Sobre o Anti-SPAM da Specialist

O Anti-SPAM da Specialist é composto por uma série de programas opensource modificados pela própria Specialist para atender às suas necessidades, acrescidos de ferramentas (programas, scripts, etc) desenvoldidos por nós mesmos.

O funcionamento de nosso sistema de antispam é dividido em duas grandes etapas, aqui chamadas de AS-Nível1 e AS-Nível2

AS-Nível1:
(e-mails barrados nesse nível não chegam até o destinatário. O servidor derruba a conexão com o erro respectivo de volta ao remetente)

– Existem milhares de endereços IPs que estão impedidos (via firewall) de se conectar à porta 25 (smtp) dos servidores da Specialist. São IPs de servidores que oficialmente são usados por grandes spammers do mundo todo, neste caso o servidor da outra ponta (que esta tentando enviar a mensagem) nem consegue estabelecer uma conexão conosco. Caso o IP não esteja barrado, ele é processado nos itens abaixo; Para ver a lista de bloqueios, veja a página NOC/Postmaster.

– Quando uma conexão é realizada com sucesso, é feita uma verificação, em tempo real, se o IP do remetente (servidor) não está listado nas listas sbl.spamhaus.org, xbl.spamhaus.org, bl.spamcop.net e numa lista própria, mantida pela Specialist. Caso esteja, o servidor rejeita qualquer recebimento e informa ao remetente o motivo do bloqueio;
Passando por essas quatro listas, o servidor passa a aceitar os comandos para o recebimento do(s) e-mail(s) (helo, mail from, rcpt to, data etc);

– ao receber o comando “mail from” o sistema irá validar o e-mail do remetente, obrigatoriamente o domínio deve existir (é feito um lookup nesse domínio) bem como validará se o mesmo contém informações e/ou caracteres inválidos (ex: mail from: <Sugestão!> é totalmente inválido);

– ao receber o comando “rcpt to” o sistema fará exatamente a mesma validação acima, e caso o domínio seja local, o sistema já verifica se a caixa postal existe ou não, desta forma caso um spammer tente enviar spam para o servidor Specialist usando uma lista de palavras pré-definidas, na primeira caixa postal inexistente o servidor acusará erro, derrubando a conexão;

– se os dois comandos acima estiverem corretos, o sistema irá verificar se o domínio do remetente possui a cláusula SPF, caso exista, ele verifica se o IP do servidor remetente esta autorizado a enviar e-mail usando o domínio em questão. Veja mais sobre SPF/SRS

– O próximo passo é verificar se o endereço do remetente não está em nossa blacklist também. Veja a página “NOC/Postmaster” pois temos uma blacklist própria também.

– A seguir ele procurará no cabeçalho se o email possui assinatura de DomainKey (DK), se houver, fará a validação. Neste momento, mesmo que falhe a validação, o email não será recusado, apenas marcado como sendo um “Possível SPAM” por conta de um grande número de provedores com DK inválido ou incorreto. Veja mais sobre DKIM/DMARC

– a seguir o e-mail é recebido com sucesso e é passado a um programa que vai ler todo o cabeçalho da mensagem (todos os campos, linha por linha) para verificar se tudo esta seguindo as RFCs pertinentes, caso algum erro seja encontrado, a conexão é derrubada e enviado o referido erro ao remetente;

– o sistema irá barrar qualquer e-mail com anexos .vbs, .lnk, .scr, .wsh, .hta e .pif usados comumente para distribuição de arquivos contaminados pela grande maioria dos virus (caso realmente o cliente Specialist precise enviar um email com um arquivo com uma destas extenções ele poderá faze-lo zipando o arquivo primeiramente).

– após passar pelos testes acima, o e-mail passa pelo sistema antivírus (mais detalhes abaixo) para depois chegar no AS-Nível2.

AS-Nível2:
(e-mails barrados nesse nível são entregues ao destinatários, porém o assunto da mesma é trocado, deixando por conta do cliente o que fazer com o e-mail. Isso é feito pois nesse ponto não temos como ter certeza “absoluta” que o e-mail é mesmo um spam)

– quando a mensagem for entregue para o usuário local, o sistema antispam da Specialist (com base no Spam Assassin) realiza centenas de verificações no e-mail, para cada ítem que der positivo (como IP do remetente listado em black-lists, palavras-chave encontradas tipicamente em spams etc), é atribuído uma pontuação. Atingindo um certo número de pontos (que por padrão é 5), o e-mail passa a ser considerado um spam.

– como complemento ao processo acima descrito, Usamos o Vipul’s Razor (Razor2). Ele trabalha da seguinte forma: quando uma mensagem é entregue, o servidor Specialist “pergunta” para um sevidor público da Razor se tal mensagem já foi detectada em outros servidores, em caso afirmativo, a probabilidade dessa mensagem ser um spam aumenta consideravelmente e conseqüentemente aumentam os pontos atribuídos a ela.

Como informado, o nível 2 apenas muda o assunto do e-mail ao invés de barrá-lo. Isso é feito pois nesse ponto não é possível ter 100% de certeza que tal mensagem seja REALMENTE um spam. Dessa forma fica a critério do usuário o que deve ser feito com o e-mail. Caso ele use algum programa cliente POP3 (como Outlook Express, Thunderbird, etc), uma regra como “tudo que vier com assunto ‘[Possivel SPAM]’ seja colocado na pasta “SPAM” pode ser criada e com o tempo, se o usuário notar que ele não está recebendo falsos positivos, ou seja, mensagens legítimas que foram marcadas como spam erroneamente, ele pode mudar essa regra, optando por apagar definitivamente tais mensagens.

O mesmo procedimento acima pode ser feito via webmail, caso o cliente o utilizar.

O cliente também pode configurar e-mails que nunca poderão ser marcados como spam (whitelist) e os que sempre devem ser descartados (blacklist). Bem como mudar a sensibilidade do antispam (alterando o valor máximo da pontuação para que o e-mail seja tratado como spam).

Além disso, o próprio antispam gera uma lista automática dos e-mails, aprendendo com o tempo as mensagens que são ou não spam. Exemplo clássico: o usuário é assinante da newsletter do site XYZ. Na primeira vez que a mensagem for entregue, o AS-nível2 pode identificar que tal e-mail seja um spam, depois de receber essa mensagem repetidas vezes, o sistema “vai notar” que ela vem sempre do mesmo lugar, com o mesmo formato, e “conclui” que pode se tratar de uma newsletter, com isso ele deixa de marcá-la como spam.

Todos os testes realizados pelo antispam de Nivel2, ficam impressos no cabeçalho da mensagem, tornando possível o cliente verificar o motivo que levou (ou não) o e-mail ser taxado de SPAM.

Funcionamento Técnico do Antivírus

Qualquer mensagem enviada ou recebida pelo servidor é processada pelo antivírus durante o SMTP em real-time, caso o e-mail contenha anexos compactados, o sistema irá descompactá-los e verificar arquivo por arquivo.

Caso o e-mail esteja infectado, a conexão é finalizada com o erro respectivo de volta ao remetente.

(vale lembrar também que o antivírus trabalha com a técnica de análise heurística, que seria um algoritmo para tentar detectar vírus que ainda não possuem vacinas oficiais, baseado em “semelhanças” com outros vírus conhecidos)

O sistema verifica por novas vacinas no site do fabricante do antivírus a cada hora do dia, portanto, 24 vezes por dia!

Compartilhe isso:

Matérias relacionadas: