Correo seguro con Microsoft Exchange Server 2007 (VI)

14. enero 2009
Comentarios (1)

Continuando con los agentes de transporte que incorpora Exchange Server 2007, el siguiente en la cadena de procesamiento es el agente de Identificación de remitente o Sender ID

4. Agente de filtro Sender ID

Sender ID es una tecnología desarrollada y promovida por Microsoft, basada en la definición SPF (Sender Policy Framework) y el una tecnología anterior llamada Caller ID. Ya hay múltiples productos y organizaciones que la incorporan como parte de sus sistemas de protección, entre ellos sendmail, Symantec, Barracuda networks e IronPort de Cisco

Microsoft ha querido extender el uso de Sender ID como una tecnología libre de royalties, incluyéndola en su licencia Open Specification Promise (http://www.microsoft.com/presspass/press/2006/oct06/10-23OSPSenderIDPR.mspx), de tal forma que cualquier fabricante de software y tecnologías anti SPAM puede utilizarla sin ningún coste.

Sender ID Framework es una tecnología de identificación que ayuda a determinar la validez del remitente, verificando el dominio y la IP desde la cual se ha enviado el mensaje. Aunque indirectamente ayuda a reducir el SPAM, el principal objetivo de Sender ID es la reducir la suplantación de identidad y por lo tanto el Phising.

Además, Sender ID introduce el concepto de PRA (Purported Responsible Address), el cual es una dirección que se obtiene analizando los encabezados del mensaje asociados al reenvío del mensaje (resent-sender). Habitualmente el cliente Outlook reconoce estos encabezados incorporando el texto “Send on behalf of” al titulo del mensaje.

Lo primero que hace el agente de Sender ID en Exchange Server 2007 es determinar la dirección PRA del mensaje, utilizando el algoritmo de la RFC 4407. Cabe señalar que la detección de la dirección PRA no garantiza que el mensaje provenga de quien dice ser, ya que los encabezados SMTP son fácilmente modificables.

Con la información PRA y FROM, el agente hace una consulta DNS al dominio remitente, para identificar si la IP desde la cual ha sido enviado el mensaje está autorizada como MTA para dicho dominio. Para poder realizar dicha consulta, el administrador del dominio remitente debe haber publicado previamente un registro de texto (txt) denominado SPF.

En el registro SPF se indican los servidores, direcciones IPs y dominios válidos que se envían desde dichas IPs. Si se recibe algún mensaje que dice ser del domino remitente, pero enviado desde una IP no autorizada, entonces el agente Sender ID puede realizar alguna de las siguientes acciones:

  • Rechazar el mensaje: Exchange envía un mensaje de rechazo a nivel SMTP con código 5.xx
  • Eliminar el mensaje: Exchange acepta el mensaje con un falso OK, pero inmediatamente lo elimina
  • Marcar el mensaje y seguir su procesamiento: Se crea un encabezado con el resultado de la validación Sender ID, el cual se utilizará para calcular el valor SCL

A continuación vemos el flujo de decisión de este agente:

clip_image001

5. Agente de filtro de contenido

Este agente constituye una evolución del antiguo IMF que se incluía en Exchange 2003. De hecho la funcionalidad que en el IMFv2 permitía bloquear contenido por palabras y que era necesario configurar manualmente a partir de un archivo XML, ahora está disponible en este agente pero con una interfaz gráfica para establecer palabras o frases permitidas o bloqueadas.

clip_image003

Sin embargo, antes de que el filtro de contenido actue calculando los niveles SCL (SPAM Confidence Level), toma ciertas decisiones basándose en 5 condiciones previas:

  1. La dirección IP está en la lista de IPs permitidas
  2. Todos los destinatarios están en la lista de destinatarios no filtrados (lista de excepciones del filtro de contenido)
  3. El parámetro antispamBypassEnabled está establecido en $true en todos los destinatarios
  4. El remitente está en la lista de remitentes seguros de todos los destinatarios
  5. El remitente está en la lista de remitentes no filtrados de la organización

Si alguna de estas condiciones es verdadera, entonces el filtro de contenido no se aplica y continuaría el siguiente agente, en este caso el agente antivirus.

Este comportamiento permite establecer excepciones al filtrado, para aquellos usuarios (remitentes o destinatarios) que por la naturaleza de su trabajo requieren que el correo no vaya filtrado. (por ejemplo, analistas de seguridad, investigadores de delitos telemáticos, periodistas, etc.)

Además, Exchange Server 2007 permite configurar la no aplicación del agente de filtro de contenido a aquellas conexiones SMTP autenticadas, por ejemplo las que provienen desde un socio de negocios de la organización. Para ello, establecemos el permiso Ms-Exch-Bypass-Anti-Spam en el conector utilizado por los socios.

El filtro de contenido funciona básicamente calculando un valor SCL en todos los mensajes entrantes y comparando dicho valor con los umbrales establecidos por el administrador de la organización.

Existen tres umbrales que se pueden configurar:

  • Umbral de eliminación del mensaje: Si el mensaje obtiene una puntuación SCL igual o superior a este umbral, el mensaje se acepta (se envía un OK al servidor remitente), pero inmediatamente después se elimina. En este caso, el remitente no sabe si el mensaje ha sido realmente aceptado o filtrado. Si el SCL es menor, se analiza el siguiente umbral
  • Umbral de rechazo del mensaje: Si el mensaje obtiene una puntuación SCL igual o superior a este umbral, el mensaje se rechaza a nivel SMTP (verbo REJECT). Si el SCL es menor, se analiza el siguiente umbral.
  • Umbral de puesta en cuarentena del mensaje: Si el mensaje obtiene una puntuación SCL igual o superior a este umbral, el mensaje se reenvía al buzón de cuarentena. Si el SCL es menor, el mensaje lo recoge el siguiente agente de transporte. (filtro de adjuntos)

clip_image004

Cuando tengamos que configurar los umbrales, mi recomendación es que se realice partiendo de valores altos e ir ajustando dichos valores hasta que consigamos un entorno con un mínimo nivel de SPAM.

Por ejemplo, se podría comenzar con:

  • Umbral de eliminación: Deshabilitado
  • Umbral de rechazo: 8
  • Umbral de cuarentena: 7

Realizamos observaciones durante una semana y comprobamos el nivel de SPAM que llega a los usuarios y el correo que se lleva a la cuarentena, en donde podríamos encontrar algún falso positivo. Si el nivel de SPAM es todavía alto, podemos ajustar los valores en un punto y volvemos a observar los resultados

  • Umbral de rechazo: 7
  • Umbral de cuarentena: 6

En el momento en que observemos un nivel aceptable de SPAM y eliminemos prácticamente los falsos positivos, documentamos los valores y los mantenemos.

Recordemos que no hay una fórmula concreta que nos indique qué valores son los mejores. Cada organización recibe oleadas de tráfico de correo no deseado diferentes, por lo tanto debemos ajustar los umbrales a la realidad de cada organización.

Exchange Server 2007, Seguridad

Comentarios

matias
19/04/2010 23:12:01 #
Que paso?... hasta aqui llegamos????
Comentarios no permitidos