Treinamento FortiMail

PECONECTADO II
Objetivos
• Definir os conceitos gerais da ferramenta
• Compreender o fluxo da informação (entrada e saída de e-mails) na
topologia do PECONECTADO II
• Resolver problemas (troubleshooting) evolvendo a ferramenta
• Realizar configurações básicas na ferramenta
A ferramenta
O FortiMail oferece proteção avançada multicamadas contra todo o espectro de ameaças
transmitidas por e-mail. Desenvolvido pela inteligência de ameaças do FortiGuard Labs e integrado
ao Fortinet Security Fabric, o FortiMail ajuda sua organização a prevenir, detectar e responder a
ameaças baseadas em e-mail, incluindo spam, phishing, malware, ameaças de dia zero,
representação e ataques de comprometimento de e-mail comercial (BEC).
Funcionalidades
Segurança multicamadas
Principais vantagens do FortiMail
O FortiMail oferece proteção abrangente e comprovada contra ameaças de e-mail a um custo de
desempenho líder do setor. A solução oferece opções de implantação flexíveis e modos de operação para
ambientes de e-mail híbridos, baseados na nuvem ou no local, incluindo soluções gerenciadas.

O FortiMail integra recursos avançados para proteger contra ameaças em evolução, como phishing,
malware, ransomware, representação e ataques BEC (Business Email Compromise). Com o FortiMail, você
obtém:

• Recursos poderosos e integrados para prevenir, detectar e responder às ameaças baseadas em e-mail

• Opções de implantação flexíveis para lidar com casos de uso de e-mail no local, na nuvem e híbrido

• Escolha de modos de operação, incluindo suporte à API para Microsoft 365

Protocolos
Protocolos de e-mail
Existem vários protocolos de e-mail padrão predominantes:

• SMTP

• POP3

• IMAP

• HTTP e HTTPS
SMTP
• SMTP (Simple Mail Transfer Protocol) é o protocolo padrão para o envio de e-mails entre:
• Dois agentes de transferência de correio (MTA)
• Um agente de usuário de email (MUA) e um MTA
• As comunicações SMTP geralmente ocorrem na porta TCP número 25 e SMTPS geralmente
ocorre na porta TCP número 465.
• Quando um usuário de e-mail envia um e-mail, seu MUA usa SMTP para enviar o e-mail para um
MTA, que geralmente é seu servidor de e-mail. O MTA usa o SMTP para entregar direta ou
indiretamente o e-mail ao servidor de e-mail de destino que hospeda o e-mail para o usuário de
e-mail destinatário.
• Quando um MTA se conecta ao servidor de email de destino, ele determina se o destinatário
existe no servidor de email de destino.
POP3
• Post Office Protocol versão 3 (POP3) é um protocolo padrão usado por clientes de email para
recuperar e-mails que foram entregues e armazenados em um servidor de email.

• As comunicações POP3 geralmente ocorrem na porta TCP número 110.

• Ao contrário do IMAP, depois que um cliente POP3 baixa um e-mail para o computador do
usuário de e-mail, uma cópia do e-mail geralmente não permanece no disco rígido do servidor
de e-mail. A vantagem disso é que ele libera espaço no disco rígido no servidor.
IMAP
• Internet Message Access Protocol (IMAP) é um protocolo padrão usado por clientes de email
para recuperar e-mails que foram entregues e armazenados em um servidor de email.

• As comunicações IMAP geralmente ocorrem na porta TCP número 143.

• A menos que configurado para disponibilidade offline, os clientes IMAP normalmente baixam
inicialmente apenas o cabeçalho da mensagem. Eles baixam o corpo da mensagem e os anexos
somente quando o usuário de e-mail seleciona ler o e-mail.
HTTP & HTTPS
• Os protocolos de transferência de hipertexto (HTTP/HTTPS) seguros e não seguros, embora não
sejam estritamente para o transporte de e-mails, são frequentemente usados por aplicativos de
webmail para exibir e-mails armazenados remotamente.

• As comunicações HTTP geralmente ocorrem na porta TCP número 80; As comunicações HTTPS
geralmente ocorrem na porta TCP número 443.
Função DNS na entrega de email
• O SMTP como é normalmente usado depende do DNS para determinar o servidor gateway de
email (MX) para um nome de domínio e para resolver nomes de domínio em endereços IP. Como
tal, você geralmente deve configurar servidores de e-mail e unidades FortiMail para poder
consultar um servidor DNS.

• Além disso, você também pode ser solicitado a configurar o servidor DNS com um registro MX,
um registro A e um registro DNS reverso para nomes de domínio protegidos e para o nome de
domínio da própria unidade FortiMail.
Modos de Implementação
Modo Gateway
• MTA de entrada e saída com segurança de camada de aplicativo.
• Requer uma alteração de registro MX do DNS ou uma alteração de regra NAT de destino.
• Todos os e-mails recebidos passam primeiro pelo FortiMail e, em seguida, são roteados para um
servidor de e-mail de back-end.
Modo Transparente
• O registro MX do DNS ou as alterações de regra de DNAT não são necessárias.
• Localizado fisicamente no caminho SMTP.
• Intercepta e-mail, mesmo que o endereço IP de destino não seja FortiMail.
Modo Servidor
• Servidor de e-mail completo com segurança de camada de aplicativo.
• Recebe, inspeciona e entrega e-mails para caixas postais de usuários armazenadas em um
banco de dados local.
Registros
Registro MX
• Os registros MX (Mail Exchanger) são configurados em um servidor DNS. Os registros MX de um
nome de domínio indicam servidores de email designados ou gateways de email que entregam
e-mails a esse domínio e sua ordem de preferência. Em sua forma mais simples, os registros MX
usam o seguinte formato:
example.com IN MX 10 mail.example.com
onde:
• example.com é o nome do domínio
• IN indica a classe de protocolo da Internet
• MX indica que o registro de recurso DNS é do tipo MX
• 10 indica a ordem de preferência (valores maiores indicam preferência mais baixa)
• mail.example.com é o nome do host de um servidor de e-mail ou gateway
• Quando um cliente de email envia um email, o MTA do remetente consulta um servidor DNS
para o registro MX do nome de domínio no endereço de email do destinatário. Para resolver o
nome do host do MTA referenciado pelo registro MX, ele consulta o registro A do MTA de
destino. Esse registro A fornece o endereço IP do servidor de email ou gateway. O MTA do
remetente tenta entregar o e-mail para esse endereço IP.

• Por exemplo, se o endereço de e-mail do destinatário for user1@example.com, para entregar o

e-mail, o MTA do remetente consultará os registros MX e A para determinar o endereço IP do
gateway de e-mail de example.com.

Se a unidade do FortiMail operar no modo gateway ou no modo de servidor, ou no modo transparente enquanto
não for totalmente transparente, configure o registro MX para se referir à unidade FortiMail e remova outros
registros MX.
A Record
• Os registros de endereço (registros A) são configurados em um servidor DNS. Um registro
indica o endereço IP para o qual um nome de host é resolvido. Em sua forma mais simples, os
registros A usam o seguinte formato:

mail IN A 192.168.1.10
onde:
• Mail é o nome do host
• IN indica a classe de protocolo da Internet
• A indica que o registro de recurso DNS é do tipo de endereço IPv4
• 192.168.1.10 indica o endereço IP que hospeda o nome de domínio
• Quando um cliente de email envia um email, o MTA do remetente consulta um servidor DNS
para o registro MX do nome de domínio no endereço de email do destinatário. Para resolver o
nome do host do MTA referenciado pelo registro MX, ele consulta o registro A do MTA de
destino. Esse registro A fornece o endereço IP do servidor de email ou gateway. O MTA do
remetente tenta entregar o e-mail para esse endereço IP.

• Você deve configurar o servidor DNS público para seus nomes de host com um registro A para
resolver os nomes de host referenciados em registros MX e o nome de host da unidade
FortiMail, se houver. Por exemplo, se um registro MX for:
example.com IN MX 10 fortimail.example.com

O registro A necessário no arquivo de zona de example.com pode ser:

fortimail IN A 192.168.1.15
Processamento de e-mails
Como o FortiMail processa o e-mail
• As unidades do FortiMail recebem e-mails para domínios de e-mail definidos e retransmissão de
controle de e-mail para outros domínios. O e-mail que passa pela unidade FortiMail pode ser
verificado em busca de vírus e spam. Políticas e perfis regem como a unidade FortiMail verifica
e-mails e o que ela faz com mensagens de e-mail contendo vírus ou spam.

• Além de políticas e perfis, outros itens configurados, como domínios de e-mail, podem afetar a
forma como sua unidade FortiMail processa e-mails.
Domínios de e-mail
• Um domínio de e-mail é um conjunto de contas de e-mail que residem em um determinado
servidor de e-mail. O nome de domínio de e-mail é a parte do endereço de e-mail do usuário
após o símbolo "@".
Regras de controle de acesso
• As regras de controle de acesso permitem que você controle como as mensagens de email se
movem para, de e através da unidade FortiMail. Usando regras de controle de acesso, a unidade
FortiMail pode analisar mensagens de email e executar ações com base no resultado. As
mensagens podem ser examinadas de acordo com o endereço de e-mail do remetente, o
endereço de e-mail do destinatário e o endereço IP ou o nome do host do sistema que entrega a
mensagem de e-mail.

• Cada regra de controle de acesso especifica uma ação a ser executada para o email
correspondente.
Verificação do endereço do destinatário
• A verificação do endereço do destinatário garante que a unidade FortiMail rejeite e-mails com
destinatários inválidos e não os digitalize ou envie para o servidor de e-mail protegido. Essa
verificação pode reduzir a carga na unidade FortiMail quando um spammer tenta enviar
mensagens para todos os nomes de destinatários possíveis no servidor de e-mail.

• Normalmente, você pode usar o servidor de e-mail para executar a verificação de endereço. Isso
funciona com a maioria dos servidores de e-mail que fornecem uma resposta a endereços
inválidos (User unknown).
Viewing sender, authentication and endpoint
reputation
• O FortiMail rastreia e exibe os status de reputação de clientes SMTP (reputação do remetente),
acessos de login (reputação de autenticação) e pontos de extremidade da operadora (reputação
do ponto de extremidade).

• A unidade FortiMail rastreia o comportamento do cliente SMTP para limitar as entregas desses
clientes que enviam mensagens de spam excessivas, e-mails infectados ou mensagens para
destinatários inválidos. Caso os clientes continuem entregando esses tipos de mensagens, suas
tentativas de conexão serão temporária ou permanentemente rejeitadas. A reputação do
remetente é gerenciada pela unidade FortiMail e não requer administração.
• A reputação do remetente é um recurso Antispam predominantemente automático, exigindo
pouca ou nenhuma manutenção. Para cada cliente SMTP de conexão (às vezes chamado de
remetente), o recurso de reputação do remetente registra o endereço IP do remetente e o
número de e-mails bons e ruins do remetente.

Nesse caso, o e-mail incorreto é definido como:

• Spam
• Infectado por vírus
• Destinatários desconhecidos
• DKIM inválido
• Falha na verificação do SPF

• O recurso de reputação do remetente calcula a pontuação de reputação atual do remetente

usando a proporção de e-mail bom para e-mail ruim e executa uma ação com base nessa
pontuação.
Técnicas Antispam
• A detecção de spam é uma característica fundamental da unidade FortiMail. O recurso é baseado
em duas camadas de defesa contra spam:
• Técnicas Antispam do FortiMail
• Serviço FortiGuard Antispam

• Cada camada desempenha um papel importante na separação de spam de e-mails legítimos. O

FortiGuard Antispam oferece um serviço gerenciado altamente ajustado para a classificação de
spam, enquanto a unidade FortiMail oferece tecnologias superiores de detecção e controle
Antispam.

• Além de verificar as mensagens de e-mail recebidas, as unidades do FortiMail também podem

inspecionar o conteúdo das mensagens de e-mail de saída. Isso pode ajudar a eliminar a
possibilidade de que um funcionário ou um computador comprometido possa enviar spam,
resultando na lista de bloqueios dos servidores de e-mail da sua organização.
Greylist
• A varredura Greylist bloqueia spam com base no comportamento do servidor de envio, em vez do
conteúdo das mensagens. Ao receber um e-mail de um servidor desconhecido, a unidade FortiMail
rejeitará temporariamente a mensagem. Se o e-mail for legítimo, o servidor de origem tentará
enviá-lo novamente mais tarde (RFC 2821), momento em que a unidade FortiMail o aceitará. Os
spammers normalmente abandonam outras tentativas de entrega para maximizar a taxa de
transferência de spam.
As vantagens da lista cinza incluem:
• Greylisting é de baixa manutenção e não exige que você mantenha manualmente listas de endereços
IP, listas de bloqueio ou listas seguras ou listas de palavras. A unidade FortiMail obtém e mantém
automaticamente as informações necessárias.

• O spam bloqueado pela lista cinza nunca é submetido a outras varreduras antispam. Isso pode
economizar quantidades significativas de recursos de processamento e armazenamento. Por esse
motivo, habilitar a lista cinza pode melhorar o desempenho do FortiMail.

• Mesmo que um spammer se adapte à lista cinza tentando enviar spam novamente, o período de
atraso da lista cinza pode dar tempo para que os servidores FortiGuard Antispam e DNSBL
descubram e bloqueiem a fonte de spam. No momento em que o spammer finalmente consegue
enviar o e-mail, outras varreduras antispam são mais propensas a reconhecê-lo como spam.
Quando um cliente SMTP tenta entregar uma mensagem de email pela primeira vez por meio da
unidade FortiMail, o mecanismo de varredura de lista cinza examina a combinação da mensagem de
email de:
• endereço de e-mail do remetente no envelope da mensagem (MAIL FROM:)

• endereço de e-mail do destinatário no envelope da mensagem (RCPT TO:)

• Endereço IP do cliente SMTP

 Block / Safe list
• Existem vários tipos de listas de bloqueio e listas seguras: perfil em todo o sistema, por domínio, por
usuário e por sessão. Há vários lugares na interface do usuário da Web onde você pode configurar essas
listas de bloqueio e listas seguras.

• Como uma das primeiras etapas para detectar spam, as unidades do FortiMail avaliam se uma mensagem
de e-mail corresponde a uma lista de bloqueios ou entrada de lista segura.

• Geralmente, as listas seguras têm precedência sobre as listas de bloqueios. Se a mesma entrada
aparecer em ambas as listas, a entrada será protegida. Da mesma forma, as listas de todo o sistema
geralmente têm precedência sobre as listas por domínio, enquanto as listas por domínio têm precedência
sobre as listas por usuário.
 Outras verificações de segurança
• DKIM – (Domain Keys Identified Mail) é uma forma de autenticação por email que adiciona assinaturas de
criptografia digital para as mensagens de correio eletrônico. Isso garante que o email vem de uma fonte
confiável e que ele não foi alterado ou forjado no período de trânsito entre os servidores de envio e de
recebimento.

• SPF - (Sender Policy Framework), é um sistema que evita que outros domínios, enviem e-mails não autorizados
em nome de um domínio. Essa opção compara o endereço IP do cliente com os endereços IP de remetentes
autorizados no registro DNS (RFC 4408). Se falhar, trate o e-mail como spam.

• DMARC – (Domain-based Message Authentication, Reporting & Conformance), é um protocolo de autenticação,

política e relatório de e-mail. Ele se baseia nos protocolos SPF e DKIM amplamente implantados, adicionando
vinculação ao nome de domínio do autor ("De:"), políticas publicadas para o tratamento de falhas de
autenticação pelo destinatário e relatórios de receptores para remetentes, para melhorar e monitorar a
proteção do domínio contra e-mails fraudulentos. O DMARC executa a autenticação de e-mail com verificação
SPF e DKIM. Se falhar, trate o e-mail como spam.
Acessando a ferramenta
• O acesso a ferramenta dá-se pela URL:
https://asmail.peconectado.pe.gov.br/admin
Navegando nas guias...
Referências
¹
https://www.fortinet.com/br/products/email-security

² https://docs.fortinet.com/document/fortimail/7.0.2/administration-
guide/521188/how-fortimail-processes-email

³
https://docs.fortinet.com/document/fortimail/7.0.0/cookbook/469617/antis
pam
 Obrigado!
Éverton Santos
everton.santos@vectracs.com.br
+55 (81) 3181-8060
vectracs.com.br
@vectra.cs