Manual ASMG ver.2.2.pdf - Data - Aker Security Solutions

ÍNDICE
AKER SECURE MAIL GATEWAY 2.0
ÍNDICE..............................................................................................................................III
ÍNDICE DE FIGURAS ........................................................................................................ VII
PRÉ-REQUISITOS ........................................................................................................... 10
A. INSTALAÇÃO DO CONTROL CENTER................................................................................... 10
A.I. REQUISITOS MÍNIMOS DE HARDWARE.......................................................................... 10
A.II. COMPATIBILIDADE...................................................................................................... 10
B. INSTALAÇÃO DO ASMG.................................................................................................... 10
B.I. REQUISITOS MÍNIMOS DE HARDWARE.......................................................................... 10
B.II. COMPATIBILIDADE...................................................................................................... 10
INTRODUÇÃO.................................................................................................................. 11
APRESENTAÇÃO DO PRODUTO ....................................................................................... 13
CAPÍTULO 1. INSTALANDO O ASMG .......................................................................... 15
1.1. INSTALAÇÃO DO MÓDULO SERVIDOR DO ASMG................................................................ 15
1.1.1. PREPARAÇÃO PARA A INSTALAÇÃO ......................................................................... 15
1.1.1.1. INICIANDO.......................................................................................................... 15
1.1.1.2. INSTALAÇÃO DO APACHE E SUPORTE À LINGUAGEM PHP + SSL........................... 17
1.1.1.3. INSTALAÇÃO DO QT ........................................................................................... 18
1.1.2. INSTALANDO O ASMG............................................................................................ 19
1.1.2.1. INSTALAÇÃO DA INTERFACE GRÁFICA DO USUÁRIO .............................................. 19
1.1.3. PARA USUÁRIOS DO FREEBSD APENAS .................................................................. 21
1.1.4. FINALIZANDO A INSTALAÇÃO (FREEBSD E LINUX).................................................... 25
CAPÍTULO 2. SOBRE O AKER CONTROL CENTER........................................................ 26
2.1. MENUS............................................................................................................................. 27
2.1.1. MENU “OPÇÕES” ................................................................................................... 27
2.1.2. MENU “JANELAS” ................................................................................................... 28
2.1.3. MENU “AJUDA” ...................................................................................................... 28
2.2. BARRAS DE TAREFAS ....................................................................................................... 29
2.3. PERSONALIZANDO O CONTROL CENTER ............................................................................ 30
CAPÍTULO 3. O PROTOCOLO SMTP ........................................................................... 33
3.1. DEFINIÇÃO ....................................................................................................................... 33
3.2. MENSAGEM E ENVELOPE .................................................................................................. 34
3.3. MAIL EXCHANGE .............................................................................................................. 35
3.4. FUNCIONAMENTO.............................................................................................................. 36
3.5. ERROS DE TRANSMISSÃO.................................................................................................. 37
iii

AKER SECURE MAIL GATEWAY 2.0
3.5.1. ERROS TEMPORÁRIOS ........................................................................................... 38
3.5.2. ERROS PERMANENTES........................................................................................... 38
3.6. COMANDOS SMTP ........................................................................................................... 38
CAPÍTULO 4. CONCEITOS IMPORTANTES .................................................................... 40
4.1. CLIENTES CONHECIDOS E DESCONHECIDOS ....................................................................... 40
4.2. AUTENTICAÇÃO SPF E SENDER-ID ................................................................................... 41
4.2.1. PADRÃO SPF ........................................................................................................ 41
4.2.2. SENDER-ID ........................................................................................................... 43
CAPÍTULO 5. ENTIDADES ........................................................................................... 44
5.1. CONFIGURANDO AS ENTIDADES........................................................................................ 45
5.1.1. FILTROS EXTERNOS............................................................................................... 45
5.1.2. ARQUIVOS ............................................................................................................. 47
5.1.3. AUTENTICADORES.................................................................................................. 55
5.1.4. LISTAS DE EXPRESSÕES REGULARES ..................................................................... 49
5.1.5. LISTAS DE PALAVRAS-CHAVE ................................................................................. 50
5.1.6. LISTAS DE E-MAILS ................................................................................................ 52
5.1.7. RBL...................................................................................................................... 53
5.1.8. REDE .................................................................................................................... 55
5.1.9. DOMÍNIOS.............................................................................................................. 48
5.1.10. SERVIDORES ......................................................................................................... 57
CAPÍTULO 6. ADMINISTRANDO O ASMG .................................................................... 58
6.1. CONFIGURAÇÃO ............................................................................................................... 59
6.1.1. SERVIDOR ............................................................................................................. 59
6.1.1.1. ABA LIMITES DE TEMPO...................................................................................... 59
6.1.1.2. ABA RECEBENDO E-MAILS.................................................................................. 61
6.1.1.3. ABA ENVIANDO E-MAILS ..................................................................................... 63
6.1.1.4. ABA ENDEREÇOS DE ESCUTA ............................................................................. 65
6.1.1.5. ABA AUTENTICAÇÃO SMTP ................................................................................ 66
6.1.1.6. ABA MENSAGENS MAL-SUCEDIDIAS .................................................................... 67
6.1.1.7. ABA DIRETÓRIO TEMPORÁRIO ............................................................................ 68
6.1.2. MENSAGENS DE NOTIFICAÇÃO ................................................................................ 69
6.1.3. CONFIRMAÇÃO DE E-MAIL ...................................................................................... 72
6.1.3.1. ABA CONFIGURAÇÃO GERAL .............................................................................. 73
6.1.3.2. ABA MENSAGEM MODELO .................................................................................. 75
6.1.3.3. ABA LISTAS MANUAIS......................................................................................... 76
6.1.3.4. ABA LISTA AUTOMÁTICA..................................................................................... 77
6.1.3.5. ABA VISUALIZADOR DE QUARENTENA.................................................................. 78
6.1.3.6. ABA ALIASES ..................................................................................................... 79
6.1.4. GERENCIAMENTO DE ADMINISTRADORES ................................................................ 80
6.1.5. ADMINISTRAÇÃO DA LICENÇA.................................................................................. 81
6.1.6. ATUALIZAÇÃO DO SISTEMA ..................................................................................... 82
6.1.7. PLUGINS................................................................................................................ 84
6.1.7.1. ANTIVÍRUS......................................................................................................... 84
iv

AKER SECURE MAIL GATEWAY 2.0
6.1.7.2. ANALISADOR DE URL......................................................................................... 85
6.2. FILTRAGEM GLOBAL......................................................................................................... 85
6.2.1. SERVIDORES, DOMÍNIOS E REDES .......................................................................... 86
6.2.1.1. ABA LISTA DE ENDEREÇOS AUTORIZADOS............................................................ 86
6.2.1.2. ABA LISTA DE ENDEREÇOS NÃO-AUTORIZADOS .................................................... 87
6.2.1.3. ABA RBLS......................................................................................................... 88
6.2.1.4. ABA SENDER-ID/SPF ........................................................................................ 89
6.2.2. ANÁLISE DE VÍRUS ................................................................................................. 90
6.2.2.1. ABA ENTRADA ................................................................................................... 91
6.2.2.2. ABA SAÍDA......................................................................................................... 92
6.2.3. REGRAS AVANÇADAS............................................................................................. 93
6.2.4. ANÁLISE DO REMETENTE........................................................................................ 94
6.2.5. GRAY LISTING........................................................................................................ 94
6.2.6. CONTROLE DE FLOOD ............................................................................................ 96
6.3. POLÍTICAS........................................................................................................................ 97
6.3.1. CONTROLE DE ACESSO.......................................................................................... 97
6.3.2. POLÍTICA PADRÃO.................................................................................................. 99
6.3.2.1. ENTRADA/SAÍDA ENDEREÇOS DE E-MAIL.................................................... 99
6.3.2.2. ENTRADA/SAÍDA TAMANHO MÁXIMO ........................................................ 103
6.3.2.3. ENTRADA/SAÍDA TIPOS DE ARQUIVOS...................................................... 105
6.3.2.4. ENTRADA/SAÍDA PALAVRAS-CHAVE E EXPRESSÕES ................................. 108
6.3.2.5. ENTRADA/SAÍDA CATEGORIAS DE URL .................................................... 112
6.3.2.6. ENTRADA/SAÍDA FILTRAGEM EXTERNA .................................................... 113
6.4. REPOSITÓRIOS ............................................................................................................... 115
6.4.1. REPOSITÓRIO DE SISTEMA.................................................................................... 116
6.4.1.1. ABAS SERVIÇO INBOUND, ENGINE E DISPATCHER.............................................. 116
6.4.2. REPOSITÓRIO DE QUARENTENA ............................................................................ 119
6.4.2.1. ABA VISUALIZADOR .......................................................................................... 119
6.4.2.2. ABA CONFIGURAÇÕES...................................................................................... 120
6.5. RELATÓRIOS .................................................................................................................. 121
6.5.1. STATUS DO SISTEMA............................................................................................ 121
6.5.2. MENSAGENS ACEITAS E REJEITADAS ..................................................................... 122
6.5.3. MAIORES OCORRÊNCIAS ...................................................................................... 122
6.5.4. FILA DE TRABALHO............................................................................................... 123
6.5.4.1. ABA RECEBENDO............................................................................................. 123
6.5.4.2. ABA PROCESSANDO......................................................................................... 124
6.5.4.3. ABA ENTREGANDO........................................................................................... 124
6.6. LOGS ............................................................................................................................. 125
6.6.1. CONFIGURAÇÕES DE LOG .................................................................................... 125
6.6.2. VISUALIZADOR DE LOG......................................................................................... 126
6.6.2.1. LOGS DE MENSAGENS...................................................................................... 127
6.6.2.2. LOGS DE EVENTOS .......................................................................................... 128
CAPÍTULO 7. INTERFACE DO USUÁRIO ..................................................................... 131
7.1. TELA DE QUARENTENA ................................................................................................... 131
v

AKER SECURE MAIL GATEWAY 2.0
7.2. TELA DE PALAVRAS-CHAVES ACEITAS............................................................................ 132
7.3. LISTA DE E-MAILS AUTORIZADOS..................................................................................... 133
7.4. LISTA DE E-MAILS NÃO AUTORIZADOS ............................................................................. 134
7.5. OPÇÕES GERAIS ............................................................................................................ 134
GLOSSÁRIO .............................................................................................................. 137
LEITURA SUGERIDA E LINKS ÚTEIS ................................................................................ 139
ANEXO I – ESTUDO DE CASO ................................................................................. 141
A. ESTUDO DE CASO 1 ........................................................................................................ 141
A.I. CRIANDO A POLÍTICA ................................................................................................ 142
A.II. CONFIGURANDO A POLÍTICA ..................................................................................... 143
A.II.I. ENTRADA/SAÍDA ENDEREÇOS DE E-MAIL ...................................................... 143
A.II.II. ENTRADA/SAÍDA TAMANHO MÁXIMO ............................................................ 145
A.II.III. ENTRADA TIPOS DE ARQUIVOS...................................................................... 146
A.II.IV. ENTRADA/SAÍDA PALAVRAS-CHAVE E EXPRESSÕES ..................................... 147
A.II.V. ENTRADA CATEGORIAS DE URL.................................................................... 148
A.II.VI. ENTRADA/SAÍDA FILTRAGEM EXTERNA ........................................................ 149
B. ESTUDO DE CASO 2 ........................................................................................................ 150
B.I. CRIANDO A POLÍTICA ................................................................................................ 151
B.II. CONFIGURANDO A POLÍTICA..................................................................................... 152
B.II.I. ENTRADA TAMANHO MÁXIMO................................................................... 152
B.II.II. ENTRADA TIPOS DE ARQUIVOS................................................................ 153
B.II.III. ENTRADA CATEGORIAS DE URL............................................................... 153
B.II.IV. ENTRADA FILTRAGEM EXTERNA .................................................................... 154
B.II.V. SAÍDA TAMANHO MÁXIMO............................................................................... 156
B.II.VI. SAÍDA PALAVRAS-CHAVE E EXPRESSÕES........................................................ 156
C. RECOMENDAÇÕES ADICIONAIS........................................................................................ 158
ANEXO II – EXPRESSÕES REGULARES................................................................. 160
D. O QUE SÃO EXPRESSÕES REGULARES? .......................................................................... 160
D.I. CARACTERES COMBINADOS...................................................................................... 161
D.II. OS METACARACTERES............................................................................................. 161
D.II.I. ASSERÇÕES ........................................................................................................ 163
D.II.II. QUANTIFICADORES .............................................................................................. 164
D.III. CRIANDO EXPRESSÕES REGULARES..................................................................... 165
vi

ÍNDICE DE FIGURAS
AKER SECURE MAIL GATEWAY 2.0
FIGURA 1: ESQUEMA DEMONSTRATIVO DE FUNCIONAMENTO DO ASMG.........................................................13
FIGURA 2: INÍCIO DA INSTALAÇÃO.................................................................................................................16
FIGURA 3: EXECUTANDO O SCRIPT. ...............................................................................................................16
FIGURA 4: ESCOLHA DO IDIOMA DE INSTALAÇÃO. ..........................................................................................17
FIGURA 5: INSTALANDO APACHE E SUPORTE AO PHP....................................................................................18
FIGURA 6: INSTALANDO O QT. ......................................................................................................................18
FIGURA 7: INSTALAÇÃO DO ASMG................................................................................................................19
FIGURA 8: INSTALANDO A INTERFACE GRÁFICA DO USUÁRIO.........................................................................19
FIGURA 9: DEFININDO PARÂMETROS DE INSTALAÇÃO.....................................................................................21
FIGURA 10: GERAÇÃO DE CERTIFICADOS SSL................................................................................................22
FIGURA 11: GERANDO O CERTIFICADO DE REQUISIÇÃO.................................................................................23
FIGURA 12: INSERINDO A SENHA DA CHAVE CRIPTOGRÁFICA. .........................................................................24
FIGURA 13: CONCLUSÃO DA INSTALAÇÃO. .....................................................................................................25
FIGURA 14: INTERFACE GRÁFICA DO AKER CONTROL CENTER.......................................................................26
FIGURA 15: VISUALIZANDO A TELA “DISPOSITIVOS REMOTOS”......................................................................30
FIGURA 16: VISUALIZANDO A TELA PARA ADICIONAR DISPOSITIVO. .................................................................31
FIGURA 17: ÍCONE QUE PODE SER ALTERADO................................................................................................31
FIGURA 18: TIPOS DE ÍCONES DISPONÍVEIS....................................................................................................32
FIGURA 19: DEMONSTRANDO A PALETA DE CORES. ........................................................................................32
FIGURA 20: EXEMPLO DE UMA MENSAGEM....................................................................................................35
FIGURA 21: PESQUISA PARA DESCOBRIR O MX DE UM DOMÍNIO ....................................................................36
FIGURA 22: COMPONENTES DA TELA “ENTIDADES”. .....................................................................................45
FIGURA 23: CONFIGURANDO UMA ENTIDADE DO TIPO “FILTRO EXTERNO”....................................................46
FIGURA 24: CONFIGURANDO UMA ENTIDADE DO TIPO “ARQUIVO”................................................................47
FIGURA 25: CONFIGURANDO UMA ENTIDADE DO TIPO "AUTENTICADOR". ......................................................56
FIGURA 26: CONFIGURANDO UMA ENTIDADE DO TIPO “LISTA DE EXPRESSÕES REGULARES”..........................49
FIGURA 27: ENTIDADE DO TIPO “LISTA DE PALAVRAS-CHAVE”. ....................................................................51
FIGURA 28: CONFIGURANDO UMA ENTIDADE DO TIPO “LISTA DE E-MAIL”. ...................................................52
FIGURA 29: CONFIGURANDO UMA ENTIDADE DO TIPO “RBL”.......................................................................54
FIGURA 30: CONFIGURANDO UMA ENTIDADE DO TIPO “REDES”....................................................................55
FIGURA 31: CONFIGURANDO UMA ENTIDADE DO TIPO "DOMÍNIO".................................................................48
FIGURA 32: CONFIGURANDO UMA ENTIDADE DO TIPO “SERVIDOR”...............................................................57
FIGURA 33: TELA COM AS DIFERENTES FUNCIONALIDADES DO ASMG............................................................58
FIGURA 34: CONFIGURANDO A ABA “LIMITES DE TEMPO”. ............................................................................60
FIGURA 35: CONFIGURANDO A ABA “RECEBENDO E-MAILS”. ........................................................................62
FIGURA 36: CONFIGURANDO A ABA “ENVIANDO E-MAILS”............................................................................64
FIGURA 37: CONFIGURANDO A ABA “ENDEREÇOS DE ESCUTA”. ....................................................................66
FIGURA 38: CONFIGURANDO A ABA “AUTENTICAÇÃO SMTP”. ......................................................................67
FIGURA 39: CONFIGURANDO A ABA “MENSAGENS MAL-SUCEDIDAS”. ............................................................68
FIGURA 40: CONFIGURANDO A ABA “DIRETÓRIO TEMPORÁRIO”....................................................................69
FIGURA 41: MENSAGEM DE NOTIFICAÇÃO - REMOÇÃO DE VÍRUS. ..................................................................70
FIGURA 42: MENSAGEM DE NOTIFICAÇÃO – URLS FILTRADAS.......................................................................70
FIGURA 43: MENSAGEM DE NOTIFICAÇÃO – TAMANHO DE ARQUIVO..............................................................71
FIGURA 44: MENSAGEM DE NOTIFICAÇÃO – TIPO DE ARQUIVO......................................................................71
vii

AKER SECURE MAIL GATEWAY 2.0
FIGURA 45: MENSAGEM DE NOTIFICAÇÃO – CONTEÚDO................................................................................72
FIGURA 46: DEMONSTRANDO A ABA “CONFIGURAÇÃO GERAL”. ....................................................................74
FIGURA 47: CONFIGURANDO A ABA "MENSAGEM MODELO". .........................................................................75
FIGURA 48: CONFIGURANDO A ABA "LISTAS MANUAIS"..................................................................................77
FIGURA 49: CONFIGURANDO A ABA "LISTA AUTOMÁTICA". ............................................................................78
FIGURA 50: CONFIGURANDO A ABA “VISUALIZADOR DE QUARENTENA”.........................................................79
FIGURA 51: CONFIGURANDO A ABA "ALIASES". .............................................................................................80
FIGURA 52: CONFIGURANDO O "GERENCIAMENTO DE ADMINISTRADORES"....................................................81
FIGURA 53: CONFIGURANDO A "ADMINISTRAÇÃO DA LICENÇA".....................................................................82
FIGURA 54: CONFIGURANDO A TELA DE "ATUALIZAÇÃO DO SISTEMA"............................................................83
FIGURA 55: HABILITANDO O PLUGIN "ANTIVÍRUS". .......................................................................................84
FIGURA 56: HABILITANDO O PLUGIN "ANALISADOR DE URL"........................................................................85
FIGURA 57: CONFIGURANDO A ABA “LISTA DE ENDEREÇOS AUTORIZADOS”. .................................................86
FIGURA 58: CONFIGURANDO A ABA “LISTA DE ENDEREÇOS NÃO AUTORIZADOS”. ..........................................88
FIGURA 59: CONFIGURANDO A ABA “RBLS”. ................................................................................................89
FIGURA 60: CONFIGURANDO A ABA “SENDER-ID/SPF”. ...............................................................................90
FIGURA 61: CONFIGURANDO A ABA “ENTRADA”. ..........................................................................................91
FIGURA 62: CONFIGURANDO A ABA “SAÍDA”. ...............................................................................................92
FIGURA 63: CONFIGURANDO A JANELA “REGRAS AVANÇADAS”. ....................................................................93
FIGURA 64: CONFIGURANDO A ABA “ANÁLISE DO REMETENTE”. ...................................................................94
FIGURA 65: CONFIGURANDO A ABA “GRAY LISTING”. ...................................................................................95
FIGURA 66: CONFIGURANDO A ABA “CONTROLE DE FLOOD”. .......................................................................96
FIGURA 67: EXEMPLO DA TELA "CONTROLE DE ACESSO"...............................................................................98
FIGURA 68: DEMONSTRANDO A ABA DE ENTRADA – “DOMÍNIO DOS REMETENTES”. .....................................100
FIGURA 69: DEMONSTRANDO A ABA DE ENTRADA – “ENDEREÇO DOS REMETENTES”. ..................................101
FIGURA 70: DEMONSTRANDO A ABA DE SAÍDA – “DOMÍNIOS DOS DESTINATÁRIOS”......................................102
FIGURA 71: DEMONSTRANDO A ABA DE SAÍDA – “ENDEREÇOS DOS DESTINATÁRIOS”. ..................................103
FIGURA 72: DEMONSTRANDO A JANELA DE ENTRADA – “TAMANHO MÁXIMO”. ............................................104
FIGURA 73: DEMONSTRANDO A JANELA DE SAÍDA – “TAMANHO MÁXIMO”...................................................105
FIGURA 74: DEMONSTRANDO A JANELA DE ENTRADA – “TIPOS DE ARQUIVO”..............................................106
FIGURA 75: DEMONSTRANDO A JANELA DE SAÍDA – “TIPOS DE ARQUIVO”...................................................107
FIGURA 76: DEMONSTRANDO A ABA DE ENTRADA – “PALAVRAS-CHAVE”.....................................................109
FIGURA 77: DEMONSTRANDO A ABA DE ENTRADA – “EXPRESSÕES REGULARES”. .........................................110
FIGURA 78: DEMONSTRANDO A ABA DE SAÍDA – “PALAVRAS-CHAVE”..........................................................111
FIGURA 79: DEMONSTRANDO A ABA DE SAÍDA – “EXPRESSÕES REGULARES”. ..............................................111
FIGURA 80: DEMONSTRANDO A JANELA DE ENTRADA – “CATEGORIAS DE URL”. .........................................113
FIGURA 81: A DEMONSTRANDO A JANELA DE SAÍDA – “CATEGORIAS DE URL”.............................................113
FIGURA 82: DEMONSTRANDO A JANELA DE ENTRADA – “FILTRAGEM EXTERNA”. .........................................114
FIGURA 83: DEMONSTRANDO A JANELA DE SAÍDA – “FILTRAGEM EXTERNA”. ..............................................115
FIGURA 84: VISUALIZANDO A ABA “SERVIÇO INBOUND”..............................................................................117
FIGURA 85: VISUALIZANDO A ABA “SERVIÇO ENGINE”. ...............................................................................117
FIGURA 86: VISUALIZANDO A ABA “SERVIÇO DISPATCHER”.........................................................................118
FIGURA 87: DEMONSTRANDO A ABA “VISUALIZADOR”.................................................................................120
FIGURA 88: PARAMETRIZANDO A ABA “CONFIGURAÇÕES”. .........................................................................121
FIGURA 89: VISUALIZANDO A TELA “STATUS DO SISTEMA”. .........................................................................121
FIGURA 90: EMITINDO RELATÓRIO DE “MENSAGENS ACEITAS E REJEITADAS”. ............................................122
FIGURA 91: EMITINDO RELATÓRIO DE “MAIORES OCORRÊNCIAS”...............................................................123
FIGURA 92: TELA DE MENSAGENS QUE ESTÃO EM FILA PARA RECEBIMENTO. .................................................124
FIGURA 93: TELA DE MENSAGENS QUE ESTÃO EM FILA PARA PROCESSAMENTO..............................................124
FIGURA 94: TELA DE MENSAGENS QUE ESTÃO EM FILA PARA ENTREGA..........................................................125
FIGURA 95: TELA DE “CONFIGURAÇÕES DO LOG”......................................................................................126
FIGURA 96: VISUALIZANDO A ABA “LOGS DE MENSAGENS”. ........................................................................127
FIGURA 97: JANELA DE FILTRO DE LOG DE MENSAGENS. ..............................................................................128
FIGURA 98: VISUALIZANDO A TELA “LOGS DE EVENTOS”. ...........................................................................129
FIGURA 99: JANELA DE FILTRO DE LOGS DE EVENTOS. .................................................................................129
FIGURA 100: INTERFACE DO USUÁRIO - QUARENTENA. ...............................................................................132
FIGURA 101: INTERFACE DO USUÁRIO – PALAVRAS-CHAVE ACEITAS. ..........................................................133
viii

AKER SECURE MAIL GATEWAY 2.0
FIGURA 102: INTERFACE DO USUÁRIO – LISTA DE E-MAILS AUTORIZADOS...................................................133
FIGURA 103: INTERFACE DO USUÁRIO – LISTA DE E-MAILS NÃO AUTORIZADOS...........................................134
FIGURA 104: INTERFACE DO USUÁRIO – JANELA DE CONFIGURAÇÕES GERAIS. ............................................135
FIGURA 105: ANEXO I – ENTRADA DOMÍNIOS DOS REMETENTES.............................................................143
FIGURA 106: ANEXO I – ENTRADA ENDEREÇO DOS REMETENTES............................................................145
FIGURA 107: ANEXO I – ENTRADA TAMANHO MÁXIMO. ...........................................................................146
FIGURA 108: ANEXO I – ENTRADA TIPOS DE ARQUIVOS..........................................................................146
FIGURA 109: ANEXO I – ENTRADA PALAVRAS-CHAVE. ............................................................................147
FIGURA 110: ANEXO I – ENTRADA EXPRESSÕES REGULARES...................................................................148
FIGURA 111: ANEXO I – ENTRADA CATEGORIAS DE URL........................................................................149
FIGURA 112: ANEXO I – ENTRADA FILTRAGEM EXTERNA. .......................................................................150
FIGURA 113: ANEXO I – ESTABELECENDO O TAMANHO MÁXIMO DE MENSAGENS RECEBIDAS. ........................152
FIGURA 114: ANEXO I – RESTRINGINDO TIPOS DE ARQUIVOS........................................................................153
FIGURA 115: ANEXO I – RESTRINGINDO URLS. ...........................................................................................154
FIGURA 116: ANEXO I – FILTRAGEM EXTERNA DE MENSAGENS QUE CHEGAM................................................154
FIGURA 117: ANEXO I – RESTRINGINDO O TAMANHO MÁXIMO POR ANEXO. ...................................................156
FIGURA 118: ANEXO I – USANDO EXPRESSÕES REGULARES PARA FILTRAR URLS...........................................157
ix

PRÉ-REQUISITOS
AKER SECURE MAIL GATEWAY 2.0
A. INSTALAÇÃO DO CONTROL CENTER
A.I.
REQUISITOS MÍNIMOS DE HARDWARE
• Computador Pentium, ou compatível, com clock igual ou superior a
200MHz;
• 64 MB de memória RAM;
A.II. COMPATIBILIDADE
• Free BSD, versões 4.9 e 4.11;
• Fedora 3.0;
• Red Hat 9.0;
• MS-Windows 2000 ou Superior.
B. INSTALAÇÃO DO ASMG
B.I.
REQUISITOS MÍNIMOS DE HARDWARE
• Computador Pentium, ou compatível, com clock igual superior a
200MHz;
• 128 MB de memória RAM;
• HD de 4GB ou superior.
B.II. COMPATIBILIDADE
• Free BSD, versões 4.9 e 4.11;
• Fedora 3;
• Red Hat 9.
10

INTRODUÇÃO
AKER SECURE MAIL GATEWAY 2.0
Em muitas empresas, o e-mail corporativo é uma importante porta de
entrada. Entrada para novos negócios, novos parcerias e novas idéias. Mas também
uma porta para toda a sorte de ameaças virtuais que podem, desde roubar
informações estratégicas, a simplesmente indisponibilizar um serviço já
reconhecidamente vital.
Além de vírus, cavalos de Tróia e outras ameaças, mensagens
indesejadas (os famosos spams), também são uma realidade incontestável. Quando
menos esperamos, mensagens não solicitadas, oferecendo uma infinidade de
produtos e serviços são despejados em nossas caixas de correio, esgotando seus
recursos e impossibilitando a chegada de correspondências realmente necessárias. O
desperdício de tempo e recursos humanos e computacionais é enorme e pode
acarretar conseqüências um tanto quanto desagradáveis.
Pesquisa realizada pelo Nucleus Research, importante empresa de
consultoria de TI dos EUA, informa que entre 2003 e 2004, a quantidade de
mensagens não solicitadas subiu de 13 mensagens diárias para 29, fazendo com que
a perda de produtividade dos funcionários aumentasse de 1,4% para 3,1%, e levando
a um prejuízo anual de US$ 1.934,00 por funcionário. É importante frisar que nesta
conta não foram levados em consideração o custo com técnicos, desperdício de banda
e de hardware, o que faria com que ela aumentasse ainda mais. Empresas que
utilizam algum mecanismo para filtrar as mensagens conseguem bloquear
efetivamente apenas cerca de 20% do lixo eletrônico que chega diariamente.
Sob esta perspectiva, proteger a informação tornou-se uma necessidade
incontestável. Garantir que ela esteja acessível a qualquer momento, bem como
garantir sua inviolabilidade são necessidades ainda mais críticas. Assim, a Aker
Security Solutions desenvolveu o ASMG, ferramenta capaz de afastar mensagens
indesejadas e as temidas ameaças virtuais, de maneira rápida e eficiente. Capaz de
ajustar-se às mais diversas necessidades, dotada de menu intuitivo e com fácil
administração, esta solução agora integra a Aker Security Suite, fortalecendo ainda
mais essa já conhecida linha de produtos.
Neste manual, abordaremos de forma mais detalhada como o ASMG deve
ser configurado, seus componentes e funcionalidades. Assim, recomendamos que o
11

AKER SECURE MAIL GATEWAY 2.0
manual seja lido por completo, pelo menos uma vez, na ordem apresentada e que seja
usado como fonte de referência sempre que for necessário.
Todos os capítulos começam com uma introdução teórica sobre o tema a
ser tratado. Além disso, alguns módulos possuem exemplos práticos do uso do serviço
a ser configurado, em situações hipotéticas, porém bastante próximas da realidade.
Para melhor entendimento, no Capítulo 1, demonstraremos como deve ser
feita a instalação do módulo servidor do ASMG em um servidor com Sistema
Operacional FreeBSD. No Capítulo 2 apresentaremos o Aker Control Center,
ferramenta desenvolvida com o fim específico de centralizar a administração dos
vários módulos que compõem a Aker Security Suite, facilitando a integração entre
eles. Nesse capítulo, descreveremos as telas e botões existentes, além de como
customizar a apresentação dos dispositivos gerenciados através da interface gráfica.
Entrando no Capítulo 3, faremos uma breve apresentação sobre o
protocolo SMTP, explicando algumas de suas características e conceitos. No Capítulo
4, adicionamos alguns conceitos gerais que consideramos importantes para o bom
entendimento do uso do programa.
Já no Capítulo 5, explicaremos o conceito de “Entidades” e sua aplicação
no ASMG. Como as Entidades são referenciadas em todos os filtros, detalharemos
uma a uma nesse capítulo, explicando como configurá-las corretamente.
O Capítulo 6 é destinado à descrição completa do produto, apresentando
sua organização e distribuição internas. Mostraremos como a parte de gerenciamento
é administrada e explicaremos todas as telas e abas de maneira detalhada, através de
exemplos práticos.
No Capítulo 7 demonstraremos a Interface do Usuário, que é o módulo do
programa onde o usuário pode personalizar suas configurações de recebimento de
mensagens através de uma interface web.
Complementando as informações, ao final do manual inserimos um
Glossário, com uma lista de termos técnicos amplamente empregados no decorrer da
leitura, uma relação de Links úteis e leituras recomendadas, que contribuirão com a
melhor compreensão de certas ações executadas pelo ASMG e, ainda, dois anexos:
no primeiro há dois estudos de caso de como aplicar uma política anti-spam; o
segundo anexo, traz um pequeno manual referente à construção de expressões
regulares.
12

APRESENTAÇÃO DO PRODUTO
AKER SECURE MAIL GATEWAY 2.0
O Aker Secure Mail Gateway (ASMG) é um sistema de gerência e
proteção transparente para servidores de e-mail corporativos. Representa uma
ferramenta intermediária no recebimento de mensagens eletrônicas pelo protocolo
SMTP.
Figura 1: esquema demonstrativo de funcionamento do ASMG.
A ferramenta dispõe de proteção anti-spam, antivírus para os anexos, filtro
de palavras chaves e do conteúdo MIME das mensagens, além de possibilitar a
geração de relatórios de utilização dos e-mails, permitindo saber quais foram os
usuários que mais receberam ou enviaram e-mails ou qual a quantidade de anexos
infectados que tentaram entrar na rede.
Através de uma ferramenta gráfica altamente intuitiva, o ASMG possibilita
alta flexibilidade de configuração, facilitando a tarefa diária do Administrador conforme
sua necessidade. As opções de administração estão organizadas em menus,
conforme mencionado abaixo:
• Configuração: parâmetros de configuração para o SMTP gateway.
o Servidor;
o Mensagens de notificação;
13

AKER SECURE MAIL GATEWAY 2.0
o Confirmação de E-mail;
o Gerenciamento de Administradores;
o Administração da licença
o Atualização do Sistema;
o Plugins
o Antivírus
o Analisador de URL.
• Filtragem global: definição de regras aplicadas de maneira
generalizadas às mensagens e filtros.
o Servidores, domínios e redes;
o Análise de vírus;
o Regras Avançadas;
o Análise do remetente;
o Gray Listing;
o Controle de Flood.
• Políticas: regras para filtragem diferenciada de mensagens.
o Controle de acesso;
o Regras de filtragem específicas por políticas.
• Repositórios: armazenamento temporário de mensagens.
o Repositório de Sistema
o Repositório de Quarentena
• Relatórios: dados estatísticos sobre ações efetuadas pelo ASMG.
o Status do sistema
o Mensagens aceitas e rejeitadas;
o Maiores ocorrências;
o Fila de trabalho
• Logs: visualização e configurações de logs.
o Configurações de Log;
o Visualizador de Logs.
Nos próximos capítulos, detalharemos cada uma destas funcionalidades, a
fim de prover o conhecimento necessário para tornar mais eficiente a utilização do
produto.
14

Capítulo 1.
INSTALANDO O ASMG
AKER SECURE MAIL GATEWAY 2.0
Neste capítulo vamos mostrar todas as telas envolvidas na instalação
ASMG, em um servidor dedicado UNIX. As explicações adicionais referentes a cada
tela também serão descritas, quando for o caso. Todas as figuras mostradas são
referentes à instalação do produto em um servidor FreeBSD 4.9, mas o processo é
análogo ao das versões do ASMG disponíveis para outros sistemas operacionais.
1.1. INSTALAÇÃO DO MÓDULO SERVIDOR DO ASMG
1.1.1. PREPARAÇÃO PARA A INSTALAÇÃO
Neste tópico descreveremos as etapas necessárias para preparar o
servidor para a instalação do ASMG e seus componentes.
1.1.1.1. INICIANDO
1. Copie o pacote de instalação do ASMG para um diretório temporário
(exemplo: /tmp);
2. Execute o comando de descompactação:
tar xfvj
15

AKER SECURE MAIL GATEWAY 2.0
Figura 2: início da instalação.
3. Entre no diretório aonde foi copiado o arquivo e execute a linha de
comando:
./inst_asmg.sh
Figura 3: executando o script.
4. Escolha o idioma de instalação do produto e tecle ;
16

AKER SECURE MAIL GATEWAY 2.0
Figura 4: escolha do idioma de instalação.
1.1.1.2. INSTALAÇÃO DO APACHE E SUPORTE À LINGUAGEM PHP + SSL
Esta etapa está relacionada com a utilização da Interface Gráfica do
Usuário e Sistema de Confirmação. O servidor WEB será responsável por
disponibilizar o acesso necessário e dar suporte à linguagem PHP, devendo estar
localizado no mesmo servidor onde será instalado o ASMG.
É altamente recomendado que o Administrador confirme esta instalação,
pois a existência do suporte a PHP+SSL não é garantida em outros servidores WEB.
Sendo assim, pode ocorrer do programa não funcionar adequadamente em conjunto
com o ASMG.
• Digite "S" se Sim ou "N" para Não. Tecle .
17

AKER SECURE MAIL GATEWAY 2.0
Figura 5: instalando Apache e suporte ao PHP.
1.1.1.3. INSTALAÇÃO DO QT
O QT Toolkit é uma ferramenta auxiliar que o ASMG utiliza para realizar
diversas operações. Como este pacote foi adaptado para uso da ferramenta,
desaconselhamos o uso de uma biblioteca QT diferente da oferecida pelo pacote de
instalação, pois pode deixar o sistema instável.
• Neste passo, o programa de instalação perguntará se o Administrador
deseja instalar o QT Toolkit Digite "S" se Sim ou "N" para Não. Tecle
.
Figura 6: instalando o QT.
18

1.1.2. INSTALANDO O ASMG
AKER SECURE MAIL GATEWAY 2.0
Até este ponto preparamos o servidor para receber o ASMG. A partir de
agora a instalação propriamente dita terá início.
• Para iniciar a instalação do Secure Mail Gateway, responda "S" para a
pergunta e tecle .
Figura 7: instalação do ASMG.
1.1.2.1. INSTALAÇÃO DA INTERFACE GRÁFICA DO USUÁRIO
O passo seguinte é instalar a Interface Gráfica do Usuário.
• Responda "S" para a pergunta e tecle para prosseguir com a
instalação.
Figura 8: instalando a Interface Gráfica do Usuário.
19

AKER SECURE MAIL GATEWAY 2.0
Agora é necessário executar quatro passos fundamentais: indicar o
diretório raiz do servidor WEB, informar o usuário deste servidor, criar o usuário
Administrador para a Interface Gráfica e informar a senha para este usuário.
O diretório raiz do servidor WEB representa o ponto a partir do qual este
servidor consegue enxergar os arquivos locais da máquina para disponibilizá-los via
rede.
• Se você optou anteriormente pela instalação do servidor Apache
oferecido pelo instalador do ASMG, tecle para escolher a
opção padrão entre parênteses (o diretório será diferente entre
servidores Linux e FreeBSD).
• Se você optou por não instalar o servidor Apache oferecido pelo ASMG,
você deverá informar o diretório raiz de seu servidor WEB.
Devido a questões de segurança, os sistemas baseados no padrão UNIX
recomendam que servidores de rede não sejam executados com os poderes de um
usuário administrador do sistema (em geral, conhecido como root). A idéia é que, em
caso de invasão, consiga-se obter acesso somente aos arquivos criados/editados pelo
servidor invadido, impedindo assim um estrago de proporções maiores. Deste modo,
normalmente os servidores destes sistemas são executados com os poderes de
usuários dedicados àquela função.
Como o ASMG compartilha alguns arquivos com o servidor WEB, é
necessário informar ao produto qual o nome do usuário utilizado para executar este
servidor. Em servidores Apache, este usuário é comumente denominado www ou
apache.
• Se você optou pela instalação do Apache oferecido pelo instalador do
ASMG, basta escolher o usuário padrão entre parênteses (será
diferente dependendo do sistema operacional utilizado).
• Se você optou por utilizar seu próprio servidor WEB, deverá informar
aqui o nome do usuário com o qual executa seu servidor.
O usuário criado para ter acesso à Interface Gráfica de Administração é
diferente daquele criado para administrar o Apache. Os dados aqui cadastrados serão
utilizados no contexto de criação de um novo dispositivo remoto do Control Center,
conforme veremos no Capítulo 2, o qual irá representar o servidor sendo configurado.
Novos usuários poderão ser adicionados a partir da própria Interface de Administração
conforme mostraremos no Capítulo 7.
• Tecle se deseja criar o usuário com o nome padrão;
• Escolha uma senha para este usuário e confirme-a.
20

AKER SECURE MAIL GATEWAY 2.0
Figura 9: definindo parâmetros de instalação.
Neste ponto finalizamos o primeiro script de instalação do ASMG.
Se você não utiliza uma versão do sistema FreeBSD ou se você utiliza um
servidor WEB particular ou se não deseja utilizar criptografia no acesso à Interface do
Usuário via servidor WEB, não é necessário executar os passos descritos na seção
1.1.3, pois eles geram as ferramentas criptográficas que serão utilizadas pelo servidor
Apache. Neste caso, siga direto para a seção 1.1.4.
1.1.3. PARA USUÁRIOS DO FREEBSD APENAS
• Execute o comando “./confkey.sh” e escolha as opções desejadas.
Em seguida, pressione .
21

AKER SECURE MAIL GATEWAY 2.0
Figura 10: geração de certificados SSL.
IMPORTANTE: este script só deve ser executado quando a instalação do ASMG tiver
sido finalizada.
• Após concluir a geração da chave RSA, será gerado o Certificado de
Requisição (CSR). Neste processo, o sistema fará várias perguntas,
que devem ser respondidas da maneira mais completa possível.
22

AKER SECURE MAIL GATEWAY 2.0
Figura 11: gerando o certificado de Requisição.
• Agora o sistema nos oferece a opção de digitar a senha referente à
chave recém-criada. É importante mencionar que se o Administrador
optar por gerar uma senha, deverá fornecê-la manualmente sempre que
o servidor WEB for iniciado, ou seja, o início automático do sistema não
será mais possível.
23

AKER SECURE MAIL GATEWAY 2.0
Figura 12: inserindo a senha da chave criptográfica.
24

AKER SECURE MAIL GATEWAY 2.0
Figura 13: conclusão da instalação.
1.1.4. FINALIZANDO A INSTALAÇÃO (FREEBSD E LINUX)
serviço.
Agora que o processo de instalação está completo, é necessário iniciar o
• Se você utiliza Apache e deseja utilizar criptografia no acesso à
Interface do Usuário via servidor WEB, inicie-o com o comando
“apachectl startssl”.
• Se o uso de criptografia não é necessário, utilize o comando
“apachectl start” para iniciar o Apache.
25

Capítulo 2.
SOBRE O AKER CONTROL CENTER
AKER SECURE MAIL GATEWAY 2.0
Visando melhor integração entre as ferramentas e agilidade na operação, a
Aker desenvolveu o Aker Control Center, ferramenta capaz de agregar em uma
mesma interface a administração de várias ferramentas, dentre elas o Secure Mail
Gateway, o Configuration Manager e o Firewall. Com interface altamente intuitiva e
customizável, é possível agregar as diversas funcionalidades que cada um destes
sistemas possui e tirar o máximo proveito de todas as ferramentas em conjunto.
Figura 14: interface gráfica do Aker Control Center
Com o Control Center podemos concentrar vários dispositivos remotos
sob a mesma árvore. Ou seja, caso o Administrador gerencie mais de um Gateway de
e-mails, por exemplo, poderá inseri-los sob a árvore “Secure Mail Gateways” e
administrá-los separadamente. A mesma coisa acontece com as árvores
“Configuration Managers” e “Firewalls”.
26

AKER SECURE MAIL GATEWAY 2.0
Uma outra facilidade é que o Control Center possibilita a criação de
versões de demonstração (demo) de cada uma das ferramentas, podendo configurálas
de maneira independente à versão em produção. O interessante desta função é
que o Administrador pode utilizar esta versão de demonstração para ambientar-se
melhor com o produto, executar treinamentos e apresentações sem que para isso
precise comprometer o serviço que esteja em produção.
Outro diferencial a ser destacado é a facilidade em customizar os ícones e
cores de cada dispositivo, a fim de diferenciá-los tanto de dispositivos semelhantes
quanto de outros dispositivos localizados em locais diferentes na árvore. Com essa
identificação visual facilita a administração de vários dispositivos que estejam sob uma
mesma árvore.
Neste capítulo, vamos explicar todos os menus, botões e formas de
customizar o Control Center, a fim de que você possa tirar o máximo proveito da
ferramenta.
2.1. MENUS
Os menus estão localizados na parte superior da tela do Control Center.
Basicamente são três:
• Opções, onde podem ser configuradas tarefas gerais;
• Janelas, onde podemos configurar a disposição geral de janelas e
barras de tarefas;
• Ajuda, onde podemos encontrar informações sobre o Control Center.
Adicionalmente, sempre que um módulo for acessado, um menu
homônimo a ele estará disponível entre os menus “Opções” e “Janelas”. Por exemplo,
se estivermos manipulando um dispositivo de Gateway de E-mails cujo nome é
“Demonstração”, um menu com este mesmo nome será apresentado na Barra de
Menus. Dentro dele, teremos opções para edição, deleção e backup das
configurações designadas para o dispositivo.
2.1.1. MENU “OPÇÕES”
Agrega funcionalidades relativas à operação geral do sistema e
personalização do ambiente de trabalho. É composto pelos seguintes itens:
• Textos nos botões: esta opção define se textos com o nome de cada
botão será apresentado abaixo do seu ícone;
27

AKER SECURE MAIL GATEWAY 2.0
• Show Tooltips: quando selecionado, mostra exemplos de configuração
para aquele dispositivo;
• Ajuda Rápida: quando acionado, mostra breve texto de ajuda referente
à funcionalidade que está sendo acessada;
• Mostrar Ícones nos Botões: dentro da operação do ASMG, este botão
define se os ícones internos (OK, Cancelar, etc) serão mostrados ou
não;
• Tempo de sessão ociosa: o Administrador pode configurar se deseja
ou não terminar uma sessão ociosa após certo intervalo de tempo;
• Remoção: mostra mensagem de confirmação de exclusão de itens;
• Sair: sai do Control Center.
2.1.2. MENU “JANELAS”
Aqui podemos escolher as barras de tarefas e janelas que serão
mostradas durante a operação do sistema, além de poder decidir como a tela será
organizada. É composto pelas seguintes opções:
• Barras de Ferramentas:
o Sistema: é a principal barra de ferramentas do ASMG.
o Line Up: faz com que barras avulsas referentes ao uso de
determinadas funções alinhem-se à barra de ferramentas principal.
• Janelas: através deste menu é possível selecionar as janelas que
estarão disponíveis na área de trabalho. É composto pelas seguintes
opções:
o Ajuda: carrega a janela que contém informações sobre cada tela
acessada.
o Dispositivos Remotos: carrega a janela que contém as árvores de
dispositivos gerenciados.
o Entidades: carrega a janela que mostra todas as entidades
referentes a um dispositivo gerenciado.
o Line Up: alinha as janelas abertas.
• Lado a Lado: organiza as telas de administração lado a lado.
• Cascata: organiza as telas de administração em cascata.
2.1.3. MENU “AJUDA”
Aqui encontramos informações gerais sobre o sistema e seus
componentes. É composto pelas seguintes opções:
28

AKER SECURE MAIL GATEWAY 2.0
• O que é isso: ajuda rápida para a utilização te todos os dispositivos
instalados no Control Center.
• Sobre: traz informações gerais a respeito do Control Center, com
versão de bibliotecas e plugins instalados.
2.2. BARRAS DE TAREFAS
As Barras de Tarefas agregam diversos botões cuja função é agilizar a
realização de tarefas referentes ao uso da ferramenta.
Botão utilizado para sair do Aker Control Center.
Adiciona algum novo módulo de administração do ASMG, Firewall
ou Configuration Manager.
Botão que traz as configurações já armazenadas de um
determinado dispositivo para edição dos dados.
Exclusão de algum módulo administrado pelo Control Center.
Salvar as configurações e alterações dos módulos já criados.
Carregar as configurações de um módulo previamente salvo no
Control Center.
Finalizar a conexão com algum módulo administrado pelo Control
Center.
Botão para indicar que há dúvida em algum comando, janela ou
interface de administração dentro do Control Center.
IMPORTANTE: se estiver utilizando a versão de demonstração da ferramenta, é
necessário clicar no botão “Salvar” ao realizar qualquer alteração na configuração
atual, a fim de garantir que as novas configurações estejam disponíveis na próxima
utilização.
29

2.3. PERSONALIZANDO O CONTROL CENTER
AKER SECURE MAIL GATEWAY 2.0
Para facilitar a identificação visual de diferentes dispositivos, é possível
personalizar os ícones e cores de apresentação dos componentes do Control Center.
Desta maneira, o Administrador pode realizar diferentes arranjos dentro da tela,
escolhendo uma determinada cor para o mesmo grupo de aplicativos, ou alterando os
ícones conforme a região em que o objeto administrado se encontra.
Para realizar a customização, é necessário ter um dispositivo do Secure
Mail Gateway cadastrado no Control Center. Para cadastrar um dispositivo:
1. Se a janela “Dispositivos Remotos” não estiver visível, clique no
menu “Janelas” do Control Center e escolha a opção que possui o
nome “Janelas”. Marque a opção “Dispositivos Remotos”.
Figura 15: visualizando a tela “Dispositivos Remotos”.
2. A seguir, clique com o botão direito do mouse no item “Secure Mail
Gateways” e escolha a opção “Novo dispositivo remoto”;
3. Preencha os dados requisitados: nome do servidor, endereço IP,
usuário e senha. Se preferir apenas usar o modo de demonstração,
marque apenas a opção “Modo de demonstração” e insira o nome;
30

AKER SECURE MAIL GATEWAY 2.0
Figura 16: visualizando a tela para adicionar dispositivo.
4. Clique em OK.
Depois que o dispositivo estiver cadastrado, podemos alterar seu ícone e
cor de apresentação. Para isso, clique com o botão direito do mouse sobre o ícone do
dispositivo que você acabou de instalar e clique em “Editar”. Na janela localize o
ícone do dispositivo e clique uma vez sobre ele.
Figura 17: ícone que pode ser alterado.
A nova janela mostra os possíveis ícones que podem ser escolhidos para
substituir os já existentes:
31

AKER SECURE MAIL GATEWAY 2.0
Figura 18: tipos de ícones disponíveis.
Agora basta escolher o ícone que deseja utilizar. Se desejar mudar a cor, é
necessário selecionar o ícone desejado e clicar sobre o botão “Mudar cor” e
escolher a nova cor dentro da paleta.
Figura 19: demonstrando a paleta de cores.
Clique em OK e feche as telas abertas até voltar à área de trabalho do
Control Center. Este processo pode ser realizado quantas vezes forem necessárias e
com todos os dispositivos gerenciados através do Control Center.
32

Capítulo 3.
O PROTOCOLO SMTP
AKER SECURE MAIL GATEWAY 2.0
Entender o protocolo SMTP constitui uma base importante para
compreender o funcionamento do ASMG. Para facilitar o entendimento da ferramenta,
este capítulo fará uma pequena apresentação sobre o referido protocolo.
3.1. DEFINIÇÃO
O SMTP, ou Simple Mail Transfer Protocol, é o protocolo padrão para
envio de mensagens eletrônicas pela Internet. Foi proposto inicialmente pela em
meados dos anos 80, mas com o passar do tempo, novas necessidades obrigaram
que passasse por uma modernização, incluindo no protocolo funcionalidades extras ao
modelo inicial. Atualmente é regulamentado pela RFC 2821 que, entre outras coisas
propôs melhorias e novas extensões a serem suportadas, além das melhores práticas
na implementação do serviço. Uma das premissas mais importantes é a
interoperabilidade. Assim, mesmo que novas versões sejam lançadas, todos os
servidores de correio que utilizem o SMTP como protocolo padrão devem suportar
tanto as versões mais antigas quanto a mais atual.
Pela definição original do protocolo, a mensagem de correio é composta
por um texto em formato ASCII e deve possuir cabeçalho e corpo, separados por uma
linha em branco (vazia). No cabeçalho estão especificadas algumas informações de
controle, ou seja, informações necessárias para indicação de origem, destino, assunto
e trajeto, entre outras.
Para acomodar os vários tipos de arquivos contendo informações nãotextuais,
tais como imagens, sons e animações, que circulam anexados às mensagens
de correio, a IETF (Internet Engineering Task Force) definiu o padrão MIME – Multi-
Purpose Internet Mail Extensions, que é o formato utilizado para a identificação e
codificação de vários conteúdos, a fim de padronizar as transmissões de mensagens,
de forma que todos os MTAs consigam interpretá-las. Este padrão prevê a codificação
de anexos que possuam como conteúdo caracteres não-ASCII ou binários, e a
inclusão dessas versões codificadas no corpo da mensagem como se fossem anexos.
Desta maneira, os servidores continuam a ver o corpo de cada mensagem como um
texto ASCII, conforme a definição original.
33

3.2. MENSAGEM E ENVELOPE
AKER SECURE MAIL GATEWAY 2.0
Uma boa analogia ao sistema de correio eletrônico é compará-lo ao
sistema de correio convencional: quando desejamos enviar uma carta para alguém,
colocamos a mensagem dentro de um envelope, onde informamos tanto os nossos
dados (remetente), quanto os dados da pessoa que vai receber a carta (destinatário),
ou seja, seu nome e dados completos para entrega. Se os dados do destinatário não
forem preenchidos corretamente, não será possível fazer a entrega e a carta nos será
devolvida, caso os dados constantes no envelope também estejam corretos.
Já no sistema de correio eletrônico a diferença é que todo este processo
de transferência da mensagem é feito de maneira eletrônica. Assim, precisamos ter
uma conta de correio da Internet para que possamos enviar a mensagem e
precisamos conhecer o endereço correto da pessoa para quem desejamos mandá-la,
para que o encaminhamento necessário seja feito.
Quando enviamos uma mensagem, todo seu conteúdo é encapsulado por
um envelope, onde é informado o endereço do remetente, a lista de destinatários e
dados sobre extensões que são suportadas pelo protocolo. Os dados do envelope são
utilizados pelos agentes de transporte de mensagem (MTA) para fazer o roteamento
adequado das mensagens.
O envelope contém a mensagem que, por sua vez, é dividida em
cabeçalho e corpo. O cabeçalho contém informações de controle, tais como a origem,
remetente e destinatário, além de outros parâmetros necessários para a identificação
e formatação da mensagem pelo programa de leitura usado pelo receptor. Já o corpo
da mensagem contém a mensagem propriamente dita.
Alguns mecanismos de autenticação como o SPF e o Sender ID, e
softwares anti-spam costumam analisar as informações existentes no envelope da
mensagem para tentar identificar as possíveis mensagens indesejadas e, assim, filtrálas.
Mais detalhes sobre estes mecanismos serão vistos no item 4.2 – Autenticação
SPF e Sender ID.
34

AKER SECURE MAIL GATEWAY 2.0
Figura 20: exemplo de uma mensagem.
3.3. MAIL EXCHANGE
Quando desejamos enviar um e-mail para alguém, temos que saber duas
coisas importantes: seu nome de usuário (1) e o domínio para onde a mensagem deve
ser encaminhada (2). Os endereços eletrônicos obedecem a esta regra e possuem o
seguinte formato:
1 2
username@nomedominio.com.br
Domínios são nomes que identificam um ou mais endereços IP, de
maneira mnemônica. Apesar de nomes serem mais fáceis para o ser humano
recordar, a Internet é toda baseada em endereços IP, e por isso é necessário um
serviço que faça a conversão do nome do domínio para seu respectivo endereço IP.
35

AKER SECURE MAIL GATEWAY 2.0
Este serviço é o DNS, ou Domain Name Service. Os registros DNS estão organizados
em grandes bases de dados, hierarquicamente, de maneira que as conexões são
roteadas de acordo com a entidade que gerencia aquela faixa de registros.
O MX (Mail Exchange) é um tipo de registro especial inserido no DNS de
um domínio, que identifica o(s) servidor(es) responsável(is) por atender suas
requisições de correio. Quando o emissor precisa encaminhar uma mensagem, faz
uma pesquisa DNS para localizar o MX referente àquele domínio, e o resultado traz a
relação dos servidores que estão habilitados a receber as mensagens direcionadas a
ele. Como podem ser alocados mais de um servidor para resolver o MX de um
determinado domínio, é possível ainda indicar a ordem de preferência entre eles para
o recebimento de mensagens.
Figura 21: Pesquisa para descobrir o MX de um domínio
Pelo exemplo acima, podemos ver que para o domínio meudominio.com.es
foram definidos dois servidores responsáveis por receber suas mensagens de correio,
e que ambos possuem o número 10 para indicar a preferência. Neste caso, está
estabelecido que ambos têm igual prioridade para responder pelo recebimento de
mensagens direcionadas para meudominio.com.es.
3.4. FUNCIONAMENTO
Podemos resumir o funcionamento do SMTP da seguinte forma: quando
um cliente SMTP tem uma mensagem a transmitir, estabelece um canal de
transmissão em duas vias com o servidor SMTP de destino e encaminha a
mensagem, que é repassada para a caixa de correio do usuário.
Conforme a RFC 2821, a maior responsabilidade de um cliente SMTP é
transferir as mensagens de correio para um ou mais servidores, ou então informar se
ocorreu algum problema na tentativa de entrega. Para encontrar o servidor de destino
correto, o cliente faz uma busca em vários registros DNS a fim de encontrar o MX
responsável por aquele domínio. A partir daí, a transferência da mensagem pode
36

AKER SECURE MAIL GATEWAY 2.0
ocorrer através de uma simples conexão com o servidor de destino, ou então por
vários saltos (hops) através de outros servidores intermediários.
Quando o cliente necessita encaminhar uma mensagem, localiza o MX do
servidor de destino e inicia um handshake 1 , seguido por uma série de comandos que
especificam o remetente, destinatário e o conteúdo da mensagem propriamente dito
(incluindo cabeçalhos e outras estruturas). Durante a negociação de envio da
mensagem, para cada comando enviado deve haver uma resposta indicando:
• se o comando enviado foi aceito, ou
• informações acerca de outros comandos adicionais que podem ser
esperados, ou
• se existe algum erro permanente ou temporário que impeça a
transmissão da mensagem.
Quando a transmissão é finalizada, podem ocorrer duas situações: a
conexão é encerrada, ou então o cliente pode iniciar outras transações.
Um remetente pode enviar simultaneamente varias cópias de uma
mensagem para diferentes destinatários, utilizando o conceito de lista de distribuição
(um nome que identifica um grupo de usuários). Caso isto aconteça com vários
usuários do mesmo destino, apenas uma cópia será encaminhada para o servidor, que
se encarrega de enviar uma cópia para todos os destinatários.
3.5. ERROS DE TRANSMISSÃO
Durante a transmissão de uma mensagem, podem acontecer situações em
que ela não consegue ser entregue. Os motivos para esta condição são variados e
podem ocorrer por conta de problemas temporários ou permanentes. De acordo com a
RFC 2821, servidores que implementam o protocolo SMTP devem estar preparados
para lidar com estas situações e, normalmente, o remetente da mensagem recebe
uma notificação de falha, contendo o código de erro e sua respectiva explicação.
1 O início da comunicação entre dois computadores acontece com um handshake de três vias:
o Cliente (client) envia um pacote de dados ao Servidor (server), requisitando a abertura de
uma conexão. Assim que recebe a resposta, o Servidor pode enviar uma resposta favorável ou
não ao cliente. Se a resposta à conexão for desfavorável (REJECT), a conexão é encerrada.
Caso seja favorável (ACCEPT ACK), o cliente inicia a transmissão.
37

3.5.1. ERROS TEMPORÁRIOS
AKER SECURE MAIL GATEWAY 2.0
Geralmente, quando o emissor recebe uma mensagem de erro temporário
vinda do receptor, tenta enviar a mensagem novamente dentro de algum tempo, até o
prazo máximo de cinco dias. Esses erros de transmissão podem acontecer por vários
motivos. Dentre eles podemos citar problemas na comunicação entre emissor e
receptor, falta de espaço em disco do receptor para armazenar a mensagem, ou até
mesmo devido a simulações de erro por parte do servidor para validar se a mensagem
vem de fonte confiável ou não. O ASMG implementa esta última política, conhecida
como Graylist, conforme descrito no item 5.2 – Gray Listing.
Os códigos de erro temporário mais importantes são os seguintes:
• 421 – Service not available, closing transmission channel. (Serviço
indisponível, fechando o canal de transmissão);
• 451 – Requested action aborted: local error in processing. (Ação
solicitada cancelada: erro local no processamento);
• 452 – Requested action not taken: insufficient system storage.
(Ação requisitada não concluída: espaço de armazenamento
insuficiente).
3.5.2. ERROS PERMANENTES
Quando este tipo de erro ocorre, significa dizer que a mensagem foi
rejeitada pelo receptor e não haverá nova tentativa por parte do emissor de tentar
entregá-la. Dentre os tipos de erro mais comuns, podemos citar o endereço de envio
incorreto, caixa do destinatário sem espaço disponível, além de outros motivos ligados
à prática de spam, como inserção do servidor em blacklists, verificação SPF inválida,
etc.
Os códigos de erro permanente mais importantes são os seguintes:
• 550 – User Unknown. (Usuário desconhecido).
• 552 – Requested mail action aborted: exceeded storage allocation.
(Ação de envio solicitada abortada: espaço de armazenamento
excedido).
• 557 – Access denied. (Acesso negado Erro permanente para
endereço reverso não encontrado ou inválido).
3.6. COMANDOS SMTP
A seguir, vamos listar alguns dos comandos mais importantes do protocolo
SMTP referentes à implementação de um MTA, citando seu significado e utilização:
38

AKER SECURE MAIL GATEWAY 2.0
• HELO (HELLO) – obrigatório: identifica o Emissor da mensagem para
o Receptor.
• MAIL FROM – obrigatório: identifica o remetente da mensagem, que
será utilizado pelos servidores de trânsito.
• RCPT TO (ReCiPienT) – obrigatório: este comando identifica o
destinatário da mensagem. Caso haja mais de um destinatário, o
comando deve ser repetido quantas vezes forem necessárias.
• DATA – obrigatório: inicia a transmissão da mensagem. O conteúdo
da mensagem é transmitido logo em seguida, usando qualquer um dos
128 caracteres ASCII. O fim da transmissão é especificado por uma
seqüência ".".
• RSET (ReSET) – obrigatório: determina que a transmissão atual
deverá ser abortada. Todos os dados referentes são descartados.
• VRFY (VeRiFY): solicita ao Receptor a confirmação de que o
argumento identifica um usuário conhecido. Se for identificado o nome
completo do usuário é retornado (se este possuir) e a transmissão
concluída.
• EXPN (EXPaNd): solicita ao Receptor a confirmação de que o
argumento identifica uma lista de e-mails. Se for identificada serão
retornados os membros desta lista no mesmo formato retornado pelo
comando VRFY.
• NOOP – obrigatório: não possui efeitos ou parâmetros. Apenas faz
com que o receptor envie um OK.
• QUIT – obrigatório: determina que o Servidor envie um OK e então
feche o canal de comunicação com o Cliente.
39

Capítulo 4.
CONCEITOS IMPORTANTES
AKER SECURE MAIL GATEWAY 2.0
Por padrão, o ASMG utiliza uma política restritiva de bloqueio de
mensagens no repasse, afinal, conforme já mencionado, a ferramenta atua como
intermediário em seu recebimento. Isso significa dizer que toda mensagem vinda de
um agente remoto será recusada se não houver a liberação explícita do mesmo para
que este faça o repasse da mensagem utilizando o ASMG.
Para melhor entendimento de algumas funções, neste capítulo vamos
conceituar alguns termos importantes para o melhor entendimento do ASMG.
4.1. CLIENTES CONHECIDOS E DESCONHECIDOS
Consideremos que um cliente é um programa que tenta enviar uma
mensagem de e-mail que é interceptada pelo ASMG. Para que este cliente seja
considerado “conhecido” e, tenha a sua conexão aceita sem restrição, é necessário
que obedeça a qualquer uma das condições a seguir:
• Pertença a um domínio (por DNS reverso) cadastrado na configuração
de repasse por domínios, ou
• Pertença a uma rede cadastrada na configuração de repasse por redes,
ou
• Possua um endereço IP cadastrado na configuração de repasse por
servidores ou
• Tenha realizado autenticação SMTP (a qual veremos a seguir).
Caso não obedeça a nenhuma destas condições, o cliente é chamado
“desconhecido”. Os clientes conhecidos podem enviar mensagens para qualquer
domínio. Já os desconhecidos podem enviar mensagens apenas para domínios
conhecidos pela ferramenta. O ASMG reconhece domínios em duas situações:
• O domínio está cadastrado na configuração de repasse por domínios,
ou
• O servidor onde se encontra o produto está configurado como MX
autorizado do domínio em questão, no DNS acessado por ele.
40

4.2. AUTENTICAÇÃO SPF E SENDER-ID
AKER SECURE MAIL GATEWAY 2.0
É fato que os spammers estão usando técnicas cada vez mais
sofisticadas, buscando “furos” no protocolo SMTP que acolham suas técnicas
invasivas. Já é de conhecimento geral que o protocolo SMTP não possui mecanismo
de autenticação própria, deixando que as camadas superiores façam o controle
necessário. Assim, os spammers exploram esta vulnerabilidade para, dentre outras
práticas, enviar e-mails em nome de outras pessoas ou como se pertencessem a
determinado domínio.
Um caso muito comum hoje em dia é o spoofing: um usuário X recebe uma
mensagem vinda de um remetente Y quando, na verdade, Y não enviou nenhuma
mensagem. Ou seja, alguém se fez passar por Y e enviou mensagens em seu nome.
Casos de mensagens enviadas através de endereços forjados ou inexistentes são um
grande problema quando há a necessidade de rastreá-las e descobrir suas origens.
Esta vulnerabilidade torna necessário um mecanismo de autenticação externa a fim de
assegurarmos se a fonte da mensagem é real ou não.
Outra prática muito comum tem sido o phishing: um spammer se faz
passar por uma determinada empresa ou entidade comercial e induz o usuário a
fornecer informações de caráter privado, tais como senhas de banco, números de
cartão de crédito ou CPF, que serão utilizados para transferências bancárias ilícitas, e-
commerce ou outros tipos de fraudes. Normalmente estas mensagens trazem links
falsos ou solicitam que o destinatário cadastre-se em determinada página. Alguns
casos recentes de phishing foram tão perfeitos que estes links maliciosos eram cópias
exatas dos sites das empresas verdadeiras, incluindo padrões de cores e fontes.
Os dois padrões atualmente propostos para tentar neutralizar esta falha de
segurança e combater estes ataques são o SPF (Sender Policy Framework) e o
Sender-ID. Nesta seção explicaremos os dois padrões, trazendo seus conceitos,
notícias atuais quanto à utilização, seus prós e contras.
4.2.1. PADRÃO SPF
Criado em junho de 2003, o padrão SPF foi uma alternativa proposta por
um grupo de pesquisa anti-spam, o The Anti-Spam Research Group (ASRG), ao MTA
Authorization Records in DNS (MARID), grupo ligado à IETF, responsável por tentar
restringir os problemas causados pela falta de autenticação do protocolo SMTP.
Este padrão permite que, através de uma configuração simples no MX de
determinado domínio (meudominio.com.br, por exemplo), seja adicionada uma linha
de texto com a informação que descreve quais os endereços dos servidores de e-mail
que estão autorizados a enviar mensagens referentes àquele domínio (MX-reverso).
Quando um spammer forja um endereço de e-mail para enviar mensagens, precisa
conectar-se a um servidor que permita este repasse indevido para só então poder
41

AKER SECURE MAIL GATEWAY 2.0
enviá-la. Se o servidor de destino estiver utilizando o padrão de autenticação SPF,
assim que receber a mensagem pode perguntar ao servidor que responde pelo
domínio do endereço forjado se a mensagem realmente partiu de lá. Desta maneira, é
possível certificar-se se quem mandou é quem realmente diz ser e, caso não seja,
descartar a mensagem.
Exemplificando: um spammer envia uma mensagem para um grupo de
endereços assumindo a identidade de mariazinha@meudominio.com.br. Os MTAs que
possuem o SPF configurado em seus servidores de correio fazem uma verificação
simples para identificar se tanto o IP como o domínio do remetente que enviou aquela
mensagem realmente correspondem ao IP relacionado no MX que responde por
aquele domínio para, desta maneira, validar se a mensagem partiu do endereço
mariazinha@meudominio.com.br. Em caso positivo, a mensagem será entregue. Caso
contrário será descartada.
Um exemplo típico de registro a ser colocado no DNS contém as seguintes
informações:
• "v=" define a versão do SPF que está sendo utilizada;
• "mx": endereço(s) do(s) servidor(es) válido(s) por responder pelo MX
daquele domínio.
• "ptr": especifica que servidores cujo nome termine com
meudominio.com.br podem enviar mensagens por aquele domínio. Este
registro não é obrigatório;
• "-all": indica que se as verificações de MX e PTR não forem
verdadeiras, a mensagem deve ser rejeitada como mensagem falsa.
Aplicando esta regra, teríamos a seguinte linha de comando:
meudominio.com.br IN TXT "v=spf1 mx ptr -all"
Esta prática é interessante principalmente porque torna possível descartar
várias mensagens de origem duvidosa sem alocar grandes recursos de
processamento. Além disso, podemos resguardar a rede interna quanto a possíveis
ameaças de vírus, já que é comum usar remetentes falsos para encaminhar este tipo
de mensagens. Devido à grande quantidade de SPAMs que circulam pela Internet,
diversas entidades como a AOL, SAP, Terra Networks, GMail e Google, entre outros,
já adotaram o padrão SPF para filtrar as mensagens. Além disso, softwares como o
SpamAssassin, Postfix, Sendmail e Qmail já suportam ou disponibilizaram patches e
plugins para o SPF.
Também temos que levar em conta que o SPF ainda não é um padrão
adotado, apenas proposto. Pode levar certo tempo até ser adotado em massa e até lá,
vários servidores ainda terão que adequar-se. Enquanto isso, se o DNS de
42

AKER SECURE MAIL GATEWAY 2.0
determinado servidor de envio não tiver o SPF configurado nenhuma ação será
tomada e a mensagem será entregue normalmente. Apesar de ser uma abertura no
sistema, ainda é necessário aguardar certo consenso para realizar todas as
modificações necessárias.
4.2.2. SENDER-ID
O Sender-ID também é um autenticador de mensagens de correio. Este
padrão proposto pela Microsoft alia as características do padrão aberto SPF com uma
tecnologia já anteriormente desenvolvida pela Microsoft, chamada Caller-ID
(“Identificador de Chamadas”). O Sender-ID trabalha não apenas verificando o
endereço de quem enviou a mensagem, mas também detectando seu remetente e
facilitando a filtragem do lixo eletrônico.
Funciona da seguinte maneira: cada domínio possui um nome associado a
um endereço IP e ambos estão inclusos em um banco de dados, denominado Domain
Name System (DNS). Pelo DNS, podemos obter o endereço IP de destino, apenas
fornecendo o nome de domínio (o inverso é chamado DNS reverso). Após receber
uma mensagem, o servidor de destino faz uma pesquisa DNS para validar se o
servidor de onde a mensagem foi originada está cadastrado como MX responsável por
aquele domínio. Em seguida, o Sender-ID valida o remetente da mensagem. Caso
alguma das verificações falhe, a mensagem será descartada. Caso contrário será
entregue.
O projeto que deu início ao Sender-ID começou com a ajuda de diversos
parceiros de renome, entre eles várias distribuições do Linux, ISPs e desenvolvedores
de softwares para correio eletrônico. No ano passado foi submetido à IETF, mas há
várias discordâncias quanto à sua aceitação, tendo em vista que a Microsoft quer
cobrar os direitos sobre o licenciamento da tecnologia, o que impede que seja adotada
pela comunidade do software livre.
43

Capítulo 5.
ENTIDADES
AKER SECURE MAIL GATEWAY 2.0
Na Programação Orientada a Objeto (POO), definimos Entidades como
representações lógicas de objetos que existem no mundo real. No ASMG, este
conceito é amplamente utilizado para facilitar o gerenciamento do produto, pois
podemos agrupar em uma mesma Entidade objetos que possuem as mesmas
características, mas que possuem aplicações diferentes. Por exemplo: através da
Entidade “Lista de E-mails” podemos criar uma lista de e-mails de remetentes que
serão automaticamente bloqueados para envio de mensagens para a rede interna
(blacklist) e uma outra de remetentes que serão automaticamente autorizados a enviar
mensagens para a rede interna (whitelist). Podemos ver que o objeto é o mesmo: uma
lista de e-mails. No entanto, a aplicação destes dois objetos é totalmente diferente.
As entidades são facilmente configuráveis e estão separadas nas
seguintes categorias:
• Filtros externos: integração entre o ASMG e scripts ou programas
externos para filtrar mensagens;
• Arquivos: descrição de tipos de arquivos que serão utilizados pelos
filtros do ASMG;
• Autenticadores: através desta entidade, podemos estabelecer
autenticadores externos para validar usuários pertencentes à rede onde
o ASMG está instalado.
• Listas de Expressão Regular: listas de expressões de interesse
(comuns em spams, por exemplo) que alimentarão os filtros do ASMG;
• Listas de Palavras-chave: análogas às listas anteriores, também são
listas de palavras de interesse, que alimentarão os filtros do ASMG;
• Listas de E-mail: grupos de endereços que serão utilizados em
diversas ações e filtragens executadas pelo ASMG;
• RBLs: listas externas que contêm relações de servidores de e-mail
promíscuos (open relay) comumente utilizados por spammers;
• Redes: entidade que armazena endereços e máscaras de redes que
serão instanciadas dentro do ASMG;
• Domínios: entidade que armazena os domínios que serão instanciados
dentro do ASMG;
44

AKER SECURE MAIL GATEWAY 2.0
• Servidores: entidade que armazena endereços IP de servidores que
serão instanciados em diferentes áreas do ASMG.
Figura 22: componentes da tela “Entidades”.
5.1. CONFIGURANDO AS ENTIDADES
Conforme dito anteriormente, as entidades mantêm parâmetros e valores
que serão amplamente utilizados na operação do ASMG. Considerando a importância
e versatilidade dos papéis que elas desempenham, é muito importante entender como
manuseá-las e parametrizá-las.
Por esta ser uma ferramenta facilmente customizável, o acréscimo ou
retirada de informações podem ser feitos de maneira simples, sempre que necessário.
É importante lembrar que certas configurações devem ser bem estudadas a fim de não
se chocarem, o que impediria a obtenção do resultado desejado.
Para ter acesso à janela que contém as Entidades, abra o Aker Control
Center e conecte-se ao dispositivo a ser gerenciado. Em seguida, clique no menu
“Janelas” e selecione “Entidades”. Esta nova janela pode ser posicionada em
vários lugares da tela, cabendo ao usuário do sistema definir qual o melhor local.
A seguir, vamos descrever as Entidades uma a uma, informando a maneira
como elas podem ser acessadas e ter dados inseridos.
5.1.1. FILTROS EXTERNOS
É possível configurar programas ou scripts externos tais como antivírus ou
analisadores de spams para, em conjunto com o ASMG, filtrar mensagens suspeitas
45

AKER SECURE MAIL GATEWAY 2.0
ou mesmo contaminadas. O ASMG envia a mensagem para estes programas e,
baseado na resposta dos mesmos, pode tomar atitudes diversas como, por exemplo, o
descarte da mensagem.
Figura 23: configurando uma entidade do tipo “Filtro Externo”.
Para criar uma Entidade do tipo “Filtros Externos”:
1. Clique com o botão direito do mouse sobre a entidade “Filtros
Externos”;
2. Selecione a opção “Novo”;
3. Na tela seguinte, digite o nome que deseja dar ao filtro na caixa
“Nome”, ou marque a opção “Automático”;
4. Na caixa “Caminho para o programa”, informe o local correto
onde o filtro externo pode ser encontrado (caminho para seu
executável);
46

AKER SECURE MAIL GATEWAY 2.0
Também é possível especificar parâmetros e valores adicionais para
serem utilizados pelos executáveis do programa escolhido e que, por sua vez, servirão
como regras para a filtragem das mensagens. Para isso, siga os seguintes passos:
1. Clique com o botão direito do mouse na tela “Parâmetros e
valores a serem especificados para esta Entidade” e
selecione “Adicionar”;
2. Clique novamente o botão direito do mouse abaixo da coluna
“Parâmetro” e adicione o parâmetro desejado. Se for o caso, repita
este mesmo procedimento na coluna “Valor”.
3. Para inserir novos parâmetros e valores, repita os passos 1 e 2 quantas
vezes forem necessárias.
OBS: vale ressaltar que para criar uma entidade deste tipo, é necessário que o
Administrador especifique pelo menos uma regra de valor retornado, pois é baseado
neste valor de retorno que o ASMG decide o que vai fazer com a mensagem.
5.1.2. ARQUIVOS
É possível configurar tipos de arquivos que serão ignorados durante a
filtragem de conteúdo. Dependendo do tipo de política adotada pela empresa, será
possível filtrar anexos que contenham imagens, sons, filmes, etc.
Figura 24: configurando uma entidade do tipo “Arquivo”.
47

AKER SECURE MAIL GATEWAY 2.0
O ASMG já fornece na instalação um conjunto de Entidades do tipo
“Arquivos” pré-criado que, por sua vez, representam os tipos de arquivos mais
comuns. Caso o Administrador deseje adicionar novas Entidades do tipo “Arquivo”,
basta proceder da seguinte maneira:
1. Clique com o botão direito do mouse sobre a entidade “Arquivos”;
2. Selecione a opção “Novo”;
3. Digite o nome que deseja dar ao filtro na caixa “Nome”, ou marque a
opção “Automático”;
4. Preencha os campos com as informações de Extensão, Tipo Real e
Tipo MIME, e clique em OK;
5. Caso deseje adicionar mais entidades do tipo “Arquivo”, repita os
passos de 1 a 4, quantas vezes forem necessárias.
5.1.3. DOMÍNIOS
Nesta Entidade podemos listar vários domínios que serão utilizados como
base para diferentes filtros, tais como relay de e-mails permitido e bloqueio de
remetentes.
Figura 25: configurando uma entidade do tipo "Domínio".
Para adicionar uma entidade do tipo “Domínio”:
1. Clique com o botão direito do mouse sobre a entidade “Domínio”;
2. Selecione a opção “Novo”;
48

AKER SECURE MAIL GATEWAY 2.0
3. Digite o nome que deseja dar a esta entidade no campo “Nome” ou
marque a opção “Automático”;
4. Informe o domínio desejado no campo designado e clique em OK;
5. Para criar outras entidades do tipo “Domínio”, repita os passos de 1 a
4, quantas vezes forem necessárias.
5.1.4. LISTAS DE EXPRESSÕES REGULARES
Nesta Entidade configuramos expressões mais sofisticadas a fim de
identificarmos padrões de texto contidos em anexos das mensagens. Com elas, é
possível identificar facilmente, por exemplo, se existe um anexo que faça referência a
um endereço eletrônico, ou uma URL qualquer.
Figura 26: configurando uma entidade do tipo “Lista de Expressões Regulares”.
Apesar de ser um recurso bastante interessante, este tipo de filtragem
possui uma análise mais complexa e que necessitam de consideráveis recursos
computacionais. Assim, estas listas devem ser utilizadas com certa parcimônia.
Para criar uma entidade do tipo “Lista de Expressões Regulares”, proceda
da seguinte maneira:
1. Clique com o botão direito do mouse sobre a entidade “Listas de
Expressões Regulares”;
2. Selecione a opção “Novo”;
3. Digite o nome que deseja dar à lista no campo “Nome”;
49

AKER SECURE MAIL GATEWAY 2.0
4. Clique com o botão direito do mouse sobre a tela “Expressões
Regulares” e clique em “Novo”;
5. Digite a expressão desejada e clique em OK.
6. Para inserir mais expressões na mesma lista, repita os passos 4 e 5,
quantas vezes forem necessárias.
7. Caso deseje criar mais entidades do tipo “Listas de Expressões
Regulares”, repita os passos de 1 a 6, quantas vezes forem
necessárias.
É possível criar várias listas com expressões diferentes, agrupadas de
maneira distinta. Se for este o caso, repita este procedimento quantas vezes forem
necessárias.
Há ainda a opção de importar as listas de expressões regulares
diretamente de arquivos no formato CSV ou exportá-las para arquivos neste mesmo
formato. Para realizar a importação/exportação de uma lista:
1. Clique com o botão direito do mouse sobre a entidade “Listas de
Expressões Regulares”;
2. Selecione a opção “Novo”;
3. Selecione a opção “Importar” ou “Exportar”, conforme a ação
desejada;
4. Indique o nome do arquivo e o local onde ele está localizado. Clique em
“Importar”, se estiver realizando uma importação, ou em “Salvar”,
caso esteja exportando uma lista.
Não há restrições quanto à importação ou exportação de várias listas.
Neste caso, basta repetir o procedimento acima.
5.1.5. LISTAS DE PALAVRAS-CHAVE
Nesta Entidade configuramos restrições para palavras-chave contidas em
anexos do tipo texto das mensagens. Palavras-chave são entidades que representam
listas de palavras tipicamente utilizadas em determinado assunto. Por exemplo:
50

AKER SECURE MAIL GATEWAY 2.0
“vendas”, “acesse”, “site”, são palavras tipicamente encontradas em anexos de
mensagens de SPAM que fazem publicidade de produtos.
Figura 27: entidade do tipo “Lista de Palavras-Chave”.
É possível criar várias listas com palavras-chaves diferentes, agrupadas,
ou não, por determinado assunto. Para criar uma lista de palavras-chave, proceda da
seguinte maneira:
1. Clique com o botão direito do mouse sobre a entidade “Listas de
Palavras-Chave”;
2. Selecione a opção “Novo”;
3. Na tela seguinte, digite o nome que deseja dar à lista no campo
“Nome”;
4. Clique com o botão direito do mouse sobre a tela “Palavras-Chave”
e clique em “Novo”;
5. Digite a palavra desejada e clique em OK;
6. Para inserir mais Palavras-Chave dentro de uma mesma lista, repita os
passos 4 e 5, quantas vezes forem necessárias;
7. Caso deseje criar mais entidades do tipo “Listas de Palavras-Chave”,
repita os passos de 1 a 6, quantas vezes forem necessárias.
Há ainda a opção de importar as listas de palavras-chaves diretamente de
arquivos no formato CSV ou exportá-las para arquivos neste mesmo formato. Para
realizar a importação/exportação de uma lista:
51

AKER SECURE MAIL GATEWAY 2.0
1. Clique com o botão direito do mouse sobre a entidade “Listas de
Palavras-Chave”;
2. Selecione a opção “Novo”;
3. Selecione a opção “Importar” ou “Exportar”, conforme a ação
desejada;
4. Indique o nome do arquivo e o local onde ele está localizado. Clique em
“Importar”, se estiver realizando uma importação, ou em “Salvar”,
caso esteja exportando uma lista.
5.1.6. LISTAS DE E-MAILS
Nesta Entidade definimos listas de endereços eletrônicos que serão
utilizados em diferentes situações dentro do ASMG.
Figura 28: configurando uma entidade do tipo “Lista de E-mail”.
Para criar uma entidade do tipo “Lista de E-mails”:
1. Clique com o botão direito do mouse sobre a entidade “Listas de
E-mails”;
2. Selecione a opção “Novo”;
3. Digite o nome que deseja dar à lista no campo “Nome”;
52

AKER SECURE MAIL GATEWAY 2.0
4. Clique com o botão direito do mouse sobre a tela “E-mails” e clique
em “Novo”;
5. Digite o endereço desejado e clique em OK;
6. Para inserir mais endereços na mesma lista, repita os passos 4 e 5,
quantas vezes forem necessárias;
7. Caso deseje criar mais de uma entidade do tipo “Listas de E-
mail”, basta repetir os passos de 1 a 6, quantas vezes forem
necessárias.
Há ainda a opção de importar as listas de endereços de e-mail diretamente
de arquivos no formato CSV, ou exportá-las para arquivos neste mesmo formato. Para
realizar a importação/exportação de uma lista:
1. Clique com o botão direito do mouse sobre a entidade “Listas de
E-mails”;
2. Selecione a opção “Novo”;
3. Selecione a opção “Importar” ou “Exportar”, conforme a ação
desejada;
4. Indique o nome do arquivo e o local onde ele está localizado. Clique em
“Importar”, se estiver realizando uma importação, ou em “Salvar”,
caso esteja exportando uma lista.
5.1.7. RBL
A Entidade do tipo “RBL” referencia listas do tipo Realtime Blackhole Lists,
que contêm endereços de servidores comumente utilizados para enviar mensagens de
SPAM. Como estas listas são atualizadas constantemente e fazem a pesquisa on-line,
convém cadastrar os endereços de consulta para filtrar servidores promíscuos,
entidades com as quais o ASMG não deseja se comunicar.
53

AKER SECURE MAIL GATEWAY 2.0
Figura 29: configurando uma entidade do tipo “RBL”.
Por padrão, durante a instalação o ASMG já fornece um conjunto destas
entidades pré-criadas representando as RBLs mais comuns. Mesmo assim, se o
Administrador desejar configurar uma entidade do tipo “RBL”, basta seguir estes
passos:
1. Clique com o botão direito do mouse sobre a entidade “RBLs”;
2. Selecione a opção “Novo”;
3. Digite o nome que deseja dar a esta entidade no campo “Nome” ou
marque a opção “Automático”;
4. Informe o domínio e a URL onde a lista está localizada;
5. Para informar os IPs de resposta, clique com o botão direito do mouse
sobre a tela “Respostas de IP quando bloqueado” e informe o
IP de resposta. Clique em OK.
6. Para inserir outras RBLs, repita os passos de 1 a 5, quantas vezes
forem necessárias.
54

5.1.8. REDE
AKER SECURE MAIL GATEWAY 2.0
Nesta Entidade podemos configurar vários endereços de redes, tais como
endereço do gateway, redes com relay permitido e também aquelas com conexão
recusada, utilizados em filtros que serão configurados oportunamente.
Figura 30: configurando uma entidade do tipo “Redes”.
Para adicionar uma entidade do tipo “Rede”:
1. Clique com o botão direito do mouse sobre a entidade “Redes”;
2. Selecione a opção “Novo”;
3. Digite o nome que deseja dar a esta entidade no campo “Nome” ou
marque a opção “Automático”;
4. Informe o endereço IP e a máscara de rede nos campos designados e
clique em OK.
5. Para criar outras entidades do tipo “Redes”, repita os passos de 1 a 4,
quantas vezes forem necessárias.
5.1.9. AUTENTICADORES
Esta entidade representa um agente de autenticação Aker, um programa
especializado em servir como meio de comunicação entre uma base de dados que
possui o cadastro de usuários e grupos da rede, e o ASMG.
55

AKER SECURE MAIL GATEWAY 2.0
O ASMG necessita dessa base de dados de usuários para efetuar
operações tais como descoberta de grupos aos quais um usuário pertence ou
autenticação de um usuário da rede na interface do usuário.
Figura 31: configurando uma entidade do tipo "Autenticador".
Para que possamos adicionar uma Entidade do tipo “Autenticadores”, siga
estes passos:
1. Clique com o botão direito do mouse sobre a entidade
“Autenticadores”;
2. Selecione a opção “Novo”;
3. Na tela seguinte, digite o nome que deseja dar ao autenticador na caixa
“Nome”, ou marque a opção “Automático”;
4. Insira o endereço IP do servidor onde está localizado o agente de
autenticação. Por questões de segurança, o agente exige ainda a
especificação de uma senha para que permita a comunicação de
informações dos usuários e grupos que ele conhece. Deste modo,
especifique a senha e a confirmação da mesma.
5. Na caixa “Domínios”, insira o(s) domínio(s) local(is), ao(s) qual(is) o
autenticador deverá estar relacionado. Este(s) domínio(s) já deve(m)
56

AKER SECURE MAIL GATEWAY 2.0
estar referenciado(s) na Entidade “Domínios”, conforme explicado no
item 5.1.3.
6. Em seguida, clique em OK.
5.1.10. SERVIDORES
Esta entidade representa os servidores internos ou externos a uma rede e
que, para efeito de filtragem e/ou configuração, precisam ser referenciados no ASMG.
Podemos citar como exemplos de utilização desta entidade a configuração do servidor
interno de correio ou então a filtragem de servidores que tentem estabelecer conexões
suspeitas.
Figura 32: configurando uma entidade do tipo “Servidor”.
Para adicionar uma entidade do tipo “Servidores”, faça o seguinte:
1. Clique com o botão direito do mouse sobre a entidade “Servidor”;
2. Selecione a opção “Novo”;
3. Digite o nome que deseja dar a esta entidade no campo “Nome” ou
marque a opção “Automático” caso não deseje adicionar nenhum;
4. Informe o endereço IP do servidor no campo designado e clique em OK;
5. Caso deseje criar mais entidades do tipo “Servidor”, repita os passos
de 1 a 4, quantas vezes forem necessárias.
57

Capítulo 6.
ADMINISTRANDO O ASMG
AKER SECURE MAIL GATEWAY 2.0
A fim de facilitar a administração da ferramenta, esta foi dividida em várias
partes, cada uma englobando uma funcionalidade específica. Os conhecimentos
adquiridos no Capítulo 2 – Sobre o Aker Control Center, e o papel desempenhado
pelas Entidades, conforme o Capítulo 5 terão grande importância no entendimento de
como aplicar os filtros e também na compreensão de cada uma das funcionalidades
apresentadas.
É importante ressaltar que o uso da ferramenta deve estar aliado a uma
política de segurança da informação sólida dentro da empresa, já que esta constitui a
fonte de todas as regras que serão transpostas para o ASMG. A mudança de cultura
dos usuários internos também deve ser trabalhada, pois para proteger o ambiente
corporativo, muitas restrições poderão ter que ser empregadas para garantir a
eficiência da política de segurança adotada, resguardando o ambiente contra
invasões, infecções e outras interferências.
De início, é necessário conhecer a tela de administração das
funcionalidades, que já foi descrita na seção Apresentação do Produto.
Figura 33: tela com as diferentes funcionalidades do ASMG.
Como podemos ver, as opções estão divididas em grupos, sendo que cada
um trata de um assunto específico. Começando pelo item “Configuração”,
abordaremos cada uma das funcionalidades de forma detalhada, explicitando todos os
menus e telas envolvidas. Para tanto, criamos uma versão de demonstração do ASMG
(demo_ASMG) que será utilizada como modelo para todas as explicações.
58

AKER SECURE MAIL GATEWAY 2.0
Antes de entrarmos na especificação de cada funcionalidade, abordaremos
conceitos que consideramos importantes para o melhor entendimento de cada uma
delas.
6.1. CONFIGURAÇÃO
O item “Configuração” agrega uma série de atributos que serão
responsáveis pelo funcionamento geral da ferramenta. Os subitens relacionados são
os seguintes:
• Servidor;
• Mensagens de notificação;
• Confirmação de e-mail;
• Gerenciamento de Administradores;
• Administração da Licença;
• Atualização do Sistema;
• Plugins
o Antivírus;
o Analisador de URL.
A seguir, explicaremos cada uma das telas e funcionalidades envolvidas.
6.1.1. SERVIDOR
Esta janela é uma das mais importantes e incorpora todos os parâmetros
referentes aos protocolos SMTP e ESMTP, além de detalhes de conexão, e uso de
arquivos temporários. Está dividida em diversas abas:
6.1.1.1. ABA LIMITES DE TEMPO
Nesta aba configuramos os tempos-limite para as negociações de
mensagens. A recomendação da RFC oficial do protocolo SMTP determina certos
valores mínimos de tempo de espera, que podem ser obtidos quando clicamos sobre o
botão “Aplicar Padrão”. Estes tempos podem ser alterados, se for do interesse do
Administrador, mas esta não é uma prática recomendável já que alguns servidores
intermediários na transação podem estar muito ocupados e, por isso, demorar a
responder a uma requisição. Na prática, isto pode significar atrasos na entrega ou
várias tentativas de conexão na tentativa de concluir uma operação.
59

AKER SECURE MAIL GATEWAY 2.0
Quando um servidor A estabelece a comunicação com o servidor B para
envio de mensagens, dizemos que o servidor A é cliente do servidor B. Já quando o
servidor B estabelece conexão para envio de mensagens para A, dizemos que B é
cliente de A. Outros termos que vamos utilizar nas próximas linhas são emissor
(cliente) e receptor (servidor).
O ASMG pode agir tanto como servidor quanto cliente. A diferenciação dos
papéis ocorre pelo tipo de tarefa que ele executa: ao estabelecer uma conexão com
outro servidor para enviar uma mensagem, age como cliente; já quando recebe uma
conexão de outro servidor para repassar as mensagens para os usuários internos, age
como servidor.
Figura 34: configurando a aba “Limites de tempo”.
Para melhor entendimento das opções existentes nesta aba, vamos
explicar cada um dos valores mencionados:
• Iniciar: trata do tempo máximo de espera que o cliente tem para
distinguir entre uma conexão TCP falha e um atraso na espera de uma
resposta positiva de conexão;
60

AKER SECURE MAIL GATEWAY 2.0
• HELO: mensagem obrigatória para início das negociações. Ela
identifica para o receptor quem é o emissor. Se o emissor utilizar o
protocolo ESMTP, é enviada a mensagem EHLO ao invés de HELO. Se
o receptor possuir o suporte necessário, a mensagem não é recusada.
Caso contrário, o protocolo utilizado será o SMTP.
• MAIL FROM: este comando designa quem é o remetente da
mensagem.
• RCPT TO: este comando informa ao receptor o endereço do
destinatário da mensagem. Caso o endereço não exista, a mensagem é
recusada. Se houver múltiplos destinatários no mesmo domínio, este
comando será repetido várias vezes.
• Envio de E-mail (Início): trata do tempo máximo de espera para que o
cliente comece as transmissões após um comando indicando que
iniciará o envio de dados;
• Envio de E-mail (Blocos): tempo limite para que o cliente aguarde que
uma operação de envio de um bloco de dados seja concluída;
• Envio de E-mail (Finalização): tempo máximo para conclusão da
operação.
6.1.1.2. ABA RECEBENDO E-MAILS
Esta aba é dedicada à configuração de parâmetros relativos ao
recebimento de e-mails pelo ASMG. O repasse de mensagens pode ser bloqueado ou
liberado através do domínio, rede ou endereço do servidor remoto que a negocia ou a
partir do domínio que ela se destina.
61

AKER SECURE MAIL GATEWAY 2.0
Figura 35: configurando a aba “Recebendo E-mails”.
Conforme mostrado na Figura 35, a tela está dividida em três subseções:
• Repasse:
No exemplo acima, podemos ver que há duas entidades do tipo “Domínio”
referenciadas no campo de mesmo nome. Isto quer dizer que quaisquer mensagens
interceptadas pelo ASMG e que sejam direcionadas aos domínios seudominio.com.br
ou meudominio.com.br terão seus repasses, ou relay, garantidos. Neste caso, também
significa que qualquer servidor que pertença a um desses domínios terá suas
mensagens repassadas, para qualquer domínio desejado. O mesmo aconteceria com
as entidades do tipo “Redes” e do tipo “Servidores” que estivessem instanciadas em
seus respectivos campos.
Para instanciar uma entidade, basta seguir os passos abaixo (tomando
como exemplo o campo Redes):
1. Clique com o botão direito do mouse sobre a tela “Redes”;
2. Clique sobre a opção “Adicionar identidade”;
62

AKER SECURE MAIL GATEWAY 2.0
3. Selecione a entidade do tipo “Rede” desejada e clique em
“Adicionar”.
4. Para instanciar mais de uma entidade, basta repetir os passos de 1 a 3.
• Mensagem de HELO
Há a opção de usar a mensagem padrão, não utilizar nenhuma mensagem
ou então usar uma mensagem personalizada. Basta selecionar a opção desejada e,
caso opte por uma mensagem personalizada, ao marcar esta opção, a caixa de texto
ficará livre para edição.
• Limites de Conexão
Nela podemos determinar a quantidade máxima de mensagens que serão
recebidas por conexão, além de limitar as conexões simultâneas ao servidor. Podem
ser alterados de acordo com o critério adotado pela política de segurança da empresa;
6.1.1.3. ABA ENVIANDO E-MAILS
Esta aba é dedicada às questões relativas ao envio de mensagens. Como
mostrado na Figura 36, ela está dividida em quatro subseções:
63

AKER SECURE MAIL GATEWAY 2.0
Figura 36: configurando a aba “Enviando E-mails”.
• Regras estáticas para mandar mensagens:
Se o domínio do destinatário estiver listado na janela “Domínios”, o
ASMG utiliza o servidor correspondente para fazer a transação de repasse. Caso
contrário, o produto realiza uma pesquisa DNS para descobrir qual o MX responsável
por aquele domínio e, assim, poder encaminhar a mensagem.
Para adicionar uma nova regra clique o botão direito do mouse sobre o
quadro de regras e escolha a opção “Inserir”. Aparecendo a linha a ser editada,
clique com o botão direito do mouse logo abaixo de “Domínios” e escolha
“Adicionar Entidades”. Pode ser selecionado mais de um domínio ao mesmo
tempo, bastando manter a tecla pressionada, enquanto faz sua escolha.
Especifique o servidor de envio, clicando com o botão direito do mouse no
campo “Servidor”. Escolha a opção “Adicionar Entidades” e escolha o
servidor dentro da relação já previamente cadastrada.
64

• Casos de loop:
AKER SECURE MAIL GATEWAY 2.0
Caso seja detectado algum loop durante o envio, ou seja, uma mesma
mensagem re-encaminhada ao ASMG, é possível informar um servidor para onde a
mensagem deve ser encaminhada. Se desejar obter este efeito, marque a opção
“Enviar a mensagem para o servidor abaixo” e escolha um servidor dentre
os já previamente cadastrados.
Também é possível escolher a opção “Descartar a mensagem” caso
não deseje tratar o caso de loop.
• Limites de conexão:
Nesta parte, podemos definir o número limite de conexões simultâneas
com cada servidor de correio responsável pelos domínios das mensagens a serem
entregues.
Por padrão, a opção “Número limite de conexões por domínio”
vem desabilitada. Caso deseje habilitá-la, basta marcar a caixa de verificação
localizada à esquerda e inserir o número desejado de conexões.
• Mensagens de notificação:
Caso haja algum erro temporário no servidor remoto no envio de uma
mensagem, podemos marcar a opção “Enviar mensagem de notificação de
adiamento de entrega” para que o ASMG construa e envie uma mensagem para
o remetente original informando-o sobre o atraso na entrega.
Um erro temporário ocorre em situações diversas, como por exemplo
quando o servidor de destino não possui espaço em disco suficiente para receber a
mensagem enviada a partir do ASMG, ou há uma falha de comunicação entre o
emissor e o receptor. Significa algo como “tente novamente mais tarde”.
Por padrão esta opção vem desabilitada. Caso seja necessário habilitá-la,
basta marcar a caixa de verificação localizada à esquerda.
6.1.1.4. ABA ENDEREÇOS DE ESCUTA
O servidor de correio fica permanentemente escutando uma determinada
porta à espera de conexões de outros servidores para o recebimento de mensagens.
Assim que detecta uma conexão, inicia-se a negociação entre o cliente e o servidor
para recepção das mensagens.
65

AKER SECURE MAIL GATEWAY 2.0
Para informar ao ASMG qual o endereço de escuta, clique com o botão
direito do mouse no quadro e escolha a opção “Inserir”. Aparecendo a linha a ser
editada, clique com o botão direito do mouse logo abaixo da coluna “Endereço IP
local” e digite o endereço desejado. Por padrão, o protocolo SMTP utiliza a porta
25, então ela já é selecionada automaticamente.
Figura 37: configurando a aba “Endereços de Escuta”.
O botão “Aplicar Padrão” insere a notação “0.0.0.0”, que significa que
o ASMG deve ouvir todas as interfaces de rede do servidor.
6.1.1.5. ABA AUTENTICAÇÃO SMTP
Nesta aba configuramos a autenticação SMTP, que pode ser executada
através dos métodos PLAIN (a senha do usuário é transmitida livremente sem
nenhuma codificação) e LOGIN (a senha do usuário é apenas codificada em base-64).
66

AKER SECURE MAIL GATEWAY 2.0
A consulta pode ser realizada em base de dados MySQL ou em autenticadores Aker
cadastrados como entidades.
Figura 38: configurando a aba “Autenticação SMTP”.
Opcionalmente, o Administrador pode ainda escolher que todas as
mensagens de saída tenham obrigatoriamente que passar por autenticação.
6.1.1.6. ABA MENSAGENS MAL-SUCEDIDIAS
Nesta aba informamos o diretório onde as mensagens que não
conseguiram ser transmitidas devido a alguma má formatação ou erro temporário de
comunicação com o servidor de destino, devem ser armazenadas. Segundo a RFC
2821, que trata dos padrões a serem adotados pelo protocolo SMTP, caso o emissor
não consiga transmitir a mensagem logo na primeira vez, deve tentar retransmiti-la
pelos próximos cinco dias. Caso isso não aconteça, o envio da mensagem é abortado
e o remetente é avisado.
67

AKER SECURE MAIL GATEWAY 2.0
Se o Administrador resolver armazenar estas mensagens, basta marcar a
caixa “Habilitar a armazenagem de mensagens mal-sucedidas” e
informar o local de armazenamento.
Figura 39: configurando a aba “Mensagens mal-sucedidas”.
6.1.1.7. ABA DIRETÓRIO TEMPORÁRIO
Nesta aba configuramos o diretório onde o ASMG deve armazenar
informações temporárias, relativas às mensagens que estão sendo processadas.
Basta informar o caminho completo do diretório na caixa “Diretório
Temporário”.
68

AKER SECURE MAIL GATEWAY 2.0
Figura 40: configurando a aba “Diretório Temporário”.
6.1.2. MENSAGENS DE NOTIFICAÇÃO
O ASMG apresenta diversos tipos de filtros de anexos, que oferecem a
opção de remoção do anexo original de acordo com parâmetros previamente
definidos. Assim, determinados anexos podem ser removidos antes que a mensagem
chegue ao seu destino.
Para cada situação onde ocorre a remoção do anexo, o Administrador
pode especificar um texto para ser colocado em seu lugar, a fim de que a pessoa que
receba a mensagem esteja ciente de que ali havia um anexo que foi removido, além
do motivo desta remoção.
O texto a ser digitado é livre e é possível referenciar parâmetros como o
nome do anexo que foi removido, o tipo do anexo ou o vírus que havia contaminado o
anexo. Também é possível colocar mensagens já padronizadas do sistema, com
versões em português e inglês, através do botão “Aplicar Padrões”.
A seguir vamos mostrar a mensagem padrão utilizada em cada uma das
situações onde os anexos são removidos:
69

• Remoção de Vírus
AKER SECURE MAIL GATEWAY 2.0
Figura 41: Mensagem de notificação - Remoção de Vírus.
• URLs Filtradas
Figura 42: Mensagem de notificação – URLs Filtradas.
• Tamanho de Arquivo
70

AKER SECURE MAIL GATEWAY 2.0
Figura 43: Mensagem de notificação – Tamanho de Arquivo.
• Tipo de Arquivo
Figura 44: Mensagem de notificação – Tipo de Arquivo.
• Conteúdo
71

AKER SECURE MAIL GATEWAY 2.0
Figura 45: Mensagem de notificação – Conteúdo.
Como pudemos constatar nas telas anteriores, existem alguns caracteres
chamados “curingas”, pois substituem o texto original em um documento, planilha ou
e-mail. Estes curingas são, na verdade, ponteiros que armazenam o valor a ser
assumido quando a mensagem for processada. Entre caracteres curingas, aqui estão
alguns:
• %a: usado para referenciar o nome do arquivo;
• %D: usado para referenciar datas;
• %s: usado para referenciar o tamanho de um arquivo ou mensagem;
• %t: usado para referenciar o tipo do arquivo;
• %v: usado para referenciar o nome do vírus;
6.1.3. CONFIRMAÇÃO DE E-MAIL
A confirmação de mensagens é um recurso oferecido pelo ASMG bastante
eficiente no combate a SPAMs. Spammers geralmente utilizam endereços inválidos
quando enviam mensagens, com a intenção de “burlar” a vigilância.
O sistema funciona da seguinte maneira: ao enviar uma mensagem pela
primeira vez para um domínio intermediado pelo ASMG, o remetente tem sua
mensagem retida por um período de tempo e recebe uma mensagem de notificação
do sistema. Esta mensagem possui um link que deve ser visitado pelo remetente, a fim
de “confirmar” sua existência.
72

AKER SECURE MAIL GATEWAY 2.0
Ao executar esta tarefa, o remetente tem seu endereço adicionado à lista
automática de endereços autorizados, a whitelist, e sua mensagem é entregue ao(s)
destinatário(s). A partir deste momento, o remetente não precisa mais realizar este
procedimento para novas mensagens enviadas aos domínios intermediados pelo
ASMG, mesmo que sejam destinadas a outros usuários.
O sistema de confirmação possui grande flexibilidade de configuração. Se
o Administrador assim desejar, cada usuário do domínio poder decidir sobre a
utilização ou não do sistema em mensagens enviadas para ele, além de poder
escolher os parâmetros de configuração também particulares para ele. A
administração destas opções é feita através da Interface do Usuário, que será
explicada no Capítulo 7.
A janela de confirmação de mensagens possui diversas abas que devem
ser configuradas adequadamente. Para tanto, vamos mostrar cada uma e explicar
como isto deve ser feito.
6.1.3.1. ABA CONFIGURAÇÃO GERAL
Esta aba apresenta todos os parâmetros de configuração geral da
funcionalidade de confirmação de mensagens.
73

AKER SECURE MAIL GATEWAY 2.0
Figura 46: demonstrando a aba “Configuração Geral”.
• Configuração Básica
Nesta parte podemos definir o diretório de trabalho, ou seja, o local onde
os arquivos de configuração relativos ao sistema de confirmação, inclusive os arquivos
de configuração particulares de cada usuário da rede, devem ser armazenados.
Podemos também definir o tempo de espera, em horas, através da opção “Período
de quarentena”.
Para o caso de mensagens não confirmadas ao fim do período de
quarentena definido pelo parâmetro anterior, existem duas possíveis opções de
configuração: a primeira delas é a exclusão de mensagens não confirmadas. Para
escolher este comportamento, basta marcar a opção “Descartar mensagens não
confirmadas”. Caso este campo não esteja marcado, temos a segunda opção de
configuração, onde a mensagem é entregue ao(s) destinatário(s) sendo necessário
inserir uma mensagem no campo “Assunto” da mensagem para que este(s) saibam
facilmente que se trata de uma mensagem não confirmada. Para escolher esta opção,
basta inserir a mensagem desejada “Adicionar ao campo assunto”.
• Configurações Avançadas
Nesta parte, temos ainda algumas opções importantes. São elas:
o Código de proteção anti-bot habilitado (confirmação manual): se
esta opção estiver habilitada, a confirmação do remetente só será
efetuada com digitação de código de proteção. Caso contrário, a
confirmação limita-se à visitação da página.
o Adicionar destinatários para a lista automática de endereços
autorizados em mensagens enviadas: se levarmos em conta que os
usuários internos enviam mensagens para pessoas conhecidas, isto
retira a necessidade de confirmação por parte deste usuário num e-
mail de resposta, por exemplo.
o Receber mensagens de remetentes anônimos: remetentes
anônimos são utilizados por servidores de e-mail para envio de
mensagens de sistema (permitido pela recomendação do SMTP).
Contudo, este recurso, pode também ser utilizado por spammers
para que a mensagem consiga ultrapassar o sistema de
confirmação.
o Aplicar configuração apenas para usuários registrados: a
confirmação é aplicada apenas para usuários cadastrados, ou seja,
aqueles que visitaram a interface do usuário. Se esta opção estiver
selecionada, os usuários que nunca visitaram sua interface
74

AKER SECURE MAIL GATEWAY 2.0
particular não terão suas mensagens retidas pelo sistema de
confirmação.
6.1.3.2. ABA MENSAGEM MODELO
Nesta aba, devemos inserir os dados referentes à mensagem de
confirmação que será enviada a um remetente ainda desconhecido pelo sistema de
confirmação. Dentre as informações importantes, é necessário indicar a URL da
página de confirmação, o assunto da mensagem e se o assunto da mensagem original
deve ser referenciado ou não.
A mensagem propriamente dita deve ser escrita no quadro “Conteúdo
da mensagem de confirmação”. A fim de que o texto da mensagem seja
convertido à linguagem HTML, é necessário clicar sobre o botão “Gerar mensagem
modelo”. Mesmo com a geração automática da mensagem, ainda é possível que o
Administrador personalize seu conteúdo.
Figura 47: configurando a aba "Mensagem Modelo".
75

AKER SECURE MAIL GATEWAY 2.0
6.1.3.3. ABA LISTAS MANUAIS
Nesta aba configuramos as listas globais de endereços autorizados,
endereços proibidos e assuntos autorizados. As listas são ditas globais porque valem
para todos os usuários que possuírem confirmação ativa.
O campo “Lista manual de endereços autorizados” reúne
endereços de remetentes que não devem receber pedidos de confirmação e nem
possuem a mensagem retida para confirmação (whitelist). O campo “Lista manual
de endereços não autorizados” reúne remetentes que não podem enviar
mensagens para os domínios intermediados pelo ASMG. Finalmente, o campo
“Lista manual de assuntos autorizados” normalmente é utilizado para
evitar que mensagens enviadas com destino a grupos de discussão, dos quais
usuários de uma rede intermediada pelo ASMG façam parte, sejam retidas para
confirmação. Neste caso, a partir da análise do assunto da mensagem, o sistema pode
permitir que ela alcance seu destino de maneira imediata. Para tanto, basta especificar
nesta listagem quais são os assuntos, de forma idêntica ou como substring, que
caracterizam mensagens as quais não devem ser retidas para confirmação,
independente de quem seja o remetente ou destinatário.
76

AKER SECURE MAIL GATEWAY 2.0
Figura 48: configurando a aba "Listas Manuais"
6.1.3.4. ABA LISTA AUTOMÁTICA
Nesta aba podemos visualizar endereços contidos na lista automática de
endereços autorizados, ou seja, na lista de remetentes que já efetuaram confirmação.
O Administrador pode, se desejar, remover elementos dessa lista.
Para fazer uma pesquisa de endereços, basta digitar o nome no campo
“Localizar Padrão” e, em seguida, clicar no botão “Carregar”, localizado na
barra de tarefas do Aker Control Center, conforme explicado no Capítulo 2 – Sobre o
Aker Control Center.
77

AKER SECURE MAIL GATEWAY 2.0
Figura 49: configurando a aba "Lista Automática".
6.1.3.5. ABA VISUALIZADOR DE QUARENTENA
Nesta tela temos acesso a todas as mensagens que estão em quarentena,
aguardando confirmação.
Para fazer uma pesquisa, basta digitar o endereço do destinatário que
deseja consultar no campo “E-mail do Usuário” e clicar no botão “Carregar”,
localizado na barra de ferramentas do Control Center, conforme explicado no Capítulo
2. Quando a mensagem for localizada, podemos cancelar sua entrega ou, conforme o
caso, decidir por entregá-la imediatamente.
Se a mensagem for retirada da quarentena manualmente, o usuário não
será adicionado à whitelist. Esta ação apenas retira a mensagem da quarentena e a
encaminha para o usuário correspondente.
78

AKER SECURE MAIL GATEWAY 2.0
Figura 50: configurando a aba “Visualizador de Quarentena”.
6.1.3.6. ABA ALIASES
O termo “Alias” não representa realmente um usuário do sistema, e sim um
apelido dado a um ou mais usuários válidos. Normalmente são utilizados para
representar funções ou áreas especiais dentro de uma empresa que, apesar de serem
representados por pessoas, constituem importante mecanismo de comunicação com
clientes, parceiros, fornecedores e colaboradores. Como exemplos, podemos citar
“diretor”, “ouvidoria”, “gerencia”, “logistica”, etc. Nesta aba podemos verificar todos os
aliases cadastrados no ASMG.
A partir desse cadastro o Administrador obtém acesso à interface do
usuário e a opções do sistema de confirmação utilizando o alias ao invés do próprio
nome. Para tornar um alias válido, é necessário preencher as informações
requisitadas nos campos “Nome”, “Descrição”, “Senha” e “Confirmação” com
os dados referentes ao alias. Em seguida, basta clicar no botão “Aplicar”. Estas
informações são importantes tanto para controlar a quantidade de apelidos, quanto
indicar os responsáveis por cada um deles.
79

AKER SECURE MAIL GATEWAY 2.0
Em relação ao uso de alias, é importante mencionar que, como ele não
representa um usuário real, para ativar a confirmação de mensagens é necessário que
o usuário responsável pela manutenção do alias em questão acesse a Interface do
Usuário, informando como parâmetros o alias e a senha previamente cadastrada.
Caberá a este usuário realizar a manutenção necessária e configuração de
recebimento desejada.
Figura 51: configurando a aba "Aliases".
6.1.4. GERENCIAMENTO DE ADMINISTRADORES
Nesta janela informamos os nomes de todos os usuários do ASMG que
podem ter acesso à interface de administração do sistema.
Para cadastrar um usuário, basta inserir seu login, nome, senha (não
precisa ser igual à senha de rede) e confirmá-la em seguida. Nesta tela, ainda é
possível excluir, adicionar e alterar informações de usuários.
80

AKER SECURE MAIL GATEWAY 2.0
É importante ressaltar que apenas usuários especialmente habilitados
devem ser cadastrados como Administradores, tendo em vista que terão acesso a
todas as outras configurações do sistema.
Figura 52: configurando o "Gerenciamento de Administradores".
6.1.5. ADMINISTRAÇÃO DA LICENÇA
O uso desta janela é indispensável para o funcionamento do produto, pois
aqui é feito o gerenciamento da licença. O uso inadequado das informações existentes
nesta janela pode fazer com que o produto pare de funcionar.
81

AKER SECURE MAIL GATEWAY 2.0
Figura 53: configurando a "Administração da Licença".
No primeiro acesso, os dados referentes à licença aparecem todos em
branco e habilitados para que o Administrador possa inseri-los. Após o primeiro
registro, a janela já será aberta com todos os dados da licença atual, sendo que estes
podem ser modificados a qualquer momento.
Os dados que deverão ser digitados são: nome da empresa, endereço IP
do servidor onde o ASMG será instalado, chave de ativação, e-mail para contato e se
deseja notificar a Aker Security Solutions em caso de expiração de licença. Os
dados de número de usuários e data de expiração da licença são gerados
automaticamente pelo sistema.
6.1.6. ATUALIZAÇÃO DO SISTEMA
Sempre que são lançados novos patches de correção para o ASMG, o
Administrador deve baixá-lo e carregar o pacote de atualização. Após o download do
pacote, sua aplicação pode ser feita diretamente da interface gráfica através do botão
“Carregar Atualização”, localizado na Barra de Ferramentas do Aker Control
Center.
82

AKER SECURE MAIL GATEWAY 2.0
Figura 54: configurando a tela de "Atualização do Sistema".
Ao clicar neste botão, o sistema carrega automaticamente as informações
referentes ao produto e informações sobre a correção que está sendo realizada. As
informações mostradas são as seguintes:
• Versão: traz informações a respeito da versão do ASMG;
• Distribuição: indica a versão do patch que está sendo aplicado.
• Tipo: indica se é um pacote de atualização, teste, debug, cliente ou
estável. Pode assumir os tipos TYPE_DEBUG, TYPE_ALPHA,
TYPE_BETA, TYPE_CLIENT ou TYPE_STABLE.
• Plataforma: traz informações a respeito do Sistema Operacional que
está sendo utilizado. Pode assumir os valores PLAT_ANY,
PLAT_FREE, PLAT_WIN, PLAT_LINUX ou PLAT_SOLARIS;
• Sistema Operacional: é uma string livre.
• Data de Compilação: indica o dia em que o pacote foi compilado;
• Data de Expiração: indica a data de expiração do pacote;
• Ação: indica o que será feito após a finalização da aplicação. Diz se o
sistema continuará operacional após a aplicação, se é necessário um
reboot geral do sistema ou apenas reinício do serviço. Pode assumir os
tipos ACTION_NOTHING, ACTION_REBOOT ou ACTION_RESTART.
• Descrição: traz informações adicionais sobre o pacote.
83

6.1.7. PLUGINS
AKER SECURE MAIL GATEWAY 2.0
Esta funcionalidade permite a integração do ASMG com um analisador de
URL e também com um antivírus. Ao integrar-se com outras ferramentas, espera-se
maior eficiência no controle das mensagens indesejadas, já que abrimos novas
opções na procura por arquivos ou mensagens indevidas.
Tanto o analisador de URLs quanto o antivírus são ferramentas
independentes do ASMG, mas também distribuídas pelas Aker. São, respectivamente,
o Aker Web Content Analyzer e o Panda Antivirus,.
6.1.7.1. ANTIVÍRUS
Esta janela é utilizada para configurar o acesso ao servidor onde o agente
de antivírus está instalado. O agente de antivírus é um programa que efetivamente
conhece a base de dados de vírus e é capaz de examinar arquivos a procura deles.
Em relação ao funcionamento, o ASMG envia os anexos das mensagens
para esse agente e analisa a resposta. Nesta tela são informados apenas os dados de
comunicação entre o servidor do agente de antivírus e o ASMG e, por isso, só deve
ser configurada caso o Administrador queira habilitar este tipo de filtragem. A filtragem
de dados propriamente dita será explicada oportunamente, no item 6.3.2.6 –
Entrada/Saída Filtragem Externa.
Figura 55: habilitando o Plugin "Antivírus".
Para configurar esta ligação, é necessário informar o endereço IP do
servidor onde o agente de antivírus está instalado, o endereço IP do servidor que
contém a cópia de segurança (caso haja), o número da porta de comunicação, a
senha do usuário e sua confirmação. Em seguida, clique sobre o botão “Aplicar”.
84

6.1.7.2. ANALISADOR DE URL
AKER SECURE MAIL GATEWAY 2.0
O Analisador de URL é outro agente externo que pode ter sua
funcionalidade agregada ao ASMG. A intenção é que, através desta ferramenta, o
ASMG consiga aumentar a confiabilidade em bloquear mensagens enviadas por
spammers, que contenham URLs não permitidas.
Figura 56: habilitando o Plugin "Analisador de URL".
A configuração e comunicação são análogas às da seção anterior.
6.2. FILTRAGEM GLOBAL
O item “Filtragem Global” compreende uma série de regras que serão
aplicadas igualmente a todos os usuários de redes intermediadas pelo ASMG. Desta
maneira, as configurações feitas através deste item serão estendidas para todas as
políticas e grupos que forem criados dentro do ASMG.
Esse item compreende as seguintes opções:
• Servidores, Domínios e Redes;
• Análise de vírus;
• Regras avançadas;
• Análise do remetente;
• Gray Listing;
• Controle de Flood.
85

6.2.1. SERVIDORES, DOMÍNIOS E REDES
AKER SECURE MAIL GATEWAY 2.0
Esta janela é composta pelas abas “Lista de Endereços
Autorizados”, “Lista de Endereços não Autorizados”, “RBLs” e
“Sender-ID/SPF”, sendo que cada uma delas trata de regras para bloqueios de
diferentes entidades.
A seguir abordaremos detalhadamente as funcionalidades de cada aba:
6.2.1.1. ABA LISTA DE ENDEREÇOS AUTORIZADOS
É composta pelos quadros Servidores, Domínios e Redes. Nela
informamos as Entidades (já previamente cadastradas) que devem ter suas conexões
aceitas mesmo que estejam relacionados em alguma RBL ou lista manual de
servidores proibidos. Funcionam, portanto, como exceções para os elementos da aba
de Lista de Endereços não Autorizados e servidores presentes em RBLs configuradas.
Figura 57: configurando a aba “Lista de Endereços Autorizados”.
Ainda complementando, é importante ressaltar que o padrão de
recebimento de mensagens é o aceite. Assim, mesmo que um servidor, domínio ou
rede não estejam instanciados aqui, sua conexão será aceita.
• Servidores
86

AKER SECURE MAIL GATEWAY 2.0
Para referenciar uma entidade do tipo “Servidor” com conexão permitida,
clique com o botão direito do mouse sobre ele e escolha a opção “Adicionar
Entidades”. A seguir, escolha a entidade cuja conexão deva ser permitida e, em
seguida, clique em “Adicionar”.
• Domínios
Para referenciar uma entidade do tipo “Domínio” que tenha conexão
permitida, clique com o botão direito do mouse sobre ele e escolha a opção
“Adicionar Entidades”. A seguir, escolha a entidade cuja conexão deva ser
permitida e clique em “Adicionar”.
• Redes
Para referenciar uma entidade do tipo “Redes” com conexão permitida,
clique com o botão direito do mouse sobre o quadro “Redes” e escolha a opção
“Adicionar Entidades”. A seguir, escolha a entidade cuja conexão deva ser
permitida e clique em “Adicionar”.
6.2.1.2. ABA LISTA DE ENDEREÇOS NÃO-AUTORIZADOS
Esta aba também é composta pelos quadros Servidores, Domínios e
Redes, mas a diferença é que nela devemos informar as Entidades (já previamente
cadastradas) que devem ter suas conexões sempre recusadas.
87

AKER SECURE MAIL GATEWAY 2.0
Figura 58: configurando a aba “Lista de Endereços não Autorizados”.
Para referenciar uma entidade do tipo “Servidor”, “Domínio” ou “Rede”, que
deva ter sua conexão recusada, clique com o botão direito do mouse sobre o
respectivo quadro e escolha a opção “Adicionar Entidades”. A seguir, escolha
a(s) entidade(s) cuja conexão deva ser bloqueada e clique em “Adicionar”.
6.2.1.3. ABA RBLS
Nesta aba devemos referenciar as listas do tipo RBL, já previamente
cadastradas, que devem ser utilizadas como apoio à consulta atualizada de servidores
promíscuos, comumente utilizados por spammers.
88

AKER SECURE MAIL GATEWAY 2.0
Figura 59: configurando a aba “RBLs”.
Para incluir uma entidade do tipo “RBL”, clique com o botão direito do
mouse sobre o quadro e escolha a opção “Adicionar Entidades”. A seguir,
escolha a(s) entidade(s) desejada(s) e clique em “Adicionar”.
6.2.1.4. ABA SENDER-ID/SPF
Como o protocolo SMTP não possui autenticação própria, os spammers se
utilizam desta vulnerabilidade para enviar e-mails em nome de outras pessoas. Um
caso muito comum hoje em dia é quando um determinado usuário X recebe uma
mensagem vinda de um remetente Y quando, na verdade, Y não enviou nenhuma
mensagem. Esta vulnerabilidade torna necessário um mecanismo de autenticação
externa a fim de assegurar se a fonte da mensagem é real ou não. Os dois padrões
utilizados atualmente são o SPF e o Sender-ID.
O padrão SPF permite que, através de uma configuração simples no DNS
de determinado domínio, seja adicionada uma linha de texto com a informação que
descreve quais os endereços dos servidores de e-mail que estão autorizados a gerar
mensagens daquele domínio (MX-reverso).
89

AKER SECURE MAIL GATEWAY 2.0
Já o Sender-ID é a junção do padrão SPF com o PRA, e tem como objetivo
validar o protocolo usado no endereço de quem enviou uma mensagem, detectando
seu remetente e facilitando a filtragem do lixo eletrônico.
Para habilitar a filtragem, basta marcar a caixa “Habilitar filtragem
de Sender-ID/SPF”. É possível ainda recusar ou aceitar mensagens de clientes
não autorizados e, opcionalmente, movê-las para a quarentena ou encaminha-las para
um grupo de e-mail específico.
Figura 60: configurando a aba “Sender-ID/SPF”.
6.2.2. ANÁLISE DE VÍRUS
Nesta janela habilitamos a filtragem do ASMG no que diz respeito à
integração com o servidor que contém o agente de antivírus. Sendo produtos
diferentes, o ASMG envia todos os anexos existentes nas mensagens (tanto as
enviadas quanto as recebidas) para o antivírus e depois analisa a sua resposta.
Aqui serão configuradas apenas as ações que devem ser tomadas caso
um vírus seja encontrado e tipos de arquivos que devem ser ignorados na análise de
vírus.
90

6.2.2.1. ABA ENTRADA
AKER SECURE MAIL GATEWAY 2.0
Esta aba refere-se às mensagens que chegam da Internet para um usuário
que está dentro da área controlada pelo ASMG.
Figura 61: configurando a aba “Entrada”.
Contém as seguintes opções:
• Habilitar Antivírus
Se esta caixa de seleção for marcada, toda e qualquer mensagem com
anexo que for recebida será analisada.
Caso a mensagem esteja infectada, é possível descartar as mensagens
que contenham anexos infectados ou então removê-los. Neste caso, uma mensagem
será adicionada à original, informando que o anexo foi removido.
É possível ainda encaminhar uma cópia da mensagem para o
Administrador do sistema e movê-la, se desejar, para quarentena. Este tipo de
comportamento favorece análises das mensagens infectadas e estudos de outras
políticas que possam detectá-las.
91

• Arquivos ignorados
AKER SECURE MAIL GATEWAY 2.0
Neste quadro podemos informar tipos de arquivos anexados que podem
ser ignorados na análise do antivírus. Estes tipos de arquivos devem estar
previamente cadastrados como entidades do tipo “Arquivos”.
Para adicionar uma entidade do tipo “Arquivo”, clique com o botão direito
do mouse no quadro “Tipo de arquivo”. Em seguida, selecione “Adicionar
Entidades” e escolha o tipo de arquivo que será ignorado. Depois, clique em
“Adicionar”. Podem ser escolhidos vários tipos de arquivo ao mesmo tempo.
6.2.2.2. ABA SAÍDA
Esta aba possui configuração igual à aba “Entrada”. A principal diferença
entre as duas é que os arquivos que serão examinados são aqueles enviados como
anexo em alguma mensagem que vá de dentro da(s) área(s) controlada(s) pelo ASMG
para a Internet.
Figura 62: configurando a aba “Saída”.
• Habilitar Antivírus
Se esta caixa de seleção for marcada, toda e qualquer mensagem enviada
que contiver anexo será analisada.
92

AKER SECURE MAIL GATEWAY 2.0
Caso a mensagem esteja infectada, é possível descartar as mensagens
que contenham anexos infectados ou então removê-los. Neste caso, uma mensagem
será adicionada à original, informando que o anexo foi removido. Também é possível
encaminhar uma cópia da mensagem para o Administrador do sistema e movê-la, se
desejar, para quarentena. Este tipo de comportamento favorece análises das
mensagens infectadas e estudos de outras políticas que possam detectá-las.
• Arquivos ignorados
Neste quadro podemos informar tipos de arquivos anexados que podem
ser ignorados na análise do antivírus. Estes tipos de arquivos devem ser previamente
cadastrados como entidades do tipo “Arquivos”.
Para adicionar uma entidade do tipo “Arquivo”, clique com o botão direito
do mouse no quadro “Tipo de arquivo”. Em seguida, selecione “Adicionar
Entidades” e escolha o tipo de arquivo que será ignorado. Depois, clique em
“Adicionar”.
6.2.3. REGRAS AVANÇADAS
Figura 63: configurando a janela “Regras Avançadas”.
Na implementação atual do ASMG, as regras são criadas
automaticamente quando o usuário clica sobre as respectivas telas e escolhe uma
ação a ser executada. Ainda assim, pode ocorrer que as regras dinâmicas não sejam
suficientes para atender a alguma demanda específica e, nesses casos, há a opção de
criar as regras manualmente.
93

AKER SECURE MAIL GATEWAY 2.0
Composta pelas abas “Pré-regras” e “Pós-regras”, esta janela deve ser
utilizada por usuários avançados a fim de se especificar regras que não possam ser
automaticamente geradas através das janelas de filtragem oferecidas pela interface
gráfica. Na prática, todas as filtragens efetuadas pelo ASMG são interpretadas como
regras. Contudo, a sintaxe destas regras é de alta complexidade para a
compreensão/manipulação corriqueira.
Trata-se de um procedimento arriscado, pois a chance da regra digitada
estar errada é grande. Por isso, indicamos que o Administrador procure uma revenda
autorizada, pois a equipe da Aker poderá disponibilizar as regras apropriadas quando
necessário.
6.2.4. ANÁLISE DO REMETENTE
Esta janela configura a análise do remetente. O mecanismo é o seguinte:
durante a negociação de uma mensagem, ao receber a informação sobre quem é o
remetente, o ASMG conecta-se em algum servidor MX responsável pelo domínio
indicado no cabeçalho da mensagem original e verifica se o remetente fornecido é
reconhecido por este último. Em caso positivo, a mensagem é aceita. Em caso
negativo, ela é rejeitada.
Figura 64: configurando a aba “Análise do Remetente”.
Esta funcionalidade busca combater SPAMs, uma vez que grande parte
destas mensagens utiliza remetentes inválidos ou não existentes. A análise pode ser
feita tanto pelo cabeçalho da mensagem quanto pelo remetente mencionado no
envelope, bastando selecionar a opção adequada.
6.2.5. GRAY LISTING
Este é um método simples para defender as caixas de e-mail dos usuários
contra spammers. Quando habilitada, faz com que o sistema rejeite qualquer
mensagem vinda de um remetente desconhecido, especificando um erro temporário.
94

AKER SECURE MAIL GATEWAY 2.0
Figura 65: configurando a aba “Gray Listing”.
Pela designação do protocolo SMTP, quando um cliente não consegue
enviar uma mensagem para o servidor de destino por motivo de erro temporário, ele
deve continuar tentando o envio por aproximadamente cinco dias. Ao final deste prazo,
a mensagem é descartada e o remetente avisado do insucesso. Baseado nesta idéia,
o ASMG simula um erro temporário de conexão para que a mensagem não possa ser
entregue pelo cliente. Se a mensagem for legítima, o cliente tentará nova conexão
posteriormente e, nesta nova tentativa, o sistema aceitará o e-mail.
O ASMG parte da premissa que se o e-mail é de um spammer,
provavelmente não haverá uma nova tentativa de envio. Isso acontece porque
spammers normalmente utilizam robôs para o envio de mensagens em massa e muito
dificilmente reenviam aquelas que acusaram erro. Dentre as configurações possíveis o
Administrador pode escolher se o que será considerado para análise será o remetente
do envelope ou o remetente do cabeçalho.
A opção “Tempo de Bloqueio” refere-se ao tempo mínimo, em horas,
que deve se passar entre a primeira e a segunda tentativa de negociação para o envio
da mensagem. Durante esse período o sistema rejeitará todas as tentativas de
negociação de envio.
O Administrador também pode configurar o “Tempo de nova
tentativa”, que é o tempo em horas, depois de terminado o tempo de bloqueio, que
o sistema aguarda pela segunda tentativa de negociação para o envio da mensagem.
Se a segunda tentativa for realizada dentro deste tempo, o remetente será
considerado autêntico e inserido na lista de endereços autorizados.
Uma vez dentro da lista de endereços autorizados, o parâmetro “Limite
de tempo de inatividade do remetente” define por quanto tempo (em dias) o
95

AKER SECURE MAIL GATEWAY 2.0
usuário será mantido nesta lista. Sempre que uma nova mensagem do mesmo
remetente for recebida, o limite de tempo de inatividade é renovado.
6.2.6. CONTROLE DE FLOOD
Flood é um termo utilizado para indicar uma “inundação” de conexões ou
mensagens em curto espaço de tempo. Isso quer dizer que ocorre um número enorme
de requisições simultâneas de serviço que podem causar interrupção no serviço de
correio. Normalmente o Flood faz parte de algum ataque de usuários maliciosos com
fins escusos.
Figura 66: configurando a aba “Controle de Flood”.
Esta janela está dividida em duas partes:
• Limitar número de conexões por cliente
Quando esta regra está habilitada, podemos definir o limite de conexões
simultâneas que um cliente pode estabelecer em determinado espaço de tempo,
medido em minutos.
• Limitar número de destinatários por cliente
Aqui podemos definir para quantos destinatários em uma mesma
mensagem um cliente externo pode enviar mensagens, e a janela de tempo, em
minutos, que ele deve esperar entre um envio e outro.
96

6.3. POLÍTICAS
AKER SECURE MAIL GATEWAY 2.0
O item “Políticas” compreende conjuntos de regras distintos para filtragens
diferenciadas dos e-mails a partir de seus remetentes e/ou destinatários.
Este item é composto pelas seguintes opções:
• Controle de acesso;
• Política Padrão;
• Novas Políticas criadas através de regras.
Sempre que uma política for criada, um sub-menu correspondente também
será criado na árvore de Políticas, com duas sub-árvores: uma para filtrar as
mensagens de entrada, e a outra, para as mensagens de saída (também se aplica à
Política Padrão). As janelas para estas filtragens são praticamente as mesmas,
diferenciando-se as opções que forem referentes a destinatários e remetentes.
A seguir detalharemos cada uma destas opções, para que haja melhor
entendimento do seu uso.
6.3.1. CONTROLE DE ACESSO
É nesta janela que vamos definir os parâmetros para a Política Padrão e
as novas políticas que serão usadas pelo ASMG durante a filtragem das mensagens.
Sempre que criar uma nova política, o Administrador deve definir os
usuários e grupos aos quais deseja associá-la. Os usuários que não forem
referenciados em qualquer política terão suas mensagens analisadas pelo conjunto de
regras da chamada “Política Padrão”.
97

AKER SECURE MAIL GATEWAY 2.0
Figura 67: exemplo da tela "Controle de Acesso".
Dentro desta janela temos as seguintes diferenciações:
• Parâmetros da política padrão:
Aqui podemos definir o tempo, em horas, de duração da quarentena de
mensagens, além da prioridade.
A quarentena é um repositório de sistema bastante utilizado por
basicamente todos os filtros no ASMG como opção de ação quando o sistema detecta
uma situação de interesse. Esta funcionalidade será melhor explicada no item 6.4.2.
Já o quesito prioridade é aplicado nas situações em que ocorre
enfileiramento das mensagens, devido a um grande volume de processamento. Neste
caso as mensagens são enfileiradas e processadas de acordo com a prioridade que
foi estabelecida à Política, que pode ser: Muito Baixa, Baixa, Normal, Alta e Muito Alta.
Quando inserimos um autenticador, temos acesso direto a todos os
usuários e grupos que serão administrados pela ferramenta. Conforme explicado no
98

AKER SECURE MAIL GATEWAY 2.0
item 5.1.3, o agente de autenticação serve como ponte entre a base de dados que
possui o cadastro de usuários e grupos da rede, com o ASMG. Assim, podemos
aproveitar estes registros para extração dos usuários que serão aproveitados pelo
ASMG em algumas suas ações.
Esta política se aplica a todos os usuários que não forem referenciados em
nenhuma outra e, assim, terão suas mensagens analisadas pelo conjunto de regras
que compõem esta política.
• Controle de acesso:
Se esta opção for habilitada, o Administrador deve definir para quais
usuários e grupos ele deseja aplicar cada conjunto de regras, além de definir a
prioridade e o período de quarentena.
É possível criar várias políticas, que abordem usuários ou ações
específicas. Para cada política criada nesta tela, um sub-menu correspondente
também será criado na árvore de “Políticas”.
OBS: para melhor definição das regras, é importante lembrar os usuários são
representados pelos destinatários do e-mail nas mensagens de entrada, e pelos
remetentes nas de saída.
No Anexo I, vamos demonstrar como devem ser feitas as configurações
completas das Políticas SPAM e Contabilidade, mostradas na Figura 67.
6.3.2. POLÍTICA PADRÃO
Vimos que na janela “Controle de Acesso” existe uma parte dedicada aos
parâmetros que serão aplicados à Política Padrão, que será aplicada a todos os
usuários que não fizerem parte de outras políticas. Vimos também que para cada
política existente ocorre a diferenciação entre as mensagens de entrada e as de saída.
Agora veremos todas as janelas referentes à Entrada e Saída de
mensagens, com exemplos de como configurá-las adequadamente. Como existem
poucas diferenças entre elas, vamos inicialmente explicar as funções referentes a
ambas, destacando as diferenças apenas quando elas existirem.
6.3.2.1. ENTRADA/SAÍDA ENDEREÇOS DE E-MAIL
Dentre todas as janelas, as únicas que apresentam diferenças nas janelas
e abas são estas, pois na chegada de mensagens o ASMG trata os usuários internos
99

AKER SECURE MAIL GATEWAY 2.0
como destinatários e o externos como remetentes. A posição se inverte quando a
mensagem é enviada por um cliente interno.
Em todas as janelas, é possível ao Administrador definir se deseja aceitar
ou descartar as mensagens que não coincidam com os padrões mencionados, se
deseja encaminhá-las para algum endereço de e-mail e/ou se elas devem ser
enviadas para a quarentena.
• ENTRADA
Na aba “Domínios dos Remetentes” podemos definir os domínios dos
remetentes que podem e os que não podem enviar mensagens aos usuários desta
política.
Figura 68: demonstrando a aba de Entrada – “Domínio dos Remetentes”.
Neste exemplo, resolvemos bloquear o domínio blockdomain.com quanto
ao envio de mensagens para os usuários internos. A configuração dos dados deve ser
da seguinte maneira:
1. Clique com o botão direito do mouse em qualquer lugar do quadro e
escolha a opção “Inserir”.
2. Em seguida, clique com o botão direito do mouse sob a coluna
“Domínio” e escolha a opção “Adicionar Entidades”.
100

AKER SECURE MAIL GATEWAY 2.0
3. Selecione a entidade do tipo “Domínio” que deseja que seja adicionada
à regra. Clique em “Adicionar”.
4. Em seguida, defina o tipo de ação a ser tomada. Para isso, clique com
o botão direito do mouse sob a coluna “Ação” e escolha entre as
opções “Aceitar Mensagem” ou “Descartar Mensagem”.
5. Para indicar se a mensagem deve ir para a quarentena ou não, clique
com o botão direito do mouse sob a coluna “Quarentena” e escolha
entre as opções “Habilitar” ou “Desabilitar”.
6. Se desejar encaminhar uma cópia da mensagem para alguém, clique
com o botão direito do mouse sob a coluna “Encaminhar para”,
selecione a opção “Adicionar Entidades” e escolha a entidade do
tipo “Lista de E-mail” desejada. Clique em “Adicionar”.
Já na aba “Endereços dos Remetentes” devemos especificar os
endereços dos remetentes que devem ou não ser bloqueados para todas as
mensagens recebidas pelos usuários da Política Global.
Figura 69: demonstrando a aba de Entrada – “Endereço dos Remetentes”.
No exemplo acima, vimos que devem ser descartadas todas as
mensagens que não sejam originadas pelos remetentes que fazem parte do objeto
101

AKER SECURE MAIL GATEWAY 2.0
“Lista de E-mails 1”. Para configurar os dados desta janela, basta repetir os passos
indicados para a aba “Domínios dos Remetentes”.
• SAÍDA
Na aba “Domínios dos Destinatários” podemos definir os domínios
dos destinatários para quem os usuários internos podem enviar ou não suas
mensagens.
Figura 70: demonstrando a aba de Saída – “Domínios dos Destinatários”.
Já na aba “Endereços dos Destinatários” podemos definir os
endereços daqueles destinatários para quem os usuários internos não possuem
permissão para envio de mensagens. Por padrão, os endereços que não estiverem
listados neste quadro terão as mensagens repassadas normalmente.
102

AKER SECURE MAIL GATEWAY 2.0
Figura 71: demonstrando a aba de Saída – “Endereços dos Destinatários”.
Para configurar dados em ambas as janelas, basta seguir os mesmos
passos para a configuração de “Domínios dos Remetentes”, apenas lembrando que o
envio agora acontece dos usuários internos para a Internet.
6.3.2.2. ENTRADA/SAÍDA TAMANHO MÁXIMO
Tanto as mensagens que chegam quanto as que saem possuem as
mesmas características quanto à restrição: é possível restringir o tamanho máximo da
mensagem como um todo (em KB), apenas seus anexos (também em KB) ou a
ambos.
Caso este filtro esteja habilitado, sempre que uma mensagem, anexo ou
conjunto mensagem/anexo ultrapassar o tamanho máximo estipulado, terá seu
conteúdo removido e substituído por uma mensagem do sistema, conforme explicado
no item 6.1.2 – Mensagens de Notificação.
Adicionalmente, podemos encaminhar as mensagens limitadas por estas
regras para algum endereço de e-mail previamente cadastrado, ou ainda, mover estas
mensagens para a quarentena para posterior análise.
103

• ENTRADA
AKER SECURE MAIL GATEWAY 2.0
Nesta tela restringimos os tamanhos das mensagens que chegam para os
usuários internos (destinatários).
Figura 72: demonstrando a janela de Entrada – “Tamanho Máximo”.
Os parâmetros possíveis de serem configurados são os seguintes:
• Tamanho limite de mensagem: se marcada, podemos definir o tamanho
máximo, em KB, que a mensagem (incluindo anexos) pode ter;
• Tamanho limite de anexos: se esta opção for marcada, podemos definir
o tamanho máximo, em KB, que os anexos de uma mensagem podem
ter.
Além disso, podemos definir que a mensagem seja encaminhada para
algum e-mail específico e/ou movida para quarentena.
• SAÍDA
Nesta tela restringimos os tamanhos das mensagens que são enviadas
pelos usuários internos (remetentes). Caso o anexo ou a mensagem ultrapasse o
limite estabelecido, serão descartados e o remetente recebe uma mensagem
informativa, conforme mencionado no item 6.1.2 – Mensagens de Notificação.
104

AKER SECURE MAIL GATEWAY 2.0
Figura 73: demonstrando a janela de Saída – “Tamanho Máximo”.
As configurações para o tamanho das mensagens enviadas são inseridas
da mesma maneira que as das mensagens que chegam.
6.3.2.3. ENTRADA/SAÍDA TIPOS DE ARQUIVOS
Em ambas as situações podemos definir se uma mensagem será aceita ou
não, de acordo com o tipo de arquivo anexado. Estes anexos são entidades do tipo
“Arquivos” já previamente cadastrados, e serão analisados quanto a seu tipo real.
O ASMG já vem pré-configurado com os tipos de arquivos mais comuns.
Entretanto, caso o usuário necessite de filtragem para um tipo de arquivo não
cadastrado, pode cadastrá-lo sem qualquer restrição.
Nas opções personalizadas em Entrada e Saída, podemos definir os tipos
de arquivo, se eles serão aceitos, rejeitados ou removidos, se serão enviados para a
quarentena ou encaminhados para algum endereço para análise.
Já em “Ação Padrão”, as mensagens podem ser aceitas, descartadas ou
ter seus anexos removidos.
Em caso de remoção de anexos, uma mensagem de notificação será
colocada na mensagem, informando ao destinatário que ali havia um arquivo anexado
e que ele foi retirado.
• ENTRADA
Nesta tela configuramos as restrições de arquivos quem chegam aos
usuários internos (destinatários). Na Figura 74, selecionamos dois tipos de arquivo,
“bat” e “exe” e estamos permitindo que arquivos com estas extensões entrem na
105

AKER SECURE MAIL GATEWAY 2.0
nossa rede, mas sejam encaminhados automaticamente para a quarentena. Optamos
por relacioná-los aqui pois, com freqüência, estes tipos de anexo representam vírus e,
por isso, devem ser melhor analisados.
Figura 74: demonstrando a janela de Entrada – “Tipos de Arquivo”.
Para realizar esta configuração, basta fazer o seguinte:
1. Clique com o botão direito do mouse em qualquer lugar do quadro e
escolha a opção “Inserir”.
2. Em seguida, clique com o botão direito do mouse sob a coluna
“Arquivo” e escolha a opção “Adicionar Entidades”.
3. Selecione a entidade do tipo “Arquivo” que deseja que seja adicionada
à regra. Clique em “Adicionar”.
4. Em seguida, defina o tipo de ação a ser tomada. Para isso, clique com
o botão direito do mouse sob a coluna “Ação” e escolha entre as
opções “Aceitar Mensagem” ou “Descartar Mensagem”.
106

AKER SECURE MAIL GATEWAY 2.0
5. Para indicar se a mensagem deve ir para a quarentena ou não, clique
com o botão direito do mouse sob a coluna “Quarentena” e escolha
entre as opções “Habilitar” ou “Desabilitar”.
6. Se desejar encaminhar uma cópia da mensagem para alguém, clique
com o botão direito do mouse sob a coluna “Encaminhar para”,
selecione a opção “Adicionar Entidades” e escolha a entidade do
tipo “Lista de E-mail” desejada. Clique em “Adicionar”.
• SAÍDA
Nesta tela configuramos as restrições de arquivos que são enviados pelos
usuários internos (remetentes).
Figura 75: demonstrando a janela de Saída – “Tipos de Arquivo”.
Para adicionar arquivos que devam ser analisados quando enviados por
usuários internos, basta seguir os mesmos passos indicados para analisar arquivos
que chegam da Internet. A diferença aqui é que quando configuramos a ação, pedimos
que anexos que contivessem arquivos executáveis fossem descartados. Neste caso, o
remetente recebe uma mensagem informando que o anexo foi removido, conforme
explicado no item 6.1.2 – Mensagens de Notificação.
107

AKER SECURE MAIL GATEWAY 2.0
6.3.2.4. ENTRADA/SAÍDA PALAVRAS-CHAVE E EXPRESSÕES
Nestas janelas configuramos restrições para palavras-chave/expressões
regulares contidas em anexos do tipo texto das mensagens enviadas ou recebidas
pelos usuários internos. As janelas de Entrada e Saída possuem as abas “Palavras-
Chave” e “Expressões Regulares”.
Na aba “Palavras-chave” podemos inserir listas de palavras
previamente cadastradas em entidades do tipo “Lista de Palavras-Chave”. É possível
solicitar a verificação dentro do cabeçalho ou corpo da mensagem. As operações
possíveis de serem realizadas são: aceitar as mensagens que se encaixem no padrão
mencionado, descartá-las ou ainda remover os anexos. Neste caso, uma mensagem
de notificação será colocada junto à mensagem original, informando ao destinatário
que ali havia um anexo e que este foi removido. Além disso, é possível encaminhar a
mensagem para algum e-mail interno ou movê-la para quarentena.
Já na aba “Expressões Regulares” podemos inserir listas de
expressões previamente cadastradas em entidades do tipo “Listas de Expressão
Regular”, que definem um padrão de palavras. Com elas é possível identificar
facilmente, por exemplo, se existe um anexo que faça referência a algum endereço
eletrônico, ou URL qualquer. É possível solicitar a verificação dentro do cabeçalho ou
corpo da mensagem. As operações possíveis de serem realizadas são: aceitar as
mensagens que não se encaixem no padrão mencionado, descartá-las ou ainda
remover os anexos. Neste caso, uma mensagem de notificação será colocada junto à
mensagem original, informando ao destinatário que ali havia um anexo e que este foi
removido. Além disso, é possível encaminhar a mensagem para algum e-mail interno
ou movê-la para quarentena.
• ENTRADA
Nestas abas configuramos as listas de expressões regulares e palavraschave
que serão analisadas em mensagens que chegam para os usuários internos
(destinatários).
108

AKER SECURE MAIL GATEWAY 2.0
Figura 76: demonstrando a aba de Entrada – “Palavras-Chave”.
Nesta tela, optamos por fazer pesquisas no cabeçalho e no corpo da
mensagem, de determinadas palavras previamente cadastradas em uma lista do tipo
“Listas de palavras-chave”. Para realizar esta configuração, basta fazer o seguinte:
1. Clique com o botão direito do mouse em qualquer lugar do quadro e
escolha a opção “Inserir”.
2. Em seguida, clique com o botão direito do mouse sob a coluna “Lista
de Palavras-Chave” e escolha a opção “Adicionar
Entidades”.
3. Selecione a entidade do tipo “Lista de Palavras-Chave” que deseja
adicionar à regra. Clique em “Adicionar”.
4. Se deseja que a verificação seja feita nos campos “cabeçalho” e
“corpo” (ou em apenas um deles) da mensagem, clique com o botão
direito do mouse em cada uma das colunas e selecione as opções
“Habilitar” ou “Desabilitar”.
5. Em seguida, defina o tipo de ação a ser tomada. Para isso, clique com
o botão direito do mouse sob a coluna “Ação” e escolha entre as
opções “Aceitar Mensagem” ou “Descartar Mensagem”.
109

AKER SECURE MAIL GATEWAY 2.0
6. Para indicar se a mensagem deve ir para a quarentena ou não, clique
com o botão direito do mouse sob a coluna “Quarentena” e escolha
entre as opções “Habilitar” ou “Desabilitar”.
7. Se desejar encaminhar uma cópia da mensagem para alguém, clique
com o botão direito do mouse sob a coluna “Encaminhar para”,
selecione a opção “Adicionar Entidades” e escolha a entidade do
tipo “Lista de E-mail” desejada. Clique em “Adicionar”.
Figura 77: demonstrando a aba de Entrada – “Expressões Regulares”.
• SAÍDA
Nestas abas configuramos expressões regulares e palavras-chave que
serão analisadas em mensagens enviadas pelos usuários internos (remetentes).
110

AKER SECURE MAIL GATEWAY 2.0
Figura 78: demonstrando a aba de Saída – “Palavras-Chave”.
Figura 79: demonstrando a aba de Saída – “Expressões Regulares”.
111

AKER SECURE MAIL GATEWAY 2.0
6.3.2.5. ENTRADA/SAÍDA CATEGORIAS DE URL
Esta análise é feita através da integração do ASMG com outro produto da
Aker: o Analisador de URLs.
O Analisador de URL é alimentado com uma grande de base de dados de
URLs, sub-dividida em diversas categorias como: Jogos de Azar, Chat, Nudismo,
Esportes, etc. Esta base é alimentada constantemente por uma equipe especializada
em categorizar URLs e assim disponibilizar bases atualizadas para os clientes. A idéia
principal é que o acesso a certas categorias seja impedido.
Após a verificação de que há uma URL no anexo da mensagem, o ASMG
a encaminha para o Analisador. Caso alguma delas coincida com uma URL proibida,
há as opções de remover o anexo ou descartar a mensagem. Caso ocorra a remoção
do anexo apenas, uma mensagem de notificação será adicionada à mensagem
original, informando que o ele foi removido. Como opções adicionais, o Administrador
pode encaminhar uma cópia da mensagem para a quarentena e/ou encaminhá-la para
algum endereço de e-mail.
• ENTRADA
Nesta tela restringimos os tipos de URL que não devem constar nas
mensagens que chegam aos usuários internos do ASMG (destinatários). Não há
restrições quanto ao número de URLs selecionadas.
112

AKER SECURE MAIL GATEWAY 2.0
Figura 80: demonstrando a janela de Entrada – “Categorias de URL”.
• SAÍDA
Nesta tela restringimos os tipos de URL que não devem constar nas
mensagens que são enviadas pelos usuários internos do ASMG (remetentes). Sempre
que um anexo contendo uma URL dos tipos mencionados for encontrado, a
mensagem será descartada e o destinatário receberá uma mensagem informando que
ali havia uma URL, mas que esta foi descartada.
Figura 81: a demonstrando a janela de Saída – “Categorias de URL”.
6.3.2.6. ENTRADA/SAÍDA FILTRAGEM EXTERNA
Através da integração com filtros e scripts externos, cadastrados
previamente como entidades do tipo “Filtro Externo”, o ASMG aumenta sua
capacidade de filtragem de mensagens indevidas.
O processo se dá com o envio da mensagem pelo ASMG para estes
programas, normalmente antivírus ou analisadores de Spams, e, baseado na resposta
dos mesmos, a mensagem pode ser descartada ou enviada com o campo de assunto
modificado para os destinatários. Cada programa/script externo deve ser configurado
como uma entidade antes de ser utilizado nesta janela, conforme explicado no item
5.1.1 – Filtros Externos.
113

AKER SECURE MAIL GATEWAY 2.0
É necessário reiterar que o ASMG apenas envia a mensagem para o
programa especificado, mas a configuração e comportamento deste último devem ser
feitos de maneira completamente independente para que os resultados esperados
possam ser atingidos.
• ENTRADA
Nesta tela configuramos as ações que podem ser executadas pelos filtros
externos em relação às mensagens recebidas pelos usuários internos (destinatários).
Figura 82: demonstrando a janela de Entrada – “Filtragem Externa”.
Para realizar esta configuração, basta fazer o seguinte:
1. Clique com o botão direito do mouse em qualquer lugar do quadro e
escolha a opção “Inserir”.
2. Em seguida, clique com o botão direito do mouse sob a coluna
“Filtro Externo” e escolha a opção “Adicionar Entidades”.
3. Selecione a entidade do tipo “Filtro Externo” que deseja adicionar à
regra. Clique em “Adicionar”.
4. Em seguida, defina o tipo de ação a ser tomada. Para isso, clique com
o botão direito do mouse sob a coluna “Ação” e escolha entre as
opções “Aceitar Mensagem” ou “Descartar Mensagem”.
114

AKER SECURE MAIL GATEWAY 2.0
5. Para indicar se a mensagem deve ir para a quarentena ou não, clique
com o botão direito do mouse sob a coluna “Quarentena” e escolha
entre as opções “Habilitar” ou “Desabilitar”.
6. Se desejar encaminhar uma cópia da mensagem para alguém, clique
com o botão direito do mouse sob a coluna “Encaminhar para”,
selecione a opção “Adicionar Entidades” e escolha a entidade do
tipo “Lista de E-mail” desejada. Clique em “Adicionar”.
• SAÍDA
Nesta tela configuramos as ações que podem ser executadas pelos filtros
externos em relação às mensagens enviadas pelos usuários internos (remetentes).
Figura 83: demonstrando a janela de Saída – “Filtragem Externa”.
Definimos que todas as mensagens que saem da área controlada pelo
ASMG devem ser examinadas. Conforme foi definido na configuração da Entidade do
tipo “Filtro Externo”, sempre que ocorrer um comportamento que sugira que a
mensagens está infectada, o antivírus retorna um código ao ASMG, indicando o
problema. Neste caso, estamos indicando que a mensagem seja descartada e uma
cópia dela seja encaminhada para o Administrador, para que seja feita a análise
necessária.
6.4. REPOSITÓRIOS
Repositórios são espaços alocados em disco, onde o ASMG armazena as
mensagens enquanto executa seu processamento. Estes repositórios são dinâmicos,
tendo em vista que as mensagens que trafegam por eles são apenas transitórias e
logo serão encaminhadas para o servidor pertinente ou então descartadas.
115

AKER SECURE MAIL GATEWAY 2.0
Este item está subdividido em duas áreas distintas. São elas:
• Repositório de Sistema;
• Repositório de Quarentena.
A seguir descreveremos detalhadamente a diferença entre as duas áreas.
6.4.1. REPOSITÓRIO DE SISTEMA
O processamento pelo ASMG é dividido em três momentos distintos: o
recebimento, o processamento e a finalização, que pode ser o encaminhamento da
mensagem para seu destinatário final, armazenamento para análise futura ou então o
descarte. Durante cada uma destas fases, o sistema armazena as mensagens em
diretórios específicos enquanto aguarda a conclusão de uma etapa para só então
prosseguir para a seguinte.
Os repositórios de sistema são compostos por File Keepers, ou seja,
mantenedores de arquivos utilizados pelo ASMG para promover o armazenamento
temporário de mensagens em diretórios específicos, em etapas também específicas
do processamento.
A seguir explicaremos sobre os tipos de Repositório de Sistema, as
funções de cada um e as informações necessárias para configurá-los.
6.4.1.1. ABAS SERVIÇO INBOUND, ENGINE E DISPATCHER
Cada uma destas abas possui uma atividade específica:
• Aba “Serviço Inbound”:
Nesta aba, temos as informações sobre o armazenamento temporário das
mensagens assim que são recebidas pelo programa, antes que ele execute qualquer
operação relativa a elas.
116

AKER SECURE MAIL GATEWAY 2.0
Figura 84: visualizando a aba “Serviço Inbound”.
• Aba “Serviço Engine”:
Aqui visualizamos as informações sobre o armazenamento temporário das
mensagens enquanto elas passam por todo o processo de filtragem de dados.
Figura 85: visualizando a aba “Serviço Engine”.
• Aba “Serviço Dispatcher”:
Nesta aba verificamos as informações relativas ao armazenamento
temporário das mensagens que estão sendo encaminhadas.
117

AKER SECURE MAIL GATEWAY 2.0
Figura 86: visualizando a aba “Serviço Dispatcher”.
Conforme demonstrado nas figuras anteriores, as informações necessárias
para configurar cada aba são basicamente as mesmas. O que deve ser levado em
consideração é o papel de cada uma no ASMG. Dentro das telas existem os seguintes
parâmetros a ser definidos:
• Mantenedor de arquivos: informar o nome do File Keeper;
• Diretório: endereço completo de armazenamento das mensagens;
• Tamanho Máximo: máximo de espaço em disco, em MB, que o diretório
pode ocupar. Se o campo não for preenchido, o tamanho máximo é
ilimitado;
• Número Máximo de Arquivos: quantidade máxima de arquivos que pode
ser armazenada simultaneamente. Se o campo não for preenchido, o
número máximo é ilimitado.
Com o intuito de facilitar a administração do sistema, os file keepers já vêm
pré-configurados e, por isso, certas alterações como limitação de número de arquivos
armazenados, limitação de espaço em disco ou mudança do diretório só devem ser
feitas em casos muito específicos. Para esclarecimento, vamos demonstrar como é
feita a configuração manual da aba, tomando como exemplo a configuração da aba
“Serviço Dispatcher”.
1. Clique com o botão direito do mouse em qualquer lugar do quadro e
escolha a opção “Inserir”;
2. Localize a coluna “Mantedor de Arquivos”, clique com o botão
direito do mouse abaixo dela e digite o nome escolhido. No nosso
exemplo, escolhemos o nome dispatcher1.
118

AKER SECURE MAIL GATEWAY 2.0
3. A seguir, clique o botão direito do mouse abaixo da coluna
“Diretório” e informe o caminho completo de armazenamento. No
nosso exemplo, o caminho é /var/aker/dispatcher, mas esta
definição fica a cargo do Administrador.
4. As colunas “Tamanho máximo (MB)” e “Número Máximo de
Arquivos” têm o preenchimento opcional. Se desejar inserir dados,
basta clicar com o botão direito do mouse abaixo de cada uma delas e
digitar o tamanho alocado em disco e a quantidade máxima de
arquivos.
6.4.2. REPOSITÓRIO DE QUARENTENA
Esta janela oferece o gerenciamento do repositório de quarentena. Apesar
de também ser um repositório temporário de mensagens, seu objeto de controle são
as mensagens que, em qualquer uma das janelas de filtragem, foram configuradas
para serem enviadas para quarentena. Este repositório não permite a limitação de
tamanho máximo e número de arquivos. Sua configuração limita-se à especificação do
diretório para armazenamento de mensagens.
A quarentena deve ser utilizada pelo Administrador para mensagens que
fogem de um determinado padrão a ponto de merecerem ser visualizadas ou
analisadas manualmente. Para cada política criada, é possível determinar o tempo
máximo de quarentena para as mensagens armazenadas. Se ao fim desse período
nenhuma operação for realizada, as mensagens são automaticamente eliminadas.
A seguir explicaremos as funções das abas “Visualizador” e
“Configurações” e como estas devem ser manipuladas.
6.4.2.1. ABA VISUALIZADOR
Nesta aba o Administrador gerencia as mensagens que estão em
quarentena. Aqui podemos visualizar as mensagens enviadas para a quarentena,
removê-las manualmente, enfileirá-las novamente ou acessar seu código fonte.
119

AKER SECURE MAIL GATEWAY 2.0
Figura 87: demonstrando a aba “Visualizador”.
Conforme mencionado anteriormente, podemos realizar uma série de
operações com as mensagens armazenadas no Repositório de Quarentena. São elas:
• Pesquisa: basta digitar uma string no campo “Localizar Padrão” e,
em seguida, clicar sobre o botão “Atualizar Agora”. A busca
acontece nos campos “De”, “Para” e “Assunto” da mensagem.
• Re-enfileirar: basta clicar sobre o botão “Reenfileirar”, localizado
na barra de ferramentas do Aker Control Center.
• Remover manualmente: basta selecionar a mensagem lista de
mensagens em quarentena e clicar sobre o botão “Remover”,
localizado na barra de ferramentas do Aker Control Center.
• Visualizar o código fonte: selecione a mensagem dentro da lista de
mensagens em quarentena e, em seguida, clique sobre o botão
“Mostrar Fonte”, localizado na barra de ferramentas do Aker
Control Center.
6.4.2.2. ABA CONFIGURAÇÕES
Nesta aba, devemos informar o local onde as mensagens em quarentena
devem ser armazenadas.
120

AKER SECURE MAIL GATEWAY 2.0
Figura 88: parametrizando a aba “Configurações”.
6.5. RELATÓRIOS
Esta funcionalidade permite acessar certos relatórios atualizados, tais
como mensagens recebidas e maiores ocorrências, verificar a fila de trabalho e o
status de utilização do servidor. A seguir explicaremos cada uma das janelas e
mostraremos como visualizar os gráficos.
6.5.1. STATUS DO SISTEMA
Nesta janela, é mostrada, numericamente, a taxa de utilização do
processador naquele momento exato. Além disso, há mostradores digitais informando
a quantidade de memória livre, a quantidade de memória em uso ou e a taxa de
utilização da memória cache.
Figura 89: visualizando a tela “Status do Sistema”.
121

6.5.2. MENSAGENS ACEITAS E REJEITADAS
AKER SECURE MAIL GATEWAY 2.0
Nesta tela podemos solicitar que nos seja mostrado um relatório das
mensagens aceitas e rejeitadas durante certo intervalo de tempo.
Figura 90: Emitindo relatório de “Mensagens Aceitas e Rejeitadas”.
Há duas opções: ou marcamos a caixa “Usar Opção Automática”,
escolhendo intervalos de tempo pré-definidos – últimos dez minutos, última hora,
último dia ou últimos sete dias – ou então escolhemos a opção de busca por
“Intervalo de Tempo Específico”. Neste segundo caso, devemos informar dia
e hora de início, além de dia e hora de término de seleção dos dados. Em seguida,
clique sobre o botão “Mostrar gráfico”.
6.5.3. MAIORES OCORRÊNCIAS
Neste relatório, podemos fazer uma busca entre os seguintes tipos:
Remetentes, Destinatários, Domínios dos Remetentes, Arquivos e Vírus.
122

AKER SECURE MAIL GATEWAY 2.0
Figura 91: Emitindo relatório de “Maiores Ocorrências”.
Após selecionar o tipo de ocorrência, devemos estabelecer o intervalo de
tempo para a interpolação dos dados. Neste caso, temos duas opções: ou marcamos
a caixa “Opção Automática” e escolhendo intervalos de tempo pré-definidos, ou
então escolhemos a opção de busca por “Intervalo de Tempo Específico”.
Neste segundo caso, devemos informar dia e hora de início, além de dia e hora de
término de seleção dos dados.
Depois de estabelecer o intervalo de tempo, é necessário informar a
quantidade de ocorrências máximas (mínimo de cinco) que se deseja visualizar e, em
seguida, clicar sobre o botão “Mostrar Gráfico”.
6.5.4. FILA DE TRABALHO
Esta janela informa quais são as mensagens que estão atualmente sendo
processadas pelo sistema em três diferentes situações: na entrada, no processamento
e no encaminhamento.
6.5.4.1. ABA RECEBENDO
Mostra as mensagens que estão sendo recebidas pelo ASMG. Nesta tela
podemos ver o status de recebimento da mensagem pelo servidor, e o endereço IP do
cliente.
123

AKER SECURE MAIL GATEWAY 2.0
Figura 92: tela de mensagens que estão em fila para recebimento.
6.5.4.2. ABA PROCESSANDO
Esta aba mostra as mensagens que estão sendo processadas pelo ASMG.
Aqui podemos visualizar informações sobre o recebimento da mensagem, remetente e
destinatário.
Figura 93: tela de mensagens que estão em fila para processamento.
6.5.4.3. ABA ENTREGANDO
Esta aba mostra as mensagens que estão sendo entregues pelo ASMG.
Nesta aba podemos visualizar se a mensagem foi recebida, quem a enviou, quem a
124

AKER SECURE MAIL GATEWAY 2.0
recebeu, prazo final para entrega, número de tentativas de entrega e, caso haja, o
motivo de adiamento.
Figura 94: tela de mensagens que estão em fila para entrega.
Em todas estas abas podemos fazer pesquisas relativas às mensagens
que estejam em cada uma delas. Para isso, é necessário clicar na aba desejada e
digitar a string de busca no campo “Procura Padrão”. Depois, basta clicar sobre o
botão “Atualizar agora”.
6.6. LOGS
Esta janela é responsável por armazenar dados de configuração dos
registros de controle, também conhecido por log, do ASMG.
É composta por duas partes:
• Configurações de log;
• Visualizador de log.
6.6.1. CONFIGURAÇÕES DE LOG
O log do ASMG oferece a opção circular, ou seja, quando o tamanho ou
tempo máximo forem atingidos, o arquivo os arquivos de log mais antigos podem ser
destruídos. Além disso, o sistema permite escolher os parâmetros para
armazenamento de log e se haverá ou não um Log Externo.
125

AKER SECURE MAIL GATEWAY 2.0
Figura 95: tela de “Configurações do Log”.
• Parâmetros de Configuração
Aqui devemos definir as configurações gerais para armazenamento de
logs, tamanho máximo, número de rotações do arquivo de log, em dias.
Os números da figura acima foram obtidos através do botão “Aplicar
Padrões”, mas podem ser alterados, de acordo com o que o Administrador achar
mais conveniente.
• Log Externo
Aqui deve ser informado se o programa deve utilizar um sistema de log
alternativo, como o syslog do UNIX.
6.6.2. VISUALIZADOR DE LOG
Esta janela controla a visualização dos dados de log do ASMG. Existem
dois tipos de log: de mensagens, que armazena todos os dados de relevância de uma
mensagem, tais como remetente, destinatário, tamanho máximo, IP do cliente, nome
do cliente; e o de eventos, que armazena fatos de importância ocorridos durante o
processamento das mensagens pelo sistema.
É possível ainda especificar filtros para obtenção de dados de log. As
janelas de parâmetros disponíveis são diferentes para os logs de mensagens e de
eventos, mas alguns são comuns a ambos.
126

6.6.2.1. LOGS DE MENSAGENS
AKER SECURE MAIL GATEWAY 2.0
Aqui podemos visualizar o resultado do processamento de todas as
mensagens que passaram pelo ASMG.
Figura 96: visualizando a aba “Logs de Mensagens”.
Dentre as informações relativas ao processamento de cada mensagem,
existe um parâmetro que mostra o resultado de entrega. São eles:
• Sucesso: a mensagem foi entregue satisfatoriamente ao destinatário;
• Fracasso: houve um erro permanente na tentativa de entrega;
• Bloqueio: a mensagem não foi entregue porque foi bloqueada por algum
filtro configurado pelo usuário.
• Desistência: ocorre após cinco dias de tentativa de entrega sem
sucesso (nesse caso a mensagem é descartada).
Quando uma mensagem é selecionada no quadro à esquerda, todos os
dados de relevância referentes a ela são mostrados no quadro da direita.
Para facilitar a busca, é possível ainda filtrar as mensagens de acordo com
os seguintes parâmetros:
• Intervalo de data (início e fim);
• Intervalo de hora (início e fim);
• Remetente;
127

• Domínio do remetente;
• Destinatário;
• Resultado da Entrega.
AKER SECURE MAIL GATEWAY 2.0
Figura 97: janela de filtro de log de mensagens.
Para ter acesso ao filtro, basta clicar sobre o botão “Filtrar”, disponível
na barra de ferramentas do Aker Control Center, conforme explicado no Capítulo 2.
6.6.2.2. LOGS DE EVENTOS
Os eventos podem ou não estar relacionados a uma mensagem. Por
exemplo, o evento de detecção de vírus em determinado anexo está diretamente
relacionado ao processamento de uma mensagem. Já o erro na conexão com o
agente de antivírus é um evento que não está relacionado a ela e sim ao ASMG.
128

AKER SECURE MAIL GATEWAY 2.0
Figura 98: visualizando a tela “Logs de Eventos”.
Nesta tela podemos verificar data e hora, código de identificação (ID),
descrição e detalhes referentes a um log de evento.
Para facilitar a visualização ou procura por algum evento específico, é
possível também filtrá-los. Basta clicar sobre o botão “Filtrar”, localizado na barra
de ferramentas do Aker Control Center.
Figura 99: janela de filtro de logs de eventos.
As opções disponíveis para filtragem são: intervalo de data e hora,
identificador da mensagem (obtido na janela de log de mensagens) e prioridade. Em
relação à prioridade, temos as seguintes opções:
• Informação: é atribuída a itens de log meramente informativos;
129

AKER SECURE MAIL GATEWAY 2.0
• Aviso: indica um item de log que representa um erro pequeno, que não
impediu a entrega da mensagem;
• Erro: representa um erro que impediu o processamento/entrega de uma
mensagem;
• Crítica: representa um erro capaz de fazer o ASMG parar de funcionar;
• Depuração: representa mensagens que devem ser utilizadas para a
depuração do programa.
130

Capítulo 7.
INTERFACE DO USUÁRIO
AKER SECURE MAIL GATEWAY 2.0
A Interface do Usuário é um modo de administração via web que pode ser
habilitado pelo Administrador a fim de permitir que cada usuário possa personalizar
suas opções, no que se refere ao recebimento de mensagens. Estas configurações
incluem:
• Visualizar mensagens em quarentena de confirmação (caso esta
funcionalidade esteja em uso);
• Criar listas de palavras-chave aceitas;
• Criação de whitelist pessoal;
• Criação de lista de bloqueio pessoal (blacklist);
• Opções gerais.
Para cada usuário é criado um arquivo no servidor, onde as informações
pessoais são armazenadas. Quando uma mensagem chega, o ASMG verifica se o
usuário possui configurações pessoais. Caso a resposta seja positiva, o sistema utiliza
as listas criadas pelo usuário para, em conjunto com as listas globais, filtrar as
mensagens e decidir que ação deve ser tomada. Caso a resposta seja negativa, os
filtros utilizados serão aqueles definidos pelas políticas.
Nas próximas seções explicaremos as funções de cada tela e as opções
existentes em cada uma.
7.1. TELA DE QUARENTENA
Nesta tela são apresentadas todas as mensagens que ainda aguardam a
confirmação do remetente, e que possuam como destinatário o usuário que acessa a
interface, caso a função “Confirmação de Mensagens” esteja ativa. Por padrão, a
confirmação é habilitada automaticamente quando o usuário opta por utilizar a
configuração pessoal.
Aqui podemos visualizar os campos “Remetente” e “Assunto” de cada
mensagem, bem como classificar a relação de mensagens em ordem crescente ou
131

AKER SECURE MAIL GATEWAY 2.0
decrescente, a partir do campo “Assunto”. Além disso, é possível realizar buscas,
bastando para isso inserir a string no local indicado e clicar no botão “Atualizar”.
Figura 100: Interface do Usuário - Quarentena.
Como opções, podemos selecionar determinadas mensagens e fazer com
que elas sejam removidas diretamente do servidor, ou então confirmá-las
automaticamente, fazendo com que sejam encaminhadas direto para a caixa de
entrada do destinatário. É importante frisar que, neste caso, o remetente não será
adicionado à whitelist global e assim outra solicitação de confirmação será enviada
quando este remetente enviar nova mensagem.
7.2. TELA DE PALAVRAS-CHAVES ACEITAS
Nesta tela o usuário pode criar uma lista pessoal de palavras ou
expressões que, se listadas no campo “Assunto”, fará com que a mensagem seja
repassada diretamente para a caixa de entrada do usuário, sem que seja necessário
ao remetente confirmar seu envio.
Como aplicação interessante para esta tela, podemos citar as listas de
discussão na Internet, onde a confirmação de mensagens torna-se inviável. Assim, ao
adicionarmos as strings ou assunto(s) do(s) grupo(s) a esta relação, a mensagem é
repassada automaticamente para o destinatário.
132

AKER SECURE MAIL GATEWAY 2.0
Figura 101: Interface do Usuário – Palavras-Chave Aceitas.
7.3. LISTA DE E-MAILS AUTORIZADOS
Nesta tela o usuário pode incluir ou excluir endereços que terão suas
mensagens prontamente recebidas, sem precisar passar por confirmação. A maior
vantagem desta lista é que o usuário pode inserir nela alguns remetentes
selecionados, criando sua whitelist particular.
Figura 102: Interface do Usuário – Lista de E-mails Autorizados.
Quando a mensagem chega, o ASMG verifica o endereço do remetente
tanto na whitelist global como na pessoal. Caso encontre o remetente em uma das
duas listas, a mensagem é entregue em seguida, sem precisar de confirmação por
parte do remetente. Este tipo de configuração é interessante já que agiliza a entrega
das mensagens.
É importante ressaltar que o fato de um endereço ser adicionado à lista
particular de algum usuário não implica dizer que este mesmo endereço constará da
lista global do ASMG. Se for este o caso, o remetente será orientado a confirmar a
mensagem, caso envie alguma para outros usuários internos.
133

7.4. LISTA DE E-MAILS NÃO AUTORIZADOS
AKER SECURE MAIL GATEWAY 2.0
Nesta tela, o usuário pode incluir ou excluir da relação, endereços que
terão a permissão negada para envio de mensagens. Desta forma, caso um remetente
possua seu endereço listado aqui, sua mensagem será automaticamente descartada e
não chegará ao destino especificado, mesmo que o endereço esteja na whitelist
global. Isto acontece porque a pesquisa é feita inicialmente nas blacklists (tanto global
quanto pessoal) e, caso o endereço conste em algumas delas, a mensagem será
recusada, durante a conexão entre os servidores.
Figura 103: Interface do Usuário – Lista de E-mails Não Autorizados.
Para as mensagens bloqueadas, o remetente recebe como resposta uma
mensagem de erro, informando que a entrega não pôde ser realizada.
7.5. OPÇÕES GERAIS
Nesta tela, o usuário personaliza as opções referentes ao comportamento
do ASMG quando da recepção das mensagens.
134

AKER SECURE MAIL GATEWAY 2.0
Figura 104: Interface do Usuário – Janela de configurações gerais.
Dentre as opções disponíveis, aqui ele pode desabilitar ou habilitar a
confirmação de mensagens, qual ação deve ser executada depois de passado o
período de quarentena, o que deve ser feito diante de mensagens de remetentes
anônimos e também se os destinatários das mensagens do usuário devem ser
automaticamente adicionados à whitelist pessoal ou não.
Como dito anteriormente, a confirmação de mensagens, quando habilitada
diretamente no ASMG 2 , é aplicada para todos os usuários que utilizarem a interface, e
que não marcaram a opção “Desabilitar Confirmação”. É importante salientar
que o fato da confirmação de mensagem estar desabilitado pode favorecer o
recebimento de mensagens indevidas na caixa postal do usuário, já que neste caso
não há controle quanto aos remetentes.
É fato comum alguns remetentes não perceberem que é necessário
confirmar a mensagem para que o destinatário a receba. Neste caso, o usuário pode
configurar a opção “Período de Quarentena”, para que as receba automaticamente
2 O usuário só pode escolher se deseja ou não utilizar o sistema de confirmação caso o
Administrador do sistema tenha configurado o produto para isso. A confirmação vale apenas
para usuários previamente cadastrados.
135

AKER SECURE MAIL GATEWAY 2.0
assim que o período para a quarentena acabe, ou então as bloqueie. Caso opte por
recebê-las, ele ainda pode modificar o campo ode assunto, informado que aquela
mensagem não foi confirmada.
Na opção “Mensagens Anônimas” o usuário pode optar ou não por
receber mensagens anônimas. Este recurso é normalmente utilizado pelos MTAs para
indicar problemas ocorridos durante o envio de mensagens.
Por fim, na opção “Destinatários das minhas mensagens”, o
usuário pode definir se deseja ou não que usuários para os quais ele envie alguma
mensagem sejam adicionados automaticamente na sua whitelist pessoal. Partindo do
pressuposto que o usuário só envia mensagens para destinatários conhecidos, este
recurso facilita a inserção de novos endereços em sua whitelist, não sendo mais
necessário ao destinatário confirmar futuras mensagens.
136

GLOSSÁRIO
AKER SECURE MAIL GATEWAY 2.0
Apache
DNS
DNS reverso
ESMTP
Gateway
IETF
IMAP4
MARID
MDA
MIME
Servidor WEB de código-fonte aberto, desenvolvido pelo The
Apache Group. Utilizado para disponibilizar conteúdos
destinados à Internet e intranets. Possui versões para Linux,
Windows e OS2.
Domain Name System. Serviço que faz a conversão entre o
nome da máquina, rede ou alias na Internet e seu endereço
numérico (IP).
O oposto do DNS. Faz o mapeamento de endereços IP para
nomes.
Extended SMTP. Versão mais moderna do SMTP que permite a
utilização de novos comandos ou parâmetros.
Conversor de protocolos que pode trabalhar em qualquer
camada do modelo OSI.
Internet Engineering Task Force. Comunidade internacional
aberta dedicada ao estabelecimento de padrões para a Internet.
Internet Message Access Protocol Version 4. Protocolo para
recebimento de mensagens enviadas por um servidor SMTP.
Com este protocolo, as mensagens são acessadas diretamente
do servidor, mas, opcionalmente, podem ser baixadas para o
computador do usuário.
MTA Authorization Records in DNS. Grupo extinto pelo IETF em
2004 que tinha como função propor soluções práticas ao
problema do SPAM, juntando informações para formar um
padrão que poderia ser estendido a toda Internet.
Mail Delivery Agent. Este é o agente responsável por armazenar
a correspondência na caixa de correio do usuário.
Multi-Purpose Internet Message Extensions. Codificação usada
para descrever o tipo de conteúdo dos arquivos ou dos blocos
de dados encaminhados na mensagem.
137

AKER SECURE MAIL GATEWAY 2.0
MTA Mail Transfer Agents: agente de transporte de correio
responsável por receber as mensagens e direcioná-las para que
sejam entregues ao destinatário.
MX
PHP
POP3
RBL
Mail Exchange: servidor responsável pelo intercâmbio de
mensagens de correio referentes a um determinado domínio.
Hipertext Processor. Linguagem de desenvolvimento open
source para web, com suporte a vários bancos de dados
(Firebird, mySQL, Oracle, PostgreSQL, etc) e serviços como
IMAP, SNMP, POP3, HTTP, LDAP, XML-RPC e SOAP.
Post Office Protocol. Protocolo utilizado para receber as
mensagens enviadas por um servidor SMTP. Com este
protocolo, as mensagens são baixadas diretamente para a
máquina do usuário, mas opcionalmente podem ficar com uma
cópia armazenada no servidor.
Realtime Blackhole List. Listas fornecidas por alguns grupos
anti-SPAM, do Brasil e do mundo, com relações de servidores
promíscuos comumente utilizados por spammers.
Relay de E-mails Encaminhamento de e-mails através de servidores
desprotegidos quanto a conexões indevidas. Pela falta de
monitoração, estes servidores são muito utilizados por
spammers e podem tornar-se agentes para proliferação de
vírus, cavalos-de-tróia e outras ameaças virtuais.
SMTP
SPAM
SPF
SSL
URL
Simple Mail Transfer Protocol. Protocolo Internet utilizado para
envio de correio eletrônico.
Mensagem eletrônica enviada sem a devida autorização do
recebedor ou sem ter sido solicitada. Também conhecido por
lixo eletrônico.
Sender Policy Framework. É uma extensão do SMTP que facilita
a identificação de SPAM com endereço de origem forjado.
Secure Socket Layer. Protocolo de segurança desenvolvido pela
Netscape, que faz uso de algoritmos e chaves diferentes para
criptografar, autenticar e garantir a integridade dos dados. A
autenticação é feita através de certificados digitais emitidos por
uma entidade certificadora, tal como a Verisign. É bastante
utilizada em e-commerce.
Uniform Resource Location. Padrão de endereçamento da Web.
138

LEITURA SUGERIDA E LINKS ÚTEIS
AKER SECURE MAIL GATEWAY 2.0
A fim de complementar as informações apresentadas neste manual,
consideramos útil a leitura de certos artigos, que abordam os conceitos e diretrizes
utilizados para a criação do ASMG.
‣ Aker Control Center: ferramenta que centraliza a administração de vários
módulos que compõem a Aker Secure Suite. Disponível para várias distribuições
Linux (Fedora 3.0, FreeBSD e Red Hat 9.0) e Windows.
http://www.aker.com.br/index.php?pag_cod=25&ling=pt_br&pac_cod=13
‣ Apache: servidor web desenvolvido pelo The Apache Group. Página oficial, que
busca oferecer suporte à comunidade em geral.
http://www.apache.org/
‣ Expressões Regulares: livro escrito por Aurélio Marinho Jarbas, editado pela
Editora Novatec. Livro disponibilizado na Internet pelo autor para consulta livre.
Vale a pena checar as dicas e exemplos apresentados.
http://guia-er.sourceforge.net/
‣ Fedora Project: página oficial do Fedora. Possui links para documentação oficial,
download do Core, fórums e outras informações relativas ao projeto.
http://fedora.redhat.com/
‣ The FreeBSD Project: página oficial do projeto, com notícias, documentos, dicas e
downloads do código e patches de segurança.
http://www.freebsd.org/
‣ IETF: página do “The Internet Engineering Task Force”, órgão internacional que
regula os padrões adotados pela Internet. Com notícias e ferramenta de busca de
RFCs.
http://www.ietf.org/
‣ PHP: página oficial desta linguagem voltada para a web, amplamente difundida
entre a comunidade do software livre.
http://www.php.net/
139

AKER SECURE MAIL GATEWAY 2.0
‣ Red Hat: página oficial do produto, com soluções, documentação e notícias, entre
outras coisas.
http://www.redhat.com/
‣ Registro.br: entidade ligada à FAPESP (Fundação de Amparo à Pesquisa do
Estado de São Paulo), responsável por gerir os domínios com extensão “.br”.
Possui utilitários para pesquisas de domínios e DNS.
http://registro.br
‣ RFC 2821: documento que especifica o novo padrão a ser seguido por todas as
comunicações baseadas em SMTP ou ESMTP.
ftp://ftp.rfc-editor.org/in-notes/rfc2821.txt
‣ Sender-ID: página oficial da Microsoft que trata dos padrões abordados por este
tipo de autenticação SMTP.
http://www.microsoft.com/mscorp/safety/technologies/senderid/default.mspx
‣ SPAM Brasil: importante grupo anti-spam no Brasil. Contém notícias atualizadas,
técnicas de bloqueio e explicações sobre os vários tipos de SPAM.
http://www.antispam.org.br/
‣ SPF: página oficial para informações e notícias acerca do padrão SPF.
http://spf.pobox.com/
140

ANEXO I – ESTUDO DE CASO
AKER SECURE MAIL GATEWAY 2.0
Conforme visto na Figura 67 do item 6.3.1 – Controle de Acesso,
podemos criar políticas específicas para tratar determinados casos. Para cada política
criada, podemos estabelecer um conjunto de regras que serão aplicadas a todos os
usuários que estiverem sob sua ação, tanto no recebimento quanto no envio de
mensagens. A fim de facilitar o entendimento de como estabelecer estas políticas,
neste Anexo demonstraremos, de maneira detalhada, todos os procedimentos
necessários para criar e configurar as políticas “SPAM” e “Contabilidade”.
A. ESTUDO DE CASO 1
Já é conhecida a prática de alguns spammers que costumam pegar nomes
próprios comuns e, aleatoriamente, enviam mensagens para vários endereços de
correio que contenham este nome, independente se aquele usuário realmente existe
ou não. Pensando nisso, criamos três usuários fictícios dentro dos domínios
meudominio.com.br e seudominio.com.br, ambos administrados pelo ASMG. Os
usuários são: joao, maria e user.
Para melhor compreensão deste exemplo, vamos criar uma situação: um
spammer enviou algumas mensagens para os endereços joao@seudominio.com.br,
joao@nenhum.com.br e joao@outrodominio.com. Vemos aqui que foi utilizado um
destinatário comum (joao) a todas as mensagens, variando apenas o domínio para
onde foram enviadas.
Se voltarmos à Figura 67, veremos que foi criada uma regra de nome
SPAM e que ela é aplicada aos nossos três usuários hipotéticos. Esta regra, na
verdade, funciona como uma armadilha e será usada para capturar mensagens
indesejadas e analisá-las. A intenção é descobrir antecipadamente servidores
promíscuos e tipos de mensagens maliciosas enviadas pelos spammers a fim de
bloqueá-los e não deixar que atinjam nossa rede e os usuários verdadeiros. Como os
nossos usuários são fictícios, sabemos que eles apenas receberão mensagens
(destinatários), mas não poderão enviá-las (remetentes).
A seguir, vamos mostrar passo a passo o que deve ser feito tanto para
criar a política, quanto para inserir os parâmetros necessários.
141

A.I.
CRIANDO A POLÍTICA
AKER SECURE MAIL GATEWAY 2.0
Usando como exemplo a política “SPAM”, para criar uma nova política:
1. Acesse o ASMG e localize o menu “Políticas”. Clique sobre a
opção “Controle de Acesso”;
2. Clique com o botão direito do mouse dentro do quadro e escolha a
opção “Inserir”;
3. A seguir, clique novamente com o botão direito do mouse abaixo da
coluna “Política” e, no quadro ao lado da opção “Policy”, digite o
nome escolhido (SPAM).
4. Em seguida, defina o período de quarentena para esta política. Para
isso, clique com o botão direito do mouse abaixo da coluna
“Quarentena” e selecione o número de horas no quadro ao lado da
opção “Hours”. No nosso exemplo, definimos como 24;
5. Para definir a prioridade da regra, clique com o botão direito do mouse
sob a coluna “Prioridade” e escolha a que melhor se adequa à sua
política. Definimos a prioridade como “Normal” pois em caso de uma
grande fila de mensagens a serem processadas, não há necessidade
da nossa política SPAM ter preferência em relação às outras;
6. Para escolher o autenticador, clique com o botão direito do mouse sob
a coluna “Autenticador” e, na opção “Adicionar Entidades”,
escolha uma entidade do tipo “Autenticador” previamente cadastrada;
7. Para definir os usuários a quem esta regra se aplica, normalmente
basta clicar com o botão direito do mouse sob a coluna “Usuários” e
escolher todos os desejados através da opção “Adicionar
usuário(s) do Autenticador”. Como os usuários deste exemplo
são hipotéticos, basta digitar o nome no quadro localizado ao lado da
opção “Adicionar um usuário livre”;
O primeiro passo já foi dado e a nossa política foi criada. O próximo passo
é configurá-la.
142

A.II. CONFIGURANDO A POLÍTICA
AKER SECURE MAIL GATEWAY 2.0
Depois da política criada, podemos verificar que foi adicionada mais uma
opção à árvore de Políticas, denominada SPAM. Esta nova opção possui duas subopções
(Entrada e Saída), constituídas pelas mesmas janelas.
Conforme dissemos no item 6.3 – Políticas, as opções existentes abaixo
do menu “Entrada” referem-se às regras que serão processadas para todas as
mensagens que chegarem da Internet para os usuários internos (destinatários). Já o
menu “Saída” refere-se às regras que serão processadas para todas as mensagens
que forem enviadas dos usuários internos (remetentes) para a Internet.
Basicamente, apenas a janela “Endereços de E-mail” dos menus “Entrada”
e “Saída” diferem-se entre si. Todas as outras janelas possuem os mesmos
parâmetros.
A.II.I.
ENTRADA/SAÍDA ENDEREÇOS DE E-MAIL
• Entrada – Domínios dos Remetentes
Nossa intenção é permitir que todas as mensagens vindas da Internet
cheguem para os usuários fictícios. Ao mesmo tempo, achamos que para melhorar o
controle é necessário bloquear a recepção de mensagens vindas de qualquer usuário
interno, às caixas de nossos usuários fictícios. Para isso, bloqueamos os domínios
cujos MXs são controlados pelo ASMG.
Figura 105: Anexo I – Entrada Domínios dos Remetentes.
143

AKER SECURE MAIL GATEWAY 2.0
Para realizar esta configuração, seguimos estes passos:
1. Clique com o botão direito do mouse em qualquer lugar do quadro e
escolha a opção “Inserir”.
2. Em seguida, clique com o botão direito do mouse sob a coluna
“Domínio” e escolha a opção “Adicionar Entidades”.
3. Selecione as entidades do tipo “Domínio” que deseja que sejam
adicionadas à regra.
4. Para definir o tipo de ação a ser tomada, clique com o botão direito do
mouse sob a coluna “Ação” e escolha a opção “Descartar
Mensagem”.
5. Para indicar que a mensagem não deve ir para a quarentena, clique
com o botão direito do mouse sob a coluna “Quarentena” e escolha
a opção “Desabilitar”.
Para finalizar, dentro de “Ação Padrão”, marque a opção “Aceitar
mensagens que não coincidem com o(s) padrão(ões) acima” e “Mover
para quarentena”.
• Entrada – Endereços dos Remetentes
Nesta aba, podemos inserir os endereços daqueles remetentes que devem
ter suas mensagens bloqueadas. Poderíamos inserir aí os endereços dos usuários
internos, já que apenas deles não queremos receber mensagens. Mas em uma rede
grande, ficaria muito difícil administrar este bloqueio e, além de tudo, ficaria
redundante, já que já bloqueamos os domínios que são controlados pelo ASMG,
incluindo aí os usuários internos.
Assim, neste caso, basta deixar marcadas as opções “Aceitar
mensagens que não coincidem com o(s) padrão(ões) acima” e “Mover
144

AKER SECURE MAIL GATEWAY 2.0
para a Quarentena” 3 que as mensagens serão recebidas normalmente e movidas
para a quarentena.
Figura 106: Anexo I – Entrada Endereço dos Remetentes.
A.II.II.
ENTRADA/SAÍDA TAMANHO MÁXIMO
Nesta tela, poderíamos configurar o tamanho máximo da mensagem e dos
anexos. No entanto, como é nossa intenção verificar todas as mensagens enviadas
para estes usuários, não vamos fazer uso dela. Não marcamos nenhuma ação
adicional, tendo em vista que na janela anterior já dissemos que todas as mensagens
deveriam ser movidas para a quarentena.
3 Resolvemos deixar a opção de “Mover para a Quarentena” marcada para mostrar o que é
uma regra redundante. Pela regra anterior, em “Domínios dos Remetentes”, a ação padrão já
indicava que as mensagens deveriam ser encaminhadas para a quarentena. Sendo assim,
nesta regra, esta opção poderia estar desmarcada, pois já havia uma outra ordem para que
todas as mensagens vindas de domínios externos aos controlados pelo ASMG deveriam ser
enviadas para lá.
145

AKER SECURE MAIL GATEWAY 2.0
Figura 107: Anexo I – Entrada Tamanho Máximo.
A.II.III.
ENTRADA TIPOS DE ARQUIVOS
Nesta tela informamos os tipos de arquivos vindos em anexo que devem
ter um tratamento especial.
Não vamos realizar nenhuma configuração especial nesta tela, pois a regra
adotada para este grupo é que todas as mensagens direcionadas para os usuários
que fazem parte desta política sejam recebidas (sem restrição) e encaminhadas para a
quarentena para posterior análise.
Figura 108: Anexo I – Entrada Tipos de Arquivos.
146

AKER SECURE MAIL GATEWAY 2.0
Em “Ação Padrão”, marcamos a opção “Aceitar mensagens que não
se encaixam nos padrões acima” para evitar que alguma mensagem deixe de
ser encaminhada. Assim, todos os outros arquivos que vierem com anexo, serão
recebidos normalmente.
A.II.IV.
ENTRADA/SAÍDA PALAVRAS-CHAVE E EXPRESSÕES
Esta janela é formada pelas abas “Listas de Palavras-Chave” e “Listas de
Expressões Regulares”. Nelas podemos configurar restrições para palavras-chave e
expressões regulares contidas em anexos do tipo texto das mensagens recebidas
pelos nossos usuários fictícios.
Figura 109: Anexo I – Entrada Palavras-Chave.
147

AKER SECURE MAIL GATEWAY 2.0
Figura 110: Anexo I – Entrada Expressões Regulares.
Como é possível notar, optamos por não adicionar nenhum parâmetro
extra em nenhuma das janelas. Isso acontece porque não queremos restringir as
mensagens que chegarão para os usuários desta política e como já mencionamos em
outras janelas que todas as mensagens devem ir para a quarentena, é desnecessário
repetir a informação aqui.
A.II.V.
ENTRADA CATEGORIAS DE URL
Havendo a integração com o Web Content Analyzer, podemos discriminar
nesta janela categorias de páginas que devem ser bloqueadas.
148

AKER SECURE MAIL GATEWAY 2.0
Figura 111: Anexo I – Entrada Categorias de URL.
Pela regra geral, queremos analisar todas as mensagens, então não
marcaremos nenhuma opção aqui, apenas “Descartar mensagens que têm
anexo(s) que pertencem às categorias selecionadas”. Como não
selecionamos nenhuma categoria, todas as mensagens serão recebidas.
A.II.VI.
ENTRADA/SAÍDA FILTRAGEM EXTERNA
Quando há a integração do ASMG com um filtro externo ou um antivírus,
podemos configurá-lo para executar determinada ação. Baseado na resposta dos
mesmos, a mensagem pode ser descartada ou enviada com o campo de assunto
modificado para os destinatários.
O processo se dá com o envio da mensagem pelo ASMG para estes
programas. É necessário reiterar que o ASMG apenas envia a mensagem para o
programa especificado, mas a configuração e comportamento deste último devem ser
feitos de maneira completamente independente para que os resultados esperados
possam ser atingidos.
149

AKER SECURE MAIL GATEWAY 2.0
Figura 112: Anexo I – Entrada Filtragem Externa.
Neste exemplo, estamos especificando que todas as mensagens que
chegarem para os usuários a quem esta política se aplica devem ser analisadas por
antivírus. Caso seja encontrado algum, a mensagem deve ser recebida e
encaminhada para a quarentena, e uma cópia para o e-mail do Administrador.
Apesar de esta implementação também ser redundante, resolvemos deixála
assim devido à importância de análise de mensagens infectadas. Da maneira como
foi colocada, nossa intenção é de analisar as mensagens com conteúdos maliciosos
que chegam para os nossos usuários fictícios, antes que uma real infecção possa
acontecer e atingir os usuários reais ou a maior parte da rede.
É importante lembrar que apesar da utilização de filtros externos, a
integração do ASMG com agentes antivírus é de suma importância, já que este possui
maior poder de análise e de ação preventiva, enquanto que aquele serve como um
parâmetro para comparação de padrões. Para saber quais os agentes homologados
para atuação com o ASMG, basta consultar uma revenda da Aker.
B. ESTUDO DE CASO 2
Neste estudo de caso, vamos demonstrar a criação de uma política que
restringirá o recebimento de mensagens por parte dos usuários do grupo
“ContabFunc” da empresa.
Além de definir que todas as mensagens recebidas e enviadas devem,
obrigatoriamente, passar por uma análise do antivírus, definimos outras regras de
restrição para estes usuários:
• Mensagens de entrada
o não podem conter anexos de tipos áudio e vídeo (todas as
extensões pertinentes).
150

AKER SECURE MAIL GATEWAY 2.0
o devem ter até 2 MB de tamanho total;
o não podem conter anexos pertencentes às categorias: sexo
explícito, erotismo, jogos e música.
• Mensagens de saída
o não podem passar de 1,5 MB de tamanho total por anexo.
o não podem ter anexos com URLs (filtradas com expressão regular).
B.I.
CRIANDO A POLÍTICA
Para criar a política “Contabilidade”:
1. Acesse o ASMG e localize o menu “Políticas”. Clique sobre a
opção “Controle de Acesso”;
2. Clique com o botão direito do mouse dentro do quadro e escolha a
opção “Inserir”;
3. Em seguida, clique novamente com o botão direito do mouse abaixo da
coluna “Política” e, no quadro ao lado da opção “Policy”, digite o
nome escolhido (Contabilidade).
4. Em seguida, defina o período de quarentena para esta política. Para
isso, clique com o botão direito do mouse abaixo da coluna
“Quarentena” e selecione o número de horas no quadro ao lado da
opção “Hours”. No nosso exemplo, definimos 48 horas;
5. Para definir a prioridade da regra, clique com o botão direito do mouse
sob a coluna “Prioridade” e escolha a que melhor se adequa à sua
política. Definimos a prioridade como “Normal”, pois em caso de uma
grande fila de mensagens a serem processadas, não há necessidade
dessa política ter preferência em relação às outras;
6. Para escolher o autenticador, clique com o botão direito do mouse sob
a coluna “Autenticador” e, na opção “Adicionar Entidades”,
escolha uma entidade do tipo “Autenticador” previamente cadastrada;
7. Achamos melhor não definir nomes de usuários para quem esta política
deva ser aplicada, e sim o grupo “ContabFunc” que engloba todos os
usuários do setor e, portanto, é mais fácil de administrar. Assim, clique
151

AKER SECURE MAIL GATEWAY 2.0
com o mouse abaixo da coluna “Grupos”, em seguida em
“Adicionar grupo(s) do autenticador” e escolha o grupo
desejado. Clique em “Adicionar”.
B.II. CONFIGURANDO A POLÍTICA
Agora, a partir das regras estabelecidas no item B deste Anexo, vamos
demonstrar como configurar esta política, a fim de restringir o recebimento de certas
mensagens pelos funcionários que fazem parte do grupo ContabFunc (funcionários da
Contabilidade).
Vamos começar mostrando as telas das ações tomadas com as
mensagens que chegam para os usuários internos a quem esta política se aplica e,
em seguida, vamos mostrar as telas de configuração das mensagens enviadas por
estes funcionários. As telas que não forem utilizadas e permanecerem com a
configuração padrão, não serão mostradas neste estudo de caso.
B.II.I.
ENTRADA TAMANHO MÁXIMO
A regra define que os usuários do grupo ContabFunc não podem receber
mensagens com tamanho superior a 2.000 KB. Assim, é nesta tela que vamos
restringir as mensagens com tamanho superior ao estabelecido, conforme mostrado
abaixo:
Figura 113: Anexo I – estabelecendo o tamanho máximo de mensagens recebidas.
Basta marcar a opção “Tamanho limite de mensagem” e definir o
tamanho máximo no seletor que se encontra do lado direito da janela. Todas as
mensagens que tiverem tamanho total superior ao definido, serão descartadas.
152

B.II.II.
ENTRADA TIPOS DE ARQUIVOS
AKER SECURE MAIL GATEWAY 2.0
Pela regra estabelecida, os usuários não podem receber arquivos de áudio
e vídeo anexados às mensagens. Assim, definimos as extensões pertinentes e
criamos a seguinte regra:
Figura 114: Anexo I – restringindo tipos de arquivos.
Por esta regra, todas as mensagens que tiverem anexos do tipo MIDI,
MP3, MPEG, WAVE e AVI, terão estes arquivos automaticamente descartados. A
mensagem chegará ao usuário, mas ao invés do arquivo, uma Mensagem de
Notificação será adicionada ao corpo da mensagem original, informando que o arquivo
foi removido, conforme explicado no item 6.1.2.
B.II.III.
ENTRADA CATEGORIAS DE URL
Os usuários do grupo ContabFunc também contam com uma restrição
quanto às URLs que possam vir anexadas às mensagens. Assim, torna-se necessário
verificar quais os tipos devem ser bloqueados e, então, aplicar a restrição.
153

AKER SECURE MAIL GATEWAY 2.0
Figura 115: Anexo I – restringindo URLs.
Com as categorias de URL definidas, optamos por remover apenas os
anexos que pertençam a elas. Em seu lugar, será adicionada uma mensagem
informando que o anexo continha uma URL bloqueada e que ele foi removido,
conforme explicado no item 6.1.2.
B.II.IV.
ENTRADA FILTRAGEM EXTERNA
Por fim, foi estabelecido que todas as mensagens que chegam devem passar por uma
varredura por parte do antivírus.
Figura 116: Anexo I – filtragem externa de mensagens que chegam.
154

AKER SECURE MAIL GATEWAY 2.0
Conforme mostrado na tela anterior, caso o antivírus retorne ao ASMG
uma resposta que indique que a mensagem está infectada, a ação adotada será de
descarte imediato da mensagem, com uma cópia sendo enviada para a quarentena e
também para um endereço administrativo.
Para realizar esta configuração:
1. Clique com o botão direito do mouse em qualquer lugar do quadro e
escolha a opção “Inserir”.
2. Em seguida, clique com o botão direito do mouse sob a coluna
“Filtro Externo” e escolha a opção “Adicionar Entidades”.
3. Selecione a entidade do tipo “Filtro Externo” que deseja que seja
adicionada à regra.
4. Em seguida, defina o tipo de ação a ser tomada. Para isso, clique com
o botão direito do mouse sob a coluna “Ação” e escolha a opção
“Descartar Mensagem”.
5. Para fazer com que uma cópia da mensagem seja encaminhada para a
quarentena, clique com o botão direito do mouse sob a coluna
“Quarentena” e escolha a opção “Habilitar”.
6. Para encaminhar uma cópia da mensagem para o Administrador, clique
com o botão direito do mouse sob a coluna “Encaminhar para”,
selecione a opção “Adicionar Entidades” e escolha a entidade
“email_Admin1”. Clique em “Adicionar”.
Da mesma maneira que fizemos na política “SPAM”, resolvemos utilizar
esta filtragem para garantir uma segurança adicional. Além de ser feito por integração
com antivírus de linha de comando, a filtragem por vírus pode ser feito com um agente
de Antivírus Aker, que por permitir maior liberdade de ações configuráveis concede
uma segurança mais eficaz.
Com esta configuração, terminamos de cadastrar as restrições de
recebimento de mensagens. Para que a implementação da política Contabilidade seja
concluída, agora torna-se necessário realizar as configurações referentes às
mensagens que são enviadas pelos membros que fazem parte deste grupo.
155

AKER SECURE MAIL GATEWAY 2.0
B.II.V.
SAÍDA TAMANHO MÁXIMO
Pela política, foi definido que os usuários do grupo “contabFunc” não
podem enviar mensagens com anexos maiores de 1500 KB (tamanho máximo por
anexo).
Assim, configuramos a janela da seguinte maneira:
Figura 117: Anexo I – restringindo o tamanho máximo por anexo.
Marcamos a opção “Tamanho limite de anexos” e definimos o valor
igual a 1500 KB no seletor que se encontra do lado direito da janela.
B.II.VI.
SAÍDA PALAVRAS-CHAVE E EXPRESSÕES
Foi estabelecida a seguinte regra:
• Mensagens enviadas não podem ter anexos com URL´s e que devemos
usar as expressões regulares como parâmetro para esta filtragem.
As expressões regulares devem ser previamente cadastradas como
elementos na Entidade do tipo “Listas de Expressões Regulares”. Em uma mesma
lista, podemos colocar diferentes expressões ou mesmo importá-las de algum arquivo
onde elas tenham sido previamente definidas. Para entender melhor o conceito de
Expressões Regulares e regras para construção, recomendamos que o leitor consulte
o Anexo II – Usando Expressões Regulares.
156

AKER SECURE MAIL GATEWAY 2.0
Na figura abaixo vemos um exemplo de como esta política foi configurada,
levando em consideração a premissa que foi levantada.
Figura 118: Anexo I – usando expressões regulares para filtrar URLs.
Como mostrado acima, estamos pedindo que, a partir dos dados
informados na Entidade URL, o ASMG fará uma busca no cabeçalho e no corpo da
mensagem a fim de encontrar um padrão que coincida com a expressão regular
utilizada como parâmetro. Caso a busca encontre o padrão (resultado positivo) em
algum destes campos, descartará o anexo que contém a URL e encaminhará uma
cópia da mensagem para o e-mail definido no campo “Encaminhar para”. Como o
anexo será removido, uma mensagem será anexada ao corpo da mensagem original,
informando o acontecido. Caso contrário, a mensagem será encaminhada
normalmente.
Para realizar esta configuração, basta seguir os seguintes passos:
1. Clique com o botão direito do mouse em qualquer lugar do quadro e
escolha a opção “Inserir”.
2. Em seguida, clique com o botão direito do mouse sob a coluna “Lista
de Expressões Regulares” e escolha a opção “Adicionar
Entidades”.
157

AKER SECURE MAIL GATEWAY 2.0
3. Selecione a entidade do tipo “Lista de Expressões Regulares” que
deseja que seja adicionada à regra.
4. Em seguida é necessário definir onde deseja que a busca seja
realizada. As opções são no corpo ou no cabeçalho da mensagem. A
opção pré-definida é realizar a busca nos dois campos, mas se desejar
que seja em apenas um deles, basta selecionar a coluna
“Cabeçalho” ou “Corpo”, clicar com o botão direito do mouse e
escolher a opção “Desabilitar”. É importante mencionar que a
busca deve ser feita em pelo menos um dos campos.
5. Em seguida, defina o tipo de ação a ser tomada. Para isso, clique com
o botão direito do mouse sob a coluna “Ação” e escolha a opção
“Descartar Mensagem”.
6. Não queremos que uma cópia da mensagem seja encaminhada para a
quarentena, então basta clicar com o botão direito do mouse sob a
coluna “Quarentena” e escolha a opção “Desabilitar”, caso esta
opção já não esteja marcada.
7. Para encaminhar uma cópia da mensagem para o Administrador, clique
com o botão direito do mouse sob a coluna “Encaminhar para”,
selecione a opção “Adicionar Entidades” e escolha a entidade
“email_Admin1”. Clique em “Adicionar”.
Assim finalizamos este estudo de caso. Como o leitor pode ver, em poucos
passos instruímos o ASMG a aplicar todas as restrições que foram estabelecidas pela
política “Contabilidade”, adotada para todos os usuários do grupo “ContabFunc”.
C. RECOMENDAÇÕES ADICIONAIS
A importância da adoção da política de segurança em uma empresa pode
ser trabalho difícil e pouco gratificante no começo. Lidar com mudanças em
comportamentos que são aceitos há muito tempo tem a ver com mudar práticas que
são comuns e já estão incorporadas no cotidiano dos colaboradores.
158

AKER SECURE MAIL GATEWAY 2.0
Acreditamos que o primeiro passo é definir as regras claramente e, em
seguida, verificar todas as possibilidades e restrições de utilização. Uma política
simples, mas bem elaborada, é mais eficiente que várias regras, mas que na prática
tenham uma aplicação pouco eficaz. Existem inúmeras combinações e regras
diferentes que podem ser definidas, mas é importante ter em mente três coisas
importantes:
• A quem esta política se aplica?
• O que desejo restringir/permitir?
• Qual a prioridade de aplicação destas regras?
Para isso, é necessário que os colaboradores da empresa conheçam e
entendam as regras, a fim de que possam construir uma nova maneira de agir, que
esteja de acordo com a nova visão conservativa da empresa. Sem a ajuda destes
colaboradores, a implantação total da política de segurança pode levar mais tempo
para ser concluída e até lá a empresa com certeza estará vulnerável às ameaças
externas.
Assim, após definir o escopo da política, é importante atentar para não
criar regras redundantes ou mutuamente exclusivas. Pelo caráter restritivo do ASMG,
se dissermos em uma regra que tal comportamento é permitido e a mensagem pode
ser encaminhada, mas em outra dissermos que este mesmo comportamento é
indevido e a mensagem deve ser bloqueada, ela não chegará ao seu destino final. Por
isto, confira detalhadamente todas as configurações antes de colocar a política em
produção. Um bom instrumento para isso, é utilizar o modo de demonstração para
criar uma regra em ambiente fictício e aí, depois de testá-la, migrar para o ambiente de
produção.
Por fim, analise sempre os logs e repositórios de quarentena para verificar
se as mensagens indevidas estão realmente sendo barradas e se as mensagens
devidas estão chegando ao seu destino. Este comportamento facilita a detecção de
possíveis erros e otimiza a utilização do ASMG, já que mesmo em políticas bem
elaboradas, pode acontecer de alguma mensagem importante ser descartada,
caracterizando o que chamamos de “falso positivo”.
159

AKER SECURE MAIL GATEWAY 2.0
ANEXO II – EXPRESSÕES REGULARES
As expressões regulares fornecem uma maneira de identificar padrões
dentro de um texto, podendo ser utilizadas em vários contextos, tais como validação,
busca, busca seguida de substituição ou separação de uma string.
Devido à importância deste tipo de construção e sua utilização com o
ASMG, achamos interessante incluir um adendo a este manual, a fim de esclarecer o
uso destas expressões. Não é nossa intenção escrever um tutorial completo, mas
ajudar o leitor a entender os principais conceitos e saber como utilizar esse importante
recurso. Assim, nesse capítulo, definiremos o que são expressões regulares e
daremos alguns exemplos práticos de sua utilização.
D. O QUE SÃO EXPRESSÕES REGULARES?
Quando nos deparamos com o uso das expressões regulares, ou regexps,
pela primeira vez não temos noção do poder e flexibilidade de uso que este tipo de
ferramenta pode nos trazer. Conforme dissemos anteriormente, as expressões
regulares oferecem diversas maneiras de realizar buscas em textos, agrupando uma
seqüência de símbolos ou caracteres a fim de encontrar um padrão que corresponda
àquilo que estamos procurando.
Através da expressão adequada, podemos encontrar todas as linhas de
um texto onde a palavra “monitor” seguida da palavra “colorido” aparecem, ou então
realizar uma busca em todos os arquivos que tenham a string “impressora”, linhas que
comecem com a seqüência “abcde” e aí por diante. As aplicações são inúmeras,
bastando ao Administrador um pouco de conhecimento para agrupar os comandos de
maneira correta para determinar um padrão de busca e encontrar as entradas de texto
que coincidam com ele. O uso já está tão difundido que tanto o grep do Unix como
algumas linguagens de programação, entre elas JavaScript, PHP e Perl, já oferecem
suporte à construção de expressões regulares.
À primeira vista, os comandos que compõem uma expressão regular
podem parecer um tanto quanto ininteligíveis, assustando a maioria dos usuários, mas
com a prática, é possível refinar as expressões de busca, tornando-as abrangentes ou
então bastante específicas possibilitando um grande número de pesquisas, mas com
maior grau de precisão. Esses comandos são escritos agrupando alguns símbolos,
160

AKER SECURE MAIL GATEWAY 2.0
chamados metacaracteres, com caracteres literais, formando a expressão padrão que
será usada na busca.
No ASMG usamos uma versão adaptada da biblioteca de expressões
regulares disponível na biblioteca do QT Toolkit, da empresa Trolltech. Usaremos
esta biblioteca como base para definir os metacaracteres e regras, tendo em vista que
certas funções podem mudar de uma linguagem para outra.
D.I.
CARACTERES COMBINADOS
Todos os caracteres possuem seu significado literal, a não ser que tenham
algum significado extra dentro de uma expressão regular. Isto quer dizer que a letra “c”
tem o significado de “c”, a não ser que faça seja indicado que faz parte de uma
combinação. Assim, vamos agora especificar quais são eles e em quais situações são
usados.
• \a
• \f
• \n
• \r
• \t
• \v
• \d
• \D
• \s
• \S
• \w
• \W
Representa o caractere de bipe, em ASCII (BEL)
Representa o caractere de inserção de formulário.
Representa o caractere de inserção de linha.
Representa o caractere de retorno de carro.
Representa o caractere de tabulação horizontal.
Representa o caractere de tabulação vertical.
Representa os dígitos.
Representa tudo o que não for dígito.
Representa o espaço em branco.
Representa tudo o que não for espaço em branco.
Representa um caractere do tipo letra.
Representa tudo o que não for caractere do tipo letra.
D.II. OS METACARACTERES
Em regexps, os metacaracteres são símbolos que possuem funções
especiais, podendo alterar completamente o resultado de uma pesquisa. É importante
conhecer a função de cada um para depois aprender a ler cada símbolo, quando
agrupado em uma expressão.
• Escape “\”: torna o significado de um metacaracter em seu significado
literal. Assim, quando desejarmos realmente usar o cifrão ($) ou o ponto
(.) ou qualquer outro metacaracter, basta adicionar a barra invertida
antes dele.
161

AKER SECURE MAIL GATEWAY 2.0
Ex: \*
Esta expressão torna literal o uso do asterisco.
• Lista “[]”: os colchetes indicam uma lista de caracteres que poderiam
aparecer em certa posição. Independente da quantidade de caracteres,
indicados na lista, a substituição ocorrerá em apenas um caractere.
Ex: [hrv]
Esta expressão procura encontrar as letras “h” ou “r” ou “v” dentro de
um texto.
Ex2: [fgm]ato
Esta expressão procura encontrar as palavras “fato”, “gato” e “mato”
dentro de um texto.
• Negação da Lista “[^]”: quando o circunflexo aparece dentro de
colchetes, indica que a busca excluirá os caracteres indicados, quando
aparecerem em uma certa posição.
Ex: [^fgm]ato
Esta expressão indica que a busca retornará valores como “rato”,
“cato”, “gato” ou qualquer outra que não seja “fato”, “gato” e “mato”
dentro de um texto.
• Ponto “.” : a combinação ocorre com qualquer caractere (letra,
símbolo, número).
Ex: ..[1234]
Esta expressão procura quaisquer dois caracteres que sejam seguidos
de um dos números entre colchetes.
• Barra Vertical “|” : tem a função de um “OR” lógico. Ou seja, a
combinação ocorre com qualquer um dos valores separados por essa
barra.
Ex: Você recebeu um [pacote|presente|elogio]
Esta expressão procura por uma das seguintes ocorrências: “Você
recebeu um pacote”, “Você recebeu um presente” ou “Você recebeu um
elogio” dentro de um texto.
• Hífen “-” : este símbolo indica o intervalo de busca dentro de uma lista.
Podemos usar uma seqüência de letras, números ou símbolos, de
acordo com sua posição na tabela ASCII
Ex: [X-h]
Esta expressão procura qualquer letra, número ou símbolo
compreendido entre os caracteres “X” e “h” na tabela ASCII.
Ex2: [1-4]
162

AKER SECURE MAIL GATEWAY 2.0
Esta expressão procura no texto os números compreendidos entre um e
quatro.
D.II.I.
ASSERÇÕES
Estes meta-caracteres determinam certas condições, ou limites, para que a
expressão regular possa realizar uma combinação.
Na prática, eles não fazem a correspondência com nenhum caractere em
específico, mas verificam se existe uma combinação possível dentro do limite
estabelecido.
• Circunflexo “^”: usamos este símbolo para indicar que a busca deve
ser feita no início de uma linha. Assim, a expressão buscara o início de
cada linha a fim de identificar o padrão informado.
Ex: ^monitor
Esta expressão procura a palavra monitor no início de cada linha.
• Cifrão “$”: significado inverso ao do circunflexo, ou seja, a busca é
realizada no fim de cada linha.
Ex: bolsa$
Esta expressão procura a palavra “bolsa” no final de cada linha ou
texto.
• \b: indica o limite da palavra (boundary). As palavras podem estar
precedidas, sucedidas ou entre este metacaractere, e serão procuradas
de acordo com o limite estabelecido, independente do que haja antes ou
depois.
Ex: \bpapel
Esta expressão pode trazer como resultados “papeleira”, “papelaria”,
“papelão”, etc.
Ex: cado\b
Esta expressão pode trazer como resultados “recado”, “mercado”,
“educado”, etc.
Ex: \bOK\b
Esta expressão trará como resultado apenas a palavra “OK”, ignorando
o que haja antes ou depois dela.
• \B: corresponde aos locais onde o \b não faz nenhuma combinação, ou
seja, ela é feita com o que está no meio da palavra.
Ex: \Basa
163

AKER SECURE MAIL GATEWAY 2.0
Esta expressão pode trazer como resultados “casas”, “atrasado”, mas
não trará “asa”, “atrasa”, etc.
• (?=Expressão): esta verificação traz um resultado verdadeiro se o texto
que se encontra em seguida ao texto padrão corresponder à regra
determinada.
Ex: faz(?=\w)
Esta expressão pode trazer como resultados “fazenda”, “fazer”, mas
não trará “você faz?”.
• (?!Expressão): ao contrário da verificação anterior, esta traz um
resultado verdadeiro se o texto que se encontra em seguida ao texto
padrão não corresponder à regra determinada.
Ex: faz(!?\w)
Esta expressão pode trazer como resultados “você faz?”, mas não trará
“fazenda”, “fazer”.
D.II.II.
QUANTIFICADORES
Quando desejamos que ocorram n repetições de um determinado padrão
em um busca, usamos os quantificadores. Estas expressões podem ser determinadas
sozinhas, entre chaves ou entre parênteses. A seguir, explicaremos quais são eles e
como devem ser utilizados.
• Interrogação “ ? ” : busca combinar zero ou uma ocorrências de
qualquer caractere. Torna a expressão anterior opcional, já que a
combinação pode ocorrer independente da expressão determinada.
Deve ser usado com cautela.
Ex: casa[s]?
Esta expressão torna o “s” opcional, então pode trazer como resultado
tanto “casa” como “casas”.
• Asterisco “ * ” : o asterisco representa um caractere curinga, pois
busca zero ou mais ocorrências de qualquer caractere, sendo usado
com a mesma função do AND lógico.
Ex: *html
Esta expressão busca todo e qualquer texto que seja sucedido pela
seqüência “html”.
• Mais “+”: busca uma ou mais ocorrências do padrão determinado.
Ex: y+
164

AKER SECURE MAIL GATEWAY 2.0
Esta expressão tem como resultado y, yy, yyy, yyyy e assim por
diante. A busca é feita tentando combinar a maior quantidade de
ocorrências possíveis.
• Expressão{n}: indicam que a expressão padrão será repetida n vezes.
Ex: c{5}
Esta expressão indica que a letra “c” deve ser repetida por cinco vezes,
trazendo como resultado a seqüência ccccc.
• Expressão{n, }: indica que a expressão padrão será repetida por pelo
menos n vezes.
Ex: h{4, }
Esta expressão indica que a letra “h” deve ser repetida por, no mínimo,
quatro vezes, trazendo como resultado as seqüências hhhh, hhhhh,
hhhhhh e assim por diante..
• Expressão{ ,m}: indica que a expressão padrão será repetida por até m
vezes.
Ex: x{, 3}
Esta expressão indica que a letra “x” deve ser repetida por até três
vezes, trazendo como resultado as seqüências x, xx e xxx.
• Expressão{n,m}: indica que a expressão padrão será repetida por no
mínimo n até m vezes.
Ex: z{2,4}
Esta expressão indica que a letra “z” deve ser repetida por no mínimo
duas até quatro vezes, trazendo como resultado as seqüências zz, zzz
e zzzz.
É importante mencionar que os quantificadores tentam combinar um
padrão o máximo de vezes que conseguirem, caso o número máximo não seja
determinado. Por esta característica, devem ser usados com cuidado.
D.III. CRIANDO EXPRESSÕES REGULARES
À primeira vista, criar expressões regulares (e até mesmo entendê-las)
pode ser uma coisa bastante complicada. No entanto, à medida que nos acostumamos
com os símbolos e sintaxes, criá-las e compreendê-las pode tornar-se uma coisa
bastante simples e até natural.
165

AKER SECURE MAIL GATEWAY 2.0
Os símbolos ou forma de referenciá-los podem ser diferentes de uma
linguagem ou aplicativo para outro mas, em regra, as aplicações costumam ser as
mesmas. Assim, se você for usar uma expressão regular usando o grep, para utilizar
uma expressão opcional, terá que usar “\?” ao invés de apenas “?”.
Neste manual, estamos utilizando como referência a biblioteca de
expressões regulares do QT Toolkit e isso pode trazer algumas diferenças em relação
às sintaxes já prontas que podemos encontrar na Internet ou outros tutoriais. Portanto,
é sempre indicado que o usuário saiba qual o aplicativo está sendo usado antes de
verificar se a expressão está correta ou não.
Ao construir uma expressão regular, o leitor deve atentar para algumas
coisas que facilitarão as coisas tanto na construção de uma expressão, quanto no
entendimento:
• As expressões regulares mais complexas são formadas por várias
expressões menores agrupadas. Então, verifique o quê realmente
deseja pesquisar e tente montar a expressão final através de pequenos
blocos, até conseguir alcançar o resultado desejado.
Ex: repetir os caracteres de a até Z, maiúsculos [A-Z] e minúsculos [az],
e os números de 0 até 9 [0-9], de duas a nove vezes {2,9}.
Expressão: [A-Za-z0-9]{2,9}
• Apesar de ser um recurso interessante, é bom evitar usar a negação de
listas. É necessário lembrar que quando negamos um caractere, ou
uma lista deles, todos os outros são permitidos, fazendo com que a
expressão possa ter um resultado errado.
Ex: a expressão [^0-9] nega todos os números compreendidos de 0 a 9,
mas libera todos os outros caracteres.
• O asterisco é um caractere coringa e, por isso, combina com todos os
caracteres. Sendo assim, seu uso em expressões regulares muito
complexas pode aumentar o tempo de resposta e trazer resultados
diferentes dos desejados.
Ex: a expressão [A-Za-z]* vai trazer como resultado o texto todo, já que
o asterisco vai combinar com todos os seus elementos.
• Quando montar uma expressão é importante ter em mente que alguma
outra pessoa possa ter que utilizá-la futuramente. Algumas substituições
e agrupamentos podem torná-las mais “ilegíveis” ou de difícil
compreensão.
166