Control antivirus y antispam
- Objetivos
- Abuso en el correo electrónico
- introducción
- tipos de abuso
- problemas ocasionadas
- políticas implantadas
- Cómo poder utilizar los servicios
- Descripción del servicio
- herramientas utilizadas
- filtro antivirus
- filtro antispam
- Perfiles personales de usuario
- Comunicación de falsos positivos o negativos
- Logs y estadísticas sobre el correo electrónico analizado
Objetivos
- Ofrecer a los usuarios del correo electrónico de la Facultad la utilización de los filtros antivirus y antispam instalados en el servidor efiltro.fi.upm.es.
- Describir el funcionamiento, a grosso modo, del servicio, así como las posibilidades para beneficiarse de él por parte de los usuarios.
Abuso en el correo electrónico
Con el análisis del correo realizado por efiltro pueden evitarse dos de las principables actividades de abuso que utilizan el correo electrónico como medio de expansión: los virus y el spam.
Desde las páginas de Rediris se pretende concienciar a la comunidad universitaria sobre los problemas que suponen estas actividades abusivas.
Introducción
Definimos ACE (Abuso en Correo Electrónico) como las diversas actividades que trascienden los objetivos habituales del servicio de correo y perjudican directa o indirectamente a los usuarios. Algunos de los términos habitualmente asociados en Internet a estos tipos de abuso son spamming, mail bombing, unsolicited bulk email (UBE), unsolicited commercial email (UCE), junk mail, etc., abarcando un amplio abanico de formas de difusión.
De los tipos de abuso englobados en ACE, el que más destaca es el conocido como spam que es un término aplicado a mensajes distribuidos a una gran cantidad de destinatarios de forma indiscriminada. En la mayoría de los casos el emisor de estos mensajes es desconocido y generalmente es imposible responderlo (reply) de la forma habitual o incluso llegar a identificar una dirección de retorno correcta.
Tipos de abuso
Las actividades catalogadas como ACE se pueden clasificar en cuatro grandes grupos:
- Difusión de contenido inadecuado
Contenido ilegal por naturaleza (todo el que constituya complicidad con hechos delictivos). Ejemplos: apología del terrorismo, programas piratas, pornografía infantil, amenazas, estafas, esquemas de enriquecimiento piramidal, virus o código hostil en general... Más información sobre estos temas en el área de información legal.
Contenido fuera de contexto en un foro temático. Pueden definir lo que es admisible: el moderador del foro, si existe; su administrador o propietario, en caso contrario, o los usuarios del mismo en condiciones definidas previamente al establecerlo (por ejemplo, mayoría simple en una lista de correo).
- Difusión a través de canales no autorizados
Uso no autorizado de una estafeta ajena para reenviar correo propio. Aunque el mensaje en sí sea legítimo, se están utilizando recursos ajenos sin su consentimiento (nada que objetar cuando se trata de una estafeta de uso público, declarada como tal).
- Difusión masiva no autorizada
El uso de estafetas propias o ajenas para enviar de forma masiva publicidad o cualquier otro tipo de correo no solicitado se considera inadecuado por varios motivos, pero principalmente éste: el anunciante descarga en transmisores y destinatarios el coste de sus operaciones publicitarias, tanto si quieren como si no.
- Ataques con objeto de imposibilitar o dificultar el servicio
Dirigido a un usuario o al propio sistema de correo. En ambos casos el ataque consiste en el envío de un número alto de mensajes por segundo, o cualquier variante, que tenga el objetivo neto de paralizar el servicio por saturación de las líneas, de la capacidad de CPU del servidor, o del espacio en disco de servidor o usuario. Se puede considerar como una inversión del concepto de difusión masiva (1->n),en el sentido de que es un ataque (n->1).
En inglés estos ataques se conocen como mail bombing, y son un caso particular de denial of service (DoS). En castellano podemos llamarlos bomba de correo o saturación, siendo un caso particular de denegación de servicio.
Suscripción indiscriminada a listas de correo. Es una versión del ataque anterior, en la que de forma automatizada se suscribe a la víctima a miles de listas de correo. Dado que en este caso los ataques no vienen de una sola dirección, sino varias, son mucho más difíciles de atajar.
Problemas ocasionados
- Efectos en los receptores
Los usuarios afectados por el ACE lo son en dos aspectos: costes económicos y costes sociales. También se debe considerar la pérdida de tiempo que suponen, y que puede entenderse como un coste económico indirecto.
Si se multiplica el coste de un mensaje a un receptor por los millones de mensajes distribuidos puede hacerse una idea de la magnitud económica, y del porcentaje mínimo de la misma que es asumido por el emisor. En lo que respecta a los costes sociales del ACE debe considerarse, aparte de la molestia u ofensa asociada a determinados contenidos, la inhibición del derecho a publicar la propia dirección en medios como News o Web por miedo a que sea capturada.
- Efectos en los operadores
Los operadores de destino y encaminamiento acarrean su parte del coste: tiempo de proceso, espacio en disco, ancho de banda, y sobre todo tiempo adicional de personal dedicado a solucionar estos problemas en situaciones de saturación.
Políticas implantadas
Los ficheros ejecutables que llegan a través del correo electrónico a los equipos de los usuarios, representan un gran riesgo para la integridad de la información almacenada en ellos, máxime teniendo en cuenta que, actualmente, la mayoría de virus falsean la dirección del remitente, recolectándolas de la libreta de direcciones del equipo infectado, y por tanto puede llegar un mensaje infectado de alguna fuente aparentemente de confianza.
Por ello, todo mensaje que se detecte infectado se rechazará, enviándose una notificación al destinatario cuando éste pertenezca a algún dominio de la Facultad (destinatario local). No se enviará aviso al remitente, habida cuenta de lo comentado anteriormente.
En cuanto a la recepción de ficheros ejecutables (extensiones .exe, .vbs, .pif, .scr, .bat y .com) no infectados, la política aplicada por defecto es similar, aunque en este caso, el remitente sí que recibirá notificación del rechazo llevado a cabo. Aquí el usuario, si lo estima conveniente, puede elegir establecer un perfil personal para adjuntos prohibidos con una acción diferente.
La decisión a tomar ante correo identificado como spam no es tan clara. A pesar de los inconvenientes comentados, pueden existir usuarios que sí deseen recibir esos mensajes, y en caso de aplicar una política de descarte, existe un pequeño riesgo de perder mensajes legítimos.
Por lo cual, aquel mensaje que se identifique como spam será marcado y entregado a su destinatario. El usuario, con el spam identificado, puede establecer una regla en su cliente de correo para actuar sobre esos mensajes.
Habrá de ser el usuario, en base a contrastar la eficiencia del filtro antispam, el que defina un perfil personal de descarte para evitar que el spam le llegue a su máquina. Ninguna notificación se generará en este caso.
Cómo utilizar estos servicios
Los administradores de dominios de correo bajo la jerarquía .fi.upm.es, pueden solicitar al Centro de Cálculo, mediante un mensaje a filtro.correofi.upm.es, que el correo por ellos gestionados sea analizado, previamente a su entrega, para detectar posibles virus y spam entre los mensajes de los usuarios de sus respectivos dominios.
Los administradores pueden decidir si se aplicará a todos sus usuarios la misma política o si éstos podrán definir perfiles personales sobre los filtros que se les aplicarán.
Descripción del servicio
Herramientas utilizadas
Se ha utilizado software de libre distribución para el montar el servicio de filtros de correo, como son: Gnu Linux, Postfix, Amavisd-new, SpamAssassin, DSPAM, Razor, DCC, MySQL y Clam Antivirus.
Postfix
- Postfix es un servidor de correo (MTA) eficiente, fácil de configurar, flexible y seguro.
- Existe mucho software extra que complementa su funcionalidad.
Amavisd-new
- Amavisd-new actúa de interfaz entre el MTA y el software analizador de contenido antivirus y antispam. Extrae las distintas partes del mensaje, y se las entrega a éstos para que realicen el análisis
- Se comunica por SMTP con el MTA
- Admite personalizaciones de acciones por dominio y usuario
- Posibilidad de indicar tipos mime o extensiones de adjuntos prohibidos
SpamAssassin
- SpamAssassin es un software de análisis antispam. Realiza un gran número de comprobaciones heterogéneas sobre el mensaje. Llega a identificar en torno al 90% del spam que llega a la organización
- Tipos de análisis efectuados:
- Heurísticos: busca patrones en el contenido que suelen repetirse en mensajes spam
- RBL: busca en listas negras la dirección IP que ha remitido el mensaje por si fuera un relay o proxy libremente accesible (utilizable entonces por los generadores de spam para distribuir su correo)
- Bases de datos cooperativas: donde la comunidad de usuarios publica y comprueba el spam que les llega (no se envía el mensaje en sí, sino un hash de él). Ejemplos son Razor y DCC
- Bayesiano: realiza un análisis de probabilidad basado en un entrenamiento previo dirigido sobre mensajes ciertamente catalogados como spam o no.
También considera el resultado de otro analizador probabilístico como DSPAM, con menor índice de producción de falsos positivos.
- Posibilidad de definición de nuevas reglas
- Cada uno de los chequeos lleva asociado una puntuación si se verifica positivo. El marcado de un mensaje como spam se realiza si la suma total rebasa cierto valor umbral.
Clam Antivirus
- Clam Antivirus es un antivirus de gran rendimiento especializado para el análisis del correo.
- Se utilizan tanto los patrones oficiales como los disponibles en MSRBL y Sanesecurity.
Filtro antivirus
El análisis para detectar adjuntos con virus siempre se realiza. En caso de dar positivo se llevan a cabo las siguientes actuaciones:
- acción: bloqueo y rechazo del correo
- notificación al destinatario (local):
- asunto: [*INFECTADO*] ...
- remitente: virusalertefiltro.fi.upm.es.
- cabecera introducida: X-Virus-Scanned: by amavisd-new at efiltro.fi.upm.es
Por defecto, el filtro sobre adjuntos de extensión prohibida sigue una política similar. Se puede cambiar por el usuario mediante la definición de un perfil personal para adjuntos prohibidos.
Acciones a llevar a cabo ante la existencia de adjuntos prohibidos (extensiones .exe, .vbs, .pif, .scr, .bat y .com):
- chequeo, bloqueo y rechazo del correo:
- por defecto
- notificación al destinatario (local):
- asunto: [*ADJUNTO PROHIBIDO*] ...
- remitente: virusalertefiltro.fi.upm.es
- notificación al emisor:
- asunto: [*ADJUNTO PROHIBIDO*] ...
- remitente: virusalertefiltro.fi.upm.es
- chequeo y marca del correo:
- definible mediante perfil personal
- cabecera introducida a destinatarios locales: X-Amavis-Alert: BANNED FILENAME
- no chequear:
- definible mediante perfil personal
Filtro antispam.
Por defecto, se sigue una política de análisis y marca del correo. El usuario, a través de un perfil personal antispam, puede definir una política más agresiva.
Acciones a realizar ante el análisis positivo de spam:
- chequeo y marca del correo:
- por defecto
- cabeceras introducidas a destinatarios locales:
- X-SPAM-Level: grado de spam otorgado por el filtro antispam al mensaje. Al rebasar el nivel de puntuación
- X-SPAM-Status: puntuación otorgada, niveles umbral y tests que han dado positivo realizados por el filtro antispam. Al rebasar el nivel de puntuación
- X-SPAM-Flag: el mensaje es spam, pues rebasa el nivel de marca.
- modificación del asunto a destinatarios locales:se añade [*SPAM*] al rebasar el nivel de marca
- chequeo, marca y bloqueo del correo:
- definible mediante perfil personal
- cabeceras introducidas a destinatarios locales
- modificación del asunto a destinatarios locales
- descarte del mensaje al superar el nivel de bloqueo
- no chequear:
- definible mediante perfil personal.
Perfiles personales de usuario
El usuario puede cambiar determinados aspectos de la política por defecto aplicada a los mensajes destinados para él. Para ello, el administrador del dominio de correo bajo el que se encuentra la dirección electrónica del usuario, habrá dado su correspondiente permiso.
El mecanismo es el siguiente:
- el usuario, rellenando el formulario correspondiente, definirá un perfil personal antispam o de adjuntos prohibidos
- el perfil se registrará y, en caso de existir ya alguno para ese usuario, se solicitará previamente confirmación
- el servidor generará un número de petición y se remitirá un mensaje a la cuenta de correo indicada por el usuario, con la dirección a la que habrá de conectarse para que el perfil quede definitivamente activado y operativo
- remitente del mensaje: spam.policeefiltro.fi.upm.es o banned.policeefiltro.fi.upm.es, para los perfiles personales antispam o de adjuntos prohibidos, respectivamente
Las peticiones tienen un periodo de activación de un día y no pueden reutilizarse.
Comunicación de falsos positivos o negativos
El filtro antispam realiza, entre otras cosas, un análisis de probabilidad bayesiano del mensaje para ver el grado de similitud con otros previa y ciertamente catalogados como spam o no. Para cada uno de estos mensajes se guarda un elemento en una base de datos de tokens aprendidos.
El comportamiento de este componente necesita ser refinado para que otorgue una probabilidad bastante fiable. Aquel usuario que lo desee puede colaborar enviando mensajes erróneamente identificados (eso sí, es necesario que lleguen incluidos como adjuntos dentro de un nuevo mensaje) a las siguientes direcciones:
- falsos positivos (mensajes marcados como spam y en realidad no lo son): spamalert+hamefiltro.fi.upm.es
- falsos negativos (mensajes no identificados como spam y en realidad sí lo son): spamalert+spamefiltro.fi.upm.es
Los mensajes se utilizarán para alimentar el proceso de aprendizaje continuo de la base de datos bayesiana y posteriormente serán eliminados.
Logs y estadísticas sobre el correo analizado.
Los logs generados en el servidor efiltro.fi.upm.es durante el proceso de análisis del correo, serán almacenados al menos durante un año.
En ellos quedará registro sobre: direcciones origen y destino de los mensajes, tamaño, tests verificados como positivos y virus encontrados en los mensajes.
Asimismo, por necesidades operativas puntuales del servicio, se podrán activar las notificaciones al administrador, en cuyo caso quedará registro también de las cabeceras de los mensajes.
Estos logs serán utilizados para la generación de las siguientes estadísticas, de libre acceso desde el entorno de la Facultad:
- tipo de correo recibido: informe de periodicidad diaria, semanal, mensual y anual sobre número de mensajes recibidos, conexiones rechazadas, mensajes devueltos, virus detectados, mensajes con adjuntos prohibidos y spam identificado. Generado mediante la herramienta Mailgraph
- virus detectados: informe de periodicidad diaria, semanal, mensual y anual sobre tipo y número de virus detectados
Centro de Cálculo