Fecha:07Mayo2006 Autor:JessSanzdelasHeras(RedIRIS)
Introduccin
EltrficoSMTPgestionadoporlosservidoresdecorreoesextremadamentealto,un%muyaltodelmismo(6070%) estrficonotil,trficooscuro.EstetrficoesocasionadoporconexionesprocedentesdeIPscomprometidascon algntipodemalwareconcapacidaddemotorSMTPpropio,queseempleanparadifundirspam,virus,ataquesde diccionario (Directory Harvest Attaks) , denegacin de Servicio (DoS), mensajes a destinatarios no existentes. La mayorpartedelassolucionesdeseguridadenelcorreoelectrniconotienenencuentaestetrficoindeseado a travsdelpuerto25queesaceptado,analizadoyrechazadoconelconsiguienteusoderecursosnecesarios. Cuandounadireccindecorreoelectrnicohasidocapturadaeincluidaenlabasededatosdelosspammers/hackers es completamente imposible eliminarla de dichos crculos, por lo que direcciones y buzones de carcter acadmico/cientficoestliteralmenteenpeligro. Hastaahorahasidomassencillodefinirel spamdetectado (contenidodelmensaje)sinprestaratencinal spam rechazado (sobredelmensaje) msalldelasclsicaslistasnegrasvaDNS,perohaymas.Laideaesdefinirlos lmitesentreelspamrechazadodelspamdetectadoyesacercadelprimeroadondesedirigeestedocumento
1
Objetivo
Elactual problema de seguridad en elcorreo electrnico eslo suficientemente grave como para tomarmedidas comunes y consensuadas por parte de una Comunidad homognea como es la comunidad acadmica espaola (RedIRIS). EndefinitivaelobjetivoesdefinirunconjuntoderecomendacionesparatodalaComunidadRedIRISconelobjetode consensuarlagestindeltrficoSMTPentrante.EstasrecomendacionesenbloqueformanunaPolticadetrfico SMTPenlaComunidadAcadmicaRedIRISquepermitir:
LasrecomendacionesdeestaPolticaestnbasadasenelrespeto alos actualesestndares (RFCs)ascomo recomendaciones internacionales de Buenas prcticas para operadores de red. Estas recomendaciones son independientesdeproductosyconfiguracionesdesoftwareyhardware.Esperamosqueeldesplieguedeestapoltica tengaimpactodirectoenunareduccindelosrecursosdelosservidores,enlosbuzonesdelosusuariosy enla propiasatisfaccindelservicio.
Lasrecomendacionesserncomplementariasacualquierconfiguracindeseguridadenlasplataformasdecorreo electrnicoenlasinstitucionesRedIRIS Para unificar esta poltica se especifican cdigos de respuesta del protocolo SMTP especificados en: RFC2821 y RFC1123yparaloscdigosdelosmotivoselRFC1893yRFC2034,pudiendoopcionalmente aadirunurlaesta polticageneral
DatosdetrficooscurodelaUniversidadJaumeIhttp://www.infospam.uji.es/?q=node/11
Estapolticaestapensadacomo pautas y recomendaciones aseguirporlasServiciosdeCorreoElectrnicode instituciones de la comunidad acadmica espaola. Cualquier duda para su implantacin puede ser planteada a RedIRISoatravsdelGrupodeCoordinacinIRISMAIL.
Recomendaciones
UnatransaccinSMTPsegnelestndarRFC821tienevariasetapas:Conexin(CONNECT),Presentacin(HELO), Emisor(MAILFROM),Receptor(RCPTO:)yContenidos(DATA).Estasrecomendacionesvanenfocadasacontroles enelSobredelastransaccionesSMTPnoalosContenidos.LoscontrolesSMTPenelSobretienencomoobjetivo verificarlavalidezdeladireccindelservidordecorreoremotoquesolicitaestablecerlatransaccinSMTP.
Conexin(CONNECT)
1.
RechazarelestablecimientodeconexinSMTPdesdeIPsydominiosincluidasen:
ListasdebloqueointernacionalcomoSpamhaus
Cdigo:554.1Accessblockedusingsblxbl.spamhaus.org.SMTP.PolicyofRedIRISinhttp://www.rediris.es ListasdeIPsasociadasaconexionesresidencialesdetipoADSL/cabledinmicaqueno
2.
Listasdebloqueolocales:IP,dominioinverso
Cdigo:554.5.7.1Relayingdenied.IP/domainisbanned Rechazar el establecimiento de conexin SMTP desde IPs que no dispongan de resolucin
inversa. Cdigo:554.NoreverseDNSconfigurationforIP.PolicyofRedIRISinhttp://www.rediris.es
Presentacin(HELO)
3.
RechazarelestablecimientodeconexinSMTPcuyovalorHELO/EHLOseanuloosincanonificar
Cdigo:554.Accessdenied.Domainofsenderaddressitsalocaldomain.PolicyofRedIRISinhttp://www.rediris.es
5. 6.
InterrumpirlatransaccionesSMTPcuyovalorMAILFROM:seaundominiolocal
ChequearlaresponsabilidaddelservidorremotoconSPF,DKIM,SenderIDparacomprobarqueel correoprocededelservidoroficialresponsabledeldominio.
Receptor(RCPTTO)
7.
Rechazarlaconexinsieldominiodestinatarionoesdenuestraresponsabilidad.
Cdigo:554.Relayaccessdenied 8. Rechazarlaconexinsielladireccindestinatarianoestpermitida Cdigo:554.Accessdenied Otros(flujos) 9. Sistema de control de flujos SMTPque permitacontrolar un nmero inusualmente elevado de conexionesSMTPcomparandoIP,From,To
Contenidos(DATA)