Você está em: Suporte  -> Suporte Técnico  -> Sobre o Anti-SPAM

Sobre o Anti-SPAM da Specialist

Campanha Anti SPAM

O Anti-SPAM da Specialist é composto por uma série de programas opensource modificados pela própria Specialist para atender às suas necessidades, acrescidos de ferramentas (programas, scripts, etc) desenvoldidos por nós mesmos.

-> Caso esteja visitando esta página devido a algum problema para entrega de emails em nossos servidores partindo de algum servidor de terceiro (sendo você o administrador do mesmo), além de conhecer nosso Anti-SPAM para verificar se nao existe algum item que está barrando-o, veja a página POSTMASTER  escrita especialmente para administradores de servidores de email.
-> Para ter conhecimento de nossa política Anti-SPAM da Specialist, veja a página Política Anti-SPAM

O funcionamento de nosso sistema de antispam é dividido em duas grandes etapas, aqui chamadas de AS-Nível1 e AS-Nível2

AS-Nível1:
(e-mails barrados nesse nível não chegam até o destinatário. O servidor derruba a conexão com o erro respectivo de volta ao remetente)

– Existem milhares de endereços IPs que estão impedidos (via firewall) de se conectar à porta 25 (smtp) dos servidores da Specialist. São IPs de servidores que oficialmente são usados por grandes spammers do mundo todo, neste caso o servidor da outra ponta (que esta tentando enviar a mensagem) nem consegue estabelecer uma conexão conosco. Caso o IP não esteja barrado, ele é processado nos itens abaixo; Para ver a lista de bloqueios, veja a página “Blacklist da Specialist

– Uso de Grey List por IP origem: Quando um servidor tenta enviar um email para o nosso server, o mesmo recebe um erro 4xx (falha temporária), significando “é necessária sua retransmissão”, o que é feito alguns segundos após. Nessa próxima entrega, o nosso servidor aceitará normalmente o email e todos os próximos que vierem a um prazo X de tempo (onde X é dinamico, pode ser algumas horas ou dias, depende do volume de emails que estão vindo desse servidor, tempo entre as entregas, etc). Como nenhum spammer ou scammers têm servidores de e-mail válidos (até porque seria impossível para eles controlar o retorno e reenvio de milhares/milhoes de e-mails de uma só vez), eles nao fazem essa retransmissao no email, como seria feito se fosse um servidor de e-mail politicamente correto, com isso tais emails (spams) nao chegam até nossos servidores. Usamos também uma lista de IPs que não passam por este controle, são IPs de provedores que não seguem as RFCs e com isso não fazem a retransmissão. Veja mais em http://greylisting.org/ e http://cvs.puremagic.com/viewcvs/greylisting/schema/whitelist_ip.txt

– Quando uma conexão é realizada com sucesso, é feita uma verificação, em tempo real, se o IP do remetente (servidor) não está listado nas listas sbl.spamhaus.org, xbl.spamhaus.org, bl.spamcop.net e numa lista própria, mantida pela Specialist (é possível consultar a mesma em Blacklist powered by Specialist). Caso esteja, o servidor rejeita qualquer recebimento e informa ao remetente o motivo do bloqueio;
Passando por essas quatro listas, o servidor passa a aceitar os comandos para o recebimento do(s) e-mail(s) (helo, mail from, rcpt to, data etc);

– ao receber o comando “mail from” o sistema irá validar o e-mail do remetente, obrigatoriamente o domínio deve existir (é feito um lookup nesse domínio) bem como validará se o mesmo contém informações e/ou caracteres inválidos (ex: mail from: <Sugestão!> é totalmente inválido);

– ao receber o comando “rcpt to” o sistema fará exatamente a mesma validação acima, e caso o domínio seja local, o sistema já verifica se a caixa postal existe ou não, desta forma caso um spammer tente enviar spam para o servidor Specialist usando uma lista de palavras pré-definidas, na primeira caixa postal inexistente o servidor acusará erro, derrubando a conexão;

– se os dois comandos acima estiverem corretos, o sistema irá verificar se o domínio do remetente possui a cláusula SPF, caso exista, ele verifica se o IP do servidor remetente esta autorizado a enviar e-mail usando o domínio em questão; Nota: Mais informações sobre SPF no final desta página!

– O próximo passo é verificar se o endereço do remetente não está em nossa blacklist também. Veja a página “Blacklist da Specialist“.

– Uso de spam-throttling. Técnica usada onde é gerado um delay de X segundos após Y e-mails recebidos pelo mesmo IP origem em um prazo de Z minutos. Onde X, Y e Z são valores dinamicos, que dependem do tamanho do email, quantidade de destinatários por email, quantidade de vezes que o mesmo ip já enviou emails para o servidor, tempo que passou entre a ultima entrega e a atual, etc. Com essa técnica dificultamos muito para um spammer enviar o mesmo spam para vários de nossos clientes ao mesmo tempo. E ainda, para evitar gerar falsos-positivo (atrasar uma entrega de e-mail legitimo) usamos uma whitelist com os IPs (ou ranges de IPs) dos provedores mais conhecidos como Terra, Uol, Bol, iG, Hotmail, Locaweb, etc.

– a seguir o e-mail é recebido com sucesso e é passado a um programa que vai ler todo o cabeçalho da mensagem (todos os campos, linha por linha) para verificar se tudo esta seguindo as RFCs pertinentes, caso algum erro seja encontrado, a conexão é derrubada e enviado o referido erro ao remetente;

– o sistema irá verificar se o email contem a assinatura do Domain Keys, caso tenha, o servidor irá valida-la. Mais informações sobre Domain Keys no final desta página! (técnica em testes no momento, uma vez que são pouquissimos os Hostings que a usam).

– o sistema irá barrar qualquer e-mail com anexos .vbs, .lnk, .scr, .wsh, .hta e .pif usados comumente para distribuição de arquivos contaminados pela grande maioria dos virus (caso realmente o cliente Specialist precise enviar um email com um arquivo com uma destas extenções ele poderá faze-lo zipando o arquivo primeiramente).

– após passar pelos testes acima, o e-mail passa pelo sistema antivírus (mais detalhes abaixo) para depois chegar no AS-Nível2.

AS-Nível2:
(e-mails barrados nesse nível são entregues ao destinatários, porém o assunto da mesma é trocado, deixando por conta do cliente o que fazer com o e-mail. Isso é feito pois nesse ponto não temos como ter certeza “absoluta” que o e-mail é mesmo um spam)

– quando a mensagem for entregue para o usuário local, o sistema antispam da Specialist (com base no Spam Assassin) realiza centenas de verificações no e-mail, para cada ítem que der positivo (como IP do remetente listado em black-lists, palavras-chave encontradas tipicamente em spams etc), é atribuído uma pontuação. Atingindo um certo número de pontos (que por padrão é 5), o e-mail passa a ser considerado um spam. Veja a lista de todos os testes que ele faz na página oficial do mesmo.

– como complemento ao proceso acima descrito, os seguintes softwares são utilizados para verificar a ocorrência de spam: Distributed Checksum Clearinghouse (DCC), Vipul’s Razor (Razor2) e Pyzor. Os três trabalham da seguinte forma: quando uma mensagem é entregue, o servidor Specialist “pergunta” para um sevidor público (cada software citado possui um servidor público específico) se tal mensagem já foi detectada em outros servidores, em caso afirmativo, a probabilidade dessa mensagem ser um spam aumenta consideravelmente e conseqüentemente aumentam os pontos atribuídos a ela.

Como informado, o nível 2 apenas muda o assunto do e-mail ao invés de barrá-lo. Isso é feito pois nesse ponto não é possível ter 100% de certeza que tal mensagem seja REALMENTE um spam. Dessa forma fica a critério do usuário o que deve ser feito com o e-mail. Caso ele use algum programa cliente POP3 (como Outlook Express, Thunderbird, etc), uma regra como “tudo que vier com assunto ‘[Possivel SPAM]’ seja colocado na pasta “SPAM” pode ser criada e com o tempo, se o usuário notar que ele não está recebendo falsos positivos, ou seja, mensagens legítimas que foram marcadas como spam erroneamente, ele pode mudar essa regra, optando por apagar definitivamente tais mensagens.

O mesmo procedimento acima pode ser feito via webmail, caso o cliente o utilizar.

O cliente também pode configurar e-mails que nunca poderão ser marcados como spam (whitelist) e os que sempre devem ser descartados (blacklist). Bem como mudar a sensibilidade do antispam (alterando o valor máximo da pontuação para que o e-mail seja tratado como spam).

Além disso, o próprio antispam gera uma lista automática dos e-mails, aprendendo com o tempo as mensagens que são ou não spam. Exemplo clássico: o usuário é assinante da newsletter do site XYZ. Na primeira vez que a mensagem for entregue, o AS-nível2 pode identificar que tal e-mail seja um spam, depois de receber essa mensagem repetidas vezes, o sistema “vai notar” que ela vem sempre do mesmo lugar, com o mesmo formato, e “conclui” que pode se tratar de uma newsletter, com isso ele deixa de marcá-la como spam.

Todos os testes realizados pelo antispam de Nivel2, ficam impressos no cabeçalho da mensagem, tornando possível o cliente verificar o motivo que levou (ou não) o e-mail ser taxado de SPAM.

BREVE – AS-Nivel3 – Mais info em breve…

Funcionamento Técnico do Antivírus

Qualquer mensagem enviada ou recebida pelo servidor é processada pelo antivírus durante o SMTP em real-time, caso o e-mail contenha anexos compactados, o sistema irá descompactá-los e verificar arquivo por arquivo.

Caso o e-mail esteja infectado, a conexão é finalizada com o erro respectivo de volta ao remetente.

(vale lembrar também que o antivírus trabalha com a técnica de análise heurística, que seria um algoritmo para tentar detectar vírus que ainda não possuem vacinas oficiais, baseado em “semelhanças” com outros vírus conhecidos)

O sistema verifica por novas vacinas no site do fabricante do antivírus a cada hora do dia, portanto, 24 vezes por dia!

Sobre o SPF (Sender Policy Framework) e SRS (Sender Rewriting Scheme)

Sabendo que é possível usar o servidor de smtp do provedor X, por exemplo, para enviar uma mensagem para um cliente do próprio provedor X como sendo um remetente qualquer foi criado o SPF para acabar com esse tipo de spam!

A idéia do SPF é: se você tem um e-mail @provedor, você DEVE usar o servidor smtp desse provedor para enviar mensagens e nenhum outro.

Para que isso seja feito com sucesso, uma entrada é criada no dns do domínio em questão indicando quem têm autoridade para enviar e-mails a partir daquele domínio.

um exemplo:

no domínio da Specialist (specialist.srv.br) temos a entrada “v=spf1 mx -all” isso quer dizer que apenas o MX do domínio associado têm autoridade para enviar e-mails.

já no domínio do provedor UOL (uol.com.br), encontramos a seguinte entrada (na data que isso foi escrito):

“v=spf1 ip4:200.221.11.0/24 ip4:200.221.29.0/24 ip4:200.221.4.0/24 -all”

isso quer dizer que apenas os servidores citados (pelo IP) têm autoridade para enviar emails @uol.com.br

NOTA: você pode consultar essa clausula de qualquer domínio, bastando dar o comando no prompt de comando (caso você use Windows XP, 2000, 2003 ou Linux):

nslookup -type=txt DOMÍNIO

apesar dessa técnica ser antiga (de 2004 +/-) ainda não são todos os domínios que possuem essa entrada, mas com o tempo, mais e mais estarão se adequando a essa nova norma, aumentando cada vez mais esse controle e ajudando a banir os terríveis spams.

Ao mesmo tempo, o servidor de e-mail é configurado para fazer a seguinte verificação: se o IP de quem está mandando o e-mail consta na cláusula SPF do domínio em questão; se constar, tudo indica que o e-mail está vindo do “lugar certo”.

Sem esse tipo de verificação, um spammer pode enviar e-mails partindo, por exemplo, de uma conexão ADSL qualquer, usando um smtp próprio (muitos programas de spammers atuam como servidor smtp) e ele poderá colocar qualquer e-mail no campo “from”. Digamos que ele coloque “lojadeinformatica@terra.com.br” (normalmente um spammer nunca coloca um e-mail válido), quando esse e-mail chega a um servidor que faz checagem SPF, esse servidor verificará que o domínio terra.com.br possui uma cláusula SPF e que nessa cláusula não consta o IP desse remetente como autorizado a enviar tal mensagem, assim o envio do e-mail é barrado e mais um spam é evitado!

No momento muitos provedores brasileiros (e a maioria dos estrangeiros) já estão com a cláusula SPF em seu(s) dns(s). Já quanto a checagem no servidor de e-mail, são pouquíssimos os que estão realizando tal procedimento; a Specialist mais uma vez sai na frente e já conta com essa verificação em todos os seus servidores de e-mail, desde 2005.

No caso de mensagens redirecionadas automaticamente, o Servidor de Origem deve “assumir a responsabilidade” pelas mensagens por ele redirecionadas. Isso deve ser feito através de algum mecanismo de reescrita de remetente. É essa a função do SRS. A partir do momento que muitos provedores tem adaptado seus servidores para validar o remetente por SPF, automaticamente eles obrigam os “outros” (e eles mesmos) a usar alguma técnica de SRS, caso contrário qualquer e-mail redirecionado por um desses servers serão barrados no provedor destino caso o mesmo use SPF e caso o dominio do remetente já tenha SPF nos dns com os IPs que podem enviar emails usando tal domínio (se vc nao entendeu isso, tente entender primeiramente como o controle SPF é feito para depois entender porque o SRS é EXTREMAMENTE importante, e que vem sendo deixado “para depois” por muitos hostings grandes que tem por aí). E para evitar que listas de e-mails SRS sejam criadas com o tempo por algum spammer, todos os códigos de SRS gerado pelos servidores da Specialist tem tempo de vida de 10 dias apenas (tempo mais do que o necessário para o e-mail retornar caso o destino gere bounce). Além disso, a senha interna usada para gerar o SRS é trocada de tempos em tempos.

Caso queira conhecer mais ainda sobre SPF, veja em http://spf.pobox.com/
e sobre o SRS, veja em http://spf.pobox.com/srs.html

Sobre Domain Keys (DK)

Breve texto explicativo…

Caso queira conhecer mais ainda sobre DK, veja em http://antispam.yahoo.com/domainkeys

Não encontrou o que procura? Entre em contato conosco!