Bloqueado?
Nossas soluções
As equipes de TI e segurança enfrentam vários desafios relacionados aos seus negócios com regularidade. Descubra como nossas soluções podem ajudar a superar alguns desses problemas.
Proteção de e-mail
De problemas de processamento a ameaças oriundas de e-mails, nossas listas de bloqueio se integram facilmente à sua configuração de e-mail em uso para melhorar a filtragem de e-mail contra spam e vírus.
Investigue
Utilize nossa inteligência de ameaças para aumentar a visibilidade em eventos de segurança e revelar possíveis pontos fracos na sua rede e ameaças à sua marca.
Proteção de rede
Fique em dia sobre as últimas ameaças e combata proativamente as infecções por botnet, e outras formas de abuso, com nossas soluções.
Proteção do usuário
Do clique em um e-mail de phishing às visitas a sites instaladores de malware, nossa inteligência de ameaças oferece proteção automática aos seus usuários.
Nossos produtos
Nossos produtos oferecem camadas adicionais de segurança a redes e e-mail. Eles também fornecem insight extra às equipes de segurança sobre comportamentos maliciosos.
Border Gateway Protocol (BGP) Firewall
Use seus roteadores existentes compatíveis com BGP e bloqueie o que há de pior na borda da sua rede. A configuração leva apenas alguns minutos.
Data Query Service (DQS)
Beneficie-se das listas de bloqueio em tempo real que lideram o mercado. Essas DNSBLs podem ser conectadas à sua infraestrutura de e-mail para bloquear spam e outras ameaças de e-mail.
Passive DNS
Uma poderosa ferramenta de pesquisa para investigar relações entre infraestruturas de internet. Mude rapidamente para novas áreas que exigem atenção para investigar possíveis ameaças sem demora.
DNS Firewall
Bloqueie imediatamente conexões a sites perigosos, incluindo sites instaladores de malware e phishing. Uma solução do tipo “˜programe e esqueça”.
Spamhaus Intelligence API
Dados de inteligência de ameaças em formato de API que permitem aos usuários integrar facilmente metadados relacionados a ameaças a seus próprios aplicativos, programas e produtos.
Nossos datasets
Uma ampla gama de datasets que oferecem várias camadas de proteção. Eles podem ser conectados diretamente ao seu hardware existente, o que os torna uma opção econômica.
Border Gateway Protocol (BGP) Feeds
Feeds de dados Do Not Route Or Peer (DROP) e Lista de controladores de botnet (BCL) podem ser emparelhados com seu roteador existente compatível com BGP.
Listas de bloqueio de conteúdo
As listas de bloqueio de domínio (DBL), reputação zero (ZRD) e hash (HBL) permitem que você bloqueie o conteúdo em e-mails, removendo uma taxa maior de ameaças oriundas de e-mail já na filtragem.
Dados para investigação
Passive DNS e datasets estendidos disponibilizam informações adicionais sobre recursos da internet. Eles oferecem insights mais aprofundados sobre incidentes e possíveis ameaças.
DNS Firewall Threat Feeds
Uma ampla gama de feeds para aplicar ao seu servidor recursivo DNS. Escolha o nível certo de proteção para a sua organização.
Listas de bloqueio de IP
As listas de bloqueio de Spam (SBL), Política (PBL), Exploits (XBL) e Auth (AuthBL) permitem que você filtre e-mails de IPs associados a spam, botnets e outras ameaças.
Quem somos
Saiba mais sobre nós.
Saiba mais sobre a Spamhaus: quem somos e o que fazemos.
Parceiros
Saiba com quem trabalhamos e como você pode se tornar um parceiro da Spamhaus.
Recursos
Central de recursos
Consulte uma infinidade de postagens de blogs, estudos de caso e relatórios.
Perguntas frequentes
Perguntas frequentes sobre os produtos e processos da Spamhaus.
Documentos técnicos
Informações minuciosas sobre detalhes técnicos e a implementação de nossos produtos.
Ajuda para usuários de espelhos públicos da Spamhaus
Você usa os espelhos públicos gratuitos da Spamhaus? Isso deve ser capaz de ajudar
O Portal de Reputação
Uma ferramenta para que proprietários de ASN tenham visibilidade da reputação de seus IPs e possam gerenciar inclusões de modo proativo.
O Blocklist Tester
Uma ferramenta para ajudá-lo a verificar se seus servidores estão configurados corretamente para usar o Spamhaus DNSBLs.
Para desenvolvedores
Compartilhar
As listas de bloqueio do sistema de nome de domínio (DNSBLs) são uma forma econômica e eficaz de interromper a torrente de tráfego de e-mails recebidos associada a spams e outros e-mails maliciosos. O uso de listas de bloqueio traz vários benefícios, reduzindo custos de infraestrutura e horas de mão de obra para aumentar as taxas de captura. No entanto, para tirar o máximo de proveito dos DNSBLs, é crucial usá-los nos pontos certos em seu processo de filtragem de e-mail.
Há uma ampla gama de opções de segurança de e-mail para sua infraestrutura, desde varredura e filtragem de conteúdo até ferramentas baseadas em rede que usam métodos distribuídos e colaborativos.
Infelizmente, a maioria dos itens acima é cara e demanda muitos recursos. A chave para a filtragem de e-mail é remover a maior parte dos e-mails indesejados logo no início do processo, antes que cheguem à fase de inspeção de conteúdo, que demanda muitos recursos.
Uma verificação DNSBL é o método mais simples, rápido e econômico que você tem à sua disposição… então por que não usá-lo?
Ao aceitar e processar um e-mail, você deve usar listas de bloqueio em três áreas:
No início de uma transação de e-mail, um servidor remoto tenta iniciar uma conexão com seu servidor. Nesse ponto, uma rápida pesquisa (consulta) em uma lista de bloqueio pode instantaneamente (bem, quase instantaneamente) informar se o endereço IP de conexão está ou não associado a um comportamento malicioso.
Se o endereço IP estiver listado, você pode optar por cancelar a conexão de imediato. Lembre-se de que essa consulta é realizada antes mesmo de ocorrer o handshake de SMTP (Simple Mail Transfer Protocol).
Todos os comandos de e-mail que ocorrem após a configuração da conexão de e-mail inicial (conforme detalhado acima) e antes do comando DATA durante a conexão SMTP são chamados de fase pré-dados.
Assim que a conexão for aberta, você (o destinatário) deve fazer uma pesquisa de DNS reverso do endereço IP de conexão.
O resultado da pesquisa acima deve ser consultado com base no domínio contido na HELO do remetente, p.ex.: (HELO mta-out.someisp.example). Se não houver correspondência, a conexão deve ser interrompida imediatamente. Isso é uma indicação de que o remetente não é quem diz ser (por exemplo, spoofing).
O domínio resultante deve ser consultado em relação ao DBL e ao ZRD.
O domínio contido na HELO deve ser consultado em relação ao DBL e ao ZRD, juntamente com a execução de uma pesquisa de DNS direto em relação ao SBL.
Depois da HELO, durante a conexão SMTP, vem o comando MAIL FROM. Ele costuma ser chamado de “Envelope-from” ou “Return-path”. Você deve consultar o domínio incluído nessa string, p.ex.: <[email protected]>
Sempre que uma consulta é feita em relação ao DBL e ao ZRD, e o resultado é uma resposta positiva, os destinatários podem rejeitar o e-mail ou marcá-lo para uma inspeção posterior durante o processo de filtragem de conteúdo.
A transferência do cabeçalho e do conteúdo do e-mail
Quando o comando RCPT TO é concluído, o comando DATA segue, e é ele que inicia a transferência de dados, tanto do cabeçalho quanto do conteúdo do e-mail. Depois que o destinatário confirma a execução bem-sucedida, o remetente transmite um comando QUIT, antes ou depois da inspeção do conteúdo, e a conexão é fechada.
Isso vai depender de suas decisões de implementação e escolhas de software. Tal como acontece com todas as opções, existem prós e contras nos dois casos:
Algumas implementações optam por manter a conexão aberta até que tenham o resultado da inspeção do conteúdo.
Prós: os remetentes sempre serão notificados de uma rejeição, que é a melhor estratégia caso ocorram falso positivos.
Contras: isso demanda muitos recursos e seu MTA deve estar à altura da tarefa, mesmo durante picos. Recursos insuficientes podem gerar atrasos.
A maioria das implementações fecha a conexão antes da inspeção de conteúdo.
Prós: reduz os custos por exigir menos recursos.
Contras: em caso de falso positivos, o remetente não será notificado.
Redução da carga colocada em seus recursos
Como mencionado anteriormente, a varredura e a filtragem de conteúdo exigem muitos recursos. Reduzir o número de e-mails que chegam a esse ponto do processo de filtragem de e-mail economiza memória, reduz a potência de processamento e reduz a latência.
Proteção da infraestrutura contra campanhas de spam
Imagine uma situação em que você recebe centenas de mensagens por segundo durante uma campanha contínua ou crescente de spam. Caso dependa da varredura ou da filtragem de conteúdo para mitigar o ataque, sua infraestrutura de e-mail pode entrar em colapso com a carga imposta pela imensa quantidade de e-mails recebidos.
Se tiver sorte e isso não acontecer, você ainda terá custos elevados, pois cada e-mail precisa ser baixado e analisado.
Quando um e-mail é rejeitado na conexão inicial ou no handshake de SMTP, o resultado é uma notificação de status de entrega (DSN) em tempo real ao remetente, avisando-o da falha na entrega. Da perspectiva do remetente, isso pode ajudar a identificar e resolver problemas de retransmissão de e-mail.
Com a rejeição de e-mails no início da transação de e-mail, possíveis e-mails de spam não são baixados e esquecidos em uma pasta de lixo eletrônico. Isso impede que os usuários finais vasculhem a pasta de lixo eletrônico em busca de um e-mail legítimo entre centenas, senão milhares de spams.
Se o endereço do remetente for forjado, o terceiro inocente cujo e-mail foi usado no endereço forjado do remetente receberá uma enxurrada de mensagens de retorno.
O uso de listas de bloqueio de domínio, bem como listas de bloqueio de IP, fornece proteção extra contra spams com hailstorm e snowshoe, além de outras ameaças. Para uma compreensão mais aprofundada desse assunto, sugerimos a leitura do artigo MTA developers: allow use of domain DNSBLs at the SMTP level.
É importante lembrar que nossa lista de bloqueio de domínio conterá muitos domínios antes que eles se tornem públicos!
Depois que o comando DATA é executado e o cabeçalho e o conteúdo do e-mail são transmitidos ao destinatário, a inspeção do conteúdo começa, juntamente com a execução das verificações SPF, DKIM e DMARC.
Os cabeçalhos de e-mail contêm dados estruturados e podem ser analisados com bem menos recursos se comparados ao corpo de um e-mail. Para compreender melhor o cabeçalho e os componentes do corpo de um e-mail, leia ++Understanding the source code of a malicious email Understanding the source code of a malicious email.
Veja onde as listas de bloqueio podem ser usadas durante a inspeção de cabeçalho:
Esse é o endereço IP contido na cadeia de recebimento da transação original, ou seja, o que deu origem ao e-mail. Essa pesquisa pode ser feita em relação ao SBL e ao AUTH BL. Uma pesquisa de rDNS também pode ser feita em relação ao DBL e ao ZRD.
O endereço de e-mail completo nesse campo deve ser consultado na lista de bloqueio de hash (HBL), que contém hashes criptográficos de endereços de e-mail.
Consulte o endereço do remetente:
Comumente conhecido como o endereço “Friendly From”, ele deve ser consultado em relação ao HBL, e o domínio contido nele deve ser consultado em relação ao DBL e ao ZRD, com uma pesquisa direta de DNS em relação ao SBL.
Por fim, chegamos à inspeção do conteúdo (role para cima para refletir sobre todas as oportunidades que você teve de rejeitar o e-mail antes que ele chegasse a essa parte mais dispendiosa do processo de filtragem de e-mail!)
Todos os URLs de sites ou e-mails citados no conteúdo do corpo do e-mail devem ser consultados em relação ao DBL, ZRD, com uma pesquisa de DNS direto em relação ao SBL. Os e-mails contidos no corpo do e-mail também podem ser consultados em relação ao HBL.
Consulte-os em relação ao HBL, que tem uma seção de carteira de criptomoeda contendo hashes de bitcoin e outros endereços de criptomoeda.
Todos os anexos devem ser consultados em relação ao HBL, que lista arquivos de malware, além de endereços de e-mail e endereços de criptomoeda.
Infelizmente, com tantas variações, não é possível cobrir todos os detalhes operacionais específicos para diferentes sistemas de e-mail. Quando algumas de nossas verificações não puderem ser implementadas, recomendamos entrar em contato com o suporte do produto que você está usando.
A boa notícia é que temos dois plugins para filtros de código aberto, SpamAssassin e Rspamd, para filtragem pré-dados (SMTP) e análise de conteúdo. Veja também um diagrama de quais listas de bloqueio aplicar e onde aplicá-las.
Caso queira testar as listas de bloqueio de DNS e executar seu próprio servidor de e-mail, ++cadastre-se para acessar os dados gratuitamente por 30 dias++. E não deixe de compartilhar sua experiência conosco.
O Data Query Service (DQS) da Spamhaus é uma solução acessível e eficaz para proteger seus usuários e sua infraestrutura de e-mail.
Usando sua solução já existente de proteção de e-mail, você será capaz de bloquear spams e outras ameaças relacionadas, incluindo malwares, ransomwares e e-mails de phishing.
O serviço nunca falhou e trabalha com as listas DNSBL mais utilizadas no setor.
Usuários da Lista de bloqueio de domínio da Spamhaus terão, em breve, a precisão adicional dos nomes de host na seção “abused-legit”. Obtenha mais informações e saiba também como conseguir a versão beta.
Eis aqui 11 formas de ajudar no êxito dos administradores de e-mail que executam suas próprias infraestruturas de e-mail.
Ter o seu próprio servidor de e-mail não é para qualquer um. Porém, um servidor de e-mail in loco tem suas vantagens.