astiris · 2009. 4. 27. · encuesta málaga, 29 abril 2009 grupo de trabajo iris-mail/30 astiris...

Encuesta http://www.rediris.es/gt/gt2009/encu/

Málaga, 29 Abril 2009

Grupo de Trabajo IRIS-MAIL/30

ASTIRIS

Desde 1993

Encuesta http://www.rediris.es/gt/gt2009/encu/ 2

Agenda IRIS-MAIL/30: RACE

•  RACE (Criterios de Calidad Correo Electrónico)   Novedades

  RACEonline. Universidad de Girona

  Experiencias: Servicio de correo electrónico de UNIRIOJA

  Propuestas:   Nuevos criterios   Sistema de monitorización del servicio


Agenda IRIS-MAIL/30

•  Iniciativa AVAS   Estado actual y encuesta de la iniciativa   Experiencias de la UC3M con un piloto con F-

Secure   Comentarios, experiencias de los asistentes

•  Proyecto Lavadora   Infraestructura hardware y software del

piloto

3


RACE (Criterios de Calidad Correo Electrónico)

Málaga, 29 Abril, 2009

RACEonline. Universidad de Girona

Servicio de correo electrónico de UNIRIOJA


RACE (Red Académica de Correo Electrónico)


Propuesta: Sistema de monitorización externa del Correo Electrónico


Monitorización externa del Correo Electrónico

•  RACE ofrece criterios estáticos de configuración

•  RACE no ofrece criterios continuos de funcionamiento como:   Monitorización – disponibilidad del servicio   Soporte (CAU)   Satisfacción de los usuarios (encuestas…)

•  Todos medibles

6



•  Objetivo   Monitorización externa de la accesibilidad y

correcto funcionamiento del servicio

•  Motivos   Actualmente sólo existe monitorización local   Disponemos de un servicio bien configurado

(RACE) pero …. puede que no funcione   Criterios RACE se cumplen en un momento

dado   Necesitamos conocer cómo funciona el

servicio desde fuera   Aumento movilidad y del acceso externo

7


•  QUÉ monitorizar   Estado y tiempos de respuesta de

  Servidores SMTP   Acceso IMAP / POP   Acceso Webmail   Tiempos de envío y recepción de mensajes

•  CÓMO monitorizar   Desde RedIRIS con sistema Nagios

•  ACCESO información monitorizada   Gráfica continua para cada institución   Sistemas de alertas según umbrales   Exclusivo para instituciones evaluadas RACE

8



¿Opiniones? ¿dudas?

9


RACE (Red Académica de Correo Electrónico)


Propuesta: Nuevos criterios RACE


Nuevos criterios RACE


1.  Servicio AV configurado sin enviar al emisor.

2.  Chequeo SPF de entrada.

3.  Página Postmaster: Página Web pública con políticas antispam de la institución.

4. Definición de tamaño del mensaje entrante > 50 M

5.  Acceso al correo a través de dispositivos móviles

6.  Evitar transferir ficheros pesados (>50M) por los servidores de correo

12



7. Dar servicios sólo a través de protocolos seguros y cifrados.

8. Conjunto de requisitos de seguridad.

9. Servicio de Mensajería instantánea añadido al correo ¿Consideráis interesante fomentar/coordinar en RedIRIS la mensajería instantánea?

10. Módulos de monitorización y/o gestión para el Servicio de correo.

11. Indicadores de calidad. •  Indicadores de evolución del servicio

13



Proyecto Lavadora (Email Service Firewall) Fase Piloto


1.  Introducción 2. Arquitectura filtrado 3. Arquitectura servidores 4.  Interfaces de gestión


•  Se va replicar el modelo “modo in house” de en las instalaciones de

RedIRIS

•  Es un Modelo Saas (Software as a Service) Objetivo del Piloto:

Comprobar que el Proyecto Spamina/Lavadora ofrece iguales o mayores ventajas que los actuales modelos dedicados asegurando que todo lo que llegue a las instituciones haya sido verificado

15

Fase Piloto Proyecto Lavadora


INTERNET

Backbone RedIRIS

Backend USERS

Institución

Modelo actual de correo electrónico

Frontend

Backend USERS

Universidad

Frontend

Backend USERS

Centro

Frontend


INTERNET Backbone RedIRIS Frontend

centralizado

Backend USERS

Institución

Backend USERS

Universidad

Backend USERS

Centro

Modelo de Lavadora centralizado

Lavadora

Modelo actual


INTERNET Backbone RedIRIS

Backend USERS

Universidad

Modelo de Lavadora distribuida

Backend USERS

Universidad

Backend USERS

Universidad

Lavadora

Frontend (distribuido en la red)

Modelo futuro


Proyecto Lavadora (Email Service Firewall)

2. Arquitectura de Filtrado



Arquitectura de filtrado: REPUTACIÓN

•  Listas de reputación Blancas y Negras Para eliminar falsos no se descartará ningún correo que no esté, como mínimo, en 2 de las 6 RBLs consultadas.

En el caso de coincidir en menos de 3 RBLs, se aplicará el criterio de marcado del correo como spam

•  Listas blancas dinámicas a medida que se entra correo

•  SenderDomval: Validación de dominio remitente Se comprueba la existencia de registros MX en los dominios emisores para garantizar la entrega de correo.

•  SenderCallout: Validación de remitente Se comprueba la existencia del remitente para eliminar el spam que se envía desde cuentas inexistentes.

20

SPAM

/ VIRU

S

SENDER DOMVAL

RECIPIENT CALLOUT (SMTP, LDAP, PROMO)

GREYLISTING DELAY

SPF

LISTAS B/N L. CONFIANZA

LISTAS B/N (IP)

LISTAS DE REPUTACIÓN


Arquitectura de filtrado: CONTENIDOS

•  Filtro AntiVirus Multicapa.

•  Motor de Reglas.

•  Filtros Heurísticos y Bayesianos.

  Análisis de Cabeceras   Análisis del Cuerpo   Análisis probabilístico

Una vez definidas las reglas iniciales para la detección, se realizan análisis probabilísticos para determinar similitudes entre mensajes entrantes y aquellos ya detectados como Spam anteriormente.

21

MOTOR DE REGLAS

SPAMASSASSIN

BOGOFILTER

ANTIVIRUS

SPAM

/ VIRU

S


Arquitectura general de filtrado

22

Nivel 1 Nivel 2 Nivel 3


IRISRBL Greylist

SPF Listas Blancas

AntiVirus

AntiSpam: Bogofilter + Spamassassin

Pan

el d

e co

ntro

l

Almacén y cuarentena

Análisis contenidos

Conexiones SMTP : reputación

Internet

Institución A

Institución B

Nivel 1

Nivel 2

Nivel 3

Servicio

20%

15%

100%


Correo Saliente.

24

Filtraje de correo saliente:

  Antivirus Multicapa.

  Filtros de contenido personalizables.

  Filtros Heurísticos y Bayesianos.

SPAM / /VIRUS

AN

TIVIR

US

CONTENT FILTER

BOGOFILTER

SPAMASSASSIN

ENVÍO DE CORREO SALIENTE VÁLIDO



3. Arquitectura de Servidores para Piloto



Infraestructura Piloto Lavadora

•  Estudio de dimensionamiento de servidores

•  Instituciones participantes:

  Universidad de Burgos   Universidad de Extremadura   Universidad Pablo Olavide   Instituto Nacional Tecnología Aerospacial   FRIAT

26


Arquitectura Piloto Lavadora

•  Datos muy dispares •  Se coge UBU como punto de referencia

para el resto se extrapola •  Friat por el tamaño no tiene impacto

27



•  Se dispondrá de dos maquinas físicas idénticas.

•  Se separan las instituciones en función del volumen

28



•  Arquitectura con máquinas virtuales que nos permitirá añadir instituciones de forma dinámica si fuera necesario y jugar con los recursos que le asignamos a cada uno.

•  Las máquinas físicas que darán soporte a la arquitectura son 2 SUN X2200 M2 con las siguientes características:

29



30



31



4. Interfaces de gestión postmaster



para el Piloto de Lavadora   Presta servidores   Tecnología de filtrado   Soporte 8x5   Formación para la gestión de las interfaces

  Interfaces de gestión multidominio   Tiene en marcha nuevas mejoras en la

plataforma   Acepta mejoras por parte de la comunidad

RedIRIS

33

Herramientas de control y administración


•  Gestionar dominios y usuarios por institución •  Ver o cambiar el modo de alta de los usuarios en

el sistema •  Gestionar listas blancas y negras globales, por

dominio y por usuario •  Habilitar y deshabilitar antivirus y filtros de

contenido •  Cambiar el modo de filtrado y ajustarlo a cada

necesidad •  Ver diferentes estadísticas •  Activar y desactivar mensajes automáticos e

informativos para los usuarios y administradores

34



  Interfaces Web:   Control a nivel global, por

dominio y por usuario.

  Informes Periódicos:

  Gestión a través de hipervínculos en el propio email de informe.

  Notificador:

  Para usuarios avanzados y Administradores IT.

  Control de múltiples cuentas.




36

FILTRADO ESTADÍSTICAS

DOMINIOS USUARIOS USUARIOS CON FILTRADO BÁSICO

AUTENTIFICACIÓN MODO DE ALTA

Lavadora

GESTIÓN CONFIGURACIÓN

PANEL DE CONTROL


FILTRADO GESTIÓN ESTADÍSTICAS CONFIGURACIÓN

L. BLANCA L. NEGRA MODO DE FILTRADO

MOTOR DE REGLAS LISTA DE CONFIANZA

SERVICIOS FILTRADO SALIENTE LOGS

Lavadora



Estado del sistema

38


Estadísticas

39


Alta Automática por consultas SMTP o LDAP

•  Spamina permite dar de alta los usuarios de forma automática a medida que se empiecen a recibir correo.

•  Para ello comprueba que las direcciones de correo de los destinatarios existan en el servidor final.

•  Estas comprobaciones se pueden realizar con un servidor SMTP o LDAP creando el usuario en Spamina si éste existe o rechazando si no existe.

40


Filtrado contenido

41

•  Por defecto todos los filtros están activados. •  Se puede anular uno de ellos


Filtrado por usuario (1)

•  Permite anular los filtros de contenidos para usuarios

•  Permite cambiar el modo de filtrado de para cada usuario individualmente

43


Filtrado por usuario (2)

•  Dos modos de filtrado:   Modo Automático

  Analiza y clasifica los mensajes recibidos como correo válido o Spam en función de la puntuación que obtiene cada uno de ellos tras la verificación de más de 600 reglas.

  Modo Garantizado   Comprueba y valida el origen de los mensajes,

verificando si los emisores figuran en la blanca del usuario

  Cualquier remitente que no se encuentre en la lista blanca del destinatario recibirá automáticamente un mensaje de validación

44


Filtrado por usuario (y 3)

45


Logs de transacciones

•  El sistema de logs de correo permite ver la información básica de todos los correos que han pasado por la Lavador/Spamina así como cambiar su estado o incluso ver dichos correos

46

astiris · 2009. 4. 27. · encuesta málaga, 29 abril 2009 grupo de trabajo iris-mail/30 astiris...

Documents