Protección de la mensajería de Microsoft

Cómo se defiende Microsoft IT contra el correo no deseado, los virus y los ataques por correo electrónico

En esta página

	Resumen
	Introducción
	Protección contra el correo electrónico no deseado
	Antivirus
	Otras tecnologías de protección de la mensajería
	Prácticas recomendadas
	Conclusión
	Para obtener más información

Resumen

La amenaza cada vez mayor de correo electrónico no deseado, virus y software nocivo en Internet es un tema que preocupa tanto a Microsoft como a cualquier empresa. El problema se ha agravado en los últimos años hasta el punto de que cualquier empresa que se conecte a Internet debe tomar precauciones contra estos ataques. Las amenazas ya no se limitan a los propios mensajes de correo electrónico: hay otras amenazas relacionadas con el correo electrónico, como la denegación de servicio, ataques al nivel de Protocolo de transferencia simple de correo (SMTP), bombardeo dirigido de correo electrónico (concebido para bloquear un sistema de mensajería mediante el envío masivo de correo electrónico) y ataques de recolección de directorios (intentos de obtener grandes volúmenes de direcciones de correo electrónico válidas).

Antes de 1998, había pocas herramientas, si es que había alguna, para defenderse contra el correo electrónico no deseado, los virus y otros ataques de correo electrónico porque el problema era prácticamente inexistente. En virtud del entorno de Internet que existe hoy en día, el grupo de tecnología de la información de Microsoft (Microsoft IT) considera esencial emplear no uno sino muchos mecanismos para defenderse de estas amenazas. Este enfoque incluye una combinación de productos de software de Microsoft y de otros fabricantes implementados en varios niveles por todo el entorno de mensajería: desde la puerta de enlace hasta el cliente. Microsoft IT utiliza el término protección de la mensajería para referirse colectivamente a todos los mecanismos de defensa empleados para combatir estas y otras amenazas similares.

Desde 1998, Microsoft IT utiliza una serie de funciones de protección de la mensajería en toda la infraestructura de Microsoft® Exchange. Las mejoras recientes efectuadas en la arquitectura de los sistemas de protección contra virus y correo electrónico no deseado han permitido a Microsoft IT consolidar casi el 50 por ciento de los servidores necesarios para realizar estas funciones en el entorno. Además de los cambios en la arquitectura, Microsoft IT ha decidido aumentar las defensas en los niveles de puerta de enlace de correo de Internet y de cliente. De esta forma, Microsoft IT ha sido capaz de reducir los costos de explotación y de aumentar al mismo tiempo el nivel de protección contra el correo electrónico malintencionado o no deseado.

Microsoft IT ha utilizado las características de protección de mensajería de Microsoft Exchange Server 2003, el producto de mensajería de servidor de Microsoft, para reforzar las funciones de protección contra virus y correo electrónico no deseado proporcionadas previamente por el software de exploración de correo electrónico de otros fabricantes. Algunos ejemplos de estas características implementadas recientemente por Microsoft IT son los siguientes:

En el momento de redactar este documento, el volumen medio de mensajes enviados desde Internet a las puertas de enlace de correo electrónico de Microsoft IT oscilaba entre ocho y diez millones al día. El enfoque de varios niveles para filtrar correo electrónico se traduce en el análisis de correo electrónico entrante por varios mecanismos, cada uno de los cuales va reduciendo progresivamente la cantidad de correo electrónico al que se permite el paso. Las siguientes etapas de filtrado ilustran la eficacia de los niveles de filtrado de correo electrónico de Microsoft IT que aquí se describen. Estos números se basan en volúmenes diarios medios:

Tras pasar por las etapas anteriores de filtrado, el correo electrónico restante pasa por una aplicación de detección de virus. El correo electrónico que supera esta etapa se entrega a los servidores de buzones, a los que tienen acceso los usuarios. Los clientes de correo electrónico ejecutan también software de filtrado que reduce aún más la cantidad de correo electrónico no deseado que reciben los usuarios. Como promedio, sólo se conserva alrededor del 15 por ciento del volumen diario total de correo electrónico entrante de Internet después de pasar por todos los filtros, como se ilustra en la Figura 1.

Figura 1. Eficacia del filtrado de correo electrónico no deseado en mensajes de correo electrónico entrantes de Internet
Ver la imagen a tamaño completo

Durante ataques recientes, Microsoft IT ha visto cómo se duplicaban, triplicaban e incluso cuadruplicaban los volúmenes diarios de correo electrónico, si bien los niveles actuales de defensa de Microsoft IT siguen protegiendo el entorno de mensajería hasta el punto de que la repercusión de estos ataques en los usuarios ha sido mínima o incluso inexistente.

Todos los días, el grupo de Microsoft IT recibe consultas sobre los métodos que utiliza para combatir el correo electrónico no deseado, los virus y los ataques de correo electrónico en su infraestructura de mensajería. Este documento proporciona una visión introspectiva de las estrategias, procesos y desafíos implicados en la lucha contra este problema cada vez más acuciante. El documento trata también de la experiencia de Microsoft IT con las características basadas en Exchange Server 2003, incluido el Filtro inteligente de mensajes y las soluciones de otros fabricantes para filtrar correo electrónico no deseado.

Este documento está dirigido a los clientes de Microsoft que actualmente ejecutan o piensan actualizar a Exchange Server 2003 en un entorno distribuido y desean controlar la afluencia de correo electrónico no deseado y malintencionado en sus infraestructuras de mensajería empresariales. En concreto, este documento va destinado a las personas encargadas de tomar decisiones técnicas, del negocio y de la empresa, a arquitectos de IT y a directores de operaciones responsables de administrar el flujo de correo electrónico en sus infraestructuras. Aunque la mayoría de los conceptos descritos en este documento se centran en tecnologías basadas en Exchange Server 2003, parte de la información se aplica también a entornos que ejecutan versiones anteriores de Exchange.

Nota: por motivos de seguridad, los nombres de ejemplo de dominios, recursos internos y organizaciones utilizados en este documento no representan nombres de recursos reales de Microsoft y se incluyen únicamente a título ilustrativo.

Principio de la página

Introducción

La proliferación de correo electrónico no deseado y código malintencionado (como virus, gusanos, caballos de Troya, macros, secuencias de comandos y controles ActiveX® no autorizados) es un motivo de preocupación cada vez mayor para aquéllos que se conectan a Internet o utilizan el correo electrónico. Desde el robo de identidad a nivel personal hasta ataques dañinos organizados contra organizaciones, corporaciones y oficinas gubernamentales, ningún usuario se libra hoy en día de las amenazas de seguridad relacionadas con el correo electrónico.

Al igual que muchas empresas de gran tamaño, Microsoft es un blanco prioritario para las amenazas de seguridad y, de ahí que Microsoft IT vigile constantemente el modo de proteger sus recursos: desde el centro de datos hasta el equipo de sobremesa. Microsoft IT aborda este problema anticipándose a los hechos mediante la revisión de sus estrategias, implementaciones y procedimientos para combatir el correo electrónico no deseado, los virus y otros ataques perpetrados a través del correo electrónico.

El efecto del correo electrónico no deseado, los virus y los ataques de correo electrónico es importante, y puede llegar a ser devastador para las empresas que no están preparadas para frenar estas amenazas. El correo electrónico no deseado ya no es sólo una molestia; es costoso para las empresas, no sólo económicamente, sino en cuanto a tiempo de procesamiento, uso de ancho de banda, administración y consumo de recursos. De igual forma, los virus y los ataques de correo electrónico, en el mejor de los casos, aumentan el tiempo de inactividad, y en el peor, suponen una amenaza para los recursos vitales y la propiedad intelectual de las empresas.

En septiembre de 2003, James Lundy, Maurene Caplan Grey y Arabella Hallawell de Gartner, Inc., un proveedor de análisis e investigación líder del sector global de la tecnología de la información, publicó un informe titulado Stop Spam from Killing Workforce Productivity (Cómo impedir que el correo electrónico no deseado acabe con la productividad de los empleados). En ese informe, los autores señalaban: “Creemos que el correo electrónico no deseado afecta aproximadamente al 100 por cien de las empresas, que hasta un 50 por ciento del promedio de los buzones de la empresa contiene este tipo de correo y que menos del 10 por ciento de las empresas disponen de tecnologías eficaces para filtrarlo. Sin embargo, las empresas han reconocido que el correo electrónico no deseado es un problema grave que afecta a la productividad, y han empezado a combatirlo”.

Cuando aún no había transcurrido un año, Postini Inc., un proveedor líder de la industria de soluciones de seguridad y administración de correo electrónico, comentó en su sitio Web que el correo electrónico no deseado constituía más del 82 por ciento del volumen total de correo electrónico en todo el mundo. Asimismo, Nucleus Research, Inc., un proveedor mundial de servicios de asesoría e investigación centrados en la recuperación de la inversión, indicó en un estudio de junio de 2004 titulado Spam: the Serial ROI Killer (El correo electrónico no deseado: el asesino en serie del rendimiento de la inversión) que los empleados de 22 empresas del Fortune 500 declaraban que dedicaban una media de 15 minutos aproximadamente al día a filtrar un promedio de 29 mensajes de correo no deseado. Nucleus Research calcula que el correo electrónico no deseado costó a las empresas de gran tamaño alrededor de 2.000 dólares por empleado en pérdidas de productividad en 2004. Sin embargo, las empresas que utilizan filtros de correo reciben aproximadamente un 20 por ciento menos de correo electrónico no deseado que las que no utilizan dichos filtros.

Introducción a la infraestructura de red y mensajería de Microsoft

Para comprender cómo ha evolucionado a lo largo del tiempo la estrategia de protección de la mensajería de Microsoft IT, es útil conocer el tamaño y el alcance de la red de Microsoft y de la infraestructura de mensajería subyacente.

La red corporativa de Microsoft es una de las redes informáticas más grandes del mundo. Con infinidad de subredes regionales en todo el mundo, la red incluye:

Para aprovechar al máximo esta vasta infraestructura de red se utiliza un entorno de mensajería complejo formado por 160 servidores Exchange Server 2003 (de los cuales 47 son servidores de buzones organizados en clústeres que ejecutan Microsoft Windows Server™ 2003) en siete países de todo el mundo. Administrar esta infraestructura de mensajería es una tarea formidable. Para aproximadamente 52.000 empleados, la infraestructura consta de 100.000 buzones, cada uno de ellos con un límite de almacenamiento de 200 megabytes (MB). El flujo global de correo electrónico suma un total, como promedio, de 11 millones de mensajes al día, de los cuales tres millones son mensajes de correo electrónico internos. Cada día, se elimina aproximadamente el 85 por ciento del correo electrónico entrante procedente de Internet al filtrar el correo electrónico no deseado, el correo electrónico infectado con virus o el correo electrónico remitido a direcciones no válidas.

El enfoque que utiliza Microsoft IT para proteger su entorno de mensajería está en constante evolución. Los motivos más obvios son el enorme crecimiento del correo electrónico no deseado y los virus en Internet y la naturaleza cambiante de las amenazas relacionadas con el correo electrónico. Todas las empresas deben estar cada vez más atentas de asignar recursos a este problema, que requiere flexibilidad y capacidad de reacción. Microsoft IT considera esencial utilizar un enfoque de varios niveles para la protección de la mensajería. Un único método, por muy satisfactorio que sea, no es adecuado para contrarrestar los diferentes riesgos asociados al correo electrónico por Internet. El empleo de una diversidad de métodos para filtrar el correo electrónico no deseado y los virus en varios emplazamientos a través de la red proporciona varios niveles de protección y es esencial para establecer una defensa en profundidad.

Otro motivo por el que el enfoque utilizado por Microsoft IT para proteger la mensajería está en constante evolución es la naturaleza de su entorno de producción. Microsoft IT utiliza frecuentemente software no publicado en fase de pruebas beta en el entorno de producción. En el sector de la alta tecnología, esta práctica recibe el nombre de “dogfooding” o “eating your own dogfood”, que literalmente significa “comerse la comida del perro”, es decir, utilizar internamente los productos creados por la propia empresa. Esto ayuda a Microsoft IT a proporcionar información valiosa a los grupos de productos en las etapas previas de desarrollo y, de este modo, aumentar la calidad de los productos publicados cuando llegan a los clientes. Un ejemplo es el uso por parte de Microsoft IT del Filtro inteligente de mensajes en producción antes de ponerlo a disposición de los clientes. (Para obtener más información sobre el Filtro inteligente de mensajes, visite http://www.microsoft.com/exchange/imf, [en inglés].) El uso en producción de versiones beta plantea grandes desafíos, aunque no insuperables, en cuanto a las estrategias que Microsoft IT emplea, las soluciones de software de otros fabricantes que utiliza y la administración de los propios servidores.

Infraestructura de protección de la mensajería utilizada anteriormente por Microsoft IT

Desde 1999 hasta junio de 2004, Microsoft empleaba un enfoque de tres etapas en su arquitectura de protección de mensajes de correo electrónico y mensajería de Internet. La topología se basaba en tres grupos de servidores dispuestos en cadena para proporcionar funciones de protección contra el correo no deseado, antivirus, filtrado de contenido y enrutamiento del correo electrónico de Internet. Todos los mensajes de correo electrónico entrante de Internet pasaban por este grupo de servidores antes de que fueran enviados a los servidores de buzones de Exchange, como se muestra en la Figura 2.

Figura 2. Infraestructura de la mensajería de Microsoft antes de julio de 2004
Ver la imagen a tamaño completo

Justo antes de julio de 2004, el primer nivel de servidores constaba de puertas de enlace Exchange Server 2003, ubicadas en la parte más externa de la red. En el primer nivel, el Filtro inteligente de mensajes y una solución de protección contra el correo electrónico no deseado de otro fabricante realizaban el filtrado de remitentes, el filtrado de destinatarios y el bloqueo de correo electrónico no deseado en los mensajes entrantes procedentes de Internet. El primer nivel reenviaba todos los mensajes que, según el primer nivel, no eran correo electrónico no deseado a un siguiente nivel de servidores SMTP dedicado a detectar virus en el correo electrónico. Después del examen antivirus, el segundo nivel pasaba todos los mensajes que no contenían virus a un tercer nivel de servidores: servidores Exchange configurados como servidores de enrutamiento SMTP, que realizaban el reenvío interno de los mensajes. El tercer nivel entregaba entonces los mensajes a los servidores de buzones Exchange, donde los clientes de correo electrónico tenían acceso a los mensajes.

Cuando se adoptó esta arquitectura, Microsoft IT evaluó los programas antivirus y de protección contra correo electrónico no deseado de otros proveedores y eligió soluciones (que inicialmente se ejecutaron en servidores Microsoft Exchange 2000 y Microsoft Windows® 2000) que se ajustaran a sus requisitos. Aunque esta arquitectura resultó eficaz durante varios años para combatir las amenazas de correo electrónico de Internet, la evolución de las amenazas, y las mejoras realizadas en la plataforma de Exchange Server, dieron motivos a Microsoft IT para revisar su arquitectura con el paso del tiempo. Los objetivos de Microsoft IT fueron:

Infraestructura de protección de la mensajería utilizada actualmente por Microsoft IT

Actualmente, Microsoft IT ha cumplido sus objetivos de protección de la mensajería con su diseño de infraestructura actual para el análisis de correo electrónico y correo electrónico procedente de Internet, mostrado en la Figura 3. Al elegir Exchange Server 2003 como la plataforma para las funciones antivirus en el nivel de puerta de enlace, Microsoft IT fue capaz de reducir inmediatamente el costo total de propiedad mediante la eliminación del grupo dedicado de servidores de detección de virus. La plataforma Exchange Server 2003 permitió a Microsoft IT elegir una nueva solución antivirus de otro fabricante que se adaptara al enfoque integrado y utilizar la pila de servidores SMTP nativos de Exchange.

Figura 3. Infraestructura de la mensajería de Microsoft IT a partir de julio de 2004
Ver la imagen a tamaño completo

En comparación con la configuración anterior de los sistemas de protección de la mensajería, los diseños y los enfoques seguidos por Microsoft IT utilizan un mayor número de características inmediatas de Exchange. En este momento, además del Filtro inteligente de mensajes y de un sistema de filtrado de correo electrónico no deseado de otro fabricante, todos los mensajes de correo electrónico entrantes están sujetos a los siguientes controles de seguridad adicionales proporcionados por el software Exchange Server 2003:

Estos controles ofrecen más protección que la que proporciona el software de filtrado de correo electrónico no deseado tradicional. Microsoft IT implementa estos controles en los servidores de puertas de enlace de Exchange más externos para ayudar a eliminar el máximo volumen posible de mensajes malintencionados en ese punto. El resto de los mensajes se reenvían a los servidores de enrutamiento SMTP de Exchange Server 2003 para la detección de virus antes de que pasen a los servidores de buzones.

Además de mejorar la protección contra virus y correo electrónico no deseado, la configuración actual de puertas de enlace de Microsoft IT proporciona un mayor equilibrio de la carga y disponibilidad del correo electrónico de Internet. Al eliminar la dependencia de servidores SMTP de otros fabricantes y utilizar en su lugar características de transporte nativas de Exchange Server 2003 en toda la infraestructura de puertas de enlace, Microsoft IT ha establecido una topología entrelazada entre sus servidores de puerta de enlace de Exchange Server 2003 y sus servidores de enrutamiento SMTP de Exchange Server 2003. Para protegerse contra los desastres en el entorno y en el nivel de red, Microsoft IT distribuye la infraestructura de protección de la mensajería y puertas de enlace de Internet entre varios centros de datos. Esta distribución impide que se produzca un único punto de error y establece varias rutas físicas y lógicas por las que puede enviarse y analizarse el correo electrónico de Internet.

Principio de la página

Protección contra el correo electrónico no deseado

El filtrado y la supresión del correo electrónico no deseado procedente de Internet es una función importante de la infraestructura de mensajería de Microsoft IT. Puesto que el correo electrónico no deseado enviado al dominio de correo electrónico de Microsoft representa un alto porcentaje del volumen total de mensajes entrantes (aproximadamente el 85 por ciento), Microsoft IT ha decidido implementar soluciones de filtrado de correo electrónico no deseado en la parte más externa de su red, en los servidores de puerta de enlace de Exchange Server 2003. La interceptación de mensajes no deseados lo más cerca posible de los límites de la red elimina la sobrecarga que supone procesar y transportar estos mensajes a través de los sistemas internos y reduce el consumo de ancho de banda y el tiempo de procesamiento.

Microsoft IT emplea varios métodos para filtrar el correo electrónico no deseado, incluido el Filtro inteligente de mensajes. El Filtro inteligente de mensajes se ejecuta en los servidores de puerta de enlace de Exchange Server 2003 más externos y está totalmente integrado con la plataforma de Exchange.

Filtro inteligente de mensajes

El filtro inicial por el que debe pasar el correo electrónico de Internet entrante es el Filtro inteligente de mensajes, que se ejecuta en los servidores de puerta de enlace de Exchange Server 2003 en la parte más externa del entorno de mensajería. El grupo de investigación de Microsoft desarrolló originalmente la tecnología de Filtro inteligente de mensajes para Microsoft Hotmail®, donde los mensajes no deseados se habían convertido en un motivo de queja importante de los clientes. El Filtro inteligente de mensajes aprovecha el marco de trabajo de SCL que proporciona Exchange Server 2003. Clasifica determinadas partes del mensaje, realiza un análisis heurístico de los mensajes y asigna una puntuación SCL a cada mensaje analizado. La escala de puntuaciones SCL va del 0 al 9. Cuanto mayor sea la puntuación que recibe un mensaje, mayor será la probabilidad de que el mensaje sea un mensaje no deseado.

El entorno de Exchange Server 2003 se puede configurar para que realice operaciones de filtrado en los mensajes con puntuaciones SCL más altas que los umbrales configurados por los administradores. El Filtro inteligente de mensajes utiliza dos umbrales que se establecen en Exchange Server 2003: el umbral de puerta de enlace y el umbral de almacén.

Configuración del umbral de puerta de enlace

El umbral de puerta de enlace tiene dos componentes:

Por ejemplo, si el umbral de puerta de enlace se establece en 6, cualquier mensaje con una puntuación SCL de 6 o superior tendrá que pasar por la acción de filtrado configurada. Las acciones posibles son las siguientes:

Nota: todos los mensajes de correo electrónico entrantes pasan por el umbral de puerta de enlace antes que por el umbral de almacén.

Las acciones Eliminar, Rechazar y Archivar tienen todas ellas ventajas e inconvenientes inherentes. Cuando una organización toma la decisión de eliminar o rechazar mensajes con una puntuación SCL de un determinado número o superior, esos mensajes no llegan a su destino. La ventaja de eliminar estos mensajes es que no se escriben en disco, no pasan por un antivirus ni se envían a través del sistema, con lo que se elimina tiempo de procesamiento costoso. Sin embargo, eliminar estos mensajes se considera una acción agresiva, ya que se borran permanentemente del flujo de correo sin posibilidad de restaurarlos. La acción Eliminar es eficaz si el número de mensajes legítimos identificados por error como correo no deseado con el valor de umbral definido es bajo.

Al igual que la acción Eliminar, la acción Rechazar quita los mensajes identificados como correo no deseado del flujo de correo. Sin embargo, a diferencia de la acción Eliminar, la acción Rechazar proporciona una indicación de estado al remitente en forma de mensaje de error SMTP (no se puede entregar). En algunos entornos, quizás no sea conveniente notificar la acción de filtrado al remitente de los mensajes no deseados por motivos de seguridad.

Una organización puede utilizar la acción Archivar para examinar el correo electrónico que se ha bloqueado como correo electrónico no deseado y poder decidir el umbral de puerta de enlace SCL adecuado que debe establecerse en función del número de mensajes válidos identificados por error como no deseados. Sin embargo, sin las herramientas adecuadas para examinar el contenido archivado y evaluar el número de mensajes válidos identificados como no deseados, la ventaja de la acción Archivar para las operaciones diarias se reduce. A menudo, la herramienta más exacta es el ojo humano que comprueba físicamente el contenido de los mensajes. Con un volumen diario de correo electrónico de cientos de miles o millones de mensajes, la comprobación visual de cada mensaje archivos es sencillamente inviable. Una alternativa es utilizar un proceso automático personalizado que agregue los datos por línea de asunto u otra propiedad de los mensajes y que luego examine una muestra compuesta por algunos miles de mensajes. Los administradores pueden escribir secuencias de comandos básicas que agreguen dichos datos para simplificar el proceso.

Dado que la demanda de espacio de disco para el archivado de mensajes es proporcional a los volúmenes de tráfico de correo electrónico y al porcentaje de correo electrónico no deseado que recibe el entorno, las organizaciones con grandes volúmenes de correo electrónico que piensen utilizar el archivado deben planear cuidadosamente la capacidad de almacenamiento necesaria de las puertas de enlace de filtrado de correo electrónico no deseado. Con los volúmenes de correo electrónico que recibe diariamente el entorno de mensajería de Microsoft desde Internet, Microsoft IT utiliza actualmente la acción Eliminar para el umbral de puerta de enlace. Sin embargo, Microsoft IT utilizó la acción Archivar durante las primeras pruebas del Filtro inteligente de mensajes.

Configuración del umbral de almacén

El umbral de almacén determina la puntuación SCL a partir de la cual un mensaje de correo electrónico que llega al servidor de buzones se mueve a la carpeta de correo electrónico no deseado del buzón del usuario. El umbral de almacén debe tener un valor inferior que el umbral de puerta de enlace para realizar el enrutamiento al almacén. Por ejemplo, si el umbral de puerta de enlace se establece en 6, el umbral de almacén debe establecerse en 4 para realizar cualquier acción. La configuración del almacén realiza una acción cuando el valor de SCL es mayor que el valor de configuración del almacén. Este comportamiento es diferente del de la configuración de puerta de enlace, que realiza una acción cuando el valor de SCL es mayor o igual que el valor de configuración de SCL. Por ejemplo, un mensaje entrante que recibe una puntuación SCL de 5 pasa el umbral de puerta de enlace pero sobrepasa el umbral de almacén, por lo que se envía automáticamente a la carpeta de correo electrónico no deseado del usuario. Un mensaje entrante con una puntuación de 4 o menor va directamente a la bandeja de entrada del destinatario porque pasa ambos umbrales.

Equilibrar los umbrales

El mejor equilibrio entre los umbrales de puerta de enlace y de almacén depende totalmente del entorno de mensajería de la organización. El objetivo es detener cuanto antes el mayor volumen posible de correo electrónico no deseado en la infraestructura y, al mismo tiempo, mantener al mínimo el número de mensajes válidos identificados por error como no deseados. Cada administrador ajustará la configuración del Filtro inteligente de mensajes de forma diferente, en función de cada entorno.

Un inconveniente de configurar un umbral de puerta de enlace alto es que el volumen de mensajes que debe recorrer la infraestructura será más alto, y los usuarios tendrán al final que enfrentarse a ellos en el nivel de escritorio. Este inconveniente supone un aumento de los costos de varios aspectos de la infraestructura, desde el almacenamiento hasta el ancho de banda y la administración.

Microsoft IT utiliza un umbral de puerta de enlace muy estricto por el gran volumen de correo electrónico que recibe la empresa, y porque un gran porcentaje de ese correo electrónico es correo no deseado. Sin embargo, Microsoft IT mantiene un nivel de tolerancia cercano al cero en cuanto a la supresión de correo electrónico legítimo. Normalmente, el mejor indicador del número de mensajes válidos identificados por error como no deseados son las quejas de los usuarios. Como regla general, es más conveniente para las organizaciones empezar siendo conservador y configurar los umbrales del Filtro inteligente de mensajes en cifras altas y, después, ajustar los umbrales a la baja cuando sea necesario. El Filtro inteligente de mensajes proporciona una lista exhaustiva de contadores de rendimiento que permiten a los administradores examinar la distribución de las puntuaciones SCL en toda la base de mensajes entrantes y, de ese modo, tomar decisiones más adecuadas sobre cómo ajustar los valores de umbral para cada entorno particular.

Medidas de protección adicionales contra correo electrónico no deseado

Hace años, cuando el correo electrónico no deseado empezó a ser un problema para los usuarios del correo electrónico, Microsoft IT, al igual que muchas empresas, disponía únicamente de soluciones de software empresarial de protección contra correo electrónico no deseado de otros fabricantes. Hoy en día, Microsoft IT utiliza el Filtro inteligente de mensajes en el entorno de producción. El Filtro inteligente de mensajes proporciona el nivel de protección contra el correo electrónico no deseado en la puerta de enlace de Internet.

Con el desarrollo de nuevas arquitecturas de protección contra virus y correo no deseado, el uso del Filtro inteligente de mensajes y el uso del filtrado de conexiones, listas de bloqueo en tiempo real, filtrado de remitentes, búsqueda de destinatarios y bloqueo de datos adjuntos, Microsoft IT ha sido capaz de reducir considerablemente el volumen de correo electrónico no deseado procedente de Internet.

Filtrado de correo electrónico no deseado en el cliente

En teoría, el correo electrónico no deseado no debería llegar nunca al cliente. La realidad es que parte de ese correo atraviesa la red de Microsoft y llega a los equipos de escritorio de los usuarios. Uno de los motivos principales es que algunos mensajes de correo electrónico legítimos, como los boletines, contienen a menudo características del correo electrónico no deseado; por consiguiente, no es conveniente establecer el umbral de filtrado tan bajo que se eliminen todos los mensajes sospechosos. Asimismo, los usuarios pueden tener preferencias individuales que no es posible satisfacer con un único grupo de opciones de configuración para toda la empresa.

Puesto que los umbrales moderadamente estrictos que Microsoft IT utiliza permiten que algunos mensajes con características similares al correo electrónico no deseado lleguen finalmente a los equipos de escritorio, Microsoft IT proporciona un nivel adicional de defensa en el cliente. Los usuarios de Microsoft Office Outlook® 2003 y Outlook Web Access 2003 pueden establecer una lista de remitentes seguros y una lista de remitentes bloqueados. La lista de remitentes seguros contiene direcciones de correo electrónico y nombres de dominio de confianza de los que el usuario desea siempre recibir mensajes. Por el contrario, la lista de remitentes bloqueados contiene direcciones y nombres de dominio de los que el usuario no desea nunca recibir mensajes.

Exchange Server 2003 envía todos los mensajes de remitentes de confianza a la bandeja de entrada del usuario, y todos los mensajes de remitentes bloqueados a la carpeta de correo electrónico no deseado del usuario. Esto ocurre independientemente de la puntuación SCL previamente asignada al mensaje. Los usuarios de Outlook 2003 y Outlook Web Access 2003 pueden, por tanto, obviar el filtrado de correo electrónico no deseado en el nivel de almacén para sus buzones de acuerdo con sus preferencias individuales. Sin embargo, los usuarios no pueden obviar las acciones de filtrado de nivel de puerta de enlace en el cliente. Si un mensaje supera el umbral de puerta de enlace, no se distribuye a la bandeja de entrada del usuario, sea cual sea la configuración en el cliente.

Los usuarios pueden personalizar también la acción del filtro de correo electrónico no deseado de Outlook 2003, que analiza los mensajes cuando llegan al cliente y determina si deben tratarse como correo no deseado. Los usuarios pueden elegir el nivel de protección que deseen, desde ninguna protección en absoluto hasta permitir únicamente los mensajes enviados por remitentes seguros. Los mensajes que el filtro de correo electrónico no deseado atrapa pasan directamente a la carpeta de correo electrónico no deseado de Outlook del usuario, donde se pueden consultar o eliminar.

Principio de la página

Antivirus

Mientras que el correo electrónico no deseado es una molestia y representa un problema de rendimiento y productividad en un entorno de mensajería, el software malintencionado, como virus, gusanos y caballos de Troya, supone mucho más que una amenaza de seguridad para cualquier empresa. El ataque de un solo virus puede tener un efecto grave que, en el mejor de los casos, se traducirá en tiempo de inactividad para operaciones de limpieza, pero que, en el peor de los casos, paralizará la infraestructura y pondrá en peligro o destruirá datos importantes.

Antes de que una organización se enfrente al problema de los virus de correo electrónico, puede reducir muchos de los costos de sobrecarga que supone el filtrado de virus eliminando el correo electrónico no deseado del entorno de mensajería. En un día cualquiera, Microsoft IT procesa normalmente más de 10 millones de mensajes de correo electrónico recibidos desde Internet. Dado que el 85 por ciento o más de esos mensajes se identifican como correo electrónico no deseado y se eliminan del flujo de correo, el filtrado del correo no deseado antes de pasar por un antivirus en el nivel de puerta de enlace supone un ahorro importante en cuando a ciclos de procesamiento, ancho de banda y espacio de almacenamiento para los mensajes.

Arquitectura

En la mayoría de las topologías de mensajería, se pueden emplear defensas antivirus en varias ubicaciones. En consonancia con su enfoque de varios niveles para la protección de la mensajería, Microsoft IT considera conveniente emplear defensas antivirus en varios niveles de todo el entorno de red. Aunque esta práctica aumenta la sobrecarga en el rendimiento, reduce los riesgos. Microsoft IT cree que puede haber un equilibrio entre rendimiento y riesgos. Cada organización debe determinar, en función de su entorno particular, en cuántos puntos y en qué nivel debe emplear defensas antivirus.

Las organizaciones tienen tradicionalmente tres niveles posibles en los que pueden implementar soluciones antivirus en entornos de mensajería:

De acuerdo con su filosofía de defensa en profundidad, Microsoft IT eligió concentrar sus sistemas antivirus en el nivel de puerta de enlace SMTP y en el nivel de cliente, como se muestra en la Figura 4. El diseño de la topología de correo electrónico de Internet y optimizaciones específicas en la distribución de correo electrónico garantizan que ningún mensaje que se haya intercambiado entre los sistemas de mensajería externos y el entorno administrado de Microsoft IT pueda sortear los controles antivirus establecidos.

Figura 4. Puntos de protección antivirus en la infraestructura de mensajería de Microsoft IT
Ver la imagen a tamaño completo

Los mensajes recibidos de Internet se analizan primero para determinar si son mensajes no deseados y luego se reenvían a los servidores de enrutamiento SMTP basados en Exchange Server 2003, donde todo el correo electrónico pasa por un antivirus antes de distribuirse a los servidores de buzones. A pesar de la protección antivirus del nivel de puerta de enlace, Microsoft IT refuerza aún más su enfoque de defensa de varios niveles estableciendo una nueva protección antivirus en el nivel del cliente en los equipos de escritorio de los usuarios. Todos los equipos cliente del entorno administrado de Microsoft IT deben tener instalado, configurado, en ejecución y actualizado un software antivirus de otro fabricante. El refuerzo constante de defensa antivirus en el cliente mediante controles técnicos y directivas permite también a Microsoft IT combatir las amenazas de virus con líneas de ataque externas al ámbito de mensajería. Por ejemplo, el software antivirus en los equipos de escritorio de los usuarios ayuda a impedir que las infecciones y los virus en los archivos se propaguen a través de conexiones a la red.

Para mitigar la propagación involuntaria de virus fuera del entorno administrado de Microsoft IT, y para reducir los riesgos de terceros, se realizan también análisis en busca de virus en el correo electrónico saliente, primero en el nivel de cliente y después en el nivel de puerta de enlace SMTP.

Los clientes de Microsoft preguntan a menudo a Microsoft IT por qué no concentra sus defensas antivirus en el nivel de almacén ejecutando software de otros fabricantes en sus servidores de buzones de Exchange Server como parte de sus operaciones diarias. Debido a que Microsoft IT trabaja con versiones beta en el entorno de producción, estos servidores sufren cambios frecuentes, como la instalación continua de compilaciones de prelanzamiento del software Exchange Server. Estos cambios hacen difícil que Microsoft IT encuentre software antivirus que se ejecute de forma confiable en estos servidores. Normalmente, los proveedores de software antivirus necesitan tiempo para probar y desarrollar soluciones en nuevas versiones de Exchange Server; por tanto, una versión publicada de software antivirus podría no estar disponible durante meses tras el lanzamiento de una nueva versión de Exchange Server. Aunque algunas soluciones antivirus pueden ejecutarse en versiones beta de Exchange Server, Microsoft IT no puede arriesgarse y confiar en que estas soluciones sean estables. Por este motivo, Microsoft IT concentra actualmente su controles antivirus de correo electrónico en los niveles de cliente y puerta de enlace. En otros entornos se deben evaluar los requisitos específicos de defensa antivirus y es posible que se elijan niveles diferentes en los que implementar la protección. Sin embargo, independientemente de la solución que elija una organización, la implementación del enfoque de defensa en profundidad de varios niveles proporcionará un nivel de seguridad más eficaz que un enfoque de un solo nivel.

Además de la exploración preventiva en los niveles de puerta de enlace y de cliente, Microsoft IT puede activar controles de seguridad antivirus de emergencia y procedimientos en los servidores de buzones de Exchange Server 2003 en caso de un ataque de virus. Para obtener más información sobre estos controles y procedimientos, consulte el documento de IT Showcase Respuesta a incidentes: administrar la seguridad en Microsoft (en inglés) en http://www.microsoft.com/downloads/details.aspx?FamilyId=36E889BE-4FB0-447A-943A-7484CBA0E7C1&displaylang=en.

Directivas para el correo electrónico entrante y saliente

Microsoft IT mantiene directivas y procedimientos de análisis distintos para el correo electrónico entrante y el saliente. Como el correo electrónico entrante de Internet es menos seguro que el saliente, las directivas son más restrictivas en el correo electrónico entrante.

Las notificaciones de virus son un ejemplo en el que Microsoft IT utiliza directivas distintas para el correo electrónico entrante y saliente. Por ejemplo, si un mensaje entrante procedente de Internet contiene un virus, se elimina la infección y es posible que se envíe una notificación al destinatario interno. El mensaje de notificación proporciona la información necesaria para identificar la fuente de infección y tomar medidas correctivas. El remitente externo del mensaje entrante infectado no recibe ninguna notificación automática por los motivos siguientes:

Otro ejemplo de directivas de seguridad restrictivas para el correo electrónico entrante es la eliminación de datos adjuntos. Con la eliminación de datos adjuntos se quitan los archivos adjuntos potencialmente peligrosos, como los archivos ejecutables, del flujo de correo de Internet entrante, lo que ayuda a mitigar el riesgo de que código malintencionado entre en el entorno a través del correo electrónico. La eliminación de datos adjuntos se describe detalladamente más adelante en este documento.

Como el correo electrónico saliente es más seguro que el entrante, las directivas de Microsoft IT son menos restrictivas con el correo electrónico saliente. Los datos adjuntos de determinados tipos de archivos no se eliminan sistemáticamente de los mensajes salientes. Sin embargo, si se detecta una infección en un mensaje saliente, se quita la infección y se envía una notificación al usuario interno, en la que se le pide que compruebe si su equipo contiene virus. Si un empleado de Microsoft propaga accidentalmente un virus, Microsoft envía una notificación al remitente interno para que determine la fuente de infección.

Para implementar directivas de seguridad diferentes para el correo electrónico entrante y saliente, debe utilizarse una solución antivirus que conozca el rumbo del correo electrónico. La solución debe ser capaz también de determinar el rumbo de los mensajes de correo electrónico analizados a partir de criterios de autorización (como la dirección IP o la autenticación). De lo contrario, el correo electrónico falso podría confundir al sistema antivirus y hacerle que aplique una directiva de seguridad incorrecta.

Servidores de enrutamiento SMTP de Exchange Server 2003

Una vez que Microsoft IT decidió implementar defensas antivirus mediante un enfoque de varios niveles (en los niveles de puerta de enlace SMTP y de cliente), el siguiente paso fue determinar qué soluciones tecnológicas debía emplear. Por motivos de rendimiento, interoperabilidad y seguridad, la estrategia de una solución antivirus en el nivel de puerta de enlace consistió en centrarse en la plataforma de puerta de enlace de Exchange Server 2003 y, en concreto, en los servidores de enrutamiento SMTP de Exchange de Microsoft IT.

Microsoft IT tenía dos opciones para integrar la solución antivirus con la plataforma Exchange Server 2003:

Un proveedor de antivirus podría decidir implementar su solución mediante VSAPI 2.5 o el receptor de eventos de transporte. Aunque las dos metodologías ofrecen características y funciones similares, tienen implicaciones distintas en el producto final. Por ejemplo, si la solución utiliza VSAPI, puede aprovechar las funciones de análisis y descodificación de mensajes proporcionadas por Exchange Server 2003. Por tanto, si el proveedor no desea ocuparse de tener que abrir los mensajes y realizar su propio análisis, es más probable que utilice VSAPI. Si el proveedor desea tener más detalle y control sobre el flujo de mensajes, es probable que desee seguir el enfoque del receptor de eventos de transporte. El uso de receptores de eventos de transporte presupone que la solución antivirus realiza sus propias operaciones de análisis de mensajes, generación de informes, supervisión del rendimiento y otras acciones similares.

Microsoft IT llevó a cabo una evaluación exhaustiva antes de elegir el proveedor de software antivirus que mejor se adaptara a los requisitos de su entorno. Los clientes tendrán sus propios requisitos en función de sus entornos específicos, y esos requisitos pueden diferir considerablemente de los de Microsoft IT. Algunos aspectos de la evaluación, sin embargo, puede ser similares en muchos entornos. A continuación, se incluyen algunos de los factores técnicos que Microsoft IT tuvo en cuenta durante la etapa de evaluación.

Funcionalidad:

Rendimiento:

Capacidad de uso y asistencia técnica:

Eliminación de datos adjuntos

Como parte de su estrategia antivirus, Microsoft IT quita automáticamente algunos tipos de datos adjuntos de los mensajes de correo electrónico entrantes en función de la extensión y el tipo de archivo adjunto. El software antivirus en el nivel de puerta de enlace elimina automáticamente algunos tipos de archivos (como .exe, .cmd y .com), estén o no infectados con un virus. Estos archivos adjuntos representan un alto riesgo de infecciones por virus, y eliminarlos de la parte más externa de la red contribuye a proteger el entorno de software nocivo desconocido o nuevo para el que es posible que aún no se hayan desarrollado o implementado firmas de antivirus. Si se elimina un archivo adjunto, el mensaje sí se distribuye, y el destinatario interno recibe la notificación correspondiente.

Microsoft IT considera importante entregar los mensajes a los destinatarios aunque se hayan quitado los datos adjuntos. Si el contenido del archivo adjunto eliminado es legítimo, el destinatario puede utilizar otros métodos para recuperar esa información, como pedir al remitente que empaquete de nuevo los datos en un formato diferente o mediante otros métodos de transferencia de archivos, como FTP (Protocolo de transferencia de archivos).

Algunos tipos de infecciones provocadas por software nocivo, como los gusanos, pueden generar grandes cantidades de correo electrónico remitido a la misma puerta de enlace de correo electrónico o servidor de enrutamiento SMTP para un gran número de destinatarios. Además de la amenaza que representa la carga infectada, el volumen de esos mensajes causa a menudo problemas de rendimiento en los sistemas de correo electrónico. Para este tipo de mensajes de correo electrónico, el uso de funciones de eliminación de datos adjuntos o de supresión de virus elimina la infección, pero no soluciona el aspecto de denegación de servicio del ataque. Para combatir eficazmente estas amenazas, Microsoft IT implementó una solución que integra la eliminación de datos adjuntos con la supresión de mensajes. Cuando un virus propagado mediante envíos de correo masivo infecta un mensaje, el sistema quita todo el mensaje del flujo de correo, con lo que se reduce la sobrecarga en el rendimiento del entorno.

Actualizaciones de archivos de antivirus

La eficacia de las defensas de los antivirus basados en firmas depende de la calidad de los archivos de definición de virus, denominados también archivos de firmas o de modelo. Para poder protegerse de las amenazas de nuevos virus, las organizaciones deben mantener actualizados los archivos de firmas. Otro aspecto importante es utilizar los motores de detección más actualizados: los componentes de procesamiento de mensajes que realizan análisis y exploración de los mensajes.

Microsoft IT utiliza el método de extracción para descargar los archivos de firmas y los motores antivirus más recientes. El mecanismo de extracción permite a Microsoft IT establecer calendarios personalizados flexibles para estas descargas y contribuye a que todos los sistemas antivirus de correo electrónico sean coherentes y estén actualizados. Si una actualización está disponible en el intervalo de tiempo entre las descargas automáticas, Microsoft IT tiene también la capacidad de extraer las descargas manualmente. Esta capacidad proporciona a Microsoft IT la flexibilidad que necesita para reaccionar ante posibles situaciones de emergencia.

Temas de administración

Para la administración de los antivirus, Microsoft IT considera esencial disponer de directivas claras y procesos sistemáticos correctamente definidos. Microsoft IT automatiza los procesos y los procedimientos siempre que puede. Por ejemplo, para garantizar que el software antivirus está actualizado y se ejecuta en todos los servidores en todo momento, Microsoft IT tiene procesos automatizados que comprueban la versión del archivo de firmas y los motores antivirus implementados en sus puertas de enlace. Si se detecta alguna irregularidad, como que un determinado servidor no ejecuta el archivo de firmas más actualizado, el administrador recibe una alerta sobre el problema.

La supervisión de estadísticas diarias del volumen de correo electrónico procesado y del número de virus detectados es otro aspecto importante del proceso de administración. Un día Microsoft IT podría detectar 20.000 virus, y otro día podría detectar 200.000. Las tendencias son difíciles de identificar porque las estadísticas indican directamente cualquier ataque de virus que puede sufrir Microsoft IT. Aunque Microsoft es blanco frecuente de ataques, algunas veces otra empresa puede resultar más gravemente afectada por un determinado ataque que Microsoft IT. El motivo de esta discrepancia se debe especialmente al dominio al que va dirigido el ataque. Con criterios de medición basados en estadísticas diarias, un administrador puede inferir la fecha y la hora en que se produjo el ataque en el sector, y determinar el impacto que tuvo el ataque en un determinado momento.

Comparación de la detección de virus en el nivel de archivo y en el nivel de mensajería

Este documento se centra fundamentalmente en el entorno de mensajería y, por consiguiente, las explicaciones sobre la detección de virus se basan principalmente en los niveles de mensajería. Sin embargo, es importante tener en cuenta que Microsoft IT realiza también la detección antivirus en los servidores Exchange Server 2003 en el nivel de archivo. Este proceso de detección es totalmente independiente del que se realiza en el nivel de mensajes, y su objetivo no es proteger el entorno de mensajería de las infecciones propagadas a través del correo electrónico.

La detección en el nivel de archivo es esencial para proteger los propios servidores Exchange como elementos de la infraestructura. Sin una protección antivirus en el nivel de sistema operativo, las operaciones habituales, como el mantenimiento de los servidores, la aplicación de revisiones y la solución de problemas, podrían provocar que el servidor resultara infectado por accidente, lo que conllevaría una menor disponibilidad de los servicios de mensajería y la posibilidad de pérdida de datos.

Las organizaciones que deseen emplear software antivirus de nivel de archivo en los servidores Exchange Server 2003 deben extremar las precauciones. Dado que el software antivirus de nivel de archivo no suele reconocer la estructura interna de los datos específicos de Exchange (como las bases de datos y los archivos de registro de Exchange), el análisis de este contenido en busca de virus suele provocar errores en el servidor y puede producir daños en los datos. El software antivirus de nivel de archivo debe configurarse específicamente de forma que los datos relacionados con Exchange Server, como los almacenes de buzones, los registros de transacciones, los directorios temporales, las colas de mensajes y otras ubicaciones de archivos relevantes, queden excluidos. La configuración incorrecta del software de nivel de archivo para los servidores Exchange es un error común en los entornos de mensajería. Para obtener más información sobre el uso de herramientas antivirus con Exchange, consulte los artículos de Microsoft Knowledge Base “Introducción a Exchange Server 2003 y al software antivirus” (en inglés) en http://support.microsoft.com/?id=823166 y “Exchange y el software antivirus” en http://support.microsoft.com/?id=328841.

Medidas antivirus en el nivel de cliente

El enfoque de defensa de varios niveles de Microsoft IT exige la detección de virus en el nivel de cliente, ya sea en los equipos de escritorio de la oficina o en los portátiles que se utilizan de forma remota. Además de ejecutar Outlook 2003, todos los sistemas cliente ejecutan software antivirus para protegerse contra los virus.

Software antivirus eTrust

Microsoft IT mantiene directivas estrictas para el software antivirus de nivel de cliente. Para obtener acceso a la red corporativa, todos los empleados de Microsoft necesitan tener instalado, configurado y actualizado el antivirus eTrust de Computer Associates en los equipos cliente, tanto en los equipos de escritorio como en los portátiles. El software eTrust analiza todos los archivos en tiempo real si el usuario lo ejecuta activamente en el sistema. Es totalmente transparente para el usuario, realiza análisis continuamente y recupera las actualizaciones cuando están disponibles.

Microsoft IT utiliza la infraestructura de secuencias de comando de inicio de sesión para asegurarse de que todos los empleados tienen eTrust instalado y en ejecución en los equipos cliente. Cuando un usuario intenta iniciar sesión en la red corporativa, la secuencia de comandos de inicio de sesión realiza comprobaciones de seguridad en el sistema, entre las que se incluye la comprobación del estado de servicio antivirus en el nivel de cliente. Microsoft IT supervisa también constantemente la red corporativa mediante herramientas y procesos desarrollados internamente. Durante todo el día, se examinan periódicamente todos los equipos conectados a la red para comprobar que cumplen los requisitos de revisión y que contienen el software antivirus eTrust. Si un sistema cliente no ejecuta eTrust, el usuario recibe una notificación con instrucciones para la instalación del último software antivirus. Si el usuario no instala el software en el plazo especificado, Microsoft IT deniega el acceso del usuario a la red hasta que su sistema cumpla los requisitos exigidos.

Outlook 2003

En cuanto al nivel de puerta de enlace, reforzar la detección de virus con funciones de administración de datos adjuntos en los clientes es esencial para garantizar la seguridad de los equipos de los usuarios. Outlook 2003 ha mejorado sus características de bloqueo de datos adjuntos en relación con versiones anteriores. En consonancia con la idea de eliminación de datos adjuntos en el nivel de puerta de enlace, el usuario de Outlook ahora tiene la posibilidad de bloquear la recepción de una gran variedad de tipos de archivos potencialmente nocivos. Para obtener más información sobre el bloqueo de datos adjuntos, consulte el artículo de Microsoft Knowledge Base "No se pueden abrir datos adjuntos en Microsoft Outlook" (en inglés) en http://support.microsoft.com/?id=829982.

Además de bloquear datos adjuntos, Outlook 2003 restringe el acceso mediante programación a la libreta de direcciones, lo que reduce la posibilidad de que se propague código malintencionado mediante la distribución de correo electrónico a destinatarios recopilados de la libreta de direcciones. Outlook 2003 muestra automáticamente una notificación en la pantalla del usuario si otra persona distinta de la que ha iniciado sesión o un programa externo distinto de Outlook 2003 tienen acceso a la libreta de direcciones de Outlook.

Outlook 2003 hace frente a otra práctica con fines maliciosos denominada señalización Web: un método utilizado para determinar y recopilar direcciones de correo electrónico válidas. Por ejemplo, un remitente podría incluir una imagen especialmente codificada en un mensaje de correo electrónico remitido a un destinatario desprevenido. La imagen está codificada de forma que cuando se muestre se le notifique al remitente la dirección de correo electrónica válida del destinatario. Los usuarios de Outlook 2003 están protegidos contra la señalización Web porque las imágenes ya no se muestran automáticamente.

Microsoft IT refuerza constantemente el control sobre las versiones cliente en su infraestructura de mensajería impidiendo de antemano que las versiones antiguas de los clientes de Outlook tengan acceso a sus servidores Exchange. Con el mantenimiento del control de versiones para el software cliente de correo electrónico se garantiza que los usuarios puedan utilizar las características de seguridad integradas en las últimas versiones de Outlook.

Principio de la página

Otras tecnologías de protección de la mensajería

Una estrategia exhaustiva de protección de la mensajería no sólo debe defender contra virus y correo electrónico no deseado, sino también contra otras amenazas procedentes del correo electrónico, como el bombardeo de correo, es decir, la inundación del buzón de un destinatario específico o de todo un sistema de correo electrónico con una cantidad ingente de correo electrónico con la intención de bloquear el sistema. Este tipo de ataque no es simplemente una molestia y no es sólo correo electrónico no deseado; es un ataque dirigido de denegación de servicio.

Otro tipo de amenaza son los ataques de recolección de directorios, que son intentos de descubrir grandes volúmenes de direcciones de destinatarios mediante el análisis de las respuestas del servidor a comandos de ejecución de correo electrónico. Los ataques de recolección de directorios se producen cuando se envía correo electrónico no deseado a un servidor de correo electrónico utilizando una gran variedad de nombres de usuario alfanuméricos posibles. Cuando un servidor de correo electrónico está configurado para devolver al remitente los mensajes que no se pueden entregar, el emisor del correo electrónico no deseado puede analizar los resultados recibidos para averiguar qué direcciones de correo electrónico no le han sido devueltas y determinarlas como válidas.

Para combatir estos tipos de amenazas, no basta con disponer de soluciones de protección contra virus y correo electrónico no deseado. Actualmente, Microsoft IT emplea las características de seguridad de Exchange Server 2003 descritas en esta sección para contrarrestar estas y otras amenazas similares.

Filtrado de conexiones

Exchange Server 2003 incluye una característica denominada filtrado de conexiones, que compara la dirección IP del servidor de conexión con una lista de direcciones IP denegadas (denominada también lista de bloqueo en tiempo real). La comparación de direcciones IP se produce en cuanto se inicia la sesión SMTP, lo que permite a las organizaciones bloquear las conexiones con sus puertas de enlace en las primeras etapas de envío de mensajes. La conexión se interrumpe antes de que un servidor incluido en la lista de bloqueo en tiempo real envíe mensajes. Este enfoque proporciona un ahorro de rendimiento tanto en los niveles de mensajería como en los de red.

Las organizaciones pueden establecer el filtrado de conexiones en Exchange Server 2003 manualmente creando una lista de aceptación global y otra de denegación global, o mediante bases de datos de direcciones IP bloqueadas conocidas (denominadas también listas de bloqueo en tiempo real) mantenidas por otros fabricantes.

Listas de aceptación y denegación globales

Las organizaciones pueden crear su propia lista estática de direcciones IP denegadas. Como su propio nombre indica, una lista de denegación global contiene direcciones IP y redes de las que una organización no desea aceptar nunca correo electrónico. Y, a la inversa, las organizaciones pueden crear una lista de aceptación global: una lista de direcciones IP y redes a las que la organización no desea aplicar directivas de bloqueo o filtrado de correo electrónico. La lista de aceptación global podría incluir direcciones IP pertenecientes a organizaciones filiales o socios con los que la organización mantiene relaciones de confianza. En estas circunstancias, la organización no desea correr el riesgo de identificar por error los mensajes de estas organizaciones como correo electrónico no deseado, por lo que las direcciones IP de confianza de los servidores de correo electrónico del remitente se agregan a la lista de aceptación global de la organización.

Nota: además de utilizar listas de aceptación y denegación globales, una organización puede configurar Exchange Server 2003 para que acepte o rechace conexiones a partir de las direcciones IP. Esta configuración se puede definir en cada servidor virtual SMTP y tiene prioridad sobre las características de filtrado de IP global de las listas de aceptación global, las listas de denegación global y las listas de bloqueo en tiempo real.

Listas de bloqueo en tiempo real

Una lista de bloqueo en tiempo real es un base de datos de direcciones IP de fuentes de correo electrónico no deseado conocidas y comprobadas basada en DNS (Sistema de nombres de dominio). Estas listas se pueden obtener de empresas que se dedican a supervisar constantemente Internet y a realizar un seguimiento de las fuentes conocidas de envío de correo electrónico no deseado. Cuando se detectan, las direcciones IP agresoras se agregan a la base de datos de la lista de bloqueo en tiempo real. Estas listas suelen estar disponibles de forma gratuita o mediante el pago de una cuota si el administrador de mensajería desea recibir más servicios.

Exchange Server 2003 permite el uso de listas de bloqueo en tiempo real de otros proveedores. Cuando el servidor Exchange Server 2003 se configura para que utilice una lista de bloqueo en tiempo real de otro proveedor, comprueba la dirección del servidor de envío con la base de datos de la lista de bloqueo en tiempo real y deniega la conexión si encuentra una dirección coincidente.

Dado que la función de lista de bloqueo en tiempo real basa sus decisiones de filtrado en la dirección IP del servidor de envío en lugar de en el contenido del mensaje, las listas de bloqueo en tiempo real pertenecen técnicamente a una categoría distinta de software de protección contra correo electrónico no deseado de otros fabricantes. Las listas de bloqueo en tiempo real actúan como guardas de seguridad, que impiden que los mensajes procedentes de servidores malintencionados o dudosos conocidos lleguen al entorno. Un mensaje que consigue pasar las listas de bloqueo en tiempo real está un paso más cerca de entrar en la red, pero sólo hasta que pueda examinarse su contenido en el siguiente nivel de protección de la mensajería mediante, por ejemplo, un software de protección contra correo electrónico no deseado.

Debido al volumen de consultas DNS relacionadas con las listas de bloqueo en tiempo real realizadas diariamente por Microsoft IT (decenas de millones), Microsoft IT transfiere una copia gemela de la lista de bloqueo en tiempo real a sus servidores DNS a intervalos de tiempo predeterminados (normalmente, varias veces al día). La mayoría de proveedores de listas necesitan copias locales de las listas de bloqueo en tiempo real para volúmenes de consultas superiores a las 250.000 consultas diarias. La transferencia de una copia de la lista de bloqueo en tiempo real recibe el nombre de transferencia de zona del proveedor de listas. Microsoft IT configuró sus puertas de enlace de Exchange Server 2003 para realizar consultas DNS relacionadas con las listas de bloqueo en tiempo real a esos servidores DNS locales.

Proveedores de listas de bloqueo en tiempo real

Como los distintos proveedores de listas de bloqueo en tiempo real ofrecen tipos diferentes de listas y servicios, Microsoft IT examinó concienzudamente varios proveedores antes de elegir uno. Microsoft IT basó su decisión en las respuestas de los proveedores a las preguntas siguientes:

Temas de administración

Una de las consideraciones más importantes cuando una organización utiliza un servicio de lista de bloqueo en tiempo real es disponer de un proceso que controle los remitentes legítimos incluidos por error en la lista. Microsoft IT configuró sus puertas de enlace para enviar notificaciones a los remitentes rechazados por las listas de bloqueo en tiempo real. El mensaje de notificación generado para las conexiones bloqueadas indica el motivo por el que se ha rechazado el mensaje y el proveedor y la lista de bloqueo en tiempo real que ha causado el bloqueo. El remitente debe ponerse en contacto con el proveedor de la lista de bloqueo en tiempo real, resolver el problema y conseguir que sus direcciones IP se retiren de la lista.

Las organizaciones preocupadas por el bloqueo de remitentes legítimos, o que no confían en que los remitentes se pongan en contacto con el proveedor de la lista de bloqueo en tiempo real, pueden crear una cuenta de correo electrónico o un grupo de distribución y agregarlo a la lista de excepciones de Exchange Server 2003. Los mensajes enviados directamente a los destinatarios incluidos en la lista de excepciones no pasan por las reglas de la lista de bloqueo en tiempo real. El peligro de utilizar esta dirección de correo electrónico es que los atacantes pueden enviar correo electrónico no deseado a esa dirección. Si esto sucede, la dirección se puede cambiar fácilmente.

Para las grandes empresas que decidan administrar copias locales de las bases de datos de listas de bloqueo en tiempo real en sus servidores DNS, es importante que todos lo equipos participantes estén coordinados y trabajen en estrecha colaboración. Por ejemplo, en Microsoft, el equipo de ingeniería de DNS configura la copia gemela local en las bases de datos DNS de listas de bloqueo en tiempo real, pero las puertas de enlace de Exchange Server, el principal consumidor de esta información, se administran en el grupo de asistencia técnica de Exchange. Los grupos coordinaron sus actividades con sumo cuidado y siguieron un proceso estricto. El gran tamaño de algunas de las listas podía afectar al rendimiento de la infraestructura DNS. El equipo de ingeniería de DNS llevó a cabo las pruebas y la evaluación necesarias para determinar cómo afectarían las listas a su entorno. Ambos grupos continúan trabajando estrechamente para satisfacer sus objetivos.

Filtrado de remitentes

El filtrado de remitentes examina la dirección De de cada mensaje de correo electrónico entrante y la compara con una lista de remitentes bloqueados configurada por el administrador. La lista incluye las direcciones de correo electrónico y los dominios de los que Microsoft IT no acepta correo electrónico. Normalmente, la lista contiene direcciones que envían un gran volumen de correo electrónico no deseado, como el correo procedente de sitios no relacionados con la empresa. Microsoft IT no considera a estos remitentes atacantes, sino simplemente dominios o personas de los que no desea recibir correo electrónico.

El filtrado de remitentes por sí solo no es un antídoto adecuado contra el envío de correo electrónico no deseado en continuo cambio. Puesto que el correo electrónico no deseado a menudo procede de remitentes dinámicos o aleatorios, el filtrado basado en direcciones de remitentes específicos no es muy eficaz. Sin embargo, puede resultar útil para reducir los riesgos de ataques de bombardeo de correo procedentes de una fuente o dominio de correo electrónico específico. En el entorno de Microsoft IT, la característica de filtrado de remitentes bloquea por sí sola cientos de miles de mensajes al día.

Filtrado de remitentes sin identificar

Los mensajes de correo electrónico legítimos incluyen normalmente una dirección de correo electrónico del remitente válida. Los mensajes que tienen la dirección De vacía no suelen ser legítimos. Microsoft IT utiliza Exchange Server 2003 para bloquear estos mensajes en sus puertas de enlace y, de este modo, reducir aún más la cantidad de correo electrónico no deseado que acepta el entorno.

Búsqueda de destinatarios

Microsoft IT emplea también la búsqueda de destinatarios en sus servidores de puerta de enlace de Exchange Server 2003. Esta característica de Exchange Server 2003 garantiza la validez del destinatario en el nivel de protocolo antes de aceptar la responsabilidad de entregar un mensaje; rechaza los mensajes enviados a usuarios inexistentes.

La búsqueda de destinatarios es útil porque otros filtros no capturan siempre este tipo de mensajes. El procesamiento de grandes volúmenes de este correo electrónico no deseado sobrecarga innecesariamente los servidores de mensajería y toda la red. Esta característica reduce la cantidad de correo electrónico para el que, de otro modo, el sistema tendría que utilizar recursos para su intento de entrega y posterior devolución.

Los administradores deben implementar la búsqueda de destinatarios con precaución. Podría desproteger el entorno de mensajería frente a ataques de recolección de directorios. Para reducir el riesgo de estos ataques, el enfoque común es retrasar la respuesta de las solicitudes remitidas a destinatarios no válidos. De esta forma, se impide que se recopilen rápidamente las direcciones de correo electrónico mientras los mensajes aún bloqueados se envían a destinatarios no válidos. Microsoft IT configura sus puertas de enlace de Exchange Server 2003 para reducir el riesgo de ataques de recolección de directorios ralentizando la respuesta del servidor a destinatarios no válidos mientras continúa aceptando normalmente los mensajes válidos. Para obtener más información sobre este proceso, consulte el artículo de Microsoft Knowledge Base “Existe una actualización de software que ayuda a impedir la enumeración de direcciones de correo electrónico de Exchange 2003” (en inglés) en http://support.microsoft.com/?id=842851.

Filtrado de destinatarios

La característica de filtrado de destinatarios entrantes de Exchange Server 2003 permite a Microsoft IT protegerse o reducir el impacto del bombardeo dirigido de correo electrónico. A menudos, los destinatarios a los que se dirigen estos ataques no necesitan en ningún caso recibir mensajes de Internet. El filtrado de destinatarios rechaza los mensajes en el nivel de puerta de enlace a partir de criterios tales como a quién se envía el mensaje.

Aunque el filtrado de destinatarios no es tan eficaz como las soluciones de protección contra correo electrónico no deseado en tiempo real en la lucha contra las amenazas en tiempo real de este tipo de correo, puede ser extremadamente útil para reducir los riesgos de ataques de bombardeo de correo. Recientemente, el uso del filtrado de destinatarios ha permitido a Microsoft IT bloquear millones de mensajes remitidos a unos pocos destinatarios en un solo día.

Grupos de distribución restringidos

Los grupos de distribución de correo electrónico son sumamente útiles en las organizaciones, pero pueden aumentar el volumen de los mensajes y crear nuevos puntos débiles en el entorno de mensajería. Los grupos de distribución puede contener un gran número de destinatarios y son un blanco prioritario para los remitentes de correo electrónico no deseado y malintencionado. El envío con éxito de un correo electrónico malintencionado a un grupo grande de distribución es mucho más nocivo que el envío del mismo mensaje a un destinatario específico.

Microsoft IT utiliza las características de Exchange Server 2003 que permiten a los administradores restringir los grupos de distribución de correo electrónico de dos formas. La primera de ellas es configurar un grupo de distribución para que sólo acepte mensajes de una lista de remitentes especificados. La segunda es configurarlo de forma que sólo acepte mensajes de usuarios autenticados. Si el remitente no está autenticado, el mensaje remitido a un grupo de distribución protegido se bloquea. Microsoft IT va aún más lejos y restringe todos los grupos de distribución que no necesitan enviar ni aceptar correo electrónico de Internet; es decir, impide que usuarios externos envíen correo a esos grupos de distribución.

Supresión de la resolución de nombres mostrados de remitentes

Microsoft IT emplea una característica de Exchange Server 2003 que permite a los administradores suprimir la resolución automática de nombres mostrados de remitentes de los mensajes de correo electrónico entrantes que se envían de forma anónima. Normalmente, cuando la dirección de un remitente coincide con la dirección de un proxy encontrada en el servicio de directorio Active Directory®, el cliente Outlook 2003 resuelve automáticamente la dirección del remitente en el nombre mostrado correspondiente. En Exchange Server 2003, los administradores tienen ahora la capacidad de suprimir la resolución automática del nombre mostrado del remitente. Cuando se suprime la resolución del nombre mostrado, el mensaje se marca de forma que Outlook 2003 no resuelve el nombre mostrado, y el remitente ve la dirección de correo electrónico de Internet (como fulanito@ejemplo.com) en el encabezado del mensaje de Outlook en lugar del nombre mostrado de la Lista global de direcciones. Esta característica proporciona, por consiguiente, al destinatario una indicación visual de que el mensaje se originó fuera de la organización de Exchange Server 2003 y de que, por tanto, podría tratarse de una suplantación.

Principio de la página

Prácticas recomendadas

Microsoft IT es consciente de que el entorno de cada cliente es único, si bien todos ellos se enfrentan a los mismos problemas de correo electrónico no deseado, virus, ataques de correo electrónico y amenazas de seguridad relacionadas con el correo electrónico. Microsoft IT ha desarrollado o implementado las siguientes prácticas recomendadas para garantizar que dispone del máximo nivel de defensa posible sin que la capacidad de uso resulte afectada:

Principio de la página

Conclusión

Al igual que muchas empresas de hoy en día, Microsoft IT debe estar vigilante en su lucha contra el correo electrónico no deseado, los virus, los ataques de correo electrónico y otras amenazas de seguridad contra su infraestructura. Aunque Microsoft IT se enfrenta a algunos desafíos poco frecuentes debido a su singular entorno operativo (una combinación compleja de servidores, plataformas, aplicaciones y sistemas operativos, publicados y no publicados), comparte con sus clientes los mismos principios básicos de protección de la seguridad de su infraestructura.

El tema primordial de la estrategia de protección de la mensajería de Microsoft IT es la necesidad de utilizar un enfoque de varios niveles. Cualquier intento de combatir el correo electrónico no deseado, los virus y otros ataques malintencionados en un único nivel de la infraestructura es sencillamente insuficiente. En consecuencia, Microsoft IT ha implementado software antivirus en varios niveles de toda la infraestructura de mensajería. Microsoft IT ha reforzado su defensas mediante una combinación de soluciones de otros fabricantes y un sinfín de características integradas de Exchange Server 2003 y Outlook 2003.

Uno de los principios que guía la estrategia de Microsoft IT es que debe impedirse la entrada a la red de la mayor parte del correo electrónico no deseado y mensajes malintencionados. Por ese motivo, Microsoft IT emplea un gran variedad de procesos de filtrado en la puerta de enlace de la red. Microsoft IT ha mejorado también la infraestructura de red eliminando uno de los grupos de servidores dedicados de su topología de mensajería anterior. Todos estos esfuerzos han contribuido a reducir el costo total de propiedad de Microsoft IT. Microsoft IT es consciente de la naturaleza fluida de su entorno y continuará revisando su estrategia de protección de la mensajería en respuesta a la continua y cambiante oleada de peligros que acechan su red a través de Internet.

Principio de la página

Para obtener más información

Para obtener más información acerca de los productos o servicios de Microsoft, llame al Microsoft Sales Information Center al número de teléfono (800) 426-9400 (sólo desde los EE.UU.). En Canadá, llame al Microsoft Canada Information Centre al número de teléfono (800) 563-9048. Fuera de Canadá o de los 50 estados de EE.UU., póngase en contacto con la subsidiaria local específica de Microsoft. Para obtener acceso a la información a través del World Wide Web, vaya a las direcciones siguientes (páginas en inglés):

http://www.microsoft.com

http://www.microsoft.com/itshowcase

Si tiene alguna pregunta, comentario o sugerencia acerca de este documento, o desea obtener más información acerca de Microsoft IT Showcase, envíe un mensaje de correo electrónico a la dirección:

showcase@microsoft.com

Principio de la página