Melhore o sistema anti-spam do Zimbra

De Wiki Hackstore

Dicas de ajustes do Zimbra

As configurações default de filtro de Spam no Zimbra são um pouco tolerantes com a passagem de spams embora o administrador possa aumentar a sua eficiência, todas essas configurações podem ser feitas pela interface de administração do Zimbra, então vamos lá.

1. Dentro do Administrador Zimbra ir em Configurações Globais->MTA e dentro do grupo Verificações de DNS verificar se está habilitadas as opções Endereço IP do cliente e Domínio do remetente para que o Zimbra faça a verificação de DNS reverso.

Adicionar também as listas RBLs abaixo que eu recomendo por serem bastante eficientes, você pode pesquisar no google como trabalha cada uma delas para ter certeza se deverá por ou não em funcionamento.

2. Ainda dentro de Configurações Globais selecionar agora a aba AS/AV, ai dentro ficam as configurações de como o Anti Spam deverá trabalhar. O Anti Spam trabalha basicamente com probabilidades de um determinado e-mail ser ou não ser um spam, para isso internamente ele utilizará as listas de spam, a verificação do reverso do DNS, o assunto e o texto que compõe um determinado e-mail então deveremos configurar assim.

Excluir acima do percentual: alterar para 65% Identificar como spam acima do percentual: alterar para 20%

Clicar em Salvar

Ou seja, se o Anti Spam determinar que uma mensagem tem percentual maior ou igual à 65% o e-mail será deletado e nem chegará a ir para a caixa de spam, e se um e-mail tiver percentual de 20% ou mais ele irá para a caixa de spam. Eu recomendo esses valores por confiar bastante nas listas inseridas anteriormente e no sistema Anti Spam do Zimbra mas esses valores poderão ser adequados de acordo com a realidade de sua empresa. Eu particularmente prefiro trabalhar assim e liberar os domínios que eventualmente sejam bloqueados errado com a lista branca cuja configuração já foi tratada em artigo anteriormente.

Para ver os domínios que foram bloqueados pelo Anti Spam consulte o log em /var/log/messages


Whitelist de redes internas do Zimbra

Há uma funcionalidade nova no SpamAssassin do Zimbra 8.x que libera automaticamente mensagens do anti-spam proveniente de todos os IPs dentro do postfix "mynetworks". Por padrão, esta feature está desabilitada. Verifique os IPs atuais no postfix "mynetworks" (como usuário Zimbra):

zmprov gs `zmhostname` zimbraMtaMyNetworks

Ative a funcionalidade:

zmlocalconfig -e amavis_originating_bypass_sa=true
zmlocalconfig amavis_originating_bypass_sa

Reinicie o Zimbra:

zmamavisdctl restart


RBL's

Ative algumas RBLs no Zimbra:

1- Vá ao Zimbra Admin ==> Configurar ==> Configurações Globais ==> MTA

2- Em "Verificações de DNS" (fim da página), configure as opções:

* Endereço IP do cliente (reject_unknown_client_hostname)
* Domínio do remetente (reject_unknown_sender_domain)

3- Ative as RBLs abaixo (Lista de RBLs):

zen.spamhaus.org
sbl.spamhaus.org
dsn.rfc-ignorant.org
bl.spamcop.net
dnsbl.sorbs.net


Outras Listas RBL

Não é recomendado ativar todas as RBLs visto que pode causar muitos falso-positivos:

cbl.abuseat.org
b.barracudacentral.org
dnsbl.sorbs.net
zen.spamhaus.org
pbl.spamhaus.org
xbl.spamhaus.org
sbl.spamhaus.org
bl.spamcop.net
blackholes.five-ten-sg.com
blacklist.woody.ch
bl.deadbeef.com
bl.emailbasura.org
bl.spamcannibal.org
combined.abuse.ch
combined.njabl.org
combined.rbl.msrbl.net
db.wpbl.info
dialups.mail-abuse.org
dnsbl-1.uceprotect.net
dnsbl.cyberlogic.net
dnsbl.inps.de
dnsbl.njabl.org
drone.abuse.ch
duinv.aupads.org
dul.dnsbl.sorbs.net
dul.ru
dyna.spamrats.com
dynip.rothen.com
elays.osirusoft.com
http.dnsbl.sorbs.net
images.rbl.msrbl.net
ips.backscatterer.org
ix.dnsbl.manitu.net
misc.dnsbl.sorbs.net
no-more-funn.moensted.dk
nonconfirm.mail-abuse.org
noptr.spamrats.com
ohps.dnsbl.net.au
omrs.dnsbl.net.au
orvedb.aupads.org
osps.dnsbl.net.au
osrs.dnsbl.net.au
owfs.dnsbl.net.au
owps.dnsbl.net.au
phishing.rbl.msrbl.net
probes.dnsbl.net.au
proxy.bl.gweep.ca
proxy.block.transip.nl
psbl.surriel.com
rbl.interserver.net
rbl.spamlab.com
rbl.suresupport.com
rdts.dnsbl.net.au
relays.bl.gweep.ca
relays.bl.kundenserver.de
relays.mail-abuse.org
relays.nether.net
residential.block.transip.nl
dsn.rfc-ignorant.org
cbl.anti-spam.org.cn
cdl.anti-spam.org.cn
cblplus.anti-spam.org.cn
cblless.anti-spam.org.cn


Whitelists e Blacklists

Visto que os métodos mudam de versão para versão, recomendamos a verificação do artigo da wiki do Zimbra:

http://wiki.zimbra.com/wiki/Improving_Anti-spam_system#Blacklists_and_Whitelists


Método bayesiano

Ative o anti-spam (como usuário zimbra)

$ zmlocalconfig -e antispam_enable_rule_updates=true
$ zmlocalconfig antispam_enable_restarts

ou

$ zmlocalconfig -e antispam_enable_restarts=true

confira se foi aplicada a alteração:

$ zmlocalconfig -e antispam_enable_rule_updates


reinicie o amavis e o MTA:

$ zmamavisdctl restart
$ zmmtactl restart


Ative o método bayesiano

Adicione a seguinte linha ao arquivo /opt/zimbra/conf/sa/salocal.cf (Zimbra 8.0.5) ou /opt/zimbra/conf/salocal.cf (Zimbra 8.5.0):

bayes_auto_learn 1

Ex:

rewrite_header Subject *SPAM* _STARS(*)_
bayes_auto_learn 1
bayes_min_spam_num 60
bayes_min_ham_num 60


Aumente o nível de log:

$ zmprov mcf zimbraAmavisLogLevel 2


reinicie o amavis e o MTA:

$ zmamavisdctl restart
$ zmmtactl restart


Acompanhe o funcionamento no arquivo de log:

tail -f /var/log/zimbra.log|egrep -i bayes


Configure as notas do anti-spam

OBS: Zimbra acima de 8.0.5 somente!

Crie o arquivo /opt/zimbra/conf/sa/sauser.cf (Zimbra 8.0.5) ou /opt/zimbra/conf/spamassassin/local.cf (Zimbra 8.0.3) ou /opt/zimbra/data/spamassassin/localrules/sauser.cf (Zimbra 8.5.0):

score ALL_TRUSTED -4.000
score BAYES_00 -1.000
score BAYES_20 1.000
score BAYES_50 1.500
score BAYES_60 1.800
score BAYES_80 2.100
score BAYES_90 2.500
score BAYES_99 2.900
score BAYES_999 3.800
score DATE_IN_PAST_12_24 2.000
score DCC_CHECK 2.500
score DNS_FROM_AHBL_RHSBL 0
score FORGED_OUTLOOK_HTML 1.500
score HEADER_FROM_DIFFERENT_DOMAINS 2.000
score HTML_FONT_LOW_CONTRAST 2.000
score HTML_IMAGE_RATIO_02 2.000
score HTML_IMAGE_RATIO_04 1.700
score HTML_IMAGE_RATIO_06 1.400
score HTML_IMAGE_RATIO_08 0.500
score HTML_MESSAGE 0.400
score HTML_MIME_NO_HTML_TAG 1.000
score MIME_HTML_ONLY 2.000
score PYZOR_CHECK 3.250
score RAZOR2_CHECK 3.250
score RCVD_IN_BRBL_LASTEXT 3.500
score RCVD_IN_PBL 0.905
score RCVD_IN_RP_CERTIFIED -2.500
score RCVD_IN_RP_SAFE -1.500
score RDNS_NONE 0.000
score REMOTE_IMAGE 2.500
score SPAMCOP_BL 3.500
score SPF_FAIL 10.000
score SPF_HELO_FAIL 10.000
score SPF_PASS -0.900
score SUBJ_ALL_CAPS 2.000
score SUBJ_ILLEGAL_CHARS 2.500
score T_AXB_XM_SENTBY 2.000
score T_FSL_HELO_NON_FQDN_2 0.800
score T_HEADER_FROM_DIFFERENT_DOMAINS 2.000
score T_HTML_ATTACH 1.000
score T_HTML_ATTACH 2.000
score T_LONG_HEADER_LINE_80 0.500
score T_NOT_A_PERSON 0.500
score T_OBFU_HTML_ATTACH 1.000
score T_REMOTE_IMAGE 2.500
score UPPERCASE_50_75 0.700
score URIBL_BLACK 4.250
score URIBL_DBL_REDIR 1.500
score URIBL_DBL_SPAM 5.000
score URIBL_JP_SURB 5.000
score URIBL_JP_SURBL 5.000
score URIBL_WS_SURBL 5.000
score SUBJ_ALL_CAPS 1.000
score LOTS_OF_MONEY 0.700
score T_HK_MUCHMONEY 0.700
score T_KHOP_FOREIGN_CLICK 0.700
score T_SHORTENED_URL_HREF 0.400
score T_URL_SHORTENER 0.400
score BAD_ENC_HEADER 0.400
score T_UNKNOWN_ORIGIN 0.700


reinicie o amavis e o MTA:

$ zmamavisdctl restart
$ zmmtactl restart



Recuse emails contendo remente <FROM> diferente da conta autenticada

Para Zimbra versão 8.5.0:

https://wiki.zimbra.com/wiki/Enforcing_a_match_between_FROM_address_and_sasl_username_8.5


Referências:

http://wiki.zimbra.com/wiki/SpamAssassin_Customizations
http://wiki.zimbra.com/wiki/Improving_Anti-spam_system