Ochrona na poziomie SMTP

Skopiuj adres URL bieżącego artykułu Udostępnij przez e-mail

Ten artykuł (PDF) Cała dokumentacja (PDF)

Funkcja Włącz szarą listę aktywuje ochronę użytkowników przed spamem za pomocą następującej techniki: Agent transportu wysyła zwracaną wartość serwera SMTP „tymczasowo odrzucono” (wartość domyślna to 451/4.7.1) w odpowiedzi na każdą wiadomość e-mail od nadawcy, którego nie rozpoznaje. Wiarygodny serwer próbuje ponownie wysłać wiadomość po upływie określonego czasu. Serwery wysyłające spam zazwyczaj nie próbują ponownie dostarczać wiadomości, ponieważ jednocześnie wysyłają je na tysiące adresów i nie mogą poświęcać dodatkowego czasu na ponowne dostarczanie. Szara lista to dodatkowy sposób ochrony przed spamem. Nie wpływa ona w żaden sposób na metodę oceniania spamu przez moduł ochrony przed spamem.

Podczas oceniania źródła wiadomości metoda szarej listy sprawdza konfigurację list Zatwierdzone adresy IP, Ignorowane adresy IP, Bezpieczni nadawcy i Dozwolone adresy IP serwera Exchange oraz ustawienia AntispamBypass skrzynki pocztowej odbiorcy. Wiadomości e-mail wysyłane z tych adresów IP bądź przez nadawców z listy oraz wiadomości dostarczane do skrzynki pocztowej, w której włączono opcję AntispamBypass, są pomijane przez metodę wykrywania spamu za pomocą szarej listy.

Używaj tylko nazwy domeny z adresu nadawcy

Ta funkcja ignoruje nazwę nadawcy w adresie e-mail, a pod uwagę brana jest tylko domena.

Synchronizuj bazy danych szarej listy w ramach klastra ESET

Pozycje bazy danych szarej listy są udostępniane w czasie rzeczywistym między serwerami w klastrze ESET. Gdy jeden z serwerów odbierze wiadomość przetworzoną przy użyciu szarej listy, informacja o tym zostaje rozgłoszona przez program ESET Mail Security wśród pozostałych węzłów klastra ESET.

Limit czasu dla początkowego odrzucania połączeń (w minutach)

Gdy wiadomość jest dostarczana po raz pierwszy i zostanie tymczasowo odrzucona, ten parametr definiuje okres, w którym wiadomość zawsze zostanie odrzucona (mierzony od momentu pierwszego odrzucenia). Po upływie określonego czasu wiadomość jest pomyślnie odbierana. Minimalna dozwolona wartość to 1 minuta.

Okres ważności niezweryfikowanych połączeń (w godzinach)

Ten parametr definiuje minimalny czas, przez który będą przechowywane dane trójki. Prawidłowo działający serwer musi wysłać ponownie żądaną wiadomość przed upływem tego czasu. Ta wartość musi być większa niż wartość Limit czasu dla początkowego odrzucania połączeń.

Okres ważności zweryfikowanych połączeń (w dniach)

Minimalna liczba dni, przez które są przechowywane informacje trójki. W tym czasie wiadomości e-mail od określonego nadawcy są odbierane bez opóźnień. Ta wartość musi być większa niż wartość Okres ważności niezweryfikowanych połączeń.

Odpowiedź z usługi SMTP dla tymczasowo odrzuconych połączeń.

Określ opcje Kod odpowiedzi, Kod stanu i Komunikat odpowiedzi, które definiują tymczasową odpowiedź o odrzuceniu SMTP wysyłaną do serwera SMTP w przypadku odrzucenia wiadomości. Przykładowa odpowiedź serwera SMTP o odrzuceniu:

Kod odpowiedzi	Kod stanu	Komunikat odpowiedzi
451	4.7.1	Spróbuj ponownie później

Wysyłaną przez serwer SMTP odpowiedź o odrzuceniu można również skonfigurować za pomocą zmiennych systemu.

Nieprawidłowa składnia kodów odpowiedzi serwera SMTP może powodować błędne działanie ochrony za pomocą szarej listy. W wyniku tego do programu mogą docierać wiadomości będące spamem lub też wiadomości mogą w ogóle nie być dostarczane.

Wszystkie wiadomości ocenione metodą szarej listy są rejestrowane w obszarze Dziennik ochrony SMTP.

Ochrona przed atakami typu backscatter

Spam backscatter to błędnie przekierowane wiadomości zwrócone wysłane przez serwery poczty, które stanowią niepożądany efekt uboczny spamu. Gdy serwer poczty adresata odrzuca wiadomość spam, do rzekomego nadawcy (na adres e-mail użyty do podszycia się pod pierwotnego nadawcę spamu — nie do rzeczywistego nadawcy) wysyłany jest raport o niedostarczeniu wiadomości, nazywany też wiadomością zwróconą. Właściciel adresu e-mail otrzymuje raport o niedostarczeniu wiadomości, nawet jeśli nie był zaangażowany w oryginalną wiadomość spam. W tym miejscu ważna jest ochrona przed backscatter. Możesz zapobiec dostarczaniu do skrzynek pocztowych użytkowników w organizacji wiadomości z raportami o niedostarczeniu przy użyciu funkcji ochrony przed atakami typu backscatter programu ESET Mail Security.

Po włączeniu sprawdzania raportu o niedostarczeniu musisz określić inicjator podpisu (ciąg co najmniej 8 znaków przypominających hasło). Ochrona przed atakami typu backscatter programu ESET Mail Security zapisuje element X-Eset-NDR: <hash> w nagłówku każdej wychodzącej wiadomości e-mail. Element <hash> to zaszyfrowana sygnatura, która zawiera także określony przez Ciebie inicjator podpisu.

W przypadku braku możliwości dostarczenia wiadomości e-mail serwer poczty otrzymuje zwykle raport o niedostarczeniu, który jest sprawdzany przez program ESET Mail Security pod kątem występowania elementu X-Eset-NDR: <hash> w nagłówkach. Jeśli element X-Eset-NDR: znajduje się w nagłówku i istnieje pasująca sygnatura <hash>, raport o niedostarczeniu jest przesyłany do nadawcy prawidłowej wiadomości e-mail (zawiera informacje o niepowodzeniu dostarczenia wiadomości). Jeśli element Eset-NDR: nie znajduje się w nagłówku lub sygnatura <hash> jest nieprawidłowa, jest identyfikowany jako backscatter, a raport o niedostarczeniu zostaje odrzucony.

Automatycznie usuwaj wiadomości z raportami o niedostarczeniu, gdy sprawdzanie nie powiedzie się

Jeśli kontrola raportu o niedostarczeniu powoduje natychmiastowe niepowodzenie, wiadomość e-mail może zostać odrzucona, zanim zostanie pobrana.

Aktywność funkcji ochrony przed atakami typu backscatter można zobaczyć w obszarze Dziennik ochrony SMTP.

˄˅