Filtrado de Correo

Symantec Brightmail Gateway

CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520

ndice
Introduccin ......................................................................................................2 Jerarqua de las Polticas en Symantec Brightmail Gateway .........................2 Revisin de Requerimientos ............................................................................3 Componentes de Symantec Brightmail Gateway ...........................................4 Instalacin de SMS For SMTP...........................................................................5 Polticas de Filtrado de Contenido .................................................................11 Condiciones de la Poltica.................................................................................12 Acciones Configurables ....................................................................................13 Recursos para las Polticas............................................................................13 Mejores Prcticas ...........................................................................................17 Ejercicios Prcticos.........................................................................................18 Apndice .........................................................................................................24 Material de Referencia ...................................................................................25

CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520

Seccin

Symantec Brightmail Gateway

Introduccin

Symantec Brightmail Gateway proporciona una proteccin integral de seguridad para el correo entrante, correo saliente y mensajera instantnea, con una exacta y efectiva proteccin AntiSpam y AntiVirus, filtrado de contenido avanzado, y tecnologa de prevencin de prdida de la informacin (DLP). Brightmail Gateway es sencillo de administrar y cuenta con una efectividad de hasta el 99% en la deteccin de Spam con menos de uno en un milln de falsos positivos. Con Brightmail Gateway, las organizaciones pueden responder de una forma efectiva a las nuevas amenazas de correo, minimizar las cadas en la red, mejorar la productividad de los empleados y proteger la reputacin de su empresa. El producto utiliza las actualizaciones continuas de AntiSpam y Antivirus de Symantec Global Intelligence Network as como la herramienta de control de conexiones basada en reputacin global y en el auto-aprendizaje de la herramienta, adems de la reportera detallada. La herramienta Symantec Brightmail Gateway se encuentra disponible en Appliance Fsico como en Appliance Virtual (VMWARE), permitiendo a las organizaciones una forma sencilla de agregar o disminuir capacidad AntiSpam para conservar el flujo de los mensajes frente al creciente e impredecible volumen de Spam.

Jerarqua de las Polticas en Symantec Brightmail Gateway

La herramienta Brightmail Gateway sigue una jerarqua para realizar el filtrado de los correos procesados, por lo que es importante mencionar la precedencia que tiene cada una de las disposiciones dentro de la solucin para realizar un filtrado ms exacto y eficaz. A continuacin se lista el orden en que la herramienta Symantec Brightmail Gateway asigna las Disposiciones en las que puede caer algn correo procesado por la herramienta. Virus attack Worm Virus Spyware or adware Suspicious attachment (suspected virus)

2
CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520

Unscannable Encrypted attachment End user-defined Allowed Senders List End user-defined Blocked Senders List Administrator-defined, IP-based Allowed Senders List Administrator-defined, IP-based Blocked Senders List Administrator-defined, domain-based Allowed Senders List Administrator-defined, domain-based Blocked Senders List Spam attack Directory harvest attack Safe Senders List (part of the Sender Reputation Service) Open Proxy Senders (part of the Sender Reputation Service) Third Party Services Allowed Senders List Third Party Services Blocked Senders List Content Compliance policies Dropped invalid recipient Spam Blocked language Suspected spam Suspected Spammers (part of the Sender Reputation Service) Sender authentication failure

Revisin de Requerimientos
La instalacin de la solucin de Symantec Brightmail Gateway se puede realizar en un Appliance Fsico o en un Appliance Virtual (VMWARE), en este entorno nos enfocaremos en la instalacin sobre un Appliance Virtual. (para mayor detalle en cuanto a los modelos de Appliance existentes, consultar el Apndice Modelos de Appliance ). Sistema Operativo Linux Red Hat

Hardware VMWARE Desktop 512 GB RAM (Recomendado 1GB) 20 MB de espacio en disco

3
CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520

Componentes de Symantec Brightmail Gateway

COMPONENTES DE Brightmail Gateway La herramienta Symantec Brightmail Gateway est integrada por 2 componentes; el Control Center y el Scanner; de acuerdo al ambiente en el cual ser implementada la solucin, se puede realizar la instalacin de estos componentes de varias formas.

Scanner. El Scanner es el componente encargado de realizar el procesamiento y filtrado de la totalidad de correo que pasa a travs de l. En una instalacin dentro de una empresa puede haber ms de un Scanner instalado. Control Center. El Control Center es una consola de administracin basada en Web, esta consola es utilizada para la configuracin y administracin del filtrado de correo, configuraciones del sistema de filtrado, reportera, y otras funcionalidades. A diferencia del componente Scanner, en una instalacin nicamente puede haber instalado un Control Center desde el cual se monitorearn y configurarn la totalidad de los Scanners instalados. El Control Center provee un status general de todo el sistema de filtrado del Symantec Brightmail Gateway, permite la visualizacin de los logs y permite la generacin de reportes personalizados. Otra funcin del Control Center es la de almacenar la cuarentena de Spam y la cuarentena de los correos sospechosos de Virus, en donde se almacenan los correos de Spam y los correos con archivos infectados respectivamente. De acuerdo a los requerimientos y necesidades del cliente, el Control Center y el Scanner pueden ser instalados en un mismo Appliance o en Appliances diferentes.

4
CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520

Instalacin de SMS For SMTP

___________________________________ ___________________________________

INSTALACIN DE LA SOLUCIN

___________________________________ ___________________________________ ___________________________________ ___________________________________ ___________________________________

___________________________________ ___________________________________
Configuracin de Password Usuario: Password: admin symantec

___________________________________ ___________________________________ ___________________________________

Configuracin de FQDN Direccin IP Mscara de Red

___________________________________ ___________________________________

___________________________________ ___________________________________
Configuracin de segunda Direccin IP (Opcional). Mscara de Red.

___________________________________ ___________________________________ ___________________________________

Configuracin de Ruta Esttica (opcional) Default Gateway.

___________________________________ ___________________________________

5
CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520

___________________________________ ___________________________________
Configuracin de DNS s de la herramienta, se pueden dar de alta hasta 3.

___________________________________ ___________________________________ ___________________________________ ___________________________________

Especificacin del Rol del Appliance.

___________________________________

___________________________________ ___________________________________ ___________________________________ ___________________________________

Revisin de parmetros de configuracin.

___________________________________ ___________________________________ ___________________________________

___________________________________ ___________________________________ ___________________________________ ___________________________________

Reinicio de Appliance

___________________________________ ___________________________________ ___________________________________

6
CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520

___________________________________ ___________________________________

CONFIGURACIN INICIAL

___________________________________ ___________________________________ ___________________________________ ___________________________________ ___________________________________

___________________________________ ___________________________________
Inicio de sesin va Web https://host:41443

___________________________________ ___________________________________ ___________________________________ ___________________________________

Aceptamos el acuerdo de licencia para comenzar con la configuracin inicial.

___________________________________

___________________________________ ___________________________________
Al acceder por primera vez a la consola de administracin se debern de instalar las licencias de activacin del producto.

___________________________________ ___________________________________ ___________________________________ ___________________________________ ___________________________________

7
CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520

___________________________________ ___________________________________
No se recomienda realizar en este punto la actualizacin de versiones en caso de aplicar.

___________________________________ ___________________________________ ___________________________________ ___________________________________

Configuramos una direccin de correo a la cual llegarn las notificaciones de la herramienta.

___________________________________

___________________________________ ___________________________________
Configuracin de hora en el equipo.

___________________________________ ___________________________________ ___________________________________ ___________________________________

Configuracin de idioma y codificacin

___________________________________

___________________________________ ___________________________________
Determinamos si la herramienta filtrar correo entrante, saliente o ambos.

___________________________________ ___________________________________ ___________________________________ ___________________________________

Especificamos la direccin y puerto que tendr la herramienta para el filtrado de entrada.

___________________________________

8
CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520

___________________________________ ___________________________________
Configuramos que la herramienta reciba conexiones provenientes de cualquier direccin IP (recomendado).

___________________________________ ___________________________________ ___________________________________ ___________________________________

Agregamos los dominios para los cuales se realizar el filtrado, y la direccin a donde ser entregado el correo una vez filtrado.

___________________________________

___________________________________ ___________________________________
Especificamos la direccin y puerto que tendr la herramienta para el filtrado de salida.

___________________________________ ___________________________________ ___________________________________ ___________________________________

Determinamos de qu direcciones aceptar conexiones la IP de salida.

___________________________________

___________________________________ ___________________________________
Determinamos la direccin a la que sern entregados los correos una vez filtrado.

___________________________________ ___________________________________ ___________________________________ ___________________________________

Configuracin del Relay de la herramienta (Default recomendado).

___________________________________

9
CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520

___________________________________ ___________________________________ ___________________________________ ___________________________________

Revisamos los parmetros de configuracin, y con esto se finaliza la configuracin inicial.

___________________________________ ___________________________________ ___________________________________

10
CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520

Polticas de Filtrado de Contenido

Una poltica de Filtrado de Contenido est conformada los siguientes elementos: Nombre de Poltica. Con este nombre aparecer listada nuestra poltica de filtrado de contenido, por lo que se recomienda que sea lo ms descriptiva posible. Direccin en la que la Poltica aplicar. En esta parte determinaremos si la poltica para el correo entrante, para el correo saliente, o tanto para el correo entrante como para el correo saliente. Grupo de clientes al que aplica la Poltica. Una poltica de filtrado de contenido puede ser aplicada a un solo usuario, a un grupo de usuarios o a todo un dominio. El grupo Default comprende la totalidad de usuarios del o de los dominios filtrados en la herramienta, este grupo no puede ser eliminado. Condiciones que deber cumplir el correo. En este apartado se configurarn las condiciones y/o caractersticas que deber de cumplir un correo para que sea susceptible a la poltica de filtrado. Acciones que tomar la herramienta. En este paso se deber de seleccionar la accin que realizar la herramienta de filtrado en caso de que algn correo cumpla con las condiciones establecidas, algunas de las acciones a configurar son: eliminar el correo, enviar el correo a la cuarentena, notificar al administrador, agregar una nota en el correo, etc.

11
CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520

Direccin de la Poltica La direccin de la poltica se refiere al sentido en que la poltica entrar en vigor. Generalmente se configuran polticas de entrada para realizar filtrado de correos por tipo de archivo, por peso del correo, por origen del correo etc. En cambio las polticas de filtrado de salida se configuran para evitar la prdida de informacin sensitiva de la empresa.

Condiciones de la Poltica
Las condiciones de una poltica de filtrado sern las caractersticas con las que deber cumplir un correo para que pueda ser sujeto de aplicar la poltica de filtrado. La herramienta Symantec Brightmail Gateway ofrece una gran variedad de condiciones a configurar, entre ellas se encuentra el tamao del archivo adjunto, contenido en alguna parte del correo, incluso dentro del archivo adjunto, asunto del correo, etc.

12
CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520

Acciones Configurables
Una vez determinadas las condiciones que deber de cumplir un correo, se deber determinar la accin que tomar la herramienta, entre las acciones configurables se encuentran: eliminar el correo, enviar el correo a cuarentena, enviar una notificacin, etc. Lo cual permite un filtrado ms granular y flexible en el correo entrante y correo saliente (en caso que aplique).

Recursos para las Polticas

Los recursos de las polticas no son ms que herramientas de ayuda , para la configuracin de polticas de filtrado de contenido en la parte de condiciones; a continuacin se listan estas opciones y se describen de forma breve. Annotations. Las anotaciones son fragmentos de texto que se anexan al inicio o al final de los correos que han coincidido con alguna de las condiciones configuradas en la poltica de filtrado de contenido, tienen la funcionalidad de informar al usuario que ha violado alguna poltica interna.

13
CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520

Attachment Lists. Las listas de adjuntos, como su nombre lo dicen son listas en las que se darn de alta las extensiones de los archivos que estarn bloqueados o permitidos en las polticas de filtrado de contenido, adems se pueden realizar listas de adjuntos por Trae File Type , lo cual permite que aunque se cambie la extensin de un archivo bloqueado, la herramienta es capaz de determinar por los encabezados el tipo de archivo.

Dictionaries. Los diccionarios nos permiten dar de alta palabras para que cuando la palabra o frase configuradas sea detectada en alguna parte del correo (asunto del correo, cuerpo del mensaje), o incluso en algn archivo adjunto, se ejecute la accin configurada en la poltica.

14
CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520

Notifications. Finalmente las notificaciones como su nombre lo dice permiten enviar una notificacin va correo electrnico al administrador de la herramienta, al autor del correo y/o al destinatario, para informar que su correo viol alguna poltica de filtrado de contenido.

Patterns. Son expresiones regulares las cuales pueden ser usadas en la configuracin de polticas de filtrado de contenido, se puede hacer uso de 3 tipos de patrones: Basic, Premium y Custom o Basic. Patrones predefinidos, incluidos con el licenciamiento bsico, no editables. o Premium. Patrones predefinidos en el mdulo de Premium Content Control (PCC). Realizan validacin adicional a las expresiones regulares para reducir los falsos positivos. No pueden ser eliminados o editados. o Custom. Patrones creados por el administrador de Symantec Brightmail Gateway.

15
CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520

Records. Utilizados en la creacin de polticas de filtrado de contenido de Informacin Estructurada (Structured Data). Utiliza la tecnologa de deteccin llamada Structured Data Detection.

16
CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520

Mejores Prcticas
A continuacin se listan una serie de recomendaciones y mejores prcticas para el ptimo desempeo de la herramienta Symantec Brightmail Gateway. Realizar de forma peridica la revisin de las colas de entrega. El servidor deber de tener salida a los siguientes servicios: http, https, FTP y SMTP. No habilitar la parte de Directory Harvest Attack al menos que la herramienta se tenga sincronizada con un servidor LDAP. Se recomienda que el nombre del Host MTA tenga el mismo nombre que el registro MX del dominio que se estar filtrando. Realizar el cambio en las polticas de Spam y Suspect Spam para que las acciones a tomar sean eliminar y enviar a la cuarentena respectivamente, ya que por default nicamente se modifica el Asunto del correo y son entregados de forma normal al usuario final.

17
CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520

Ejercicios Prcticos

Creacin de un Diccionario Personalizado

Objetivo: Mostrar al estudiante la forma de configurar un diccionario personalizado en la herramienta, para posteriormente utilizarlo en una Poltica de Filtrado de Contenido. 1. En la consola de administracin ir a la siguiente ruta: Compliance > Dictionaries. 2. Una vez en el men de Dictionaries, dar click en el botn de Add para crear nuestro diccionario personalizado. 3. En la pantalla desplegada configuraremos el nombre de nuestro diccionario PRUEBA y agregaremos la palabra Viagra para posteriormente realizar una poltica de filtrado con este diccionario.

4. Guardamos nuestro diccionario personalizado y nos aparecer listado en la pantalla de Dictionaries.

18
CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520

Poltica de Filtrado de Contenido por diccionarios

Objetivo: Configurar y probar el filtrado por un diccionario personalizado. 1. En la consola de Symantec Brightmail Gateway vamos a la siguiente ruta: Compliance > Email. 2. En la ventana de polticas de filtrado de contenido, damos click en el botn de Add para crear una poltica nueva. 3. En la pantalla mostrada a continuacin seleccionamos la opcin de Blank para generar una poltica en blanco.

4. Click en Select para pasar al siguiente Men. 5. Una vez ubicados en la pantalla de la nueva poltica configuraremos los siguientes parmetros:

Policy Name: POLTICA DE DICCIONARIOS. Apply to: Inbound and Outbound Messages. Wich of the following conditions must be met: Any Click en Add para configurar la condicin.

19
CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520

En la pantalla desplegada a continuacin seleccionaremos la opcin de Text in the Subject, Body or Attachments: En el combo buscaremos el diccionario creado en el paso anterior. Click en Add Condition.

Una vez configurada la condicin, se definir la accin que tomar la herramienta.

20
CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520

Actions: Delete the Message.

Apply to the Following Policy Groups: Default.

4. Guardar los cambios.

21
CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520

Bsqueda de Correos en la Herramienta

Objetivo: Determinar la disposicin de un correo dentro de la herramienta y localizacin del mismo 1. En la pestaa de Status seleccionamos la opcin de Message audit. Logs. 2. En los filtros configuraremos los siguientes parmetros para generar el reporte: Host: All Scanners. Mandatory Filter: Recipient. Mandatory Filter Value: usuario@midominio.com Time Range: Past Hour.

3. Damos click en Display Filtered para generar el reporte requerido y determinar la disposicin del correo.

4. Con la informacin obtenida podemos determinar el paradero de los correos procesados por la herramienta Symantec Brightmail Security.

22
CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520

Generando Reportes Ejecutivos

Objetivo: Demostrar al usuario la forma de generar reportes varios dentro de la herramienta para corroborar la efectividad de la herramienta. 1. En la pestaa de Reports configuraremos los siguientes parmetros para nuestro reporte: Report Type: Email Messages Direction: Inbound Time Range: Past 24 hours Group by: Hour Display: Graph y Table

2. Click en Run para generar un reporte de todo el correo procesado en el ltimo da.

3. Revisar el reporte generado por la herramienta.

23
CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520

Apndice
MODELOS DE APPLIANCE 8340 ORGANIZACION INSTALACIN TIPICA TAMAO FUENTE DE PODER CPU DISCO DURO / RAID NIC SMB (Arriba De 1000 usuarios) Control Center /Scanner 1 Unidad de Rack Sencilla Procesador Sencillo 2 x 80GB Serial ATA RAID 1 2 Puertos Ethernet

8360 ORGANIZACION INSTALACIN TIPICA TAMAO FUENTE DE PODER CPU DISCO DURO / RAID NIC Enterprise / Large Enterprise Scanner Dedicado o Control Center Dedicado 1 Unidad de Rack Redundante, hot-plug, autoswitching, UPS Procesadores Dual Multi-Core 2 x 146GB Serial Attach SCSI (hotswappable) RAID 1 2 Puertos Ethernet

8380 ORGANIZACION INSTALACIN TIPICA TAMAO FUENTE DE PODER CPU DISCO DURO / RAID NIC Enterprise / Large Enterprise Control Center Dedicado 2 Unidades de Rack Redundante, hot-plug, autoswitching, UPS Procesadores Dual Multi-Core 6x300GB Serial Attach SCSI (hotswappable) RAID 10 3 Puertos Ethernet

24
CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520

Material de Referencia
Mejores prcticas para el control del Spam http://service1.symantec.com/support/entgate.nsf/854fa02b4f5013678825731a007d06af/4f9a58bddb664cc88025749d003d7d0a?OpenDo cument Mejores prcticas cuando se tiene una amenaza mass-mailer http://service1.symantec.com/support/entgate.nsf/854fa02b4f5013678825731a007d06af/3f562791ef08204c882575d800632e6e?OpenDo cument Mejores Prcticas para la configuracin del Control Center y del Control Center SMTP host http://service1.symantec.com/support/entgate.nsf/854fa02b4f5013678825731a007d06af/b8441b89388bae228825734c00828ed3?OpenD ocument Mejores Prcticas para mejorar el rendimiento de la herramienta http://service1.symantec.com/support/entgate.nsf/854fa02b4f5013678825731a007d06af/0807afc69e27c5bd802574880041b717?OpenDo cument Mejores Prcticas al integrar Microsoft Active Directory como servidor de LDAP http://service1.symantec.com/support/entgate.nsf/854fa02b4f5013678825731a007d06af/71c87a72a47fc4968825734c00828f41?OpenDoc ument Mejores Prcticas en la configuracin de Passwords http://seer.entsupport.symantec.com/docs/322154.htm Envo manual de correo Spam y Falsos positivos a Symantec Security Response Center http://service1.symantec.com/support/entgate.nsf/854fa02b4f5013678825731a007d06af/72007e542947aa388825734c00828c35?OpenD ocument Bloqueo de correos provenientes de su mismo dominio (spoofing) http://service1.symantec.com/support/entgate.nsf/854fa02b4f5013678825731a007d06af/742035c3ff90c70e802575040051de75?OpenDoc ument Actualizaciones de Software de Language Pack http://service1.symantec.com/support/entgate.nsf/854fa02b4f5013678825731a007d06af/efe2c24008565e8588257582007e36b6?OpenDo cument Troubleshooting de Message Queue http://seer.entsupport.symantec.com/docs/320064.htm Cmo agregar espacio en disco a un Appliance Virtual http://service1.symantec.com/support/entgate.nsf/854fa02b4f5013678825731a007d06af/b734dcf61f0392b6802575e80044036c?OpenDoc ument Configurando Sender Authentication http://seer.entsupport.symantec.com/docs/322079.htm

25
CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520

Notas para la actualizacin a la versin 8.0.2 http://service1.symantec.com/support/entgate.nsf/854fa02b4f5013678825731a007d06af/5bf9769d7b3f56a9882575b60080754f?OpenDoc ument Plantillas de Polticas de Filtrado de Contenido http://seer.entsupport.symantec.com/docs/321845.htm

26
CONFIDENCIAL

Esparza Oteo 37 Guadalupe INN Mxico D. F. 2282 4150 FAX 5089 0520