Forefront Protection for Exchange: Filtros AntiSpam Filtros Antispam en Forefront Protection for Exchange Adicionalmente a las capacidades de filtros Antispam que ofrece Microsoft Exchange Server, Microsoft Forefront Protection for Exchange 2010 proporciona diferentes filtros globales para capacidades de detección y/o eliminación de elementos en correos electrónicos. Estos filtros se aplican como opciones de configuración manual por parte del administrador, para controlar la mensajería electrónica atendiendo a criterios de la organización. Estos filtros deben estar habilitados, tal y como se vio en el artículo de Forefront Protection for Exchange: Habilitar protección AntiSpam. Los tipos de filtros que se pueden aplicar son: Filtrado de remitentes permitidos: Permite que se omitan determinados tipos de filtros a los remitentes que se especifiquen. Es una lista blanca de remitentes a los que no se les aplicarán el resto de filtros. Archivo: Filtrará mensajes que contengan nombres o tipos de datos adjuntos a correos electrónicos. Palabra clave: Permite establecer criterios de palabras en el cuerpo del mensaje para el bloqueo de correos electrónicos. Línea de asunto: Similar al filtro anterior pero la detección se realizará sólo en el asunto del mensaje. Remitente o dominio: Permite filtrar mensajes de remitentes o dominios que se especifiquen. Es una lista negra de remitentes. Aplicación de Filtros Antispam en Forefront Protection for Exchange La aplicación o no de los filtros dependerá del rol de Microsoft Exchange Server donde se encuentre instalado Microsoft Forefront Protection for Exchange. La siguiente tabla muestra los filtros que se podrán aplicar en función del rol o tarea a realizar. Figura 1: Aplicación de filtros En la Figura 1, la aplicación del filtro en transporte se refiere el análisis del correo en los roles de Microsoft Exchange Server de Edge Transport y Hub Transport. Por otro lado, la aplicación de filtros en tiempo real, programados o a petición se realiza directamente sobre el buzón del usuario. Administración de Filtros Antispam en Forefront Protection for Exchange La consola de administración permite configurar las opciones para cada uno de los filtros de detección admitidos. La siguiente imagen muestra la posibilidad de establecer las configuraciones, habilitando o no, cada uno de los tipos de filtrados, en función del sistema de detección designado.
Transcript
Forefront Protection for Exchange: Filtros AntiSpam Filtros Antispam en Forefront Protection for Exchange Adicionalmente a las capacidades de filtros Antispam que ofrece Microsoft Exchange Server, Microsoft Forefront Protection for Exchange 2010 proporciona diferentes filtros globales para capacidades de detección y/o eliminación de elementos en correos electrónicos. Estos filtros se aplican como opciones de configuración manual por parte del administrador, para controlar la mensajería electrónica atendiendo a criterios de la organización. Estos filtros deben estar habilitados, tal y como se vio en el
artículo de Forefront Protection for Exchange: Habilitar protección AntiSpam. Los tipos de filtros que se pueden aplicar son:
Filtrado de remitentes permitidos: Permite que se omitan determinados tipos de filtros a los remitentes que se especifiquen. Es una lista blanca de remitentes a los que no se les aplicarán el resto de filtros.
Archivo: Filtrará mensajes que contengan nombres o tipos de datos adjuntos a correos electrónicos. Palabra clave: Permite establecer criterios de palabras en el cuerpo del mensaje para el bloqueo de correos electrónicos.
Línea de asunto: Similar al filtro anterior pero la detección se realizará sólo en el asunto del mensaje.
Remitente o dominio: Permite filtrar mensajes de remitentes o dominios que se especifiquen. Es una lista negra de remitentes.
Aplicación de Filtros Antispam en Forefront Protection for Exchange La aplicación o no de los filtros dependerá del rol de Microsoft Exchange Server donde se encuentre instalado Microsoft Forefront Protection for Exchange. La siguiente tabla muestra los filtros que se podrán aplicar en función del rol o tarea a realizar.
Figura 1: Aplicación de filtros En la Figura 1, la aplicación del filtro en transporte se refiere el análisis del correo en los roles de Microsoft Exchange Server de Edge Transport y Hub Transport. Por otro lado, la aplicación de filtros en tiempo real, programados o a petición se realiza directamente sobre el buzón del usuario.
Administración de Filtros Antispam en Forefront Protection for Exchange La consola de administración permite configurar las opciones para cada uno de los filtros de detección admitidos. La siguiente imagen muestra la posibilidad de establecer las configuraciones, habilitando o no, cada uno de los tipos de filtrados, en función del sistema de detección designado.
Figura 2: Configuración de filtrado para los sistemas de tiempo real y programados Cada tipo de filtrado permite identificar y mostrar, de alguna forma, al usuario receptor del mensaje, que el correo no ha superado dicho filtro. Por ejemplo en el caso del filtro de archivo, se especifica el texto con el que se sustituirá la eliminación del mismo. La siguiente Figura 3 muestra el texto editado
del filtro de archivo en tiempo real, en el cual se hace una alusión a la posible normativa interna de la organización.
Figura 3: Mensaje de eliminación en filtro de archivo
En el caso de que el correo no haya superado alguno de los sistemas de filtrado, como el ejemplo de la eliminación de fichero visto en la parte anterior, además de la aplicación del propio filtro, se establece la posibilidad de indicar, mediante un asunto especial, éste hecho. La siguiente imagen muestra el texto que se mostraría en el asunto de los correos sujetos a filtrado.
Figura 4: Identificación de spam marcado en la línea de asunto
Las estrategias que pueden aplicar las organizaciones para la aplicación de filtros son diferentes. Dependerá en este hecho el número de roles y servidores con los que cuente y la cantidad de filtros que se pretendan aplicar. Evidentemente, a mayor número de filtros, mayor será el posible retardo en la entrega de correos. Para evitar cuellos de botella se pueden establecer diferentes filtros en el transporte o en tiempo real. Los filtros más pesados pueden establecerse bajo tarea programada, realizándose por la noche cuando el impacto en el servicio sea menor. Es importante también determinar, en el caso del sistema de filtrado en trasporte, la dirección en la que se realizarán las detecciones, es decir, tanto de correo de entrada como de salida. Aunque habitualmente se presentan los servicios como mecanismos para proteger los sistemas internos,
bloqueando mensajes que vienen del exterior, nunca hay que despreciar las fugas de información. Las empresas están empezando a sensibilizarse con este hecho y el control de los datos que viajan en el correo electrónico debiera ser un hecho a tener en cuenta. De forma predeterminada el sistema de filtrado controla también los ficheros comprimidos, de tal forma que estos serán examinados según los patrones generales estipulados para el servidor Microsoft Forefront Protectiton for Exchange. Estas configuraciones establecen el comportamiento del servicio frente a adjuntos comprimidos y pueden ser modificadas a través de las opciones avanzadas.
Figura 5: Configuración global para ficheros comprimidos
Filtro de línea de asunto Dentro de las opciones que aporta Microsoft Forefront Protectiton for Exchange a una organización, el de controlar correos entrantes en una organización que han superado el filtrado de correo no deseado, es una posibilidad. Es factible que determinados correos puedan entrar en la organización con
cualidades comunes y no por ello debieran ser interpretados como Spam. Por ejemplo correos en idiomas no aplicables en la organización o aquellos que son generados por aplicaciones automatizados que detectan direcciones electrónicas públicas existentes por ejemplo en la extranet. Estos correos utilizan patrones fácilmente definidos que permiten que sean bloqueados mediante la aplicación de filtros en FPE. El siguiente ejemplo muestra la creación de un filtro que permite identificar correos que en su línea del asunto aparece la palabra “Hi”. Dentro de la consola de administración en la lista de filtros se podrán crear aquellos necesarios en función de las capacidades del servidor donde se apliquen. La siguiente figura muestra el inicio del asistente para la creación de un filtro. Este comienza especificando el tipo que se desea crear.
Figura 6: Selección de filtro
En función del tipo de filtro, se podrán especificar diferentes detalles. En el caso de línea de asunto el asistente solicita aquellas palabras o frases que se determinarán para la detección de los mensajes que se quieren filtrar.
Figura 7: Definición de detalles del filtro
El asistente finaliza permitiendo establecer las acciones indicadas para cuando sea de aplicación el filtro. Estas acciones dependerán del tipo de detección realizada, siendo las de la detección en trasporte la que permite mayor posibilidades. En la siguiente imagen se define que aquellos correos que les sea aplicado este filtro, serán identificados en la línea de asunto. El valor de identificación, se define en la configuración global de filtros.
Figura 8: Especificación de acciones de filtrado
Una vez creado el filtro, se hará efectivo, guardando la configuración, desde la consola de administración en Microsoft Forefront Protection for Exchange.
Figura 9: Configuración del filtro antispam guardada
Una vez aplicado el filtro el servicio de Microsoft Forefront Protection for Exchange empezará a detectar los correos con el asunto “Hi”. En las opciones configuradas previamente se especificaba exclusivamente que el correo fuera marcado exclusivamente. Esto permite que el correo llegue a la bandeja de entrada del usuario pero pueda ser fácilmente identificable por él. A continuación se muestra el correo recibido, y que queda fácilmente identificable por el epígrafe que se fue definido en las configuraciones globales de los filtros.
Figura 10: Correo identificado como Spam
Un usuario a través de la configuración de Microsoft Outlook o Microsoft OWA, podría definir que los
correos que fueran identificados como se muestran en la imagen, fueran directamente a una carpeta
creada a tal efecto en su buzón o bien a la de correo no deseado.
Filtro de archivo Un problema potencial al trabajar con el correo electrónico es la salida de mensajes con adjuntos con contenido sensible para una organización. También es habitual la entrada de correos que teniendo como adjuntos “inocentes” imágenes o documentos, pueden ser utilizados para explotar debilidades de los sistemas de una organización. Estos pueden quedar perfectamente identificados, ya que su
difusión a través de internet es alta y seguramente sea enviado a más de un usuario de la organización. Estos adjuntos tienen nombres perfectamente identificados, pudiendo emplear un filtro de Microsoft Forefront Protection for Exchange para ser controlados antes de que llegue al buzón del usuario. También puede ser utilizado como mecanismo para prevenir la salida de determinados tipos de datos, en función de las políticas de seguridad de la organización. Para la creación y aplicación del filtro de archivo se utiliza el mismo asistente que se mostró en el post correspondiente al de filtro de línea de asunto. Una vez que se ha seleccionado como tipo de filtro el de archivo, el asistente muestra las opciones específicas para el mismo. La primera opción permite determinar las condiciones de detección. Se podrá especificar si el examen se realizará en base al encabezado o por un patrón de nombres.
Figura 11: Selección del tipo filtro de archivo Si la selección es el encabezado del fichero, Microsoft ha predefinido diferentes conjuntos de ficheros que se agrupan en tipos. Hay que tener en cuenta que esto no es una simple comprobación de la extensión, sino que se realiza una validación de la cabecera del tipo de fichero. Si alguien cambiara la
extensión de un fichero zip Microsoft Forefront Protection for Exchange lo detectaría.
Figura 12: Selección de tipo de archivo
En el ejemplo que se muestra, se define la aplicación de filtro cuando sea detectado un correo que tiene como adjunto, un fichero denominado “amiguito.pdf”. Este perfectamente podría ser el ejemplo, de un adjunto con un exploit que aprovechara una vulnerabilidad conocida de la popular herramienta
Acrobat Reader y que se hubiera difundido por Internet.
Figura 13: Selección de archivo
Filtro de archivo [continuación] El último paso del asistente permite determinar las condiciones y acciones que tendrán lugar cuando el filtro sea aplicado.
Figura 14: Selección de acciones y notificaciones Tras guardar la configuración, el filtro se encontrará activo aplicando las acciones definidas en el asistente. La siguiente imagen muestra el resultado de la acción de filtrado que ha tenido lugar
cuando un usuario de la organización ha intentado adjuntar un fichero denominado amiguito.pdf. Al intentar enviar el correo, directamente, Microsoft Outlook Web Access muestra un mensaje de error de envío. Si se descarga localmente el fichero subido, se notará que éste ha sido sustituido por un
nuevo fichero de tipo TXT. Al abrirse, se puede ver como Microsoft Forefront Protection for Exchange
ha sustituido su contenido por una notificación de la acción del filtrado.
Figura 15: Resultado del filtrado
Filtro de remitente
En el caso de que una organización, tenga detectado un posible remitente que esté enviando correo masivo, no identificado como Spam y pudiera estar saturando el servicio de mensajería, podrá ser bloqueado mediante el filtro de remitente. Este filtro permite bloquear tanto remitentes específicos como todo un dominio completo. Una vez seleccionado a través del asistente de creación de filtros, el correspondiente a remitente, se podrán definir las direcciones que se desean controlar a través del filtro. La siguiente imagen muestra la creación de un filtro que se aplicará sobre el remitente [email protected].
Figura 16: Lista de filtrado de remitente Definida la lista de filtro, se especificará como en el resto de filtros las acciones que tendrán lugar cuando sea aplicado. En la siguiente imagen se muestra como se establece la acción de detección en transporte como purgado.
Figura 17: Acción de purgado en la detección en trasporte Puesto que la acción definida ha sido de purgado, los correos procedentes de [email protected] no llegarán a los buzones de los usuarios. No obstante, se pueden ver a través de la consola, en la vista de incidentes, las acciones relativos a filtrados, entre las que se encuentran las de remitente.
Figura 18: Vista de incidentes
Forefront Protection for Exchange: Habilitar protección
AntiSpam La protección de correo de no deseado que proporciona Microsoft Forefront Protection 2010 for
Exchange (FPE), constituye una versión Premium sobre las características de filtrados facilitados por el propio servicio de Microsoft Exchange Server o los que se pueden configurar en los filtros Antispam en MS Forefront Threat Management Gateway. Estos filtros cuentan, en la actualidad, con las siguientes tecnologías para la protección contra el correo no deseado:
Filtrado de conexión: Filtrado de las direcciones IP y dominios permitidos o bloqueadas mediante DNSBL. Filtrado de remitentes: Permite o bloquea direcciones o dominios, incluidos los que presenta remitente en blanco.
Identificación de remitente: Implementa la tecnología de Sender ID. Filtrado de destinatarios: Listas de destinatarios permitidos o bloqueados. Filtrado de contenido: Utiliza el motor de protección Cloudmark para analizar y establecer
el nivel de confianza de Spam (SCL) o de Phishing (PCL).
Filtro de retrodifusión: Evita el correo enlazado o las notificaciones de estado de entrega por correos que no se enviaron de las direcciones de sus organizaciones.
Es posible que al intentar configurarlos en la consola de administración, no se encuentren disponibles. Esto puede deberse a dos circunstancias:
1) En el proceso de instalación no se hayan proporcionado los derechos de acceso pertinentes. 2) Que durante el proceso de instalación no se hubieran activado.
Figura 1: Configuración de la protección contra Spam, no disponible Para activar la configuración de protección contra correo no deseado, es necesario emplear la consola de comandos de Windows PowerShell. Hasta que se habilite la función de protección contra el spam, cualquier cambio que se realice en su configuración con la interfaz de usuario no funcionará. El
comando de Windows PowerShell siguiente habilita la funcionalidad de protección contra correo no
deseado de Microsoft Forefront Protection 2010 for Exchange:
Set-FseSpamFiltering -enabled $true
El comando de Windows PowerShell siguiente deshabilita la funcionalidad de protección contra correo no deseado de Microsoft Forefront Protection 2010 for Exchange:
Set-FseSpamFiltering -enabled $false La siguiente imagen muestra el intento de habilitar la tecnología de protección. Se advierte que esta configuración no se encontrará activa hasta que se hayan proporcionado los permisos de acceso necesarios para ejecutar este comando.
Figura 2: Habilitando el filtrado antispam a través de Powershell
Microsoft Exchange Server 2010 contiene una característica denominada Sistema de control de acceso basada en roles (RBAC) que da a los administradores de Exchange un mayor control sobre los derechos de acceso de usuarios individuales. Como resultado de esta característica, los servicios de
Exchange deben autorizar todos los comandos del módulo de Exchange para Windows PowerShell. Esto significa que se deben conceder derechos de acceso a Microsoft Forefront Protection 2010 para Exchange Server (FPE) dentro del grupo de roles de Administración de higiene de Exchange. Este procedimiento puede realizarse antes o después del proceso de instalación. Para poder realizarlo, previamente se debe ejecutar el programa de instalación de Microsoft Forefront Protection 2010 para Exchange Server con privilegios de Administración dentro de la organización de Exchange. En organizaciones con implementaciones de Active Directory grandes, se puede ejecutar la utilidad FseMachinePrep.exe para permitir la replicación de las cuentas de equipo antes de instalar Microsoft Forefront Protection for Excahange La ejecución de FseMachinePrep.exe antes de instalar Microsoft Forefront Protection 2010 para Exchange Server se realiza mediante un procedimiento específico:
1) En el servidor Exchange Server donde se vaya a instalar FPE, deben extraerse los componentes del paqueteforefrontexchangesetup.exe ejecutando el comando siguiente:
2) Debe concederse acceso a los recursos del servidor Exchange en Servicios de dominio de
Active Directory ejecutando el comando siguiente desde la ruta de acceso de la extracción:
FseMachinePrep.exe
Este comando se debe ejecutar en cada equipo de la organización de Exchange. 3) Instalar Microsoft Forefront Protection 2010 para Exchange Server iniciando el Asistente para
la instalación. En el caso de que la instalación ya se haya realizado, deberá ejecutarse el comando FsemachinePrep.exe desde la ruta de los binarios de instalación de Microsoft Forefront Protection 2010 para Exchange Server, en cada uno de los servidores existentes en la organización.
Figura 3: Ejecución de la aplicación fsemachineprep.exe
Finalizado el procedimiento, se deberá reiniciar el servidor. Una vez completado el proceso de arranque podrá habilitarse desde powershell el uso de los filtros contra correos no deseados.
Figura 4: Activación de los filtros de protección antispam Una vez que estos se han activado, se encontrarán disponibles para su configuración, a través de la consola de administración de Microsoft Forefront Protection 2010 para Exchange Server.
Figura 5: Configuración activa de la protección contra correo no deseado
MS Forefront Threat Management Gateway: Filtros AntiSpam
En la versión de MS ISA Server 2006 se decidió no incorporar ninguna de las opciones de filtrado antispam que habían existido en la versión 2004. Con Forefront Threat Management Gateway se
aplican las opciones antispam en el filtrado de correo. Para ello se puede configurar en el rol de Edge-Transport de los servidores Microsoft Exchange Server 2007 y 2010 directamente en MS Forefront TMG. En este artículo se van a explicar cuáles son y cuál es el funcionamiento de todos los filtros antispam que vienen con esta versión.
Figura 1: Lista de Filtros Antispam en Forefront TMG basados en bloqueo de IP
Listas Blancas y Listas Negras
La primera barrera antispam que se puede configurar en un servidor SMTP es a partir de la dirección
IP del servidor que está entregando el correo. Para ello existen diferentes tecnologías. Una vez que se ha publicado el servicio SMTP en MS Forefront TMG se pueden utilizar, en primer lugar, las RBL [Real-time Blackhole Lists] o listas de IP catalogadas como que están haciendo un uso malicioso de los servicios de correo electrónico. Estas direcciones IP pueden ser servidores mal configurados que están siendo explotados por spammers, máquinas troyanizadas que están enviando correo masivo o directamente servidores que hacen un uso incorrecto del correo electrónico. Lógicamente, para que estas direcciones IP sean conocidas de forma global, se utilizan proveedores, que son empresas que mantienen la lista de IPs y se encargan de la inclusión y borrado de las IPs
sospechosas. Algunos de estos proveedores son gratuitos, como por ejemplo Spamcop y otros son de
pago, con soporte de corto tiempo de respuesta y servicios añadidos. Normalmente, las listas basan su arquitectura de funcionamiento en el servicio DNS, concretamente
en un mecanismo conocido como DNS BlackList [DNSBL]. El proveedor de la lista RBL crea un
subdominio para la lista negra y, algunos crean, otro subdominio para la lista blanca. En el caso de
SpamCop la lista negra es el dominio bl.spamcop.net. Así si una IP está en la lista negra, cuando se
consulte dicha dirección IP en ese subdominio, el servicio DNS responderá con 127.0.0.2, indicando que debe ser bloqueada.
Normalmente estos proveedores suelen ofrecer una herramienta web de consulta que permite saber
si está o no dada de alta una determinada dirección IP.
MS Forefront TMG permite trabajar con estas opciones utilizando los siguientes filtros:
Lista de IP permitidas [IP Allow List]: Es una lista blanca de direcciones IP, es decir, que
se las va a permitir enviar correo siempre. Esta lista la mantiene el administrador de MS
Forefront TMG. Lista de proveedores de listas blancas [IP Allow List Providers]: Es una lista de
proveedores que mantienen listas blancas en las que se confía y a las que se les permitirá
entregar correo. Lista de IPs bloqueadas [IP Block List]: Es una lista negra de direcciones IP, es decir,
que se las va a denegar entregar correo siempre. Esta lista la mantiene el administrador de
MS Forefront TMG. Lista de provedores de listas negras [IP Block List Providers]: Es una lista de
proveedores que mantienen listas negras. Un ejemplo de estos proveedores sería
Spamcop.net. Otra de las características a comprobar cuando llega un correo electrónico a la organización se basa
en los filtros del remitente y del destinatario. En estos casos se evalúa cuál es el valor que viene en el
campo mail from: y rcpt to: de un determinado correo electrónico. El uso de estos filtros puede
ayudar a bloquear correo no deseado e incluso correo falso que se envía a la organización.
Figura 3: Filtros MS Forefront TMG basados en Remitente, Destinatario y Contenido
Filtro de destinatario de correo
Los filtros de destinario se pueden utilizar para bloquear, entre otros, ataques contra buzones de
servicio. Este tipo de buzones son creados para recibir correos electrónicos que suelen estar
generados por una determinada aplicación web. Ejemplos típicos de estos filtros son los formularios de
contacto que generan un correo con la información recogida. Si este correo se envía desde dentro de la organización, nunca debería recibirse un correo enviado a este buzón desde fuera, por lo que sería interesante bloquear en el perímetro de la organización el envío de mensajes a esta dirección. Además, si en un determinado momento una cuenta de un usuario está siendo atacada, puede hacerse un bloqueo temporal del mismo mediante este mismo filtro.
Filtro de remitente de correo
Los filtros de remitente se utilizan para bloquear cuentas no deseadas, tales como listas de correo, publicidad, o spammers conocidos. Además, tienen una utilidad importante a la hora de proteger el spam que recibe una compañía de sí misma. Si los usuarios sólo pueden enviar correo desde dentro de la organización, ya sea mediante conexiones OWA, RPC/https, MAPI o cualquier otro protocolo de conexión, es importante evitar que por la pasarela SMTP publicada a Internet entren correos cuyo remitente sea alguna dirección del dominio interno de la compañía. Esto permite a la organización reducir la entrada de spam que simula venir de cuentas internas.
Figura 4: Correo falso enviado a Informática64 desde una cuenta de Informática64
Filtro de contenido
Además de mirarse las direcciones IP de los servidores que envían correo electrónico, también se mira la estructura del correo electrónico en sí mismo. Es decir, como está compuesto el correo. Este filtro,
en tecnologías de servidores de correo electrónico Microsoft Exchange, se conocer como Intelligent
Message Filter [IMF]. Realiza un análisis de los links, los mensajes, las palabras, las URL linkadas, para detectar trucos utilizados por los atacantes a la hora de lanzar estafas, ataques de phishing o spam puro y duro.
Una vez analizado, cada correo recibe dos números que van de 0 a 9. El primero de ellos es el Spam
Confidence Level [SCL] que marca cual es la probabilidad de que un determinado correo sea o no
spam. Este número va de 0, probabilidad casi nula de que sea spam, hasta 9, probabilidad máxima de
que sea spam. El segundo número se conoce como Phishing Confidence Level [PCL] y marca la
posibilidad de que un correo sea un ataque de Phising. El administrador de TMG podrá decidir qué umbral de valores serán los que marquen que un correo sea tomado como legítimo, cuales deberán ser tomados como Spam pero ir a la Junk Folder, cuales deberán ser rechazados con un mensaje de rechazo y cuales, por ser Spam seguro, deberán ser directamente eliminados.
Figura 5: Umbrales de aceptación en Filtros de contenido
Este filtro, por último, permite realizar bloqueo de correos electrónicos que cumplan determinadas
condiciones fijadas manualmente, como que tenga un tipo de fichero adjunto o un determinado texto
en el mensaje. Como se puede ver en la Figura 5, es posible configurar un buzón de cuarentena, para
poder revisar los posibles falsos negativos, es decir, correos legítimos tomados como spam. Esto es
especialmente importante durante el periodo de ajuste de umbrales. Uno de los filtros más novedosos que acompañan las características de los servidores MS Exchange
Server es el que se conoce como Reputation Sender Filter o Filtro de Reputación del Remitente. Este
filtro trata de medir la imagen o reputación que tiene un servidor en función de un determinado
conjunto de características.
Figura 6: Filtro de Reputación de Remitente en MS Forefront TMG
Filtro de Reputación de Remitente
La lista de características que mide, a la hora de tomar una decisión sobre si la reputación de un servidor remitente es buena o mala es la siguiente:
Información proporcionada en el campo EHLO/HELO: Muchos spammers juegan con
los valores de EHLO/HELO para intentar saltar restricciones. En los comandos EHLO/HELO debe ir el nombre de dominio o la IP de la máquina que está enviando, pero los spammers suelen cambiarlos para conseguir que sus correos pasen mejor los filtros de contenido, poniendo direcciones IPs locales o nombres de dominios internos. El filtro de reputación hace un análisis del uso del comando EHLO/HELO una determinada IP de conexión IP. Muchos cambios de valores, o el uso de dominios internos será trucos que harán que la reputación de ese servidor remitente sea mala.
Reverse DNS-Lookup: Este filtro, antaño se tomaba como algo definitivo para aceptar o rechazar la conexión, pero hoy en día no es más que un punto más en la reputación del remitente. La idea es que si un servidor de envió de un dominio es legítimo, la IP del servidor estará asociada a la compañía. Así, si se busca el nombre de dominio asociado a la IP y aparece el del dominio que envía en el HELO/EHLO, se tomará
como de buena reputación. El problema es que muchas direcciones IP están en empresas de hosting o comunicaciones, con lo que no se puede tomar como algo definitivo si no se cumple. Simplemente será un punto más a tener en cuenta en la reputación del servidor.
Análisis de los valores SCL de los correos enviados desde el mismo servidor: Una de las características más innovadoras es que el filtro de reputación va generando la reputación del servidor en base al comportamiento que este tenga. Si un servidor manda muchos correos que el Filtro de contenido marca con malos valores de SCL, entonces la reputación del servidor irá bajando. Si por el contrario, los correos generan números bajos de SCL en el filtro de contenido, entonces la reputación del servidor mejora.
Test de Open Proxy: Otra de las características que tienen los servidores utilizados
por los spammers es que utilizan servidores vulnerados en los que se instalar servidores Proxy TCP que les permiten enviar correos a través de conexiones STMP desde cualquier otro equipo. Cuando se recibe una conexión, el filtro de reputación prueba a enviar una petición de conexión a sí mismo utilizando como servidor proxy TCP el equipo que ha pedido la conexión. Si se recibe una petición de conexión, quiere decir que está actuando como Open Proxy y hará que la reputación de ese servidor baje mucho.
Teniendo en cuenta todos los parámetros descritos, el filtro de reputación generará, un valor llamado SRL [Sender Reputation Level] que será calculado y utilizado al principio de la conexión del mensaje y que se actualizará de nuevo, con el cálculo del nuevo SCL, una vez recibido el correo.
Figura 7: Configuración de Umbral SRL en Filtro de Reputación
Con ese valor SRL, que varía entre 0 y 9, el administrador configurará un umbral [Threshold] a partir
del cual, si el SRL lo supera, se producirá un bloqueo del servidor durante un tiempo. A partir de ese
tiempo se restaurará la reputación del servidor y se empezará a analizar de nuevo el comportamiento
del mismo.
Filtro de Sender ID o ID de Remitente
El último filtro Antispam que se puede configurar en MS Forefront TMG 2010 es el de Sender ID. Este
filtro comprueba si la dirección IP del servidor que entrega un correo que viene con un remitente de
un dominio concreto es una dirección IP autorizada por dicho dominio para el envío de correo. Para
ello, cada empresa determina en su servidor DNS cuales son las direcciones IP autorizadas para
entregar correo electrónico de sus dominios y que se debe hacer con correos electrónicos que no
vengan desde esas direcciones.
Figura 8: Filtro Sender ID en MS Forefront TMG 2010
Esto se realiza con registros de tipo TXT en el servidor DNS que tienen esta estructura:
V=versión servidores autorizados política
La versión puede ser spf1 o spf2/pra e indica que valores se deben comprobar. En el caso
de spf1 se comprueba que la dirección IP del servidor que entrega el correo es una de las autorizadas
por dominio que aparece en la dirección de correo del campo mailfrom. Con spf2/pra se exige que
además se compruebe que el valor de los dominios en los campos Sender, Resent-from y Resent-
Sender autorizan a dicha dirección IP.
Normalmente las empresas hacen uso de spf1 y no de spf2/pra debido a que no todos los filtros
implementan la comprobación PRA [href=”http://www.ietf.org/rft/rft4407.txt”<Purpoted Responsible
Address] y al hecho de que esta comprobación haría que todos los correos enviados en listas de
distribución no pasaran este filtro.
Los servidores autorizados se marcan como una sucesión de identificación que puede ser hecha por su
dirección IP, su nombre, por un rango de red, por una referencia a otro registro del DNS, etc…
Por último, se configura la política, que le indica al receptor de un correo que no venga de una de las
direcciones IP autorizadas que debe hacer. Las opciones son:
all -> fail: El correo debería ser rechazado porque no es un correo legítimo.
~all -> Softfail: El correo es probablemente falso, puede entregarse con alertas de seguridad,
en la junk folder o directamente subir su valor SCL porque la probabilidad de que sea ilegítimo
es altísima.
?all -> Neutral: Cada filtro decide cómo aplicarlo a la hora de actualizar el valor SCL del
correo. Simplemente permite que si el correo viene de las direcciones IP autorizadas su valor
SCL no suba o, por el contrario, baje.
+all -> Pass: Se debe tomar siempre como legítimo, venga de donde venga y debe ser
entregado al cliente
Para configurar este registro SPF en un determinado dominio se puede utilizar el siguiente
asistente [SPF Record Wizard] que, mediante unos sencillos pasos, permite configurar el formato
correcto que debe tener en el DNS. En la siguiente imagen se puede comprobar el valor del
Figura 9: Configuración SPF Ebay.com. Tiene registro para SPF2 y SPF1.
Figura 10: Configuración SPF de Hotmail.com. Política softfail.
Figura 11: Configuración SPF de Informática64.com. Política SPF1 con Fail.
El funcionamiento del filtro Sender ID será el descrito en la imagen. Cuando se recibe un correo electrónico desde un servidor que viene con una dirección de correo electrónico de un determinado dominio, se consulta el registro SPF del DNS de ese dominio. Si la dirección IP está en la lista de autorizada se da por bueno, de lo contrario se aplica la política que defina el administrador del filtro.
Figura 12: Funcionamiento de Sender ID en MS Forefront TMG 2010
En MS Forefront TMG la política se configura con las siguientes opciones:
Figura 13: Configuración Sender ID en MS Forefront TMG 2010
Esto permite al administrador afinar correctamente el comportamiento de su filtro antispam:
Rechazar el mensaje: El remitente del correo recibirá un Reporte de No Entraga
[NDR – Non Delivery Report]. Esto puede ser utilizado también para atacar a otros
servidores así que hay que monitorizar el número de NDRs que genera el servidor.
Eliminar el mensaje: Ni el remitente ni el destinatario recibirán ni el correo ni un
informe NDR.
Marcar el mensaje: El mensaje será marcado con el fallo SPF y será el motor que
calcula el valor SCL el que lo tomará en cuenta para marcarlo como posible Spam.
