Bloqueado?
Nossas soluções
As equipes de TI e segurança enfrentam vários desafios relacionados aos seus negócios com regularidade. Descubra como nossas soluções podem ajudar a superar alguns desses problemas.
Proteção de e-mail
De problemas de processamento a ameaças oriundas de e-mails, nossas listas de bloqueio se integram facilmente à sua configuração de e-mail em uso para melhorar a filtragem de e-mail contra spam e vírus.
Investigue
Utilize nossa inteligência de ameaças para aumentar a visibilidade em eventos de segurança e revelar possíveis pontos fracos na sua rede e ameaças à sua marca.
Proteção de rede
Fique em dia sobre as últimas ameaças e combata proativamente as infecções por botnet, e outras formas de abuso, com nossas soluções.
Proteção do usuário
Do clique em um e-mail de phishing às visitas a sites instaladores de malware, nossa inteligência de ameaças oferece proteção automática aos seus usuários.
Nossos produtos
Nossos produtos oferecem camadas adicionais de segurança a redes e e-mail. Eles também fornecem insight extra às equipes de segurança sobre comportamentos maliciosos.
Border Gateway Protocol (BGP) Firewall
Use seus roteadores existentes compatíveis com BGP e bloqueie o que há de pior na borda da sua rede. A configuração leva apenas alguns minutos.
Data Query Service (DQS)
Beneficie-se das listas de bloqueio em tempo real que lideram o mercado. Essas DNSBLs podem ser conectadas à sua infraestrutura de e-mail para bloquear spam e outras ameaças de e-mail.
Passive DNS
Uma poderosa ferramenta de pesquisa para investigar relações entre infraestruturas de internet. Mude rapidamente para novas áreas que exigem atenção para investigar possíveis ameaças sem demora.
DNS Firewall
Bloqueie imediatamente conexões a sites perigosos, incluindo sites instaladores de malware e phishing. Uma solução do tipo “˜programe e esqueça”.
Spamhaus Intelligence API
Dados de inteligência de ameaças em formato de API que permitem aos usuários integrar facilmente metadados relacionados a ameaças a seus próprios aplicativos, programas e produtos.
Nossos datasets
Uma ampla gama de datasets que oferecem várias camadas de proteção. Eles podem ser conectados diretamente ao seu hardware existente, o que os torna uma opção econômica.
Border Gateway Protocol (BGP) Feeds
Feeds de dados Do Not Route Or Peer (DROP) e Lista de controladores de botnet (BCL) podem ser emparelhados com seu roteador existente compatível com BGP.
Listas de bloqueio de conteúdo
As listas de bloqueio de domínio (DBL), reputação zero (ZRD) e hash (HBL) permitem que você bloqueie o conteúdo em e-mails, removendo uma taxa maior de ameaças oriundas de e-mail já na filtragem.
Dados para investigação
Passive DNS e datasets estendidos disponibilizam informações adicionais sobre recursos da internet. Eles oferecem insights mais aprofundados sobre incidentes e possíveis ameaças.
DNS Firewall Threat Feeds
Uma ampla gama de feeds para aplicar ao seu servidor recursivo DNS. Escolha o nível certo de proteção para a sua organização.
Listas de bloqueio de IP
As listas de bloqueio de Spam (SBL), Política (PBL), Exploits (XBL) e Auth (AuthBL) permitem que você filtre e-mails de IPs associados a spam, botnets e outras ameaças.
Quem somos
Saiba mais sobre nós.
Saiba mais sobre a Spamhaus: quem somos e o que fazemos.
Parceiros
Saiba com quem trabalhamos e como você pode se tornar um parceiro da Spamhaus.
Recursos
Central de recursos
Consulte uma infinidade de postagens de blogs, estudos de caso e relatórios.
Perguntas frequentes
Perguntas frequentes sobre os produtos e processos da Spamhaus.
Documentos técnicos
Informações minuciosas sobre detalhes técnicos e a implementação de nossos produtos.
Ajuda para usuários de espelhos públicos da Spamhaus
Você usa os espelhos públicos gratuitos da Spamhaus? Isso deve ser capaz de ajudar
O Portal de Reputação
Uma ferramenta para que proprietários de ASN tenham visibilidade da reputação de seus IPs e possam gerenciar inclusões de modo proativo.
O Blocklist Tester
Uma ferramenta para ajudá-lo a verificar se seus servidores estão configurados corretamente para usar o Spamhaus DNSBLs.
Para desenvolvedores
Perguntas frequentes relacionadas a nossos produtos e dados. Se tiver alguma dúvida e não encontrar uma resposta aqui, sinta-se à vontade para nos contatar diretamente.
A lista DROP contém intervalos de rede que podem causar tantos danos que a Spamhaus a oferece a todos, sem custos. Acreditamos que, devido à natureza vital dos dados da lista DROP, ela deva ser disponibilizada gratuitamente para todos, independentemente do porte ou tipo de negócio, para proteger os usuários da internet. Se quiser redistribuir os feeds em texto sem formatação, denomine a Spamhaus como a fonte dos dados e mantenha a declaração de direitos autorais e os registros de data e hora no início do arquivo de texto.
Qualquer indivíduo ou rede que tenha a capacidade de bloquear ou filtrar intervalos de endereço IP na rede usando um equipamento roteador pode usar feeds de dados BGP.
Temos dados arquivados desde 2014, contudo, a API acessa um banco de dados ativo que armazena dados até apenas um ano.
O número de registros varia consideravelmente. A quantidade de registros de dados no Passive DNS fica em torno de 370 milhões de registros, sem itens duplicados. Esse total não inclui determinados feeds derivados, como o feed de novos domínios, que geralmente disponibilizamos apenas como um produto independente especial ou um complemento.
Nós não monitoramos esse número ativamente, mas com certeza chega aos bilhões — provavelmente ultrapassa 40 bilhões.
Sim, podemos fornecer dados históricos, mas a um custo adicional. Para obter informações sobre preços, entre em contato com o departamento de vendas para que eles possam analisar o seu caso de uso e definir o melhor valor para você.
“Servidor de comando e controle de botnet”, “controlador de botnet” ou “botnet C2” são maneiras comuns de nos referirmos ao “botnet CC”. Os fraudadores usam esse recurso para controlar computadores infectados por malware (bots, ou robôs) e extrair valiosos dados pessoais das vítimas infectadas pelo malware.
Os botnet CCs desempenham um papel vital nas operações realizadas por cibercriminosos que usam computadores infectados para enviar spam ou ransomware, lançar ataques DDoS, aplicar golpes relacionados a bancos eletrônicos ou click fraud, ou minerar criptomoedas, como bitcoins. Computadores de mesa e dispositivos móveis, como smartphones, não são os únicos equipamentos que podem ser infectados. O número de dispositivos conectados à Internet aumenta a cada dia, por exemplo, os dispositivos de Internet das Coisas (IoT), como webcams, unidades de armazenamento de dados em rede (NAS) e muitos outros. Eles também correm o risco de serem infectados.
O termo “intermediador de acesso inicial” (Initial Access Broker, IAB) refere-se aos agentes de ameaças que operam em grupos para tentar violar redes corporativas. Eles usam várias táticas, técnicas e procedimentos (TTPs) para atingir seus objetivos.
Após conseguirem invadir a rede, eles determinarão fatores-chave pertinentes à rede que foi violada, por exemplo, localização, tamanho e setor de atuação. Isso lhes permite estipular um valor para os ativos. Depois disso, o intermediador negociará com os possíveis compradores que queiram adquirir o acesso à rede da vítima.
Se o seu sistema de gerenciamento de e-mail indica que os seus e-mails não estão sendo entregues, o primeiro passo é verificar os domínios ou endereços IP afetados usando a ferramenta de pesquisa na Central de remoção da lista de bloqueio da Spamhaus.
Essas listas de endereços IP e domínios são mantidas e controladas exclusivamente pelo The Spamhaus Project, que apresenta procedimentos claros para lidar com a remoção de entradas das listas. A Spamhaus Technology e seus parceiros autorizados gerenciam os serviços de feed de dados e infraestrutura associada das listas de inteligência de ameaças desenvolvidas pelo The Spamhaus Project. O conteúdo e a política das listas são mantidos e controlados exclusivamente pelo The Spamhaus Project.
A licença de desenvolvedor fica disponível por seis meses.
Se você não tiver certeza se as listas de bloqueio da Spamhaus/DNSBLs funcionarão de modo a reduzir a entrada de spam na sua rede, e se o seu tráfego de e-mail for muito alto para ser testado usando nossos espelhos de DNS público, você pode testar o serviço Data Query Service oferecido pela Spamhaus por 30 dias, sem custos e sem nenhum compromisso.
Sim. A licença de desenvolvedor pode ser renovada após seis meses.
A escolha do serviço a usar, Datafeed Query Service ou Datafeed Rsync Service, depende do tamanho da sua rede e do volume do seu tráfego de e-mail.
Se você tiver milhares de usuários e um tráfego de e-mails muito alto, ou quiser servir nossos dados DNSBL localmente a vários servidores de e-mail na sua rede, recomendamos usar o Rsync Service. O Rsync Service exige algumas configurações da sua parte (inclusive que você instale a Rbldnsd) e, geralmente, um servidor dedicado (embora seja possível executar a Rbldnsd na mesma máquina que o seu servidor DNS). Opte pelo Rsync Service apenas se você realmente entender por que prefere Rsync/Rbldnsd.
Se a sua rede for de pequeno ou médio porte, ou se você estiver em busca de uma solução descomplicada, sem softwares para instalar, a melhor escolha é o Datafeed Query Service (DQS). Com esse serviço, o Datafeed Service Group lhe atribui um ID de conta exclusivo e o acesso a um conjunto de servidores privados do Datafeed Query Service. O Query Service é bastante simples de instalar (literalmente, leva um minuto para instalar na maioria dos servidores de e-mail modernos) e não exige servidores ou softwares extras.
Os dois serviços oferecem o mesmo desempenho. Você pode mudar do Query Service para o Rsync Service mais tarde, se achar que precisa do Rsync Service.
Um “netblock sequestrado” é um netblock ressuscitado, também chamado “netblock zumbi”. O proprietário original do bloco pode tê-lo largado à deriva por diferentes motivos. Os intrusos se apossam desse bloco usando diferentes manobras, incluindo registrar um nome de domínio abandonado para aceitar e-mail para o contato do domínio que é o ponto de contato, imprimir um timbre falso ou fazer um pouco de engenharia social pelo telefone. Alguns sequestradores chegam até mesmo a roubar completamente um espaço de IP que é alocado para outra pessoa, simplesmente anunciando o espaço sob o número de sistema autônomo (ASN) do Border Gateway Protocol (BGP) deles.
ASNs também podem ser sequestrados. Os antigos ASNs abandonados são capturados por remetentes de spam, ou fornecedores de spammers, para anunciar vários intervalos de IP. É possível até que um netblock sequestrado seja anunciado por um ASN sequestrado!
A licença de desenvolvedor inclui 5.000 consultas por mês.
Os clientes poderão conectar a Spamhaus Intelligence API (SIA) a qualquer dispositivo SIEM, entretanto, será necessário desenvolver um conector do mesmo tipo, a menos que o SIEM possa fazer chamadas de API de forma nativa.
O processo de solicitação foi criado de maneira a permitir que as organizações iniciem uma solicitação de uso sem se comprometer a comprar o serviço ou fazer um pagamento até que estejam satisfeitas com o serviço e tenham aceito os seus termos e condições. O processo é:
1. Preencher e enviar o formulário de cadastramento para um teste gratuito de 30 dias ou o formulário para a criação de uma conta de serviço gratuita. 2. Receber e clicar no link de validação do e-mail para confirmar o seu interesse. 3. Para Passive DNS e Data Query Service, você obterá acesso imediato aos dados. Para DNS Firewall e Border Gateway Protocol (BGP) Feeds, precisaremos de um pouco mais de tempo para preparar tudo para você. 4. Enviaremos um e-mail confirmando o seu acesso aos dados. O e-mail também terá instruções sobre como acessar os dados. 5. Você receberá uma conta do Portal do Cliente da Spamhaus para acessar seu contrato de serviço, manuais técnicos, contato para ajuda e opções de assinatura, se necessário. 6. Observe que: o seu contrato de feed de dados/serviço é firmado diretamente com a Spamhaus e seus parceiros, não com o The Spamhaus Project. O The Spamhaus Project não exerce nenhuma atividade comercial.
Se forem necessários volumes adicionais de consultas para períodos curtos de teste, entre em contato com a nossa equipe e informe o seu caso de uso e requisitos.
Os feeds de dados BGP foram criados para entregar avisos de nulidade aos ISPs ou provedores de rede usando BGP, o que é implementado no nível do roteador. No entanto, a Spamhaus também oferece a lista DROP no formato de texto sem formatação, que pode ser implementada usando praticamente qualquer tipo de dispositivo ou software (gateways de rede, firewalls, proxies da Web, etc.).
Os dados recebidos dos assinantes não contêm informações pessoais identificáveis (PII), portanto, não há comprometimento dos dados da organização, dos clientes ou dos funcionários. Todos os dados são transportados para a Spamhaus criptografados.
O Passive DNS não armazena qual cliente (ou pessoa) fez uma consulta, apenas que, em algum momento, um domínio foi associado a um registro DNS específico. Isso garante que a privacidade seja mantida em todo o sistema.
A assinatura é anual.
A Spamhaus Technology e seus parceiros gerenciam os serviços de feed de dados e infraestrutura associada das listas de inteligência de ameaças desenvolvidas pelo The Spamhaus Project.
O conteúdo e a política das listas, de endereços IP e domínios, são mantidos e controlados exclusivamente pelo The Spamhaus Project, que apresenta procedimentos claros para lidar com a remoção de entradas das listas. Para começar, use a ferramenta de pesquisa na Central de remoção da lista de bloqueio da Spamhaus e siga as instruções.
Isso é feito através de uma chamada da API, conforme detalhado em nossa documentação técnica.
Não. Se você adotar os feeds de dados BGP ou a lista de botnet CC para a sua rede, não terá permissão para redistribuir o feed para outras redes. Exportar esses feeds/prefixos para outras redes é proibido. Veja nossos Termos e Condições.
Há dois limites para consultas: funcional e físico. O limite funcional gera um e-mail de aviso. O limite físico impede o acesso. Mais informações podem ser encontradas em nossa documentação técnica.
A Spamhaus quer garantir que os dados sejam entregues nas mãos de organizações habilitadas e bem-conceituadas, portanto, precisamos saber quem é você antes de lhe dar acesso aos dados da Spamhaus.
O Acordo de Serviço da Spamhaus é firmado entre você, a Spamhaus e os nossos parceiros. Você pode ver os termos e condições do serviço ao se cadastrar para uma avaliação gratuita ou para uma conta de serviço gratuita, antes de clicar no botão de envio.
Como cliente da Spamhaus, você também tem acesso ao Acordo de Serviço da Spamhaus através do Portal do Cliente, de onde pode baixá-lo em formato PDF.
Atualmente, as listas de bloqueio de exploits estendidas (eXBL) estão disponíveis através da SIA. Contudo, planejamos adicionar novos datasets em breve.
Sim. Caso o volume e o uso de um cliente não mudem, os preços serão ajustados a cada dois anos, aproximadamente, seguindo a inflação e o valor de mercado. Para clientes cujo uso tenha mudado, o preço será alterado de acordo, no momento da renovação anual. No caso de mudanças no meio do contrato que reflitam um uso muito acima dos limites contratuais, esses serão considerados casos excepcionais.
NÃO faça a busca automática da lista DROP mais do que uma vez por hora.
A mudança da lista DROP é relativamente lenta. Não há necessidade de atualizar dados em cache mais do que uma vez por hora — na verdade, uma vez por dia é mais do que suficiente na maioria dos casos. Downloads automatizados devem ter pelo menos uma hora entre cada ocorrência. O excesso de downloads pode resultar no bloqueio do seu IP pelo firewall.
Apenas formatos CIDR até /24 podem ser consultados na SIA.
A Spamhaus avalia cada solicitação ao serviço de feed de dados para garantir que o solicitante seja genuíno e não esteja envolvido no provisionamento ou suporte a serviços de spam. Reservamo-nos o direito de recusar uma oferta do serviço de acordo com nossos critérios.
A recusa pode ocorrer por diferentes motivos, incluindo o fornecimento a ISPs listados excessivamente em qualquer um de nossos datasets. Toda pessoa que usa a internet tem a responsabilidade de mantê-la um ambiente seguro. ISPs que acreditemos ter inúmeros abusos na rede e que não façam nada para remediar os problemas não terão acesso a nossos dados.
Os datasets acessados através da API são montados a partir de nossa rede de sensores de amplo alcance, que também é usada para compilar nossas listas de bloqueio de DNS. Através de machine learning, processos heurísticos e investigações manuais, as conexões são analisadas para identificar indicadores de comprometimento.
DNS Firewall Threat Feeds são feeds Response Policy Zone (RPZ) que oferecem proteção automática contra sites de phishing e downloads de malware. Eles são entregues no formato RPZ padrão da indústria, que permite que um resolver de DNS recursivo escolha ações específicas para desempenhar. Isso inclui abandonar, bloquear e passar pelo tráfego.
Existem muitas redes, domínios e endereços IP na internet cujo único propósito é causar danos ou roubar informações de usuários desavisados que visitam seus servidores e sites.
Por exemplo, um domínio de phishing criado com o propósito único de roubar dados pode ser usado para uma campanha de spam que é enviada a usuários na sua rede solicitando que verifiquem suas contas. O e-mail é recebido e não é bloqueado pelo seu filtro de spam, de modo que a mensagem é entregue na caixa de entrada do seu usuário. Quando o usuário clica no link para verificar a conta, o computador não é capaz de resolver o website de phishing porque o site está listado nos feeds de ameaças.
Isso protegerá o usuário de liberar suas informações pessoais e, potencialmente, impedirá que sua estação de trabalho seja infectada por software de botnet. Bloquear conteúdo malicioso também lhe oferece a oportunidade de instruir seus usuários imediatamente.
Ainda que, provavelmente, o seu hardware existente executando o DNS Resolver seja capaz de processar o DNS Firewall Threat Feeds, recomendamos a seguinte configuração de hardware:
CPU 8 core 8 gigabytes de RAM Servidor dedicado de locatário único
Quanto ao software, você deve ter instalada a versão mais recente do BIND. Observação: muitos dos repositórios yum, apt-get e dnf estarão disponíveis com data de versão desatualizada. Recomendamos que as atualizações do BIND sejam baixadas diretamente da ISC.
Na maioria dos casos, um DNS Resolver retornará uma resposta NXDOMAIN (domínio inválido) quando corresponder a uma entrada de feed de ameaça. Entretanto, é possível apontar para um recurso IP interno que permitirá que o bloqueio o redirecione a uma página informativa que pode gerar um aviso, instrução ou informação sobre por que algo foi bloqueado.
Rbldnsd define alguns tipos diferentes de dataset. Para otimizar desempenho e uso de memória, recomendamos que os usuários de feeds de dados optem pelo ip4set para SBL e SWL, ip4trie para PBL e ip4tset para XBL.
Contudo, usar o ip4tset resultará no código de retorno 127.0.0.4 para todas as entradas XBL. Na maioria dos casos, isso é aceitável, mas se for preciso distinguir entre diferentes códigos de retorno XBL, você deveria usar ip4set também para XBL.
DBL e DWL sempre devem usar o tipo de dataset dnset.
Espelhos públicos devem usar ip4set para todas as zonas IP, e dnset para DBL e DWL.
A maior parte da filtragem de spam feita por dispositivos como Barracuda é a filtragem DNSBL. Se você estiver usando a pesquisa da Spamhaus em qualquer parte de um dispositivo Barracuda ou similar de filtragem de spam, assegure-se de ter uma assinatura atual do Data Query Service (DQS) da Spamhaus.
No passado, tivemos casos de pessoas usando os espelhos públicos gratuitos da Spamhaus juntamente com os dispositivos Barracuda. Isso é um abuso dos termos e condições de uso de espelhos públicos gratuitos: se o volume de e-mail de uma organização for tão grande que exija um dispositivo Barracuda ou similar de filtragem de spam, será quase certo que o uso estará acima do limite aplicado aos servidores DNSBL públicos gratuitos. Devido ao abuso constante dos espelhos públicos e da conta DQS de baixo volume gratuita, implementou-se um sistema de controle, e as consultas excedentes serão sinalizadas e bloqueadas.
Se estiver usando DNSBLs da Spamhaus em qualquer parte da sua instalação de filtragem de spam corporativa, assegure-se de ter uma assinatura atual do DQS da Spamhaus.
DROP (Don’t Route Or Peer) é uma lista consultiva para “abandonar todo o tráfego”.
A lista EDROP inclui netblocks controlados por remetentes de spam profissionais e cibercriminosos que não estão alocados diretamente, de modo que conterá apenas netblocks que são subalocações.