Configurações gerais de proteção

23 de maio de 2024

ID 203003

O Kaspersky Secure Mail Gateway protege o tráfego de entrada e saída de e-mails da organização. É possível definir as seguintes configurações gerais de proteção:

As configurações gerais de proteção são aplicadas ao verificar todas as mensagens. É possível configurar as ações implementadas em mensagens após a verificação e configurações adicionais usando as regras de processamento de mensagens.

Proteção Antivírus

O Kaspersky Secure Mail Gateway executa a proteção Antivírus das mensagens: verifica as mensagens de e-mail em busca de vírus e outras ameaças e desinfecta os objetos infectados usando a versão atual (mais recente) dos bancos de dados de Antivírus.

As mensagens são verificadas em busca de vírus e outras ameaças pelo módulo Antivírus. O módulo Antivírus verifica o corpo da mensagem e todos os arquivos anexados em qualquer formato (anexos) usando os bancos de dados de Antivírus. O módulo Antivírus detecta e bloqueia os anexos de e-mail destinados a um número limitado de destinatários e são componentes de ataques direcionados, sendo criados para explorar as vulnerabilidades do software.

É possível definir as seguintes configurações do módulo Antivírus:

  • Análise heurística
  • Duração máxima da verificação de mensagens
  • Profundidade máxima da verificação de arquivos comprimidos
  • Exclusões da verificação para determinados aplicativos legítimos que podem ser usados por hackers

Conforme os resultados da verificação, o módulo Antivírus atribui um status à mensagem:

  • Não detectado significa que a mensagem não está infectada.
  • Infectado significa que a mensagem está infectada; ou ela não pode ser desinfectada ou não se tentou desinfectá-la.
  • Desinfectado significa que a mensagem foi desinfectada.
  • Criptografado significa que a mensagem não pôde ser verificada pois está criptografada.
  • Erro significa que houve um erro durante a verificação da mensagem.
  • Erro de banco de dados significa que a mensagem não pôde ser verificada devido a um erro durante a aplicação dos bancos de dados do aplicativo.
  • Ameaça de invasão significa que o objeto pode ser usado por hackers para invadir a LAN.
  • Não verificado significa que a mensagem não foi verificada de acordo com as configurações do aplicativo.
  • Provavelmente infectado significa que o objeto contém sinais de malware.

O módulo Antivírus está ativado por padrão. Caso necessário, é possível desativar o módulo Antivírus ou desativar a verificação do Antivírus para qualquer regra.

Verificação de links

O Kaspersky Secure Mail Gateway verifica se os links no corpo da mensagem são maliciosos, publicitários ou relacionados a programas legítimos que podem provocar danos ao computador.

É possível alterar as configurações de verificação de links a seguir:

  • Duração máxima da verificação de mensagens.
  • Exclusões da verificação.

    É possível desativar a detecção de links de publicidade e links importantes relacionados a certos programas legítimos.

Com base nos resultados da verificação de links, o aplicativo atribui um dos seguintes status à mensagem:

  • Erro de banco de dados significa que a mensagem não pôde ser verificada devido a um erro no banco de dados do aplicativo.
  • Não detectado significa que a mensagem não contém links que poderiam ser detectados de acordo com as configurações do aplicativo.
  • Erro significa que a verificação retornou um erro.
  • Detectado significa que a mensagem contém links maliciosos, publicitários ou links relacionados a programas legítimos.
  • Não verificado significa que a mensagem não foi verificada de acordo com as configurações do aplicativo.

Proteção Antispam

O Kaspersky Secure Mail Gateway filtra as mensagens passando pelo servidor de e-mail para remover e-mail não solicitados (spam).

As mensagens são verificadas em busca de spam pelo módulo Antispam. O módulo Antispam verifica cada mensagem em busca de sinais de spam. Primeiramente, o módulo Antispam verifica os atributos da mensagem, como endereços de remetente e destinatário, tamanho e cabeçalhos (incluindo os campos De e Para). Em segundo lugar, o módulo Antispam analisa o conteúdo da mensagem (incluindo o cabeçalho do Assunto) e os arquivos anexados.

Se um spam ou um provável spam forem detectados em uma mensagem, será atribuído um certo status a ela, dependendo da classificação de spam. A classificação de uma mensagem spam é um número inteiro de 0 a 100 que é a soma de pontos atribuídos à mensagem para cada vez que o módulo Antispam foi acionado durante o processamento da mensagem. A classificação de spam leva em consideração os resultados da verificação de SPF e da filtragem de reputação das mensagens.

Quando o módulo antispam está ativado, a proteção contra ataques BEC é ativada automaticamente. Esta proteção ajuda a reconhecer as mensagens falsificadas de hackers que tentam comprometer a correspondência comercial.

É possível definir as seguintes configurações do módulo Antispam:

  • Serviço Moebius.

    O serviço Moebius compara o banco de dados atual do Anti-Spam usado pelo aplicativo com o banco de dados no servidor Moebius e determina a diferença. As entradas ausentes são então enviadas para o Nó de controle por HTTPS. Para manter o tamanho dos dados transmitidos razoável e garantir o funcionamento normal do servidor Moebius, as bases de dados do Antispam devem ser atualizadas regularmente.

  • Proteção contra spoofing do Active Directory.

    O módulo antispam ajuda a prevenir ataques de spoofing nos quais os hackers usam um nome falso (nome para exibição) no cabeçalho da mensagem "De", e o domínio a partir do qual a mensagem foi enviada não corresponde ao domínio da organização específica. É possível indicar um grupo do Active Directory contendo no máximo 10.000 usuários que estarão protegidos contra spoofing.

  • Verificar a reputação dos endereços IP e domínios.

    Esta opção permite verificar os dados da sessão SMTP de acordo com os registros de endereços IP e domínios bloqueados nos bancos de dados do módulo Antispam.

  • Quarentena do Antispam.

    A Quarentena do Antispam está disponível somente se a participação na KSN estiver ativada.

    Após uma mensagem ser colocada na Quarentena do Antispam, o aplicativo entra em contato com os servidores da KSN para uma nova verificação da mensagem. O serviço na nuvem da KSN melhora a precisão da detecção de spam porque os bancos de dados da KSN contêm informações mais atualizadas em comparação aos bancos de dados do Antispam usados pelo aplicativo.

  • Duração máxima da verificação de mensagens.
  • Período máximo de armazenamento de uma mensagem na Quarentena do Antispam
  • Número máximo de mensagens na Quarentena do Antispam.
  • Tamanho máximo da Quarentena do Antispam.

De acordo com os resultados das verificações do Antispam, o módulo Antispam atribui um dos seguintes status à mensagem:

  • Não detectado significa que a mensagem não contém spam.
  • Spam significa que a mensagem foi, de fato, diagnosticada como spam.
  • Spam provável significa que a mensagem provavelmente é spam.
  • E-mail em massa significa que a mensagem pertence a uma campanha de e-mail em massa.
  • Erro significa que a verificação retornou um erro.
  • Erro de banco de dados significa que a mensagem não pôde ser verificada devido a um erro no banco de dados do aplicativo.
  • Mensagem formal significa que o aplicativo trata a mensagem como uma notificação formal gerada automaticamente (por exemplo, respostas automáticas dos usuários ou notificações sobre o tamanho excedido da caixa de e-mail).
  • Não verificado significa que a mensagem não foi verificada de acordo com as configurações do aplicativo.
  • Confiável significa que a mensagem foi recebida de um remetente cujo domínio está na lista de domínios permitidos nos bancos de dados do módulo Antispam e a mensagem passou na autenticação de remetente DMARC.

De acordo com os resultados de verificação, o cabeçalho X-header X-MS-Exchange-Organization-SCL é adicionado à mensagem. Esse cabeçalho contém a classificação SCL.

Por padrão, o módulo Antispam está ativado. Caso seja necessário, é possível desativar o módulo Antispam ou desativar a verificação do Antispam para qualquer regra.

Proteção Antiphishing

O Kaspersky Secure Mail Gateway filtra as mensagens que passam pelo servidor de e-mail para remover phishing.

As mensagens são verificadas em busca de phishing pelo módulo Antiphishing. O módulo Antiphishing analisa o conteúdo da mensagem (incluindo o cabeçalho do Assunto) e os arquivos anexados.

É possível configurar a duração máxima de uma verificação de antiphishing.

De acordo com os resultados da verificação, o módulo Antiphishing atribui um status à mensagem:

  • Não detectado significa que a mensagem não contém URLs, imagens ou texto de phishing que podem induzir o usuário a divulgar dados confidenciais aos hackers, bem como links para sites com malware.
  • Phishing significa que a mensagem contém imagens ou texto que podem induzir o usuário a divulgar dados confidenciais aos hackers.
  • Link de phishing significa que foi encontrado na mensagem um link para um site com malware.
  • Erro significa que a verificação retornou um erro.
  • Erro de banco de dados significa que a mensagem não pôde ser verificada devido a um erro no banco de dados do aplicativo.
  • Não verificado significa que a mensagem não foi verificada de acordo com as configurações do aplicativo.

O módulo Antiphishing está ativado por padrão. Caso seja necessário, é possível desativar o módulo Antiphishing ou desativar a verificação do Antiphishing para qualquer regra.

Filtragem de conteúdo de mensagens

O Kaspersky Secure Mail Gateway pode realizar a filtragem de conteúdo das mensagens que são transmitidas pelo servidor de e-mail. É possível restringir a transmissão de mensagens com parâmetros específicos pelo servidor de e-mail.

É possível definir as seguintes configurações de Filtragem de conteúdo:

  • Duração máxima da verificação de mensagens
  • Profundidade máxima da verificação de arquivos comprimidos

Como resultado da Filtragem de conteúdo, o módulo de controle de verificação de mensagens Scan Logic atribui um dos seguintes status de Filtragem de conteúdo às mensagens:

  • Não detectado significa que a mensagem não contém nenhuma violação das restrições especificadas nas configurações de Filtragem de conteúdo.
  • Nome de arquivo banido significa que a mensagem contém um anexo com um nome banido.
  • Formato de arquivo banido significa que a mensagem contém um anexo com um formato de arquivo banido.
  • Tamanho excedido significa que a mensagem excede o tamanho máximo permitido.
  • Erro de banco de dados significa que a mensagem não pôde ser verificada devido a um erro no banco de dados do aplicativo.
  • Erro significa que a verificação retornou um erro.
  • Não verificado significa que a mensagem não foi verificada de acordo com as configurações do aplicativo.

Por padrão, a filtragem de conteúdo das mensagens foi ativada. Caso seja necessário, é possível desativar a Filtragem de conteúdo em configurações gerais de proteção ou por regra.

Autenticação de remetente de e-mail

A Autenticação de remetente de e-mail foi desenvolvida para fornecer proteção adicional para a infraestrutura de e-mail corporativa contra spam e phishing.

O Kaspersky Secure Mail Gateway usa as seguintes tecnologias de Autenticação de remetente de e-mail:

  • Autenticação SPF (Sender Policy Framework).
  • Autenticação DKIM (DomainKeys Identified Mail).
  • Autenticação DMARC (Domain-based Message Authentication, Reporting and Conformance).

Autenticação de remetente de e-mail SPF – Comparação de endereços IP de remetentes de e-mail com a lista de possíveis fontes de mensagens criada pelo administrador do servidor de e-mail.

O Kaspersky Secure Mail Gateway recebe listas de possíveis fontes de mensagens do servidor DNS.

Ative a autenticação de mensagens SPF se o Kaspersky Secure Mail Gateway receber mensagens diretamente da Internet. Desative a autenticação de mensagens SPF se o Kaspersky Secure Mail Gateway receber mensagens de um servidor interno intermediário.

Autenticação de remetente de e-mail DKIM – verificação da assinatura digital adicionada às mensagens.

Uma assinatura digital associada ao nome de domínio da organização é adicionada às mensagens. O Kaspersky Secure Mail Gateway verifica essa assinatura digital.

Autenticação de remetente de e-mail DMARC – Verificação que determina a política e as ações implementadas nas mensagens de acordo com os resultados do SPF e da Autenticação de remetente de e-mail DKIM.

A autenticação SPF e DKIM deve ser ativada para executar a autenticação DMARC. Caso a autenticação SPF ou DKIM esteja desativada, a autenticação DMARC também será desativada.

Após a mensagem ter passado pela autenticação SPF e DKIM, o programa verifica se o domínio contendo o endereço do remetente no campo De do cabeçalho da mensagem corresponde aos IDs SPF e DKIM.

Para ativar a Autenticação de remetente de e-mail SPF, DKIM e DMARC, é necessário permitir a conexão do Kaspersky Secure Mail Gateway com o servidor DNS. Se a conexão com o servidor DNS for proibida, a Autenticação de remetente de e-mail SPF, DKIM e DMARC é desativada.

De acordo com os resultados da Autenticação de remetente de e-mail, um dos seguintes status será atribuído à mensagem:

  • Não detectado significa que violações de autenticação não foram detectadas na mensagem.
  • Erro significa que um erro ocorreu durante a autenticação.
  • Falha na autenticação significa que a autenticação não pôde ser realizada.
  • Não verificado significa que a mensagem não foi verificada de acordo com as configurações do aplicativo.
  • Violação encontrada significa que pelo menos uma autenticação foi violada.
  • Violação não encontrada significa que não foram detectadas violações de autenticação.

Por padrão, todas as verificações de Autenticação de remetente de e-mail estão ativadas. Caso seja necessário, é possível desativar a Autenticação de remetente de e-mail nas configurações gerais de proteção ou por regra.

Para permitir que o servidor de e-mail remoto execute a Autenticação de remetente de mensagens de saída (quando o remetente da mensagem for o Kaspersky Secure Mail Gateway), é necessário adotar medidas para adicionar os registros SPF e DMARC nas configurações do servidor DNS.

Nesta seção de Ajuda

Sobre a proteção de computadores contra determinados aplicativos legítimos

Configurar o módulo Antivírus

Configuração da verificação de links

Definindo as configurações do módulo antispam

Configurar o módulo Antiphishing

Configurar a Filtragem de conteúdo

Configurar serviços externos

Preparar a configuração da Autenticação de remetente de e-mail SPF e DMARC para as mensagens de saída

Este artigo foi útil?
O que podemos melhorar?
Agradecemos o seu comentário! Ele nos ajuda a melhorar.
Agradecemos o seu comentário! Ele nos ajuda a melhorar.