FortiMail 6.0 Study Guide-Online (179-241) .En - Es

• Antivirus y Antispam
No puede ser reproducido ©

FORTINET
En esta lección, usted aprenderá acerca de antivirus y antispam técnicas en la FortiMail.
FortiMail 6.0 Guía de estudio 179


FORTINET
En esta lección, explorará los temas que se muestran en esta diapositiva.


FORTINET
Al completar esta sección, usted debería ser capaz de alcanzar los objetivos que se muestran en esta diapositiva. Demostrando competencia en
antivirus, usted será capaz de configurar y usar perfil antivirus para las políticas basadas receptores o ip.


FORTINET
antivirus FortiGuard está incluido en la suscripción FortiGuard antivirus. FortiMail utiliza el servicio de antivirus FortiGuard para proteger contra las
últimas amenazas. contenido único lenguaje de reconocimiento de patrones de Fortinet (CPRL) permite a las firmas individuales para proteger
contra múltiples cepas diferentes de malware. análisis antivirus de FortiMail utiliza las mismas bases de datos de firmas de virus FortiGuard que se
utilizan en los servidores de seguridad FortiGate. Las bases de datos se mantienen actualizados mediante actualizaciones periódicas de la Red de
Distribución de FortiGuard (FDN). La zona de pruebas en tiempo real FortiGuard también se incluye en la suscripción FortiGuard antivirus. FortiMail
utiliza el entorno limitado local para evaluar el contenido ejecutable que ha pasado las firmas antivirus FortiGuard. El entorno limitado local examina
la construcción de archivos para buscar características que se encuentran comúnmente en los virus.
FortiGuard Labs reciben solicitudes globales de las valoraciones de los PI remitente, contenido y archivos adjuntos. El uso de técnicas de análisis de datos,
FortiGuard puede detectar y responder rápidamente a nuevos brotes, el bloqueo de objetos sospechosos de virus sin necesidad de firmas de antivirus.


FORTINET
Esta diapositiva muestra el flujo del proceso para la detección antimalware.


FORTINET
Para habilitar las técnicas y acciones locales de análisis antivirus, se debe crear un perfil antivirus en primer lugar. Cada perfil antivirus especifica una acción
predeterminada que FortiMail se ejecuta cuando detecta un virus. Puede anular la acción predeterminada si selecciona una acción diferente sobre una base
técnica por la técnica. Cuando se crea un perfil de antivirus, establezca el atributo de dominio para determinar la visibilidad del perfil dentro del sistema. Puede
establecer el atributo de dominio que esté disponible para su uso en todo el sistema, o sólo en un dominio protegido específico. FortiMail escanea encabezado de
correo electrónico, cuerpo y archivos adjuntos (incluidos los archivos comprimidos, como archivos ZIP, PKZIP, LHA, ARJ, RAR y), para las infecciones de virus. Si
FortiMail detecta un virus, que toma las acciones como se define en los perfiles de acción antivirus.
FortiMail mantiene su base de datos antivirus del motor y el virus de exploración hasta la firma actualizados mediante la conexión a la Red de Distribución de Fortinet
FortiGuard (FDN) servicios antivirus. Habilitar Archivo de comprobación de firma, si ya tiene algunos valores hash de los archivos infectados por virus conocidos. Puede
agregar esas sumas de comprobación de Seguridad> Otros> firma del archivo.


FORTINET
Se puede crear un nuevo perfil de acción en el Perfil antivirus. La acción más comúnmente usado es Reemplazar cuerpo infectada /
sospechosa o archivo adjunto (s). Esta opción permite que el cuerpo del correo electrónico se envíe al destinatario sin los archivos adjuntos
maliciosos. Otras acciones más utilizadas son las siguientes:
• Descarte: FortiMail cae silenciosamente el correo electrónico
• Rechazar: FortiMail cae el correo electrónico y envía un mensaje al remitente que explica por qué se dejó caer Tenga en cuenta que no hay ninguna
opción de cuarentena personal en un perfil de acción antivirus. Esto protege al usuario final de la liberación de contenido infectado accidentalmente en su
ordenador local.


FORTINET
El perfil de antivirus puede hacer referencia a las políticas basadas en IP o políticas basadas en receptores. Para una protección completa, activar
el análisis antivirus en las políticas de salida para evitar que el contenido malicioso que se deje su organización.
Como regla general, las políticas basado en el destinatario anulan las políticas basadas en IP. Esto significa que si un mensaje de correo electrónico coincide tanto con una
política basada en el receptor y una política basada en IP, la configuración de la política basado en el destinatario se aplicarán y serán ignorados la política basada en IP, a menos
que haya habilitado Prevalecer sobre partido política basada destinatario en la política de propiedad intelectual.


FORTINET
Para ver los registros, haga clic Monitorear> Registro. Los registros de historial proporcionan una visión general de los eventos que han ocurrido, incluyendo clasificador, disposición y el
nombre del virus. Para más detalles, haga clic en el enlace de ID de sesión para ver un resultado de búsqueda cruzada de todos los registros para ese evento único.
Esta diapositiva muestra un ejemplo de una acción de rechazar en respuesta a la detección de un virus. FortiMail genera un mensaje SMTP
554 que explica el motivo del rechazo.


FORTINET
Cuando se habilita Vuelva a empaquetar correo electrónico con contenido personalizado, y FortiMail detecta un archivo adjunto infectado, FortiMail reemplaza
el archivo adjunto infectado con un accesorio de texto que contiene los detalles del archivo original y el virus detectado. Esto permite que el receptor para
mantenerse informado.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo cómo funciona antivirus en FortiMail. Ahora, usted
aprenderá sobre el perfil antispam.


FORTINET
Al completar esta sección, usted debería ser capaz de alcanzar los objetivos que se muestran en esta diapositiva. Demostrando competencia en
el uso de perfiles antispam, usted será capaz de identificar las metodologías de detección de spam utilizados por FortiMail y aplicar un perfil de
acción antispam apropiado.


FORTINET
La definición estándar de la industria del spam de correo electrónico tiene dos componentes. En primer lugar, los mensajes de correo electrónico no solicitado son; es decir, el
destinatario no ha solicitado o permiso concedido para el correo electrónico. En segundo lugar, los mensajes de correo electrónico se consideran envíos masivos, ya que son
enviados en cantidades masivas y contienen contenido idéntico (o casi idénticas). El término de la industria para este es el correo electrónico masivo no solicitado (UBE).
servicio antispam de FortiMail es una combinación de los dos niveles de defensa correo no deseado: el servicio antispam FortiGuard combinado
con técnicas de detección antispam integradas de FortiMail. Al aprovechar el servicio antispam FortiGuard, FortiMail tiene acceso a los
conocimientos más recientes de amenazas y brotes de spam emergentes. mensajes de correo electrónico se inspeccionan en dos capas
distintas: la capa de sesión y la capa de aplicación. La capa de sesión analiza los atributos y el comportamiento de la conexión IP y la sesión
SMTP para los rasgos que son comunes a la actividad de spam. FortiMail puede detectar correo no deseado, incluso antes de que se envíen los
encabezados de mensaje y el cuerpo del mensaje. Esto ahorra recursos valiosos y mejora el rendimiento del servidor de FortiMail. La capa de
aplicación analiza el contenido del cuerpo encabezados de mensaje y mensaje después de que llegan.


FORTINET
Cuando un mensaje de correo electrónico coincide con los criterios de selección especificados en una IP o una directiva de destinatarios, puede activar un perfil
antispam para realizar cualquiera de las técnicas de exploración antispam disponibles. En el perfil antispam, seleccione la acción predeterminada que se ejecutará si el
mensaje es verificado como spam, o perfiles de acción asociados diferentes con diferentes técnicas antispam. En el Opciones de escaneo sección, puede definir un
límite de tamaño para los mensajes a escanear. Si un correo electrónico es mayor que el valor especificado, FortiMail se salta las inspecciones antispam en ese correo
electrónico. También puede pasar por alto un correo electrónico de inspecciones antispam si el usuario es autenticado. Tenga cuidado con esta configuración, ya que
un usuario autenticado no siempre es un remitente seguro.


FORTINET
perfil de acción antispam le da opciones que se pueden aplicar a un correo electrónico si se detecta como spam. Si se detecta un correo electrónico como correo no deseado de la línea
del asunto del correo electrónico que se pueden etiquetar para advertir al usuario de que el correo electrónico es un correo no deseado potencial. También puede insertar encabezado o
un descargo de responsabilidad al correo electrónico. A veces es posible que desee para entregar un mensaje de spam a un destinatario alternativo, como un administrador, puede
configurar que en el perfil de acción Antispam también.
Hay otras acciones tales como archivar el correo electrónico o el envío de una notificación a cualquier dirección de correo electrónico válida. Estas acciones son
consideradas como una acción no final porque FortiMail continúa el escaneo antispam. Además de estas acciones también se puede configurar una acción final; la acción
final toma una decisión final sobre el spam de correo electrónico, hay cinco opciones diferentes para la acción final, Descartar, rechazar la cuarentena personal,
cuarentena sistema y volver a escribir la dirección de correo electrónico del destinatario. Una vez que se ha tomado la decisión final se llevará a cabo ninguna otra
escaneo antispam.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiende cómo utilizar perfiles antispam en FortiMail. Ahora, usted aprenderá
acerca de las técnicas antispam.


FORTINET
Al completar esta sección, usted debería ser capaz de alcanzar los objetivos que se muestran en esta diapositiva. Demostrando competencia en el uso de
técnicas antispam, usted será capaz de configurar FortiMail para bloquear el spam y los intentos de retrodispersión.


FORTINET
Cuando se habilita la opción de reputación IP FortiGuard, FortiMail consulta el servicio antispam FortiGuard para determinar si la dirección IP del MTA remoto está
en la base de datos de lista de bloques FortiGuard. Si selecciona Extraer IP del encabezado de recepción, la consulta también examina las direcciones IP
públicas de todos los otros servidores SMTP que aparecen en el Recibido: cabeceras del correo electrónico.


FORTINET
FortiGuard tipo de filtrado conocidos URI URI en categorías, tales como el phishing, spam y malicioso. Se puede configurar el perfil de filtro URI para
comprobar si hay categorías específicas. Si un mensaje de correo electrónico contiene los URI que coincidan con las categorías permite a en el perfil de
filtro URI, FortiMail trata a ese mensaje como spam.
También puede personalizar los filtros de URI en la mayoría de las implementaciones, se debe permitir que el Riesgo de seguridad categoría; Sin embargo, se puede
personalizar el perfil de filtro URI para filtrar mensajes de correo electrónico que contienen URIs que, tradicionalmente, no se consideraría spam.


FORTINET
actualizaciones regulares FortiGuard asegurar que FortiMail tiene la información sobre la amenaza más reciente disponible. Aún así, sigue siendo posible que FortiMail
para recibir un mensaje de correo no deseado que no ha visto antes y tiene poca o ninguna información sobre. Cuando se habilita protección contra ataques de correo
no deseado, el correo electrónico sospechoso se mantiene en una cola dedicada, por un período de tiempo específico y luego re-evaluado. Esto da FortiGuard la
oportunidad de aprender acerca de la posible brote de spam y actualizar sus bases de datos. Después de que el valor de tiempo de espera para el correo electrónico
expira, FortiMail consulta los servidores FortiGuard de nuevo. Si las calificaciones vuelven tan limpio, FortiMail libera el correo electrónico al destinatario; de lo contrario,
se aplica la acción antispam. Esta característica es eficaz contra los brotes de spam de día cero.
Por defecto, el periodo de retención es de 30 minutos, pero se puede modificar mediante los comandos de la CLI siguiente:
Configuración del sistema antispam FortiGuard conjunto brote a la

protección en tiempo <minutos> finales


FORTINET
Greylisting es una técnica antispam automático, de bajo mantenimiento que se aprovecha de un rasgo común entre spammers: impaciencia. Greylisting
examina el triplete de IP de origen, remitente y destinatario de un mensaje de correo electrónico entrante. Si FortiMail no ha visto el triplete antes, envía un
fallo de código de código temporal 451, que da instrucciones al MTA de envío para intentar volver a enviar el mensaje más tarde. En este punto, la
mayoría de los spammers se dan por vencidos y pasar a otras posibles víctimas.
Sin embargo, los emisores legítimos cola el mensaje y tratar de entregar de nuevo después de un retraso. Es importante recordar que el MTA remoto
se encarga de retransmitir el mensaje. El mensaje entregado de nuevo se pone entonces a través de las exploraciones restantes. FortiMail entonces
añade el triplete para una base de datos de remitentes permitidos, y procesa los futuros intentos de entrega de ese remitente, sin la demora greylisting.


FORTINET
Hay tres temporizadores distintos involucrados en la lista gris. los período de listas grises temporizador se inicia cuando un remitente primero intenta entregar
un mensaje con un nuevo triplete. Si el remitente intenta entregar el mensaje de nuevo antes de que el período de la lista gris es más, el resultado es una falla
temporal de error. Por defecto, el período de listas grises es de diez minutos. El remitente debe esperar por lo menos tanto tiempo antes de intentar enviar el
mensaje de nuevo. los greylist-init-expiración del período temporizador se inicia cuando un remitente primero intenta entregar un mensaje con un nuevo triplete.
El remitente debe reintentar antes de la greylist-init-expiración del período expira; de lo contrario, el proceso greylisting reinicia. Puede configurar este valor sólo
en la CLI. Después de que el remitente proporciona con éxito un mensaje fuera de la período de listas grises pero antes de la greylist- Initi-expiración del
período expira, FortiMail crea una entrada en la base de datos de la lista gris de la tripleta individuo y se inicia el greylist TTL minutero. Por defecto, el valor para
el temporizador TTL es de 30 días. Una vez que el TTL se inicia el temporizador, cualquier intento de entrega de un triplete con un TTL válida no se someten al
proceso de lista gris. Después se entrega el mensaje, los valores de TTL restablecen y el mensaje se procesa utilizando todas las exploraciones configurados
restantes.


FORTINET
Puede configurar la lista gris excepciones para evitar que determinados remitentes, MTA, o dominios de ser Greylisted. Es una buena práctica aplicar las
exenciones antes de habilitar gresylisting para asegurarse de correo electrónico sensible al retardo no está lista gris.


FORTINET
Para supervisar el estado de la lista gris de cada triplete, haga clic Monitorear> Lista Gris> Pantalla.
Trillizos todavía en el período listas grises tienen un estado de Fallar temporalmente. El valor de expiración para estos tripletes muestra el lista
gris-init-expiración del período.
Trillizos que han pasado por todo el proceso de lista gris y puede enviar correo electrónico tienen un estado de libertad
PASAR POR. Para estos tripletes, el valor de expiración es el Greylisting TTL.


FORTINET
Las grandes organizaciones suelen tener múltiples servidores de correo electrónico de envío y recepción de correo electrónico en nombre de muchas cuentas de usuario. El
seguimiento del estado de la lista gris de cada permutación triplete resultaría en una base de datos de lista gris masiva. Para evitar esto, crea entradas FortiMail lista gris
consolidados que se llaman entradas AutoExempt. A diferencia de las entradas individuales, entradas AutoExempt consolidados seguimiento sólo la parte de dominio de la
dirección de correo electrónico del remitente y el / 24 de subred del MTA del remitente.
Para mantener la confianza incluso con este seguimiento suelta, FortiMail crea entradas AutoExempt consolidados sólo si los mensajes de correo electrónico
pasan a los demás análisis antispam, antivirus y de contenido, y no aparecen en las listas seguras.


FORTINET
El SPF es una técnica que se puede utilizar para validar remitentes. El uso de registros SPF, el propietario de un dominio publica un formato especial de texto (TXT)
DNS. Los registros contienen los MTA autorizado del dominio. Usando la función de comprobación SPF, FortiMail realiza una búsqueda de registro DNS TXT para el
dominio de envío de cualquier sesión de correo electrónico. Si existe una entrada SPF, FortiMail compara la dirección de la entrada SPF con la dirección de la MTA de
envío, y, si no se encuentra ninguna coincidencia, trata el correo electrónico como spam.
DMARC es mucho más amplia. Usando DMARC, FortiMail valida SPF y DKIM. Sin embargo, el correo electrónico debe pasar sólo una de estas comprobaciones.
Si el correo electrónico no tanto el SPF y DKIM cheques, a continuación, se trata como un spam. DMARC validación no se ha adoptado universalmente todavía;
Sin embargo, se está volviendo lentamente más popular.


FORTINET
El análisis del comportamiento utiliza una variedad de métodos para identificar el spam que no se detecta directamente por FortiGuard. Mediante la aplicación de elementos de
heurística y un algoritmo de coincidencia aproximada, que compara el spam detectado recientemente (dentro de los últimos 6 horas) por firmas FortiGuard en el dispositivo en
cuestión, el análisis del comportamiento puede detectar el cambio de muestras de mensajes basura. El análisis del comportamiento es útil para la detección y la prevención de
nuevos brotes de spam de día cero.
Análisis de la cabecera busca la presencia de las entradas de encabezado que se encuentran comúnmente en conjunto en el correo electrónico spam.


FORTINET
Suplantación de correo electrónico es un tipo de ataque de suplantación de correo electrónico que intenta engañar al destinatario mediante una cabecera forjado para
que el mensaje parece ser de un remitente de confianza. A menudo, los individuos son suplantado personal ejecutivo clave cuyos nombres y direcciones de correo
electrónico están públicamente o de fácil acceso - esta técnica se refiere a menudo como ballenero en el mundo de la seguridad de correo electrónico. Utilizando la
función de análisis de suplantación de FortiMail, puede asignar nombres de alto valor de visualización de destino con direcciones de correo electrónico permisibles
específicos. Hay dos tipos de mapeo: dinámico y manual. Por defecto, el tipo de mapeo es manual, pero se puede cambiar a dinámico a través de la CLI. Cuando se
cambia el tipo de asignación a dinámica, que necesita para asegurarse de que el servicio está activado mailstat. mailstat servicio está desactivado por defecto, pero
se puede activar a través de CLI.


FORTINET
Introduzca el nombre de visualización del usuario de alto perfil que el perfil de suplantación protegerá. Puede introducir este nombre usando un comodín o
expresiones regulares. A continuación, introduzca la dirección de correo electrónico asociada con el nombre de visualización del usuario y haga clic crear.
Si el usuario desea asociar varias direcciones de correo electrónico con su nombre para mostrar, crear una entrada de suplantación para cada dirección de correo electrónico.


FORTINET
FortiGuard mantiene un conjunto de reglas heurísticas basadas en el contenido de spam conocidos. Estas reglas heurísticas utilizan perl- expresiones regulares
compatibles (PCRE), una poderosa forma de expresiones regulares, para localizar Spam-atributos identificados dentro de cada mensaje. Estas reglas se actualizan
continuamente a medida que las nuevas amenazas de spam surgen. A medida que se evalúa cada regla en contra del mensaje, se genera una puntuación, lo que
refleja la cantidad de criterios de la regla se encuentra en el mensaje. Cuando termina de procesar FortiMail regla general, se añade la puntuación de la calificación
total del mensaje. Si la puntuación total alcanza o supera el umbral establecido, FortiMail determina que el mensaje es spam. La heurística de exploración puede ser
muy intensivo en recursos.


FORTINET
Cuando se habilita el análisis heurístico en un perfil anti-spam, utiliza dos ajustes para afinar el comportamiento. El primer ajuste, umbral, determina lo que es
necesaria la puntuación total para decidir que un correo electrónico es spam. El valor predeterminado puede ser apropiado para la mayoría de los entornos,
pero se la puede añadir, si hay falsos positivos, o disminuir según sea necesario. Esperar a ajustar este valor varias veces porque no hay valor universal para
que se adapte todas las implementaciones. Si el umbral no está configurado correctamente, puede generar falsos positivos o negativos innecesarios.
El segundo ajuste, el porcentaje de reglas utilizado, especifica qué parte de la lista de reglas se aplica a cada mensaje. El ordenamiento regla es mantenida por
FortiGuard. Las reglas que detectan el correo no deseado son más prevalentes en la parte superior de la lista, y reglas para mayores correo no deseado, más oscura
son más bajos. El ordenamiento regla cambia con el tiempo como FortiGuard responde a la siempre cambiante paisaje de correo no deseado. procesamiento regla
heurística es un proceso intensivo en recursos bastante, por lo que puede utilizar este ajuste para lograr un equilibrio entre el rendimiento y la minuciosidad.


FORTINET
Un SURBL es similar, en su concepto, al filtro FortiGuard URI, pero utiliza los servidores SURBL de terceros. FortiMail extrae URI de mensajes de
correo electrónico y los envía a los servidores SURBL. Los servidores SURBL identificar si se conocen las URIs de estar asociado con el spam.
El DNSBL es similar, en su concepto, a la función de la reputación FortiGuard IP, sino que utiliza los servidores DNSBL de terceros. FortiMail incluirá
los IPs de la cadena de Recibido: cabeceras en las exploraciones DNSBL, si selecciona
Extraer IP del encabezado de recepción, en el perfil antispam. Al igual que la exploración reputación FortiGuard IP, la exploración DNSBL ignora
cualquier RFC 1918 direcciones. Si una IP se blocklisted por el servidor DNSBL, FortiMail trata el correo electrónico como spam y ejecuta la acción
configurada.


FORTINET
Cuando se habilita la palabra prohibida opción Análisis en un perfil antispam, el FortiMail explora el cuerpo asunto y el mensaje de la presencia de
cualquier palabra en una lista de palabras prohibidas. Si un mensaje contiene una o más de las palabras en la lista, FortiMail trata el mensaje como
spam.
palabra de lista segura opción de escaneo escanea el asunto o el cuerpo de un correo electrónico para detectar la presencia de cualquier palabra en una lista de palabras seguras. Si se
encuentra una coincidencia, FortiMail exime al correo electrónico de inspecciones antispam. Otros perfiles de inspección que habilite todavía se aplican.
Para mantener la eficiencia, las listas de palabras soportan caracteres comodín, pero no expresiones regulares o codificaciones juego de caracteres extendidos.


FORTINET
Una exploración diccionario proporciona una manera más flexible para identificar los mensajes de correo electrónico que contengan palabras o frases específicas. Para
utilizar esta función, debe crear un perfil que contiene el diccionario de palabras o frases de interés. Esto puede incluir expresiones regulares, así como la codificación de
juego de caracteres extendidos. Si la exploración encuentra una o más entradas del diccionario en el mensaje de correo electrónico, FortiMail añade el X-FEAS-diccionario: header
a la cabecera del correo, seguido de la palabra del diccionario o patrón que se encuentra en el correo electrónico, y trata el correo como spam. exploraciones del diccionario
son más recursos que las exploraciones de palabras prohibidas, ya que proporcionan una mayor flexibilidad. Para las listas de palabras simples, considerar el uso de
escáneres de palabras prohibidas para mejorar el rendimiento.


FORTINET
FortiMail es capaz de detectar los mensajes de spam que consisten principalmente en GIF incrustadas, imágenes JPEG o PNG con poco o ningún texto en
el cuerpo del mensaje. Muchas de las otras técnicas de detección de spam tienen dificultad con mensajes como este, debido a la falta de texto.
La característica de spam con imágenes analiza las características de las imágenes incrustadas utilizando la lógica difusa desarrollado por FortiGuard para
determinar si el mensaje es spam. Si habilita Agresivo, FortiMail analiza archivos adjuntos de imagen también. El spam con imágenes de exploración puede ser
intensivo de recursos, especialmente si se habilita Agresivo.
Sin embargo, se debe utilizar el escaneo spam de imágenes si los mensajes de spam basados en imágenes están pasando a través de las otras técnicas de spam no
detectados.


FORTINET
El filtrado Bayesiano es una técnica clásica anti-spam que analiza las palabras en un correo electrónico, para determinar la probabilidad de que el correo electrónico es
spam. La técnica compara palabras o fichas con dos bases de datos preexistentes de tokens: una derivada de spam conocido y el otro desde el correo electrónico
limpio. Si existe una correlación más alta de fichas con la colección de correo no deseado, entonces el correo electrónico se marca como correo no deseado. Puede
configurar las colecciones utilizadas para un dominio protegido dado a utilizar una base de datos global, o una base de datos dedicada para cada dominio. Soporte para
bases de datos personales, o bases de datos para cada usuario, se ha eliminado para mejorar el rendimiento.


FORTINET
El filtrado Bayesiano puede funcionar bien, pero requiere la interacción del usuario para seguir siendo eficaz. A medida que los spammers modificar su contenido
para evitar ser detectados por métodos tales como el filtrado bayesiano, debe actualizar continuamente las dos bases de datos con ejemplos frescos. El proceso
de añadir nuevos ejemplos de spam y los mensajes que no son spam, se conoce como la formación de la base de datos. Mientras tanto el administrador y la
comunidad de usuarios finales pueden enviar muestras de entrenamiento a FortiMail, filtrado bayesiano sigue siendo una técnica bastante alto mantenimiento y ya
no se recomienda. Las otras técnicas de detección de spam en FortiMail son más precisos y requieren mucho menos mantenimiento.


FORTINET
La exploración boletín detecta mensajes que pueden ser boletines legítimos y los trata como correo no deseado. Una posibilidad interesante es etiquetar la línea
de asunto de estos mensajes de correo electrónico con “[noticias]” para que el usuario final puede filtrarlos a su cliente de correo electrónico MUA.
Los spammers a veces se disfrazan de correo electrónico para parecerse a boletines de noticias legítimas. La exploración boletín sospechoso examina el
contenido para detectar las características de spam, y ejecuta la acción antispam configurado.


FORTINET
Al igual que en el spam basado en imágenes, los spammers pueden intentar evadir la detección mediante el envío de mensajes que contienen sólo un archivo PDF
adjunto. escaneo PDF convierte la primera página del documento PDF a un formato que es adecuado para su análisis por los métodos de la palabra, heurísticos, y
escaneado de imágenes prohibidas. Debe habilitar al menos uno de estos tres métodos en el perfil antispam.


FORTINET
FortiMail utiliza cuatro niveles de blocklisting y las listas seguras. En orden de prioridad de procesamiento, los niveles son:
• Sistema: FortiMail se aplica entradas en las listas del sistema a todos los dominios protegidos
• Sesión: FortiMail mantiene listas de perfiles de sesión para cada perfil
• Dominio: Cada dominio protegido mantiene su propio bloque y listas seguras
• Personal: Los usuarios individuales también tienen sus propias listas. El usuario final puede gestionar las listas a través del portal de correo web, o bien, el
administrador puede gestionar las listas utilizando la interfaz de gestión.
Para los mensajes que coincidan con una lista segura, FortiMail no pasa por todos los cheques antispam, y el mensaje se procesa a través de cualquier otro perfil de
inspección configurados de la política a juego. entradas de la lista pueden tomar la forma de direcciones de correo electrónico, dominios o direcciones IP. Si un
mensaje coincide con una entrada en una lista de bloques, el mensaje es procesado por el la acción de lista de bloques ajuste. Puede configurar la acción de lista de
bloques de rechazar o descartar el mensaje, o para invocar la acción del perfil antispam juego.


FORTINET
Los spammers utilizan muchos trucos para eludir los mecanismos de seguridad. Uno de estos trucos es suplantar direcciones de encabezado SMTP. El spammer podría
utilizar un emisor legítimo en el sobre CORREO DE: dirección, pero cuando la cabecera de artesanía, que falsificar la Desde: dirección. Desde MUA utilizan las direcciones
de cabecera para mostrar la información de correo electrónico, tales como el De y Para campos, los destinatarios ver el remitente de correo electrónico falsificado. Puede
utilizar las opciones de validación de SPF para detectar direcciones de cabecera falsificados. Puede configurar la validación SPF sólo en la línea de comandos usando los
siguientes comandos:
ajustes de configuración antispam establecer

spf-comprobación <valor> end
los agresiva anti-spoofing trata de opciones tanto de los mensajes de correo electrónico SPF hardfailed y softfailed como spam, y compara la envolvente CORREO
DE: abordar con la cabecera Desde: tratar de detectar la suplantación de identidad. los estricta-anti-spoofing sólo se trata de opciones del SPF hardfailed mensajes
de correo electrónico como spam, y también compara la envolvente CORREO DE: abordar con la cabecera Desde: tratar de detectar la suplantación de identidad.


FORTINET
Los spammers a veces tratan de evitar las medidas antispam ocultando el contenido de spam en las notificaciones de estado de entrega (DSN) o mensajes de
devolución. Los mensajes de DSN no se someten al mismo nivel de procesamiento antispam como el correo electrónico regular, o ninguna en absoluto. En un abuso
inteligente de SMTP, los spammers falsifican la dirección de correo electrónico del objetivo deseado toda vez que la CORREO DE: tratar y utilizar un destinatario
inexistente en RCPT TO: dirección. A continuación, los spammers envían el mensaje a un MTA de retransmisión, que, ya que no puede entregar el mensaje, crea el
DSN y la envía al objetivo previsto del spammer, con el contenido de spam original adjunto. Esta técnica se denomina típicamente como retrodispersión.


FORTINET
Si nos fijamos en el mismo intento de ataque al retrodispersión, pero esta vez con la validación de etiqueta de la dirección de rebote (BATV) activada en el MTA
a.com, el resultado se ve muy diferente. El BATV activar búsquedas MTA para la etiqueta BATV en el encabezado del correo electrónico DSN. Si no encuentra
la etiqueta, el MTA cae el mensaje DSN, en vez de entregarlo al usuario final.
BATV proporciona un mecanismo que puede distinguir entre los mensajes de DSN legítimos y spam retrodispersión, siempre que el DSN fue
generado debido a un mensaje enviado por un dominio FortiMail-protegida particular.


FORTINET
Para configurar BATV en FortiMail, primero debe introducir una clave. La clave puede ser cualquier secuencia de caracteres ASCII. La clave, junto con un valor sal
criptográfica, genera una etiqueta única para cada mensaje. Puede crear nuevas claves si es necesario, pero sólo una clave en la lista puede estar activo en cualquier
momento. Una vez que una clave activa está disponible, permitirá BATV y establecer la acción a ejecutar si falla la validación de etiquetas.
Después de habilitar BATV, FortiMail comienza anteponiendo la clave de la dirección de correo electrónico del remitente en los años sobre SMTP CORREO
DE: campo. FortiMail no altera dirección de correo electrónico del remitente. Si el mensaje no se puede entregar etiquetado, el DSN resultante contiene la
versión etiquetada de la dirección del remitente, ya que el mensaje original se añade al DSN. Cuando el DSN llega a FortiMail, FortiMail busca para esta
etiqueta. Si existe la etiqueta, significa que el DSN se generó para un correo electrónico enviado hacia fuera de uno de los dominios protegidas, y FortiMail
entrega el DSN al destinatario. Si no existe la etiqueta, FortiMail cae el DSN. Para los mensajes de DSN entrantes, el sobre CORREO DE: campo debe estar
en blanco; de lo contrario, FortiMail no llevará a cabo la verificación de rebote en ella. los CORREO DE: dirección de envoltura de un mensaje DSN es
típicamente blanco, para evitar el potencial de crear mensajes de devolución continuas que rebotan hacia atrás y adelante para siempre.


FORTINET
Ciertos MTA rechazan los mensajes de correo electrónico que tienen etiquetas de BATV en el encabezado del correo electrónico, ya sea deliberadamente o debido a errores
de configuración. Para permitir la transmisión de correo electrónico con éxito entre FortiMail y estas MTA, debe excluir los MTA de BATV etiquetado. Correo electrónico
enviado desde FortiMail a los MTA en la lista de exentos de etiquetado no tendrá las etiquetas de BATV añadido a sus cabeceras.
Otros MTA no anexar el mensaje original de correo electrónico a la DSN. Si el correo electrónico original no se añade a la DSN, el correo electrónico no será tener una
etiqueta BATV, y falla la verificación de etiquetas. Para excluir estos MTA de verificación de etiquetas, añadirlos a la Verificación Lista Exento.


FORTINET
En el cliente de correo electrónico, cuando se abre el mensaje de DSN, verá la transcripción DSN junto con el correo electrónico original, que se adjunta.


FORTINET
Registros muestran que el correo electrónico fue descartado porque no la verificación de rebote.


FORTINET
Cada vez que un correo electrónico activa una acción anti-spam, FortiMail añade una cabecera X-FEAS. Estas cabeceras muestran la técnica antispam específico
identificado, así como el valor relevante que lo desencadenó. Esta diapositiva muestra una lista de las etiquetas de cabecera FortiMail utilizados en la exploración
antispam. Estas etiquetas son herramientas útiles para la solución de problemas y la comprensión de lo que sucedió a un mensaje de correo electrónico.


FORTINET
FortiMail lleva a cabo cada una de las acciones de exploración antispam y otras acciones, en un orden específico. Acciones que se toman, como resultado de la
exploración se pueden clasificar de la siguiente manera:
• acciones finales:
• Rechazar, desechar, cuarentena personal, y la cuarentena sistema.
• Si se toman estas medidas, será procesada no más exploración adicional
• acciones no finales:
• Tag, añadir cabecera, reemplazar, archivar, notificar, BCC, reescribir, y cifrar.
• Si una o más de estas acciones se toman, FortiMail mantendrá procesar el correo electrónico con otras exploraciones La secuencia de
ejecución de las técnicas antispam se puede encontrar en el Guía de administración FortiMail.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo técnicas antispam y diferentes maneras de bloquear el spam. Ahora, usted aprenderá
acerca de la gestión de cuarentena personal.


FORTINET
Al completar esta sección, usted debería ser capaz de alcanzar los objetivos que se muestran en esta diapositiva. Demostrando competencia en la gestión
de cuarentena personal, usted será capaz de gestionar los informes de cuarentena y acceder a una cuarentena de personal a través de correo web.


FORTINET
FortiMail puede generar un informe de cuarentena para cada usuario final, para notificarles de cualquier correo electrónico en su buzón de cuarentena. FortiMail envía
los informes en un horario. Los informes se generan sólo para buzones que contienen correo electrónico en cuarentena.
Dependiendo de la configuración del perfil de acción, los usuarios pueden utilizar cualquiera de las acciones de correo electrónico o la Web acciones para liberar o eliminar los mensajes en
cuarentena.


FORTINET
Los usuarios pueden acceder a su cuarentena personal a través de la web.

Cuando FortiMail está funcionando en modo de puerta de enlace, puede acceder a mensajes de correo electrónico a través de cuarentena sólo el Abultar carpeta. Además de cuarentena
de acceso personal, en modo servidor, FortiMail correo web también proporciona acceso a la bandeja de entrada, libreta de direcciones y otras características.


FORTINET
Puede establecer las siguientes preferencias:

• copia modificada: El mensaje de correo electrónico para ser entregados o puestos en cuarentena no es el original. Ha sido modificado por las acciones
FortiMail coincidentes.
• copia sin modificar: T él mensaje de correo electrónico se envíe o puesto en cuarentena todavía contiene el encabezado y el cuerpo original. Sin embargo, el
destinatario del sobre o RCPT TO podría haber sido reescrito por el perfil de acción pertinente.
Cuando el contenido HTML se convierte en texto, si decide entregar la copia no modificada, FortiMail ofrece la versión HTML del mensaje.
Si decide entregar la copia modificada, FortiMail ofrece la versión en texto plano.


FORTINET
los Informe de cuarentena pestaña le permite configurar diversos aspectos de todo el sistema del informe de cuarentena, incluyendo la programación
cuando FortiMail envía informes.
Configuración de un nombre de host alternativo para la liberación web y elimine los enlaces, puede ser útil si el nombre o la gestión de dominio local IP de FortiMail no
se puede resolver de todas partes que los usuarios de correo electrónico utilizarán sus informes de cuarentena. En ese caso, puede anular el enlace versión web para
utilizar un nombre de host a nivel mundial resoluble o la dirección IP.


FORTINET
Al configurar FortiMail para enviar correo electrónico no deseado en cuarentena personal de un usuario, el usuario puede borrar el correo electrónico en cuarentena o
liberar a su bandeja de entrada. El administrador de la interfaz gráfica de usuario puede visualizar los mensajes contenidos en cuarentena del usuario y distinguir entre los
mensajes emitidos y no publicadas. Cuando los usuarios lanzan mensajes de correo electrónico de su cuarentena personal, los mensajes etiquetados como Publicado.


FORTINET
Al iniciar sesión en la interfaz gráfica de usuario de correo web, los usuarios pueden revisar los detalles del mensaje de correo electrónico y liberar cualquier mensaje de correo electrónico
que son falsos positivos. El mensaje de correo electrónico a continuación, se libera de cuarentena y entregado a la bandeja de entrada del usuario.


FORTINET


FORTINET
¡Felicidades! Ha completado esta lección.
Ahora, va a revisar los objetivos que están cubiertos en esta lección.


FORTINET
Por el dominio de los objetivos cubiertos en esta lección, ha aprendido a utilizar las técnicas de antivirus y antispam en FortiMail.

FortiMail 6.0 Study Guide-Online (179-241) .En - Es

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

FortiMail 6.0 Study Guide-Online (179-241) .En - Es

Cargado por

Copyright:

Formatos disponibles

• Antivirus y Antispam

No puede ser reproducido ©

En esta lección, usted aprenderá acerca de antivirus y antispam técnicas en la FortiMail.

FortiMail 6.0 Guía de estudio 179

No puede ser reproducido ©

En esta lección, explorará los temas que se muestran en esta diapositiva.

FortiMail 6.0 Guía de estudio 180

No puede ser reproducido ©

FortiMail 6.0 Guía de estudio 181

No puede ser reproducido ©

FortiMail 6.0 Guía de estudio 182

No puede ser reproducido ©

Esta diapositiva muestra el flujo del proceso para la detección antimalware.

FortiMail 6.0 Guía de estudio 183

No puede ser reproducido ©

agregar esas sumas de comprobación de Seguridad> Otros> firma del archivo.

FortiMail 6.0 Guía de estudio 184

No puede ser reproducido ©

FortiMail 6.0 Guía de estudio 185

No puede ser reproducido ©

FortiMail 6.0 Guía de estudio 186

No puede ser reproducido ©

FortiMail 6.0 Guía de estudio 187

No puede ser reproducido ©

FortiMail 6.0 Guía de estudio 188

No puede ser reproducido ©

FortiMail 6.0 Guía de estudio 189

No puede ser reproducido ©

aprenderá sobre el perfil antispam.

FortiMail 6.0 Guía de estudio 190

No puede ser reproducido ©

acción antispam apropiado.

FortiMail 6.0 Guía de estudio 191

No puede ser reproducido ©

FortiMail 6.0 Guía de estudio 192

No puede ser reproducido ©

un usuario autenticado no siempre es un remitente seguro.

FortiMail 6.0 Guía de estudio 193

No puede ser reproducido ©

configurar que en el perfil de acción Antispam también.

FortiMail 6.0 Guía de estudio 194

No puede ser reproducido ©

FortiMail 6.0 Guía de estudio 195

No puede ser reproducido ©

acerca de las técnicas antispam.

FortiMail 6.0 Guía de estudio 196

No puede ser reproducido ©

FortiMail 6.0 Guía de estudio 197

No puede ser reproducido ©

FortiMail 6.0 Guía de estudio 198

No puede ser reproducido ©

FortiMail 6.0 Guía de estudio 199

No puede ser reproducido ©

Configuración del sistema antispam FortiGuard conjunto brote a la

FortiMail 6.0 Guía de estudio 200

No puede ser reproducido ©

FortiMail 6.0 Guía de estudio 201

No puede ser reproducido ©

FortiMail 6.0 Guía de estudio 202

No puede ser reproducido ©

FortiMail 6.0 Guía de estudio 203

No puede ser reproducido ©

FortiMail 6.0 Guía de estudio 204