PolticadetrficoSMTPenlaComunidadAcadmicaRedIRIS

Fecha:07Mayo2006 Autor:JessSanzdelasHeras(RedIRIS)

Introduccin
EltrficoSMTPgestionadoporlosservidoresdecorreoesextremadamentealto,un%muyaltodelmismo(6070%) estrficonotil,trficooscuro.EstetrficoesocasionadoporconexionesprocedentesdeIPscomprometidascon algntipodemalwareconcapacidaddemotorSMTPpropio,queseempleanparadifundirspam,virus,ataquesde diccionario (Directory Harvest Attaks) , denegacin de Servicio (DoS), mensajes a destinatarios no existentes. La mayorpartedelassolucionesdeseguridadenelcorreoelectrniconotienenencuentaestetrficoindeseado a travsdelpuerto25queesaceptado,analizadoyrechazadoconelconsiguienteusoderecursosnecesarios. Cuandounadireccindecorreoelectrnicohasidocapturadaeincluidaenlabasededatosdelosspammers/hackers es completamente imposible eliminarla de dichos crculos, por lo que direcciones y buzones de carcter acadmico/cientficoestliteralmenteenpeligro. Hastaahorahasidomassencillodefinirel spamdetectado (contenidodelmensaje)sinprestaratencinal spam rechazado (sobredelmensaje) msalldelasclsicaslistasnegrasvaDNS,perohaymas.Laideaesdefinirlos lmitesentreelspamrechazadodelspamdetectadoyesacercadelprimeroadondesedirigeestedocumento
1

Objetivo
Elactual problema de seguridad en elcorreo electrnico eslo suficientemente grave como para tomarmedidas comunes y consensuadas por parte de una Comunidad homognea como es la comunidad acadmica espaola (RedIRIS). EndefinitivaelobjetivoesdefinirunconjuntoderecomendacionesparatodalaComunidadRedIRISconelobjetode consensuarlagestindeltrficoSMTPentrante.EstasrecomendacionesenbloqueformanunaPolticadetrfico SMTPenlaComunidadAcadmicaRedIRISquepermitir:

DisponerdeunapolticacomnenRedIRIS Serlabaseparaconstruiruncorreoelectrnicomasseguroenlacomunidadcientfica Estarpreparadosparalosnuevosprotocolosqueestnporllegar(SPF,DKIM,CSV,SenderIDetc.) LasmedidasadoptadaspuedantenermaspesoenlaRedycontribuirenmejorarelcorreoglobal.

LasrecomendacionesdeestaPolticaestnbasadasenelrespeto alos actualesestndares (RFCs)ascomo recomendaciones internacionales de Buenas prcticas para operadores de red. Estas recomendaciones son independientesdeproductosyconfiguracionesdesoftwareyhardware.Esperamosqueeldesplieguedeestapoltica tengaimpactodirectoenunareduccindelosrecursosdelosservidores,enlosbuzonesdelosusuariosy enla propiasatisfaccindelservicio.

Lasrecomendacionesserncomplementariasacualquierconfiguracindeseguridadenlasplataformasdecorreo electrnicoenlasinstitucionesRedIRIS Para unificar esta poltica se especifican cdigos de respuesta del protocolo SMTP especificados en: RFC2821 y RFC1123yparaloscdigosdelosmotivoselRFC1893yRFC2034,pudiendoopcionalmente aadirunurlaesta polticageneral

DatosdetrficooscurodelaUniversidadJaumeIhttp://www.infospam.uji.es/?q=node/11

Estapolticaestapensadacomo pautas y recomendaciones aseguirporlasServiciosdeCorreoElectrnicode instituciones de la comunidad acadmica espaola. Cualquier duda para su implantacin puede ser planteada a RedIRISoatravsdelGrupodeCoordinacinIRISMAIL.

Recomendaciones
UnatransaccinSMTPsegnelestndarRFC821tienevariasetapas:Conexin(CONNECT),Presentacin(HELO), Emisor(MAILFROM),Receptor(RCPTO:)yContenidos(DATA).Estasrecomendacionesvanenfocadasacontroles enelSobredelastransaccionesSMTPnoalosContenidos.LoscontrolesSMTPenelSobretienencomoobjetivo verificarlavalidezdeladireccindelservidordecorreoremotoquesolicitaestablecerlatransaccinSMTP.

Conexin(CONNECT)

1.

RechazarelestablecimientodeconexinSMTPdesdeIPsydominiosincluidasen:

ListasdebloqueointernacionalcomoSpamhaus

Cdigo:554.1Accessblockedusingsblxbl.spamhaus.org.SMTP.PolicyofRedIRISinhttp://www.rediris.es ListasdeIPsasociadasaconexionesresidencialesdetipoADSL/cabledinmicaqueno

sonservidoresdecorreoautorizado Cdigo:554.SMTPPolicyofRedIRISdoesn'taccepttrafficgenericcable/dslhostnames.PolicyofRedIRISin http://www.rediris.es

2.

Listasdebloqueolocales:IP,dominioinverso

Cdigo:554.5.7.1Relayingdenied.IP/domainisbanned Rechazar el establecimiento de conexin SMTP desde IPs que no dispongan de resolucin

inversa. Cdigo:554.NoreverseDNSconfigurationforIP.PolicyofRedIRISinhttp://www.rediris.es

Presentacin(HELO)

talcomoseespecificaenelapartado4.1.1.1deRFC2821 Cdigo:554.5.7.1Helocommandrejected:Hostnotfound.PolicyofRedIRISinhttp://www.rediris.es Emisor(MAILFROM) 4. InterrumpirlatransaccionesSMTPcuyovalorMAILFROM:seaundominionoexistente Cdigo:554.Accessdenied.Domainofsenderaddressdoesnotresolve.PolicyofRedIRISinhttp://www.rediris.es

3.

RechazarelestablecimientodeconexinSMTPcuyovalorHELO/EHLOseanuloosincanonificar

Cdigo:554.Accessdenied.Domainofsenderaddressitsalocaldomain.PolicyofRedIRISinhttp://www.rediris.es

5. 6.

InterrumpirlatransaccionesSMTPcuyovalorMAILFROM:seaundominiolocal

ChequearlaresponsabilidaddelservidorremotoconSPF,DKIM,SenderIDparacomprobarqueel correoprocededelservidoroficialresponsabledeldominio.

Receptor(RCPTTO)

7.

Rechazarlaconexinsieldominiodestinatarionoesdenuestraresponsabilidad.

Cdigo:554.Relayaccessdenied 8. Rechazarlaconexinsielladireccindestinatarianoestpermitida Cdigo:554.Accessdenied Otros(flujos) 9. Sistema de control de flujos SMTPque permitacontrolar un nmero inusualmente elevado de conexionesSMTPcomparandoIP,From,To

Contenidos(DATA)

10. Analizarelcontenidodelcorreoenbuscadel spamy malware.Estecontroleselqueseaplica

despusdehabersidoanalizadalatransaccinSMTP(Sobre)yesdependientedelapolticade contenidosdecadainstitucin. 11. Definiruntamaosmximodemensajesuperiora50M.Estopermitirelintercambiodeficheros ligerosentreinstitucionesdelaComunidadRedIRIS.