El envío masivo de spam, virus, phishing y otras amenazas de email, es una de las problemáticas más engorrosas en la administración de servidores de correo. Esta es una de las razones por las que se han unidos esfuerzo a nivel mundial para desarrollar sofisticados filtros basados en contenido, capaces de identificar y marcar los mensajes con el fin señalar el nivel de riesgo de cada variedad de amenaza.

Mientras estas técnicas continúan incorporando mejoras, como la introducción del filtrado bayesiano, su eficacia siempre se verá comprometida por la acción de los “spammers”, los cuales, continuamente modificarán sus contenidos para poder saltarse la barrera de filtrado.

Algunos remitentes de información comercial no solicitada por email han llevado más allá el proceso de esquivar el filtrado de contenidos. Para ello se sirven de las herramientas de escaneo de mensajes, disponibles mediante populares paquetes anti-spam, antes de enviarlos, de tal manera que pueden modificar el contenido y garantizar así que el mensaje llega a su destino.

Una defensa en profundidad

La efectividad de los filtros basados en el contenido puede incrementarse cuando se combinan con sistemas de control del flujo email basado en la reputación. Este tipo de sistemas suponen la siguiente generación de herramientas antispam basadas en la identidad, la evolución más inteligente al ya obsoleto formato de las listas blancas y negras, cuyas decisiones son tomadas con base a la información sobre la fuente del mensaje.

A diferencia de las listas negras (listas de sospechosos de servidores “malos”), y listas blancas (listas de servidores “buenos”), los filtros de reputación dependen de datos objetivos para calcular la probabilidad de que un mensaje, que proviene de una determinada dirección IP, es spam. Esto se basa en datos como la cantidad de mensajes que provienen de ese servidor, de cuántas quejas dispone, dónde se ubica la organización productora del mensaje, cuánto tiempo lleva enviando emails la organización, y otros factores múltiples.

La utilización de un filtro de reputación en combinación con el filtrado de contenidos supone un incremento de beneficios para una organización:

+ Incremento del ratio de capturas (bloqueando más spam).

+ Reducción de falsos positivos, legitimando mensajes identificados de forma incorrecta como spam.

+ Reducción de costos de hardware e incremento del rendimiento de mensajes.

+ Reducción del riesgo ante ataques de denegación de servicio o el directorio de ataques.

Elementos clave de un sistema basado en reputación

Cuando se despliegan sistemas de control de flujo de mail basado en la reputación, hay diversas cuestiones que las organizaciones deberían tener en cuenta:

+ Capacidad de evasión; La reputación del remitente debería basarse en las últimas direcciones IP del productor del email.

+ Amplitud. La mayoría de datos que se mantienen datan sobre el origen del email, de forma que las decisiones se toman sobre un mensaje de esa fuente.

+ Fiabilidad. Un filtro basado en reputación proporciona un acceso rápido y fiable a los datos de red.

+ Variabilidad. La gran riqueza de los datos basados en la valoración de la reputación, deberían permitir una respuesta gradual al spam. Así el origen más sospechoso tendría como consecuencia un acceso mucho más restrictivo.

Los filtros de reputación se han desarrollado en su gran mayoría sobre la base de SenderBase, el sistema de monitorización web e email más amplio de red. Los filtros de reputación proporcionan una identificación unitaria, basada en patrones de ratios de suministro ilimitados y la posibilidad de envío de archivos adjuntos sin límite de tamaño, evitando el escaneo de contenidos que limita los ratios de suministro al no permitir adjuntos o el rechazo completo de las conexiones con el remitente.

Una red mundial de sensores

Uno de los puntos más importantes de la recolección de datos en cualquier envío de una dirección IP, es el volumen global de mails enviados. Los spammer son auténticos maestros en hacer que el email tenga la apariencia de correo legítimo, pero el parámetro relacionado con el volumen no puede enmascararse. Es bastante difícil para cualquier administrador de correo, medir el volumen de spam diseminado a través de millones de dominios. En cualquier caso, con una red de más de 100.000 ISPs, universidades y corporaciones, SenderBase proporciona una visión global de los mails que han sido enviados desde cualquier dirección IP.

SenderBase rastrea 5 millones de mensajes por día, contabilizando cerca del 25% de todos los correos a nivel mundial. Esta visión global permite bloquear e identificar una gran variedad de fuentes productoras de spam.

¿Necesita un servidor de correo electrónico seguro y confiable? Conozca aquí cómo podemos ayudarle

Fuente: Aslan.es