Ir al contenido

Inicio
ETSIINF en Twitter ETSIINF en Facebook
Inicio > Servicios > Correo electrónico > Antivirus y Antispam

Control antivirus y antispam

  1. Objetivos
  2. Abuso en el correo electrónico
    1. introducción
    2. tipos de abuso
    3. problemas ocasionadas
    4. políticas implantadas
  3. Cómo poder utilizar los servicios
  4. Descripción del servicio
    1. herramientas utilizadas
    2. filtro antivirus
    3. filtro antispam
  5. Perfiles personales de usuario
  6. Comunicación de falsos positivos o negativos
  7. Logs y estadísticas sobre el correo electrónico analizado

Objetivos

Abuso en el correo electrónico

Con el análisis del correo realizado por efiltro pueden evitarse dos de las principables actividades de abuso que utilizan el correo electrónico como medio de expansión: los virus y el spam.
Desde las páginas de Rediris se pretende concienciar a la comunidad universitaria sobre los problemas que suponen estas actividades abusivas.

Introducción

Definimos ACE (Abuso en Correo Electrónico) como las diversas actividades que trascienden los objetivos habituales del servicio de correo y perjudican directa o indirectamente a los usuarios. Algunos de los términos habitualmente asociados en Internet a estos tipos de abuso son spamming, mail bombing, unsolicited bulk email (UBE), unsolicited commercial email (UCE), junk mail, etc., abarcando un amplio abanico de formas de difusión.
De los tipos de abuso englobados en ACE, el que más destaca es el conocido como spam que es un término aplicado a mensajes distribuidos a una gran cantidad de destinatarios de forma indiscriminada. En la mayoría de los casos el emisor de estos mensajes es desconocido y generalmente es imposible responderlo (reply) de la forma habitual o incluso llegar a identificar una dirección de retorno correcta.

Tipos de abuso

Las actividades catalogadas como ACE se pueden clasificar en cuatro grandes grupos:

Problemas ocasionados

Políticas implantadas

Los ficheros ejecutables que llegan a través del correo electrónico a los equipos de los usuarios, representan un gran riesgo para la integridad de la información almacenada en ellos, máxime teniendo en cuenta que, actualmente, la mayoría de virus falsean la dirección del remitente, recolectándolas de la libreta de direcciones del equipo infectado, y por tanto puede llegar un mensaje infectado de alguna fuente aparentemente de confianza.
Por ello, todo mensaje que se detecte infectado se rechazará, enviándose una notificación al destinatario cuando éste pertenezca a algún dominio de la Facultad (destinatario local). No se enviará aviso al remitente, habida cuenta de lo comentado anteriormente.
En cuanto a la recepción de ficheros ejecutables (extensiones .exe, .vbs, .pif, .scr, .bat y .com) no infectados, la política aplicada por defecto es similar, aunque en este caso, el remitente sí que recibirá notificación del rechazo llevado a cabo. Aquí el usuario, si lo estima conveniente, puede elegir establecer un perfil personal para adjuntos prohibidos con una acción diferente.

La decisión a tomar ante correo identificado como spam no es tan clara. A pesar de los inconvenientes comentados, pueden existir usuarios que sí deseen recibir esos mensajes, y en caso de aplicar una política de descarte, existe un pequeño riesgo de perder mensajes legítimos.
Por lo cual, aquel mensaje que se identifique como spam será marcado y entregado a su destinatario. El usuario, con el spam identificado, puede establecer una regla en su cliente de correo para actuar sobre esos mensajes.
Habrá de ser el usuario, en base a contrastar la eficiencia del filtro antispam, el que defina un perfil personal de descarte para evitar que el spam le llegue a su máquina. Ninguna notificación se generará en este caso.

Cómo utilizar estos servicios

Los administradores de dominios de correo bajo la jerarquía .fi.upm.es, pueden solicitar al Centro de Cálculo, mediante un mensaje a filtro.correofi.upm.es, que el correo por ellos gestionados sea analizado, previamente a su entrega, para detectar posibles virus y spam entre los mensajes de los usuarios de sus respectivos dominios.
Los administradores pueden decidir si se aplicará a todos sus usuarios la misma política o si éstos podrán definir perfiles personales sobre los filtros que se les aplicarán.

Descripción del servicio

Herramientas utilizadas

Se ha utilizado software de libre distribución para el montar el servicio de filtros de correo, como son: Gnu Linux, Postfix, Amavisd-new, SpamAssassin, DSPAM, Razor, DCC, MySQL y Clam Antivirus.

Postfix

Amavisd-new

SpamAssassin

Clam Antivirus

Filtro antivirus

El análisis para detectar adjuntos con virus siempre se realiza. En caso de dar positivo se llevan a cabo las siguientes actuaciones:

Por defecto, el filtro sobre adjuntos de extensión prohibida sigue una política similar. Se puede cambiar por el usuario mediante la definición de un perfil personal para adjuntos prohibidos.
Acciones a llevar a cabo ante la existencia de adjuntos prohibidos (extensiones .exe, .vbs, .pif, .scr, .bat y .com):

Filtro antispam.

Por defecto, se sigue una política de análisis y marca del correo. El usuario, a través de un perfil personal antispam, puede definir una política más agresiva.
Acciones a realizar ante el análisis positivo de spam:

Perfiles personales de usuario

El usuario puede cambiar determinados aspectos de la política por defecto aplicada a los mensajes destinados para él. Para ello, el administrador del dominio de correo bajo el que se encuentra la dirección electrónica del usuario, habrá dado su correspondiente permiso.
El mecanismo es el siguiente:

Las peticiones tienen un periodo de activación de un día y no pueden reutilizarse.

Comunicación de falsos positivos o negativos

El filtro antispam realiza, entre otras cosas, un análisis de probabilidad bayesiano del mensaje para ver el grado de similitud con otros previa y ciertamente catalogados como spam o no. Para cada uno de estos mensajes se guarda un elemento en una base de datos de tokens aprendidos.
El comportamiento de este componente necesita ser refinado para que otorgue una probabilidad bastante fiable. Aquel usuario que lo desee puede colaborar enviando mensajes erróneamente identificados (eso sí, es necesario que lleguen incluidos como adjuntos dentro de un nuevo mensaje) a las siguientes direcciones:

Los mensajes se utilizarán para alimentar el proceso de aprendizaje continuo de la base de datos bayesiana y posteriormente serán eliminados.

Logs y estadísticas sobre el correo analizado.

Los logs generados en el servidor efiltro.fi.upm.es durante el proceso de análisis del correo, serán almacenados al menos durante un año.
En ellos quedará registro sobre: direcciones origen y destino de los mensajes, tamaño, tests verificados como positivos y virus encontrados en los mensajes.
Asimismo, por necesidades operativas puntuales del servicio, se podrán activar las notificaciones al administrador, en cuyo caso quedará registro también de las cabeceras de los mensajes.

Estos logs serán utilizados para la generación de las siguientes estadísticas, de libre acceso desde el entorno de la Facultad:

Centro de Cálculo