Ecco una delle pagine che mi é capitato di consigliare più spesso nel corso del mio lavoro come Supporto Tecnico Antigen, é un post di Andy Day, un collega del Supporto Tecnico, che volentieri traduco in Italiano per aiutare i nostri utenti “tricolori”.
Si tratta di alcuni accorgimenti riguardanti l´Anti Spam in Antigen
Durante gli ultimi anni lo SPAM ha superato i VIRUS nella classifica delle cose indesiderate nei sistema informatici delle nostre organizzazioni. Gli Spammer tentano in ogni maniera di stare sempre un passo avanti rispetto ai fornitori di anti-spam inventando sempre nuove tecniche per superare gli scanners ed arrivare al maggior numero di utenti possibile (chiaro, perché non dovrebbero?... in fin dei conti sono pagati per questo!)
Quindi, cosa deve fare un amministratore di Antigen per configurare ASM (Anti-Spam Manager) ed ottimizzare la protezione contro lo SPAM ?
Allora, probabilmente state utilizzando uno o tutti e due queste funzionalità
· Il motore anti-spam Spamcure
· RBLs (Realtime Block Lists, server con liste di indirizzi conosciuti per essere generatori di SPAM, direttamente o indirettamente)
Inoltre, state utilizzando IMF di Exchange (Intelligent Message Filter).
Queste sono alcune delle misure preventive anti-spam. Una guida alla configurazione e utilizzo é disponibile (in Inglese) in Antigen Spam Manager Best Practices. Ecco alcune delle cose più importanti estratte da questa guida:
1. Configurate il motore Spamcure perché controlli gli aggiornamenti ogni 15 minuti
Lo spam é il più dinamico tra i vari malware; gli aggiornamenti anti-spam tendono ad essere pubblicati più frequentemente che quelli degli anti-virus, é normale vedere diversi aggiornamenti anti-spam nell´arco di un´ora, quindi la raccomandazione é di impostare Spam-Cure perché controlli se ci sono aggiornamenti ogni 15 minuti.
2. Configurate i servizi RBL
Le liste RBL(non-Microsoft), che contengono elenchi aggiornati in tempo reale di hosts conosciuti per generare o recapitare spam, sono un ottimo strumento per bloccare lo spam all´origine, cercate di utilizzare quelle con una buona reputazione, e sapiate che i server gratuiti potrebbero non essere sempre affidabili. Microsoft non fornisce, e non raccomanda nessun RBL in particolare. Come Supporto Tecnico, vediamo tanti clienti che utilizzano www.spamhaus.org e www.spamcop.net, questi potrebbero essere due buone liste per iniziare. Assicuratevi di rispettare i termini e le condizioni d´uso quando utilizzate questi servizi di terze parti. Gli RBL si basano molto sulle interrogazioni DNS lookup, quindi é possibile che provochino dei rallentamenti/accodamenti del traffico SMTP nel vostro server, come norma generale é meglio limitare il numero di RBL ad un massimo di 3 liste.
3. Configurate l´Intelligent Message Filter di Exchange
OK, questo non é propriamente Antigen, però noi raccomandiamo vivamente che si utilizzi insieme ad Antigen.
Spam-Cure e altri filtri dello Scanjob SMTP possono essere utilizzati per assegnare una valutazione SCL (Spam Confidence Level) ai messaggi. In pratica, se abilitate la valutazione SCL per un filtro di Antigen, ogni volta che un messaggio é identificato dal filtro Antigen assegna al messaggio una valore SCL uguale a 9. SCL puó assumere valori da 0 (sicuramente non spam) a 9 (sicuramente spam).
L´IMF permette di impostare un valore SCL come treshhold (valore di soglia), al di sopra del quale Exchange può essere impostato per scartare i messaggi, un altro treshold può essere impostato in Outlook perché recapiti lo spam nella cartella di Posta Indesiderata (si può anche impostare via GPO).
Un esempio di come queste 3 tecnologie lavorano insieme:
impostiamo il treshold di Exchange IMF a 8 e il treshold di Outlook a 5.
Tutti i messaggi con un valore SCL da 0 a 4 verranno recapitati nella cartella di Posta in Arrivo, quelli con SCL da 5 a 7 andranno nella cartella di Posta Indesiderata, e quelli con valore SCL 8 e 9 verranno cancellati dall´IMF.
Per ulteriori informazione sull´ IMF di Exchange fare click qui
4. Segnalate i messaggi di SPAM
Falsi Positivi (mail leggitime che vengono identificate come spam), e Falsi Negativi (messaggi di spam che non vengono identificati come tali) devono essere segnalati al più presto a Mail Filters perché possa aggiornare i propri database. Come amministratori sapete che non esistono tecnologie infallibili, aspettatevi di avere a che fare con Falsi Positivi e Falsi Negativi. La maniera migliore per segnalare questi casi, evitando di aprire una chiamata con il Supporto Tecnico é mandarli a Mail Filters (il nostro partner che fornisce Spam-Cure)
· Inviate i Falsi Positivi a notspam.mail-filters@antigen.microsoft.com
· Inviate i Falsi Negativi a spam.mail-filters@antigen.microsoft.com
Riepilogando, i due punti più importanti di questa guida sono: assicurarvi che Antigen controlli gli aggioramenti ogni 15 minuti e segnalare i Falsi Positivi ed i Falsi Negativi agli indirizzi di sopra.
Se state amministrando una grossa organizzazione potreste vedere una grossa quantità di spam che arriva agli utenti finali, dovuto al fatto che avete un grosso traffico di mail. Per evitare che i vostri utenti vi sommergano con le segnalazioni, prendete in considerazione di aprire una mailbox o una cartella pubblica dedicata alle segnalazioni di spam da parte dei vostri utenti.
Prima di aprire una nuova chiamata con il supporto tecnico per riportare Falsi Positivi e Falsi Negativi assicuratevi di coprire i due punti sopra elencati, é qualcosa che normalmete raccomandiamo e che quindi potreste sentirvi dire J.
Se ritenete che SpamCure o qualche altro componente di ASM non funzioni come dovrebbe, date un´occhiata ai seguenti consigli per la risoluzione di problemi e altre informazioni che potrebbero aiutare ad aumentare le difese anti-spam:
Ulteriori consigli per la risoluzione di problemi
Alcuni consigli per cercare di evitare di creare un nuovo caso con il Supporto Tecnico, per problemi con l´aggiornamento di SpamCure, cercate di capire da eventuali messaggi del sistema se il problema avviene durante la fase di download (la prima fase del processo di aggiornamento) o piuttosto durante l´integrazione del nuovo motore con Antigen (seconda fase);
Problemi con il download del motore:
• In Internet Explorer assicuratevi di poter raggiungere il file che state scaricando
• Confermate che eventuali impostazioni del proxy che state usando siano ancora valide
• In generale, cercate di intervallare il download dei vari motori almeno ogni 15 minuti
Problemi con l´integrazione del motore:
• Assicuratevi che in seguito all´installazione il motore si sia aggiornato almeno una volta, per evitare questo errore:
"ERROR: Could not load SpamCure mapper."
• Provate a ricreare il motore come descritto in KB920304.
Difese Secondarie
Ci sono altri filtri che possono essere utilizzati contro lo spam:
· Mailhost Filtering
· Content Filtering
o Sender/Domain Filtering
o Subject Line Filtering
· Keyword Filtering
Ci sono molte informazioni già disponibili sull´utilizzo di questi filtri in Antigen for Exchange User Guide, che non ripeterò qui.
In generale non consigliamo di applicare un nuovo filtro per ogni spam che raggiunge l´utente finale, comunque, tenete in considerazione che alle volte può essere utile impostare qualche filtro per difendersi ad esempio da un nuovo attacco di spam che utilizza la stessa stringa nell´oggetto (es. Subject Line Filter) o nel corpo del messaggio (Keyword Filter), questo non sia disponibile una nuova versione dello SpamCure che lo blocchi.
Speriamo che seguendo queste raccomandazioni troviate che SpamCure riconosca correttamente tutte le mail e non abbiate bisogno di nessuna azione aggiuntiva.
