Guida al filtraggio della reputazione in Messaging Gateway
INFO5024
Last Updated January 16, 2019
Symantec Messaging Gateway (SMG) fornisce una serie di funzionalità di filtraggio dei messaggi in base alla reputazione per identificare e limitare l'accettazione di messaggi provenienti da fonti rischiose o per escludere i mittenti conosciuti da alcuni servizi di filtraggio dei messaggi.
Le principali categorie di filtraggio della reputazione sono:
- Mittenti rischiosi
- Classificazione della connessione
- Mittenti validi
Se non diversamente specificato, il filtro di reputazione viene applicato solo al traffico delle e-mail in entrata.
Mittenti rischiosi
L'identificazione dei mittenti rischiosi si basa su una serie di caratteristiche, tra cui elenchi statici locali di domini e indirizzi e-mail dei mittenti, elenchi locali di indirizzi IP e reti rischiosi, la lista nera dei mittenti rischiosi globali di Symantec, elenchi opzionali di mittenti rischiosi creati da terzi o liste nere, rilevamento di attacchi di rilevazione delle directory e rilevamento di attacchi di virus.
Elenco locale di domini di mittenti rischiosi
L'elenco locale di domini di mittenti rischiosi consente ai clienti di configurare elenchi di domini e di indirizzi e-mail di mittenti che non sono autorizzati a consegnare messaggi a SMG. L'elenco locale di domini di mittenti rischiosi può essere configurato con qualsiasi combinazione di singoli indirizzi e-mail come mittente@dominio-rischioso.net o interi domini come dominio-rischioso.net. È possibile utilizzare i caratteri jolly nella parte locale degli indirizzi e-mail, ma non nella parte relativa al dominio. Ad esempio:
| Esempio | Esempi di corrispondenze |
|---|---|
| esempio.com | john@esempio.com, paul@esempio.com, george@esempio.com, ringo@esempio.com |
| *.esempio.com | server1.esempio.com, server2.esempio.com (ma non esempio.com) |
| esempio*.com | esempio1.com, esempio2.com |
| yoko@esempio.com | yoko@esempio.com |
| john*@esempio.net | john@esempio.net, john_lennon@esempio.net |
| jo??@esempio.org | john@esempio.org, josh@esempio.org |
Le voci dell'elenco locale di domini di mittenti rischiosi vengono confrontate sia con il mittente busta SMTP che con l'intestazione Da: del messaggio.
L'azione predefinita per i messaggi conformi all'elenco locale di domini di mittenti rischiosi consiste nell'eliminare il messaggio.
Elenco locale di indirizzi IP di mittenti rischiosi
SMG può intervenire sui messaggi in base all'indirizzo IP di connessione o logico contenuto nell'elenco locale di indirizzi IP di mittenti rischiosi. L'elenco può contenere indirizzi IPv4, indirizzi IPv6 e blocchi di rete in notazione CIDR. Sono accettate anche le maschere di rete, ma le voci contenenti maschere di rete per insiemi non contigui di indirizzi (ad esempio 69.84.35.0/255.0.255.0) vengono rifiutate.
Indirizzi IP logici e IP di connessione
L'IP di connessione è definito come l'indirizzo IP remoto della connessione di rete SMTP. Nel caso in cui l'indirizzo IP di connessione sia configurato come Host di posta interno tramite la tabella Amministrazione > Configurazione > Host > Host di posta interno, il messaggio viene accettato dal firewall e il primo indirizzo IP contenuto nell'intestazione Ricevuto che non è un host di posta interno viene considerato l'indirizzo IP logico in quanto è il primo indirizzo IP del percorso che non è interno alla rete SMG. Per impostazione predefinita, tutte le reti IP private sono considerate interne.
Il comportamento predefinito per l'elenco locale di indirizzi IP di mittenti rischiosi è di rifiutare la connessione di rete per gli indirizzi IP di connessione presenti nell'elenco e di eliminare il messaggio per gli indirizzi IP logici presenti nell'elenco.
Mittenti rischiosi di terzi
È possibile configurare SMG per consultare elenchi di mittenti rischiosi in base a DNS creati da terze parti. In genere si sconsiglia di farlo, a meno che non sia stata verificata la qualità dell'elenco di terzi. Symantec non è in grado di risolvere i falsi positivi derivanti dall'uso di elenchi di terze parti.
Per configurare un elenco basato su DNS di terzi, aggiungere il dominio dell'elenco all'elenco di mittenti rischiosi di terze parti, ad esempio rbl.esempio.com.
Il comportamento predefinito per l'elenco di mittenti rischiosi di terzi è di rifiutare la connessione SMTP.
Mittenti rischiosi globali di Symantec
Symantec mantiene un elenco verificato di reputazione DNS che si basa sui dati di reputazione generati dalla Symantec Global Intelligence Network. Questo elenco non può essere modificato ma è possibile abilitarlo o disabilitarlo e impostare l'azione da intraprendere.
L'azione predefinita per l'elenco di mittenti rischiosi globali di Symantec è di rifiutare la connessione SMTP.
Se si ritiene che la l'elenco di mittenti rischiosi globali di Symantec generi falsi positivi, inviare l'indirizzo IP di connessione della connessione rifiutata a http://ipremoval.sms.symantec.com/lookup/ per l'esame. La cronologia di invio dell'indirizzo IP viene rivista e il suo stato potrebbe essere cambiato.
Attacco di rilevazione delle directory
Se è stata configurata la funzionalità di convalida del destinatario, la funzionalità DHA (Directory Harvest Attack, Attacco di rilevazione delle directory) può differire temporaneamente le connessioni SMTP da indirizzi IP che tentano la consegna a troppi destinatari non validi in un periodo di tempo configurabile.
Se abilitata, un indirizzo IP di connessione che tenta la consegna a troppi destinatari non validi viene messo "in parcheggio" e tutti i tentativi di connessione di quell'indirizzo IP vengono posticipati di 60 minuti.
L'azione predefinita per DHA è di differire temporaneamente le connessioni. Questa funzionalità non è attivata per impostazione predefinita.
Attacchi virus tramite e-mail
Se un indirizzo IP di connessione invia troppi messaggi infettati da virus in un tempo troppo breve, l'indirizzo IP viene posto in un'area di sosta simile a quella della funzionalità DHA e le connessioni da quell'indirizzo IP vengono posticipate di tre ore.
L'azione predefinita per gli attacchi virus è di differire temporaneamente le connessioni. Questa funzionalità non è attivata per impostazione predefinita.
Classificazione della connessione
La funzionalità di classificazione delle connessioni consente a SMG di generare una reputazione locale per gli indirizzi IP di connessione in base alla cronologia e alla qualità dei messaggi inviati da quell'indirizzo IP. Un indirizzo IP che invia troppi messaggi di spam viene spostato in classi di connessione con limiti sempre più restrittivi sul numero di connessioni e messaggi accettati da quell'indirizzo. Allo stesso modo, gli indirizzi IP che inviano pochi o nessun messaggio di spam vengono spostati in classi di connessione sempre più permissive e i loro limiti di connessione e di messaggi vengono aumentati rispetto ai valori predefiniti.
La reputazione degli indirizzi IP si accumula in modo indipendente su ogni rilevatore SMG. La reputazione non viene condivisa tra i rilevatori.
La classificazione delle connessioni è una funzionalità complessa sia nel funzionamento che nella configurazione e non è consigliabile modificare le classi di connessione senza consultare il Supporto clienti Symantec. La configurazione predefinita delle classi di connessione è stata studiata per fornire i massimi benefici, limitando al contempo l'accettazione dei messaggi provenienti da origini di bassa qualità.
- Connessioni massime - Si tratta del numero totale di connessioni simultanee consentite per tutti gli indirizzi IP in una particolare classe di connessione. Viene espresso come percentuale del numero massimo di connessioni SMTP consentite (valore predefinito: 2000). Ad esempio, la classe di connessione 5 consente 200 connessioni simultanee per tutti gli indirizzi IP inclusi nella classe. SMG differisce le connessioni dagli indirizzi IP in classe 5 quando viene raggiunto il limite di 200 connessioni.
- Connessioni massime per IP - Si tratta del numero massimo di connessioni SMTP simultanee che può effettuare un indirizzo IP nella classe di connessione. Le connessioni al di sopra di questo limite vengono differite. Sovrascrive il limite predefinito di 40 connessioni per ciascun indirizzo IP.
- Messaggi per connessione - Il numero totale di messaggi (non destinatari) consentiti su una singola connessione SMTP. I limiti al numero massimo di destinatari per ciascun messaggio vengono ancora applicati.
- Timeout di riconnessione - Il tempo che un indirizzo IP deve aspettare per collegarsi di nuovo dopo che la connessione è stata rimossa o differita. Alcuni server di posta tentano una riconnessione rapida quando la connessione viene differita, il che può comportare un elevato numero di rinvii in un breve periodo di tempo.
- Messaggi differiti - Si tratta della probabilità che una connessione venga differita immediatamente. Le classi di connessione di qualità superiore non vengono mai differite arbitrariamente, ma i tentativi di connessione degli indirizzi IP delle classi di connessione di bassa qualità potrebbero venire differiti sommariamente in base al caso. Non si tratta del limite superiore del numero di tentativi di connessione rinviati. La classificazione delle connessioni differisce le connessioni provenienti da qualsiasi origine che ha superato le risorse della classe a cui è assegnata.
È possibile reimpostare la reputazione locale o la classe di connessione di un indirizzo IP nella pagina Reputazione > Ricerca reputazione IP.
Mittenti validi
SMG considera legittima la posta proveniente dai mittenti validi e non considera spam i messaggi provenienti da tali origini. I messaggi vengono ancora analizzati per individuare eventuali violazioni dei contenuti, malware e minacce.
Elenco locale di domini di mittenti validi
Questo elenco consente agli amministratori di configurare elenchi di domini e indirizzi e-mail che non devono essere considerati spam e newsletter. Le voci dell'elenco locale di domini di mittenti validi sono formattate allo stesso modo delle voci dell'elenco locale di domini di mittenti rischiosi.
L'azione predefinita per questo gruppo consiste nel consegnare il messaggio normalmente.
Elenco locale di indirizzi IP di mittenti validi
Questo elenco consente agli amministratori di configurare indirizzi IP e reti attendibili come origini che non sono spam e newsletter. I messaggi provenienti dalle origini incluse nell'elenco locale di indirizzi IP di mittenti validi sono inseriti permanentemente nella classe di connessione 1. Le voci dell'elenco locale di indirizzi IP di mittenti validi sono formattate allo stesso modo delle voci dell'elenco locale di indirizzi IP di mittenti rischiosi.
L'azione predefinita per questo gruppo è di consegnare il messaggio normalmente.
Elenco di mittenti validi creati da terzi
È possibile configurare SMG per consultare elenchi di mittenti validi in base a DNS creati da terze parti. In genere si sconsiglia di farlo, a meno che non sia stata verificata la qualità dell'elenco di terzi.
Elenco di mittenti validi globali di Symantec
Symantec mantiene un elenco verificato di mittenti attendibile che possono essere esentati dalla scansione per il rilevamento di spam e newsletter.
Fastpass
La funzionalità Fastpass impedisce a SMG di sottoporre alla scansione antispam alcune parti di messaggi provenienti da origini di elevata reputazione per migliorare le prestazioni. Dopo che un'origine ha fornito un numero configurabile di messaggi legittimi, c'è la possibilità che l'origine venga trattata brevemente come attendibile e i messaggi non vengano sottoposti a scansione per rilevare spam o newsletter.
I messaggi a cui viene applicata la funzionalità Fastpass vengono sottoposti a scansione alla ricerca di malware, minacce e violazioni dei contenuti.
Iscrivendoti ricevi aggiornamenti via e-mail quando questo articolo viene aggiornato. Per l’iscrizione è necessario accedere
Iscriviti a questo articolo
Unable to subscribe
Grazie dei commenti aggiuntivi.
Enterprise Support Virtual Agent
Rate Me :
Tell us more:
Welcome! My name is Sami, the Enterprise Support Virtual Agent answering technical support questions.
Start Over
This will clear the history and restart the chat.
Grazie dei commenti. Facci sapere se hai ulteriori commenti qui sotto. (Richiede l'accesso)