Funzionamento della sandbox in LibraESVA

Per eludere le capacità di rilevazione del malware, molte campagne di attacco (incluse diverse di ransomware) si sono basate su mail che non contenevano direttamente il malware, ma che avevano un collegamento ad un file malevolo.

In questa situazione nel il modulo antispam, ne il modulo antimalware, potevano rilevare l’oggetto e bloccare l’azione da parte dell’utente.

Una delle novità più interessanti nell’ultima versione (4.0.0) di LibraESVA è la funzionalità Sandbox.

La funzionalità sandbox riscrive l’url di tutti i collegamenti

riscrittura

effettua una analisi del contenuto

analisi

 

 

se il collegamento è considerato sicuro l’utente viene reindirizzato verso la pagina richiesta, mentre il collegamento è considerato malevolo viene presentata una maschera di blocco all’utente.

bloccoL’utente può comunque accettare il rischio e proseguire nella navigazione raggiungendo l’indirizzo pericoloso.

La funzionalità sandbox è disattiva per default, può essere attivata dal menu: System / Content Analisys / Antispam Action Settings attiva sandbox

La scansione del contenuto non viene effettuata in locale dalla virtual appliance, ma viene effettuata dagli EsvaLabs, la struttura che effettua studi continui sullo spam e sulle campagne di attacco basate su email.

argonavislab

Argonavis ti invita a richiedere una prova di 30 giorni di LibraESVA, per provare sul tuo dominio gli straordinari risultati di filtraggio dello spam e dei malware allegati a messaggi di posta elettronica.

Richiedi Informazioni

15 Settembre 2016

Configurare LibraESVA LDAP per utenti Zimbra

LibraESVA ha diverse funzionalità che utilizzano gli utenti e le loro relative credenziali.

La più visibile è l’autenticazione sull’interfaccia web, per permettere all’utente di consultare le proprie code di quarantena, rilasciare un messaggio bloccato o agire sulle blacklist/whitelist private.

Le interfacce di configurazione in LibraESVA, sono come al solito, molto facili ed intuitive, ma la configurazione di LDAP comporta sempre qualche difficoltà nella scelta dei parametri corretti.

Dal menù “System”, si accede ad LDAP Set Definition

Configurazione LDAP

Aggiungiamo una nuova configurazione

Configurazione LDAP

Selezioniamo il dominio, fra quelli configurati su LibraESVA.

Se abbiamo più server LDAP nel cluster Zimbra ne possiamo indicare due, nel caso avessimo una installazione su singola macchina, mettiamo il nome del server Zimbra.

Nel campo Email Address DN: mettiamo la stringa cn=users,dc=domain,dc=ad sostituendo dc=domain,dc=ad con i dati relativi al nostro dominio (ad esempio se il dominio fosse: examples.it la stringa corretta sarebbe: cn=users,dc=examples,dc=it)

Nel campo User DN: mettiamo la stringa ou=people,dc=domain,dc=ad sostituendo dc=domain,dc=ad con i dati relativi al nostro dominio (nell’esempio di prima, con il dominio examples.it la stringa corretta sarebbe: ou=people,dc=examples,dc=it)

Nel campo Bind User: mettiamo la stringa uid=user,ou=people,dc=domain,dc=ad mettendo in uid un account valido, e sostituendo dc=domain,dc=ad con i dati relativi al nostro dominio (nell’esempio di prima, con il dominio examples.it ed utente ldap, la stringa corretta sarebbe: uid=ldap,ou=people,dc=examples,dc=it)

Nel campo Bind Password: mettiamo la password dell’utente inserito in Bind User

Nel campo Type: mettiamo il valore OTHER
Nel campo Username Field: mettiamo il valore uid
Nel campo Email Alias Field: mettiamo il valore mail
Nel campo Authentication Filter: mettiamo il valore mail=%%LOGIN%%

Schermata del 2015-05-22 12:41:35

Salvata la configurazione possiamo effettuare il test di connessione

Configurazione LDAP

Se il test dovesse fallire, avremmo un risultato simile a questo. Verificate che il firewall sia configurato in modo tale che LibraESVA possa raggiungere Zimbra sulla porta 389.

Configurazione LDAP fallita

Se il test ha esito positivo invece uscirà una schermata simile a questa, e verranno elencati tutti gli indirizzi che vengono trovati (incluse le liste di distribuzione).

Configurazione LDAP con successo

I tecnici certificati su LibraESVA di Argonavis sono a tua disposizione per supportarti sull’utilizzo di LibraESVA

Richiedi Informazioni

22 Maggio 2015

LibraESVA 3.5.1.0

I giorni scorsi è stata rilasciata la nuova versione di LibraESVA 3.5.1.0 

LibraESVA

Fra le novità più interessanti presenti, possiamo menzionare:

Miglioramento delle prestazioni con utilizzo di nuove risorse antispam / antimalware aggiuntive.

Nuovo strumento per visualizzare il maillog ora permette di filtrare i risultati ed arrestare la visualizzazione del log.

Modificato il meccanismo di creazione delle regole di blacklist/whitelist From/Envelope From in presenza di destinatari multipli. Nelle precedenti versioni quando la regola veniva creata partendo da un messaggio che aveva più destinatari, la regola veniva applicata solamente quando tutti gli indirizzi comparivano nel messaggio.
Ora invece vengono create regole per il singolo destinatario.

Controllo delle regole blacklist/whitelist su From/Envelope From.

Introdotto il controllo dello stato code dei nodi del cluster è così possibile vedere nella dashboard quante mail sono presenti in coda a ciascun nodo.

Forzare l’accesso al portale web su protocollo HTTPS

I tecnici certificati su LibraESVA di Argonavis sono a tua disposizione per supportarti sull’installazione degli aggiornamenti e su qualsiasi problematica possa presentarsi nell’utilizzo di LibraESVA

Richiedi Informazioni

13 Maggio 2015

Rilasciato LibraESVA 3.5.1.0

E’ stato rilasciato l’aggiornamento alla versione 3.5.1.0 di LibraESVA

Sono presenti correzioni che aumentalo la sicurezza, tutti gli utenti sono incoraggiati ad aggiornare la propria l’installazione.

BUG CORRETTI:

  • Corretto il problema che duplicava il message-id headers quando la mail veniva rilasciata verso un server Exchange.
  • Corretto un problema che causava il blocco di Syslog
  • Audit Log quando vengono rilasciate dal Digest Report
  • Pienamente supportato l’Oggetto in UTF8
  • Migliorata la funzione di rilascio dei messaggi
  • Corretto l’apprendimento del motore Bayesiano
  • Corretto il punteggio di spam di Backscattering
  • Supporto per archivi Unrar
  • Corretto un problema su TrackMail
  • Corretta l’attivazione di BitDefender su appliance migrate da installazioni 32bit
  • Molti altri piccoli problemi vengono risolti da questo aggiornamento

NUOVE FUNZIONALITA’:

  • Identificazione di Graymail e funzionalità di blocco
  • LDAP Filtri personalizzati
  • Whitelist/Blacklist adesso suddividono i destinatari in più regole ed effettuano il controllo sia su From/Envelope che su From
  • E’ possibile forzare il Web Portal solo su protocollo HTTPS
  • Domain Relay Management ottimizzato per grandi installazioni
  • Impostazione del Timezone
  • E’ possibile caricare il certificato TLS
  • Supporta l’impostazione di Routes Statiche sull’interfaccia Eth1
  • Supporto per SaneSecurity Signatures
  • Aggiornamenti dell’IP Reputation e SEM Plugins
  • Stato delle code per ciascun nodo del cluster nel pannello della dashboard
  • Nuova tool per visualizzare il Maillog.

NOTE: Questo aggiornamento richiede circa 5-6 per essere completato. Database molto grandi possono impiegare anche più tempo. Al termine dell’installazione è richiesto un riavvio.
Effettuare uno snapshot prima di installare l’aggiornamento è sempre raccomandato.

Le installazioni 32-bit non sono più supportate e non ricevono più aggiornamenti è fortemente suggerito effettuare la migrazione alla versione 64-bit

I tecnici certificati su LibraESVA di Argonavis sono a tua disposizione per supportarti sulla migrazione al prodotto 64-bit, sull’installazione degli aggiornamenti e su qualsiasi problematica possa presentarsi nell’utilizzo di LibraESVA

Richiedi Informazioni

12 Maggio 2015

Segnalare falsi positivi / negativi in LibraESVA

Le tecniche con cui vengono i prodotti i messaggi di spam, sono in continuo miglioramento, e nessun prodotto può permettersi di non seguire le nuove tendenze dello spam.

LibraESVA per tenere il livello di performance attuale, fra i migliori prodotti in assoluti, con il 99,99% di spam bloccato e 0 falsi positivi, è molto attenta nello scoprire le nuove tecniche e considera molto importante il feedback fornito dalle installazioni dei propri clienti.

esvalabs

LibraESVA tiene in grande considerazioni le segnalazioni fornite dai clienti, e per questa

ragione è nato ESVALabs, dove un team di specialisti analizza i messaggi segnalati come falsi positivi e negativi, crea delle regole per prevenire l’errore e le trasmette in automatico a tutte le installazioni.

ESVALabs è alimentato dai messaggi che provengono dalle installazioni dei clienti, i messaggi possono essere inviati dall’interfaccia web di amministrazione.

La segnalazione è molto semplice, individuata la mail nella reportistica, occorre selezionare uno o più messaggi e va premuto il pulsante “Submit as Spam” se il messaggio era uno spam ed invece è stato consegnato, mentre va premuto il pulsante “Submit as False Positive” se il messaggio è stato bloccato pur non essendo un messaggio di spamEsvalabs

Prima di segnalare un messaggio agli ESVALabs occorre verificare due elementi:

  • La presenza di regole personali che influiscono nel punteggio
  • Il motore Bayesiano è addestrato

Possiamo capire facilmente questi due elementi aprendo i dettagli del messaggio, andando nella scheda Antispam Checks.

Dettagli messaggio

Se il messaggio è di Spam ma ci viene comunque consegnato si tratta di un “Falso negativo”, se si rispettano queste due condizioni:

  • La regola BAYES_00 deve fornire un punteggio positivo
  • Nessuna regola personale deve aver apportato un punteggio negativo

Nel caso le condizioni sono rispettate il messaggio è un “falso negativo” ed è possibile segnalarlo con il pulsante “Submit as Spam”.
Nel caso la regola BAYES_00 non fornisca un punteggio positivo, è necessario addestrare il motore Bayesiano premendo il pulsante “Learn as Spam”.

Se il messaggio è pulito ma non ci viene consegnato si tratta di un “Falso positivo”, se si rispettano queste due condizioni:

  • La regola BAYES_00 deve fornire un punteggio negativo
  • Nessuna regola personale deve aver apportato un punteggio positivo

Nel caso le condizioni sono rispettate il messaggio è un “falso positivo” ed è possibile segnalarlo con il pulsante “Submit as False Positive“.
Nel caso la regola BAYES_00 non fornisca un punteggio negativo, è necessario addestrare il motore Bayesiano premendo il pulsante “Learn as Ham”.

 

27 Aprile 2015