Bueno, después de algunos días con bastante trabajo, webcasts, presentaciones cursos y demás, por fin he encontrado mis 20 minutos libres necesarios para continuar con esta serie de artículos relacionados con la seguridad en Exchange Server 2007.
Para aquellos que aun no hayáis leído los artículos anteriores os dejo los enlaces:
- Correo seguro con Microsoft Exchange Server 2007 (I)
- Correo seguro con Microsoft Exchange Server 2007 (II)
- Correo seguro con Microsoft Exchange Server 2007 (III)
- Correo seguro con Microsoft Exchange Server 2007 (IV)
Nos habíamos quedado en el agente de filtro de remitente, dentro del recorrido de niveles de filtrado y agentes que se instalan en un servidor perimetral de Exchange 2007. Pues bien, el siguiente agente en actuar es el agente de filtro de destinatario.
3. Agente de filtro de destinatario
Este agente de filtrado lo vamos a utilizar básicamente en dos situaciones concretas:
- Para aquellas direcciones internas de la organización, las cuales no queremos que reciban correo desde Internet
- Para bloquear los mensajes dirigidos a direcciones que no se encuentren en la GAL.
El agente examina el campo de destinatario o destinatarios y lo compara contra la lista de destinatarios bloqueados de la organización. Si se encuentra una coincidencia, entonces se rechaza el mensaje. Me gustaría señalar que si el mensaje es bloqueado, éste no llega a salir del servidor remitente, por lo tanto evitamos generar un NDR ante una cuenta bloqueada.
Sin embargo si el mensaje incluye múltiples destinatarios y solo uno de ellos está bloqueado, éste se elimina de la lista de destinatarios del mensaje y se continúa el procesamiento. En este caso el servidor recibe una respuesta SMTP de rechazo para dicho destinatario.
Como podéis observar, el flujo de toma de decisiones de este agente es extremadamente simple.
Con respecto a la opción de bloqueo de mensajes dirigidos a destinatarios que no estén en la GAL, debemos tener en cuenta que si habilitamos esta opción tenemos el riesgo de sufrir un ataque DHA (Directory Harvesting Attack).
Los ataques DHA son ataques por fuerza bruta que consisten en el envío masivo de mensajes a direcciones de la organización utilizando combinatoria de caracteres y números. Todos aquellos intentos que reciban una respuesta SMTP de Reject (rechazo) por parte del servidor, se descartarán. Aquellos intentos que en los que no se reciba dicha respuesta, se considerará que se ha encontrado una combinación válida para una dirección SMTP de la organización que está siendo atacada.
En relativamente poco tiempo, se podría extraer mediante esta técnica todo el directorio de la organización. Con el fin de minimizar este riesgo, Microsoft Exchange implementa lo que se denomina Tar-Pitting de forma integrada en el conector de recepción. La configuración de Tar-pit retrasa las respuestas SMTP del servidor, de tal forma que la extracción del directorio de una gran organización, se convierte en un lento y pesado proceso. Recordemos que el SPAM se basa fundamentalmente en la capacidad de envío del mayor número de mensajes en el menor tiempo posible.
Aun así, es recomendable, que se especifiquen intervalos de Tar-Pit pequeños, y se analice el resultado en términos de protección y rendimiento, ya que cuando se habilita, no solo se ven afectados los intentos de ataque DHA, sino las comunicaciones legítimas del día a día. Intervalos de 5 segundos es la recomendación.
Para configurar el intervalo de Tar-Pit, ejecutamos el siguiente cmdlet en el Shell de Administración de Exchange
- set-receiveconnector -tarpitinterval
Mas información acerca de DHA y Tar-Pitting:
f51cf9e1-76fb-4887-992a-a1b50eb5e21e|3|4.7
Exchange Server 2007, Seguridad