Se filtrar (por spam, vírus) mensagens enviadas ou não?

2

O objetivo dessas perguntas é entender os prós e contras da filtragem de e-mails enviados.

Eu sou administrador de um ISP. Como de costume, os usuários, que possuem IPs dinâmicos, podem enviar email somente com o servidor SMTP do ISP. Atualmente, os usuários podem enviar e-mails sem autorização dentro da rede, mas enviar e-mails para a Internet requer autorização no servidor SMTP. Assim, posso proteger a minha rede de ser banido por spam.

Mas vejo que alguns provedores permitem enviar e-mails para a Internet com seu servidor SMTP sem autorização. Isso é bom? Eles não têm medo de aparecer na DNSBL?

Então, o que você acha sobre a filtragem de mensagens enviadas? Use o filtro de conteúdo? Negar ou permitir que usuários não autorizados enviem e-mails? Como está configurado na sua produção?

    
por TiFFolk 05.11.2009 / 12:58

7 respostas

1

Não tenho certeza se entendi totalmente a pergunta com a parte sobre os provedores permitem o envio de e-mails para a Internet sem autorização. Se você quer dizer que os usuários da Internet que usam o servidor para enviar para outros usuários da Internet, isso é ruim. Seria considerado um retransmissor aberto e sim você provavelmente seria filtrado por outros ISPs.

Se você quer dizer que seus usuários internos estão enviando para a Internet, isso não é necessariamente ruim, é apenas uma decisão política. Você pode fazer isso protegendo o servidor apenas para retransmitir mensagens para seus intervalos de IP.

Nós não somos um ISP, mas trabalhei com eles. Enquanto lá, só permitíamos o envio de nosso próprio intervalo de IP, e se você estivesse fora da rede, teria que autorizar o servidor de e-mail a enviar mensagens e / ou usar a interface da web para usar o e-mail.

Servidores de e-mail foram limitados em quanto poderiam enviar por mensagem para que as pessoas não enviassem anexos enormes por e-mail.

O servidor de e-mail foi monitorado por picos de tráfego incomuns ... nenhum usuário doméstico deve estar enviando um fluxo constante de e-mails.

O roteador bloqueou a porta 25 para qualquer servidor que não fosse designado como o servidor de e-mail, para que os usuários domésticos não pudessem rodar seus próprios servidores de e-mail.

Filtrar mensagens de saída com algo como filtragem bayesiana pode ser um problema, pois falsos positivos criam uma experiência ruim para o usuário. Os usuários não gostam quando seus webbertubes agem como mágica e essa mágica não funciona para eles, especialmente se falhar aparentemente aleatoriamente. Seu suporte técnico também não apreciará as chamadas enfurecidas. Ou você pode perder usuários que apenas se cansam se tiverem uma experiência ruim com coisas "simplesmente não funcionando" (a menos que sejam pessoas que você quer que usem da sua rede, eu não sei).

Em geral, você deseja impedir o acesso não autorizado ao seu servidor. A autorização SMTP pode ser um pouco irritante para os usuários configurarem, mas geralmente não é tão ruim. Além disso, bloqueá-lo para colocar na lista de permissões seus próprios IPs para retransmissão e limitar o tamanho da mensagem deve ser bom. Você pode ou não querer adicionar também um bloqueio no envio de anexos executáveis (bat, pif, exe, com ...), mas essa é uma decisão política.

De qualquer forma, você precisa deixar claro em seu site e instruções para os usuários domésticos como e o que é permitido para o seu servidor de e-mail. Você ainda receberá os telefonemas sobre por que algo não funcionou ou o que uma mensagem de rejeição significa, já que os usuários geralmente não conseguem ler a mensagem com "anexo muito grande" escrito nela, mas a habilidade um pouco mais experiente apreciará a capacidade para procurar suas políticas e erros sem lidar com sua linha de ajuda.

    
por 05.11.2009 / 13:48
3

Eu trabalho para um ISP razoavelmente grande e temos a configuração da Spamassasin para filtrar e-mails em nossas retransmissões e políticas de saída para restringir a quantidade de emails que os usuários podem enviar em um determinado período de tempo. Os limites e as políticas da Spamassasin que usamos para esses relés não são tão rigorosos quanto em nossos servidores de entrada, onde ainda podemos entregar o e-mail para a pasta de spam do usuário, para que eles captem apenas o pior do pior.

Nós detectamos as rejeições periodicamente e, nos poucos anos em que usamos, ela nunca encontrou nada além de spam sendo rejeitado e não recebeu reclamações de usuários.

Estas restrições foram postas em prática em resposta a três problemas que estávamos tendo que estavam causando a lista negra e greylisting de nossos servidores de email. A primeira questão que você mencionou foi abuso de serviços de webmail. A segunda questão era a óbvia dos usuários com computadores infectados que enviavam spam sem o conhecimento deles. Essas políticas tiveram o efeito colateral de nos permitir entrar em contato com os usuários e alertá-los para possíveis infecções.

O terceiro motivo envolve o envio de mensagens pelos usuários através de nós para uma caixa de correio externa. Isso é especialmente um problema com domínios hospedados em que os usuários configuram suas caixas para encaminhar para uma variedade de locais externos. Esse e-mail encaminhado nos colocaria na lista negra, mesmo que não tivéssemos controle sobre o remetente e não quiséssemos limitar onde os clientes poderiam encaminhar seus e-mails.

Quanto à questão de autenticação, seria bom se pudéssemos solicitar aos usuários a autenticação, mas é uma realidade que você provavelmente tem usuários que foram configurados sem ela. Dependendo do tamanho da nossa base de usuários, pode valer a pena o esforço, mas se você estiver na mesma posição eu estou contatando centenas de milhares de usuários provavelmente não é viável.

Você menciona o espaço IP dinâmico para os clientes e, se o espaço IP estiver disponível apenas para seus usuários, onde você mantém registros de quem está autenticado em qual IP, eu diria que a verificação de autenticação em retransmissões por email não vale o esforço. Se, em vez disso, seus usuários estiverem usando o espaço IP compartilhado de um provedor de terceiros ou você não tiver os registros IP, a verificação de autenticação valerá a pena.

Você poderia contornar o problema de espaço IP compartilhado se vinculasse seu sistema de autenticação de acesso aos seus retransmissores de e-mail e permitisse somente retransmissão para IPs em que os clientes estivessem ativamente conectados. Até onde sei, não há sistemas de pré-compilação que façam isso então você provavelmente terá que rolar o seu próprio.

    
por 07.11.2009 / 00:52
1
  1. Requer autenticação para envio. Não faça pop-before-SMTP, ou registro de IP, ou qualquer outra coisa. Apenas SMTP-auth.
  2. Execute algumas verificações de spam triviais no correio de saída. Se eles dispararem, dê uma olhada humana e veja se o usuário é de propriedade (ou ruim).
  3. Mantenha alguns limites de imposição de sanidade sobre quanto spam pode ser enviado por vez por usuário.
  4. Veja as tendências em quanto os e-mails são enviados pelas pessoas. Minha avó, que envia 10 e-mails por dia, provavelmente não enviará 1000 algum dia. Se ela fizer isso, provavelmente é ok ter uma aparência humana e dizer "oh, não um bot de spam".
por 05.11.2009 / 17:24
1

Acho que o principal objetivo da filtragem de emails de saída seria limitar a propagação de vírus. Em outras palavras, abordar a situação em que o computador de um usuário foi comprometido e enviar email sem o usuário consentimento - especialmente quando se tenta auto-propagar enviando mensagens com anexos carregados de vírus.

Como outros já mencionaram - o que é spam para uma pessoa pode ser uma mensagem legítima para outra. A menos que sua base de usuários seja extremamente homogênea, eu não filtraria e-mails enviados por spam, mas eu filtraria os emails de saída em busca de vírus.

Em uma configuração corporativa, eu também notifico um administrador de qualquer remetente de vírus e uso isso como uma sinalização vermelha de que a estação de trabalho do usuário precisa de atenção.

    
por 05.11.2009 / 17:48
0

O que um ISP precisa fazer e deve fazer é muito diferente, penso, do que outras entidades precisam fazer e devem fazer. Pessoalmente, não permitiria que qualquer email não autenticado passasse pelo meu servidor. Em segundo lugar, a autenticação no seu servidor não impede o usuário de enviar spam e não é garantia de que você não vai acabar em uma lista de bloqueio. Eu recomendaria que você realizasse algum tipo de filtragem em todos os emails que transite seu servidor, tanto de entrada quanto de saída.

    
por 05.11.2009 / 13:43
0

Minha opinião é que um ISP não deve filtrar e-mails enviados por spam em nenhuma circunstância, a menos que especificamente solicitado por um usuário. O que uma pessoa ou sistema considera spam pode ser um e-mail legítimo para outros, já que qualquer pessoa que administre um sistema anti-spam estará ciente disso. No que diz respeito à verificação de vírus, não gostaria de ver nenhuma mensagem bloqueada com base na detecção positiva por nada menos que pelo menos três scanners. Existem muitos falsos positivos em contrário.

    
por 05.11.2009 / 16:59
0

Nah. Apenas requer autenticação para o correio de saída. Não filtre. No máximo, estabeleça um limite generoso no número de emails por 24 horas, ou algo parecido. Se alguém enviar mais de 10k de mensagens nesse intervalo, faça-lhes perguntas. Eles podem ser legítimos, mas as probabilidades são que eles só têm um spambot no seu PC.

Pergunte a si mesmo como você gostaria que seu ISP o tratasse e aja de acordo.

    
por 05.11.2009 / 17:11

Tags