Canit AntiSpam Technology Report by Linux Magazine
1. Análise do
CanIt AntispamDiga adeus às mensagens indesejadas
Primeiros passos
Instalação e configuração
explicadas em detalhe.
Como funciona
Conheça a ferramenta, faça
ajustes e livre-se do spam.
Technology Report
www.linuxmagazine.com.br 2013
01
3. CanIt
3Technology Report
O desenvolvimento de software usando pro-
jetos de código aberto não é necessariamente
uma novidade. Várias empresas iniciam ou
utilizam projetos de Software Livre como base
para seus produtos comerciais, às vezes inte-
grando diversas soluções diferentes para criar
um produto coeso e coerente, rico em recur-
sos e que realmente mostra a que veio em um
determinado segmento. O CanIt [1] é um ex-
celente exemplo do nível de qualidade a que
esse modelo de desenvolvimento de software
pode levar. Desenvolvido pela Roaring Pen-
guin Software, empresa canadense fundada
em 1999 por David F. Skoll, o CanIt é uma
solução antispam que deriva da solução de
código aberto MIMEDefang, criada por Skoll
ainda em 2000, que havia sido contratado pelo
Royal College of Physicians and Surgeons of
Canada, instituição à época assolada por uma
enchente de viroses enviadas por e-mail.
Conceitualmente falando, o CanIt é um
gateway de e-mail, ou seja, é uma solução
que deve ser colocada diretamente entre a
conexão à Internet e o servidor de e-mails
propriamente dito. Posicionado dessa forma,
o sistema recebe todas as mensagens envia-
das aos usuários e encaminha apenas aque-
las que forem classificadas como seguras ao
servidor de e-mail desses usuários. O re-
stante fica armazenado no servidor CanIt e,
além do administrador do sistema, o próprio
usuário tem alçada para definir o que deverá
ser feito com as mensagens bloqueadas pelo
servidor que estavam destinadas a ele, além
de poder manter cópias de todas as mensa-
gens enviadas a ele armazenadas no servidor.
A figura 1 ilustra a topologia de rede utiliz-
ada em uma instalação padrão do CanIt.
O programa integra ao MIMEDefang de
modo simplesmente exemplar outras ferramen-
tas de código aberto, como o servidor de cor-
reio eletrônico Sendmail [2] (MTA), o banco
de dados PostgreSQL, o antivírus ClamAV e o
filtro de spam SpamAssassin, além de uma in-
terface gráfica web amigável, desenvolvida em
PHP, funcionando sobre o servidor web Apache.
Isso confere ao administrador do sistema e a
seus usuários o total controle sobre o destino de
suas mensagens, sejam elas solicitadas ou não,
chegando-se ao requinte de permitir até mesmo
“desapagar” e-mails inadvertidamente deletados
da caixa postal do usuário, através do uso da ex-
tensão CanIt-Archiver.
Por se tratar de uma solução em software,
o cliente é livre para instalar em quantos ser-
vidores desejar, e com isso é capaz de criar
um ambiente de altíssima disponibilidade
(cluster). Um cluster CanIt é formado por
um servidor de banco de dados que centra-
liza todas as regras e ações, e por scanners
que serão publicados como MX. Utilizando
o recurso de redundância (failover) do Post-
greSQL, o banco é replicado para um dos ou-
tros servidores em tempo real. Caso o banco
de dados pare, outro assume sua função au-
tomaticamente, e o fluxo de mensagens não é
interrompido (figura 2).
Dispensa comentários a flexibilidade e a
empregabilidade de ferramentas de moni-
toramento, backup e recuperação, já que há
um sem número de opções disponíveis para
sistemas Linux.
Arquitetura
A extensão para filtrar e-mails incluída com
Sendmail utiliza threads POSIX para per-
mitir que vários filtros possam funcionar ao
mesmo tempo. O sistema de filtros escrito
em Perl do CanIt usa um modelo de multi-
processamento, similar ao do servidor web
Apache, consistindo de três componentes:
• Um programa em C com múltiplos enca-
deamentos de execução (multithreaded)
que se comunica com o Sendmail e os
processos de filtragem;
• Ummultiplexador(escritoemC)quegerencia
um conjunto de processos de análise de
mensagens de correio eletrônico escritos em
Perl (chamados de “escravos”);
• Um sistema escrito em Perl que fornece
a infraestrutura de filtragem básica.
Instalação
A instalação do CanIt é simples. Quem quiser
testar o sistema no Brasil deve recorrer à Un-
odata [3], representante exclusiva da Roaring
Penguin Software no país, e solicitar acesso
à uma imagem ISO (preferencialmente), que
traz o sistema operacional (Debian) e todos os
programas necessários já integrados e pron-
Figura 1: Topologia típica de uma instalação padrão do CanIt.
4. CanIt
4 Technology Report
configurado o BIOS do sistema para realizar
o boot a partir do dispositivo apropriado.
Se tudo foi feito corretamente, a tela inicial,
ilustrada na figura 3 deverá aparecer:
Há seis modos de instalação, que devem
ser escolhidos fornecendo o nome apropri-
ado e pressionando a tecla Enter:
1.install: o método de instalação padrão
(pressionar simplesmente a tecla Enter, sem
fornecer o nome de nenhum modo de in-
stalação, vai iniciar o sistema de instalação
usando este método);
2.installgui: similar ao método install, mas
que usa uma interface gráfica ao invés de
uma interface em modo texto;
3.auto: um método de instalação que sele-
ciona senhas padrão e que tem por objetivo
criar rapidamente uma instalação padrão
(factory default);
4.autogui: similar ao método auto, mas que
usa uma interface gráfica;
5.expert: conformeonomeindica,ummétodode
instalação para especialistas. Use-o se a instalação
de um sistema Debian lhe for familiar e recursos
de configuração avançados tais como RAID via
software,LVMetc.foremnecessários;
6.expertgui: similar ao método expert, mas
usa uma interface gráfica.
Por questões de limitação de espaço, va-
mos descrever neste artigo somente o mé-
todo de instalação padrão, já que não é uma
boa prática manter uma interface gráfica em
um servidor (os administradores de siste-
mas Windows® que nos perdoem). De qual-
quer modo, a interface gráfica de instalação
do sistema é muitíssimo similar à do modo
padrão, de modo que, quem optar por esse
tos para uso, no que a empresa convencionou
chamar de CanIt Appliance. Após obtenção
de usuário e senha, a imagem ISO e todos os
pacotes para os outros sistemas operacionais
para os quais há suporte para o sistema, po-
dem ser obtidos em [4].
Basta entrar com usuário e senha e baixar a
imagem ISO, que tem em torno de 360 MB, de
posse da qual pode-se criar um CD-ROM ou
um pen drive USB para instalação do sistema.
Uma alternativa é usá-la diretamente com
os aplicativos de virtualização de costume
(KVM, VirtualBox, VMware, Xen etc.) para
iniciar o sistema de instalação da CanIt
Appliance. De qualquer modo, é importante
ter em mente que a instalação através do uso
da imagem ISO irá apagar irremediavelmente
todos os dados que estiverem armazenados no
disco da máquina usada para essa finalidade.
Os requisitos mínimos para um sistema
com o CanIt Appliance são modestos:
• Pentium IV, 1 GHz, ou equivalente. Para
sistemas em ambientes de produção, re-
comenda-se o uso de processadores Xeon,
2,4 GHz ou superior;
• 1 GB de memória RAM. Para ambientes de
produção, 2 GB de RAM ou mais;
• 100 GB de disco rígido;
• Placa de rede;
• Unidade de CD-ROM ou USB (usado
para a instalação).
Para realizar a instalação, inicie o sistema
pelo drive de CD-ROM ou pen drive USB,
assegurando-se de ter copiado corretamente
a imagem ISO para a mídia a ser utilizada e
Figura 3: Tela inicial do sistema de instalação da
CanIt Appliance.
Servidor de banco
de dados
Servidor de filtro Canlt
Anti-Spam e Anti-Virus
Servidor Web para
Interface de Usuário
www
Servidor
de e-mail
Figura 2: Instalação do CanIt em uma configuração de alta disponibilidade.
5. CanIt
5Technology Report
do CanIt no site da Roaring Penguin, e se-
nha é a senha correspondente. No momento
da preparação desta análise, já havia pacotes
experimentais para o Debian 7.0 (codinome
“wheezy”), bastando para sua instalação
trocar o squeeze no linha de configuração
acima por wheezy.
Ao realizar a instalação usando repo-
sitórios em sistemas Debian, é importante
desinstalar o servidor de e-mail padrão da
distribuição, o Exim, já que o CanIt usa o
Sendmail. Do contrário, o sistema de geren-
ciamento de pacotes da distribuição (apt-
get, aptitude, Synaptic etc.) vai abortar a in-
stalação do CanIt, informando problemas
de dependências entre pacotes. Uma vez que
o Exim tenha sido removido do sistema, a
istalação do CanIt pode prosseguir, bastando
para isso os seguintes comandos:
root@maquina:~# apt-get update
root@maquina:~# apt-get install canit-
domain-pro-distro
Também é possível baixar os pacotes *.deb
no site da Roaring Penguin, em [5].
A instalação em um sistema Red Hat 5.0/6.0
(ou CentOS 5.0/6.0), de 32 ou 64 bits, deve ser
realizada escolhendo a distribuição correspon-
dente do menu no link já mencionado aqui [4].
Os pacotes RPM estão compactados em
um único arquivo do tipo *.tar.gz. Para si-
stemas de 64 bits, o nome do arquivo é mais
ou menos esse (para a versão 9.0.8 do CanIt):
canit-distro-domain-pro-rpm-rhel6-
9.0.8-x86_64.tar.gz
Desempacote o arquivo acima (como root)
em um diretório (por exemplo, Downloads), en-
tre nele e execute o script Shell de instalação lá
disponível (install-canit):
root@maquina:~# cd Downloads
root@maquina:~/Downloads# tar zxvf
canit-distro-domain-pro-rpm-rhel6-
9.0.8-x86_64.tar.gz
root@maquina:~/Downloads# cd canit-
distro-domain-pro-rpm-rhel6-9.0.8-x86_64/
root@maquina:~/Downloads/canit-distro-
domain-pro-rpm-rhel6-9.0.8-x86_64# ./
install-canit
O script permite teoricamente a instalação
em diferentes sabores Red Hat (Red Hat Enter-
prise Linux, CentOS, Fedora) e até mesmo SuSE.
modo de instalação poderá continuar usando
essa descrição sem problemas.
Nunca é demais dizer: iniciar o sistema a
partir da imagem de instalação ISO, seja em
uma máquina virtual diretamente, seja atra-
vés do CD-ROM ou do pen drive USB, irá
destruir irremediavelmente todos os dados
do disco rígido da máquina onde ocorrerá a
instalação. Assim, caso a máquina seja aci-
dentalmente iniciada através dessa imagem
ISO, certifique-se de não teclar nada quando a
tela inicial aparecer! Remova o CD-ROM, pen
drive USB ou desassocie a imagem ISO de sua
máquina virtual e desligue o computador.
Ao iniciar a partir da imagem ISO (qual-
quer que seja a mídia escolhida), o usuário
poderá escolher o idioma da instalação e a
disposição do teclado a utilizar — no caso
do Brasil, Português do Brasil e teclado tipo
ABNT2 são o padrão. Em seguida, telas para
configuração da rede (DHCP por padrão, ou
manual, caso nenhum servidor DHCP esteja
disponível), particionamento de discos (no
caso de haver mais de um disco, caso con-
trário o particionamento é automático, e a
appliance vai usar todo o disco), geração de
senhas para os usuários root e usuário setup,
que é um usuário sem ambiente Shell para
interação com o sistema operacional da ap-
pliance, e que pode apenas executar seu apli-
cativo de configuração, conforme veremos
a seguir. Finalizadas essas configurações
básicas, uma tela será exibida informando
que a instalação está completa, solicitando
ao usuário que reinicie a máquina (para isso,
basta remover a mídia de instalação e pressi-
onar a tecla Enter).
Instalação em sistemas
Debian ou Red Hat
Alternativamente, pode-se instalar o CanIt
em um sistema Debian usando repositórios
fornecidos pelo fabricante da solução, como
de costume. Para isso, é necessário incluir
(como usuário root) a seguinte linha no ar-
quivo etc/apt/sources.list:
deb http://usario:senha@debs.
roaringpenguin.com/canit/appliance
squeeze main canit canit-pro canit-domain-pro
Na linha anterior, usuario é o nome do
usuário utilizado para realizar o download
6. CanIt
6 Technology Report
possível fazer a instalação a partir do código
fonte da solução, disponível para download
na mesma página em que se pode escolher os
outros pacotes de instalação.
Antes de iniciar o processo de instalação, é
necessário certificar-se de que o sistema atende
aos seguintes pré-requisitos de software:
• Perl 5.8.0 ou superior;
• Um ambiente de desenvolvimento para a
linguagem de programação C (compila-
dor, bibliotecas etc.);
• O programa make;
• O programa gzip;
• O programa patch;
• O banco de dados relacional PostgreSQL em
suaversão8.0.0oumaisnova(recomendado);
• O servidor web Apache em sua versão
1.3.26 ou mais recente;
• PHP 4.3.0 ou superior.
Em seguida, é necessário criar um usuário
e um grupo chamado smmsp (caso eles não
existam) para o Sendmail 8.12 (ou mais re-
cente). Além disso, também é preciso criar
um usuário e um grupo chamado defang (caso
eles já não estejam disponíveis), e indicar no
arquivo de configuração de usuários do si-
stema que o diretório home desse usuário de-
verá ser var/spool/MD-Bayes.
Uma vez que os passos anteriores tenham sido
realizados, prossiga com o processo de compilação
e instalação do CanIt a partir do código fonte.
À semelhança do pacote para a distribu-
ição Red Hat (e similares), o código fonte
completo também vem empacotado em um
único arquivo de extensão *.tar.gz:
canit-distro-domain-pro-9.0.8.tar.gz
Desempacote o arquivo acima em um di-
retório (por exemplo, Downloads), entre nele
e digite (como usuário comum):
usuario@maquina:~/Downloads/canit-distro-
domain-pro-9.0.8$./build.sh
Depois, como root no mesmo diretório, digite:
root@maquina:/home/usuario/Downloads# ./
install.sh –webroot=/diretorio/do/webroot
Onde diretorio/do/webroot é o local no qual
serão instalados os arquivos PHP da interface web
do sistema. Por fim, basta digitar (como root):
root@maquina:~# canit-prepare-system
para finalizar a instalação.
Instalação a partir do
código fonte
Para todos os outros sabores de GNU/Li-
nux bem como para outros ambientes UNIX
(FreeBSD, NetBSD, OpenBSD, HP-UX, AIX,
Solaris, Compaq Tru64 UNIX etc.), ainda é
Figura 5: Tela para fornecimento da chave de ativação do CanIt.
Figura 6: A tela de login do Canit.
Figura 4: Menu principal de configuração do CanIt.
7. CanIt
7Technology Report
interface é totalmente “tematizável”: o usuário
pode trocar o logotipo da Roaring Penguin
pelo de sua própria empresa, alterar cores e até
criar novos temas.
Se o sistema estiver sendo usado pela pri-
meira vez, antes de realizar o login será ne-
cessário inserir a chave de ativação obtida
com o representante local da Roaring Penguin
(no caso do Brasil, a Unodata). A figura 5
mostra a tela para fornecimento da chave de
ativação do CanIt.
Após a inserção da chave, irá aparecer a
tela de login do sistema. O primeiro login na
interface web deve ser feito usando o usuário
admin com a senha padrão canit. Não deixe
de modificar essa senha antes de fazer o lo-
Uma observação importante: apesar de
o código fonte do CanIt ser fornecido para
download, o programa não é um software
livre ou de código aberto. Alguns de seus
componentes o são — e a Roaring Penguin
descreve detalhadamente quais são eles e
quais são suas respectivas licenças na docu-
mentação entregue com o sistema —, mas
todos os arquivos de propriedade da própria
Roaring Penguin são distribuídos sob os ter-
mos da licença CanIt, também disponibiliz-
ada com a documentação do programa.
Configuração do CanIt
Qualquer que tenha sido o método utilizado
para instalar o CanIt, sua configuração básica
é feita simplesmente realizando o login no si-
stema com o usuário setup (usando a senha
fornecida para este usuário durante o processo
de instalação). Ao fazer isso, o menu principal
de configuração do CanIt será exibido no termi-
nal, conforme mostra a figura 4.
Caso a instalação tenha sido realizada por
meio da imagem ISO, após a reinicialização ob-
rigatória do sistema o menu principal de confi-
guração do CanIt aparecerá automaticamente.
Em todos os outros casos, basta entrar no si-
stema com o usuário setup para ativá-lo.
As opções no menu, bem como as telas
de configuração que aparecem ao selecioná-
las, são autoexplicativas, razão pela qual não
será feito um detalhamento nesta análise.
Há uma série de documentos e tutoriais que
são fornecidos pela Roaring Penguin descre-
vendo em detalhes todas as telas do menu de
configuração, caso o administrador do si-
stema tenha alguma dúvida.
A interface web do CanIt
Uma vez que o CanIt já esteja instalado e a
configuração básica tenha sido realizada, o
restante das configurações podem ser ajustadas
via interface web. Para isso, simplesmente
forneça na barra de endereço do navegador de
Internet o endereço IP da máquina em que o
CanIt foi instalado, ou, se já houver um nome
para essa máquina configurado no servidor
DNS da sua rede, forneça simplesmente esse
nome ao navegador. Se a máquina em que o
sistema for instalado tiver interface gráfica e
dispuser de um navegador de Internet, uma
outra alternativa é fornecer o endereço http://
localhost/ ao navegador. Vale mencionar que a
Figura 7: Tela de alteração da senha padrão.
Figura 8: Tela de definição da URL completa da instalação do CanIt.
8. CanIt
8 Technology Report
Figura 9: Tela de definições dos e-mails do administrador e do remetente
de mensagens do CanIt.
Figura 10: Tela de definição do tratamento de e-mails suspeitos.
Figura 11: Tela para ativação do recurso de greylisting.
gout, caso contrário a segurança do sistema
ficará comprometida.
Se durante todo o processo de instalação e
configuração básica do sistema as interfaces
estavam em inglês, o mesmo não acontece
com a interface web, que está disponível tam-
bém em português (e em outros 5 idiomas: in-
glês, francês, holandês, espanhol e alemão). A
figura 6 ilustra a tela de login do Canit.
Uma dica: após realizar o login, no rodapé
da página da interface web é possível fazer
buscas na documentação do sistema (ver
campo Busca nos Manuais), bem como há
links para acessar o Guia do Usuário, o Guia
do Administrador e o Guia de Instalação do
sistema. Também é possível mudar o visual
do sistema e escolher entre a interface web
padrão e uma interface web para dispositivos
móveis, muito útil quando o administrador
do sistema tem que acessar a interface em
trânsito, usando a tela de um smartphone.
Ao entrar pela primeira vez na inteface
web, o usuário é automaticamente conduzido
à tela de alteração da senha padrão de login,
conforme mostra a figura 7.
A operação de troca de senha é autoexplica-
tiva: basta inserir a senha nova no campo ade-
quado, repeti-la no campo seguinte e entrar a
senha atual (ou seja, canit, quando do primeiro
login) e clicar no botão “Alterar Senha”.
A partir daí, a interface web entra em uma
espécie de “modo assistente”, conduzindo o
usuário pela configuração básica do sistema
— não é à toa que o primeiro deles é o “Assi-
stente de Configuração Básica” —, que passa
pelas seguintes telas de configuração, dividi-
das em passos.
Na tela referente ao primeiro passo da con-
figuração básica, o usuário é solicitado a for-
necer a URL completa da instalação do CanIt
(ver figura 8), que será utilizada nos e-mails
gerados pelo CanIt e em links de votação.
No passo (e na tela) seguinte, o
administrador do sistema deverá fornecer
o e-mail do administrador do CanIt
(provavelmente o dele próprio ou um alias
que o servidor de e-mail propriamente dito irá
redirecionar para ele). Esse endereço eletrônico
receberá notificações do CanIt com avisos de
erros no sistema. O segundo endereço será o
que será utilizado como remetente de todas as
mensagens que aparecerão como originadas do
CanIt. A figura 9 mostra a tela de definições
9. CanIt
9Technology Report
algumas horas. A verificação é feita a cada 40
dias, e a tela que permite ativação do recurso
de greylisting é mostrada na figura 11.
Opcionalmente, o CanIt pode fornecer
ao usuário final um link do tipo “Lembrar
Senha”, para ajudá-lo a recuperar senhas
perdidas ou esquecidas. A tela para isso,
ilustrada na figura 12, exibe um campo onde
é possível fornecer uma mensagem em texto
puro, em HTML, ou apenas inserir a URL.
Se o administrador não quiser fornecer esse
link, basta deixar o campo em branco.
O último passo do assistente de configu-
ração básica apresenta um resumo de toda a
configuração, permitindo que o administra-
dor do sistema possa revisar toda a configu-
Figura 12: Tela para fornecimento de um link “Lembrar Senha”.
dos e-mails do administrador e do remetente
de mensagens do sistema.
Quando o CanIt sugere que uma mensagem
é um spam, ele pode tomar uma de duas ações:
1. Pode-se responder ao servidor do remetente
com um código SMTP 4xx, a chamada tempfail
ou falha temporária, e armazena o spam em
potencialnoservidordoremetente;
2. De forma alternativa, o CanIt pode
aceitar o e-mail e guardá-lo numa área
de quarentena no banco de dados, aguar-
dando aprovação.
A vantagem do primeiro método é que se o
e-mail for rejeitado, o seu servidor não é re-
sponsável por gerar uma notificação de falha
de entrega. A desvantagem é que é necessário
confiar no servidor de retransmissão de e-
mail (relay) para realizar o reenvio da men-
sagem, de modo que é preciso verificar a área
de quarentena onde e-mails suspeitos são
armazenados pelo menos uma vez ao dia, e,
no caso de uma mensagem suspeita ser clas-
sificada como e-mail válido posteriormente,
não há controle sobre o tempo de entrega
dessa mensagem (atrasos de entrega padrão
podem variar de 30 minutos a várias horas).
A tela do terceiro passo permite que o ad-
ministrador selecione como gostaria que o
CanIt tratasse as mensagens suspeitas. Reco-
menda-se guardar as mensagens localmente
para evitar demora no recebimento de men-
sagens aprovadas. A figura 10 mostra a tela de
definição do tratamento de e-mails suspeitos.
Greylisting é uma técnica que detecta
e bloqueia alguns programas de envio de
e-mails não solicitados chamados ratware.
Alguns programas ratware ignoram falhas
SMTP e não repetem a transmissão se houver
uma falha temporária. Com greylisting
ativado, o CanIt sempre responderá com
uma falha temporária as mensagens de
um usuário desconhecido. A vantagem
desse procedimento é que o greylisting
não exige consumo de hardware (já que
não há verificação de conteúdo) e é muito
efetivo contra 15-30% de todo o contingente
de e-mails não solicitados, sendo que
praticamente não há falso positivos. A
desvantagem principal está na demora
da entrega de um e-mail cujo remetente
é desconhecido (alguém que envie uma
mensagem pela primeira vez). Essa demora
costuma ser de até meia-hora, mas pode levar
Figura 13: Tela de finalização da configuração básica do CanIt atra-
vés da interface web.
10. CanIt
10 Technology Report
Configuração de DNS
Para começar, o modo mais simples de rotear
os e-mails para o servidor CanIt é criar um
registro MX adicional no servidor DNS para
os domínios utilizados por sua organização.
Esse registro deverá ter a maior prioridade, e
apontar para o servidor CanIt.
Por exemplo, vamos supor que os regis-
tros MX da organização do usuário tenham a
seguinte configuração (usando o Bind como
servidor de DNS):
unodata.com.br. 1d IN MX 10 mail.
unodata.com.br.
unodata.com.br. 1d IN MX 15m2.
unodata.com. br.
Neste caso, basta incluir um registro MX
conforme segue:
unodata.com.br. 1d IN MX 5 canit.
unodata.com. br.
É necessário ainda propagar as alterações
de DNS. Neste caso, os e-mails para o domínio
unodata.com.br serão agora roteados através da
máquina CanIt. No caso de uma emergência,
caso a máquina CanIt fique offline, servidores de
e-mail que tentarem entregar mensagens através
dela vão receber uma mensagem de erro do tipo
“Conexão recusada” (Connection refused) e irão
chavear a entrega de e-mails automaticamente
para os servidores indicados nos outros registros
MX, de modo que os e-mails serão entregues
como de costume (entupidos de SPAM).
Observe que essa topologia temporária
serve apenas para a fase de testes inicial, já que
a máquina CanIt envia por padrão códigos
de falha temporária (tempfail) no caso de
recebimento de e-mails suspeitos, o que fará
com que o servidor remetente de tais e-mails
tente enviar esse tipo de mensagem novamente
para os outros servidores indicados nos outros
registros MX. Mas essa é uma configuração
adequada para que o usuário possa se certificar
de que o sistema está funcionando, que os
e-mails estão sendo capturados e analisados
pelo servidor CanIt. Para uso em produção,
entretanto, todos os registros MX públicos
precisam necessariamente:
• Apontar somente para o servidor CanIt; ou
• Apontar para um servidor que redire-
cione e-mails exclusivamente (relay) para
o servidor CanIt.
ração realizada nas telas anteriores e concluir
essa etapa (ou retornar a algum dos passos,
caso tenha deixado passar alguma coisa). A
figura 13 mostra essa tela.
Roteamento de e-mails
Uma vez que a máquina que recebeu a ins-
talação do CanIt esteja corretamente configur-
ada, é hora de rotear os e-mails que chegariam
diretamente ao servidor de e-mail através dela,
bem como dizer ao servidor CanIt onde está
o servidor de e-mails para o qual ele deverá re-
transmitir os e-mails verificados por ele (que
era originalmente o servidor que recebia os
e-mails diretamente).
Figura 15: Tela de configuração do nome do território a que o
domínio vai pertencer.
Figura 14: Tela inicial do Assistente de “Configuração de Domínio'.
11. CanIt
11Technology Report
novo domínio dentro daquele território. A figura
15 mostraateladedefiniçãodonomedoterritório.
O CanIt divide e-mails recebidos em per-
fis de envio (streams). Cada perfil tem suas
próprias regras e configurações, além de
sua própria quarentena. A tela ilustrada na
figura 16 permite ao administrador do si-
stema selecionar uma estratégia de envio de
e-mail para o domínio definido (no nosso
caso, unodata.com.br):
É possível configurar a estratégia de envio de
várias maneiras:
• Pode-se remover a parte do domínio do
endereço de e-mail do usuário, de modo
que e-mails para usuario@unodata.com.
br serão enviados para o perfil usuario;
Figura 16: Tela para seleção da estratégia de envio (ou seja, do perfil) de
e-mail para o domínio definido.
Figura 17: Tela de configuração do método de autenticação.
O servidor de e-mails “real” não deverá
estar listado em nenhum registro MX e,
preferencialmente, ficar escondido atrás
de um firewall, recebendo exclusivamente
apenas e-mails do servidor CanIt. Ideal ainda
seria que o canal exclusivo de recebimento
de e-mails estabelecido entre o servidor de
e-mails e o CanIt use TLS para criptografar
todo o tráfego de mensagens entre eles.
O assistente de
configuração de domínio
Para finalizar a instalação básica funcional
do CanIt, falta agora avisá-lo sobre o servidor
de e-mail para quem ele deve retransmitir as
mensagens válidas (que não são nem SPAM
nem suspeitas), de modo que o usuário final
possa receber somente os e-mails que real-
mente interessam a ele. É importante manter
em mente a topologia típica de instalação do
CanIt, ilustrada na figura 1, no início deste
material (ver página 1).
Quem realiza essa tarefa é o “Assistente
de Configuração de Domínio”, que fornece
um modo simples de configurar os principais
parâmetros de um domínio e cuja primeira
tela pode ser vista na figura 14. Vale a pena
mencionar, que todas as telas fornecidas pelo
Assistente de Configuração de Domínio estão
disponíveis com maior riqueza de detalhes nos
menus de configuração e administração da in-
terface web. Contudo, o Assistente de Configu-
ração de Domínio centraliza as configurações
importantes em um processo simples de acom-
panhar (workflow), o que é especialmente indi-
cado para a configuração de novos domínios.
É nesta tela que definimos qual domínio
será configurado — no nosso caso, escolhemos
unodata.com.br.
No CanIt, cada domínio é alocado ao que se
convencionou chamar de “Território”. Todos os
domínios dentro de um território são geren-
ciados por um mesmo administrador. Assim,
é necessário fornecer o nome do território ao
qual o domínio a ser configurado pertence.
No caso de um domínio novo, ele recebe nor-
malmente o mesmo nome do domínio, mas con-
vencionou-setrocarospontosdonomedodomínio
por hifens no nome do território. Assim, no nosso
caso, o nome do território seria unodata-com-br.
Também é possível fornecer o nome de um ter-
ritório existente e, neste caso, o CanIt irá mapear o
12. CanIt
12 Technology Report
• Pode-se também remover o nome do
usuário do endereço de e-mail, de modo
que e-mails para qualquerum@unodata.
com.br serão enviados para todos os
usuários do domínio unodata.com.br;
• Alternativamente, pode-se usar o endereço
de e-mail inteiro como nome de um perfil.
Este é o método recomendado para grande
parte das instalações;
• Uma última possibilidade é invocar o Assi-
stente de Procura Automática de Usuários,
que permitirá a configuração de uma estra-
tégia de envio (perfil) mais complexo, por
exemplo, utilizando LDAP ou outro pro-
grama específico. Caso essa seja a escolha,
ao final dessa configuração a interface web
trará o administrador de volta à essa tela do
Figura 18:Teladeconfiguraçãoderoteamentoedeverificaçãodedestinatário.
Figura 19: Resumo da configuração de domínio.
Assistente de Configuração de Domínio.
Uma vez que o perfil de envio tenha sido con-
figurado, o assistente irá passar para a tela de con-
figuração do método de autenticação, no qual é
possível selecionar o modo como os usuários do
domínio unodata.com.br irão se logar no CanIt.
Isso é importante, pois permitirá aos usuários
finais realizar o login no CanIt e gerenciar suas
próprias áreas de quarentena, além de, eventual-
mente, desapagar e-mails que tenham sido dele-
tados por engano (reenviando-os).
Há três modos de autenticação possíveis:
• Autenticação em um servidor IMAP;
• Autenticação em um servidor POP3; e
• Não configurar autenticação. De forma alter-
nativa, pode-se executar o “Assistente de Busca
Automática por Usuários”, escolhendo um mé-
todo LDAP ou um programa específico para
realizar a autenticação. Quando esse Assistente
for concluído, é necessário retornar a esta tela
paracontinuaraconfiguraçãododomínio.
Caso IMAP ou POP3 seja selecionado, apa-
recerão automaticamente outros campos, que
deverão ser preenchidos (nome ou IP do ser-
vidor IMAP ou POP3, remoção do nome do
domínio do login durante a autenticação, uso de
criptografia e tipo de criptografia a ser usado). A
tela 17mostrapossibilidadesdeautenticação.
Finalmente, é necessário configurar as re-
gras de roteamento e verificação de destinatário.
Com isso, será informado ao CanIt para qual
servidor de e-mail ele deverá encaminhar as
mensagens válidas que restaram depois da an-
álise e do processamento de todos os e-mails re-
cebidos. Com isso, o servidor de e-mail apenas
receberá mensagens válidas, o que deverá re-
duzir bastante a sua carga de processamento. A
figura 18 mostra a tela de configuração das re-
gras de roteamento e verificação de destinatário.
No campo de roteamento de mensagens deve-se
inserir o endereço IP ou o nome do servidor de e-
mail para onde as mensagens deverão ser encamin-
hadas (relay). Caso o servidor seja capaz de validar
destinatários durante uma sessão SMTP, o endereço
IP ou o nome desse servidor deverá ser informado
nocampodeverificaçãodedestinatário.
No passo final, o assistente apresenta um
resumo de toda a configuração para que o
administrador do sistema possa revisar suas
escolhas para os parâmetros e, caso necessário,
realizar algum ajuste. Se estiver de acordo, ba-
sta clicar no botão “Concluir” para que as con-
figurações entrem em operação. A figura 19
13. CanIt
13Technology Report
mostra a tela final de configuração: Com isso,
conclui-se a instalação e a configuração básica
do CanIt. Há muito mais opções de sintonia
fina, muitas das quais podem ser acessadas atra-
vés dos vários outros assistentes de configuração
disponíveis. Para ver quais existem, basta clicar
em “Setup”. Links para todos os assistentes serão
mostrados, bem como para a documentação
completa do sistema, conforme mostra a tela
da figura 20. O menu vertical à esquerda reúne
também os links para os recursos mais usados,
de modo que o usuário tem acesso facilitado às
principais funções do sistema.
Versão na nuvem
Uma última possibilidade é usar a versão em
nuvem da solução, que não requer nenhum tipo
de instalação. Somente a configuração do regis-
tro MX e de retransmissão de domínio serão
necessárias, mas o servidor propriamente dito
ficará instalado no data center da Roaring Pen-
guin. Nesse caso, há planos mensais diferencia-
dos para contratar. Para pequenas organizações,
essa pode ser uma opção muito interessante.
A figura 21 mostra a interface web do Ca-
nIt (em português).
Conclusão
Para o diretor da Unodata, Eder Miranda, a
flexibilidade e a facilidade de customização
do CanIt são grandes diferenciais da solução.
“Há um nível de hierarquias de regras no si-
stema que permite que cada usuário, cada
e-mail, cada grupo ou domínio, disponha de
políticas distintas e tudo isso através de uma
interface web muito intuitiva”.
Vale ressaltar que, como a Roaring Penguin
Software se especializou quase que exclusiva-
mente como fornecedor de soluções no seg-
mento de sistemas antispam, o nível de asserti-
vidade da ferramenta e a efetividade do processo
de filtragem, bem como a miríade de recursos
disponíveis na solução formam um conjunto de
altíssima qualidade.
“Pelo fato de nossa empresa ser especialista
em antispam, nosso suporte técnico torna-se
muito mais ágil e eficiente. Nosso nível de
conhecimento e nosso tempo de resposta são
considerados diferenciados por parte dos
clientes. Podemos atender a qualquer demanda,
seja de uma empresa com 10 contas ou de um
grande provedor de Internet com milhões de
mensagens por dia”, acrescenta Miranda. nnn
Figura 21: Interface web da versão em nuvem do CanIt, já preparada
com a identidade visual do distribuidor nacional da solução, a Unodata.
Figura 20: Um clique no menu Setup leva a uma lista contendo todos os
assistentes disponíveis na interface web.
Mais informações
[1] Canit http://www.unodata.com.br/
[2] Sendmail http://www.sendmail.com/sm/open_source/
[3] Unodata http://www.unodata.com.br/
[4] Imagens ISO http://www.roaringpenguin.com/download
[5] Pacotes deb pelo site Roaring Penguin http://debs.roaringpen-
guin.com/canit/appliance
14. http://www.linkedin.com/company/unodata-antispam-and-internet-solutions
https://twitter.com/unodata
“Utilizo o CanIt desde 2007. É um software de Antispam
simples de gerenciar, possui muitos recursos de configuração e é
muito eficiente. Acredito que atuamente não existe um produto
antispam com a relação Custo x Benefício melhor que o CanIt.”
Noberto Kicuti — Gerente de TI
Berkley International Seguros
“O CanIt foi uma ótima aquisição, sendo instalado totalmente
no nosso ambiente virtualizado. Além de nos garantir uma
enorme facilidade de administração, permite que praticamente
todo o sistema seja customizado. A Unodata tem profissionais
muito bem capacitados e que conhecem muito bem o produto.”
Nides Diego — Especialista em Redes
Universidade de Brasilia
Contato
UNODATA — AntiSpam & Internet Solutions
Office: (11) 3522-3011 ext 206 — Mobile: (11) 9-9907-2818
http://www.unodata.com.br/ — eder@unodata.com.br
“Estávamos em busca de uma ferramenta antispam que fosse
ao mesmo tempo eficiente e flexível. Após um período de testes
constatamos que o CanIt antispam era a ferramenta ideal para
nosso ambiente, com muitos recursos e a possibilidade de escolher
o melhor mecanismo de gerenciamento dos spam. Faz quase 1 ano
que estamos usando a ferramenta que tem atendido plenamente
nossas expectativas.”
Marcio Cassan — Coordenador de TI
Camil Alimentos S/A