Bloqueado?
Nossas soluções
As equipes de TI e segurança enfrentam vários desafios relacionados aos seus negócios com regularidade. Descubra como nossas soluções podem ajudar a superar alguns desses problemas.
Proteção de e-mail
De problemas de processamento a ameaças oriundas de e-mails, nossas listas de bloqueio se integram facilmente à sua configuração de e-mail em uso para melhorar a filtragem de e-mail contra spam e vírus.
Investigue
Utilize nossa inteligência de ameaças para aumentar a visibilidade em eventos de segurança e revelar possíveis pontos fracos na sua rede e ameaças à sua marca.
Proteção de rede
Fique em dia sobre as últimas ameaças e combata proativamente as infecções por botnet, e outras formas de abuso, com nossas soluções.
Proteção do usuário
Do clique em um e-mail de phishing às visitas a sites instaladores de malware, nossa inteligência de ameaças oferece proteção automática aos seus usuários.
Nossos produtos
Nossos produtos oferecem camadas adicionais de segurança a redes e e-mail. Eles também fornecem insight extra às equipes de segurança sobre comportamentos maliciosos.
Border Gateway Protocol (BGP) Firewall
Use seus roteadores existentes compatíveis com BGP e bloqueie o que há de pior na borda da sua rede. A configuração leva apenas alguns minutos.
Data Query Service (DQS)
Beneficie-se das listas de bloqueio em tempo real que lideram o mercado. Essas DNSBLs podem ser conectadas à sua infraestrutura de e-mail para bloquear spam e outras ameaças de e-mail.
Passive DNS
Uma poderosa ferramenta de pesquisa para investigar relações entre infraestruturas de internet. Mude rapidamente para novas áreas que exigem atenção para investigar possíveis ameaças sem demora.
DNS Firewall
Bloqueie imediatamente conexões a sites perigosos, incluindo sites instaladores de malware e phishing. Uma solução do tipo “˜programe e esqueça”.
Spamhaus Intelligence API
Dados de inteligência de ameaças em formato de API que permitem aos usuários integrar facilmente metadados relacionados a ameaças a seus próprios aplicativos, programas e produtos.
Nossos datasets
Uma ampla gama de datasets que oferecem várias camadas de proteção. Eles podem ser conectados diretamente ao seu hardware existente, o que os torna uma opção econômica.
Border Gateway Protocol (BGP) Feeds
Feeds de dados Do Not Route Or Peer (DROP) e Lista de controladores de botnet (BCL) podem ser emparelhados com seu roteador existente compatível com BGP.
Listas de bloqueio de conteúdo
As listas de bloqueio de domínio (DBL), reputação zero (ZRD) e hash (HBL) permitem que você bloqueie o conteúdo em e-mails, removendo uma taxa maior de ameaças oriundas de e-mail já na filtragem.
Dados para investigação
Passive DNS e datasets estendidos disponibilizam informações adicionais sobre recursos da internet. Eles oferecem insights mais aprofundados sobre incidentes e possíveis ameaças.
DNS Firewall Threat Feeds
Uma ampla gama de feeds para aplicar ao seu servidor recursivo DNS. Escolha o nível certo de proteção para a sua organização.
Listas de bloqueio de IP
As listas de bloqueio de Spam (SBL), Política (PBL), Exploits (XBL) e Auth (AuthBL) permitem que você filtre e-mails de IPs associados a spam, botnets e outras ameaças.
Quem somos
Saiba mais sobre nós.
Saiba mais sobre a Spamhaus: quem somos e o que fazemos.
Parceiros
Saiba com quem trabalhamos e como você pode se tornar um parceiro da Spamhaus.
Recursos
Central de recursos
Consulte uma infinidade de postagens de blogs, estudos de caso e relatórios.
Perguntas frequentes
Perguntas frequentes sobre os produtos e processos da Spamhaus.
Documentos técnicos
Informações minuciosas sobre detalhes técnicos e a implementação de nossos produtos.
Ajuda para usuários de espelhos públicos da Spamhaus
Você usa os espelhos públicos gratuitos da Spamhaus? Isso deve ser capaz de ajudar
O Portal de Reputação
Uma ferramenta para que proprietários de ASN tenham visibilidade da reputação de seus IPs e possam gerenciar inclusões de modo proativo.
O Blocklist Tester
Uma ferramenta para ajudá-lo a verificar se seus servidores estão configurados corretamente para usar o Spamhaus DNSBLs.
Para desenvolvedores
Compartilhar
Quando um usuário final vê um e-mail, nem sempre fica aparente se ele é malicioso ou não. Contudo, se você olhar o código-fonte do e-mail, uma infinidade de informações são reveladas. Ao aplicar DNSBLs (listas de bloqueio) específicas a um elemento em particular do código-fonte, você pode filtrar e-mails com grande sucesso. Mas antes de falarmos sobre as listas de bloqueio, você precisa entender a anatomia de um e-mail.
Vamos contextualizar um pouco à diferença entre as informações que o usuário final vê quando lê um e-mail malicioso e os dados realmente contidos no código-fonte. Primeiro, analise o e-mail abaixo:
Acima, vemos um exemplo típico de como um e-mail de spam é exibido pelo software de cliente do usuário final, como Apple Mail ou Outlook.
Durante o processamento do e-mail, alguns elementos do conteúdo podem começar a chamar a atenção, por exemplo, um link HTML, um endereço de bitcoin e um anexo. Infelizmente, para um usuário desinformado, esses elementos provavelmente pareceriam benignos,
exatamente o que os cibercriminosos esperam. Eles querem explorar se um e-mail é exibido de modo aceitável para o usuário final, mantendo ocultos os elementos que poderiam apontar para os possíveis perigos no e-mail.
Para ver o real conteúdo de um e-mail, precisamos desempacotá-lo e analisar o “código-fonte” ou “código bruto”, visualizando o cabeçalho do e-mail e o conteúdo do e-mail.
Respire fundo! A quantidade de informações contidas no código-fonte de um e-mail é consideravelmente alta. Porém, vamos explicar tudo, e de um modo que, esperamos, não mate você de tédio — pelo menos foi assim que planejamos!
O e-mail abaixo é o mesmo que na figura acima, só que no formato “bruto”. Ele ilustra qual informação é vista e gravada pelos servidores de internet conforme enviam e entregam as mensagens de e-mail.
Pense na cadeia de recebimento (“Received”) como um livro de anotações de todos os servidores que manipularam o seu e-mail, incluindo o seu próprio servidor de e-mail. A sequência de leitura é a “conexão final/mais recente” no topo e as conexões precedentes listadas na ordem inversa, culminando no “computador de origem/mais antigo” no final da lista.
Esses elementos são vitais porque incluem o endereço IP de todos os servidores de e-mail que manipularam o seu e-mail e informações como a string HELO e o DNS reverso (rDNS[1]) dos IPs.
“HELO” é um elemento obrigatório em uma transação SMTP (Simple Mail Transfer Protocol). Seria algo como um “olá” quando um carteiro cumprimenta um colega e passa uma correspondência: “Olá, é o João dos Correios, e eu tenho uma correspondência para alguém na sua rota.”
Vamos explorar esse nosso exemplo de cadeia de recebimento de e-mail, começando a leitura de cima para baixo:
Essa é a linha “Received” mais recente e mais confiável porque foi o servidor de e-mail do destinatário que a registrou, portanto, você tem a garantia de que não foi adulterada.
Na intenção de confundir os sistemas antispam, os impostores tentam embaralhar a cadeia de linhas “Received”. Pensando nisso, você deve prestar atenção especial às linhas “Received” subsequentes que seguem a partir dessa linha, a mais confiável de todas.
Os elementos-chave na linha C são:
Explicação: o servidor de e-mail de envio “mta-out.someisp.example” (nº 3) estabelece uma conexão com o servidor de e-mail do destinatário “mx.email.example”, anunciando-se via HELO com o IP “192.0.4.1” (nº 1) e o rDNS de “mta-out.someisp.example” (nº 2). Esta é a conexão final; se for aceita (e nesse caso ela foi aceita), o e-mail endereçado a <[email protected]> é entregue.
Cadeia de recebimento “B Received”:
É aqui que “smtp.someisp.example” confirma o recebimento do e-mail para o endereço de e-mail de destino <[email protected]>.
Explicação: o servidor de e-mail “smtp.someisp.example” se conecta ao servidor de e-mail de saída (Postfix) “mta-out.someisp.example” do ISP, informando à saída que um e-mail foi enviado para <[email protected]>.
Essa linha representa a transação de e-mail original que gerou o e-mail. Como essa é a transação inicial, o detalhe pertinente aqui é o IP de conexão.
Os elementos-chave na linha A são:
Explicação: a máquina local de origem, “192.168.1.2”, estabelece uma conexão de saída com “smtp.someisp.example” e se anuncia como “192.0.2.1”. Assim que se conecta, o servidor “smtp.someisp.example” tenta localizar o rDNS do IP de conexão, “192.0.2.1” (nº 5), e falha, retornando o resultado “unknown” .
O elemento “Return-Path” também é chamado de “Envelope-From” ou “Mail-From”. Esse é o endereço de e-mail que “realmente” enviou o e-mail.
Pensando no correio convencional, o “Return-Path” é similar ao carimbo da localidade no selo, ou seja, o indicador exato da origem da carta. Contudo, quando você lê o conteúdo da carta, você não vê o carimbo postal dos correios no envelope.
No caso do e-mail, você não vê o real endereço de e-mail do remetente quando faz o processamento visual do e-mail, como ilustrado na Figura 1.
Quando você clica em “Responder” no e-mail, este campo instrui o seu software de cliente de e-mail sobre qual endereço de e-mail inserir no campo “To”. Geralmente, nos e-mails legítimos, o conteúdo de “Reply-to” e “From” no e-mail original será o mesmo.
Nosso e-mail de exemplo mostra que o remetente aparente é “[email protected]”, mas se você respondesse a esse e-mail, o endereço seria preenchido com “[email protected]”… e muita gente mal-intencionada espera que você não note a diferença.
Muitas vezes também chamado de “Friendly From”, um nome amigável. Podemos comparar o endereço de remetente no campo sender-address com a assinatura de uma pessoa que assina uma carta que você recebeu pelo correio, ou seja, qualquer um pode assinar.
Em nosso exemplo, o “Return-Path / Envelope-From” (nº 1) é diferente do “Sender-Address (From)” (nº 7), também chamado “Friendly-From”. O nome amigável em Friendly-From, que é visível para o usuário final, é como o remetente quer ser visto pelo destinatário. Normalmente, inclui o nome e endereço de e-mail do remetente.
Por que usar endereços de e-mail diferentes em Return-Path e Friendly-From?
Essa é fácil: para enganar as pessoas! Agentes mal-intencionados querem que o destinatário acredite que o e-mail é procedente de alguém de confiança, importante, ou de alguém conhecido. Eles estão tentando colocar legitimidade e veracidade.
Lembre-se! Na maioria dos casos, o software de cliente de e-mail mostra o conteúdo de Friendly-From. Seria como abrir uma carta e jogar fora o envelope antes de dar para alguém ler: a pessoa só vê o que está escrito na carta.
O usuário final não tem visibilidade do endereço do site (URL) no e-mail que está visualizando. Isso porque o remetente dissimulou o URL em um hiperlink associado a “clique aqui”. O verdadeiro URL do site é “www.worldlotterywinner.example”.
Para ver o real destino de um link, passe o mouse sobre o link e os detalhes do URL aparecerão. Muitas vezes, os URLs adicionados a e-mails maliciosos direcionarão você a um produto com spam de anúncios publicitários, um website de phishing, algo indesejável ou um site instalador de malware.
Chamamos de “carteira” de bitcoin. É um endereço criptografado controlado pelos cibercriminosos, geralmente usado como um meio de pagamento nas campanhas de spam sexextorcivas. Essas são campanhas em que os hackers dizem ter gravado a vítima em “cenas íntimas”. Eles ameaçam compartilhar a gravação com colegas, amigos e familiares a menos que recebam um pagamento através de uma carteira de bitcoin.
Há diversas variantes em cima desse tema, jogando com a apreensão das pessoas com uma única intenção: extorquir dinheiro.
Attachment (nº 10)
Neste exemplo, o anexo é um documento do Office chamado “Further instructions.doc”. Muito provavelmente, ele se transformará em “˜munição” de alguma forma. Com isso, queremos dizer que, se você baixasse e abrisse o documento, o malware infectaria o seu computador. Assim, o cibercriminoso poderia usar o seu computador para qualquer finalidade. Isso incluiria enviar mais spam, exfiltrar seus dados pessoais/senhas ou usar o seu computador em um ataque DDoS de negação de serviço distribuído.
Parabéns, você sobreviveu! Esperamos que esse mergulho no código-fonte de e-mail ajude a esclarecer alguns pontos.
Com tantos elementos de e-mail para verificar, pode ficar confuso saber qual lista de bloqueio usar em qual ponto do processo de filtragem de e-mail. Consulte ++este artigo++ para entender quais listas de bloqueio da Spamhaus usar e onde as utilizar para maximizar suas taxas de captura.
With so many email elements to check, it can become confusing as to what blocklist to use at what point in the email filtering process. Take a look at this article to understand what Spamhaus blocklists to use and where to use them to maximize your catch rates.
O Data Query Service (DQS) da Spamhaus é uma solução acessível e eficaz para proteger seus usuários e sua infraestrutura de e-mail.
Usando sua solução já existente de proteção de e-mail, você será capaz de bloquear spams e outras ameaças relacionadas, incluindo malwares, ransomwares e e-mails de phishing.
O serviço nunca falhou e trabalha com as listas DNSBL mais utilizadas no setor.
Vários comentários são vinculados com certa regularidade às listas de bloqueio de sistema de nome de domínio (DNSBL). Achamos então que é chegada a hora de falar certas verdades sobre as listas de bloqueio e acabar com esses mitos.
O uso de listas de bloqueio traz vários benefícios, reduzindo custos de infraestrutura e horas de mão de obra para aumentar as taxas de captura. No entanto, para tirar o máximo de proveito dos DNSBLs, é crucial usá-los nos pontos certos em seu processo de filtragem de e-mail.
Provedor de e-mail alemão, freenet, coloca o gerenciamento de spam nas mãos do pessoal interno para aumentar visibilidade, controle e proteção usando as listas de bloqueio de IP da Spamhaus.