Tcnicas Anti-Spam no NIC.

br

Paulo Bernardo Severiano da Silva - pbsilva@nic.br

Operaes - NIC.br
Eduardo Sztokbant - eduardo@registro.br
Engenharia Registro.br

Contedo

Motivao/Objetivo
Mecanismo: Fluxograma das mensagens
Tcnicas adotadas: particularidades e
problemas

SPF Sender Policy Framework.

Greylisting
Amavisd-new
Clamav
Spamassassin

Concluso

Motivao
-

Motivao:
-

At maro deste ano, cerca de 86% de todos os e-mails

trocados na Internet so SPAMS (fonte: Eletronic Commerce in
Canada[1])
[1] http://e-com.ic.gc.ca/epic/internet/inecic-ceac.nsf/Intro

Mensagens indesejadas diminuem a produtividade e aumentam

custos.

O uso exclusivo de filtro bayesiano (Bogofilter) no estava mais

sendo suficiente.

Objetivo
-

Diminuir ao mximo o nmero de mensagens

no-solicitadas na rede do NIC.br.

Princpios
-

Minimizar o impacto para o usurio.

No perder mensagens legtimas.
Utilizao de ferramentas livres!!

Mecanismo

SPF Sender Policy Framework

-

Funcionamento:
- Depende de duas partes distintas e independentes
1) Publicao no DNS das mquinas autorizadas a enviar e-mails
@domnio
registro.br. IN TXT

"v=spf1 a mx a:mailexploder.registro.br -all

2) Verificao do record DNS publicado feita pelo servidor

recipiente
-

Os mecanismos so avaliados sequencialmente e podem ser

prefixados por:
- fail
~ softfail
+ pass ? neutral
Default: pass

SPF Sender Policy Framework

-

Particularidades
-

O sucesso do SPF proporcional sua adoo pela

comunidade, tanto na verificao quanto na publicao dos
records.

Muitos dos grandes servidores publicam records TXT

relativos ao SPF (ex: UOL, Terra, Gmail, Hotmail...)

SPF Sender Policy Framework

-

Problemas enfrentados
-

Usurios que usam mais de uma conta de e-mail e enviam

suas mensagens por apenas um servidor.

soluo: estudar atentamente todas as mquinas a
serem includas no record SPF.

Verificao de SPF aps forward interno da mensagem:

aparentemente a mensagem ter vindo de um servidor
interno, provavelmente invlido.

soluo: SPF deve ser configurado no MTA da borda.

Greylisting
Funcionamento:
Princpio: MTAs legtimos funcionam conforme a RFC 2821,
fazendo tentativa de reenvio ao receber um erro temporrio,
diferentemente de spammers e vrus na maioria das vezes.
Baseia-se na trinca From, To e IP de origem da mensagem.
Mensagens com trincas jamais vistas antes, recebem erro
temporrio.
Se h nova tentativa aps um delay pr-determinado
(normalmente 5 minutos) a mensagem aceita.

Greylisting
Particularidades:
- Possibilidade de coordenar com whitelists
Problemas enfrentados:
- Transtorno para usurios que no querem ou no
podem esperar reenvio da mensagem.
- Alguns MTAs legtimos no retransmitem a
mensagem ao receber um erro temporrio. Estes
devem ser colocados em whitelist.

Amavisd-new
-

Funcionamento:
-

Interface entre o MTA e controladores de contedo

-

Particularidades:
-

Spamassassin: classificao de Spamicidade

Clamav: verificao de vrus

Mensagens nunca so rejeitadas, apenas etiquetadas para

que os usurios no percam mensagens classificadas
erroneamente.

Problemas enfrentados:
-

Ateno ao espao em disco X mensagens em quarentena

Spamassassin/Clamav
-

Utilizao
- Somente tagging, mensagens sero entregues de
qualquer maneira

Spamassassin
- Diversos mecanismos de classificao, inclusive bayesiana
- Problema encontrado: reclassificao de falsos-positivos e
falsos-negativos

Clamav
- Acrescenta warning s mensagens infectadas
- Verifica dentro de arquivos compactados

Concluso
-

Resultados excelentes, imediatamente notados e elogiados pelos

usurios.

Flexibilidade de whitelists permitiu um timo aproveitamento dos

benefcios do SPF e Greylisting.

Atualmente praticamente invivel a no implementao de

polticas anti-spam.

A combinao de mltiplas etapas se mostrou extremamente

eficiente, pois uma acaba suprindo a deficincia da outra. Na
prtica a esmagadora maioria das mensagens que passou pelos
filtros (SPF/Greylisting) acabou sendo classificada corretamente
pelo SpamAssassin.

Links relacionados

Amavisd-new
Spamassassin
Clamav
SPF
Greylisting

http://www.ijs.si/software/amavisd/
http://spamassassin.apache.org/
http://www.clamav.net/
http://spf.pobox.com/
http://www.greylisting.org/

Registro.br

http://registro.br

Perguntas

Paulo Bernardo Severiano da Silva - pbsilva@nic.br

Operaes - NIC.br
Eduardo Sztokbant - eduardo@registro.br
Engenharia Registro.br