FAQ - Antispam, Antivirus e Blacklist
3.1 Antivirus
3.1.1 Cosa sono i database extra?
3.2. Blacklist e Whitelist
3.2.1 Come funzionano le blacklist in ingresso?
3.3. Antispam
3.3.1 Qual'è la differenza tra RBL in fase di Envelope e RBL in fase di Analisi?
3.3.2 Ho ricevuto più spam del solito, perchè?
3.1. Antivirus
3.1.1 Cosa sono i database extra?
I Database extra sono ulteriori firme virali che ClamAV può utilizzare. Tipicamente il database SaneSecurity conserva uno storico molto completo anche di virus particolarmente datati, mentre il database EBDB è una collezione di url di phishing e malevoli in genere.
3.1.2 L'antivirus a bordo del MailServer mi svincola dall'utilizzare un antivirus sulle macchine client?
NO! Nonostante ClamAV sia affidabile e utilizzato ovunque, la posta elettronica non è l'unico veicolo di trasmissione virale in grado di infettare un client. Basti pensare alle chiavette USB, ai DVD o al download di file da siti non affidabili. In tutti questi casi il mailserver non può verificare la presenza di virus, cosa che invece può effettuare un antivirus locale installato sulla macchina. Oltretutto due controlli (meglio se con antivirus differenti) sono sempre più affidabili di uno.
3.2. Blacklist e Whitelist
3.2.1 Come funzionano le blacklist in ingresso?
Le blacklist in ingresso (a differenza di quelle in uscita dove il mittente riceve subito un errore bloccante) sono correlazionate al motore antispam, pertanto ogni email blacklistata verrà marcata come spam, al pari della posta indesiderata.
3.3. Antispam
3.3.1 Qual'è la differenza tra RBL in fase di Envelope e RBL in fase di Analisi?
Le RBL in fase di Envelope vengono interpellate direttamente da Postfix e sono in grado di rifiutare un messaggio in fase di HELO, conoscendone principalmente l'indirizzo ip del server mittente. Lo scarto di un'email in questa fase riduce il traffico (l'email non viene neanche scaricata, ma direttamente rifiutata con un errore di tipo 5.x.x), pertanto la stessa non finirà nella cartella IMAP Junk (o indesiderata) del destinatario.
Le RBL in fase di Analisi, invece, intervengono grazie a SpamAssassin ed in una fase successiva alla ricezione dell'email sul server. Pertanto sono in grado di leggere il contenuto del body e intraprendere azioni in base alle maggiori informazioni a disposizione (url contenuti nell'email, body compliant, etc..). Queste email, se identificate come indesiderate, a differenza di quelle scartate in fase di Envelope, verranno marcate come spam e finiranno nella cartella IMAP Junk del destinatario.
Per maggiori approfondimenti si consiglia la lettura della sezione "Approfondimenti > Tecniche Antispam".
3.3.2 Ho ricevuto più spam del solito, perchè?
Lo spam segue un andamento spesso prevedibile, composto fondamentalmente da 3 fasi che si ripetono all'infinito:
- Una nuova tipologia di spam, in grado di non essere completamente o parzialmente rilevata, viene propagata in rete
- Gli antispam identificano la nuova tipologia di spam
- I MailServer aggiornano il proprio motore antispam rendendo la nuova tipologia di spam inoffensiva
Queste fasi si ripetono pressochè all'infinito. Quindi è del tutto naturale che, in determinati periodi, si riceva più spam del solito. Il periodo che intercorre tra la nuova tipologia di spam e la scoperta del suo "antidoto" può durare da poche ore a delle settimane.
Vanno fatte, tuttavia, delle considerazioni:
- Alcune tipologie di spam possono essere molto complesse da rilevare. Basti pensare ad un'email indesiderata che contenga una riga di testo ed un link. Questo tipo di spam è difficile da identificare, salvo non inasprire troppo i controlli (si veda il punto successivo) con l'effetto di "catturare" anche email lecite.
- I filtri antispam (dopo una fase di analisi preliminare) si basano sui punteggi. All'interno della schermata del DMClient "Antispam e Antivirus > Criteri Generici" è possibile rendere il filtro più o meno severo agendo su questi punteggi. Concettualmente il DM parte con un'impostazione antispam in grado di evitare che email lecite finiscano nella posta indesiderata. Questo ha un contro: qualche email di spam può passare comunque (come quelle in esempio). Si pensi al sistema antispam come ad una bilancia in continua oscillazione. Se lo scopo è quello di evitare di perdere email importanti, allora qualche email di spam ogni tanto può passare. Se lo scopo è quello di non ricevere assolutamente spam, allora dovremo accettare il compromesso di vedere qualche email lecita finire nella cartella imap "indesiderata" (nessuna email, in ogni caso, viene cestinata). La grandezza delle maglie di questa "rete" è a discrezione dell'utilizzatore finale e si imposta lato server, per tutto il server.
- Ci sono varie tecniche antispam, se necessario abilitarne delle altre (come il greylist) e verificare comunque che la configurazione sul MailServer DM sia corretta
- Osservare i grafici dello spam in "Statistiche > Email e Spam" spesso aiuta a capire in che fase ci si trova e da quanto tempo è in corso l'ondata di spam. 5 email non rilevate su 1.000, sono un buon risultato e non c'è da allarmarsi. 5 email di spam non rilevato su 10, invece, devono destare attenzione. I numeri vanno sempre contestualizzati: a volte non diminuisce la capacità del MailServer di rilevare lo spam, ma aumenta semplicemente il numero di email fraudolente inviate verso il nostro dominio.
- Abilitare il database extra antivirus EBDB aiuta a bloccare phishing e email di spam. Questo database agisce a livello antivirus ed è in grado di bloccare link malevoli all'interno di un'email.
- Inviare sempre a indesiderata@propriodominio le email non rilevate riduce drasticamente il tempo di intervento. E', di fatto, l'unico modo con cui si informa il proprio mailserver di un'email non rilevata. Senza questa semplice operazione, il MailServer crederà, erroneamente, di non aver commesso alcuna inesattezza in fase di analisi.
- Un'ondata di spam può essere generata da problemi di sicurezza nati sui MailServer dei nostri interlocutori. Account compromessi e server con problemi possono propagare spam ai destinatari abituali contenuti nella rubrica degli account stessi. Non è inusuale che grandi provider possano incorrere in importanti problemi di sicurezza che poi si riflettono sulla rubrica dei propri utenti. Di recente giornali specializzati hanno affrontato la tematica degli account compromessi su importanti provider nazionali e internazionali. Quindi può accadere di ricevere spam da un nostro interlocutore abituale. Questo tipo di spam è complesso da rilevare, perchè nasce da un problema a monte di un mailserver normalmente ritenuto estremamente affidabile.
Cerca
FAQ
FAQ - 3. AntiSpam, Antivirus e Blacklist
FAQ - 5. DM CentralizedMonitor
FAQ - 6. Rubriche e Calendari condivisi
Fai una domanda/Proponi una FAQ
Video e Social
Canale YouTube DM MailServer
(iscriviti per ricevere aggiornamenti!)
Installare da zero un MailServer DM
Antivirus e Antispam nei MailServer DM
Statistiche e Grafici nei MailServer DM
Gestione delle Code e del Recapito nei MailServerDM
Archiviazione Automatica nei MailServer DM
Webmail e DMBigMail nei MailServer DM
Gestione della Sicurezza nei MailServer DM
Gestione delle Blacklist e Whitelist nei MailServerDM
Impostazioni di Sistema nei MailServer DM
Backup Automatizzato nei MailServer DM
Sincronizzazione IMAP con server remoti
Utenti online
Abbiamo 111 visitatori e nessun utente online