Verificaciones de mails entrantes

En un primer nivel, el AVAS filtra las IPs segun el Planisys Threat Intelligence, para mitigar ataques DDoS (Distributed Denial of Service), se verifica que el dominio remitente del Return-Path exista y se aplican una serie de controles configurables.

El Return-Path puede diferir del encabezado From:

Actualmente, el dominio del Return-Path debe existir y tener un MX o una direccion IP.

En un segundo nivel, se analiza Spam relativo al encabezado From, que tiene tres destinos posibles segun el nivel de tolerancia a Spam que tengan el AVAS y el usuario: - el Inbox del usuario - la carpeta Spam del usuario - la Cuarentena

Datos basicos

En primer lugar, un AVAS consta de un avas_id que es una palabra de solo caracteres y digitos, para poder formar los nombres de los MXs y relay exclusivos del AVAS.

P.ej. si el avasid es telco, los MXs seran avas-mx-telco-1.planisys.net y avas-mx-telco-2.planisys.net, el relay saliente y proxy de autenticacion sera avas-out-telco-1.planisys.net.

El cliente puede solicitar mas MXs y mas relays , que siempre tendran el mismo esquema de nombres, solo cambiara el numero al final.

Por otra parte, se debera definir el nombre en la posible de la organizacion o emprendimiento o proyecto del AVAS, y un crm_id para poder asociarlo con la identificacion del cliente en un CRM externo.

Cada AVAS consta de un maildrop o destino final de los e-mails entrantes, que puede especificarse tanto con una direcion IP , o un FQDN (Fully Qualified Domain Name). En caso que el FQDN se resuelva a mas de una IP, los MXs entregaran el mail entrante de manera aleatoria a cualquiera de las IPs.

Tambien se debera especificar el tipo de maildrop , que puede ser Corpmail (el producto de Planisys para hostear buzones de mail), Zimbra (producto similar a Corpmail), MS-Exchange , Office365 o G-Suite.

En los casos de Office365 y MS-Exchange se exigen configurar RV (Recipient Verification) para que el maildrop rechace directamente los mails a usuarios inexistentes, en vez de aceptarlos y luego generar un rebote o DSN (Delivery Status Notification), ya que eso puede llegar a saturar el relay saliente con rebotes que tienen remitentes falsos (este fenomeno se conoce como backscattering).

Control de Spambots

Permite bloquear IPs en apariencia dinamicas de proveedores de Cablemodem o ADSL, desde donde por lo general provienen ataques al sospecharse que se trata de PCs residenciales que han sido hackeadas, lo cual constituye un fenomeno muy comun.

Sin embargo, se corre el peligro de bloquear MTAs (Mail Transfer Agents, o sea servidores de mail) mal configurados , cuyas IPs provienen de un proveedor que no le asigna un reverso de DNS correspondiente al nombre del servidor.

En ese caso, dichos servidores no podran entregar el mail en el 1er nivel, con lo cual no se encontraran en la Cuarentena tampoco, y el usuario no se enterara.

Chequeo Estricto de SPF

Al setear este chequeo, se bloquearan todos aquellos mails en los que falle el SPF del remitente (el Return-Path). Estos correos rechazados no apareceran en la Cuarentena.

Es posible especificar dominios como Excepciones de SPF para permitir que ingresen mails de dominios conocidos, aunque esten mal configurados.

El SPF o Sender Policy Framework es un registro DNS para un dominio, que permite definir un conjunto de direcciones IP desde donde provienen emails con origen en dicho dominio.

Forzar Chequeo RDNS

Este chequeo permite bloquear aquellas direcciones IP de servidores o PCs que no tengan configurado el DNS reverso. Esto concretamente significa que se fuerza a que una IP p.ej. 1.2.3.4 tenga definido un registro DNS de tipo PTR a un nombre p.ej. server1.dominio.com , y que a su vez server1.dominio.com tenga un registro DNS de tipo A o CNAME, que termine resolviendo a la IP 1.2.3.4

Es posible especificar en lista blanca aquellas IPs conocidas correspondientes a servidores mal configurados , pero de los que se desea recibir mail.

Control de Spam

Este seteo permite fijar el nivel de control de spam en Alto, Medio o Bajo. El nivel de control Bajo de Spam, significa que se tiene una mayor tolerancia al Spam o correos no deseados o mal formateados, o inclusive posibles phishing.

El chequeo antivirus se realiza independientemente del nivel de Control de Spam. Si se detecta un virus, el mail ira a parar a la Cuarentena, independientemente del nivel de control de Spam que se haya especificado.

Control de Transporte TLS para PCI-DSS

Si se setea este control, implica que toda la cadena de traspaso de un mail, desde el origen hasta el fin, debera hacerse con el protocolo de encriptacion TLS , para asi ser compatibles con la norma PCI-DSS que es exigida en muchas organizaciones para asegurarse que el transito de determinadas comunicaciones a traves del Internet ha sido encriptado, y su contenido ha quedado por lo tanto a resguardo de ser expuesto durante el transporte.

Si un mail no cumple con esta especificacion habiendo seteado este control, quedara rechazado y no estara en cuarentena.

Este control ademas implica que solo se aceptaran protocolos de cifrados fuertes al negociar el MTA enviador con el MX de avas.

Chequeo de Encabezados de Dominio Diferente

El protocolo de e-mail define un Return-Path o direccion de mail de origen, que se deberia corresponder con la politica de SPF del dominio de dicho email.

Por otro lado, se debe especificar un encabezado From: que es el remitente.

el From y el Return-Path pueden diferir, si es que un tercero esta enviado mail en favor de un remitente.

Con este chequeo en ON, se puede puntuar con mayor nivel de Spam a aquellos mails donde difieran completamente el mail de origen y el remitente, ya que suelen tratarse de plataformas compartidas de e-mail marketing, aunque tambien de e-mails transaccionales.