Puede habilitar APT Blocker en los servidores proxy SMTP e IMAP para ayudar a proteger su red de ataques de día cero enviados en archivos adjuntos de correo electrónico. Un ataque de día cero es un nuevo ataque que no ha sido analizado e identificado.
Cuando habilita APT Blocker en los servidores proxy SMTP e IMAP, los servidores proxy envían archivos adjuntos de correo electrónico para el análisis de APT Blocker, y toman la acción de APT Blocker configurada según el nivel de amenaza detectado.
APT Blocker en el proxy SMTP
Cuando habilita APT Blocker en una acción de proxy SMTP, puede controlar cómo el proxy SMTP gestiona la entrega de mensajes que tienen archivos adjuntos que se deben enviar para el análisis de APT Blocker.
Cuando habilita APT Blocker en el proxy SMTP, la opción Liberar los mensajes inmediatamente cuando los archivos adjuntos se envíen para el análisis de APT Blocker está habilitada de forma predeterminada. Con esta opción habilitada, cuando el proxy SMTP recibe un mensaje con un archivo adjunto que tiene un valor MD5 que no coincide con un archivo previamente analizado, libera un mensaje mientras envía el archivo para el análisis de APT Blocker.
Si deshabilita esta opción, cuando el proxy SMTP recibe un mensaje con un archivo adjunto que tiene un valor MD5 que no coincide con un archivo previamente analizado, el proxy retiene el mensaje mientras envía el archivo adjunto para el análisis de APT Blocker. Después de completar el análisis de APT Blocker de todos los archivos adjuntos, el proxy SMTP toma la acción del APT Blocker configurado dependiendo de la puntuación de amenaza de APT Blocker para los archivos adjuntos.
El proxy SMTP envía los archivos para el análisis de APT Blocker de uno en uno. Para reducir las demoras en la entrega de mensajes con varios archivos adjuntos, los remitentes pueden adjuntar varios archivos como un solo archivo. El proxy SMTP envía todos los archivos adjuntos en un solo archivo para el análisis de APT Blocker al mismo tiempo.
Si el proxy SMTP recibe el resultado del análisis de APT Blocker antes de que el tiempo de espera del MTA de envío se agote, el proxy toma la acción de APT Blocker configurada según el nivel de amenaza de APT Blocker. Si el tiempo de espera del MTA de envío se agota antes de que se complete la transacción, el mensaje no se entrega, y el MTA de envío debe volver a intentarlo. Cuando el MTA de envío reenvía el mensaje, el proxy SMTP utiliza el resultado MD5 del análisis de archivos previo para que coincida con el valor MD5 del archivo y tomar la acción del APT Blocker configurado.
Si el Firebox no puede conectarse al centro de datos para enviar el archivo para el análisis de APT Blocker, APT Blocker permite el paso del mensaje.
Para más información acerca de cómo configurar APT Blocker en el proxy SMTP, consulte Proxy SMTP: APT Blocker.
APT Blocker en el proxy IMAP
Cuando APT Blocker está habilitado en el proxy IMAP, el proxy no recupera un mensaje a menos que todos los archivos adjuntos hayan sido analizados por APT Blocker. Si un mensaje tiene archivos adjuntos que no han sido analizados por APT Blocker, el proxy IMAP retiene el mensaje mientras envía los archivos para el análisis de APT Blocker. Si un mensaje tiene más de un archivo adjunto, el proxy IMAP envía todos los archivos adjuntos del mensaje para el análisis de APT Blocker al mismo tiempo. El análisis de APT Blocker puede introducir una breve demora en la recuperación de mensajes.
A diferencia del proxy SMTP, el proxy IMAP siempre contiene un mensaje cuando envía archivos adjuntos para el análisis de APT Blocker.
Si el proxy IMAP recibe el resultado del análisis de APT Blocker antes de que el tiempo de espera del servidor IMAP se agote, el proxy toma la acción de APT Blocker configurada según el nivel de amenaza de APT Blocker. Si el tiempo de espera del servidor IMAP se agota antes de que se complete la transacción, el mensaje no se recuperará. Cuando el cliente IMAP intenta recuperar el mensaje nuevamente más tarde, el proxy IMAP utiliza el resultado MD5 del análisis de archivos previo para que coincida con el valor MD5 del archivo y tomar la acción del APT Blocker configurado.
Si el Firebox no puede conectarse al centro de datos para enviar el archivo para el análisis de APT Blocker, APT Blocker permite el paso del mensaje.
Para algunos clientes de correo electrónico (por ejemplo, Outlook), la conexión se deniega de forma predeterminada durante el proceso de sincronización. Debe reiniciar el cliente de correo electrónico. Cuando se reinicia el cliente de correo electrónico, el proceso de sincronización se completa con éxito y el cliente de correo electrónico puede continuar enviando y recibiendo mensajes.
Para más información acerca de cómo configurar APT Blocker en el proxy IMAP, consulte Proxy IMAP: APT Blocker.