manual optenet mail filter gateway 2006-06-18 · optenet mail filter gateway página 3 1...

OPTENET Mail Filter Gateway

OPTENET MAIL FILTER GATEWAY

Página 2

INDICE

1 INTRODUCCIÓN DE LA COMPAÑÍA ..........................................................................3 1.1 Referencias comerciales .............................................................................................................. 3

2 VENTAJAS DE OPTENET MAIL FILTER GATEWAY ........................................................4

3 TECNOLOGÍAS DE FILTRADO. ...............................................................................6

4 ARQUITECTURA DE LA SOLUCIÓN ..........................................................................8 4.1 OPTENET Web Server................................................................................................................. 8 4.2 Central Manager ........................................................................................................................... 9 4.3 Filtering Module ............................................................................................................................ 9 4.4 Quarantine Module ....................................................................................................................... 9 4.5 Reporting Module ....................................................................................................................... 10 4.6 Comunicación entre componentes ............................................................................................. 11 4.7 Especificaciones de Hardware ...................................................................................................12 4.8 Sistema operativo seguro ........................................................................................................... 12 4.9 Capacidad................................................................................................................................... 12

5 DESCRIPCIÓN DEL PROCESO DE FILTRADO ............................................................. 13 5.1 Funcionamiento .......................................................................................................................... 13 5.2 Proceso de Filtrado..................................................................................................................... 18

6 FUNCIONALIDADES .......................................................................................... 21 6.1 Central Manager ......................................................................................................................... 21 6.2 Filtering Module .......................................................................................................................... 21 6.3 Quarantine Module ..................................................................................................................... 26

6.3.1 Correo en cuarentena ....................................................................................................... 26 6.3.2 Mensaje de Desafío .......................................................................................................... 27

6.4 Reporting Module ....................................................................................................................... 27 6.4.1 Tipo de Informe ................................................................................................................. 28 6.4.2 Criterios de Agrupación y Selección.................................................................................. 28 6.4.3 Otras opciones .................................................................................................................. 29

7 SOPORTE ...................................................................................................... 30


Página 3

1 Introducción de la compañía

OPTENET es proveedor líder de soluciones de seguridad cuya finalidad es optimizar el acceso a Internet (filtrado de contenidos, antispam, antivirus, navegación sin publicidad, firewall, herramientas de control a tiempo real, etc.) para Proveedores de Servicios de Internet (ISP), empresas, instituciones públicas y centros educativos, así como para particulares en toda España y América.

Creada en San Sebastián en 1997, OPTENET fue fundada con el objetivo de prestar servicios de acceso "filtrado" a Internet a usuarios particulares. Con el paso del tiempo y gracias a la experiencia adquirida, OPTENET se convirtió en una empresa de software especializada en ofrecer soluciones de seguridad a todo tipo de usuarios.

En la actualidad, OPTENET es líder indiscutible en el mercado europeo para este tipo de soluciones, además de desempeñar un papel fundamental en el ámbito internacional. OPTENET ha logrado esta posición de privilegio gracias a su fortísimo desarrollo en España, a su sólida presencia en Europa y a una agresiva estrategia empresarial de crecimiento en Estados Unidos y América Latina. Pero nada de esto hubiera sido posible si OPTENET no hubiera contado con una magnífica solución y una excelente acogida entre la comunidad tecnológica.

La solución Mail Filter Gateway de OPTENET integra la última tecnología de detección de virus proporcionada por el fabricante Europeo Kaspersky Labs. Gracias a la utilización de esta tecnología, OPTENET pone a disposición de los ISPs la posibilidad de ofrecer soluciones completas de filtrado de correo electrónico tanto para el sector residencial como empresarial.

El Módulo de Antivirus está respaldado por la certificación ICSA de Kaspersky Labs, consultar las siguientes URLs para mayor información al respecto:

HTTPs://www.icsalabs.com/icsa/product.php?tid=dfgdf$gdhkkjk-kkkk

HTTPs://www.icsalabs.com/icsa/topic.php?tid=5701$360fdee8-1f4c977d$05ac-b921d196

1.1 Referencias comerciales

OPTNET se ha consolidado como líder indiscutible en soluciones para ISPs atendiendo a clientes en este segmento a nivel mundial.

Cablemás (México) CECA (Spain) Clix (Portugal) Euskaltel (Spain) Emcali (Colombia) Iberbanda (Spain) ISIDE (Italy) Novis Telecom (Portugal) Numericable - Canal Plus (France) Mana (Tahiti) Monaco Telecom (Monaco)

Orange (UK) Orange (France) Portugal Telecom (Portugal) Telefónica Empresas (Spain) Telefónica (Spain, Brazil and Peru) Telefónica Moviles (Spain) Terra (Spain and Peru) TTP (Spain) Wanadoo (France, Senegal, The Mauritius Islands, Morocco)


Página 4

2 Ventajas de OPTENET Mail Filter Gateway

OPTENET Mail Filter Gateway es una solución en hardware y software que evita la recepción de correo electrónico no deseado (también conocido como “spam”) o peligroso (mensajes que contienen virus). Asimismo también dispone de otras funcionalidades adicionales como la eliminación de ficheros adjuntos como pueden ser aquellos con extensiones ‘.exe’, ‘.mp3’ u otros.

Entre las ventajas de la solución OPTENET se pueden encontrar las siguientes:

Máxima eficacia en la detección de spam (95%) y de virus (99%).

Mínima tasa de error de filtrado (virtualmente 0% gracias al mensaje de desafío).

Mejores tiempos de respuesta ante nuevos virus.


Página 5

La mayor enciclopedia de virus del sector con más de 100.000 registros.

Para asegurar la máxima protección del correo de los usuarios ante amenazas de virus, la solución Mail Filter Gateway de OPTENET reconoce más de 400 formatos de ficheros entre los cuales puede entender unos 40 tipos de compresores y paquetes de instalación. Esto es esencial para la seguridad contra los virus debido a que los virus pueden estar ocultos en ficheros de cualquier formato reconocible.

Rendimiento (rápido procesamiento) entre dos y once veces más rápido que nuestros principales competidores y con muchas más funcionalidades.

OPTENET funciona independientemente de la plataforma. También puede ser integrado en las plataformas más comunes disponibles en el mercado.

Alto grado de fiabilidad gracias a su arquitectura distribuida y flexible a prueba de fallos.

Implantable en infraestructuras con múltiples puntos de acceso en distintos puntos geográficos con posibilidad de administración centralizada y/o distribuida.

Redundancia interna carente de puntos únicos de fallo lo que garantiza la continuidad del servicio.

Tiempos de puesta en marcha reducidos. Se integra fácilmente con las infraestructuras existentes.

Modularidad y flexibilidad innovadoras que permiten ajustar la inversión de hardware al momento en que así lo requiera la demanda del servicio.

Reutilización de componentes entre distintas soluciones de OPTENET. Varios de los módulos pueden ser compartidos por más de una solución (Web Filter, Mail Filter, etc.) de tal manera que el coste de implementación de nuevos servicios así como los costes asociados a la administración se reducen.

Las diferentes bases de datos y los diccionarios del analizador de contenidos son actualizados de manera automática e incremental.


Página 6

3 Tecnologías de filtrado.

OPTENET Mail Filter Gateway combina las siguientes tecnologías para la detección de spam y virus:

o Honeypots: son cuentas de correo que se utilizan sólo para recibir spam. Los Honeypots se utilizan para medir niveles de spam, conocer las nuevas tendencias del correo no deseado y a los spammers, configurar listas, entrenar analizadores, etc. Dentro de esta técnica se incluye la verificación de firmas (fingerprint) para examinar las características de mensajes previamente identificados como spam y utilizar dicha información para la identificación de futuros correos que sean similares.

o Listas negras Públicas: Se cuenta con ayuda de organizaciones, a las cuales contribuye gente y entidades de todas partes del mundo para desarrollar, mantener y actualizar bases de datos de spammers. Este tipo de herramienta es preventiva y sirve para cierto porcentaje del spam existente. Esta técnica debido al alto nivel de falsos positivos que produce se complementa con un proceso de verificación manual por parte de OPTENET.

Algunas listas negras públicas de las cuales OPTENET alimenta sus bases de datos propias, previa depuración y verificación son:

o SBL de spamhaus.org o XBL de spamhaus.org o ORDB de ordb.org o SCBL de spamcop.net

o Análisis Inteligente de Contenidos para la detección de spam: Desarrollado por OPTENET, aporta el elemento diferenciador con respeto a las soluciones existentes en el mercado ya que se ha demostrado que es gracias a él que se consigue la mayor precisión y eficacia en la detección de spam. Este analizador se compone de un software y un diccionario, así como de una serie de indicios y su peso relativo. El diccionario es obtenido automáticamente entrenándolo con un gran número de correos, y puede ser personalizado usando nuevas colecciones de correos que están identificadas como seguras o spam. Los distintos sistemas de análisis utilizados son:

Análisis de Contexto: Analiza las palabras en su contexto.

Método Heurístico: Es una técnica que busca características de los spams en un email. Se asigna un peso de “probabilidad spam” a cada característica y se da una puntuación acumulativa de probabilidad sobre el email. Si la puntuación llega a un límite preestablecido, se clasifica como spam. Esta técnica también es conocida como (Rule-based scoring).

Método Bayesiano: El filtro Bayesiano se basa en probabilidades, y aprende a perfeccionarse. Se examina el contenido de emails no deseados y se comparan con el de emails deseados para crear una base de datos de palabras que, dependiendo de la probabilidad, identifican el spam. OPTENET utiliza el método bayesiano para obtener la distribución óptima de pesos para las características detectadas mediante los procedimientos heurísticos.

o Análisis de URL: Muchos de los mensajes de spam contienen un enlace HTTP. OPTENET usa su base de datos de URLs para clasificar estos enlaces y asumir qué correo puede considerarse que pertenece a la categoría del enlace. Los administradores


Página 7

de la herramienta de filtrado pueden decidir qué categorías son consideradas siempre como spam, (ejem.: pornografía). Esta técnica también es conocida como Análisis de Intención (Intention Analysis) ya que dependiendo del URL que contenga el mensaje de correo se puede determina el objetivo del mismo. La ventaja de OPTENET Mail Filter Gateway es que incluye 6 categorías que se pueden activar o desactivar (anunciantes, azar, banners, compras, juegos y pornografía).

o Mensaje de Desafío: permite reducir el ratio de sobrebloqueos a virtualmente cero, mediante el envío de un mensaje al remitente en el que tendrá que identificarse comprobando así que no se trata de una máquina configurada para enviar mensajes no deseados.

o Base de datos de virus: Gracias a esta base de datos, la solución puede detectar virus y desinfectar objetos. Reconoce más de 40 tipos de ficheros y paquetes de instalación y puede detectar virus en más de 400 formatos de ficheros diferentes.

o Sistema heurístico de detección de virus: La solución permite detectar virus incluso si estos todavía no han sido incorporados a la base de datos. Gracias a la segunda generación de técnicas de análisis heurístico es posible detectar cerca del 100% de los nuevos virus.

o SPF (Sender Policy Framework): OPTENET Mail Filter Gateway soporta el protocolo SPF (RFC 4408) también conocido como Sender Permitted From de tal forma que permite bloquear la recepción de correo cuyo remitente es falso; se verifica la legitimidad del remitente a través de consultas al DNS del dominio remitente, específicamente a los registros SPF.

o Protección de posibles ataques de denegación de servicio (denail of service): La solución tiene características tipo firewall para el puerto 25 (SMTP) y 110 (POP3) protegiendo contra ataques de denegación de servicio a los protocolos y puertos de los cuales el servicio de correo depende.

o Listas blancas y listas negras: OPTENET Mail Filter Gateway permite crear listas de direcciones de correo electrónico amigo (listas blancas) de tal forma que los correos enviados al usuario seleccionado desde una dirección de la lista nunca serán considerados spam. En contraparte permite crear listas de direcciones de correo electrónico no deseado (listas negras) y decidir qué hacer con el correo que llegue de tales direcciones. Adicionalmente permite crear listas de IPs amigas de las cuales siempre se recibirán los mensajes y sólo se analizarán para detectar posibles virus.

o Creación de reglas por usuario: OPTENET Mail Filter Gateway permite configurar perfiles diferentes por usuario especificando las acciones que se deberán tomar en cada caso cuando se detecte un correo spam o infectado con virus. Cada usuario es capaz de administrar su propia cuarentena y si se desea puede tener acceso a sus propios reportes o informes.

o Rate Control: En el filtrado SMTP de salida incorpora este control mediante el análisis de número de envío de correos de una IP en un período de tiempo específico. Si el factor pasa de cierto límite o umbral, la IP quedará bloquea para que no puedan entrar o salir más correos de esa dirección.


Página 8

4 Arquitectura de la solución

En este apartado se describe la arquitectura general de la solución OPTENET Mail Filter Gateway. A continuación se muestra el diagrama general de los componentes:

USUARIOS

ISP Servers:Autenticación

CACAprovisionamiento

OPTENETWeb Servers

Filtering Modules

REDISP

Reporting Module

Quarantine Module

Central Manager

FLUJOS DE GESTIÓN DE LA SOLUCIÓN

INTERNET

ISP Mail Server

VIRUS

SPAM

Correo limpio

ISP SERVER

OPTENET MODULESPueden ser instalados en una o varias máquinas según se necesite.

Firewall

4.1 OPTENET Web Server

Este módulo ofrece un interfaz HTTPS que permite hacer provisión del servicio, consultar los datos administrativos, autenticar los usuarios y configurar los parámetros de filtrado. Tanto los usuarios como otros sistemas del ISP deben interactuar con la solución a través de este módulo, proporcionando así un mayor nivel de seguridad al resto de los módulos al no ser accesibles directamente.


Página 9

El Web Server puede replicarse para maximizar la disponibilidad de acceso al sistema, pudiendo acceder indistintamente a través de cualquiera de ellos, debido a que estos servidores no almacenan datos y funcionan exclusivamente como un interfaz hacia el exterior.

4.2 Central Manager

Recibe, almacena y distribuye los datos administrativos del sistema Mail Filter Gateway. La función administrativa del sistema recae en este módulo, siendo responsable de recoger los datos de provisión y configuración, de almacenarlos y permitir la consulta desde el resto de los módulos.

Habitualmente se instalan dos módulos Central Manager sincronizados entre sí y configurados en redundancia de forma que todo el resto de módulos conocerán ambos Central Manager aunque usando uno sólo (Principal). En caso de que éste no esté disponible se conmuta al Central Manager de respaldo retornando al Principal en cuanto esté disponible de nuevo.

4.3 Filtering Module

El Filtering Module actúa de intermediario entre los usuarios de correo y los servidores SMTP Y POP3. Es decir, tiene funcionalidades de Proxy y por tanto, funcionará con independencia de la plataforma de correo elegida (Exchange, Lotus Notes, Sendmail, Postfix, Exim, Qmail, etc).

4.4 Quarantine Module

Este módulo provee capacidad de almacenamiento para los mensajes bloqueados, (tanto mensajes spam como mensajes con virus) y facilita su recuperación. Cada módulo de cuarentena puede obtener los mensajes bloqueados por uno o más módulos de filtrado, y cada módulo de filtrado puede enviar los mensajes a varios módulos de cuarentena, obteniendo así un alto grado de redundancia.


Página 10

Los distintos módulos de cuarentena instalados se comunican entre sí para mantener sincronizado un único índice de mensajes, independientemente de qué módulo almacene el mensaje. De esta manera el usuario final ve los diferentes módulos como una única instancia.

Cada módulo de cuarentena tiene una lista de módulos de filtrado de los que obtiene los mensajes bloqueados periódicamente. Cada vez que clasifique un correo como spam o como virus lo guardará en un buffer de mensajes para después ser enviados a los distintos módulos de Cuarentena que lo requieran.

Esta arquitectura permite construir un sistema redundante y tolerante a fallos. Aún en caso que una avería, por ejemplo en un disco duro, destruya completamente un módulo de cuarentena, sus mensajes estarán replicados en otros módulos. El cluster detectará automáticamente la caída del módulo y las peticiones se redirigirán a los módulos de respaldo.

Por último, trascurrido un intervalo configurable de tiempo, por defecto 30 días, los mensajes son eliminados de los índices y destruidos.

4.5 Reporting Module

Este módulo obtiene información del módulo de filtrado sobre la actividad del correo, número y tamaño de mensajes de Spam, número y tipo de virus, etc. Proporciona informes detallados (manuales o programados) a los administradores, o incluso a los propietarios de las cuentas. En un proceso continuo, la información es acumulada, pasando desde un registro completo a un


Página 11

resumen por horas, posteriormente estos datos pasarán de un resumen por horas a un resumen diario, estos períodos de información, entre los cuales se mantiene en cada formato, son completamente configurables por el administrador. Este diseño permite adaptar el tamaño de los registros para los informes necesarios y disminuye drásticamente el tiempo necesario para su elaboración.

A su vez es posible instalar tantas instancias como sean necesarias, para tener una solución redundante, evitando así la necesidad de copias de seguridad.

4.6 Comunicación entre componentes

Tanto los usuarios como otros sistemas del ISP deben interactuar con el sistema a través de los OPTENET Web Servers proporcionando un mayor nivel de seguridad.

La única excepción es la comunicación que existe entre los usuarios y los módulos de filtrado (Filtering Modules), necesaria para realizar el filtrado de mensajes de salida y para el filtrado por POP3 de mensajes de entrada. Los Filtering Modules además de estas conexiones con los usuarios están conectados a los demás módulos del servicio:

Central Manager. Recibe de éste los parámetros de configuración de usuarios así como las actualizaciones de listas y el diccionario.

Reporting Module. Envía a este módulo los logs necesarios para que puedan generarse los informes.

Quarantine Module. Envía los mails que según la configuración del perfil deban ser guardados en cuarentena en caso de ser considerados spam o virus.


Página 12

El / los Web Servers son los únicos que conectan con los módulos del servicio y es a través de estos que es posible que los usuarios puedan acceder a la cuarentena, ver informes, cambiar la configuración del filtro, dar de alta a un nuevo usuario, etc.

Todos los módulos pueden instalarse en un único servidor o en tantos como sea necesario.

4.7 Especificaciones de Hardware

OPTENET Mail Filter Gateway incluye las siguientes prestaciones de hardware:

CPUs 2 AMD OPTERON DUAL CORE 1.8 GHZ

Tarjetas de red Dual-port Gigabit

Memoria 4G DDR400 with ECC

Disco duro 3 HD 300GB SATA 7200RPM (RAID 5) Hot Swap

Fuente de alimentación 700W Redundant Power Supply - Hot Swap

Chasis de montaje en rack 1U Rackmount

Dimensiones (pulg.) 17.2 x 1.7 x 27

Dimensiones (cm) 43.8 x 4.3 x 68.58

Peso (libras/k) 46 / 20.9

4.8 Sistema operativo seguro

OPTENET Mail Filter Gateway utiliza un sistema operativo específico y personalizado para la solución que ha pasado procesos de minimización y blindaje garantizando la seguridad del mismo.

4.9 Capacidad

OPTENETMail Filter Gateway tiene las siguientes capacidades de procesamiento:

Número de mensajes por segundo 320

Número de mensajes por hora 1.2 millones

Número de mensajes por día 27.7 millones

Número de usuarios soportados 35,000

Las capacidades mencionadas dependen de las opciones de configuración activadas en la solución.


Página 13

5 Descripción del Proceso de Filtrado

5.1 Funcionamiento

La solución de filtrado se puede configurar e integrar de distintas formas en la arquitectura de correo existente, correspondiendo a las distintas opciones de filtrado de correo que permite el Mail Filter Gateway: POP3, SMTP de entrada y SMTP de salida. El siguiente esquema ilustra el funcionamiento de OPTENET Mail Filter Gateway en un escenario típico:

Como se puede observar, en este escenario concreto se presupone la siguiente arquitectura para el filtro de correo: Un servidor de correo que hará las funciones de “relay”, esto es, recibirá todo el correo entrante y se encargará de distribuirlo a los servidores de correo que contienen los buzones de usuario (“mailboxes”). Tenemos diferentes grupos de usuarios cada uno de los cuales se conecta siempre a un servidor de correo concreto (aquel que contiene los correspondientes buzones de correo). Cada uno de estos servidores de correo finales proveen los diferentes servicios de correo (POP3, IMAP, Webmail, etc.) directamente a los usuarios finales, mientras que el servidor “relay” no es accesible directamente por estos últimos.

Cuando se envíe un correo desde Internet, éste vendrá procedente de un servidor de correo externo y entrará directamente al puerto SMTP del Filtering Module, quien procesará (y modificará) el contenido del correo y lo entregará después al servidor de correo “relay”.


Página 14

Para comprender mejor el funcionamiento describiremos dos casos (con y sin OPTENET Mail Filter Gateway):

Sin OPTENET Mail Filter Gateway:

o Cuando el usuario desea descargarse el correo, su programa cliente de correo se conecta al puerto 110 (POP3) del servidor POP3 (de su ISP, empresa, etc).

o De forma similar, para enviar, el cliente de correo establecerá una conexión con el puerto 25 (SMTP) del servidor SMTP (de ahora en adelante, “SMTP1”).

o El correo externo que recibe el ISP entra a través de otro servidor SMTP (en adelante, “SMTP2”). Desde ahí será redirigido hacia los buzones de usuario, por métodos que en principio no afectan en el proceso.

o Los servidores POP3, SMTP1 y SMTP2 podrían ser máquinas diferentes, en su forma más general. En la práctica, es normal que dichos servicios se agrupen (por ejemplo, en una misma máquina se ejecuten POP3 y SMTP1, o incluso que sólo exista un SMTP, en lugar de dos).


Página 15

Con OPTENET Mail Filter Gateway para filtrado de correo de entrada (POP3): o Cuando el usuario desea descargarse el correo, su programa cliente de correo se

conecta al puerto 110 del Filtering Module (por transparencia lo normal será escoger el mismo puerto que utiliza POP3).

o El Filtering Module detectará una nueva conexión entrante y realizará una conexión saliente hacia el puerto 110 del servidor POP3. A partir de ahí, se establece una vía de comunicación entre el usuario y el servidor POP3 real, actuando el Filtering Module como intermediario.

o Para enviar correo, ocurre algo similar: el usuario se conecta al puerto 25 del Filtering Module, el cual enlazará a su vez con el puerto 25 del servidor SMTP.

o Por tanto, el Filtering Module dispone de dos servicios, que “simulan” el comportamiento de los puertos POP3 y SMTP de un servidor de correo normal.

o De igual forma es posible que coexistan en una misma máquina los servicios POP3 / SMTP junto a aquellos que el Filtering Module provee.


Página 16

Con OPTENET Mail Filter Gateway para filtrado de correo de entrada y salida (SMTP): o Cuando el usuario desea descargarse el correo, su programa cliente de correo se

conecta al puerto 110 (POP3) del servidor POP3.

o Para enviar correo, el usuario se conecta al puerto 25 del Filtering Module, el cual enlazará a su vez con el puerto 25 del servidor SMTP.

o El correo externo que recibe el ISP entra a través del Filtering Module, el cual enlazará a su vez con el otro servidor SMTP (en adelante, “SMTP2”).

o Por tanto, el Filtering Module dispone de dos servicios SMTP, que “simulan” el comportamiento de servidores SMTP de entrada y de salida.

o De igual forma es posible que coexistan en una misma máquina los servicios POP3 / SMTP junto a aquellos que el Filtering Module provee.


Página 17

Con OPTENET Mail Filter Gateway para filtrado de POP3 y correo de entrada y salida (SMTP): o El funcionamiento es el mismo para cada caso descrito es los dos punto

anteriores, el siguiente diagrama muestra este escenario:

La solución OPTENET Mail Filter Gateway ofrece cuatro servicios de cara al exterior. Tres ya han sido descritos (son los puertos POP, SMTP de entrada y SMTP de salida “virtuales” que abre el Filtering Module) y el cuarto es el puerto de administración WEB en los OPTENET Web Servers que es accesible mediante cualquier navegador (HTTP o HTTPS).


Página 18

5.2 Proceso de Filtrado

En este apartado se describe el proceso de filtrado realizado por el Filtering Module y las acciones posibles que puede realizar en caso de detección de correo spam o virus.

El siguiente diagrama ilustra el procesamiento realizado desde que se recibe un mail hasta que es entregado finalmente al usuario, eliminado o guardado en cuarentena:

El sistema de filtrado realiza un doble procesamiento sobre los mensajes para comprobar la existencia de correo spam, código malicioso o virus. A continuación se explican los diferentes procesos que se realizan para cada caso:


Página 19

Proceso de Detección de Spam Primero, realizar el escaneo en busca de spam y para ello sigue los siguientes pasos:

Listas Blancas y negras

o SFP: Soporte del protocolo Sender Policy Framework (RFC 4408) que permite bloquear la recepción de correo cuya validez del remitente no puede ser comprobada.

o WL User: listas blancas de usuario. Si el correo procede de una dirección de correo marcada por el usuario (o administrador) como “amiga”, éste se dará por bueno.

o BL User: listas negras de usuario. Si el correo procede de una dirección que no es deseada para el usuario, el correo será marcado como spam.

o WL Optenet: listas blancas de OPTENET. Si el correo procede de una dirección de correo contenida en las listas blancas de OPTENET (no gestionables por el usuario), éste se dará por bueno.

o BL Optenet: listas negras de OPTENET. Si el correo procede de una dirección contenida en las listas negras de OPTENET (no gestionables por el usuario), éste será marcado como spam.

o Listas negras públicas. Es una herramienta preventiva y sirve para cierto porcentaje del spam existente. Esta técnica debido al alto nivel de falsos positivos que produce se complementa con un proceso de verificación manual por parte de OPTENET.

o WL ISP: listas blancas del ISP. Si el correo procede de una dirección de correo contenida en las listas blancas del ISP (no gestionables por el usuario), éste se dará por bueno.

o BL ISP: listas negras de ISP. Si el correo procede de una dirección contenida en las listas negras de Optenet (no gestionables por el usuario), éste será marcado como spam.

El orden en el que estas listas serán chequeadas para el diagnóstico de cada mensaje podrá ser variado para ajustarse a los requerimientos del ISP.

CA Texto: análisis de contenido. El Filtering Module analiza el contenido del correo (texto. HTML).

DB Optenet: base de datos de OPTENET. Si el correo contiene alguna URL que dé indicios de que el correo es spam, éste será marcado como tal.

CA URL: análisis de contenido de las URLs insertadas en el correo. Se realizará un análisis inteligente que determinará si el correo que contiene dicha/s URL/s es o no spam.

Proceso de Detección de Virus


Página 20

Una vez que el análisis de spam ha sido realizado para un mensaje se procederá a realizar la búsqueda de virus.

Los mensajes clasificados como virus serán tratados según se haya definido en las acciones predefinidas para cada perfil de destinatario.

Los pasos que sigue el analizador del Antivirus son los siguientes:

Pre-procesamiento: Antes de pasar a la actividad de búsqueda de virus en sí, el sistema realiza unas comprobaciones previas sobre el mensaje:

o Comprobar el tamaño del mensaje, y el número total de mensajes en la misma sesión y los compara con los límites que se hayan establecido.

o Comprobar el número de sesiones abiertas desde 1 o varias IPs según los límites que se hayan establecidos.

Procesamiento. Es en esta fase cuando el mensaje es analizado para comprobar si contiene virus. Los pasos que se realizan en esta fase son:

o El mensaje es dividido en partes gracias al identificador de formatos (MIME, RFC822, UUE): cuerpo, ficheros adjuntos, etc.

o Se realiza el escaneo de los componentes en busca de virus.

o Se realizan las acciones que se hayan programado para cada perfil.

o La solución permite detectar virus incluso si estos todavía no han sido incorporados a la base de datos. Gracias a la segunda generación de técnicas de análisis heurístico es posible detectar cerca del 100% de los nuevos virus

Como hemos visto, el servidor de correo “relay” del ISP recibe ya el correo debidamente filtrado y limpio de spam y virus, o al menos marcados de manera personalizada si así se ha definido en las acciones para el perfil del destinatario y lo envía al servidor de correo final que corresponda. Por último, los usuarios descargarán o leerán su correo de estos últimos servidores.


Página 21

6 FUNCIONALIDADES

A continuación se detallan las funcionalidades específicas de cada uno de los componentes fundamentales de la solución:

6.1 Central Manager

El Central Manager realiza las siguientes funciones:

Gestionar la caché de los logins y passwords para acceder a la configuración del perfil de servicio de cada cliente.

Almacenar y gestionar los logins y los passwords de los buzones para el caso de servicio a empresas y los logins y los passwords de la cuarentena.

Almacenar el perfil de servicio de cada cliente.

Almacenar la configuración de todos los módulos del sistema.

Descargar y actualizar las bases de datos de listas y los parámetros de filtrado de cada Filtering Module.

Replicar los perfiles de servicio de los usuarios en los módulos del sistema a través de los cuales pasará el usuario final.

Gestionar la caché de las IPs si fuera necesario.

Realizar la comunicación con el sistema de asignación de IPs (Radius, LDAP ...) si fuese necesario.

Realizar la comunicación con el sistema de provisionamiento si fuese necesario.

6.2 Filtering Module

El Filtering Module permite tanto al administrador como a los usuarios configurar las siguientes opciones para definir el tipo de servicio asociado a su perfil:

a) Configuración de listas blancas Esta función permite editar la lista de direcciones de correo electrónico amigo. Los correos enviados al usuario seleccionado desde una dirección de la lista nunca serán considerados spam.

Puede añadir una nueva dirección a la lista escribiendo ésta en el cuadro Correo electrónico y pulsando el botón Agregar. Se pueden agregar todas las direcciones de correo de un dominio utilizando un asterisco * como nombre de usuario, por ejemplo, *@optenet.es. Así mismo se pueden crear listas blancas de IPs.


Página 22

b) Configuración de listas negras Esta opción permite editar la lista de direcciones de correo electrónico no deseado y decidir qué hacer con el correo que llegue de tales direcciones.

Puede añadir una nueva dirección a la lista escribiendo ésta en el cuadro Correo electrónico y pulsando el botón Agregar. Se pueden agregar todas las direcciones de correo de un dominio utilizando un asterisco * como nombre de usuario, por ejemplo, *@ejemplo.com. Así mismo se pueden crear listas negras de IPs.

Si desea eliminar una dirección de la lista se puede seleccionar y borrar.

c) Acciones posibles A través de la administración vía web los usuarios del servicio pueden seleccionar las acciones que se quieren tomar en el caso de que se detecte un correo spam o un virus.

El sistema ofrece la posibilidad de que las acciones que se programen sean las mismas para los casos de detección de correo spam y de virus evitando así tener que configurar dos veces el servicio. Si el usuario así lo prefiere, puede desligar ambas configuraciones y parametrizar las acciones de virus y de correo spam por separado.

El interfaz muestra las cuatro opciones que se pueden tomar:

Si selecciona la opción “Mantener el destinatario de origen”, el correo se enviará al destinatario solicitado.

Si selecciona la opción “Reenviar a la dirección”, el correo se redirigirá a la dirección de correo especificada a continuación.


Página 23

Si selecciona la opción “Eliminar”, el correo se ignorará.

Enviar a Cuarentena.

En los dos primeros casos (Mantener destinatario y Reenviar), se pueden realizar varias transformaciones alternativas al mensaje original, según la opción seleccionada en la lista desplegable correspondiente.

o Mantener: envía el mensaje tal cual, sin ninguna modificación.

o Limpiar el mensaje de virus (sólo en el caso de virus encontrado).

o Añadir un mensaje como prefijo del asunto: modifica el asunto del mensaje anteponiendo el texto indicado en el cuadro Personalizar Mensaje.

o Sustituir el asunto por un mensaje: suprime el asunto original del mensaje y lo reemplaza por el texto indicado en el cuadro “Personalizar Mensaje”.

o Añadir al cuerpo del correo un mensaje: inserta el texto indicado en el cuadro “Personalizar Mensaje” al principio del cuerpo del mensaje.

o Crear un fichero anexo con el correo spam: genera un nuevo mensaje de notificación predefinido y anexa el mensaje original.

o Marcar cabecera: añade el texto indicado en el cuadro “Personalizar Mensaje“ como una línea más del encabezado del mensaje.


Página 24

d) Multi-gestión y administración: OPTENET Mail Filter Gateway permite varios niveles de administración: Administrador General del ISP, Administrador de Dominios y Administración Individual del Filtro.

Aquellos usuarios con permisos de administración individual podrán personalizar su perfil de filtrado según sus necesidades mientras que el resto de usuarios utilizarán el perfil general configurado por el administrador del ISP.

Es posible crear otro nivel de administración para el entorno empresarial, en el que un administrador de la empresa cliente del ISP puede definir el perfil de un grupo de usuarios bajo su responsabilidad, normalmente los usuarios pertenecientes a su empresa.

e) Filtrado por tipo de anexo al correo Se puede definir los tipos de archivos que no se permitirá enviar al usuario seleccionado. Los ficheros adjuntos de los tipos seleccionados se eliminarán al enviar o recibir los mensajes.

La eliminación de ficheros adjuntos es realizada de manera independiente a la detección de correo spam o virus y se realizará siempre que haya sido activada por los usuarios para aquellos ficheros seleccionados aunque el mail haya sido considerado limpio.

f) Envío de mensajes de aviso a los usuarios Los usuarios pueden activar una opción de avisos que obliga al sistema a enviar un mensaje de aviso en el caso de que un correo haya sido bloqueado por spam o por contener virus. Esta acción puede ser definida independientemente para los virus y para el spam o de manera conjunta.

g) Funciones de administración Algunas opciones son sólo accesibles por el administrador del sistema y le permiten parametrizar la solución y adaptarla a sus necesidades, facilitándole la gestión de la solución. Entre las posibilidades de administración del filtro podemos encontrar:

Configuración de parámetros básicos: Es en este apartado donde el administrador puede fijar los valores de configuración básica que afectan al servicio. Desde valores de red necesarios para el funcionamiento como límites máximos de tamaño de correo, número de mensajes por sesión, etc.

Entrenador: A través de esta herramienta el administrador puede utilizar ejemplos reales de correo spam de su instalación (recolectados por el sistema) para reentrenar el módulo de filtrado y ajustarlo aún más al tipo de mensajes recibidos por sus usuarios mejorando así su eficacia.

Mensaje de Desafío: También se puede definir el formato del mensaje de desafío que será enviado en caso de querer comprobar la validez de un remitente.

Logs: A través de un visor de logs y estadísticas se puede ir comprobando el estado de la solución en tiempo real, así como el número y tipo de mensajes que están siendo monitorizados por la solución.


Página 25

Actualizaciones: Se puede personalizar el modo en el que las actualizaciones son realizadas para ajustarlas a las necesidades de cada ISP.

Cuarentena: Configuración de parámetros básicos de la cuarentena, generación de clusters, creación de usuarios para la auto-adiminstración de la cuarentena a nivel dominio y usuario final.

h) Antivirus Se permite revisar la presencia de virus en tráfico de correo. El escaneo se lleva a cabo tanto en el cuerpo del correo como en los ficheros adjuntos aún cuando los estos estén comprimidos en múltiples ocasiones.

Permite personalizar los siguientes parámetros:

Activar escaneo de tráfico.

Activar advertencia de correo escaneado.

o Mensaje de advertencia: en este campo podrá incluir el mensaje que desea aparezca en el cuerpo del mail cuando haya sido analizado.

Mensaje de virus encontrado: en este campo podrá incluir el mensaje que desea aparezca en el cuerpo del mail cuando haya sido encontrado algún virus.

Cuando haya sido detectado un virus en un email, podrá seleccionar entre las siguientes acciones:

o Permitir que el correo salga (no hacer nada).

o Mandar correo a cuarentena.

o Eliminar el correo.

o Limpiar virus.

Opcionalmente puede seleccionar las extensiones de los ficheros que desea escanear.


Página 26

6.3 Quarantine Module

El módulo de cuarentena permite listar, visualizar y desbloquear los mensajes, así como realizar búsquedas por varios campos.

6.3.1 Correo en cuarentena Para acceder a este módulo tanto el administrador como los usuarios deberán acceder mediante un navegador a la página de administración donde está instalado el módulo de cuarentena. Para acceder se autenticará al usuario mediante el correspondiente nombre de usuario y contraseña.

Pinchando el botón buscar aparecerá una ventana en donde podrá seleccionar los siguientes campos para la búsqueda de los mensajes:

o Fecha inicial. o Fecha final. o Remitente. o Destinatario. o Asunto. o Ordenar por. o Primer mensaje a

mostrar. o Numero de mensajes por

página.

Un campo en cada uno de los mensajes listados indicará si el mensaje ha sido bloqueado como spam o como mensaje con virus.

Al seleccionar un correo, se abrirá, en una nueva ventana mostrando su contenido. En el caso de un mensaje con virus encontrados, al abrir el mensaje podremos ver el listado de ficheros adjuntos y los virus encontrados. En esta ventana de visualización se dará la opción de desbloquear o borrar. En el caso de ser un correo spam y de tener configurada la opción, se preguntará al usuario si remitir el mensaje para mejorar la calidad del filtrado (contribución), aparecerá una pantalla en donde deberá seleccionar el mensaje y aceptar.

Un ejemplo de la posibilidad de realizar contribuciones:


Página 27

6.3.2 Mensaje de Desafío Permite reducir el ratio de sobrebloqueos a virtualmente cero, mediante el envío de un mensaje al remitente en el que tendrá que identificarse comprobando así que no se trata de una máquina configurada para enviar mensajes no deseados.

6.4 Reporting Module

Las principales características de esta herramienta son las siguientes:

No depende de ninguna base de datos externa, por lo que requiere la administración de Oracle o SQL, a veces tan costosa.

Está basado en un sistema de registros e índices compactados que realiza búsquedas en todos los datos disponibles de una manera rápida y eficiente, minimizando el uso de espacio en disco.

El sistema de definición de informes, basado en plantillas predefinidas, es altamente intuitivo y flexible. Una multitud de informes diferentes pueden ser fácilmente generados.

Permite que los informes sean programados, así el administrador puede definir qué informes quiere generar y en qué momento, para interferir mínimamente en el desarrollo normal de su trabajo.


Página 28

Puede coexistir con los demás módulos o ser instalado en una máquina independiente.

El Módulo de Informes puede recibir información de uno o más, locales o remotos, módulos de filtrado.

6.4.1 Tipo de Informe La información que el módulo de filtrado obtiene se refiere a las peticiones de correo tramitadas a través de él. Estos correos pueden haber sido bloqueados por alguna razón (esto depende de la configuración que haya establecido el administrador) o porque se haya considerado como potencialmente correo no deseado, se haya detectado algún virus o también puede ser transmitidos si no cumplen la normativa existente. Por tanto el administrador puede definir qué tipo de informe necesita en función de los siguientes parámetros:

Peticiones (Correos): Se mostrarán todas la peticiones recibidas por el sistema, sean o no bloqueadas.

Bloqueos (Spam): Mostrará todas las peticiones de retransmisión de correos, que el filtro haya decidido bloquear, de acuerdo con las políticas del sistema, o por las reglas definidas por el usuario.

Bloqueos (Virus): Mostrará todas las peticiones de retransmisión de correos, que el filtro haya decidido bloquear por haberse detectado algún tipo de virus en su interior.

Accesos: Mostrará todas las peticiones recibidas que no hayan sido bloqueadas.

6.4.2 Criterios de Agrupación y Selección El criterio de agrupación nos permite definir el campo o atributo de los datos a través del cual vamos a aglutinar los valores que nos aparecerán en el informe que deseamos obtener. Los criterios de agrupación posibles son los siguientes

Por Horas

Por Días

Por destinatarios

IP Origen

Grupos

Remitente

Tamaño

Dominio de destino

Por tipo de Virus

Para todos los valores arriba mencionados exceptuando los criterios de “Por Horas” y “Por Días” es posible determinar también criterios de selección. El criterio de selección permite restringir


Página 29

los resultados de la consulta a sólo aquellos registros que cumplen determinadas condiciones. Estos criterios son similares a los de agrupación aunque aquí se usan con otro significado.

Se pueden seleccionar tantos criterios de selección simultáneamente como se desee, de manera que podemos ir acotando progresivamente la búsqueda que necesitamos en cada momento.

6.4.3 Otras opciones Otras opciones que pueden ser encontradas en el módulo de informes son:

Rango Horario: El administrador puede determinar el intervalo de tiempo del que quiere obtener información.

Formato de salida: Es posible elegir entre varios formatos para la salida de los informes, eligiendo el tipo de gráfico a mostrar, la representación numérica, etc.

Ordenación del resultado: Por defecto el orden en que nos aparecen los resultados es el de la ordenación alfabética, pero es posible elegir que se ordenen de mayor a menor según los resultados lo que permite la obtención de un ranking en función de los resultados.


Página 30

7 Soporte

Aunque OPTENET se adapta en la descripción de un servicio específico acordado con el ISP para cubrir sus necesidades particulares, el procedimiento normal de soporte es:

El Soporte de Primer Nivel y atención comercial son proporcionadas por el ISP a través de sus departamentos de Atención al cliente y soporte técnico. Para realizar este soporte de primer nivel con las máximas garantías OPTENET proporciona la formación necesaria para el personal técnico del ISP y del Centro de Atención al Cliente.

El Soporte de Segundo y Tercer Nivel es proporcionado por OPTENET.

El nivel de servicio proporcionado será:

Actualizaciones.- OPTENET actualizará continuamente las listas y los parámetros de filtrado elegidos en el/los servidor(es) del ISP. El tiempo entre actualizaciones es de 5 minutos por defecto y personalizable por el administrador del sistema.

Actualizaciones de software.- OPTENET informará al ISP, con dos meses de antelación, del desarrollo de nuevas versiones y/o de la funcionalidad del filtro.

Asistencia de segundo nivel.- Este servicio se proporcionará por vía telefónica o por correo electrónico para asesorar al ISP en la corrección de cualquier fallo en el funcionamiento del sistema de filtrado con el que puedan toparse los clientes finales. OPTENET tiene un SLA muy estricto para garantizar el nivel de servicio:

Prioridad Tiempo de

respuesta Tiempo de Restablecimiento

Tiempo de resolución

0 Emergencia 15 minutos 4 horas 24 horas 1 Alta 15 minutos 24 horas 30 días 2 Media 30 minutos No aplicable 60 días 3 Baja 30 minutos No aplicable 180 días

El Soporte de Tercer Nivel para la solución OPTENET está garantizado.

manual optenet mail filter gateway 2006-06-18 · optenet mail filter gateway página 3 1...

Documents