Serviço de Filtragem Anti-Spam - Segurança de E-mail por MX Guarddog

Friday Sep 5, 2014
R. Gunther

O que é a Entrega Direta?

Entrega Direta é quando os spammers enviam suas mensagens indesejadas para sua caixa de correio ignorando seus registros MX. Os registros MX para um domínio dizem aos servidores de e-mail para onde enviar o seu correio e os servidores reais seguem as regras.

Constatamos um aumento no número de grupos de spam que está ignorando registros MX na tentativa de enganar sistemas de proteção de spam.

Como Eles Fazem Isso?

Os spammers podem tentar ultrapassar seus registros MX tentando entrega direta em seu servidor. Eles tentam coisas como entregar correio para mail.exemplo.com ou enviando e-mails para o mesmo endereço IP em que seu site está correndo.

Impedindo a Entrega Direta

Para evitar ataques de entrega direta, você deve controlar quem pode se conectar ao seu servidor para entregar o correio. Ao usar o MX Guarddog idealmente você vai quere que apenas os servidores do MX Guarddog se conectem ao seu servidor para entregar o correio.

Suas opções disponíveis para parar ataques de entrega direta são determinadas pela configuração de servidor de email. Com tantos sistemas de email diferentes há muitas opções possíveis.

Você tem um firewall?

Se você tem um firewall, você pode permitir que apenas Endereços IP do MX Guarddog se conectem ao seu servidor, limitando os endereços IP que podem se conectar.

Você é um usuário de cPanel?

Se o seu servidor de e-mail está sendo executado em um sistema baseado em cPanel você pode implementar regras para criar um firewall de email que irá bloquear o email que é enviado via entrega direta.

Seu servidor de e-mail está executando o Microsoft Exchange?

Usuários do Exchange podem implementar regras em seu conector, limitando a entrega no conector por endereço IP. Permitir apenas que Endereços de IP de Servidores MX Guarddog se liguem a seu conector.

O seu servidor de e-mail está executando SmarterMail?

Com SmarterMail você pode configurar regras de filtragem no seu domínio que você pode usar para impedir o e-mail enviado para o servidor diretamente.

Seu servidor de e-mail está executando Postifx?

Se você tiver um servidor Postfix, o usuário Brian Forbes escreveu este artigo no GitHub Gist sobre como parar a entrega direta.

Hospedado por Zoho Mail?

Zoho Mail is one of very few shared email hosting services that we know of that allow you to setup an email firewall.

Hosted by Rackspace?

Rackspace has recently added the ability for shared hosting customers to create an email firewall to protect yourself from direct delivery attacks. Instructions to set up a firewall and secure your email are available here.

Você pode controlar a porta de seu servidor?

Você pode alterar a porta em que seu servidor de e-mail escuta para uma porta não padrão e, em seguida, atualizar a porta de entrega em seu painel de domínio e o MX Guarddog entregará seu e-mail em sua nova porta. Os spammers não saberão em qual porta seu servidor está sendo executado e não será capazes de enviar e-mail para seu domínio, a menos que ele passe pelo MX Guarddog.

Você pode mudar o seu nome?

Como último recurso, você pode mudar o seu nome. Se o seu servidor de e-mail usa mail.example.com você pode alterar os registros DNS e, essencialmente, mudar o nome do servidor. Confira nosso post no blog Protegendo seu Servidor de email - sem um firewall para saber mais sobre mudar seu nome. Esta mudança vai exigir atualização de seus clientes de email e gostaríamos de sugerir essa opção apenas para usuários avançados.

Com qualquer uma das opções acima, os spammers não serão capazes de contornar a proteção contra spam do seu domínio - resultando em uma caixa de entrada limpa.

Regras de Cliente de E-mail

Se nenhuma das opções acima são possibilidades em sua estrutura, você pode também implementar regras de filtragem diretamente em seu cliente de e-mail. Filtragem através de cliente de e-mail é menos eficiente uma vez que você deve adicionar as regras em cada cliente de e-mail. Nós temos alguns guias disponíveis para Thunderbird, Outlook 2013 e MacMail.

Você está sofrendo de entrega direta?

Para verificar se você está sofrendo de spam chegando através da entrega direta, você precisa verificar os cabeçalhos do e-mail que você recebeu.

Aqui estão os cabeçalhos de uma mensagem que passou através da rede do MX Guarddog. Pode dizer isso porque há várias referências de servidores na rede IK2.COM. Então esta mensagem passou pelo MX Guarddog.

Envelope-to: user@example.com
Delivery-date: Mon, 15 Jun 2015 09:39:21 -0400
Received: from s480f.ik2.com ([64.38.239.86]:26047)
   by s047.boxmanager.com with esmtps (TLSv1:DHE-RSA-AES256-SHA:256)
   (Exim 4.85)
   (envelope-from <bounce+7576f4.010a37@work.com>)
   for user@example.com; Mon, 15 Jun 2015 09:39:20 -0400
Received: from s480k.ik2.com ([192.168.48.81] helo=s480g.ik2.com)
   by s480f.ik2.com with esmtps (TLSv1:DHE-RSA-AES256-SHA:256)
   id 1Z4Ubf-0003qs-57
   for user@example.com; Mon, 15 Jun 2015 13:39:19 +0000
Received: from 192.237.158.66 by s480g.ik2.com (IK2 SMTP Server); Mon, 15 Jun 2015 13:39:17 +0000
Date: Mon, 15 Jun 2015 13:38:17 +0000
Received: by luna.mailgun.net with HTTP; Mon, 15 Jun 2015 13:38:15 +0000
Content-Type: multipart/alternative;
boundary="----------=_1434375495-12243-167"
Content-Transfer-Encoding: binary
MIME-Version: 1.0
From: Work Notification <room@work.com>
Subject: Rahul, Robert
To: <user@example.com>
X-SF-RX-Return-Path: <bounce+7576f4.010a37@work.com>
X-SF-HELO-Domain: do158-66.mailgun.net
X-SF-Originating-IP: 192.237.158.66

Aqui se encontram os cabeçalhos de uma mensagem que foi entregue directamente a um servidor através de um ataque entrega direta. Você pode ver que a mensagem nunca passou por qualquer servidor na rede IK2.COM, então o MX Guarddog não teve hipótese de parar a mensagem.

(192.168.0.12) with Microsoft SMTP Server (TLS) id 14.3.224.2; Tue, 16 Jun
2015 15:58:33 -0400
Received: from AP-EXCHANGE.action.local ([fe80::b8e8:b862:1c98:c374]) by
AP-Exchange.action.local ([fe80::b8e8:b862:1c98:c374%13]) with mapi id
14.03.0224.002; Tue, 16 Jun 2015 15:58:32 -0400
From: Carrie <Carrie@actionplumbing24.com>
To: "brandon@rcstoremaintenance.com" <brandon@rcstoremaintenance.com>
Subject: Confirmation of payment
Date: Tue, 16 Jun 2015 19:58:31 +0000
Message-ID: <1942B1A9CA8B5843BC8D02DE047242DE9A068F67@AP-Exchange.action.local>
Content-Type: multipart/mixed;
boundary="_004_1942B1A9CA8B5843BC8D02DE047242DE9A068F67APExchangeactio_"
Return-Path: Carrie@actionplumbing24.com
MIME-Version: 1.0

Se você estiver recebendo mensagens com cabeçalhos como o exemplo acima, sem qualquer referência a servidores de IK2.COM, você precisa implementar algum tipo de proteção em seu servidor para garantir que todos os e-mails que cheguem em seu servidor só alcançam sua caixa de entrada depois de passar através do MX Guarddog.

Blog