- 1 Características
- 1.1 Perímetro de segurança (Inbound)
- 1.2 Prevenção de ataques DDoS (Inbound)
- 1.3 Disaster Recovery: (Inbound / Outbound)
- 1.4 Controle de SPF e SenderID: (Inbound)
- 1.5 Controle de SPF e SenderID: (Outbound)
- 1.6 IPv6: (Inbound / Outbound)
- 1.7 Invulnerabilidade contra SHA-1
- 1.8 Proteção contra Backscattering: (Inbound)
- 1.9 Tecnologia de filtragem Bayesiano: (Inbound)
- 1.10 Detecção de Bots e Zumbis: (Inbound)
- 1.11 Produção de assinaturas DKIM: (Outbound)
- 1.12 Controle de Spam: (Outbound)
- 1.13 Controle de Bots e Zumbis: (Outbound)
- 1.14 Whitelist e Blacklist Configuráveis: (Inbound)
- 1.15 Zero-day Protection: (Inbound / Outbound)
- 1.16 Header Analysis: (Inbound / Outbound)
- 1.17 Tamanho dos anexos de 50MBytes: (Inbound / Outbound)
- 1.18 Mailaudit: (Inbound / Outbound)
- 1.19 Controle de Quarentena: (Inbound)
- 1.20 Dashboard: (Inbound y Outbound)
- 1.21 Autenticação de E-mail de Saída (Outbound)
- 1.22 Usuário Administrador: (AVAS)
- 1.23 Acesso do Usuário Final: (AVAS)
- 1.24 Uso de SSL/TLS: (Inbound / Outbound / AVAS)
- 1.25 AVAS por repositório IMAP: (AVAS)
- 1.26 Controle de Anexos com Dupla Extensão: (Inbound / Outbound)
- 1.27 Controle de extensão de anexos: (Inbound / Outbound)
- 1.28 Detecção de Phishing e Scam E-mails: (Inbound)
- 1.29 Relatórios e Gráficos de E-mails Recebidos em Tempo Real: (Inbound / AVAS)
- 1.30 Busca de E-mails: (Inbound / Outbound / AVAS)
- 1.31 Multilinguagem
- 1.32 Importação Maciça de Usuários: (AVAS)
- 1.33 White Label: (AVAS)
Características
Já que a AVAS é uma base de dados central para controlar e-mail de entrada (Inbound) e e-mail de saída (Outbound) se esclarece na lista de características se as mesmas são Inbound, Outbound e/ou AVAS (quando nos referimos ao software de interface gráfica web e sua base de dados).
Perímetro de segurança (Inbound)
Antes de ser ativada a classificação de antivírus, anti-spam e controle de headers, existe um anel protetor baseado em controlar se as IPs que tentam se conectar com os MX estão relacionadas em algumas listas negras. Essa avaliação é feita em base a uma avaliação de três listas negras públicas: zen.spamhaus.org, bl.spamcop.net e b.barracudacentral.org/ – Caso se acumule uma alta pontuação, a IP de entrada que tenta se conectar com MX é filtrada e não a deixa passar (Isto é conhecido como Deny and Drop).
Prevenção de ataques DDoS (Inbound)
Através do Perímetro de Segurança, ficou estabelecido um primeiro mecanismo de throttling para frear ataques de IPs ofensivas, de maneira que não cheguem nunca a ocasionar Rejeição de Serviço. Por outro lado, através de outro mecanismo do kernel Linux são filtrados os ataques DDoS do tipo de abertura de sockets com um mecanismo chamado TCP Cookies que também impõe um freio às IPs ofensivas.
Disaster Recovery: (Inbound / Outbound)
A Planisys opera em três Datacenters em três regiões planetárias diferentes (Oeste dos EUA, Leste dos EUA e Europa Ocidental), e fornece IPs para seus serviços que estão nesses Datacenters, fornecendo desta maneira um mecanismo natural de DR no caso de perda parcial ou total de conectividade de algum de seus nodos.
Controle de SPF e SenderID: (Inbound)
O classificador anti-spam se baseia na pontuação e outorga uma pontuação alta aos e-mails que não são originados nos endereços IP declaradas oficialmente no registro SPF do domínio. O mesmo ocorre com o SenderID que é um mecanismo similar baseado em registros públicos de DNS.
Controle de SPF e SenderID: (Outbound)
Aos domínios que serão utilizados como remetentes Outbond (remetentes de e-mails de saída) deverão ter um registro TXT em seus DNS que inclua a palavra-chave “include:spf.planisys.net” para incluir as categorias IPv4 e IPv6 da Planisys.
IPv6: (Inbound / Outbound)
A Planisys possui redes próprias IPv4 e IPv6 e utiliza ambas em seus servidores Inbound, Outbound e AVAS.
Invulnerabilidade contra SHA-1
Os certificados que a Planisys utiliza cobrem todo o espectro *.planisys.net e são SHA-256.
Proteção contra Backscattering: (Inbound)
Esta proteção é encaminhada ao Perímetro de Segurança adicionado a outro controle de retornos especial, já que o backscattering consiste em ataques para gerar enormes quantidades de retornos.
Tecnologia de filtragem Bayesiano: (Inbound)
Este filtro utiliza uma fórmula matemática e vai se alimentando de e-mails classificados como Ham (correio válido, geralmente e-mails de saída) e Spam (correio de entrada que apresentou evidências de spam) para, ao longo do tempo, ter uma nova fonte de classificação baseada em algoritmos estatísticos.
Detecção de Bots e Zumbis: (Inbound)
Esta detecção é realizada por meio do Perímetro de Segurança e, além disso, através de uma técnica de filtragem que identifica endereços IP que enviam e-mails sistematicamente classificados como Spam.
Produção de assinaturas DKIM: (Outbound)
Os relays de saída esperam encontrar uma chave pública predeterminada pela Planisys no DNS de um domínio usado como remetente num e-mail de saída. Trata-se de um registro TXT com um formato padrão:
selector1._domainkey.dominio.com. IN TXT “”k=rsa\; p=MIGfMA0G…….PwIDAQAB\; t=y”
Se o relay de saída encontra este registro DNS no domínio que aparece como remetente de um e-mail de saída, vai assinar digitalmente o e-mail com o algoritmo DKIM.
Controle de Spam: (Outbound)
O sistema de classificação de spam funciona também para os e-mails de saída, estabelecendo um umbral de tolerância ou pontuação máxima, a partir do qual o e-mail é classificado como spam e é descartado.
Controle de Bots e Zumbis: (Outbound)
A partir do controle de spam outbound adicionado a um controle de quantidade de e-mails de saída permitidos por dia, é efetuado um controle efetivo, o qual permite controlar estalos ou surtos de spam de grande volume, produzidos por infecção do cliente do e-mail no desktop do usuário final. São produzidas alertas ao administrador, que indicam em geral que o desktop do usuário foi infectado por um botnet.
Whitelist e Blacklist Configuráveis: (Inbound)
A interface web permite declarar endereços de e-mail e domínios inteiros como parte do Whitelist ou Blacklist.
Zero-day Protection: (Inbound / Outbound)
O antivírus utilizado pela Planisys, tanto Inbound como Outbound, inclui as assinaturas Securiteinfo, Sanesecurity, LinuxMalwareDetect, FOXHOLE, OITC, Scamnailer, BOFHLAND, CRDF, eXtremeShok e MalwarePatrol, que são atualizadas cada hora e contém proteção ao zero-day threats.
Header Analysis: (Inbound / Outbound)
O anti-spam pode ser alimentado com regras custom para impedir determinados cabeçalhos que sejam informados pelo cliente como ataques, a ser avaliado como projeto de extensão do dicionário standard de regras.
Tamanho dos anexos de 50MBytes: (Inbound / Outbound)
O sistema AVAS permite anexar tanto no e-mail de saída quanto no de entrada, de até 50 Megabytes.
Mailaudit: (Inbound / Outbound)
Os cabeçalhos de cada e-mail de entrada ou de saída são gravados numa base de dados, cujo conteúdo é explorado com diferentes vistas e buscas da interface web do AVAS. Isto permite uma funcionalidade de busca de logs de e-mails recebidos e enviados em tempo real, sem delay adicional nem necessidade de informes posteriores.
Controle de Quarentena: (Inbound)
O usuário final, os administradores ou super-administradores têm autonomia para liberar um e-mail que o AVAS colocou em quarentena, ao considerar que se trata de um e-mail válido.
Dashboard: (Inbound y Outbound)
Num único console web são agrupados todos aqueles domínios que tenham um Mail Drop de delivery de e-mail de entrada comum. Em geral, trata-se de domínios que todos residem no mesmo repositório IMAP (p.ex.: Zimbra ou Exchange ou Devecot ou Cyrus, etc).
Autenticação de E-mail de Saída (Outbound)
Para enviar e-mails através dos relays de saída de um AVAS pode ser autenticado através de uma Trusted IP (todos os e-mails provenientes desse endereço são considerados como válidos) ou através da autenticação SASL (usuário e chave que são conferidos contra a autenticação IMAP do repositório de e-mail, por exemplo, do MS-Exchange).
Usuário Administrador: (AVAS)
O sistema de autorizações do AVAS contém um super-administrador (em geral para o operador do NOC ou SOC).
Acesso do Usuário Final: (AVAS)
Pode ser feito ABM de usuários para que seja feito o login deles via web ao AVAS e controlem seu próprio nível de spam permitido, assim como Whitelist/Blacklist e a gestão de sua quarentena.
Uso de SSL/TLS: (Inbound / Outbound / AVAS)
Tanto a interface web cifrada sob HTTPS, quanto os MX e os relays utilizam TLS como protocolo de cifrar preferido, podendo escolher de um catálogo de algoritmos de cifra aqueles que não forem considerados vulneráveis. É realizada uma atualização constante desses algoritmos. No caso da interface pode ser somente aceder de maneira cifrada. No caso dos relays e os MX, é permitido um fallback a modo não cifrado, para ter compatibilidade com aqueles sistemas de e-mail mais antigos ou desprotegidos com os que se tenta comunicar.
AVAS por repositório IMAP: (AVAS)
Atualmente, existe uma interface web por cada repositório IMAP (por exemplo, por cada MS-Exchange a proteger), e não uma única interface web para diferentes MS-Exchange para serem administrados por um único SOC ou NOC. Isto permite uma maior resiliência às falhas, eliminando SPOFs (Single-Point-of-Failure) ao ser cada AVAS independente do resto.
Controle de Anexos com Dupla Extensão: (Inbound / Outbound)
É feita a conferência de que um arquivo anexo não tenha uma segunda extensão terminada em exe|vbs|pif|scr|bat|cmd|com|cpl|dll|jar. Por exemplo, um anexo arquivo-malicioso.pdf.jar pode ser mostrado em algumas versões ou programas de MS-Windows ou Android como um pdf inofensivo, porém na realidade esconde um executável Java.
Controle de extensão de anexos: (Inbound / Outbound)
São conferidas certas extensões de arquivos anexos a serem bloqueadas, devido ao perigo de estar enviando ou recebendo e-mails que com somente um clique pode causar grandes danos. A lista completa da versão atual é:
exe|vbs|pif|scr|bat|cmd|com|cpl|jar|ade|adp|chm|exe|hta|ins|isp|jse|lib|lnk|mde|msc|msp|mst|sct|shb|sys|vb|vbe|vxd|wsc|wsf|wsh.
Detecção de Phishing e Scam E-mails: (Inbound)
Através da aplicação das regras padrão mais regras próprias de Spamassassin, coloca-se especial ênfase em certos parâmetros que detectam Phishing com uma porcentagem marginal de falsos positivos. Coloca-se especial atenção à pontuação SPF (IPs permitidas para um domínio), RDNS (IPs com DNS verso corretamente configurado), Razor2, URIBL e outras redes colaborativas de detecção de assinaturas, URLs, domínios e IPs que geram spam.
Relatórios e Gráficos de E-mails Recebidos em Tempo Real: (Inbound / AVAS)
Pode ser visualizado, por cada domínio, quantos e-mails foram filtrados por spam, quantos por vírus, quantos foram bons, e sua respectiva visualização gráfica semanal e mensal.
Busca de E-mails: (Inbound / Outbound / AVAS)
Podem ser feitas buscas combinadas por Subject, From, To e Date, e as buscas históricas abrangem 60 dias atrás por default.
Multilinguagem
A versão atual somente é encontrada em idioma inglês, mas para uma próxima versão estão trabalhando sobre os idiomas: espanhol e português.
Importação Maciça de Usuários: (AVAS)
Pode ser efetuada uma importação maciça de usuários e chaves, ou inclusive, uma integração de importação periódica de um export de Active Directory ou Zimbra para ter sincronizadas contas e chaves.
White Label: (AVAS)
O serviço é comercializado na modalidade White Label com diferentes opções de branding, podendo ser utilizado o logo do revendedor ou cliente.
