Participe você também do processo de construção e organização do Blog da Comunidade Brasileira do pfSense. Se você utiliza ou simplesmente simpatiza com a ferramenta, inscreva-se na lista de discussão e ajude na formatação e manutenção do blog. Toda contribuição é sempre bem-vinda!
Todo sysadmin sabe que o SPAM está entre as pragas digitais mais complexas de se eliminar em redes corporativas. Por mais que se invista em ferramentas (ONLY ou SOA), zerar o custo de processamento, logística e armazenamento deste tipo de mensagem é praticamente impossível. Mesmo empresas que investem algumas dezenas de milhões de dólares todos os anos (caso do GMail, Hotmail, Yahoo, etc..) não conseguem vencer totalmente esta guerra.
Não há uma metodologia mágica para se tratar de SPAM e os equipamentos/soluções do tipo UTM (Unified Threat Management) proprietários possuem um alto TCO e um custo de aquisição considerável. Mas graças a tudo que já temos desenvolvido no pfSense e ao trabalho de um dos commiters brasileiros mais ativos no momento, o Marcello Coutinho, já podemos transformar nosso pfSense em um “MailScanner AntiSpam” de camada 7.
O Marcello acaba de anunciar o lançamento da versão 2.2 do pacote Postfix Forwarder. Segundo o próprio desenvolvedor, esta versão inclui:
- Anti zumbi (postscreen)
- Verificação de cabeçalho
- Verificação de corpo de mensagem
- Listas de acesso
- consulta a listas de rbl
- consulta a registro spf
- Suporte a Sqlite para armazenamento dos logs
- widget no dashboard com estatisticas de email
- Ferramenta para pesquisa dos emails nas bases SQL
- Algumas alterações na GUI para ajudar na configuração
Além disso tudo ainda é possível encaminhar os emails a uma terceira verificação antispam como por exemplo mailscanner ou policydv2.
Para instalar o Postifx Mailrelay, por hora, faça isso pela shell texto com o comando:
# pkg_add -r MailScanner
Nota importante: NUNCA tente instalar o pacote policydv2 do freebsd, ele vai acabar com seu pfsense. Se você planeja usar o policyd, faça isso em outro servidor ou em um jail.
Todas as opções da GUI tem links para o site do postfix(caso seja necessario entender melhor o recurso que esta habilitando).
Na aba ‘General’ você:
- Habilita o serviço
- Define em quais interfaces você vai usar
- Define aonde voce quer os logs
- Configura os dominios locais
Na aba ‘Acls / Filter maps’ você define:
Que ips, dominios, assuntos, corpo de mensagem e remetentes você aceita ou rejeita receber.
Na aba ‘Valid Recipients’ você define quais são suas caixas postais internas podendo configurar:
- Extração dos emails via AD
- apontamento para um arquivo local(no pfsense) com a lista de emails
- colar uma lista com os endereços
Na aba ‘Antispam’ você define o grau de restrição e verificação do postfix.
recomendo:
- Strong header check
- Zombie blocker enabled with enforce
- todas as opções de ‘After greeting tests’
- soft bounces no postcreen
- buscar algumas listas de RBL na internet e bloquear ips que estão em pelo menos duas listas
- bloquear ips que não passaram no teste de SPF
O pacote do mailscanner ainda está em desenvolvimento mas assim que estiver pronto, vai oferecer ainda mais recursos na luta contra o SPAM, promete o Marcello.
na aba ‘XML RPC SYNC’ você replica as configurações do postfix para quantos pfsenses você quiser.
Se você, assim como eu, se perguntou qual seriam as vantagens de se utilizar este recurso de filtragem no pfSense em estruturas que já contam com um MTA fazendo isso, o desenvolvedor cita algumas delas:
- Facilidade de configuração através da GUI
- Extrair dados do AD, caso exista um
- Interface para consultar o log do postfix
- Export do log para Sqlite, abrindo um universo de possibilidades de relatórios
- Widget com estatisticas e volume de email
- Sincronia entre vários pfSenses