Outbreak Protection |
Scorri Precedente Primo livello Successivo Altro |
Outbreak Protection fa parte della funzionalità opzionale MDaemon AntiVirus. Quando si abilita MDaemon AntiVirus per la prima volta viene avviato un periodo di prova di 30 giorni. Se si desidera acquistare questa funzionalità, contattare il rivenditore MDaemon autorizzato o visitare il sito all'indirizzo: www.mdaemon.com. |
Outbreak Protection (OP) è accessibile dal menu di MDaemon' Sicurezza (Sicurezza » Outbreak Protection... o Ctrl+Shift+1). È una rivoluzionaria tecnologia antispam, antivirus e antiphishing che consente di proteggere automaticamente e in tempo reale una infrastruttura di posta elettronica MDaemon entro pochissimi minuti dall'inizio di un attacco.
La funzione Outbreak Protection è completamente indipendente dal contenuto, ossia non dipende dall'analisi lessicale del contenuto del messaggio e non richiede quindi regole euristiche, funzioni di filtro dei contenuti o aggiornamenti delle definizioni antivirus. Grazie a questa caratteristica, la funzione di protezione non viene disattivata dall'aggiunta di testo spurio, da astute modifiche ortografiche, da tattiche di ingegneria sociale, da ostacoli linguistici o da differenze di codifica. Invece, OP si basa sul rilevamento di schemi ricorrenti e su tecnologie zero-hour. Queste sono fondate sull’analisi matematica della struttura del messaggio e delle caratteristiche di distribuzione del messaggio su SMTP: vengono analizzati i "pattern" associati alla trasmissione di un messaggio e-mail che vengono quindi confrontati con pattern simili rilevati con milioni di messaggi in tutto il mondo, grazie a un campionamento e confronto in tempo reale. Nota: OP non trasmette mai il reale contenuto dei messaggi, né è possibile derivare il contenuto dei messaggi dai pattern estratti.
Poiché i messaggi vengono analizzati in tutto il mondo e in tempo reale, la protezione è disponibile in pochi minuti, spesso entro pochi secondi dall'inizio dell'attacco. Nel caso dei virus, questo livello di protezione è fondamentale perché la verifica e la pubblicazione di un aggiornamento delle definizioni virus a seguito di un nuovo attacco possono richiedere diverse ore e può trascorrere un tempo ancora superiore prima che l'aggiornamento venga installato. Durante questo periodo di tempo, i server privi di Outbreak Protection sono vulnerabili al nuovo attacco. Analogamente, è necessario molto tempo anche per l'analisi di un nuovo messaggio spam e per la creazione di un'apposita regola di filtro che ne consentano l'individuazione da parte dei tradizionali sistemi euristici o basati sul contenuto.
È opportuno tenere presente, tuttavia, che la funzione Outbreak Protection non rappresenta un'alternativa alle tradizionali tecniche antivirus, antispam e antiphishing. In effetti, OP offre un ulteriore livello di protezione specializzato in aggiunta agli strumenti euristici, di firma e di contenuto già presenti in MDaemon. Outbreak Protection è una funzione specificamente progettata per fronteggiare attacchi su vasta scala anziché singoli o specifici messaggi infetti da virus o malware già noto che vengono gestiti più efficacemente dagli strumenti tradizionali.
Outbreak Protection
Abilita Protezione attacchi
Fare clic su questa casella di controllo per abilitare Outbreak Protection nel server in uso. I messaggi in entrata verranno analizzati per verificare se sono relativi ad attacchi in corso di tipo virale, spam o phishing. Le rimanenti opzioni presenti nella scheda di dialogo consentono di definire il destino dei messaggi che rappresentano un attacco e di indicare i mittenti che vengono esclusi dall'elaborazione OP.
I virus devono essere...
bloccati in tempo reale
Selezionare questa opzione se si desidera bloccare durante l'elaborazione SMTP i messaggi che rappresentano un attacco di tipo virale. Questi messaggi non verranno posti in quarantena né recapitati ai destinatari previsti, ma verranno respinti direttamente dal server.
posti in quarantena
Selezionare questa opzione se si desidera accettare i messaggi che rappresentano un attacco di tipo virale. I messaggi non verranno respinti dal server, ma verranno posti in quarantena anziché essere recapitati ai destinatari previsti. I messaggi in quarantena vengono archiviati nella relativa cartella.
I messaggi spam devono essere...
bloccati in tempo reale
Selezionare questa opzione se si desidera bloccare durante l'elaborazione SMTP i messaggi che rappresentano un attacco di tipo spam. Questi messaggi non verranno contrassegnati come spam né recapitati ai destinatari previsti, ma verranno respinti direttamente dal server. I messaggi classificati da Outbreak Protection come posta "bulk" non vengono bloccati da questa opzione, a meno che si attivi l'opzione Con il blocco della posta indesiderata, blocca anche i messaggi indesiderati collettivi. È possibile che i messaggi classificati come collettivi da OP siano parte di liste di distribuzione di grandi dimensioni o di altri contenuti ampiamente distribuiti; di conseguenza possono essere considerati o meno spam. Per questo motivo, non è consigliabile bloccare o assegnare un punteggio in senso negativo a questo tipo di messaggi mediante OP.
accettati poi filtrati
Selezionare questa opzione se si desidera accettare i messaggi che rappresentano un attacco di tipo spam, in modo da sottoporli alla successiva elaborazione di Spam filter e di Filtro contenuti. Questi messaggi non vengono bloccati da OP, ma il relativo punteggio spam viene corretto in base all'opzione Punteggio.
Se si utilizza l'opzione accettati poi filtrati, Outbreak Protection non blocca direttamente i messaggi spam. Questi ultimi, tuttavia, possono essere bloccati da MDaemon durante l'elaborazione SMTP se Spam Filter utilizza l'opzione SMTP rifiuta i msg con punteggi superiori o uguali a [xx] della schermata Spam Filter. Se ad esempio l'opzione relativa al punteggio determina un punteggio Spam Filter pari a 15.0 per un messaggio, quest'ultimo viene comunque rifiutato come spam se l'opzione di Spam Filter "SMTP rifiuta...." prevede lo scarto dei messaggi con un punteggio pari o superiore a 15.0. |
Punteggio
Se si utilizza l'opzione accettati poi filtrati, questo è il valore aggiunto al punteggio spam del messaggio assegnato da Spam Filter qualora Outbreak Protection accerti che il messaggio rappresenta un attacco spam.
Contenuti IWF
L'opzione seguente viene applicata ai contenuti segnalati dall'IWF (Internet Watch Foundation) perché associati a siti contenenti immagini di abusi sui bambini, ossia pedopornografiche. L'opzione consente di uilizzare un elenco di URL forniti dall'IWF per individuare e contrassegnare i messaggi che si riferiscono a tali contenuti. La fondazione IWF opera come servizio Internet indipendente per la segnalazione di contenuto potenzialmente illegale, incluse le immagini relative a pedopornografia o ad abusi compiuti sui bambini, in qualsiasi parte del mondo. La fondazione opera in coordinamento con le forze dell'ordine, con i governi, con l'industria Internet nel suo complesso e con il pubblico per contrastare la disponibilità online di contenuto illegale. L'elenco di URL fornito dalla fondazione viene aggiornato quotidianamente con i nuovi siti che ospitano immagini relative ad abusi sui bambini.
Molte organizzazioni hanno definito regole di conformità interne che governano il contenuto dei messaggi e-mail inviati o ricevuti dai propri impiegati, in particolare per quanto riguarda il materiale illegale o pornografico. Molte nazioni, inoltre, hanno proibito per legge l'invio o la ricezione di tale contenuto. Questa funzionalità può semplificare la conformità a queste disposizioni.
Per ulteriori informazioni sulla fondazione IWF, vedere:
I contenuti offensivi e illegali (IWF) devono essere...
bloccati in tempo reale
Scegliere questa opzione se si desidera rifiutare, durante l'elaborazione SMTP, i messaggi in entrata con contenuto segnalato dalla fondazione IWF.
accettati poi filtrati
Scegliere questa opzione se si desidera aumentare il punteggio spam di un messaggio con contenuto segnalato dalla fondazione IWF anziché respingerlo. Il punteggio spam del messaggio viene aumentato del valore specificato nel campo Punteggio.
Punteggio
Se si utilizza l'opzione accettati poi filtrati, questo è il valore aggiunto al punteggio spam del messaggio assegnato da Spam Filter qualora contenga contenuto segnalato dalla fondazione IWF.
Con il blocco della posta indesiderata, blocca anche i messaggi indesiderati collettivi
OP talvolta individua messaggi che possono essere considerati spam ma non sono inviati da botnet o da spammer noti, situazione comune nel caso di invio di posta collettiva (bulk) e di newsletter. OP classifica questi messaggi come "Spam (bulk)" anziché ""Spam (confirmed)". Selezionare questa opzione se si desidera applicare la funzionalità di blocco di Outbreak Protection anche alla posta classificata "Spam (bulk)". Se l'opzione è disabilitata, la funzionalità di blocco interessa solo i messaggi classificati come "Spam (confirmed)". L'accettazione di questo tipo di spam per una successiva elaborazione può essere necessaria per i siti che desiderano ricevere mailing di massa ma che per qualche motivo non possono esentare le fonti o i destinatari.
Registra attività elaborazione in file registro plug-in
Attivare questa casella di controllo per registrare tutte le attività di elaborazione di OP nel file di registro del plugin di MDaemon.
Eccezioni
Escludi da elaborazione le sessioni SMTP autenticate
Se si abilita questa opzione, le sessioni SMTP autenticate vengono escluse dall'elaborazione di OP. In altre parole, i messaggi inviati durante tali sessioni non vengono verificati da Outbreak Protection.
Escludi da elaborazione le sessioni SMTP da IP accreditati
Abilitare questa opzione se si desidera escludere dall'elaborazione di OP gli indirizzi IP accreditati. In questo caso, i messaggi provenienti da un server al quale è associato un indirizzo IP accreditato non vengono sottoposti a verifica da OP.
La posta elettronica approvata da SPF/DKIM è esente dall'elaborazione OP
Fare clic su questa casella di controllo per esentare un messaggio dall’elaborazione di OP quando il dominio mittente è riportato nell’elenco approvato ed è stato convalidato mediante SPF o DKIM.
Honeypot di spam e indirizzi consentiti di Spam Filter sono esentati dall'elaborazione di OP
Fare clic su questa opzione per esentare Honeypot spam e liste consentiti di Spam Filter dalle elaborazioni di Protezione attacchi. La lista consentiti viene applicata al destinatario o al valore RCPT attribuito durante la sessione SMTP. La "Lista consentiti (da)" viene applicata al mittente o al valore MAIL attribuito durante la sessione SMTP. Queste operazioni non sono basate sui valori dell'intestazione del messaggio.
Falsi positivi e falsi negativi
I falsi positivi, ossia la classificazione come attacco di un messaggio in realtà legittimo, rappresentano un'eventualità estremamente rara. Qualora si verifichi una tale eventualità, tuttavia, è possibile inviare il messaggio falso positivo all'indirizzo spamfp@mdaemon.com nel caso di spam o di phishing oppure all'indirizzo virusfp@mdaemon.com nel caso di virus. Ciò consentirà di raffinare e perfezionare i processi di individuazione e classificazione.
I falsi negativi, ossia la classificazione come legittimo di un messaggio che in realtà è spam o è associato a un attacco, rappresentano un'eventualità più frequente. Tuttavia, è opportuno ricordare che OP non è progettato per individuare tutti i messaggi spam, gli attacchi da virus e simili, ma costituisce solo un livello di protezione specifico contro gli attacchi. I messaggi meno recenti, quelli con un obiettivo specifico e simili che non fanno parte di un attacco in corso, potrebbero superare le verifiche eseguite da OP, ma verrebbero comunque bloccati da AntiVirus e da altre funzionalità di MDaemon nelle fasi successive dell'elaborazione. Qualora si verifichi un falso negativo, tuttavia, è possibile inviare il messaggio in questione all'indirizzo spamfn@mdaemon.com nel caso di spam o di phishing oppure all'indirizzo virusfn@mdaemon.com nel caso di virus. Ciò consentirà di raffinare e perfezionare i processi di individuazione e classificazione.
Qualora si desideri inviare un messaggio classificato in modo inappropriato, non inoltrare il messaggio e-mail originale ma inviarlo sotto forma di allegato MIME. In caso contrario, le intestazioni e altre informazioni fondamentali ai fini della classificazione verrebbero perse.