MDaemon - Interbel

download report

Transcript MDaemon - Interbel

Seguridad en el correo electrónico con
MDaemon
http://www.interbel.es - Tel. 902·39·39·39 - [email protected]
> Indice
• Quiénes somos
• Los 9 puntos más importantes de la
seguridad en un servidor de correo electrónico
• Envío y recepción de correo
• Estabilidad
• A prueba de intrusiones informáticas
• Recuperación rápida
• Filtrar los virus
• Filtra el spam
• Filtra el spam- heurístico y bayesiano
• Uso ilícito y vigilancia contra intrusiones
• Confidencialidad de la comunicación interna
• Confidencialidad de la comunicación externa
• Otras características de MDaemon
http://www.interbel.es - Tel. 902·39·39·39 - [email protected]
> ¿Quiénes somos?
• Proveedores de soluciones y software de Internet
para empresas y profesionales
• Empresa Fundada en 1997
• Más de 15.000 clientes, 1.200 Distribuidores y 40 partners en España
• Historia:
1.997 – Distribución Deerfield (Wingate, MDaemon)
1.998 - Distribución GFI (Faxmaker)
1.999 - Distribución Ipswitch (Imail, WhatsUp, WS_FTP)
2.000 - Distribución evolutionB (Synergy)
2.001 – Curva de E-volucionar
2.002 – Distribución Alt-N (MDaemon en español)
2.003 – Distribución Aladdin (eSafe), Softclan (e-Cryptor), Qbik
(Wingate Suite), ADVsoft (MailDetective, ProxyInspector)
http://www.interbel.es - Tel. 902·39·39·39 - [email protected]
> La Seguridad en un Servidor de Correo
Los 9 puntos de la seguridad en un servidor de correo
1.- Que envíe y reciba correo
Consulta de eventos y sucesos en tiempo real mediante consola.
2.- Estabilidad
A prueba de crashes del sistema.
3.- A prueba de intrusiones informáticas
Debe superar ataques con exploits y entradas de crackers.
4.- Recuperación rápida
Copias de seguridad automáticas de usuarios y configuraciones, y opcional de datos.
5.- Filtrar los virus
Antivirus integrado con actualizaciones al instante de aparecer un nuevo virus.
6.- Filtrar el spam
Detectar automáticamente el correo basura.
7.- Uso lícito y vigilancia contra intrusiones
Logs de todo lo que ocurre y posibilidad de gestión y centralización de los logs.
8.- Confidencialidad de la comunicación interna
SSL entre cliente y servidor.
9.- Confidencialidad de la comunicación externa
Encriptación y/o firma electrónica entre cliente y cliente.
1.- Enviar y recibir correo
Consultas en una consola en tiempo real.
MDaemon puede examinar todo este tipo de
eventos, viendo lo que sucede en cada
momento:
• SMTP
• IMAP
• POP3
• MultiPOP
• DomainPOP
• LDAP
• Filtro contenidos
• Spam
• Virus
• Webmail
• Colas
http://www.interbel.es - Tel. 902·39·39·39 - [email protected]
volver
2.- Estabilidad
• A prueba de crashes del sistema. Los
procesos de MDaemon están totalmente
separados de los threads del propio
sistema operativo.
• Otros servidores de correo tienen
dependencias del sistema operativo.
• MDaemon se inicia como servicio
automático.
• Al ser un servicio automático del
sistema, ante parada del mismo, el
servicio se reinicia cuando se realiza
una petición de consulta de correo.
• Funciona con un mínimo de Pentium
III 500 MHz, 512 MB de RAM, y bajo los
sistemas Windows 9x, ME, XP, NT, 2000,
2003
http://www.interbel.es - Tel. 902·39·39·39 - [email protected]
volver
3.- A prueba de intrusiones informáticas
Estos son los fallos que se buscan en los servidores de correo (fuente
SANS.org):
•
Uso del relay de correo por parte de los “spammers”.
•
Exploits desbordamiento de bufer IMAP, tomándolos desde
SecurityFocus o Bugtraq.
•
Crackeo contraseñas IMAP/POP3 por fuerza bruta.
•
Gusanos capaces de afectar al servidor de correo y cuentas
asociadas.
•
Ataques al servidor webmail (IIS) o al protocolo SSL asociado.
•
Sniffing de datos y contraseñas.
Algunas estadísticas:
•
En el pasado mes de octubre ha habido un parche crítico para
Microsoft Exchange 2000 y otro para Microsoft Exchange
5.5 . Se “crackeaba” el sistema por completo, tomando el control
de todos los usuarios. (Fuente: Microsoft)
•
MDaemon en un año sólo ha tenido un desbordamiento de buffer
en IMAP que precisaba otro usuario autentificado (bug para la
versión 6.7.5), según SecurityFocus. El servidor MDaemon actual
se encuentra en la versión 6.7.8. (Fuente: Securityfocus)
volver
El 51% de las vulnerabilidades descubiertas son de sistemas Microsoft.
Fuente: Zone-H.org
4.- Recuperación rápida
De los datos susceptibles debe hacerse copia de
seguridad automática todos los días.
• MDaemon realiza copias de seguridad todos
los días a medianoche.
• Se puede especificar los formatos de archivos
de los que se hará copia automática (ejemplo:
ini, dat, msg, etc.)
• Copias de seguridad de archivos de
configuración, datos de MDaemon, e inclusive
los mensajes de los usuarios.
• Opcionalmente se puede añadir un programa de
backup para realizar copias de las carpetas
IMAP (todos los correos centralizados en el
servidor), con las ventajas que ello conlleva (no
se pierde un solo mensaje ante problemas que
puedan surgir).
http://www.interbel.es - Tel. 902·39·39·39 - [email protected]
volver
5.- Filtrar los virus
• Antivirus en la parte servidor de manera general y
centralizada.
• Motor Kaspersky.
• Actualizaciones automáticas diarias y con
carácter urgente.
• Notificaciones al remitente, destinatario y al
postmaster.
• Logs de todo lo que sucede.
• Se ejecuta como servicio y en background.
• No requiere de análisis con un antivirus externo.
• Despreocupación del administrador. Todo es
automático.
http://www.interbel.es - Tel. 902·39·39·39 - [email protected]
volver
6.- Filtrar el spam (I)
1. Filtro por palabras: Verificar coincidencias de
palabras predefinidas (sexo, viagra, etc.), filtrando la
entrada de los e-mails cuando coincidan.
2. Listas negras on line: El Bloqueador de correo
basura comprueba la IP del remitente y si está en una
listas negra pública deniega el mensaje entrante.
3. Filtro heurístico por puntuación: Se considera un
mensaje como correo basura si supera una puntuación
definida por el administrador. MDaemon puntúa en
función de unas reglas internas. Por ejemplo, más
contenido HTML puntúa más, palabras como “viagra” en
el contenido del mensaje puntúan alto.
4. Aprendizaje bayesiano: A partir de las carpetas de
Spam, MDaemon calcula las probabilidades de las
palabras consideradas como spam, aprendiendo de estos
términos, y aplicando una nueva puntuación a la base de
datos del servidor. El usuario puede arrojar mensajes a
la carpeta “Spam no detectado” para ampliar las reglas.
5. Otros métodos: IP Lookup, host confiables, IP
autorizadas, inversión de búsqueda, autenticación
SMTP...
http://www.interbel.es - Tel. 902·39·39·39 - [email protected]
6.- Filtrar el spam (II)
Datos de una encuesta reciente entre 289 empresas de
más de 15 PC en todo el territorio nacional:
- El 79% de las empresas reciben spam, y en un
30% de ellas llega a ser más del 20% del correo total
que reciben.
-El 60% de las encuestados desean saber cómo atacar
el problema del spam.
- Un 55% estarían dispuestos a pagar por una
solución de spam.
- Un 77% de los que reciben spam tienen un
problema de tráfico con su ISP, ya que el spam les
satura los buzones, con el sobrecoste añadido.
(MDaemon es ya el tercer servidor de correo electrónico
en España con un 4% de cuota de mercado, por detrás
de Exchange que tiene el 50% y Lotus que tiene el
17%).
http://www.interbel.es - Tel. 902·39·39·39 - [email protected]
volver
6.- Filtrar el spam - heurístico y bayesiano
Técnica heurística: Este método consiste en realizar una serie de
pruebas sobre cada mensaje, asignando puntuaciones. Esta
puntuación viene asignada por defecto. Se agregan nuevas
puntuaciones según el aprendizaje bayesiano posterior.
Cuando un mensaje alcanza la puntuación predeterminada por un
administrador (por ejemplo 5 puntos), es considerado spam y
colocado en una carpeta de igual nombre en el buzón de correo del
usuario. La carpeta Spam recoge los e-mails que hayan
alcanzado esa puntuación, insertando una etiqueta que lo califica
como SPAM en el propio encabezado del mensaje.
Técnica bayesiana: A partir de las carpetas de Spam, MDaemon
calcula las probabilidades de las palabras consideradas como spam,
aprendiendo de estos términos, y aplicando una nueva
puntuación a la base de datos. También considera la carpeta “Spam
no detectado”, usada por cada usuario para arrojar los mensajes
que no han sido calificados como spam cuando sí lo son.
El aprendizaje se realiza todos los días a medianoche, de
forma automática. Esto supone un periodo de aprendizaje, de modo
que a medida que pasa el tiempo el filtro mejora su eficacia.
http://www.interbel.es - Tel. 902·39·39·39 - [email protected]
volver
7.- Uso lícito y vigilancia contra intrusiones
Logs de todo lo que ocurre y posibilidad de gestión
y centralización de los logs.
• MDaemon gestiona y visualiza en tiempo real las
colas de remotas, locales, no válidas, y las de cada uno
de los usuarios, pudiendo mostrar fechas, estados y
contenidos, e incluso pudiendo parar una cola o un
correo, eliminarlo, o reiniciar la cola.
• Todas las colas y los eventos se pueden configurar
para almacenarse en unos ficheros log. En principio la
carpeta Log guarda datos de todos los protocolos,
antivirus, RAS, filtro de contenidos, spam, correo
basura bloqueado, y direcciones IP.
• El generador de informes MailDetective crea
informes a partir de estos logs, partiendo de unas
reglas, y mostrando los resultados en formato HTML,
Excel, con gráficos de tarta y barra, y remitiéndolos por
e-mail a horas convenidas.
http://www.interbel.es - Tel. 902·39·39·39 - [email protected]
volver
8.- Confidencialidad comunicación interna
• Los correos circulan en texto plano por
Internet (como una postal).
• MDaemon utiliza encriptación SSL en los
propios protocolos SMTP/POP3/IMAP para
cualquier cliente de correo, como Outlook, por
ejemplo.
• Encriptación con claves de 2048 bits.
• Encriptación SSL, además, en WorldClient
(webmail)
• Generación de certificados propios y
gratuitos desde el propio servidor MDaemon,
sin necesidad de adquirilos a Thawthe o
Network Solutions.
• Ventajas: privacidad asegurada,
cumplimiento de la Ley Orgánica de Protección
de Datos, y ahorro de costes en la creación de
certificados.
volver
9.- Confidencialidad comunicación externa
• La única forma de evitar correos, entre cliente y cliente,
y evitar ser interceptados, es cifrar el correo.
• Se puede hacer con claves asimétricas (PGP, GnuPG)
o simétricas (e-Cryptor).
• PGP a GnuPG requiere una clave privada y una pública.
Para poder cifrar el correo es preciso conocer la
clave pública del receptor, y cifrar con la clave pública
del emisor. El procedimiento es complejo, ya que precisa
que el fichero de las claves públicas estén al alcance de
ambos clientes.
• e-Cryptor no precisa de claves públicas. El mensaje
se cifra con una clave y se envía. El destinatario abre el
mensaje, y se le pide la clave. Esta clave ha debido ser
transmitida por voz o acordada entre ambos clientes.
• e-Cryptor no precisa ningún software especial, ya
que el mensaje es un sencillo e-mail que se lee con
cualquier programa de correo.
http://www.interbel.es - Tel. 902·39·39·39 - [email protected]
volver
> Otras características de MDaemon
• Servidor de correo SMTP/PO3/IMAP. Con soporte
SSL para estos protocolos.
•Compartición de todas las funciones de correo desde
Outlook. Características Groupware equivalentes a
Exchange.
• Webmail seguro con SSL. El webmail puede ser
consultado con teléfonos WAP.
• Agenda de direcciones compatida bajo LDAP.
•Mensajería instantánea integrada con webmail. Sólo
para usuarios servidor de correo dentro de la empresa.
• Servidor de fax con OCR. Módulo adicional. Envía
faxes desde cualquier cliente de correo.
• Administración por web del servidor.
http://www.interbel.es - Tel. 902·39·39·39 - [email protected]
Webmail WorldClient con aspecto (skin) Lookout
Outlook con Groupware activo
volver
ComAgent: mensajería instantánea
RelayFax
> Interbel Software
Forum Nord de la Tecnología
C/ Marie Curie s/n
08042 Barcelona
http://www.interbel.es - Tel. 902·39·39·39 - [email protected]