Configurações gerais de proteção

O Kaspersky Secure Mail Gateway protege o tráfego de entrada e saída de e-mails da organização. É possível definir as seguintes configurações gerais de proteção:

• Proteção Antivírus
• Verificação de links
• Proteção Antispam
• Proteção Antiphishing
• Filtragem de conteúdo de mensagens
• Autenticação de remetente de e-mail

As configurações gerais de proteção são aplicadas ao verificar todas as mensagens. É possível configurar as ações implementadas em mensagens após a verificação e configurações adicionais usando as regras de processamento de mensagens.

Proteção Antivírus

O Kaspersky Secure Mail Gateway executa a proteção Antivírus das mensagens: verifica as mensagens de e-mail em busca de vírus e outras ameaças e desinfecta os objetos infectados usando a versão atual (mais recente) dos bancos de dados de Antivírus.

As mensagens são verificadas em busca de vírus e outras ameaças pelo módulo Antivírus. O módulo Antivírus verifica o corpo da mensagem e todos os arquivos anexados em qualquer formato (anexos) usando os bancos de dados de Antivírus. O módulo Antivírus detecta e bloqueia os anexos de e-mail destinados a um número limitado de destinatários e são componentes de ataques direcionados, sendo criados para explorar as vulnerabilidades do software.

É possível definir as seguintes configurações do módulo Antivírus:

• Análise heurística

  Tecnologia desenvolvida para detectar ameaças que não podem ser detectadas usando a versão atual dos bancos de dados do aplicativo da Kaspersky. Ela detecta arquivos que podem estar infectados com um vírus desconhecido ou uma nova variedade de um vírus conhecido.

• Duração máxima da verificação de mensagens
• Profundidade máxima da verificação de arquivos comprimidos
• Exclusões da verificação para determinados aplicativos legítimos que podem ser usados por hackers

Conforme os resultados da verificação, o módulo Antivírus atribui um status à mensagem:

• Não detectado significa que a mensagem não está infectada.
• Infectado significa que a mensagem está infectada; ou ela não pode ser desinfectada ou não se tentou desinfectá-la.
• Desinfectado significa que a mensagem foi desinfectada.
• Criptografado significa que a mensagem não pôde ser verificada pois está criptografada.
• Erro significa que houve um erro durante a verificação da mensagem.
• Erro de banco de dados significa que a mensagem não pôde ser verificada devido a um erro durante a aplicação dos bancos de dados do aplicativo.
• Ameaça de invasão significa que o objeto pode ser usado por hackers para invadir a LAN.
• Não verificado significa que a mensagem não foi verificada de acordo com as configurações do aplicativo.
• Provavelmente infectado significa que o objeto contém sinais de malware.

O módulo Antivírus está ativado por padrão. Caso necessário, é possível desativar o módulo Antivírus ou desativar a verificação do Antivírus para qualquer regra.

Verificação de links

O Kaspersky Secure Mail Gateway verifica se os links no corpo da mensagem são maliciosos, publicitários ou relacionados a programas legítimos que podem provocar danos ao computador.

É possível alterar as configurações de verificação de links a seguir:

• Duração máxima da verificação de mensagens.
• Exclusões da verificação.

  É possível desativar a detecção de links de publicidade e links importantes relacionados a certos programas legítimos.

Com base nos resultados da verificação de links, o aplicativo atribui um dos seguintes status à mensagem:

• Erro de banco de dados significa que a mensagem não pôde ser verificada devido a um erro no banco de dados do aplicativo.
• Não detectado significa que a mensagem não contém links que poderiam ser detectados de acordo com as configurações do aplicativo.
• Erro significa que a verificação retornou um erro.
• Detectado significa que a mensagem contém links maliciosos, publicitários ou links relacionados a programas legítimos.
• Não verificado significa que a mensagem não foi verificada de acordo com as configurações do aplicativo.

Proteção Antispam

O Kaspersky Secure Mail Gateway filtra as mensagens passando pelo servidor de e-mail para remover e-mail não solicitados (spam).

As mensagens são verificadas em busca de spam pelo módulo Antispam. O módulo Antispam verifica cada mensagem em busca de sinais de spam. Primeiramente, o módulo Antispam verifica os atributos da mensagem, como endereços de remetente e destinatário, tamanho e cabeçalhos (incluindo os campos De e Para). Em segundo lugar, o módulo Antispam analisa o conteúdo da mensagem (incluindo o cabeçalho do Assunto) e os arquivos anexados.

Se um spam ou um provável spam forem detectados em uma mensagem, será atribuído um certo status a ela, dependendo da classificação de spam. A classificação de uma mensagem spam é um número inteiro de 0 a 100 que é a soma de pontos atribuídos à mensagem para cada vez que o módulo Antispam foi acionado durante o processamento da mensagem. A classificação de spam leva em consideração os resultados da verificação de SPF e da filtragem de reputação das mensagens.

Quando o módulo antispam está ativado, a proteção contra ataques BEC é ativada automaticamente. Esta proteção ajuda a reconhecer as mensagens falsificadas de hackers que tentam comprometer a correspondência comercial.

É possível definir as seguintes configurações do módulo Antispam:

• Serviço Moebius.

  Serviço de atualização instantânea do banco de dados do Antispam que permite a instalação de atualizações críticas em tempo real.

  O serviço Moebius compara o banco de dados atual do Anti-Spam usado pelo aplicativo com o banco de dados no servidor Moebius e determina a diferença. As entradas ausentes são então enviadas para o Nó de controle por HTTPS. Para manter o tamanho dos dados transmitidos razoável e garantir o funcionamento normal do servidor Moebius, as bases de dados do Antispam devem ser atualizadas regularmente.

• Proteção contra spoofing do Active Directory.

  Um tipo de ataque baseado na falsificação (spoofing) dos dados transmitidos. O spoofing pode ter como objetivo obter privilégios elevados, principalmente contornando o mecanismo de verificação ao gerar uma solicitação semelhante a uma solicitação autêntica. Uma variante do spoofing é forjar um cabeçalho HTTP para obter acesso ao conteúdo oculto.

  O objetivo do spoofing também pode ser enganar um usuário. Um exemplo clássico de tal ataque é a falsificação do endereço do remetente em e-mails.

  O módulo antispam ajuda a prevenir ataques de spoofing nos quais os hackers usam um nome falso (nome para exibição) no cabeçalho da mensagem "De", e o domínio a partir do qual a mensagem foi enviada não corresponde ao domínio da organização específica. É possível indicar um grupo do Active Directory contendo no máximo 10.000 usuários que estarão protegidos contra spoofing.

• Verificar a reputação dos endereços IP e domínios.

  Esta opção permite verificar os dados da sessão SMTP de acordo com os registros de endereços IP e domínios bloqueados nos bancos de dados do módulo Antispam.

• Quarentena do Antispam.

  Um local de Backup onde as mensagens de e-mail são mantidas temporariamente caso o módulo Antispam não consiga atribuir um status final após uma verificação.

  A Quarentena do Antispam está disponível somente se a participação na KSN estiver ativada.

  Após uma mensagem ser colocada na Quarentena do Antispam, o aplicativo entra em contato com os servidores da KSN para uma nova verificação da mensagem. O serviço na nuvem da KSN melhora a precisão da detecção de spam porque os bancos de dados da KSN contêm informações mais atualizadas em comparação aos bancos de dados do Antispam usados pelo aplicativo.

• Duração máxima da verificação de mensagens.
• Período máximo de armazenamento de uma mensagem na Quarentena do Antispam
• Número máximo de mensagens na Quarentena do Antispam.
• Tamanho máximo da Quarentena do Antispam.

De acordo com os resultados das verificações do Antispam, o módulo Antispam atribui um dos seguintes status à mensagem:

• Não detectado significa que a mensagem não contém spam.
• Spam significa que a mensagem foi, de fato, diagnosticada como spam.
• Spam provável significa que a mensagem provavelmente é spam.
• E-mail em massa significa que a mensagem pertence a uma campanha de e-mail em massa.
• Erro significa que a verificação retornou um erro.
• Erro de banco de dados significa que a mensagem não pôde ser verificada devido a um erro no banco de dados do aplicativo.
• Mensagem formal significa que o aplicativo trata a mensagem como uma notificação formal gerada automaticamente (por exemplo, respostas automáticas dos usuários ou notificações sobre o tamanho excedido da caixa de e-mail).
• Não verificado significa que a mensagem não foi verificada de acordo com as configurações do aplicativo.
• Confiável significa que a mensagem foi recebida de um remetente cujo domínio está na lista de domínios permitidos nos bancos de dados do módulo Antispam e a mensagem passou na autenticação de remetente DMARC.

De acordo com os resultados de verificação, o cabeçalho X-header X-MS-Exchange-Organization-SCL é adicionado à mensagem. Esse cabeçalho contém a classificação SCL.

Por padrão, o módulo Antispam está ativado. Caso seja necessário, é possível desativar o módulo Antispam ou desativar a verificação do Antispam para qualquer regra.

Proteção Antiphishing

O Kaspersky Secure Mail Gateway filtra as mensagens que passam pelo servidor de e-mail para remover phishing.

As mensagens são verificadas em busca de phishing pelo módulo Antiphishing. O módulo Antiphishing analisa o conteúdo da mensagem (incluindo o cabeçalho do Assunto) e os arquivos anexados.

É possível configurar a duração máxima de uma verificação de antiphishing.

De acordo com os resultados da verificação, o módulo Antiphishing atribui um status à mensagem:

• Não detectado significa que a mensagem não contém URLs, imagens ou texto de phishing que podem induzir o usuário a divulgar dados confidenciais aos hackers, bem como links para sites com malware.
• Phishing significa que a mensagem contém imagens ou texto que podem induzir o usuário a divulgar dados confidenciais aos hackers.
• Link de phishing significa que foi encontrado na mensagem um link para um site com malware.
• Erro significa que a verificação retornou um erro.
• Erro de banco de dados significa que a mensagem não pôde ser verificada devido a um erro no banco de dados do aplicativo.
• Não verificado significa que a mensagem não foi verificada de acordo com as configurações do aplicativo.

O módulo Antiphishing está ativado por padrão. Caso seja necessário, é possível desativar o módulo Antiphishing ou desativar a verificação do Antiphishing para qualquer regra.

Filtragem de conteúdo de mensagens

O Kaspersky Secure Mail Gateway pode realizar a filtragem de conteúdo das mensagens que são transmitidas pelo servidor de e-mail. É possível restringir a transmissão de mensagens com parâmetros específicos pelo servidor de e-mail.

É possível definir as seguintes configurações de Filtragem de conteúdo:

• Duração máxima da verificação de mensagens
• Profundidade máxima da verificação de arquivos comprimidos

Como resultado da Filtragem de conteúdo, o módulo de controle de verificação de mensagens Scan Logic atribui um dos seguintes status de Filtragem de conteúdo às mensagens:

• Não detectado significa que a mensagem não contém nenhuma violação das restrições especificadas nas configurações de Filtragem de conteúdo.
• Nome de arquivo banido significa que a mensagem contém um anexo com um nome banido.
• Formato de arquivo banido significa que a mensagem contém um anexo com um formato de arquivo banido.
• Tamanho excedido significa que a mensagem excede o tamanho máximo permitido.
• Erro de banco de dados significa que a mensagem não pôde ser verificada devido a um erro no banco de dados do aplicativo.
• Erro significa que a verificação retornou um erro.
• Não verificado significa que a mensagem não foi verificada de acordo com as configurações do aplicativo.

Por padrão, a filtragem de conteúdo das mensagens foi ativada. Caso seja necessário, é possível desativar a Filtragem de conteúdo em configurações gerais de proteção ou por regra.

Autenticação de remetente de e-mail

A Autenticação de remetente de e-mail foi desenvolvida para fornecer proteção adicional para a infraestrutura de e-mail corporativa contra spam e phishing.

O Kaspersky Secure Mail Gateway usa as seguintes tecnologias de Autenticação de remetente de e-mail:

• Autenticação SPF (Sender Policy Framework).
• Autenticação DKIM (DomainKeys Identified Mail).
• Autenticação DMARC (Domain-based Message Authentication, Reporting and Conformance).

Autenticação de remetente de e-mail SPF – Comparação de endereços IP de remetentes de e-mail com a lista de possíveis fontes de mensagens criada pelo administrador do servidor de e-mail.

O Kaspersky Secure Mail Gateway recebe listas de possíveis fontes de mensagens do servidor DNS.

Ative a autenticação de mensagens SPF se o Kaspersky Secure Mail Gateway receber mensagens diretamente da Internet. Desative a autenticação de mensagens SPF se o Kaspersky Secure Mail Gateway receber mensagens de um servidor interno intermediário.

Autenticação de remetente de e-mail DKIM – verificação da assinatura digital adicionada às mensagens.

Uma assinatura digital associada ao nome de domínio da organização é adicionada às mensagens. O Kaspersky Secure Mail Gateway verifica essa assinatura digital.

Autenticação de remetente de e-mail DMARC – Verificação que determina a política e as ações implementadas nas mensagens de acordo com os resultados do SPF e da Autenticação de remetente de e-mail DKIM.

A autenticação SPF e DKIM deve ser ativada para executar a autenticação DMARC. Caso a autenticação SPF ou DKIM esteja desativada, a autenticação DMARC também será desativada.

Após a mensagem ter passado pela autenticação SPF e DKIM, o programa verifica se o domínio contendo o endereço do remetente no campo De do cabeçalho da mensagem corresponde aos IDs SPF e DKIM.

Para ativar a Autenticação de remetente de e-mail SPF, DKIM e DMARC, é necessário permitir a conexão do Kaspersky Secure Mail Gateway com o servidor DNS. Se a conexão com o servidor DNS for proibida, a Autenticação de remetente de e-mail SPF, DKIM e DMARC é desativada.

De acordo com os resultados da Autenticação de remetente de e-mail, um dos seguintes status será atribuído à mensagem:

• Não detectado significa que violações de autenticação não foram detectadas na mensagem.
• Erro significa que um erro ocorreu durante a autenticação.
• Falha na autenticação significa que a autenticação não pôde ser realizada.
• Não verificado significa que a mensagem não foi verificada de acordo com as configurações do aplicativo.
• Violação encontrada significa que pelo menos uma autenticação foi violada.
• Violação não encontrada significa que não foram detectadas violações de autenticação.

Por padrão, todas as verificações de Autenticação de remetente de e-mail estão ativadas. Caso seja necessário, é possível desativar a Autenticação de remetente de e-mail nas configurações gerais de proteção ou por regra.

Para permitir que o servidor de e-mail remoto execute a Autenticação de remetente de mensagens de saída (quando o remetente da mensagem for o Kaspersky Secure Mail Gateway), é necessário adotar medidas para adicionar os registros SPF e DMARC nas configurações do servidor DNS.