Kontrola antywirusowa i antyspamowa w systemie Cloudmark Security Platform

Ochrona antywirusowa, antyspamowa i phishingowa realizowana jest za pomocą systemu Cloudmark Security Platform. Zapewnia on rozwiązania dla ochrony wiadomości klasy operatorskiej, które chronią użytkowników przed wszelkimi formami aktualnych i nowych zagrożeń poczty e-mail (spam, phishing, wirusy).

Rekord TLSA jest publikowany dla serwera pocztowego mxavas.forpsi.com. Rekord DNS typu TLSA usprawnia wykorzystanie certyfikatów TLS podczas komunikacji między dwoma serwerami pocztowymi. Jeśli ktoś wyśle Ci wiadomość e-mail, jego serwer smtp może zweryfikować za pomocą DANE TLSA, czy wiadomość e-mail jest dostarczana do właściwego docelowego serwera pocztowego (mxavas.forpsi.com). Wszystko, co musi zrobić właściciel domeny ze skrzynkami pocztowymi hostowanymi na mxavas.forpsi.com, to sprawdzić, czy jego domena ma aktywowany DNSSEC oraz poprawnie ustawiony rekord MX o wartości mxavas.forpsi.com. Jeśli domena ma skonfigurowane inne rekordy MX, sprawdź, czy te rekordy MX są potrzebne. Technologia DANE TLSA chroni tylko te domeny, które mają aktywowane DNSSEC oraz sprawdza, czy wszystkie serwery pocztowe wymienione w jej rekordach MX posiadają ustawione rekordy TLSA. Technologia DANE TLSA jest dość nowa, więc nie jest powszechnie stosowana. Obecnie nie wszystkie serwery pocztowe sprawdzają rekordy TLSA. Niemniej jednak nasze serwery pocztowe korzystają z tego rozwiązania.

Po nawiązaniu połączenia smtp, sprawdzany jest wychodzący adres IP. Jeśli znajduje się on na czarnej liście, nie ma ustawionego rekordu PTR, następuje za dużo jednoczesnych połączeń z tego IP lub wychodzi z niego za dużo spamu, to połączenie smtp jest odrzucane.

Następnie wychodzący adres IP i domena nadawcy są sprawdzane za pomocą SPF (Sender Policy Framework), czy wychodzący adres IP jest dozwolony w rekordzie SPF domeny nadawcy. Dla każdego nadawcy sprawdzane jest, czy jego domena ma ustawiony rekord MX lub A.

Wiadomości przychodzące są sprawdzane z listą bezpiecznych i zablokowanych nadawców. Jeśli nadawca wiadomości znajduje się na białej liście, wiadomość zostanie dostarczona jako wiarygodna. Jeśli nadawca znajduje się na liście zablokowanych nadawców, wiadomość zostanie odrzucona w ramach połączenia smtp. Jeśli nadawca wiadomości znajduje się zarówno w bezpiecznych, jak i zablokowanych nadawcach, wiadomość zostanie zaakceptowana. Bezpieczni nadawcy mają wyższy priorytet niż nadawcy zablokowani, dzięki czemu odbiorca nie przegapi żadnej ważnej wiadomości e-mail.

Jeśli nadawcy wiadomości nie można znaleźć wśród bezpiecznych ani zablokowanych nadawców, wiadomość przechodzi kontrolę antywirusową i DMARC. Jeśli wiadomość zawiera wirusa, jest odrzucana. Bezpieczne wiadomości (bez wirusów) nie są odrzucane.

Wszystkie inne wiadomości przychodzące są jednoznacznie oceniane jako wiarygodne lub jako spam. Kontrola antyspamowa wykorzystuje zaawansowany algorytm, który ocenia wiadomość na podstawie bazy danych (tzw. fingerprints) i zwraca jednoznaczną odpowiedź: wiadomość jest wiarygodna lub wiadomość jest spamem. Niezawodność algorytmu jest wysoka, spam jest oceniany z 98% skutecznością, a liczba fałszywych, wiarygodnych wiadomości jest bliska zeru. Baza fingerprint jest aktualizowana w krótkich odstępach czasu (ok. 1 minuty) z globalnej bazy danych. Klient może zdecydować, co zrobić ze spamem. Istnieją trzy możliwości.

1. Spam jest dostarczany do folderu INBOX (wiadomości przychodzące), a temat jest nadpisywany.
2. Spam jest przenoszony do folderu SPAM.
3. Spam jest od razu odrzucany podczas połączenia smtp i nie jest dostarczany do skrzynki pocztowej. 

W domyślnych ustawieniach antyspamowych każdej skrzynki pocztowej, spam jest dostarczany do folderu INBOX, a do tematu wiadomości dodawany jest ciąg znaków *****SPAM*****.