Kontrola antywirusowa i antyspamowa w systemie Cloudmark Security Platform

Ochrona antywirusowa, antyspamowa i phishingowa realizowana jest za pomocą systemowego Cloudmark Security Platform. Zapewnia rozwiązania dla ochrony wiadomości klasy operatorskiej, które chronią użytkowników przed wszelkimi formami aktualnych i nowych zagrożeń poczty e-mail (spam, phishing, wirusy). 

Rekord TLSA jest publikowany dla serwera pocztowego mxavas.forpsi.com. Rekord DNS typu TLSA usprawnia wykorzystanie certyfikatów TLS podczas komunikacji między dwoma serwerami pocztowymi. Jeśli ktoś wyśle Ci wiadomość e-mail, jego serwer smtp można zweryfikować za pomocą DANE TLSA, czy wiadomość e-mail jest dostarczana do właściwego docelowego serwera poczty (mxavas.forpsi.com). Wszystko, co musi zrobić właściciel domeny ze skrzynkami pocztowymi hostowanymi na mxavas.forpsi.com, to sprawdzić, czy jego domena ma aktywowane DNSSEC i poprawnie ustawić rekord MX o wartości mxavas.forpsi.com. Jeśli domena ma skonfigurowane inne rekordy MX, sprawdź, czy te rekordy MX są potrzebne. Technologia DANE TLSA chroni tylko te domeny, które mają aktywowane DNSSEC oraz wszystkie serwery pocztowe wymienione w jej rekordach MX mają ustawione rekordy TLSA. Technologia DANE TLSA jest dość nowa, więc nie jest powszechnie stosowana. Obecnie nie wszystkie serwery pocztowe sprawdzają rekordy TLSA. Niemniej jednak nasze serwery pocztowe korzystają z tego rozwiązania.

Po nawiązaniu połączenia smtp sprawdzany jest wychodzący adres IP. Jeśli jest na czarnej liście lub nie ma ustawionego rekordu PTR lub jest za dużo jednoczesnych połączeń z tego IP, za dużo spamu z tego IP, to połączenie smtp jest odrzucane.

Następnie wychodzący adres IP i domena nadawcy są sprawdzane za pomocą SPF (Sender Policy Framework), czy wychodzący adres IP jest dozwolony w rekordzie SPF domeny nadawcy. Dla każdego nadawcy sprawdzane jest, czy jego domena ma ustawiony rekord MX lub A

Wiadomości przychodzące są sprawdzane z listą bezpiecznych i zablokowanych nadawców. Jeśli nadawca wiadomości znajduje się na tej liście, wiadomość zostanie dostarczona jako wiarygodna. Jeśli nadawca znajduje się na liście zablokowanych nadawców, wiadomość zostanie odrzucona w ramach połączenia smtp. Jeśli nadawca wiadomości znajduje się zarówno w bezpiecznych, jak i zablokowanych nadawcach, wiadomość zostanie zaakceptowana. Bezpieczni nadawcy mają wyższy priorytet niż nadawcy zablokowani, dzięki czemu odbiorca nie przegapi żadnej ważnej wiadomości e-mail. 

Jeśli nadawcy wiadomości nie można znaleźć wśród bezpiecznych ani zablokowanych nadawców, wiadomość przechodzi kontrolę antywirusową i DMARC. Jeśli wiadomość zawiera wirusa, jest odrzucana. Bezpieczne wiadomości (bez wirusów) nie są odrzucane.

Wszystkie inne wiadomości przychodzące są jednoznacznie oceniane jako wiarygodne lub jako spam. Kontrola antyspamowa wykorzystuje zaawansowany algorytm, który ocenia wiadomość na podstawie bazy danych (tzw. fingerprints) i zwraca jednoznaczną odpowiedź: wiadomość jest wiarygodna lub wiadomość jest spamem. Niezawodność algorytmu jest wysoka, spam jest oceniany z 98% skutecznością, a liczba fałszywych pozytywnych wiadomości jest bliska zeru. Baza odcisków palców jest aktualizowana w krótkich odstępach czasu (ok. 1 minuty) z globalnej bazy danych. Tylko klient powinien zdecydować, co zrobić ze spamem. Istnieją trzy możliwości.

1. Spam jest dostarczany do folderu INBOX (wiadomości przychodzące), a temat jest nadpisywany.
2. Spam jest przenoszony do folderu SPAM.
3. Spam jest od razu odrzucany podczas połączenia smtp i nie jest dostarczany do skrzynki pocztowej. 

W domyślnych ustawieniach antyspamowych każdej skrzynki pocztowej, spam jest dostarczany do folderu INBOX, a do tematu wiadomości dodawany jest ciąg znaków *****SPAM*****.