Symantec Messaging Gateway (SMG) fornisce una serie di funzionalità di filtraggio dei messaggi in base alla reputazione per identificare e limitare l'accettazione di messaggi provenienti da fonti rischiose o per escludere i mittenti conosciuti da alcuni servizi di filtraggio dei messaggi.
Le principali categorie di filtraggio della reputazione sono:
Se non diversamente specificato, il filtro di reputazione viene applicato solo al traffico delle e-mail in entrata.
L'identificazione dei mittenti rischiosi si basa su una serie di caratteristiche, tra cui elenchi statici locali di domini e indirizzi e-mail dei mittenti, elenchi locali di indirizzi IP e reti rischiosi, la lista nera dei mittenti rischiosi globali di Symantec, elenchi opzionali di mittenti rischiosi creati da terzi o liste nere, rilevamento di attacchi di rilevazione delle directory e rilevamento di attacchi di virus.
L'elenco locale di domini di mittenti rischiosi consente ai clienti di configurare elenchi di domini e di indirizzi e-mail di mittenti che non sono autorizzati a consegnare messaggi a SMG. L'elenco locale di domini di mittenti rischiosi può essere configurato con qualsiasi combinazione di singoli indirizzi e-mail come mittente@dominio-rischioso.net o interi domini come dominio-rischioso.net. È possibile utilizzare i caratteri jolly nella parte locale degli indirizzi e-mail, ma non nella parte relativa al dominio. Ad esempio:
Esempio | Esempi di corrispondenze |
---|---|
esempio.com | john@esempio.com, paul@esempio.com, george@esempio.com, ringo@esempio.com |
*.esempio.com | server1.esempio.com, server2.esempio.com (ma non esempio.com) |
esempio*.com | esempio1.com, esempio2.com |
yoko@esempio.com | yoko@esempio.com |
john*@esempio.net | john@esempio.net, john_lennon@esempio.net |
jo??@esempio.org | john@esempio.org, josh@esempio.org |
Le voci dell'elenco locale di domini di mittenti rischiosi vengono confrontate sia con il mittente busta SMTP che con l'intestazione Da: del messaggio.
L'azione predefinita per i messaggi conformi all'elenco locale di domini di mittenti rischiosi consiste nell'eliminare il messaggio.
SMG può intervenire sui messaggi in base all'indirizzo IP di connessione o logico contenuto nell'elenco locale di indirizzi IP di mittenti rischiosi. L'elenco può contenere indirizzi IPv4, indirizzi IPv6 e blocchi di rete in notazione CIDR. Sono accettate anche le maschere di rete, ma le voci contenenti maschere di rete per insiemi non contigui di indirizzi (ad esempio 69.84.35.0/255.0.255.0) vengono rifiutate.
Indirizzi IP logici e IP di connessione
L'IP di connessione è definito come l'indirizzo IP remoto della connessione di rete SMTP. Nel caso in cui l'indirizzo IP di connessione sia configurato come Host di posta interno tramite la tabella Amministrazione > Configurazione > Host > Host di posta interno, il messaggio viene accettato dal firewall e il primo indirizzo IP contenuto nell'intestazione Ricevuto che non è un host di posta interno viene considerato l'indirizzo IP logico in quanto è il primo indirizzo IP del percorso che non è interno alla rete SMG. Per impostazione predefinita, tutte le reti IP private sono considerate interne.
Il comportamento predefinito per l'elenco locale di indirizzi IP di mittenti rischiosi è di rifiutare la connessione di rete per gli indirizzi IP di connessione presenti nell'elenco e di eliminare il messaggio per gli indirizzi IP logici presenti nell'elenco.
È possibile configurare SMG per consultare elenchi di mittenti rischiosi in base a DNS creati da terze parti. In genere si sconsiglia di farlo, a meno che non sia stata verificata la qualità dell'elenco di terzi. Symantec non è in grado di risolvere i falsi positivi derivanti dall'uso di elenchi di terze parti.
Per configurare un elenco basato su DNS di terzi, aggiungere il dominio dell'elenco all'elenco di mittenti rischiosi di terze parti, ad esempio rbl.esempio.com.
Il comportamento predefinito per l'elenco di mittenti rischiosi di terzi è di rifiutare la connessione SMTP.
Symantec mantiene un elenco verificato di reputazione DNS che si basa sui dati di reputazione generati dalla Symantec Global Intelligence Network. Questo elenco non può essere modificato ma è possibile abilitarlo o disabilitarlo e impostare l'azione da intraprendere.
L'azione predefinita per l'elenco di mittenti rischiosi globali di Symantec è di rifiutare la connessione SMTP.
Se si ritiene che la l'elenco di mittenti rischiosi globali di Symantec generi falsi positivi, inviare l'indirizzo IP di connessione della connessione rifiutata a http://ipremoval.sms.symantec.com/lookup/ per l'esame. La cronologia di invio dell'indirizzo IP viene rivista e il suo stato potrebbe essere cambiato.
Se è stata configurata la funzionalità di convalida del destinatario, la funzionalità DHA (Directory Harvest Attack, Attacco di rilevazione delle directory) può differire temporaneamente le connessioni SMTP da indirizzi IP che tentano la consegna a troppi destinatari non validi in un periodo di tempo configurabile.
Se abilitata, un indirizzo IP di connessione che tenta la consegna a troppi destinatari non validi viene messo "in parcheggio" e tutti i tentativi di connessione di quell'indirizzo IP vengono posticipati di 60 minuti.
L'azione predefinita per DHA è di differire temporaneamente le connessioni. Questa funzionalità non è attivata per impostazione predefinita.
Se un indirizzo IP di connessione invia troppi messaggi infettati da virus in un tempo troppo breve, l'indirizzo IP viene posto in un'area di sosta simile a quella della funzionalità DHA e le connessioni da quell'indirizzo IP vengono posticipate di tre ore.
L'azione predefinita per gli attacchi virus è di differire temporaneamente le connessioni. Questa funzionalità non è attivata per impostazione predefinita.
La funzionalità di classificazione delle connessioni consente a SMG di generare una reputazione locale per gli indirizzi IP di connessione in base alla cronologia e alla qualità dei messaggi inviati da quell'indirizzo IP. Un indirizzo IP che invia troppi messaggi di spam viene spostato in classi di connessione con limiti sempre più restrittivi sul numero di connessioni e messaggi accettati da quell'indirizzo. Allo stesso modo, gli indirizzi IP che inviano pochi o nessun messaggio di spam vengono spostati in classi di connessione sempre più permissive e i loro limiti di connessione e di messaggi vengono aumentati rispetto ai valori predefiniti.
La reputazione degli indirizzi IP si accumula in modo indipendente su ogni rilevatore SMG. La reputazione non viene condivisa tra i rilevatori.
La classificazione delle connessioni è una funzionalità complessa sia nel funzionamento che nella configurazione e non è consigliabile modificare le classi di connessione senza consultare il Supporto clienti Symantec. La configurazione predefinita delle classi di connessione è stata studiata per fornire i massimi benefici, limitando al contempo l'accettazione dei messaggi provenienti da origini di bassa qualità.
È possibile reimpostare la reputazione locale o la classe di connessione di un indirizzo IP nella pagina Reputazione > Ricerca reputazione IP.
SMG considera legittima la posta proveniente dai mittenti validi e non considera spam i messaggi provenienti da tali origini. I messaggi vengono ancora analizzati per individuare eventuali violazioni dei contenuti, malware e minacce.
Questo elenco consente agli amministratori di configurare elenchi di domini e indirizzi e-mail che non devono essere considerati spam e newsletter. Le voci dell'elenco locale di domini di mittenti validi sono formattate allo stesso modo delle voci dell'elenco locale di domini di mittenti rischiosi.
L'azione predefinita per questo gruppo consiste nel consegnare il messaggio normalmente.
Questo elenco consente agli amministratori di configurare indirizzi IP e reti attendibili come origini che non sono spam e newsletter. I messaggi provenienti dalle origini incluse nell'elenco locale di indirizzi IP di mittenti validi sono inseriti permanentemente nella classe di connessione 1. Le voci dell'elenco locale di indirizzi IP di mittenti validi sono formattate allo stesso modo delle voci dell'elenco locale di indirizzi IP di mittenti rischiosi.
L'azione predefinita per questo gruppo è di consegnare il messaggio normalmente.
È possibile configurare SMG per consultare elenchi di mittenti validi in base a DNS creati da terze parti. In genere si sconsiglia di farlo, a meno che non sia stata verificata la qualità dell'elenco di terzi.
Symantec mantiene un elenco verificato di mittenti attendibile che possono essere esentati dalla scansione per il rilevamento di spam e newsletter.
La funzionalità Fastpass impedisce a SMG di sottoporre alla scansione antispam alcune parti di messaggi provenienti da origini di elevata reputazione per migliorare le prestazioni. Dopo che un'origine ha fornito un numero configurabile di messaggi legittimi, c'è la possibilità che l'origine venga trattata brevemente come attendibile e i messaggi non vengano sottoposti a scansione per rilevare spam o newsletter.
I messaggi a cui viene applicata la funzionalità Fastpass vengono sottoposti a scansione alla ricerca di malware, minacce e violazioni dei contenuti.
Iscrivendoti ricevi aggiornamenti via e-mail quando questo articolo viene aggiornato. È necessario eseguire l’accesso.
This will clear the history and restart the chat.
Grazie dei commenti. Facci sapere se hai ulteriori commenti qui sotto. (Richiede l'accesso)