LISTAS - Whitelist & Blacklist

De Porcupine E-Mail Protection


Parâmetros

From Domain / Envelope From

Todo o email da Internet é enviado usando um protocolo chamado SMTP (Simple Mail Transfer Protocol).

Na transação SMTP, o e-mail é enviado em unidades chamadas envelopes. Primeiro, o endereço do remetente do envelope é enviado (Envelope From ou Envelope Sender), seguido por um ou mais endereços do destinatário do e-mail. Finalmente, a mensagem atual é enviada, com os cabeçalhos e o corpo juntos. O destinatário final vê apenas os cabeçalhos e o corpo; as informações de envelope geralmente são visíveis apenas durante a transação SMTP inicial.

Quando um usuário responde a uma mensagem de email, a resposta é geralmente enviada ao remetente do cabeçalho – o endereço listado no cabeçalho "From" ou "Reply-To". No entanto, quando uma mensagem é devolvida, a resposta de rejeição é enviada para o endereço do remetente do envelope (Envelope From). Os spammers aproveitam essa propriedade de e-mail, pois sabem que uma grande parte do e-mail enviado por eles irá retornar como não entregue, mas ignoram essas rejeições, já que o custo de limpar suas listas é alto demais.

Alguns softwares de detecção de SPAM examinam o Envelope From com base na teoria de que o remetente do e-mail pode identificar o site que enviou o spam, pois é para este endereço que os e-mails retornados são direcionados. Contudo, para evitar esse tipo de detecção e o alto volume de mensagens de devolução, os sites de envio de SPAM geralmente utilizam um "Envelope From" falso, forjando informações. Além disso, muitos MTAs (sendmail incluídos) rejeitam o remetente do envelope se a parte do host do endereço (após @) não existir, o que leva os spammers a usarem endereços reais no Envelope From, mas que não pertencem necessariamente a eles.

O Porcupine E-Mail Protection utiliza o Envelope From fornecido durante a transação de SMTP para efetuar o bloqueio e classificação de SPAM. Estas informações estão disponíveis na visualização do Mail Log e Rejection Log no painel de administração. O cabeçalho "From", que faz parte dos cabeçalhos da mensagem, pode ser falso e, por isso, é ignorado para bloqueios (Blacklist) e liberações (Whitelist), sendo utilizado apenas na classificação de mensagens (score).

Para que o registro de Whitelist ou Blacklist seja efetivo, o usuário precisa consultar os Logs (Mail e Rejection) antes de cadastrar o registro e verificar se o "Envelope From" está correto. A maioria dos erros neste módulo ocorre devido à utilização do cabeçalho "From" em vez do "Envelope From" disponível nos logs.

O usuário pode cadastrar no campo "Valor" o "Envelope From" completo (endereço de e-mail completo) ou somente o host ou domínio (após @), de acordo com os dados obtidos nos Logs (Mail e Rejection).

Helo Name

O "Helo Name" é uma identificação enviada pelo servidor de origem durante a transação de SMTP. Ele normalmente utiliza o FQDN (Fully Qualified Domain Name) do servidor de envio, que representa o nome completo do servidor, incluindo o domínio e o subdomínio (por exemplo, mail.exemplo.com).

Este nome completo é usado para identificar o servidor no momento em que ele se apresenta ao servidor de recebimento.

É recomendado que o FQDN seja o reverso do endereço IP do servidor, facilitando a correspondência e validação da origem do envio. Essa prática permite uma verificação mais precisa, pois o FQDN reverso (ou reverse DNS lookup) auxilia na autenticação e na detecção de discrepâncias, comuns em remetentes suspeitos.

IP Address

O endereço IP identifica o servidor de origem durante a transação de envio de email.

Esse endereço numérico é crucial para o rastreamento da fonte real do e-mail e ajuda a identificar e bloquear IPs associados a comportamentos maliciosos ou SPAM.

O Porcupine E-Mail Protection armazena e rastreia esses endereços IP nos Logs (Mail e Rejection), permitindo que os administradores realizem o bloqueio ou liberação de e-mails com base em sua origem.

Host Name

O Host Name refere-se ao nome do servidor que está enviando o e-mail e, idealmente, também deve ser um FQDN.

Um FQDN completo, como mail.exemplo.com, inclui o nome específico do servidor e o domínio ao qual ele pertence. Assim como no Helo Name, recomenda-se que o Host Name também seja o reverso do endereço IP do servidor de origem, promovendo uma consistência na identificação e facilitando a verificação de legitimidade por meio de comparações automáticas com o DNS reverso.

Um FQDN válido no Host Name facilita o rastreamento e ajuda a distinguir entre servidores confiáveis e não confiáveis.

Wildcards

Para uma maior flexibilidade na criação de regras de Whitelist e Blacklist, o uso de curingas (wildcards) é permitido no Porcupine E-Mail Protection.

Com curingas, o administrador pode configurar regras para bloquear ou liberar todos os e-mails de um domínio específico ou subdomínios relacionados, em vez de precisar especificar cada endereço individualmente. Por exemplo, ao registrar "*@exemplo.com" ou "exemplo.com", todos os e-mails provenientes desse domínio serão afetados pela regra.

Alerta de Segurança: O uso de curingas pode aumentar a possibilidade de liberar ou bloquear uma ampla gama de endereços inadvertidamente. Deve-se ter cautela ao criar regras com curingas, pois uma regra excessivamente ampla pode permitir a entrada de e-mails indesejados ou, ao contrário, bloquear e-mails importantes. Recomenda-se revisar periodicamente as configurações de Whitelist e Blacklist com curingas, garantindo que as regras abrangentes sejam justificadas e atendam às necessidades de segurança e eficiência do sistema de proteção de e-mails.

Disponível em "http://wiki.porcupine.email/index.php?title=Listas&oldid=149"