MS Forefront Threat Management Gateway: Filtros AntiSpam [III de IV]

by Admin 6. enero 2010 09:00
============================================================================
- MS Forefront Threat Management Gateway: Filtros AntiSpam [I de IV]
- MS Forefront Threat Management Gateway: Filtros AntiSpam [II de IV]
- MS Forefront Threat Management Gateway: Filtros AntiSpam [III de IV]
- MS Forefront Threat Management Gateway: Filtros AntiSpam [IV de IV]
============================================================================

Uno de los filtros más novedosos que acompañan las características de los servidores MS Exchange Server es el que se conoce como Reputation Sender Filter o Filtro de Reputación del Remitente. Este filtro trata de medir la imagen o reputación que tiene un servidor en función de un determinado conjunto de características.

Filtro de Reputación en MS TMG
Figura 6: Filtro de Reputación de Remitente en MS Forefront TMG

Filtro de Reputación de Remitente

La lista de características que mide, a la hora de tomar una decisión sobre si la reputación de un servidor remitente es buena o mala es la siguiente:

- Información proporcionada en el campo EHLO/HELO: Muchos spammers juegan con los valores de EHLO/HELO para intentar saltar restricciones. En los comandos EHLO/HELO debe ir el nombre de dominio o la IP de la máquina que está enviando, pero los spammers suelen cambiarlos para conseguir que sus correos pasen mejor los filtros de contenido, poniendo direcciones IPs locales o nombres de dominios internos. El filtro de reputación hace un análisis del uso del comando EHLO/HELO una determinada IP de conexión IP. Muchos cambios de valores, o el uso de dominios internos será trucos que harán que la reputación de ese servidor remitente sea mala.

- Reverse DNS-Lookup: Este filtro, antaño se tomaba como algo definitivo para aceptar o rechazar la conexión, pero hoy en día no es más que un punto más en la reputación del remitente. La idea es que si un servidor de envió de un dominio es legítimo, la IP del servidor estará asociada a la compañía. Así, si se busca el nombre de dominio asociado a la IP y aparece el del dominio que envía en el HELO/EHLO, se tomará como de buena reputación. El problema es que muchas direcciones IP están en empresas de hosting o comunicaciones, con lo que no se puede tomar como algo definitivo si no se cumple. Simplemente será un punto más a tener en cuenta en la reputación del servidor.

- Análisis de los valores SCL de los correos enviados desde el mismo servidor: Una de las características más innovadoras es que el filtro de reputación va generando la reputación del servidor en base al comportamiento que este tenga. Si un servidor manda muchos correos que el Filtro de contenido marca con malos valores de SCL, entonces la reputación del servidor irá bajando. Si por el contrario, los correos generan números bajos de SCL en el filtro de contenido, entonces la reputación del servidor mejora.

- Test de Open Proxy: Otra de las características que tienen los servidores utilizados por los spammers es que utilizan servidores vulnerados en los que se instalar servidores Proxy TCP que les permiten enviar correos a través de conexiones STMP desde cualquier otro equipo. Cuando se recibe una conexión, el filtro de reputación prueba a enviar una petición de conexión a sí mismo utilizando como servidor proxy TCP el equipo que ha pedido la conexión. Si se recibe una petición de conexión, quiere decir que está actuando como Open Proxy y hará que la reputación de ese servidor baje mucho.

Teniendo en cuenta todos los parámetros descritos, el filtro de reputación generará, un valor llamado SRL [Sender Reputation Level] que será calculado y utilizado al principio de la conexión del mensaje y que se actualizará de nuevo, con el cálculo del nuevo SCL, una vez recibido el correo.

Configuración de Filtro de Reputación en MS TMG
Figura 7: Configuración de Umbral SRL en Filtro de Reputación

Con ese valor SRL, que varía entre 0 y 9, el administrador configurará un umbral [Threshold] a partir del cual, si el SRL lo supera, se producirá un bloqueo del servidor durante un tiempo. A partir de ese tiempo se restaurará la reputación del servidor y se empezará a analizar de nuevo el comportamiento del mismo.

============================================================================
- MS Forefront Threat Management Gateway: Filtros AntiSpam [I de IV]
- MS Forefront Threat Management Gateway: Filtros AntiSpam [II de IV]
- MS Forefront Threat Management Gateway: Filtros AntiSpam [III de IV]
- MS Forefront Threat Management Gateway: Filtros AntiSpam [IV de IV]
============================================================================
Category: Forefront TMG
Tags: , , ,
Comentarios (0)
E-mail Permalink Post RSS
Comentarios no permitidos

Un Blog de:

Paperblog

Libros de Forefront TMG 2010
& SharePoint 2010: Seguridad
¡Ya disponibles a la venta!

 
250 páginas. 20 €. En Español

Compra tu Libro de Seguridad

 
250 páginas. 20 y 12 €. En Español

Próximos Eventos Seguridad & Forefront

Compra tus libros de:
Análisis Forense & LOPD

GFI Web Monitor

MetaShield Protector

Calendario de Artículos

<<  febrero 2012  >>
lumamijuvido
303112345
6789101112
13141516171819
20212223242526
2728291234
567891011

Mostrar calendario en la página principal

Últimos Comentarios

Comment RSS