OPTENET Mail Filter Gateway

Transcripción

OPTENET Mail Filter
Gateway
INDICE
1
INTRODUCCIÓN DE LA COMPAÑÍA ..........................................................................3
1.1
Referencias comerciales .............................................................................................................. 3
2
VENTAJAS DE OPTENET MAIL FILTER GATEWAY ........................................................4
3
TECNOLOGÍAS DE FILTRADO. ...............................................................................6
4
ARQUITECTURA DE LA SOLUCIÓN ..........................................................................8
4.1
4.2
4.3
4.4
4.5
4.6
4.7
4.8
4.9
5
DESCRIPCIÓN DEL PROCESO DE FILTRADO ............................................................. 13
5.1
5.2
6
OPTENET Web Server................................................................................................................. 8
Central Manager ........................................................................................................................... 9
Filtering Module ............................................................................................................................ 9
Quarantine Module ....................................................................................................................... 9
Reporting Module ....................................................................................................................... 10
Comunicación entre componentes ............................................................................................. 11
Especificaciones de Hardware ................................................................................................... 12
Sistema operativo seguro ........................................................................................................... 12
Capacidad................................................................................................................................... 12
Funcionamiento .......................................................................................................................... 13
Proceso de Filtrado..................................................................................................................... 18
FUNCIONALIDADES .......................................................................................... 21
6.1 Central Manager ......................................................................................................................... 21
6.2 Filtering Module .......................................................................................................................... 21
6.3 Quarantine Module ..................................................................................................................... 26
6.3.1
Correo en cuarentena ....................................................................................................... 26
6.3.2
Mensaje de Desafío .......................................................................................................... 27
6.4 Reporting Module ....................................................................................................................... 27
6.4.1
Tipo de Informe ................................................................................................................. 28
6.4.2
Criterios de Agrupación y Selección.................................................................................. 28
6.4.3
Otras opciones .................................................................................................................. 29
7
SOPORTE ...................................................................................................... 30
OPTENET MAIL FILTER GATEWAY
Página 2
1
Introducción de la compañía
OPTENET es proveedor líder de soluciones de seguridad cuya finalidad es optimizar el acceso
a Internet (filtrado de contenidos, antispam, antivirus, navegación sin publicidad, firewall,
herramientas de control a tiempo real, etc.) para Proveedores de Servicios de Internet (ISP),
empresas, instituciones públicas y centros educativos, así como para particulares en toda
España y América.
Creada en San Sebastián en 1997, OPTENET fue fundada con el objetivo de prestar servicios
de acceso "filtrado" a Internet a usuarios particulares. Con el paso del tiempo y gracias a la
experiencia adquirida, OPTENET se convirtió en una empresa de software especializada en
ofrecer soluciones de seguridad a todo tipo de usuarios.
En la actualidad, OPTENET es líder indiscutible en el mercado europeo para este tipo de
soluciones, además de desempeñar un papel fundamental en el ámbito internacional.
OPTENET ha logrado esta posición de privilegio gracias a su fortísimo desarrollo en España, a
su sólida presencia en Europa y a una agresiva estrategia empresarial de crecimiento en
Estados Unidos y América Latina. Pero nada de esto hubiera sido posible si OPTENET no
hubiera contado con una magnífica solución y una excelente acogida entre la comunidad
tecnológica.
La solución Mail Filter Gateway de OPTENET integra la última tecnología de detección de virus
proporcionada por el fabricante Europeo Kaspersky Labs. Gracias a la utilización de esta
tecnología, OPTENET pone a disposición de los ISPs la posibilidad de ofrecer soluciones
completas de filtrado de correo electrónico tanto para el sector residencial como empresarial.
El Módulo de Antivirus está respaldado por la certificación ICSA de Kaspersky Labs, consultar
las siguientes URLs para mayor información al respecto:
HTTPs://www.icsalabs.com/icsa/product.php?tid=dfgdf$gdhkkjk-kkkk
HTTPs://www.icsalabs.com/icsa/topic.php?tid=5701$360fdee8-1f4c977d$05ac-b921d196
1.1 Referencias comerciales
OPTNET se ha consolidado como líder indiscutible en soluciones para ISPs atendiendo a
clientes en este segmento a nivel mundial.
Cablemás (México)
CECA (Spain)
Clix (Portugal)
Euskaltel (Spain)
Emcali (Colombia)
Iberbanda (Spain)
ISIDE (Italy)
Novis Telecom (Portugal)
Numericable - Canal Plus (France)
Mana (Tahiti)
Monaco Telecom (Monaco)
Orange (UK)
Orange (France)
Portugal Telecom (Portugal)
Telefónica Empresas (Spain)
Telefónica (Spain, Brazil and Peru)
Telefónica Moviles (Spain)
Terra (Spain and Peru)
TTP (Spain)
Wanadoo (France, Senegal, The Mauritius
Islands, Morocco)
Página 3
2
Ventajas de OPTENET Mail Filter Gateway
OPTENET Mail Filter Gateway es una solución en hardware y software que evita la recepción
de correo electrónico no deseado (también conocido como “spam”) o peligroso (mensajes que
contienen virus). Asimismo también dispone de otras funcionalidades adicionales como la
eliminación de ficheros adjuntos como pueden ser aquellos con extensiones ‘.exe’, ‘.mp3’ u
otros.
Entre las ventajas de la solución OPTENET se pueden encontrar las siguientes:
; Máxima eficacia en la detección de spam (95%) y de virus (99%).
; Mínima tasa de error de filtrado (virtualmente 0% gracias al mensaje de desafío).
; Mejores tiempos de respuesta ante nuevos virus.
Página 4
; La mayor enciclopedia de virus del sector con más de 100.000 registros.
; Para asegurar la máxima protección del correo de los usuarios ante amenazas de
virus, la solución Mail Filter Gateway de OPTENET reconoce más de 400 formatos de
ficheros entre los cuales puede entender unos 40 tipos de compresores y paquetes de
instalación. Esto es esencial para la seguridad contra los virus debido a que los virus
pueden estar ocultos en ficheros de cualquier formato reconocible.
; Rendimiento (rápido procesamiento) entre dos y once veces más rápido que nuestros
principales competidores y con muchas más funcionalidades.
; OPTENET funciona independientemente de la plataforma. También puede ser
integrado en las plataformas más comunes disponibles en el mercado.
; Alto grado de fiabilidad gracias a su arquitectura distribuida y flexible a prueba de fallos.
; Implantable en infraestructuras con múltiples puntos de acceso en distintos puntos
geográficos con posibilidad de administración centralizada y/o distribuida.
; Redundancia interna carente de puntos únicos de fallo lo que garantiza la continuidad
del servicio.
; Tiempos de puesta en marcha reducidos. Se integra fácilmente con las infraestructuras
existentes.
; Modularidad y flexibilidad innovadoras que permiten ajustar la inversión de hardware
al momento en que así lo requiera la demanda del servicio.
; Reutilización de componentes entre distintas soluciones de OPTENET. Varios de los
módulos pueden ser compartidos por más de una solución (Web Filter, Mail Filter, etc.)
de tal manera que el coste de implementación de nuevos servicios así como los costes
asociados a la administración se reducen.
; Las diferentes bases de datos y los diccionarios del analizador de contenidos son
actualizados de manera automática e incremental.
Página 5
3
Tecnologías de filtrado.
OPTENET Mail Filter Gateway combina las siguientes tecnologías para la detección de spam y
virus:
o
Honeypots: son cuentas de correo que se utilizan sólo para recibir spam. Los Honeypots
se utilizan para medir niveles de spam, conocer las nuevas tendencias del correo no
deseado y a los spammers, configurar listas, entrenar analizadores, etc. Dentro de esta
técnica se incluye la verificación de firmas (fingerprint) para examinar las características
de mensajes previamente identificados como spam y utilizar dicha información para la
identificación de futuros correos que sean similares.
o
Listas negras Públicas: Se cuenta con ayuda de organizaciones, a las cuales contribuye
gente y entidades de todas partes del mundo para desarrollar, mantener y actualizar
bases de datos de spammers. Este tipo de herramienta es preventiva y sirve para cierto
porcentaje del spam existente. Esta técnica debido al alto nivel de falsos positivos que
produce se complementa con un proceso de verificación manual por parte de OPTENET.
Algunas listas negras públicas de las cuales OPTENET alimenta sus bases de datos
propias, previa depuración y verificación son:
o SBL de spamhaus.org
o XBL de spamhaus.org
o ORDB de ordb.org
o SCBL de spamcop.net
o
o
Análisis Inteligente de Contenidos para la detección de spam: Desarrollado por
OPTENET, aporta el elemento diferenciador con respeto a las soluciones existentes en el
mercado ya que se ha demostrado que es gracias a él que se consigue la mayor
precisión y eficacia en la detección de spam. Este analizador se compone de un software
y un diccionario, así como de una serie de indicios y su peso relativo. El diccionario es
obtenido automáticamente entrenándolo con un gran número de correos, y puede ser
personalizado usando nuevas colecciones de correos que están identificadas como
seguras o spam. Los distintos sistemas de análisis utilizados son:

Análisis de Contexto: Analiza las palabras en su contexto.

Método Heurístico: Es una técnica que busca características de los spams en un
email. Se asigna un peso de “probabilidad spam” a cada característica y se da una
puntuación acumulativa de probabilidad sobre el email. Si la puntuación llega a un
límite preestablecido, se clasifica como spam. Esta técnica también es conocida
como (Rule-based scoring).

Método Bayesiano: El filtro Bayesiano se basa en probabilidades, y aprende a
perfeccionarse. Se examina el contenido de emails no deseados y se comparan
con el de emails deseados para crear una base de datos de palabras que,
dependiendo de la probabilidad, identifican el spam. OPTENET utiliza el método
bayesiano para obtener la distribución óptima de pesos para las características
detectadas mediante los procedimientos heurísticos.
Análisis de URL: Muchos de los mensajes de spam contienen un enlace HTTP.
OPTENET usa su base de datos de URLs para clasificar estos enlaces y asumir qué
correo puede considerarse que pertenece a la categoría del enlace. Los administradores
Página 6
de la herramienta de filtrado pueden decidir qué categorías son consideradas siempre
como spam, (ejem.: pornografía). Esta técnica también es conocida como Análisis de
Intención (Intention Analysis) ya que dependiendo del URL que contenga el mensaje de
correo se puede determina el objetivo del mismo. La ventaja de OPTENET Mail Filter
Gateway es que incluye 6 categorías que se pueden activar o desactivar (anunciantes,
azar, banners, compras, juegos y pornografía).
o
Mensaje de Desafío: permite reducir el ratio de sobrebloqueos a virtualmente cero,
mediante el envío de un mensaje al remitente en el que tendrá que identificarse
comprobando así que no se trata de una máquina configurada para enviar mensajes no
deseados.
o
Base de datos de virus: Gracias a esta base de datos, la solución puede detectar virus y
desinfectar objetos. Reconoce más de 40 tipos de ficheros y paquetes de instalación y
puede detectar virus en más de 400 formatos de ficheros diferentes.
o
Sistema heurístico de detección de virus: La solución permite detectar virus incluso si
estos todavía no han sido incorporados a la base de datos. Gracias a la segunda
generación de técnicas de análisis heurístico es posible detectar cerca del 100% de los
nuevos virus.
o
SPF (Sender Policy Framework): OPTENET Mail Filter Gateway soporta el protocolo
SPF (RFC 4408) también conocido como Sender Permitted From de tal forma que
permite bloquear la recepción de correo cuyo remitente es falso; se verifica la legitimidad
del remitente a través de consultas al DNS del dominio remitente, específicamente a los
registros SPF.
o
Protección de posibles ataques de denegación de servicio (denail of service): La
solución tiene características tipo firewall para el puerto 25 (SMTP) y 110 (POP3)
protegiendo contra ataques de denegación de servicio a los protocolos y puertos de los
cuales el servicio de correo depende.
o
Listas blancas y listas negras: OPTENET Mail Filter Gateway permite crear listas de
direcciones de correo electrónico amigo (listas blancas) de tal forma que los correos
enviados al usuario seleccionado desde una dirección de la lista nunca serán
considerados spam. En contraparte permite crear listas de direcciones de correo
electrónico no deseado (listas negras) y decidir qué hacer con el correo que llegue de
tales direcciones. Adicionalmente permite crear listas de IPs amigas de las cuales
siempre se recibirán los mensajes y sólo se analizarán para detectar posibles virus.
o
Creación de reglas por usuario: OPTENET Mail Filter Gateway permite configurar
perfiles diferentes por usuario especificando las acciones que se deberán tomar en cada
caso cuando se detecte un correo spam o infectado con virus. Cada usuario es capaz de
administrar su propia cuarentena y si se desea puede tener acceso a sus propios reportes
o informes.
o
Rate Control: En el filtrado SMTP de salida incorpora este control mediante el análisis de
número de envío de correos de una IP en un período de tiempo específico. Si el factor
pasa de cierto límite o umbral, la IP quedará bloquea para que no puedan entrar o salir
más correos de esa dirección.
Página 7
4
Arquitectura de la solución
En este apartado se describe la arquitectura general de la solución OPTENET Mail Filter
Gateway. A continuación se muestra el diagrama general de los componentes:
FLUJOS DE GESTIÓN DE LA SOLUCIÓN
RED
ISP
OPTENET
Web Servers
Central
Manager
Quarantine
Module
Reporting
Module
ISP Servers:
Autenticación
CAC
Aprovisionamiento
ISP Mail
Server
Filtering Modules
OPTENET MODULES
Pueden ser instalados en
una o varias máquinas
según se necesite.
INTERNET
ISP SERVER
VIRUS
SPAM
Correo limpio
USUARIOS
Firewall
4.1 OPTENET Web Server
Este módulo ofrece un interfaz HTTPS que permite hacer provisión del servicio, consultar los
datos administrativos, autenticar los usuarios y configurar los parámetros de filtrado. Tanto los
usuarios como otros sistemas del ISP deben interactuar con la solución a través de este
módulo, proporcionando así un mayor nivel de seguridad al resto de los módulos al no ser
accesibles directamente.
Página 8
El Web Server puede replicarse para maximizar la disponibilidad de acceso al sistema,
pudiendo acceder indistintamente a través de cualquiera de ellos, debido a que estos servidores
no almacenan datos y funcionan exclusivamente como un interfaz hacia el exterior.
4.2 Central Manager
Recibe, almacena y distribuye los datos administrativos del sistema Mail Filter Gateway. La
función administrativa del sistema recae en este módulo, siendo responsable de recoger los
datos de provisión y configuración, de almacenarlos y permitir la consulta desde el resto de los
módulos.
Habitualmente se instalan dos módulos Central Manager sincronizados entre sí y configurados
en redundancia de forma que todo el resto de módulos conocerán ambos Central Manager
aunque usando uno sólo (Principal). En caso de que éste no esté disponible se conmuta al
Central Manager de respaldo retornando al Principal en cuanto esté disponible de nuevo.
4.3 Filtering Module
El Filtering Module actúa de intermediario entre los usuarios de correo y los servidores SMTP Y
POP3. Es decir, tiene funcionalidades de Proxy y por tanto, funcionará con independencia de la
plataforma de correo elegida (Exchange, Lotus Notes, Sendmail, Postfix, Exim, Qmail, etc).
4.4 Quarantine Module
Este módulo provee capacidad de almacenamiento para los mensajes bloqueados, (tanto
mensajes spam como mensajes con virus) y facilita su recuperación. Cada módulo de
cuarentena puede obtener los mensajes bloqueados por uno o más módulos de filtrado, y cada
módulo de filtrado puede enviar los mensajes a varios módulos de cuarentena, obteniendo así
un alto grado de redundancia.
Página 9
Los distintos módulos de cuarentena instalados se comunican entre sí para mantener
sincronizado un único índice de mensajes, independientemente de qué módulo almacene el
mensaje. De esta manera el usuario final ve los diferentes módulos como una única instancia.
Cada módulo de cuarentena tiene una lista de módulos de filtrado de los que obtiene los
mensajes bloqueados periódicamente. Cada vez que clasifique un correo como spam o como
virus lo guardará en un buffer de mensajes para después ser enviados a los distintos módulos
de Cuarentena que lo requieran.
Esta arquitectura permite construir un sistema redundante y tolerante a fallos. Aún en caso que
una avería, por ejemplo en un disco duro, destruya completamente un módulo de cuarentena,
sus mensajes estarán replicados en otros módulos. El cluster detectará automáticamente la
caída del módulo y las peticiones se redirigirán a los módulos de respaldo.
Por último, trascurrido un intervalo configurable de tiempo, por defecto 30 días, los mensajes
son eliminados de los índices y destruidos.
4.5 Reporting Module
Este módulo obtiene información del módulo de filtrado sobre la actividad del correo, número y
tamaño de mensajes de Spam, número y tipo de virus, etc. Proporciona informes detallados
(manuales o programados) a los administradores, o incluso a los propietarios de las cuentas. En
un proceso continuo, la información es acumulada, pasando desde un registro completo a un
Página 10
resumen por horas, posteriormente estos datos pasarán de un resumen por horas a un resumen
diario, estos períodos de información, entre los cuales se mantiene en cada formato, son
completamente configurables por el administrador. Este diseño permite adaptar el tamaño de
los registros para los informes necesarios y disminuye drásticamente el tiempo necesario para
su elaboración.
A su vez es posible instalar tantas instancias como sean necesarias, para tener una solución
redundante, evitando así la necesidad de copias de seguridad.
4.6 Comunicación entre componentes
Tanto los usuarios como otros sistemas del ISP deben interactuar con el sistema a través de los
OPTENET Web Servers proporcionando un mayor nivel de seguridad.
La única excepción es la comunicación que existe entre los usuarios y los módulos de filtrado
(Filtering Modules), necesaria para realizar el filtrado de mensajes de salida y para el filtrado por
POP3 de mensajes de entrada. Los Filtering Modules además de estas conexiones con los
usuarios están conectados a los demás módulos del servicio:
; Central Manager. Recibe de éste los parámetros de configuración de usuarios así como
las actualizaciones de listas y el diccionario.
; Reporting Module. Envía a este módulo los logs necesarios para que puedan generarse
los informes.
; Quarantine Module. Envía los mails que según la configuración del perfil deban ser
guardados en cuarentena en caso de ser considerados spam o virus.
Página 11
El / los Web Servers son los únicos que conectan con los módulos del servicio y es a través de
estos que es posible que los usuarios puedan acceder a la cuarentena, ver informes, cambiar la
configuración del filtro, dar de alta a un nuevo usuario, etc.
Todos los módulos pueden instalarse en un único servidor o en tantos como sea necesario.
4.7 Especificaciones de Hardware
OPTENET Mail Filter Gateway incluye las siguientes prestaciones de hardware:
CPUs
2 AMD OPTERON DUAL CORE 1.8 GHZ
Tarjetas de red
Dual-port Gigabit
Memoria
4G DDR400 with ECC
Disco duro
3 HD 300GB SATA 7200RPM (RAID 5) Hot Swap
Fuente de alimentación
700W Redundant Power Supply - Hot Swap
Chasis de montaje en rack 1U Rackmount
Dimensiones (pulg.)
17.2 x 1.7 x 27
Dimensiones (cm)
43.8 x 4.3 x 68.58
Peso (libras/k)
46 / 20.9
4.8 Sistema operativo seguro
OPTENET Mail Filter Gateway utiliza un sistema operativo específico y personalizado para la
solución que ha pasado procesos de minimización y blindaje garantizando la seguridad del
mismo.
4.9 Capacidad
OPTENETMail Filter Gateway tiene las siguientes capacidades de procesamiento:
320
Número de mensajes por segundo
Número de mensajes por hora
Número de mensajes por día
1.2 millones
27.7 millones
Número de usuarios soportados
35,000
Las capacidades mencionadas dependen de las opciones de configuración activadas en la
solución.
Página 12
5
Descripción del Proceso de Filtrado
5.1 Funcionamiento
La solución de filtrado se puede configurar e integrar de distintas formas en la arquitectura de
correo existente, correspondiendo a las distintas opciones de filtrado de correo que permite el
Mail Filter Gateway: POP3, SMTP de entrada y SMTP de salida. El siguiente esquema ilustra
el funcionamiento de OPTENET Mail Filter Gateway en un escenario típico:
Como se puede observar, en este escenario concreto se presupone la siguiente arquitectura
para el filtro de correo: Un servidor de correo que hará las funciones de “relay”, esto es, recibirá
todo el correo entrante y se encargará de distribuirlo a los servidores de correo que contienen
los buzones de usuario (“mailboxes”). Tenemos diferentes grupos de usuarios cada uno de los
cuales se conecta siempre a un servidor de correo concreto (aquel que contiene los
correspondientes buzones de correo). Cada uno de estos servidores de correo finales proveen
los diferentes servicios de correo (POP3, IMAP, Webmail, etc.) directamente a los usuarios
finales, mientras que el servidor “relay” no es accesible directamente por estos últimos.
Cuando se envíe un correo desde Internet, éste vendrá procedente de un servidor de correo
externo y entrará directamente al puerto SMTP del Filtering Module, quien procesará (y
modificará) el contenido del correo y lo entregará después al servidor de correo “relay”.
Página 13
Para comprender mejor el funcionamiento describiremos dos casos (con y sin OPTENET Mail
Filter Gateway):
; Sin OPTENET Mail Filter Gateway:
o
Cuando el usuario desea descargarse el correo, su programa cliente de correo se
conecta al puerto 110 (POP3) del servidor POP3 (de su ISP, empresa, etc).
o
De forma similar, para enviar, el cliente de correo establecerá una conexión con el
puerto 25 (SMTP) del servidor SMTP (de ahora en adelante, “SMTP1”).
o
El correo externo que recibe el ISP entra a través de otro servidor SMTP (en
adelante, “SMTP2”). Desde ahí será redirigido hacia los buzones de usuario, por
métodos que en principio no afectan en el proceso.
o
Los servidores POP3, SMTP1 y SMTP2 podrían ser máquinas diferentes, en su
forma más general. En la práctica, es normal que dichos servicios se agrupen (por
ejemplo, en una misma máquina se ejecuten POP3 y SMTP1, o incluso que sólo
exista un SMTP, en lugar de dos).
Página 14
; Con OPTENET Mail Filter Gateway para filtrado de correo de entrada (POP3):
o
conecta al puerto 110 del Filtering Module (por transparencia lo normal será
escoger el mismo puerto que utiliza POP3).
o
El Filtering Module detectará una nueva conexión entrante y realizará una
conexión saliente hacia el puerto 110 del servidor POP3. A partir de ahí, se
establece una vía de comunicación entre el usuario y el servidor POP3 real,
actuando el Filtering Module como intermediario.
o
Para enviar correo, ocurre algo similar: el usuario se conecta al puerto 25 del
Filtering Module, el cual enlazará a su vez con el puerto 25 del servidor SMTP.
o
Por tanto, el Filtering Module dispone de dos servicios, que “simulan” el
comportamiento de los puertos POP3 y SMTP de un servidor de correo normal.
o
De igual forma es posible que coexistan en una misma máquina los servicios
POP3 / SMTP junto a aquellos que el Filtering Module provee.
Página 15
; Con OPTENET Mail Filter Gateway para filtrado de correo de entrada y salida
(SMTP):
o
conecta al puerto 110 (POP3) del servidor POP3.
o
Para enviar correo, el usuario se conecta al puerto 25 del Filtering Module, el cual
enlazará a su vez con el puerto 25 del servidor SMTP.
o
El correo externo que recibe el ISP entra a través del Filtering Module, el cual
enlazará a su vez con el otro servidor SMTP (en adelante, “SMTP2”).
o
Por tanto, el Filtering Module dispone de dos servicios SMTP, que “simulan” el
comportamiento de servidores SMTP de entrada y de salida.
o
De igual forma es posible que coexistan en una misma máquina los servicios
POP3 / SMTP junto a aquellos que el Filtering Module provee.
Página 16
; Con OPTENET Mail Filter Gateway para filtrado de POP3 y correo de entrada y
salida (SMTP):
o
El funcionamiento es el mismo para cada caso descrito es los dos punto
anteriores, el siguiente diagrama muestra este escenario:
La solución OPTENET Mail Filter Gateway ofrece cuatro servicios de cara al exterior. Tres ya
han sido descritos (son los puertos POP, SMTP de entrada y SMTP de salida “virtuales” que
abre el Filtering Module) y el cuarto es el puerto de administración WEB en los OPTENET Web
Servers que es accesible mediante cualquier navegador (HTTP o HTTPS).
Página 17
5.2 Proceso de Filtrado
En este apartado se describe el proceso de filtrado realizado por el Filtering Module y las
acciones posibles que puede realizar en caso de detección de correo spam o virus.
El siguiente diagrama ilustra el procesamiento realizado desde que se recibe un mail hasta que
es entregado finalmente al usuario, eliminado o guardado en cuarentena:
El sistema de filtrado realiza un doble procesamiento sobre los mensajes para comprobar la
existencia de correo spam, código malicioso o virus. A continuación se explican los diferentes
procesos que se realizan para cada caso:
Página 18
Proceso de Detección de Spam
Primero, realizar el escaneo en busca de spam y para ello sigue los siguientes pasos:
; Listas Blancas y negras
o
SFP: Soporte del protocolo Sender Policy Framework (RFC 4408) que permite bloquear
la recepción de correo cuya validez del remitente no puede ser comprobada.
o
WL User: listas blancas de usuario. Si el correo procede de una dirección de correo
marcada por el usuario (o administrador) como “amiga”, éste se dará por bueno.
o
BL User: listas negras de usuario. Si el correo procede de una dirección que no es
deseada para el usuario, el correo será marcado como spam.
o
WL Optenet: listas blancas de OPTENET. Si el correo procede de una dirección de
correo contenida en las listas blancas de OPTENET (no gestionables por el usuario), éste
se dará por bueno.
o
BL Optenet: listas negras de OPTENET. Si el correo procede de una dirección contenida
en las listas negras de OPTENET (no gestionables por el usuario), éste será marcado
como spam.
o
Listas negras públicas. Es una herramienta preventiva y sirve para cierto porcentaje del
spam existente. Esta técnica debido al alto nivel de falsos positivos que produce se
complementa con un proceso de verificación manual por parte de OPTENET.
o
WL ISP: listas blancas del ISP. Si el correo procede de una dirección de correo contenida
en las listas blancas del ISP (no gestionables por el usuario), éste se dará por bueno.
o
BL ISP: listas negras de ISP. Si el correo procede de una dirección contenida en las listas
negras de Optenet (no gestionables por el usuario), éste será marcado como spam.
El orden en el que estas listas serán chequeadas para el diagnóstico de cada mensaje
podrá ser variado para ajustarse a los requerimientos del ISP.
; CA Texto: análisis de contenido. El Filtering Module analiza el contenido del correo (texto.
HTML).
; DB Optenet: base de datos de OPTENET. Si el correo contiene alguna URL que dé indicios
de que el correo es spam, éste será marcado como tal.
; CA URL: análisis de contenido de las URLs insertadas en el correo. Se realizará un análisis
inteligente que determinará si el correo que contiene dicha/s URL/s es o no spam.
Proceso de Detección de Virus
Página 19
Una vez que el análisis de spam ha sido realizado para un mensaje se procederá a realizar la
búsqueda de virus.
Los mensajes clasificados como virus serán tratados según se haya definido en las acciones
predefinidas para cada perfil de destinatario.
Los pasos que sigue el analizador del Antivirus son los siguientes:
; Pre-procesamiento: Antes de pasar a la actividad de búsqueda de virus en sí, el sistema
realiza unas comprobaciones previas sobre el mensaje:
o
Comprobar el tamaño del mensaje, y el número total de mensajes en la misma sesión y
los compara con los límites que se hayan establecido.
o
Comprobar el número de sesiones abiertas desde 1 o varias IPs según los límites que se
hayan establecidos.
; Procesamiento. Es en esta fase cuando el mensaje es analizado para comprobar si
contiene virus. Los pasos que se realizan en esta fase son:
o
El mensaje es dividido en partes gracias al identificador de formatos (MIME, RFC822,
UUE): cuerpo, ficheros adjuntos, etc.
o
Se realiza el escaneo de los componentes en busca de virus.
o
Se realizan las acciones que se hayan programado para cada perfil.
o
La solución permite detectar virus incluso si estos todavía no han sido incorporados a la
base de datos. Gracias a la segunda generación de técnicas de análisis heurístico es
posible detectar cerca del 100% de los nuevos virus
Como hemos visto, el servidor de correo “relay” del ISP recibe ya el correo debidamente filtrado
y limpio de spam y virus, o al menos marcados de manera personalizada si así se ha definido
en las acciones para el perfil del destinatario y lo envía al servidor de correo final que
corresponda. Por último, los usuarios descargarán o leerán su correo de estos últimos
servidores.
Página 20
6
FUNCIONALIDADES
A continuación se detallan las funcionalidades específicas de cada uno de los componentes
fundamentales de la solución:
6.1 Central Manager
El Central Manager realiza las siguientes funciones:
; Gestionar la caché de los logins y passwords para acceder a la configuración del perfil
de servicio de cada cliente.
; Almacenar y gestionar los logins y los passwords de los buzones para el caso de
servicio a empresas y los logins y los passwords de la cuarentena.
; Almacenar el perfil de servicio de cada cliente.
; Almacenar la configuración de todos los módulos del sistema.
; Descargar y actualizar las bases de datos de listas y los parámetros de filtrado de cada
Filtering Module.
; Replicar los perfiles de servicio de los usuarios en los módulos del sistema a través de
los cuales pasará el usuario final.
; Gestionar la caché de las IPs si fuera necesario.
; Realizar la comunicación con el sistema de asignación de IPs (Radius, LDAP ...) si fuese
necesario.
; Realizar la comunicación con el sistema de provisionamiento si fuese necesario.
6.2 Filtering Module
El Filtering Module permite tanto al administrador como a los usuarios configurar las siguientes
opciones para definir el tipo de servicio asociado a su perfil:
a) Configuración de listas blancas
Esta función permite editar la lista de direcciones de correo electrónico amigo. Los correos
enviados al usuario seleccionado desde una dirección de la lista nunca serán considerados
spam.
Puede añadir una nueva dirección a la lista escribiendo ésta en el cuadro Correo electrónico y
pulsando el botón Agregar. Se pueden agregar todas las direcciones de correo de un dominio
utilizando un asterisco * como nombre de usuario, por ejemplo, *@optenet.es. Así mismo se
pueden crear listas blancas de IPs.
Página 21
b) Configuración de listas negras
Esta opción permite editar la lista de direcciones de correo electrónico no deseado y decidir qué
hacer con el correo que llegue de tales direcciones.
Puede añadir una nueva dirección a la lista escribiendo ésta en el cuadro Correo electrónico y
pulsando el botón Agregar. Se pueden agregar todas las direcciones de correo de un dominio
utilizando un asterisco * como nombre de usuario, por ejemplo, *@ejemplo.com. Así mismo se
pueden crear listas negras de IPs.
Si desea eliminar una dirección de la lista se puede seleccionar y borrar.
c) Acciones posibles
A través de la administración vía web los usuarios del servicio pueden seleccionar las acciones
que se quieren tomar en el caso de que se detecte un correo spam o un virus.
El sistema ofrece la posibilidad de que las acciones que se programen sean las mismas para los
casos de detección de correo spam y de virus evitando así tener que configurar dos veces el
servicio. Si el usuario así lo prefiere, puede desligar ambas configuraciones y parametrizar las
acciones de virus y de correo spam por separado.
El interfaz muestra las cuatro opciones que se pueden tomar:
; Si selecciona la opción “Mantener el destinatario de origen”, el correo se enviará al
destinatario solicitado.
; Si selecciona la opción “Reenviar a la dirección”, el correo se redirigirá a la dirección de
correo especificada a continuación.
Página 22
; Si selecciona la opción “Eliminar”, el correo se ignorará.
; Enviar a Cuarentena.
En los dos primeros casos (Mantener destinatario y Reenviar), se pueden realizar varias
transformaciones alternativas al mensaje original, según la opción seleccionada en la lista
desplegable correspondiente.
o
Mantener: envía el mensaje tal cual, sin ninguna modificación.
o
Limpiar el mensaje de virus (sólo en el caso de virus encontrado).
o
Añadir un mensaje como prefijo del asunto: modifica el asunto del mensaje anteponiendo
el texto indicado en el cuadro Personalizar Mensaje.
o
Sustituir el asunto por un mensaje: suprime el asunto original del mensaje y lo reemplaza
por el texto indicado en el cuadro “Personalizar Mensaje”.
o
Añadir al cuerpo del correo un mensaje: inserta el texto indicado en el cuadro
“Personalizar Mensaje” al principio del cuerpo del mensaje.
o
Crear un fichero anexo con el correo spam: genera un nuevo mensaje de notificación
predefinido y anexa el mensaje original.
o
Marcar cabecera: añade el texto indicado en el cuadro “Personalizar Mensaje“ como una
línea más del encabezado del mensaje.
Página 23
d) Multi-gestión y administración:
OPTENET Mail Filter Gateway permite varios niveles de administración: Administrador General
del ISP, Administrador de Dominios y Administración Individual del Filtro.
Aquellos usuarios con permisos de administración individual podrán personalizar su perfil de
filtrado según sus necesidades mientras que el resto de usuarios utilizarán el perfil general
configurado por el administrador del ISP.
Es posible crear otro nivel de administración para el entorno empresarial, en el que un
administrador de la empresa cliente del ISP puede definir el perfil de un grupo de usuarios bajo
su responsabilidad, normalmente los usuarios pertenecientes a su empresa.
e) Filtrado por tipo de anexo al correo
Se puede definir los tipos de archivos que no se permitirá enviar al usuario seleccionado. Los
ficheros adjuntos de los tipos seleccionados se eliminarán al enviar o recibir los mensajes.
La eliminación de ficheros adjuntos es realizada de manera independiente a la detección de
correo spam o virus y se realizará siempre que haya sido activada por los usuarios para
aquellos ficheros seleccionados aunque el mail haya sido considerado limpio.
f) Envío de mensajes de aviso a los usuarios
Los usuarios pueden activar una opción de avisos que obliga al sistema a enviar un mensaje de
aviso en el caso de que un correo haya sido bloqueado por spam o por contener virus. Esta
acción puede ser definida independientemente para los virus y para el spam o de manera
conjunta.
g) Funciones de administración
Algunas opciones son sólo accesibles por el administrador del sistema y le permiten
parametrizar la solución y adaptarla a sus necesidades, facilitándole la gestión de la solución.
Entre las posibilidades de administración del filtro podemos encontrar:
; Configuración de parámetros básicos: Es en este apartado donde el administrador puede
fijar los valores de configuración básica que afectan al servicio. Desde valores de red
necesarios para el funcionamiento como límites máximos de tamaño de correo, número
de mensajes por sesión, etc.
; Entrenador: A través de esta herramienta el administrador puede utilizar ejemplos reales
de correo spam de su instalación (recolectados por el sistema) para reentrenar el módulo
de filtrado y ajustarlo aún más al tipo de mensajes recibidos por sus usuarios mejorando
así su eficacia.
; Mensaje de Desafío: También se puede definir el formato del mensaje de desafío que
será enviado en caso de querer comprobar la validez de un remitente.
; Logs: A través de un visor de logs y estadísticas se puede ir comprobando el estado de la
solución en tiempo real, así como el número y tipo de mensajes que están siendo
monitorizados por la solución.
Página 24
; Actualizaciones: Se puede personalizar el modo en el que las actualizaciones son
realizadas para ajustarlas a las necesidades de cada ISP.
; Cuarentena: Configuración de parámetros básicos de la cuarentena, generación de
clusters, creación de usuarios para la auto-adiminstración de la cuarentena a nivel
dominio y usuario final.
h) Antivirus
Se permite revisar la presencia de virus en tráfico de correo. El escaneo se lleva a cabo tanto
en el cuerpo del correo como en los ficheros adjuntos aún cuando los estos estén comprimidos
en múltiples ocasiones.
Permite personalizar los siguientes parámetros:
; Activar escaneo de tráfico.
; Activar advertencia de correo escaneado.
o
Mensaje de advertencia: en este campo podrá incluir el mensaje que desea
aparezca en el cuerpo del mail cuando haya sido analizado.
; Mensaje de virus encontrado: en este campo podrá incluir el mensaje que desea
aparezca en el cuerpo del mail cuando haya sido encontrado algún virus.
; Cuando haya sido detectado un virus en un email, podrá seleccionar entre las siguientes
acciones:
o
Permitir que el correo salga (no hacer nada).
o
Mandar correo a cuarentena.
o
Eliminar el correo.
o
Limpiar virus.
Opcionalmente puede seleccionar las extensiones de los ficheros que desea escanear.
Página 25
6.3 Quarantine Module
El módulo de cuarentena permite listar, visualizar y desbloquear los mensajes, así como realizar
búsquedas por varios campos.
6.3.1 Correo en cuarentena
Para acceder a este módulo tanto el administrador como los usuarios deberán acceder
mediante un navegador a la página de administración donde está instalado el módulo de
cuarentena. Para acceder se autenticará al usuario mediante el correspondiente nombre de
usuario y contraseña.
Pinchando el botón buscar aparecerá una ventana en donde podrá seleccionar los siguientes
campos para la búsqueda de los mensajes:
o
o
o
o
o
o
o
o
Fecha inicial.
Fecha final.
Remitente.
Destinatario.
Asunto.
Ordenar por.
Primer mensaje a
mostrar.
Numero de mensajes por
página.
Un campo en cada uno de los mensajes listados indicará si el mensaje ha sido bloqueado como
spam o como mensaje con virus.
Al seleccionar un correo, se abrirá, en una nueva ventana mostrando su contenido. En el caso
de un mensaje con virus encontrados, al abrir el mensaje podremos ver el listado de ficheros
adjuntos y los virus encontrados. En esta ventana de visualización se dará la opción de
desbloquear o borrar. En el caso de ser un correo spam y de tener configurada la opción, se
preguntará al usuario si remitir el mensaje para mejorar la calidad del filtrado (contribución),
aparecerá una pantalla en donde deberá seleccionar el mensaje y aceptar.
Un ejemplo de la posibilidad de realizar contribuciones:
Página 26
6.3.2 Mensaje de Desafío
Permite reducir el ratio de sobrebloqueos a virtualmente cero, mediante el envío de un mensaje
al remitente en el que tendrá que identificarse comprobando así que no se trata de una máquina
configurada para enviar mensajes no deseados.
6.4 Reporting Module
Las principales características de esta herramienta son las siguientes:
; No depende de ninguna base de datos externa, por lo que requiere la administración de
Oracle o SQL, a veces tan costosa.
; Está basado en un sistema de registros e índices compactados que realiza búsquedas en
todos los datos disponibles de una manera rápida y eficiente, minimizando el uso de
espacio en disco.
; El sistema de definición de informes, basado en plantillas predefinidas, es altamente
intuitivo y flexible. Una multitud de informes diferentes pueden ser fácilmente generados.
; Permite que los informes sean programados, así el administrador puede definir qué
informes quiere generar y en qué momento, para interferir mínimamente en el desarrollo
normal de su trabajo.
Página 27
; Puede coexistir con los demás módulos o ser instalado en una máquina independiente.
; El Módulo de Informes puede recibir información de uno o más, locales o remotos,
módulos de filtrado.
6.4.1 Tipo de Informe
La información que el módulo de filtrado obtiene se refiere a las peticiones de correo tramitadas
a través de él. Estos correos pueden haber sido bloqueados por alguna razón (esto depende de
la configuración que haya establecido el administrador) o porque se haya considerado como
potencialmente correo no deseado, se haya detectado algún virus o también puede ser
transmitidos si no cumplen la normativa existente. Por tanto el administrador puede definir qué
tipo de informe necesita en función de los siguientes parámetros:
; Peticiones (Correos): Se mostrarán todas la peticiones recibidas por el sistema, sean o
no bloqueadas.
; Bloqueos (Spam): Mostrará todas las peticiones de retransmisión de correos, que el filtro
haya decidido bloquear, de acuerdo con las políticas del sistema, o por las reglas
definidas por el usuario.
; Bloqueos (Virus): Mostrará todas las peticiones de retransmisión de correos, que el filtro
haya decidido bloquear por haberse detectado algún tipo de virus en su interior.
; Accesos: Mostrará todas las peticiones recibidas que no hayan sido bloqueadas.
6.4.2 Criterios de Agrupación y Selección
El criterio de agrupación nos permite definir el campo o atributo de los datos a través del cual
vamos a aglutinar los valores que nos aparecerán en el informe que deseamos obtener. Los
criterios de agrupación posibles son los siguientes
; Por Horas
; Por Días
; Por destinatarios
; IP Origen
; Grupos
; Remitente
; Tamaño
; Dominio de destino
; Por tipo de Virus
Para todos los valores arriba mencionados exceptuando los criterios de “Por Horas” y “Por Días”
es posible determinar también criterios de selección. El criterio de selección permite restringir
Página 28
los resultados de la consulta a sólo aquellos registros que cumplen determinadas condiciones.
Estos criterios son similares a los de agrupación aunque aquí se usan con otro significado.
Se pueden seleccionar tantos criterios de selección simultáneamente como se desee, de
manera que podemos ir acotando progresivamente la búsqueda que necesitamos en cada
momento.
6.4.3 Otras opciones
Otras opciones que pueden ser encontradas en el módulo de informes son:
; Rango Horario: El administrador puede determinar el intervalo de tiempo del que quiere
obtener información.
; Formato de salida: Es posible elegir entre varios formatos para la salida de los informes,
eligiendo el tipo de gráfico a mostrar, la representación numérica, etc.
; Ordenación del resultado: Por defecto el orden en que nos aparecen los resultados es el
de la ordenación alfabética, pero es posible elegir que se ordenen de mayor a menor
según los resultados lo que permite la obtención de un ranking en función de los
resultados.
Página 29
7
Soporte
Aunque OPTENET se adapta en la descripción de un servicio específico acordado con el ISP
para cubrir sus necesidades particulares, el procedimiento normal de soporte es:
; El Soporte de Primer Nivel y atención comercial son proporcionadas por el ISP a través
de sus departamentos de Atención al cliente y soporte técnico. Para realizar este soporte de
primer nivel con las máximas garantías OPTENET proporciona la formación necesaria para
el personal técnico del ISP y del Centro de Atención al Cliente.
; El Soporte de Segundo y Tercer Nivel es proporcionado por OPTENET.
El nivel de servicio proporcionado será:
Actualizaciones.- OPTENET actualizará continuamente las listas y los parámetros de
filtrado elegidos en el/los servidor(es) del ISP. El tiempo entre actualizaciones es de 5
minutos por defecto y personalizable por el administrador del sistema.
Actualizaciones de software.- OPTENET informará al ISP, con dos meses de
antelación, del desarrollo de nuevas versiones y/o de la funcionalidad del filtro.
Asistencia de segundo nivel.- Este servicio se proporcionará por vía telefónica o por
correo electrónico para asesorar al ISP en la corrección de cualquier fallo en el
funcionamiento del sistema de filtrado con el que puedan toparse los clientes finales.
OPTENET tiene un SLA muy estricto para garantizar el nivel de servicio:
Prioridad
0 Emergencia
1 Alta
2 Media
3 Baja
Tiempo de
respuesta
15 minutos
15 minutos
30 minutos
30 minutos
Tiempo de
Restablecimiento
4 horas
24 horas
No aplicable
No aplicable
Tiempo de
resolución
24 horas
30 días
60 días
180 días
El Soporte de Tercer Nivel para la solución OPTENET está garantizado.
Página 30

OPTENET Mail Filter Gateway

Transcripción

Documentos relacionados

Hoja de Producto - Allot-Optenet Security Solutions

Configuración de Cuentas POP3 en Programas de Correo

Descargar - Todo en E commerce

Presentación de PowerPoint

OPTENET Solutions for the Enterprise

OPTENET WEB FILTER Server 5.27.05 Guadalinex Manual de