Configurações gerais de proteção
26 de abril de 2024
ID 203003
O Kaspersky Secure Mail Gateway protege o tráfego de entrada e saída de e-mails da organização. É possível definir as seguintes configurações gerais de proteção:
- Proteção Antivírus
- Verificação de links
- Proteção Antispam
- Proteção Antiphishing
- Filtragem de conteúdo de mensagens
- Autenticação de remetente de e-mail
As configurações gerais de proteção são aplicadas ao verificar todas as mensagens. É possível configurar as ações implementadas em mensagens após a verificação e configurações adicionais usando as regras de processamento de mensagens.
O Kaspersky Secure Mail Gateway executa a proteção Antivírus das mensagens: verifica as mensagens de e-mail em busca de vírus e outras ameaças e desinfecta os objetos infectados usando a versão atual (mais recente) dos bancos de dados de Antivírus.
As mensagens são verificadas em busca de vírus e outras ameaças pelo módulo Antivírus. O módulo Antivírus verifica o corpo da mensagem e todos os arquivos anexados em qualquer formato (anexos) usando os bancos de dados de Antivírus. O módulo Antivírus detecta e bloqueia os anexos de e-mail destinados a um número limitado de destinatários e são componentes de ataques direcionados, sendo criados para explorar as vulnerabilidades do software.
É possível definir as seguintes configurações do módulo Antivírus:
- Análise heurística
- Duração máxima da verificação de mensagens
- Profundidade máxima da verificação de arquivos comprimidos
- Exclusões da verificação para determinados aplicativos legítimos que podem ser usados por hackers
Conforme os resultados da verificação, o módulo Antivírus atribui um status à mensagem:
- Não detectado significa que a mensagem não está infectada.
- Infectado significa que a mensagem está infectada; ou ela não pode ser desinfectada ou não se tentou desinfectá-la.
- Desinfectado significa que a mensagem foi desinfectada.
- Criptografado significa que a mensagem não pôde ser verificada pois está criptografada.
- Erro significa que houve um erro durante a verificação da mensagem.
- Erro de banco de dados significa que a mensagem não pôde ser verificada devido a um erro durante a aplicação dos bancos de dados do aplicativo.
- Ameaça de invasão significa que o objeto pode ser usado por hackers para invadir a LAN.
- Não verificado significa que a mensagem não foi verificada de acordo com as configurações do aplicativo.
- Provavelmente infectado significa que o objeto contém sinais de malware.
O módulo Antivírus está ativado por padrão. Caso necessário, é possível desativar o módulo Antivírus ou desativar a verificação do Antivírus para qualquer regra.
O Kaspersky Secure Mail Gateway verifica se os links no corpo da mensagem são maliciosos, publicitários ou relacionados a programas legítimos que podem provocar danos ao computador.
É possível alterar as configurações de verificação de links a seguir:
- Duração máxima da verificação de mensagens.
- Exclusões da verificação.
É possível desativar a detecção de links de publicidade e links importantes relacionados a certos programas legítimos.
Com base nos resultados da verificação de links, o aplicativo atribui um dos seguintes status à mensagem:
- Erro de banco de dados significa que a mensagem não pôde ser verificada devido a um erro no banco de dados do aplicativo.
- Não detectado significa que a mensagem não contém links que poderiam ser detectados de acordo com as configurações do aplicativo.
- Erro significa que a verificação retornou um erro.
- Detectado significa que a mensagem contém links maliciosos, publicitários ou links relacionados a programas legítimos.
- Não verificado significa que a mensagem não foi verificada de acordo com as configurações do aplicativo.
O Kaspersky Secure Mail Gateway filtra as mensagens passando pelo servidor de e-mail para remover e-mail não solicitados (spam).
As mensagens são verificadas em busca de spam pelo módulo Antispam. O módulo Antispam verifica cada mensagem em busca de sinais de spam. Primeiramente, o módulo Antispam verifica os atributos da mensagem, como endereços de remetente e destinatário, tamanho e cabeçalhos (incluindo os campos De e Para). Em segundo lugar, o módulo Antispam analisa o conteúdo da mensagem (incluindo o cabeçalho do Assunto) e os arquivos anexados.
Se um spam ou um provável spam forem detectados em uma mensagem, será atribuído um certo status a ela, dependendo da classificação de spam. A classificação de uma mensagem spam é um número inteiro de 0 a 100 que é a soma de pontos atribuídos à mensagem para cada vez que o módulo Antispam foi acionado durante o processamento da mensagem. A classificação de spam leva em consideração os resultados da verificação de SPF e da filtragem de reputação das mensagens.
Quando o módulo antispam está ativado, a proteção contra ataques BEC é ativada automaticamente. Esta proteção ajuda a reconhecer as mensagens falsificadas de hackers que tentam comprometer a correspondência comercial.
É possível definir as seguintes configurações do módulo Antispam:
- Serviço Moebius.
O serviço Moebius compara o banco de dados atual do Anti-Spam usado pelo aplicativo com o banco de dados no servidor Moebius e determina a diferença. As entradas ausentes são então enviadas para o Nó de controle por HTTPS. Para manter o tamanho dos dados transmitidos razoável e garantir o funcionamento normal do servidor Moebius, as bases de dados do Antispam devem ser atualizadas regularmente.
- Proteção contra spoofing do Active Directory.
O módulo antispam ajuda a prevenir ataques de spoofing nos quais os hackers usam um nome falso (nome para exibição) no cabeçalho da mensagem "De", e o domínio a partir do qual a mensagem foi enviada não corresponde ao domínio da organização específica. É possível indicar um grupo do Active Directory contendo no máximo 10.000 usuários que estarão protegidos contra spoofing.
- Verificar a reputação dos endereços IP e domínios.
Esta opção permite verificar os dados da sessão SMTP de acordo com os registros de endereços IP e domínios bloqueados nos bancos de dados do módulo Antispam.
- Quarentena do Antispam.
A Quarentena do Antispam está disponível somente se a participação na KSN estiver ativada.
Após uma mensagem ser colocada na Quarentena do Antispam, o aplicativo entra em contato com os servidores da KSN para uma nova verificação da mensagem. O serviço na nuvem da KSN melhora a precisão da detecção de spam porque os bancos de dados da KSN contêm informações mais atualizadas em comparação aos bancos de dados do Antispam usados pelo aplicativo.
- Duração máxima da verificação de mensagens.
- Período máximo de armazenamento de uma mensagem na Quarentena do Antispam
- Número máximo de mensagens na Quarentena do Antispam.
- Tamanho máximo da Quarentena do Antispam.
De acordo com os resultados das verificações do Antispam, o módulo Antispam atribui um dos seguintes status à mensagem:
- Não detectado significa que a mensagem não contém spam.
- Spam significa que a mensagem foi, de fato, diagnosticada como spam.
- Spam provável significa que a mensagem provavelmente é spam.
- E-mail em massa significa que a mensagem pertence a uma campanha de e-mail em massa.
- Erro significa que a verificação retornou um erro.
- Erro de banco de dados significa que a mensagem não pôde ser verificada devido a um erro no banco de dados do aplicativo.
- Mensagem formal significa que o aplicativo trata a mensagem como uma notificação formal gerada automaticamente (por exemplo, respostas automáticas dos usuários ou notificações sobre o tamanho excedido da caixa de e-mail).
- Não verificado significa que a mensagem não foi verificada de acordo com as configurações do aplicativo.
- Confiável significa que a mensagem foi recebida de um remetente cujo domínio está na lista de domínios permitidos nos bancos de dados do módulo Antispam e a mensagem passou na autenticação de remetente DMARC.
De acordo com os resultados de verificação, o cabeçalho X-header X-MS-Exchange-Organization-SCL
é adicionado à mensagem. Esse cabeçalho contém a classificação SCL.
Por padrão, o módulo Antispam está ativado. Caso seja necessário, é possível desativar o módulo Antispam ou desativar a verificação do Antispam para qualquer regra.
O Kaspersky Secure Mail Gateway filtra as mensagens que passam pelo servidor de e-mail para remover phishing.
As mensagens são verificadas em busca de phishing pelo módulo Antiphishing. O módulo Antiphishing analisa o conteúdo da mensagem (incluindo o cabeçalho do Assunto) e os arquivos anexados.
É possível configurar a duração máxima de uma verificação de antiphishing.
De acordo com os resultados da verificação, o módulo Antiphishing atribui um status à mensagem:
- Não detectado significa que a mensagem não contém URLs, imagens ou texto de phishing que podem induzir o usuário a divulgar dados confidenciais aos hackers, bem como links para sites com malware.
- Phishing significa que a mensagem contém imagens ou texto que podem induzir o usuário a divulgar dados confidenciais aos hackers.
- Link de phishing significa que foi encontrado na mensagem um link para um site com malware.
- Erro significa que a verificação retornou um erro.
- Erro de banco de dados significa que a mensagem não pôde ser verificada devido a um erro no banco de dados do aplicativo.
- Não verificado significa que a mensagem não foi verificada de acordo com as configurações do aplicativo.
O módulo Antiphishing está ativado por padrão. Caso seja necessário, é possível desativar o módulo Antiphishing ou desativar a verificação do Antiphishing para qualquer regra.
Filtragem de conteúdo de mensagens
O Kaspersky Secure Mail Gateway pode realizar a filtragem de conteúdo das mensagens que são transmitidas pelo servidor de e-mail. É possível restringir a transmissão de mensagens com parâmetros específicos pelo servidor de e-mail.
É possível definir as seguintes configurações de Filtragem de conteúdo:
- Duração máxima da verificação de mensagens
- Profundidade máxima da verificação de arquivos comprimidos
Como resultado da Filtragem de conteúdo, o módulo de controle de verificação de mensagens Scan Logic atribui um dos seguintes status de Filtragem de conteúdo às mensagens:
- Não detectado significa que a mensagem não contém nenhuma violação das restrições especificadas nas configurações de Filtragem de conteúdo.
- Nome de arquivo banido significa que a mensagem contém um anexo com um nome banido.
- Formato de arquivo banido significa que a mensagem contém um anexo com um formato de arquivo banido.
- Tamanho excedido significa que a mensagem excede o tamanho máximo permitido.
- Erro de banco de dados significa que a mensagem não pôde ser verificada devido a um erro no banco de dados do aplicativo.
- Erro significa que a verificação retornou um erro.
- Não verificado significa que a mensagem não foi verificada de acordo com as configurações do aplicativo.
Por padrão, a filtragem de conteúdo das mensagens foi ativada. Caso seja necessário, é possível desativar a Filtragem de conteúdo em configurações gerais de proteção ou por regra.
Autenticação de remetente de e-mail
A Autenticação de remetente de e-mail foi desenvolvida para fornecer proteção adicional para a infraestrutura de e-mail corporativa contra spam e phishing.
O Kaspersky Secure Mail Gateway usa as seguintes tecnologias de Autenticação de remetente de e-mail:
- Autenticação SPF (Sender Policy Framework).
- Autenticação DKIM (DomainKeys Identified Mail).
- Autenticação DMARC (Domain-based Message Authentication, Reporting and Conformance).
Autenticação de remetente de e-mail SPF – Comparação de endereços IP de remetentes de e-mail com a lista de possíveis fontes de mensagens criada pelo administrador do servidor de e-mail.
O Kaspersky Secure Mail Gateway recebe listas de possíveis fontes de mensagens do servidor DNS.
Ative a autenticação de mensagens SPF se o Kaspersky Secure Mail Gateway receber mensagens diretamente da Internet. Desative a autenticação de mensagens SPF se o Kaspersky Secure Mail Gateway receber mensagens de um servidor interno intermediário.
Autenticação de remetente de e-mail DKIM – verificação da assinatura digital adicionada às mensagens.
Uma assinatura digital associada ao nome de domínio da organização é adicionada às mensagens. O Kaspersky Secure Mail Gateway verifica essa assinatura digital.
Autenticação de remetente de e-mail DMARC – Verificação que determina a política e as ações implementadas nas mensagens de acordo com os resultados do SPF e da Autenticação de remetente de e-mail DKIM.
A autenticação SPF e DKIM deve ser ativada para executar a autenticação DMARC. Caso a autenticação SPF ou DKIM esteja desativada, a autenticação DMARC também será desativada.
Após a mensagem ter passado pela autenticação SPF e DKIM, o programa verifica se o domínio contendo o endereço do remetente no campo De do cabeçalho da mensagem corresponde aos IDs SPF e DKIM.
Para ativar a Autenticação de remetente de e-mail SPF, DKIM e DMARC, é necessário permitir a conexão do Kaspersky Secure Mail Gateway com o servidor DNS. Se a conexão com o servidor DNS for proibida, a Autenticação de remetente de e-mail SPF, DKIM e DMARC é desativada.
De acordo com os resultados da Autenticação de remetente de e-mail, um dos seguintes status será atribuído à mensagem:
- Não detectado significa que violações de autenticação não foram detectadas na mensagem.
- Erro significa que um erro ocorreu durante a autenticação.
- Falha na autenticação significa que a autenticação não pôde ser realizada.
- Não verificado significa que a mensagem não foi verificada de acordo com as configurações do aplicativo.
- Violação encontrada significa que pelo menos uma autenticação foi violada.
- Violação não encontrada significa que não foram detectadas violações de autenticação.
Por padrão, todas as verificações de Autenticação de remetente de e-mail estão ativadas. Caso seja necessário, é possível desativar a Autenticação de remetente de e-mail nas configurações gerais de proteção ou por regra.
Para permitir que o servidor de e-mail remoto execute a Autenticação de remetente de mensagens de saída (quando o remetente da mensagem for o Kaspersky Secure Mail Gateway), é necessário adotar medidas para adicionar os registros SPF e DMARC nas configurações do servidor DNS.