- Поштові правила для обмеження пошти Перейшовши в розділ Сервіси -> Поштовий сервер -> Правила...
- антиспам Касперського
- DKIM-підпис
- Перевірка налаштувань поштового сервера
Поштові правила для обмеження пошти
Наша взаимовыгодная связь https://banwar.org/
Перейшовши в розділ Сервіси -> Поштовий сервер -> Правила -> Правила, задані вручну, ви побачите інтерфейс написання регулярних вирази (regexp) поштового сервера (в нашому випадку postfix).
Для роботи з поштовими правилами необхідно знати, що таке регулярні вирази:
Регулярні вирази (англ. Regular expressions, regexp) - формальна мова пошуку і здійснення маніпуляцій з підрядками в тексті, заснований на використанні метасимволов. По суті, це рядок-зразок (англ. Pattern, по-російськи її часто називають «шаблоном», «маскою»), що складається з символів і метасимволов і задає правило пошуку.
У нашому випадку, за допомогою регулярних виразів ми знаходимо в листах, що цікавлять нас слова або символи, після чого дозволяємо або забороняємо таку пошту.
Regexp можна написати:
- За адресою відправника.
- За адресою одержувача.
- За заголовку листа.
- По тексту листа.
Однак, фактично regexp варто писати тільки з використанням латинських символом і цифр, оскільки використовується кодування ASCII, тому поштові правила будуть ефективні тільки в обмеженні доменів і поштових адрес. Як контент-фільтрації за ключовими словами з кириличних символів вони будуть неефективні.
Глобальні списки доступу (чорний / білий)
У складі Ideco UTM діє ряд антиспам-фільтрів на різних стадіях обробки вхідних листів по протоколу SMTP:
- Попередній Високоефективний фільтр postscreen. Працює на стадії створення підключення до нашого сервера електронної пошти іншими поштовими серверами з інтернету.
На цій стадії ведуться перевірки віддалених серверів на їх присутність в списках DNSBL і фільтруються підключення, що порушують протокол SMTP (швидка посилка команд, невірні команди і т.д.). - Фільтри і перевірки на дотримання проколу SMTP поштового сервера postfix (перевірка адреси відправника і одержувача, правильність заголовків листа і того, як представився віддалений поштовий сервер).
- Поштові фільтри (мільтри), такі як грейлистинг, антиспам Касперського, DKIM-сервер.
У сукупності перераховані методи боротьби зі спамом здійснюють надійне і ефективне виключення небажаних листів з листування ваших клієнтів. Але можуть виникати і помилкові спрацьовування, коли легітимне лист (відправник або сервер відправника) були прийняті нашим сервером за спам. Ми робимо упор на мінімізацію можливості помилкових спрацьовувань в нашому поштовому сервері на шкоду проникненню особливо тонких спам-технік, тому велику кількість помилкових спрацьовувань очікувати не варто.
Але все ж, якщо таке трапиться, ми передбачили можливість виключення адрес або серверів клієнтів з усіх перерахованих вище спам-фільтрів. Для цього занесіть IP-адресу поштового сервера відправника (як правило на нього вказує MX-запис домена відправника) або доменне ім'я відправника в білий список в розділі "Сервіси -> Поштовий сервер -> Правила -> Білий список". На фрагменті нижче показаний приклад додавання адрес відправників в білий список. На них не будуть діяти перевірки на спам, тому заносите в цей список тільки відправників, яким ви дійсно довіряєте.
Крім єдиного білого списку для поштового сервера і пов'язаних з ним антиспам служб, є можливість налаштовувати чорний список для пошти.
Обидва списки для контролю доступу знаходяться в розділі Сервіси -> Поштовий сервер -> Правила.
Таким чином можна контролювати списки доступу (ACL) для поштового сервера, пріоритетно дозволяючи прийом від певних джерел пошти, або блокувати вхідні листи від інших джерел.
Джерелами в обох списках доступу можуть виступати:
- IP-адреса сервера відправника. Це адреса того SMTP-сервера, який безпосередньо відправляє лист на UTM з Інтернет по SMTP. Як правило, MX-запис домена вказує на цей хост. У випадку з поштовими розподіленими мережами (CDN), IP-адреса SMTP-сервера змінюється кожен раз при відправленні нового листа, навіть якщо адреса відправника залишився колишнім. Приклад поштових CDN: gmail.com, accountprotection.microsoft.com.
- Домен відправника листа. Наприклад: yandex.ru, gmail.com, mail.ru.
- Поштова адреса (ящик) відправника. Наприклад [email protected], [email protected].
Можливості вказувати IP-мережі і діапазони IP-адрес немає.
Маски (* .domain.ru) і домени першого рівня (.ru) не підтримуються.
Поштова адреса вказувати не рекомендується, так як в аналізі листів по протоколу SMTP він знаходиться на одній з верхніх стадій, легко підробляється віддаленою стороною і, в цілому, експерти не рекомендують приймати рішення про блокування / дозволі поштової транзакції за поштовою адресою відправника.
Рекомендується оперувати IP-адресами поштових клієнтів або їх доменами.
На фрагментах нижче показаний приклад додавання адрес відправників в білий і чорний списки.
На джерела в білому списку не будуть діяти перевірки на спам, тому заносите в цей список тільки відправників, яким ви дійсно довіряєте.
Зверніть увагу, що в чорний список внесений домен, відправник з якого пріоритетно дозволений в білому списку.
В такому випадку пошта на UTM буде приходити тільки від цього відправника, а від інших відправників в цьому домені - блокуватися.
Для збереження змін в кожному зі списків потрібно натиснути кнопку Зберегти. Зміни вступають в силу відразу, не вимагаючи перезапуску поштової служби.
При занесенні однакових джерел в білий і чорний списки (два однакових IP або поштові адреси), білий список має пріоритет над чорним списком, і листи від джерела будуть дозволені і прийняті поштовим сервером.
При занесенні пересічних джерел в обидва списки кореляції між джерелами не відбувається. Пріоритет буде відданий спочатку IP-адресами, потім скриньках і потім доменів.
Тобто якщо заборонений IP-адресу поштового сервера і дозволений домен, який він обслуговує, то листи від нього будуть блокуватися (блокування по IP-адресою має пріоритет). Зворотний приклад: Дозволено IP-адреса, але заборонений домен. Листи блокуються, просто на більш пізній стадії, при перевірці поштового домену.
Інший приклад: в білий список внесено домен, в чорний внесений ящик з цього домену. Листи з ящика будуть заблоковані. Зворотний приклад: листи від ящика, занесеного в білий список, будуть дозволені навіть якщо домен, якому належить ящик, занесений в чорний список.
Схема обробки листів в поштовому сервері представлена в статті Схема фільтрації поштового трафіку .
Зверніть увагу, що Чорний і Білий списки спрацьовують після кількох попередніх етапів фільтрації.
антиспам Касперського
На вкладці активується і запускається "Антиспам Касперського". Єдиний комерційний антиспам в складі нашого продукту. Активується ключем, який можна отримати у відділі продажу нашої компанії разом з ліцензією на антиспам. Бази оновлюються кілька разів на день. Детальне налаштування антиспаму не передбачена. Модуль попередньо налаштований нашими фахівцями для оптимальної роботи з поштовим сервером і для більшості типових конфігурацій поштового сервера. Якщо поштовий сервер працює в режимі SMTP-релея, то вся вхідна транзитна кореспонденція так само перевіряється модулем.
Антивіруси для поштового трафіку
У складі сервера доступні два антивіруса:
Некомерційний open-source антивірус Clamav. Бази оновлюються кілька разів на день.
Антивірус Касперського, що надається на комерційній основі. Придбати ліцензію на його використання можна у відділі продажів нашої компанії. Бази також оновлюються кілька разів на день.
Обидва антивіруса перевіряють вхідну кореспонденцію як в звичайному режимі роботи поштового сервера, так і в режимі SMTP-релея.
DKIM-підпис
Налаштовується в розділі "Сервіси -> Поштовий сервер -> Безпека -> DKIM-підпис". Підписує вихідну з сервера кореспонденцію унікальною для вашого поштового домену підписом так, що інші поштові сервери в Інтернет можуть переконатися, що ваша пошта легітимна і заслуговує довіри. Для функціонування технології вам буде потрібно створити TXT запис для вашого домену у власника зони зі значенням, яке сформує для вашого поштового домену наш сервер. TXT записи будуть сформовані для основного поштового домену, налаштованого на UTM, і додаткових поштових доменів (якщо вказані). Сервер також перевірить, чи правильно була вказана запис для вашої зони і ні перетворювати вона в Інтернет.
Перевірка налаштувань поштового сервера
Рекомендується перевірити коректність всіх налаштувань DNS і поштового сервера за допомогою сервісу: mail-tester.com
При правильному налаштуванні поштовий сервер на Ideco UTM повинен отримати 10 балів з 10.