Canit AntiSpam Technology Report by Linux Magazine

1.476 visualizações

Publicada em

Descrição minuciosa do funcionamento do software CanIt Antispam feita pela equipe da revista Linux Magazine.

Publicada em: Software
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
1.476
No SlideShare
0
A partir de incorporações
0
Número de incorporações
567
Ações
Compartilhamentos
0
Downloads
23
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Canit AntiSpam Technology Report by Linux Magazine

  1. 1. Análise do CanIt AntispamDiga adeus às mensagens indesejadas Primeiros passos Instalação e configuração explicadas em detalhe. Como funciona Conheça a ferramenta, faça ajustes e livre-se do spam. Technology Report www.linuxmagazine.com.br 2013 01
  2. 2. CanIt 2 Technology Report Análise do CanIt Antispam Digaadeusàs mensagensindesejadas Por Rafael Peregrino da Silva e Eder Miranda
  3. 3. CanIt 3Technology Report O desenvolvimento de software usando pro- jetos de código aberto não é necessariamente uma novidade. Várias empresas iniciam ou utilizam projetos de Software Livre como base para seus produtos comerciais, às vezes inte- grando diversas soluções diferentes para criar um produto coeso e coerente, rico em recur- sos e que realmente mostra a que veio em um determinado segmento. O CanIt [1] é um ex- celente exemplo do nível de qualidade a que esse modelo de desenvolvimento de software pode levar. Desenvolvido pela Roaring Pen- guin Software, empresa canadense fundada em 1999 por David F. Skoll, o CanIt é uma solução antispam que deriva da solução de código aberto MIMEDefang, criada por Skoll ainda em 2000, que havia sido contratado pelo Royal College of Physicians and Surgeons of Canada, instituição à época assolada por uma enchente de viroses enviadas por e-mail. Conceitualmente falando, o CanIt é um gateway de e-mail, ou seja, é uma solução que deve ser colocada diretamente entre a conexão à Internet e o servidor de e-mails propriamente dito. Posicionado dessa forma, o sistema recebe todas as mensagens envia- das aos usuários e encaminha apenas aque- las que forem classificadas como seguras ao servidor de e-mail desses usuários. O re- stante fica armazenado no servidor CanIt e, além do administrador do sistema, o próprio usuário tem alçada para definir o que deverá ser feito com as mensagens bloqueadas pelo servidor que estavam destinadas a ele, além de poder manter cópias de todas as mensa- gens enviadas a ele armazenadas no servidor. A figura 1 ilustra a topologia de rede utiliz- ada em uma instalação padrão do CanIt. O programa integra ao MIMEDefang de modo simplesmente exemplar outras ferramen- tas de código aberto, como o servidor de cor- reio eletrônico Sendmail [2] (MTA), o banco de dados PostgreSQL, o antivírus ClamAV e o filtro de spam SpamAssassin, além de uma in- terface gráfica web amigável, desenvolvida em PHP, funcionando sobre o servidor web Apache. Isso confere ao administrador do sistema e a seus usuários o total controle sobre o destino de suas mensagens, sejam elas solicitadas ou não, chegando-se ao requinte de permitir até mesmo “desapagar” e-mails inadvertidamente deletados da caixa postal do usuário, através do uso da ex- tensão CanIt-Archiver. Por se tratar de uma solução em software, o cliente é livre para instalar em quantos ser- vidores desejar, e com isso é capaz de criar um ambiente de altíssima disponibilidade (cluster). Um cluster CanIt é formado por um servidor de banco de dados que centra- liza todas as regras e ações, e por scanners que serão publicados como MX. Utilizando o recurso de redundância (failover) do Post- greSQL, o banco é replicado para um dos ou- tros servidores em tempo real. Caso o banco de dados pare, outro assume sua função au- tomaticamente, e o fluxo de mensagens não é interrompido (figura 2). Dispensa comentários a flexibilidade e a empregabilidade de ferramentas de moni- toramento, backup e recuperação, já que há um sem número de opções disponíveis para sistemas Linux. Arquitetura A extensão para filtrar e-mails incluída com Sendmail utiliza threads POSIX para per- mitir que vários filtros possam funcionar ao mesmo tempo. O sistema de filtros escrito em Perl do CanIt usa um modelo de multi- processamento, similar ao do servidor web Apache, consistindo de três componentes: • Um programa em C com múltiplos enca- deamentos de execução (multithreaded) que se comunica com o Sendmail e os processos de filtragem; • Ummultiplexador(escritoemC)quegerencia um conjunto de processos de análise de mensagens de correio eletrônico escritos em Perl (chamados de “escravos”); • Um sistema escrito em Perl que fornece a infraestrutura de filtragem básica. Instalação A instalação do CanIt é simples. Quem quiser testar o sistema no Brasil deve recorrer à Un- odata [3], representante exclusiva da Roaring Penguin Software no país, e solicitar acesso à uma imagem ISO (preferencialmente), que traz o sistema operacional (Debian) e todos os programas necessários já integrados e pron- Figura 1: Topologia típica de uma instalação padrão do CanIt.
  4. 4. CanIt 4 Technology Report configurado o BIOS do sistema para realizar o boot a partir do dispositivo apropriado. Se tudo foi feito corretamente, a tela inicial, ilustrada na figura 3 deverá aparecer: Há seis modos de instalação, que devem ser escolhidos fornecendo o nome apropri- ado e pressionando a tecla Enter: 1.install: o método de instalação padrão (pressionar simplesmente a tecla Enter, sem fornecer o nome de nenhum modo de in- stalação, vai iniciar o sistema de instalação usando este método); 2.installgui: similar ao método install, mas que usa uma interface gráfica ao invés de uma interface em modo texto; 3.auto: um método de instalação que sele- ciona senhas padrão e que tem por objetivo criar rapidamente uma instalação padrão (factory default); 4.autogui: similar ao método auto, mas que usa uma interface gráfica; 5.expert: conformeonomeindica,ummétodode instalação para especialistas. Use-o se a instalação de um sistema Debian lhe for familiar e recursos de configuração avançados tais como RAID via software,LVMetc.foremnecessários; 6.expertgui: similar ao método expert, mas usa uma interface gráfica. Por questões de limitação de espaço, va- mos descrever neste artigo somente o mé- todo de instalação padrão, já que não é uma boa prática manter uma interface gráfica em um servidor (os administradores de siste- mas Windows® que nos perdoem). De qual- quer modo, a interface gráfica de instalação do sistema é muitíssimo similar à do modo padrão, de modo que, quem optar por esse tos para uso, no que a empresa convencionou chamar de CanIt Appliance. Após obtenção de usuário e senha, a imagem ISO e todos os pacotes para os outros sistemas operacionais para os quais há suporte para o sistema, po- dem ser obtidos em [4]. Basta entrar com usuário e senha e baixar a imagem ISO, que tem em torno de 360 MB, de posse da qual pode-se criar um CD-ROM ou um pen drive USB para instalação do sistema. Uma alternativa é usá-la diretamente com os aplicativos de virtualização de costume (KVM, VirtualBox, VMware, Xen etc.) para iniciar o sistema de instalação da CanIt Appliance. De qualquer modo, é importante ter em mente que a instalação através do uso da imagem ISO irá apagar irremediavelmente todos os dados que estiverem armazenados no disco da máquina usada para essa finalidade. Os requisitos mínimos para um sistema com o CanIt Appliance são modestos: • Pentium IV, 1 GHz, ou equivalente. Para sistemas em ambientes de produção, re- comenda-se o uso de processadores Xeon, 2,4 GHz ou superior; • 1 GB de memória RAM. Para ambientes de produção, 2 GB de RAM ou mais; • 100 GB de disco rígido; • Placa de rede; • Unidade de CD-ROM ou USB (usado para a instalação). Para realizar a instalação, inicie o sistema pelo drive de CD-ROM ou pen drive USB, assegurando-se de ter copiado corretamente a imagem ISO para a mídia a ser utilizada e Figura 3: Tela inicial do sistema de instalação da CanIt Appliance. Servidor de banco de dados Servidor de filtro Canlt Anti-Spam e Anti-Virus Servidor Web para Interface de Usuário www Servidor de e-mail Figura 2: Instalação do CanIt em uma configuração de alta disponibilidade.
  5. 5. CanIt 5Technology Report do CanIt no site da Roaring Penguin, e se- nha é a senha correspondente. No momento da preparação desta análise, já havia pacotes experimentais para o Debian 7.0 (codinome “wheezy”), bastando para sua instalação trocar o squeeze no linha de configuração acima por wheezy. Ao realizar a instalação usando repo- sitórios em sistemas Debian, é importante desinstalar o servidor de e-mail padrão da distribuição, o Exim, já que o CanIt usa o Sendmail. Do contrário, o sistema de geren- ciamento de pacotes da distribuição (apt- get, aptitude, Synaptic etc.) vai abortar a in- stalação do CanIt, informando problemas de dependências entre pacotes. Uma vez que o Exim tenha sido removido do sistema, a istalação do CanIt pode prosseguir, bastando para isso os seguintes comandos: root@maquina:~# apt-get update root@maquina:~# apt-get install canit- domain-pro-distro Também é possível baixar os pacotes *.deb no site da Roaring Penguin, em [5]. A instalação em um sistema Red Hat 5.0/6.0 (ou CentOS 5.0/6.0), de 32 ou 64 bits, deve ser realizada escolhendo a distribuição correspon- dente do menu no link já mencionado aqui [4]. Os pacotes RPM estão compactados em um único arquivo do tipo *.tar.gz. Para si- stemas de 64 bits, o nome do arquivo é mais ou menos esse (para a versão 9.0.8 do CanIt): canit-distro-domain-pro-rpm-rhel6- 9.0.8-x86_64.tar.gz Desempacote o arquivo acima (como root) em um diretório (por exemplo, Downloads), en- tre nele e execute o script Shell de instalação lá disponível (install-canit): root@maquina:~# cd Downloads root@maquina:~/Downloads# tar zxvf canit-distro-domain-pro-rpm-rhel6- 9.0.8-x86_64.tar.gz root@maquina:~/Downloads# cd canit- distro-domain-pro-rpm-rhel6-9.0.8-x86_64/ root@maquina:~/Downloads/canit-distro- domain-pro-rpm-rhel6-9.0.8-x86_64# ./ install-canit O script permite teoricamente a instalação em diferentes sabores Red Hat (Red Hat Enter- prise Linux, CentOS, Fedora) e até mesmo SuSE. modo de instalação poderá continuar usando essa descrição sem problemas. Nunca é demais dizer: iniciar o sistema a partir da imagem de instalação ISO, seja em uma máquina virtual diretamente, seja atra- vés do CD-ROM ou do pen drive USB, irá destruir irremediavelmente todos os dados do disco rígido da máquina onde ocorrerá a instalação. Assim, caso a máquina seja aci- dentalmente iniciada através dessa imagem ISO, certifique-se de não teclar nada quando a tela inicial aparecer! Remova o CD-ROM, pen drive USB ou desassocie a imagem ISO de sua máquina virtual e desligue o computador. Ao iniciar a partir da imagem ISO (qual- quer que seja a mídia escolhida), o usuário poderá escolher o idioma da instalação e a disposição do teclado a utilizar — no caso do Brasil, Português do Brasil e teclado tipo ABNT2 são o padrão. Em seguida, telas para configuração da rede (DHCP por padrão, ou manual, caso nenhum servidor DHCP esteja disponível), particionamento de discos (no caso de haver mais de um disco, caso con- trário o particionamento é automático, e a appliance vai usar todo o disco), geração de senhas para os usuários root e usuário setup, que é um usuário sem ambiente Shell para interação com o sistema operacional da ap- pliance, e que pode apenas executar seu apli- cativo de configuração, conforme veremos a seguir. Finalizadas essas configurações básicas, uma tela será exibida informando que a instalação está completa, solicitando ao usuário que reinicie a máquina (para isso, basta remover a mídia de instalação e pressi- onar a tecla Enter). Instalação em sistemas Debian ou Red Hat Alternativamente, pode-se instalar o CanIt em um sistema Debian usando repositórios fornecidos pelo fabricante da solução, como de costume. Para isso, é necessário incluir (como usuário root) a seguinte linha no ar- quivo etc/apt/sources.list: deb http://usario:senha@debs. roaringpenguin.com/canit/appliance squeeze main canit canit-pro canit-domain-pro Na linha anterior, usuario é o nome do usuário utilizado para realizar o download
  6. 6. CanIt 6 Technology Report possível fazer a instalação a partir do código fonte da solução, disponível para download na mesma página em que se pode escolher os outros pacotes de instalação. Antes de iniciar o processo de instalação, é necessário certificar-se de que o sistema atende aos seguintes pré-requisitos de software: • Perl 5.8.0 ou superior; • Um ambiente de desenvolvimento para a linguagem de programação C (compila- dor, bibliotecas etc.); • O programa make; • O programa gzip; • O programa patch; • O banco de dados relacional PostgreSQL em suaversão8.0.0oumaisnova(recomendado); • O servidor web Apache em sua versão 1.3.26 ou mais recente; • PHP 4.3.0 ou superior. Em seguida, é necessário criar um usuário e um grupo chamado smmsp (caso eles não existam) para o Sendmail 8.12 (ou mais re- cente). Além disso, também é preciso criar um usuário e um grupo chamado defang (caso eles já não estejam disponíveis), e indicar no arquivo de configuração de usuários do si- stema que o diretório home desse usuário de- verá ser var/spool/MD-Bayes. Uma vez que os passos anteriores tenham sido realizados, prossiga com o processo de compilação e instalação do CanIt a partir do código fonte. À semelhança do pacote para a distribu- ição Red Hat (e similares), o código fonte completo também vem empacotado em um único arquivo de extensão *.tar.gz: canit-distro-domain-pro-9.0.8.tar.gz Desempacote o arquivo acima em um di- retório (por exemplo, Downloads), entre nele e digite (como usuário comum): usuario@maquina:~/Downloads/canit-distro- domain-pro-9.0.8$./build.sh Depois, como root no mesmo diretório, digite: root@maquina:/home/usuario/Downloads# ./ install.sh –webroot=/diretorio/do/webroot Onde diretorio/do/webroot é o local no qual serão instalados os arquivos PHP da interface web do sistema. Por fim, basta digitar (como root): root@maquina:~# canit-prepare-system para finalizar a instalação. Instalação a partir do código fonte Para todos os outros sabores de GNU/Li- nux bem como para outros ambientes UNIX (FreeBSD, NetBSD, OpenBSD, HP-UX, AIX, Solaris, Compaq Tru64 UNIX etc.), ainda é Figura 5: Tela para fornecimento da chave de ativação do CanIt. Figura 6: A tela de login do Canit. Figura 4: Menu principal de configuração do CanIt.
  7. 7. CanIt 7Technology Report interface é totalmente “tematizável”: o usuário pode trocar o logotipo da Roaring Penguin pelo de sua própria empresa, alterar cores e até criar novos temas. Se o sistema estiver sendo usado pela pri- meira vez, antes de realizar o login será ne- cessário inserir a chave de ativação obtida com o representante local da Roaring Penguin (no caso do Brasil, a Unodata). A figura 5 mostra a tela para fornecimento da chave de ativação do CanIt. Após a inserção da chave, irá aparecer a tela de login do sistema. O primeiro login na interface web deve ser feito usando o usuário admin com a senha padrão canit. Não deixe de modificar essa senha antes de fazer o lo- Uma observação importante: apesar de o código fonte do CanIt ser fornecido para download, o programa não é um software livre ou de código aberto. Alguns de seus componentes o são — e a Roaring Penguin descreve detalhadamente quais são eles e quais são suas respectivas licenças na docu- mentação entregue com o sistema —, mas todos os arquivos de propriedade da própria Roaring Penguin são distribuídos sob os ter- mos da licença CanIt, também disponibiliz- ada com a documentação do programa. Configuração do CanIt Qualquer que tenha sido o método utilizado para instalar o CanIt, sua configuração básica é feita simplesmente realizando o login no si- stema com o usuário setup (usando a senha fornecida para este usuário durante o processo de instalação). Ao fazer isso, o menu principal de configuração do CanIt será exibido no termi- nal, conforme mostra a figura 4. Caso a instalação tenha sido realizada por meio da imagem ISO, após a reinicialização ob- rigatória do sistema o menu principal de confi- guração do CanIt aparecerá automaticamente. Em todos os outros casos, basta entrar no si- stema com o usuário setup para ativá-lo. As opções no menu, bem como as telas de configuração que aparecem ao selecioná- las, são autoexplicativas, razão pela qual não será feito um detalhamento nesta análise. Há uma série de documentos e tutoriais que são fornecidos pela Roaring Penguin descre- vendo em detalhes todas as telas do menu de configuração, caso o administrador do si- stema tenha alguma dúvida. A interface web do CanIt Uma vez que o CanIt já esteja instalado e a configuração básica tenha sido realizada, o restante das configurações podem ser ajustadas via interface web. Para isso, simplesmente forneça na barra de endereço do navegador de Internet o endereço IP da máquina em que o CanIt foi instalado, ou, se já houver um nome para essa máquina configurado no servidor DNS da sua rede, forneça simplesmente esse nome ao navegador. Se a máquina em que o sistema for instalado tiver interface gráfica e dispuser de um navegador de Internet, uma outra alternativa é fornecer o endereço http:// localhost/ ao navegador. Vale mencionar que a Figura 7: Tela de alteração da senha padrão. Figura 8: Tela de definição da URL completa da instalação do CanIt.
  8. 8. CanIt 8 Technology Report Figura 9: Tela de definições dos e-mails do administrador e do remetente de mensagens do CanIt. Figura 10: Tela de definição do tratamento de e-mails suspeitos. Figura 11: Tela para ativação do recurso de greylisting. gout, caso contrário a segurança do sistema ficará comprometida. Se durante todo o processo de instalação e configuração básica do sistema as interfaces estavam em inglês, o mesmo não acontece com a interface web, que está disponível tam- bém em português (e em outros 5 idiomas: in- glês, francês, holandês, espanhol e alemão). A figura 6 ilustra a tela de login do Canit. Uma dica: após realizar o login, no rodapé da página da interface web é possível fazer buscas na documentação do sistema (ver campo Busca nos Manuais), bem como há links para acessar o Guia do Usuário, o Guia do Administrador e o Guia de Instalação do sistema. Também é possível mudar o visual do sistema e escolher entre a interface web padrão e uma interface web para dispositivos móveis, muito útil quando o administrador do sistema tem que acessar a interface em trânsito, usando a tela de um smartphone. Ao entrar pela primeira vez na inteface web, o usuário é automaticamente conduzido à tela de alteração da senha padrão de login, conforme mostra a figura 7. A operação de troca de senha é autoexplica- tiva: basta inserir a senha nova no campo ade- quado, repeti-la no campo seguinte e entrar a senha atual (ou seja, canit, quando do primeiro login) e clicar no botão “Alterar Senha”. A partir daí, a interface web entra em uma espécie de “modo assistente”, conduzindo o usuário pela configuração básica do sistema — não é à toa que o primeiro deles é o “Assi- stente de Configuração Básica” —, que passa pelas seguintes telas de configuração, dividi- das em passos. Na tela referente ao primeiro passo da con- figuração básica, o usuário é solicitado a for- necer a URL completa da instalação do CanIt (ver figura 8), que será utilizada nos e-mails gerados pelo CanIt e em links de votação. No passo (e na tela) seguinte, o administrador do sistema deverá fornecer o e-mail do administrador do CanIt (provavelmente o dele próprio ou um alias que o servidor de e-mail propriamente dito irá redirecionar para ele). Esse endereço eletrônico receberá notificações do CanIt com avisos de erros no sistema. O segundo endereço será o que será utilizado como remetente de todas as mensagens que aparecerão como originadas do CanIt. A figura 9 mostra a tela de definições
  9. 9. CanIt 9Technology Report algumas horas. A verificação é feita a cada 40 dias, e a tela que permite ativação do recurso de greylisting é mostrada na figura 11. Opcionalmente, o CanIt pode fornecer ao usuário final um link do tipo “Lembrar Senha”, para ajudá-lo a recuperar senhas perdidas ou esquecidas. A tela para isso, ilustrada na figura 12, exibe um campo onde é possível fornecer uma mensagem em texto puro, em HTML, ou apenas inserir a URL. Se o administrador não quiser fornecer esse link, basta deixar o campo em branco. O último passo do assistente de configu- ração básica apresenta um resumo de toda a configuração, permitindo que o administra- dor do sistema possa revisar toda a configu- Figura 12: Tela para fornecimento de um link “Lembrar Senha”. dos e-mails do administrador e do remetente de mensagens do sistema. Quando o CanIt sugere que uma mensagem é um spam, ele pode tomar uma de duas ações: 1. Pode-se responder ao servidor do remetente com um código SMTP 4xx, a chamada tempfail ou falha temporária, e armazena o spam em potencialnoservidordoremetente; 2. De forma alternativa, o CanIt pode aceitar o e-mail e guardá-lo numa área de quarentena no banco de dados, aguar- dando aprovação. A vantagem do primeiro método é que se o e-mail for rejeitado, o seu servidor não é re- sponsável por gerar uma notificação de falha de entrega. A desvantagem é que é necessário confiar no servidor de retransmissão de e- mail (relay) para realizar o reenvio da men- sagem, de modo que é preciso verificar a área de quarentena onde e-mails suspeitos são armazenados pelo menos uma vez ao dia, e, no caso de uma mensagem suspeita ser clas- sificada como e-mail válido posteriormente, não há controle sobre o tempo de entrega dessa mensagem (atrasos de entrega padrão podem variar de 30 minutos a várias horas). A tela do terceiro passo permite que o ad- ministrador selecione como gostaria que o CanIt tratasse as mensagens suspeitas. Reco- menda-se guardar as mensagens localmente para evitar demora no recebimento de men- sagens aprovadas. A figura 10 mostra a tela de definição do tratamento de e-mails suspeitos. Greylisting é uma técnica que detecta e bloqueia alguns programas de envio de e-mails não solicitados chamados ratware. Alguns programas ratware ignoram falhas SMTP e não repetem a transmissão se houver uma falha temporária. Com greylisting ativado, o CanIt sempre responderá com uma falha temporária as mensagens de um usuário desconhecido. A vantagem desse procedimento é que o greylisting não exige consumo de hardware (já que não há verificação de conteúdo) e é muito efetivo contra 15-30% de todo o contingente de e-mails não solicitados, sendo que praticamente não há falso positivos. A desvantagem principal está na demora da entrega de um e-mail cujo remetente é desconhecido (alguém que envie uma mensagem pela primeira vez). Essa demora costuma ser de até meia-hora, mas pode levar Figura 13: Tela de finalização da configuração básica do CanIt atra- vés da interface web.
  10. 10. CanIt 10 Technology Report Configuração de DNS Para começar, o modo mais simples de rotear os e-mails para o servidor CanIt é criar um registro MX adicional no servidor DNS para os domínios utilizados por sua organização. Esse registro deverá ter a maior prioridade, e apontar para o servidor CanIt. Por exemplo, vamos supor que os regis- tros MX da organização do usuário tenham a seguinte configuração (usando o Bind como servidor de DNS): unodata.com.br. 1d IN MX 10 mail. unodata.com.br. unodata.com.br. 1d IN MX 15m2. unodata.com. br. Neste caso, basta incluir um registro MX conforme segue: unodata.com.br. 1d IN MX 5 canit. unodata.com. br. É necessário ainda propagar as alterações de DNS. Neste caso, os e-mails para o domínio unodata.com.br serão agora roteados através da máquina CanIt. No caso de uma emergência, caso a máquina CanIt fique offline, servidores de e-mail que tentarem entregar mensagens através dela vão receber uma mensagem de erro do tipo “Conexão recusada” (Connection refused) e irão chavear a entrega de e-mails automaticamente para os servidores indicados nos outros registros MX, de modo que os e-mails serão entregues como de costume (entupidos de SPAM). Observe que essa topologia temporária serve apenas para a fase de testes inicial, já que a máquina CanIt envia por padrão códigos de falha temporária (tempfail) no caso de recebimento de e-mails suspeitos, o que fará com que o servidor remetente de tais e-mails tente enviar esse tipo de mensagem novamente para os outros servidores indicados nos outros registros MX. Mas essa é uma configuração adequada para que o usuário possa se certificar de que o sistema está funcionando, que os e-mails estão sendo capturados e analisados pelo servidor CanIt. Para uso em produção, entretanto, todos os registros MX públicos precisam necessariamente: • Apontar somente para o servidor CanIt; ou • Apontar para um servidor que redire- cione e-mails exclusivamente (relay) para o servidor CanIt. ração realizada nas telas anteriores e concluir essa etapa (ou retornar a algum dos passos, caso tenha deixado passar alguma coisa). A figura 13 mostra essa tela. Roteamento de e-mails Uma vez que a máquina que recebeu a ins- talação do CanIt esteja corretamente configur- ada, é hora de rotear os e-mails que chegariam diretamente ao servidor de e-mail através dela, bem como dizer ao servidor CanIt onde está o servidor de e-mails para o qual ele deverá re- transmitir os e-mails verificados por ele (que era originalmente o servidor que recebia os e-mails diretamente). Figura 15: Tela de configuração do nome do território a que o domínio vai pertencer. Figura 14: Tela inicial do Assistente de “Configuração de Domínio'.
  11. 11. CanIt 11Technology Report novo domínio dentro daquele território. A figura 15 mostraateladedefiniçãodonomedoterritório. O CanIt divide e-mails recebidos em per- fis de envio (streams). Cada perfil tem suas próprias regras e configurações, além de sua própria quarentena. A tela ilustrada na figura 16 permite ao administrador do si- stema selecionar uma estratégia de envio de e-mail para o domínio definido (no nosso caso, unodata.com.br): É possível configurar a estratégia de envio de várias maneiras: • Pode-se remover a parte do domínio do endereço de e-mail do usuário, de modo que e-mails para usuario@unodata.com. br serão enviados para o perfil usuario; Figura 16: Tela para seleção da estratégia de envio (ou seja, do perfil) de e-mail para o domínio definido. Figura 17: Tela de configuração do método de autenticação. O servidor de e-mails “real” não deverá estar listado em nenhum registro MX e, preferencialmente, ficar escondido atrás de um firewall, recebendo exclusivamente apenas e-mails do servidor CanIt. Ideal ainda seria que o canal exclusivo de recebimento de e-mails estabelecido entre o servidor de e-mails e o CanIt use TLS para criptografar todo o tráfego de mensagens entre eles. O assistente de configuração de domínio Para finalizar a instalação básica funcional do CanIt, falta agora avisá-lo sobre o servidor de e-mail para quem ele deve retransmitir as mensagens válidas (que não são nem SPAM nem suspeitas), de modo que o usuário final possa receber somente os e-mails que real- mente interessam a ele. É importante manter em mente a topologia típica de instalação do CanIt, ilustrada na figura 1, no início deste material (ver página 1). Quem realiza essa tarefa é o “Assistente de Configuração de Domínio”, que fornece um modo simples de configurar os principais parâmetros de um domínio e cuja primeira tela pode ser vista na figura 14. Vale a pena mencionar, que todas as telas fornecidas pelo Assistente de Configuração de Domínio estão disponíveis com maior riqueza de detalhes nos menus de configuração e administração da in- terface web. Contudo, o Assistente de Configu- ração de Domínio centraliza as configurações importantes em um processo simples de acom- panhar (workflow), o que é especialmente indi- cado para a configuração de novos domínios. É nesta tela que definimos qual domínio será configurado — no nosso caso, escolhemos unodata.com.br. No CanIt, cada domínio é alocado ao que se convencionou chamar de “Território”. Todos os domínios dentro de um território são geren- ciados por um mesmo administrador. Assim, é necessário fornecer o nome do território ao qual o domínio a ser configurado pertence. No caso de um domínio novo, ele recebe nor- malmente o mesmo nome do domínio, mas con- vencionou-setrocarospontosdonomedodomínio por hifens no nome do território. Assim, no nosso caso, o nome do território seria unodata-com-br. Também é possível fornecer o nome de um ter- ritório existente e, neste caso, o CanIt irá mapear o
  12. 12. CanIt 12 Technology Report • Pode-se também remover o nome do usuário do endereço de e-mail, de modo que e-mails para qualquerum@unodata. com.br serão enviados para todos os usuários do domínio unodata.com.br; • Alternativamente, pode-se usar o endereço de e-mail inteiro como nome de um perfil. Este é o método recomendado para grande parte das instalações; • Uma última possibilidade é invocar o Assi- stente de Procura Automática de Usuários, que permitirá a configuração de uma estra- tégia de envio (perfil) mais complexo, por exemplo, utilizando LDAP ou outro pro- grama específico. Caso essa seja a escolha, ao final dessa configuração a interface web trará o administrador de volta à essa tela do Figura 18:Teladeconfiguraçãoderoteamentoedeverificaçãodedestinatário. Figura 19: Resumo da configuração de domínio. Assistente de Configuração de Domínio. Uma vez que o perfil de envio tenha sido con- figurado, o assistente irá passar para a tela de con- figuração do método de autenticação, no qual é possível selecionar o modo como os usuários do domínio unodata.com.br irão se logar no CanIt. Isso é importante, pois permitirá aos usuários finais realizar o login no CanIt e gerenciar suas próprias áreas de quarentena, além de, eventual- mente, desapagar e-mails que tenham sido dele- tados por engano (reenviando-os). Há três modos de autenticação possíveis: • Autenticação em um servidor IMAP; • Autenticação em um servidor POP3; e • Não configurar autenticação. De forma alter- nativa, pode-se executar o “Assistente de Busca Automática por Usuários”, escolhendo um mé- todo LDAP ou um programa específico para realizar a autenticação. Quando esse Assistente for concluído, é necessário retornar a esta tela paracontinuaraconfiguraçãododomínio. Caso IMAP ou POP3 seja selecionado, apa- recerão automaticamente outros campos, que deverão ser preenchidos (nome ou IP do ser- vidor IMAP ou POP3, remoção do nome do domínio do login durante a autenticação, uso de criptografia e tipo de criptografia a ser usado). A tela 17mostrapossibilidadesdeautenticação. Finalmente, é necessário configurar as re- gras de roteamento e verificação de destinatário. Com isso, será informado ao CanIt para qual servidor de e-mail ele deverá encaminhar as mensagens válidas que restaram depois da an- álise e do processamento de todos os e-mails re- cebidos. Com isso, o servidor de e-mail apenas receberá mensagens válidas, o que deverá re- duzir bastante a sua carga de processamento. A figura 18 mostra a tela de configuração das re- gras de roteamento e verificação de destinatário. No campo de roteamento de mensagens deve-se inserir o endereço IP ou o nome do servidor de e- mail para onde as mensagens deverão ser encamin- hadas (relay). Caso o servidor seja capaz de validar destinatários durante uma sessão SMTP, o endereço IP ou o nome desse servidor deverá ser informado nocampodeverificaçãodedestinatário. No passo final, o assistente apresenta um resumo de toda a configuração para que o administrador do sistema possa revisar suas escolhas para os parâmetros e, caso necessário, realizar algum ajuste. Se estiver de acordo, ba- sta clicar no botão “Concluir” para que as con- figurações entrem em operação. A figura 19
  13. 13. CanIt 13Technology Report mostra a tela final de configuração: Com isso, conclui-se a instalação e a configuração básica do CanIt. Há muito mais opções de sintonia fina, muitas das quais podem ser acessadas atra- vés dos vários outros assistentes de configuração disponíveis. Para ver quais existem, basta clicar em “Setup”. Links para todos os assistentes serão mostrados, bem como para a documentação completa do sistema, conforme mostra a tela da figura 20. O menu vertical à esquerda reúne também os links para os recursos mais usados, de modo que o usuário tem acesso facilitado às principais funções do sistema. Versão na nuvem Uma última possibilidade é usar a versão em nuvem da solução, que não requer nenhum tipo de instalação. Somente a configuração do regis- tro MX e de retransmissão de domínio serão necessárias, mas o servidor propriamente dito ficará instalado no data center da Roaring Pen- guin. Nesse caso, há planos mensais diferencia- dos para contratar. Para pequenas organizações, essa pode ser uma opção muito interessante. A figura 21 mostra a interface web do Ca- nIt (em português). Conclusão Para o diretor da Unodata, Eder Miranda, a flexibilidade e a facilidade de customização do CanIt são grandes diferenciais da solução. “Há um nível de hierarquias de regras no si- stema que permite que cada usuário, cada e-mail, cada grupo ou domínio, disponha de políticas distintas e tudo isso através de uma interface web muito intuitiva”. Vale ressaltar que, como a Roaring Penguin Software se especializou quase que exclusiva- mente como fornecedor de soluções no seg- mento de sistemas antispam, o nível de asserti- vidade da ferramenta e a efetividade do processo de filtragem, bem como a miríade de recursos disponíveis na solução formam um conjunto de altíssima qualidade. “Pelo fato de nossa empresa ser especialista em antispam, nosso suporte técnico torna-se muito mais ágil e eficiente. Nosso nível de conhecimento e nosso tempo de resposta são considerados diferenciados por parte dos clientes. Podemos atender a qualquer demanda, seja de uma empresa com 10 contas ou de um grande provedor de Internet com milhões de mensagens por dia”, acrescenta Miranda. nnn Figura 21: Interface web da versão em nuvem do CanIt, já preparada com a identidade visual do distribuidor nacional da solução, a Unodata. Figura 20: Um clique no menu Setup leva a uma lista contendo todos os assistentes disponíveis na interface web. Mais informações [1] Canit http://www.unodata.com.br/ [2] Sendmail http://www.sendmail.com/sm/open_source/ [3] Unodata http://www.unodata.com.br/ [4] Imagens ISO http://www.roaringpenguin.com/download [5] Pacotes deb pelo site Roaring Penguin http://debs.roaringpen- guin.com/canit/appliance
  14. 14. http://www.linkedin.com/company/unodata-antispam-and-internet-solutions https://twitter.com/unodata “Utilizo o CanIt desde 2007. É um software de Antispam simples de gerenciar, possui muitos recursos de configuração e é muito eficiente. Acredito que atuamente não existe um produto antispam com a relação Custo x Benefício melhor que o CanIt.” Noberto Kicuti — Gerente de TI Berkley International Seguros “O CanIt foi uma ótima aquisição, sendo instalado totalmente no nosso ambiente virtualizado. Além de nos garantir uma enorme facilidade de administração, permite que praticamente todo o sistema seja customizado. A Unodata tem profissionais muito bem capacitados e que conhecem muito bem o produto.” Nides Diego — Especialista em Redes Universidade de Brasilia Contato UNODATA — AntiSpam & Internet Solutions Office: (11) 3522-3011 ext 206 — Mobile: (11) 9-9907-2818 http://www.unodata.com.br/ — eder@unodata.com.br “Estávamos em busca de uma ferramenta antispam que fosse ao mesmo tempo eficiente e flexível. Após um período de testes constatamos que o CanIt antispam era a ferramenta ideal para nosso ambiente, com muitos recursos e a possibilidade de escolher o melhor mecanismo de gerenciamento dos spam. Faz quase 1 ano que estamos usando a ferramenta que tem atendido plenamente nossas expectativas.” Marcio Cassan — Coordenador de TI Camil Alimentos S/A

×