращаемую механизмом DNSBL, к оценке сообщения

По умолчанию, когда запрос URIBL указывает, что сообщение содержит заблокированный URI, оценка, связанная с запрошенным хостом URIBL, будет добавлена ​​к оценке сообщения. Снимите этот флажок, если вы не хотите корректировать оценку сообщения на основе результатов запросов URIBL.

 Особенности модуля «Запрещенные списки URI (URIBL)»

1. Даже если в данных блоках будет произведена настройка на прием сообщения, а не на его отклонение или помещение в карантин, оно все равно может быть отклонено или помещено в карантин, если его оценка сообщения окажется достаточно высокой, в зависимости от того, как были настроены другие параметры безопасностии параметры на странице «Рейтинг сообщений».
2. Если в разных модулях в опциях с добавлением текста к теме изменить значения тега по умолчанию «SPAM», которое помещается в начало заголовка «Тема», то будут добавлены сразу все измененные значения. Например, все теги «SPAM, URIBL, Virus» будут добавлены в начало темы сообщения.

Исключения

Исключить сообщения от отправителей из разрешенного списка

По умолчанию сообщения исключаются из запросов URIBL, если они исходят от отправителя из разрешенного списка. Отключите эту опцию, если вы хотите запрашивать хосты URIBL, даже если отправитель находится в разрешенном списке.

Исключить сообщения из авторизованных сессий

Отметьте эту опцию, если вы хотите исключить сообщение из запросов URIBL, когда сеанс SMTP, на который оно поступает, был аутентифицирован. По умолчанию эта опция отключена.

Исключить сообщения с почтовых серверов домена

По умолчанию запросы URIBL выполняются как для входящих сообщений, так и для сообщений с почтовых серверов вашего домена. Установите этот флажок, если вы хотите исключить из запросов URIBL сообщения, поступающие с почтовых серверов вашего домена.

Грейлистинг 

Работа модуля Грейлистинга заключается в информировании почтового сервера отправителя о возникновении временной ошибки, чтобы он повторил попытку отправки позже. Большинство инструментов для рассылки спама не повторяют попытку отправки, в отличие от легитимных почтовых серверов. Грейлистинг является очень неоднозначным оружием в борьбе против спама. Невзирая ни на что, он может отложить доставку даже самых важных сообщений.

 Включить грейлистинг

Нажмите эту опцию, чтобы включить функцию Greylisting. По умолчанию Greylisting отключен.

Отложить начальную попытку доставки с помощью временной ошибки для [xx] мин

Используйте эту опцию для указания количества минут, в течение которых каждая комбинация сервер/отправитель/получатель (т. е. «триплет») будет занесена в серый список после первоначальной попытки доставки. В течение этого времени любые последующие попытки доставки тем же триплетом будут отклоняться с временным кодом ошибки. По истечении указанного количества минут никакие дальнейшие задержки внесения в серый список не будут применяться к этому триплету, если только не истечет срок действия его записи в базе данных серого списка. Значение по умолчанию для этой опции составляет 15 минут.

Срок действия неиспользуемых записей в БД грейлистинга истекает после [xx] день/дней

После того, как триплет, внесенный в серый список, прошел начальный период серого списка, никакие дальнейшие задержки доставки не будут применяться к нему, если только в течение этого количества дней не будут отправлены дальнейшие сообщения, соответствующие этой записи триплета. Например, если это значение установлено на 10 дней, то до тех пор, пока по крайней мере одно сообщение, соответствующее той же комбинации сервер/отправитель/получатель, будет поступать каждые 10 дней, то никаких задержек не будет. Однако если за это время не будет отправлено ни одного сообщения, то запись истечет, и триплет должен будет пройти еще один период серого списка, прежде чем он снова сможет быть освобожден от дальнейших задержек. Время по умолчанию, в течение которого запись должна не использоваться до истечения срока ее действия, составляет 10 дней.

Игнорировать IP-адрес при грейлистинге (использовать только значения MAIL & RCPT)

Установите этот флажок, если не хотите использовать IP-адрес отправляющего сервера в качестве одного из параметров серого списка. Это решит потенциальную проблему, которая может быть вызвана пулами серверов, но снизит эффективность серого списка. По умолчанию эта опция отключена.

Игнорировать IP-адрес для соединений, прошедших SPF-обработку

При использовании этой опции только отправитель и получатель будут использоваться для серого списка, когда отправляющий сервер проходит обработку SPF, IP-адрес будет проигнорирован. Эта опция включена по умолчанию.

Исключения

Исключить сообщения от отправителей из разрешенного списка

Сообщения от отправителей из разрешенного списка исключаются из серого списка по умолчанию — доставка этих сообщений не будет задерживаться. Снимите этот флажок, если вы не хотите исключать отправителей из разрешенного списка для серого списка.

Исключить сообщения из авторизованных сессий

По умолчанию сообщения, приходящие через аутентифицированные сеансы, исключаются из серого списка. Снимите этот флажок, если вы не хотите исключать сообщения из серого списка, когда сеанс аутентифицирован.

Исключить сообщения с почтовых серверов домена

Сообщения, поступающие с почтовых серверов вашего домена, всегда исключаются из серого списка.