Com o Scrollout F1 você poderá ter um poderoso sistema de segurança (antivirus, antispam, DKIM, SPF etc) para o seu sistema de emails em questão de minutos e no final poderá gerenciá-lo e configurá-lo via interface web bastante espartana, porém eficiente.
O que é um gateway de emails
Um gateway de email funciona como um “firewall” porém sua atuação se restringe a proteção do servidor de emails da sua empresa. Colocado entre o seu servidor de emails e a Internet um sistema destes irá atuar como o MX da sua rede recebendo todas as mensagens destinadas ao seu domínio e então submetê-las a uma série de filtros antes que elas sejam entregues aos seus usuários.
Não é incomum haver um antispam, ou antivirus no próprio servidor de emails mas dentre os inúmeros os malefícios que esta técnica me desagrada está o fato de ser mais uma buginganga para consumir recursos do servidor sem contar que o dia que você precisar atualizar ou reinstalar o seu mailserver você terá mais um item a se preocupar. Por outro lado, ter estes recursos em um servidor a parte, simplificará o trabalho de gerencia do seu servidor de emails visto que toda a parte “suja” do sistema de emails estará separado.
Uma outra vantagem interessante de um gateway de emails é que você poderá adicionar recursos de segurança ao seu sistema de emails caso ele não suporte. Por exemplo se o seu sistema de emails não tem suporte a antivirus e implementar este recurso requer muito esforço então um gateway de emails resolverá o seu problema sem precisar mexer no servidor principal.
Scrollout F1
O software em si possui uma extensa lista de recursos para proteger seu sistema e para não ficar reescrevendo, todos eles estão descritos na página inicial do site da ferramenta.
Os requisitos do sistema são bastante modestos para o esforço que ele fará. Segundo os desenvolvedores, com 2GB de RAM, 30GB de espaço em disco e um processador Dual Core é possível proteger um servidor de emails com cerca de 200 caixas de email com folga, porém no meu ambiente de trabalho eu só aumentei o processamento para um Quadcore e isso tem sido suficiente para um sistema com cerca de 800 contas.
Instalação do sistema
A instalação do Scrollout F1 pode ser feita de duas maneiras. ou você baixa uma imagem ISO e instala no seu servidor, ou então instala um Debian no formato Netinst (aquele que só instala os pacotes básicos do sistema) e então instala um pacote com todas as ferramentas necessárias ao seu novo gateway de emails diretamente do site. Particularmente eu optei a segunda opção e é esta que recomendo.
Sugestão. Caso seu servidor esteja atrás de um firewall, antes de instalar o sistema certifique-se que ele poderá acessar as seguintes portas e serviços:
Saída
- 25/TCP – Saída de tráfego SMTP
- 53/UDP – Consultas DNS e RBL
- 80/TCP – Atualizações do sistema por HTTP
- 123/UDP – Serviço NTP
- 2703/TCP – Serviço Razor2
- 6277/UDP – Serviço DCC
- 24441/UDP Serviço Pyzor
Entrada
- 25/TCP – Tráfego de entrada SMTP
- 80/TCP – Gerenciamento via WEB
- 443/TCP – Gerenciamento via WEB seguro
Uma vez que o seu hardware (real ou virtualizado) esteja pronto com o Debian netinst ou o Ubuntu server instalado, configurado e acessando a Internet você poderá instalar o Scrollout F1 com apenas sete comandos no terminal.
apt-get install sudo -y sudo –i cd /tmp wget http://sourceforge.net/projects/scrollout/files/update/scrolloutf1.tar/download -O scrolloutf1.tar tar -xvf scrolloutf1.tar chmod 755 /tmp/scrolloutf1/www/bin/* /tmp/scrolloutf1/www/bin/install.sh
O processo de instalação é simples. Cada vez que algo seja perguntado simplesmente tecle ENTER. Não se preocupe em configurar nada pois quando estiver terminado você vai fazer a configuração do sistema usando o navegador WEB do seu computador.
Configuração do sistema
Acesse o endereço http://Ip.do.seu.servidor. O login é “Admin” (com “A” maiúsculo) e a senha é “123456”.
Na página “Connect” certifique-se de que a configuração de rede (IP, hostname, DNS, gateway da rede, máscara etc) está correta.
Na página “Route“, você informará o nome da sua empresa, o endereço WEB para uma página de suporte e o número telefônico que serão exibidos nas mensagens automáticas enviadas aso remetentes bloqueados por algum motivo; mas estas não são as informações mais importantes aqui. Caso você não informe o domínio da sua empresa e nem o endereço Ip do seu servidor de emails atual o Scrollout não funcionará.
Dica: O endereço Ip do seu servidor de emails principal obrigatoriamente deve estar entre colchetes. ex: “[192.168.5.20]”.
Na página “Secure / Level“, você pontuará o quão agressivo o Scrollout deverá ser ao avaliar cada parte das mensagens recebidas. Lembrando que pontuação baixa (verde) é mais agressivo e pontuação alta (vermelho) é mais tolerante. Caso tenha dúvidas coloque um valor mediano ou tendendo para o vermelho. Com o tempo você poderá torna-lo mais agressivo e bloquear mais coisas
Na página “Secure / countries” você pontuará as mensagens com base na sua origem. Mensagens vindo de países marcados como “Business area” terão muito mais chance de ser aceita do que as vindas de países marcados como “Out of Area”. Se você já lida com servidores de email há algum tempo você saberá que determinados países tendem a ser um maior disseminador de phishings e spams do que outros. Se a sua empresa não mantém negócios com aqueles países então marque-os devidamente para que seus usuários recebem menos spams vindos de lá.
A página “Secure / Password” é onde você trocará a senha padrão por outra mais segura de sua preferência
Em “Collect / Spam e Legit” você poderá definir uma conta de correio que será usada para aprendizado do filtro de spams. Aqui você informará os dados do seu servidor IMAP, incluindo o login, senha e duas pastas que serão usadas para ensinar ao Spamassassin quais mensagens são “spam” e quais são “ham”. Para ensinar ao filtro, bastará que você entre nesta conta de email pelo seu webmail ou cliente standalone e mover as mensagens indesejadas para as pastas que você configurou. O Scrollout se encarrega de acessar estas pastas via IMAP periodicamente para melhorar o seu filtro.
A página “Collect / Lite DLP” oferece um recurso bastante interessante porém inútil. No seu servidor de arquivos (Samba ou Windows) você cria um compartilhamento e coloca ali uma cópia dos arquivos que seus funcionários não poderão enviar por email. Simples assim, se alguém tentar enviar um email anexando uma cópia de qualquer daqueles arquivos não terão exito. Na prática, se o usuário fizer uma mínima alteração no arquivo (mesmo que seja adicionar um espaço no final do arquivo) este sistema não funcionará. Não perca seu tempo, ignore esta página.
A página “Monitor / Log” permite ver o conteúdo do arquivo de log do postfix ( /var/log/mail.log) enquanto a página “Monitor / Stats” exibe um conjunto de gráficos sobre o funcionamento do seu novo brinquedo.
Colocando para funcionar
Lembre-se que é a entrada “MX” no seu DNS é quem informa “ao mundo” quais são os servidores autorizados a receber mensagens de correio eletrônico destinadas ao seu domínio. Sabendo isso basta alterar o seu serviço de DNS para apontar para este novo servidor.
Se você quiser ainda poderá reconfigurar o seu servidor de emails atual para que envie as mensagens saindo do seu domínio para este novo servidor, quem se encarregará de repassa-las para quem seja devido. Como este procedimento varia de um servidor para outro ficará a seu critério fazer ou não esta mudança. Da mesma forma a configuração do recurso de DKIM e do SPF que envolvem mais alterações no DNS.
Bom dia gostaria de uma informação. Com este sistema posso controlar emails recebidos e enviados em minha lan. Pois o servidor de email da empresa esta externo (contas externas).
Att,
Fabiano.
Olá Fabiano,
Pode sim, lembre-se, entretanto que quem recebe os e-mails de sua empresa são os servidores reportados como “MX no seu DNS, logo, para que funcione você precisa ter privilégios para alterar as linhas MX do seu DNS para este novo servidor Scrollout, ou então pedir ao administrador do DNS que o faça.
Para enviar a partir dele, você precisa ter permissões para editar as configurações do seu WEBMAIL, fazendo-o encaminhar todas as mensagens para o Scrollout.
Tenho um provedor de Internet e a operadora não consegue me entregar endereços IPv6. portanto sofro com poucos IPs.
Há como, com essa ferramenta, controlar o fluxo de dados nas portas de mailing (25, 465, 587, etc) tendo ela dentro da minha rede como um “firewall” de borda exclusivamente para e-mails??