Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Buenas prácticas para Servicio de Correo Electrónico

Anuncio 
Buenas prácticas para Servicio de Correo Electrónico
Autor: Jesús Sanz de las Heras (RedIRIS)
Fecha : 23 Abril 2004
Estado: borrador
Introducción
El correo electrónico (correo-e) es una herramienta esencial en las Empresas o Instituciones ya
que mejora la comunicación y productividad entre clientes, socios y empleados. Usado de forma
correcta es un extraordinario vehículo para anunciar y divulgar nuestros productos o actividades al
exterior. Pero la Red es un entorno muy agresivo para un servicio como el de correo-e, spam,
virus, falsificaciones, fraudes etc ponen en peligro los recursos corporativos de los servidores y la
propia productividad del correo-e. No sólo debemos defendernos de estas agresiones sino que es
muy importante para la imagen de nuestro dominio (Empresa, Institución, etc) hacer uso correcto
del correo electrónico y disponer de configuraciones adecuadas en los servidores.
Al igual que las Empresas o Instituciones se preocupan por la imagen corporativa de sus páginas
web es importante garantizar esta misma imagen en las transacciones de correo electrónico que
salen de nuestros servidores. El correo electrónico, no sólo representa a la persona que lo
emite sino al dominio al que pertenece . Por tanto es necesario conocer todos los aspectos
relacionados con el servicio de correo-e desde los técnicos hasta los legales pasando por la
políticas de uso interno del servicio en cada institución.
El objetivo de este informe es promover la calidad y buen uso del correo electrónico en la Red
intentando mejorar cada uno de los servidores de correo existentes. Es una guía práctica dirigida
fundamentalmente a las personas que gestionan directamente el Servicio de correo-e de su
Empresa o institución (postmaster) .También serían interesante que estas prácticas fueran
recomendadas y divulgadas por los ISP o ESPs (proveedores de servicios de correo-e) a sus
clientes para garantizar su difusión.
Se exponen los aspectos mas importantes a reforzar en el Servicio pero no cómo implementarlos lo
cual dependerá de las configuraciones de cada dominio. La idea de este documento es definir unas
“Buenas prácticas en el Correo Electrónico” enfocado a los gestores del servicio. Mejorar la calidad
y el buen uso del correo electrónico implica reforzar los siguientes aspectos:
- Política de flujos del Servicio
- Conocer los problemas del Servicio
- Medidas técnicas en servidores
- Coordinación con otros postmasters
Hemos incluido en el informe otros aspectos de posible:
Seguridad y soluciones anti-spam
Buenas prácticas en servicios de listas de distribución y Boletines
Política de flujos SMTP del Servicio de correo electrónico
El aspecto más importante a tener en cuenta en la puesta en marcha del Servicio es la definición
de las diferentes políticas aplicadas a los flujos SMTP de entrada y salida. Estas políticas deben
ser aprobadas por la dirección, gestionadas por los postmaster y conocidas por las usuarios de
la Empresa o Institución. La puesta en producción de estoas políticas dependerá de los diferentes
diseños y configuraciones.
1
Política SMTP/salida: Es la estrategia que define cómo nos presentamos en la Red al
encaminar correo hacia el exterior
1.1.
•
•
•
•
•
1.2.
•
•
•
2
Opcionales:
Antivirus: Escaneo del correo en busca de virus antes de ser encaminado al exterior
Contenidos: Límite tamaño mensajes, uso compatible con la Política de Uso del correo
electrónico de la Empresa
Sender Permitted From (SPF). Definición en DNS de registros SPF de los servidores
salientes.
Política SMTP/entrada : Estrategia que define el tipo de tráfico SMTP que aceptamos
2.1.
•
•
•
•
2.2.
•
•
•
•
•
3
Básicas:
Filtros puerto 25/out: Forzar (router o firewall) el tráfico saliente de correo a través de
una sola máquina que será la única que pueda encaminar correo al exterior y cuya
configuración define la política SMTP/salida.
No open-relay: Encaminar correo al exterior procedente exclusivamente de usuarios de
los rangos IPs de nuestro dominio.
Control del “Mail From:”. Encaminar al exterior exclusivamente correo con el campo
“Mail From:” de nuestro dominio .
HELO canonizado: Responder al comando HELO en la transacción SMTP con el
nombre canonizado de la máquina
Resolución inversa de servidores. Todas las máq uinas que encaminen correo al exterior
deberán disponer de resolución inversa en el DNS
Básicas
Filtros puerto 25/in: Forzar el tráfico entrante de correo a través de una sola máquina
(registros MX)que será la única que podrá aceptar correo del exterior y cuya
configuración define la política SMTP/entrada
Control del “RcptTo:”. Aceptar del exterior exclusivamente correo con el campo “Rcpt
To:” de nuestro dominio .
Control del “Mail From:”. Rechazar correo del exterior si el dominio del campo “Mail
From:” no existe (resolución directa en DNS)
Antivirus: Escaneo del correo entrante en busca de virus. Impedir la emisión de informes
si el virus detectado es un gusano.
Opcionales:
HELO canonizado: Chequear transacción SMTP si el comando HELO del servidor remoto
no responde con el nombre canonizado de la máquina
Resolución inversa: Chequear las conexiones SMTP de IP sin resolución inversa.
Reverse MX: Rechazar correo del exterior si el dominio del campo “Mail From:” no dispone
de registros MX.
Definición de listas negras vía DNS (DNSbl): Rechazar o etiqueta transacciones SMTP de
IPs incluidas en determinadas listas negras
Contenidos. Implantación de filtros adaptativos o estáticos para rechazar o etiquetar correo
que incumple la política del correo definida por la empresa.
Política SMTP/local. Política de aceptación de correo entre usuarios locales.
3.1.
Básicas: cifrado de claves de acceso, límite en el tamaño de mensaje, virus, spam,
adjuntos
3.2.
Opcionales: Servicios móviles (Webmail,smtp-auth etc), cifrado de transacciones TLS
IMPORTANTE: Los usuarios deben conocer las políticas de uso y flujo del Servicio de correo
de la Empresa y mantenerlos informados de cualquier cambio.
Descripción de problemas
Además del tiempo perdido en ver y borrar spam hay otra serie de problemas:
Robo de identidad. Phishing y scams
Virus: Virus y sobre todo los gusanos que utilizan técnicas de spam para propagarse después de
infectar un PC
Combinación de virus y spam. Las últimas generaciones de virus se han creado para ayudar a
los spammers. Estos virus dejan abiertos puertos (open-proxy) que son utilizados por los
spammers para distribuir spam. La distinción entre hackers y spammers es cada vez menos obvia.
Muchos spammers han incorporado código malicioso en su spam.
Ataques con direcciones falsificadas. Consiste en inundar el servidor de un dominio real con los
errores generados por una máquina atacada al procesar spam para distribuirlo a miles de
destinatarios. El spammer coloca como dirección receptora de estos errores un dominio real y un
usuario aleatorio. Esto provocará problemas de ancho banda, colapso del servidor (colas, disco
etc). Puede ser considerado una Ataque de denegación de Servicio.
Generación innecesaria de tráfico SMTP. El envío y encaminamiento de un simple mensaje de
correo electrónico implica el uso de varios recursos: conexiones SMTP, consultas DNS,
procesamientos por MTA. Los propios errores de SMTP, el spam, los virus etc, generan informes a
direcciones falsificadas provocando confusión en los usuarios y generando un exceso de tráfico
SMTP. Es este tráfico se puede reducir optimizando la política de generación de informes (virus,
spam, usuarios desconocidos etc)
Buenas prácticas en Servicio de correo electrónico
Las dividiremos en 3 apartados: Seguridad, Gestión e Información. Nos referiremos a Institución
como la entidad responsable del servicio de correo de un dominio, podrán ser Empresas,
Asociaciones entidades públicas etc, es decir cualquier que disponga de servicio de correo en su
dominio.
Seguridad
La Institución tiene que garantizar que todos los servidores de correo-e de su red (dominio
y rango de direcciones IP asignadas):
-
Evitar colocar direcciones de correo-e en las páginas web.
-
Evitan el encaminamiento de forma no autorizada a terceros.
Disponen de resolución inversa en el DNS.
Chequean el DNS para rechazar mensajes en los que durante la sesión
SMTP aparezca un valor de MAIL FROM: con un dominio incorrecto
(no registrado en DNS)
Añaden cabeceras "Received:" con suficiente y correcta información a
todo el correo que circula por su dominio .
-
-
Almacenan la identidad de las máquinas (dirección IP) así como la fecha
correcta basada en NTP.
Disponen de herramientas para filtrar direcciones de máquinas, dominios
o direcciones de correo-e.
Proporcionan códigos de error normalizados.
Son revisados y actualizados de forma periódica.
Centralización del Servicio: Filtros smtp entrada/salida
Fomentar el acceso universal y autenticado al correo-e institucional:
WebMail, SMTP-AUTH etc
Instalación de Antivirus en el Servidor de correo, recomendable:
•
Adjuntos: Definir y limitar los tipos de adjuntos que no sean
necesarios en la Institución (ejemplos: exe, pif, com, bat, dll, etc)
•
Informes: Evitar que el antivirus envíe informes de respuesta a los
emisores de un mensaje infectado. Muchos de virus que se reciben tienen
la dirección del emisor falsificada y enviar respuesta solo aportaría
aumentar el flujo de mensajes y confusión entre los usuarios. Se
recomienda dejas los mensajes infectados en cuarentena y actuar de
forma conveniente
Gestión
-
La Institución debe garantizar que el correo generado dentro de su red
(dominio y rango de direcciones IP asignadas) puede ser traceado hasta
su origen (emisor).
-
La Institución debe conservar durante un tiempo razonable los ficheros
de log con información correcta y suficiente y donde se reflejen las trazas
de todas las transacciones SMTP.
-
La institución debe garantizar que se compromete a gestionar y actuar
con los incidentes que llegan al buzon < [email protected] >. Debe dar a
conocer la existencia de dicha dirección y documentar la información
indicando el tipo de información que es necesario enviar para poder
tomar acciones.
-
Cuando se ha demostrado un incidente de abuso interno, la Institución se
compromete a tomar las medidas oportunas contra el involucrado de
acuerdo a la política de uso (similar a un contrato) de dicha institución.
-
En caso de que la Institución disponga de un servidor de listas de
distribución o Boletines en su red debe disponer de las medidas mínimas
para proteger el servicio.
-
No permitir listas públicas de envío.
Controlar la disponibilidad de la relación de suscriptores.
No permitir suscripciones no deseadas a terceros.
Información
-
La institución deberá disponer de una Política de Uso Correcto del correo
electrónico que delimite sus responsabilidades y optimice su uso. Este
documento garantizará la información a futuros usuarios del Servicio en
la institución
-
El proveedor (ESP- Email Service Provider) deberá aplicar, a través de
los contratos con sus clientes, un documento de Términos y Condiciones
para asegurar el correcto uso del correo-e y garantizar que se penaliza a
los que distribuyen spam. (sólo proveedores)
Seguridad y soluciones anti-spam
Actualmente (Mayo 2004) las soluciones anti-spam se dividen en: filtros, verificación emisor, retos y
criptografía. Cada una de ellas intenta solucionar un problema pero todo tienen limitaciones. Este
apartado pretende dar un panorámica general a estas soluciones para que sean conocidas y
consideradas por todos los postmaster.
1
Filtros. Son utilizados por los receptores para identificar y organizar spam. Hay tres tipos de
filtros:
1.1. Contenidos. Listas de palabras asociadas con el spam. Por ejemplo “viagra”, “hipoteca”
1.2. Listas negras y blancas. Listas de direcciones IP emisoras de spam y no emisoras de
spam
1.3. Hash. Sistemas que asignan a los mensajes determinados valores para la identificación
masiva de correo.
1.4. Sistemas probabilísticos. Son sistemas que intentan aprender palabras frecuentes o
características de los mensajes para identificarlos como spam y no spam.
Un filtro es bueno o malo en función de sus resultados de falsos -negativos (spam clasificado como
correo bueno) o falsos-positivos (correo bueno clasificado como spam). Los problemas de los
soluciones anti-spam basadas en filtros son:
• EL spam evoluciona y los filtros de palabras pierden efectividad.
• Falsos positivos. Clasificar un mensaje bueno como spam o una IP buena como emisora
de spam de spam
Los filtros de contenidos son actualmente la soluciones mas implantada y exitosa. Poer los filtros
no evitan el spam , solo lo esconden Existe el mito que los filtros detienen ni previenen el spam y
no es cierto, el spam y atraviesa las redes y servidores y llega incluso al buzón de destinatario.
Los filtros sólo ayudan a clasificar y separar el correo deseado del spam.
2
Verificación emisores. El spam suele falsificar el campo Sender (From:/Remite). Hay dos tipo
de spam:
1.1. spam “legal” : no falsifican las cabeceras, el dominio del Sender y la IP están vinculados
1.2. spam “ilegal” : falsifican las cabeceras, el dominio del Sender y la IP no están vinculados.
El spam exterior, suele ser spam “ilegal”, es el mas habitual y con frecuencia usa dominios
reconocidos: yahoo.com, aol.com, hotmail.com. El spam nacional, suele ser spam “legal”, y es
menos habitual. ¿por qué se falsifica el campo Sender en el spam?
•
•
•
Aspectos legales. El contenido de mucho del spam suele ser ilegal (venta de drogas,
fármacos etc), falsificando el emisor pueden permanecer en el anonimato y evitar
problemas legales
La mayor parte de los emisores de spam (spammers) saben que el spam que envía es no
deseable. Falsificando el emisor pueden mitigar el enfado de los receptores.
Limitaciones de ISP. La mayor parte de los proveedores de Internet tiene cláusulas de
contrato para prevenir el spam. Falsificando el emisor puede mitigar el enfado del ISP para
cancelar el acceso
Actualmente hay diferentes iniciativas para verificar emisores y evitar las falsificaciones
•
•
•
Reverse mail Exchanger (RMX) http://www.ietf.org/internet-drafts/draft-danisch-dns-rr-smtp03.txt
Sender Permited From (SPF) http://spf.pobox.com
Designated Mailers Protocol (DMP) http://www.pan-am.ca/dmp/
Estas iniciativas son muy similares y utilizan DNS como servicio para verificar registros de tipo
MX y determinar si hay correlación entre: MX (relay) y dominio del Sender del mensaje.
Fomentando que los correos se originen desde servidores de correo verificados a través de
las IP registradas en registros DNS (MX u otros). Pero no todos los dominios están asociados
con direcciones IP fijas, como usuarios, pequeñas empresas etc lo que provocaría que su
correo fuera bloqueado por estos sistemas de verificación. Esto podría solucionarse si el
tráfico SMTP de estos dominios fuera encaminado a través de los servidores de su ISP (filtro
SMTP/out concentrar tráfico smtp salida).
Otro de los grandes problema de estas soluciones de verificación es el tema de los movilidad
y que la verificación de emisores no permitiría a muchos usuarios móviles enviar correo.
3
Retos
El spammer usa programas automáticos para generar millos de mensajes por dia. Los retos
intentan impedirlo ralentizando el proceso. Los sistemas de retos (CR) mantienen una lista
blanca de emisores permitidos. El correo procedente de un emisor nuevo es detenido sin
entregar, ya que se le envía un mensaje con un url que debe pinchar o responder. Se supone
que si el emisor es un proceso automático y masi vo no realizará esta operación pero si lo hará
si es un humano interesado en que su correo sea entregado. Después de hacerlo este nuevo
emisor será añadido a la lista de emisores permitidos
4
Criptografía
Las soluciones criptográficas pretenden identificar al emisor de spam del que no lo es, APRA
ellos usan sistemas de certificados para desarrollar la autenticación. Sin un certificado
apropiado, un correo falsificado puede ser identificado. Algunas de las soluciones propuse son:
-
AMTP http://www.ietf.org/internet -drafts/draft-weinman-amtp-02.txt
MTP http://www.ietf.org/internet-drafts/draft -danisch-email-mtp-00.txt
S/MIME y PGP/MIME http://www.imc.org/smime-pgpmime.html
El actual protocolo de SMTP no soporta autenticación criptográfica. Algunas de estas
soluciones proponen extensiones SMTP (S/MIME y AMTP) mientras otras (MTP) pretende
reemplazar la actual infraestructura de correo sustituyendo el protocolo.
Buenas prácticas en servicios de listas de distribución y Boletines
(pendiente)
Documentos relacionados
spam agradece el apoyo recibido
spam agradece el apoyo recibido
ACTIVIDAD DE CLASE TECNOLOGÍA E INFORMATICA SEGUNDO PERÍODO GRADO SEXTO
ACTIVIDAD DE CLASE TECNOLOGÍA E INFORMATICA SEGUNDO PERÍODO GRADO SEXTO
Los “SPAMS” Tipos de “SPAMS” profesor Felipe Villalobos
Los “SPAMS” Tipos de “SPAMS” profesor Felipe Villalobos
Guía ayuda nuevos usuarios
Guía ayuda nuevos usuarios
¿Cuáles son los principales peligros en Internet?
¿Cuáles son los principales peligros en Internet?
Cómo protegerse en Internet
Cómo protegerse en Internet
TRABAJO PRACTICO Nº10
TRABAJO PRACTICO Nº10
Protegiendo la Información del Cliente
Protegiendo la Información del Cliente
que es internet[1]+lore
que es internet[1]+lore
Descargar
Anuncio
Anuncio