Saturday, October 3, 2009

Que bueno recibir mail's como este.


Estoy aportando poco al blog, afortunadamente estan aumentando mis responsabilidades laborales, por suerte la cantidad de trabajo se incrementa con el paso de los meses en Argentina y esto me deja poco tiempo para escribir.

Una de las ultimas cosas en las cuales trabaje fue en proveer una solución Antispam para una empresa pequeña, la cual se encontraba recibiendo una cantidad de spam intolerable para los usuarios.

La gente con la cual trabajo me consulto por una solución sin gastos extras.

La empresa no cuenta con una arquitectura de red segura, de hecho es un punto sobre el cual se debe trabajar en el futuro, ellos necesitaban puntualmente bajar el nivel de spam que recibían.

Contaban con un Firewall que además proveía los servicios de SMTP/IMAP para los usuarios de email.

Ademas contaban con un server Windows 2003 Small Bussines el cual usaban como file server.

Dado que este server tenia una licencia de Exchange Server 2003, una solucion posible era aplicar el filtrado Antispam que se incorporo con el Service Pack 2.

Las posibilidades de filtrado de mensajes son cinco :


  • Filtro de remitente
  • Diltro de Id de Remitente
  • Filtro de Destinatario
  • Filtro inteligente de mensajes
  • Filtro de Conexión

En mi caso habilite las tres ultimas opciones, es decir :

  • Filtro de Destinatario
  • Filtro inteligente de mensajes
  • Filtro de Conexión
las cuales pasare a explicar a continuación.

Luego de aplicar el Service Pack 2 a Exchange Server 2003, se habilitan opciones adicionales de filtrado de spam.

Los puntos que vamos a modificar en la estructura de Exchange Server se encuentran marcados con un punto rojo en la siguiente imagen.

En forma muy básica, son dos pasos, el primero es configurar las opciones globales de filtrado y luego aplicar estas sobre un servidor virtual SMTP determinado.


Comenzamos con la modificación de la Configuración Global, en la opción Entrega de Mensajes.

Filtro de Conexion

En internet encontramos gente que envia Spam y organizaciones que se dedican a combatirlo. Estas ultimas generan listas de ip de los sitios que envian spam, las mismas pueden ser consultadas en forma gratuita, siempre y cuando el volumen de consultas no exceda ciertos limites. Estas listas nos permiten realizar el filtrado de conexiones, evitando que nuestros servidores procesen mails en forma innecesaria y ahorrándonos ciclos de CPU y espacio en disco.

El filtrado de conexiones lo realizaremos por medio de Black-Lists, haciendo click con el botón derecho sobre la opción de Propiedades Entrega de Mensajes se desplegara la siguiente ventana :


Alli agregaremos las BlackLists que filtraran las conexiones entrantes.

Yo recomiendo las siguientes :

Spamcop = bl.spamcop.net

Spamhaus = zen.spamhaus.org

Dando click al boton de Add indicaremos los datos de las blacklists utilizadas.


Por supuesto para las direcciones de email muy criticas y que no pueden "perder" mails, es recomendable agregarlas a la lista de excepciones.


Esto se puede convinar incluyendo las IP de los sitios a los cuales no se les aplicaran los filtros RBL.

Filtrado Inteligente de mensajes

Otra opción que funciona muy bien, es la aplicación del llamado "Filtrado Inteligente de Exchange." Este sistema esta basado en una tecnología de Microsoft que es utilizada por MSN, Hotmail , Outlook 2003 .

Este filtro fue diseñado para categorizar los mails en SPAM y NoSPAM de acuerdo a las características de cada mail.

Despues de recibido el mensaje, el filtro le agrega un SCL ( Spam Confidence Level ), luego de esto, el sistema evalúa dos limites preconfigurados.
  • Gateway blocking > Los mensajes puedes ser guardados, borrados, rechazados o continuar.
  • Store junk email configuration > Mueve los mails a la carpeta de correo basura.
También se pueden aplicar un sistema de Anti-phising, el cual se actualiza por medio de Windows Server Update Services y se configura mediante un archivo XML. Puntualmente no aplique este filtro, por lo tanto no lo voy a explicar.



Los valores que aplique a la configuración que les comento, fueron

Gateway Blocking Configuration = 7

Store Junk E-mail Configuration = 4


Filtrado de Destinatario

La tercera y ultima herramienta que configuraremos es el filtrado de Destinatario, para evitar lo que se llama directory harvesting attack (DHA).

Cuando se envian emails a usuarios que no existen en nuestro Exchange, este responde “Unknown user”, esto da la posibilidad que por medio de diferentes mails, se encuentren las direcciones de los usuarios existentes.

Para evitar esto debemos configurar las siguientes opciones.


Por ultimo debemos aplicar esto sobre el servidor Virtual SMTP.

Boton derecho sobre "Servidor virtual SMTP predeterminado" o sobre el cual vamos a configurar.

A la derecha de la opción Direccion IP se encuentra un botón que dice "Avanzadas", debemos dar click allí.

Luego en la ventana que se abre, click en el botón que dice "Modificar"

Se desplegara la siguiente ventana, allí marcaremos las opciones de filtrado que aplicaremos.



Para finalizar, debo recalcar que esta no es la configuración óptima para una infraestructura segura. Solo fue implementada en forma temporal para solucionar un problema puntual. Incluso económicamente no es lo mejor ya que estamos utilizando una licencia de Exchange solo como Gateway. La version 2007 de Exchange Server trae un release llamado Edge Transport que esta preparado para trabajar como server de perimetro.

Independientemente de esto, la configuracion adoptada cumplio su objetivo y los usuarios se encuentran satisfechos. Ahora con mas tiempo es el momento de mostrarles como una arquitectura rediseñada les evitar mayores problemas en el futuro.


Otros links con informacion que utilize para esta configuacion :

http://www.exchangeinbox.com/article.aspx?i=64&p=2
http://www.msexchange.org/tutorials/Microsoft-Small-Business-Server-2003-Spam-Filtering.html
http://technet.microsoft.com/es-es/library/aa996146(EXCHG.65).aspx
http://www.spamcop.net/
http://www.spamhaus.org/

No comments: