- 1 Características
- 1.1 Perímetro de seguridad (Inbound)
- 1.2 Prevención de ataques DDoS (Inbound)
- 1.3 Disaster Recovery (Inbound / Outbound)
- 1.4 Control de SPF y SenderID (Inbound)
- 1.5 Control de SPF y SenderID (Outbound)
- 1.6 IPv6 (Inbound / Outbound)
- 1.7 Invulnerabilidad contra SHA-1
- 1.8 Protección contra Backscattering (Inbound)
- 1.9 Tecnología de filtrado Bayesiano (Inbound)
- 1.10 Detección de Bots y Zombies (Inbound)
- 1.11 Generación de firmas DKIM (Outbound)
- 1.12 Control de Spam (Outbound)
- 1.13 Control de Bots y Zombies (Outbound)
- 1.14 White y Blacklists Configurables (Inbound)
- 1.15 Zero-day Protection (Inbound / Outbound)
- 1.16 Header Analysis (Inbound / Outbound)
- 1.17 Tamaño de los adjuntos de 50MBytes (Inbound / Outbound)
- 1.18 Mailaudit (Inbound / Outbound)
- 1.19 Control de Cuarentena (Inbound)
- 1.20 Dashboard (Inbound y Outbound)
- 1.21 Autenticación de Mail Saliente (Outbound)
- 1.22 Usuario Administrador (AVAS)
- 1.23 Acceso de Usuario Final (AVAS)
- 1.24 Uso de SSL/TLS (Inbound / Outbound / AVAS)
- 1.25 AVAS por repositorio IMAP: (AVAS)
- 1.26 Control de Adjuntos con Doble Extensión (Inbound / Outbound)
- 1.27 Control de extensión de adjuntos (Inbound / Outbound)
- 1.28 Detección de Phishing y Scam E-mails (Inbound)
- 1.29 Resumen y Gráficos de Mails Recibidos (Inbound / AVAS)
- 1.30 Búsqueda de Mails (Inbound / Outbound / AVAS)
- 1.31 Multilenguaje
- 1.32 Importación Masiva de Usuarios (AVAS)
- 1.33 White Label (AVAS)
- 1.34 Retención ante Indisponibilidad (Inbound)
Características
Ya que AVAS es una base de datos central para controlar mail entrante (Inbound) y mail saliente (Outbound) se aclara en la lista de características si las mismas son Inbound, Outbound, y/o AVAS (para referirnos al software de interfaz gráfica web y su base de datos)
Perímetro de seguridad (Inbound)
Antes de activarse la clasificación de antivirus, antispam y control de headers, existe un anillo protector basado en controlar si las IPs que intentan conectarse a los MX, están listadas en ciertas listas negras. Esa evaluación se hace basada en una evaluación de tres listas negras públicas: zen.spamhaus.org, bl.spamcop.net y b.barracudacentral.org. En caso de acumular un alto puntaje, la IP entrante que intenta conectarse al MX es filtrada y no se la deja pasar (Esto es conocido como Deny and Drop)
Prevención de ataques DDoS (Inbound)
A través del Perímetro de Seguridad, se establece un primer mecanismo de throttling para frenar ataques de IPs ofensivas, de manera que no lleguen nunca a ocasionar Denegación de Servicio. A su vez, a través de otro mecanismo del kernel Linux, se filtran ataques DDoS del tipo de apertura de sockets con un mecanismo llamado TCP Cookies, que también impone un freno a las IPs ofensivas.
Disaster Recovery (Inbound / Outbound)
Planisys opera en tres Datacenters en tres regiones planetarias diferentes (Oeste de EEUU, Este de EEUU y Europa Occidental), y provee IPs para sus servicios que se encuentran en esos Datacenters, proveyendo de esta manera un mecanismo natural de DR en caso de pérdida parcial o total de conectividad de alguno de sus nodos.
Control de SPF y SenderID (Inbound)
El clasificador antispam se basa en puntajes, y otorga un puntaje alto a aquellos e-mails que no son originados en las direcciones IP declaradas oficialmente en el registro SPF del dominio. Lo mismo ocurre con SenderID, que es un mecanismo similar basado en registros públicos de DNS.
Control de SPF y SenderID (Outbound)
Aquellos dominios que van a ser utilizados como remitentes Outbound (remitentes de e-mails salientes) deberán tener un registro TXT en sus DNS que incluya la palabra clave “include:spf.planisys.net“, para incluir los rangos IPv4 e IPv6 de Planisys.
IPv6 (Inbound / Outbound)
Planisys posee redes propias IPv4 e IPv6, y utiliza ambas en sus servidores Inbound, Outbound y AVAS.
Invulnerabilidad contra SHA-1
Los certificados que utiliza Planisys cubren todo el espectro *.planisys.net y son SHA-256
Protección contra Backscattering (Inbound)
Esta protección se deriva Perímetro de Seguridad sumado a otro control de rebotes especial, ya que el backscattering consiste en ataques para generar enormes cantidades de rebotes.
Tecnología de filtrado Bayesiano (Inbound)
Este filtro utiliza una fórmula matemática y se va alimentando de mails clasificados como Ham (correo válido, generalmente mails salientes) y Spam (correo entrante que presentó evidencias de spam) para, a lo largo del tiempo, tener una nueva fuente de clasificación basada en algoritmos estadísticos.
Detección de Bots y Zombies (Inbound)
Esta detección se realiza por medio del Perímetro de Seguridad, y además a través de una técnica de filtrado que identifica direcciones IP que envíen mails sistemáticamente clasificados como Spam
Generación de firmas DKIM (Outbound)
Los relays salientes esperan encontrar una clave pública predefinida por Planisys en el DNS de un dominio usado como remitente en un mail saliente. Se trata de un registro TXT con un formato tipo:
selector1._domainkey.dominio.com. IN TXT “”k=rsa\; p=MIGfMA0G…….PwIDAQAB\; t=y”
Si el relay saliente encuentra este registro DNS en el dominio que figura como remitente de un e-mail saliente, va a firmar digitalmente el e-mail con el algoritmo DKIM
Control de Spam (Outbound)
El sistema de clasificación de spam funciona también para los e-mails salientes, estableciendo un umbral de tolerancia o puntaje máximo, a partir del cual el mail es clasificado como spam y se descarta.
Control de Bots y Zombies (Outbound)
A partir del control de spam outbound sumado a un control de cantidad de mails salientes permitidos por día, se realiza un control efectivo que permite controlar estallidos o brotes de spam de gran volumen producidos por infección del cliente de mail en el desktop del usuario final. Se generan alertas al administrador, que indican en general que el desktop del usuario ha sido infectado por un botnet.
White y Blacklists Configurables (Inbound)
La interfaz web permite declarar direcciones de mail y dominios enteros como parte de Whitelist o Blacklist.
Zero-day Protection (Inbound / Outbound)
El antivirus utilizado por Planisys, tanto Inbound como Outbound, incluye las firmas de Securiteinfo, Sanesecurity, LinuxMalwareDetect, FOXHOLE, OITC, Scamnailer, BOFHLAND, CRDF, eXtremeShok y MalwarePatrol, que son actualizadas cada hora y contienen protección a zero-day threats.
Header Analysis (Inbound / Outbound)
El antispam puede ser alimentado con reglas custom para impedir determinados encabezados que sean reportados por el cliente como ataques
Tamaño de los adjuntos de 50MBytes (Inbound / Outbound)
El sistema AVAS permite adjuntos tanto en el e-mail saliente como el entrante, de hasta 50 Megabytes.
Mailaudit (Inbound / Outbound)
Los encabezados de cada mail entrante o saliente son grabados en una base de datos, cuyo contenido es explotado con diferentes vistas y búsquedas desde la interfaz web del AVAS. Esto permite una funcionalidad de búsqueda de logs de mails recibidos y enviados en tiempo real, sin delay adicional ni necesidad de reportes posteriores.
Control de Cuarentena (Inbound)
EL usuario final, los administradores o super-administradores tienen la potestad de liberar un mail que el AVAS ha colocado en cuarentena, al considerar que se trata de un mail válido.
Dashboard (Inbound y Outbound)
En una única consola web se agrupan todos aquellos dominios que tengan un maildrop de delivery de mail entrante común. En general se trata de dominios que todos residen en el mismo repositorio IMAP (p.ej. Zimbra o Exchange o Dovecot o Cyrus, etc).
Autenticación de Mail Saliente (Outbound)
Para enviar mails a través de los relays salientes de un AVAS, se puede autenticar a través de una Trusted IP (todos los mails provenientes de esa dirección se consideran como válidos) o a través de autenticación SASL (usuario y clave que son chequeados contra la autenticación IMAP del repositorio de mail, por ejemplo, del MS-Exchange)
Usuario Administrador (AVAS)
El sistema de permisos del AVAS contiene un super-administrador (en general para el operador del NOC o SOC).
Acceso de Usuario Final (AVAS)
Se puede realizar ABM de usuarios para que éstos se logueen vía web al AVAS y controlen su propio nivel de spam permitido, así como Whitelist/Blacklist y la gestión de su cuarentena
Uso de SSL/TLS (Inbound / Outbound / AVAS)
Tanto la interfaz web cifrada bajo HTTPS, como los MX y los relays, utilizan TLS como protocolo de cifrado preferido, pudiendo elegir de un catálogo de algoritmos de cifra aquellos que no sean considerados vulnerables. Se realiza una actualización constante de dichos algoritmos. En el caso de la interfaz, esta únicamente se puede acceder de manera cifrada. En el caso de los relays y los MX, se permite un fallback a modo no cifrado, para tener compatibilidad con aquellos sistemas de mail más antiguos o desprotegidos con los que se intenta comunicar.
AVAS por repositorio IMAP: (AVAS)
Actualmente, existe una interfaz web por cada repositorio IMAP (por ejemplo, por cada MS-Exchange a proteger), y no una única interfaz web para diferentes MS-Exchange a ser administrados por un único SOC o NOC. Esto permite una mayor resiliencia a fallas, eliminando SPOFs (Single-Point-of-Failure) al ser cada AVAS independiente del resto.
Control de Adjuntos con Doble Extensión (Inbound / Outbound)
Se chequea que un archivo adjunto no tenga una segunda extensión terminada en exe|vbs|pif|scr|bat|cmd|com|cpl|dll|jar. Por ejemplo, un adjunto archivo-malicioso.pdf.jar puede ser mostrado en algunas versiones o programas de MS-Windows o Android como un pdf inofensivo, pero que en realidad esconde un ejecutable Java.
Control de extensión de adjuntos (Inbound / Outbound)
Se chequean ciertas extensiones de archivos adjuntos aser bloqueadas, dada la peligrosidad de estar enviando o recibiendo mails que con un solo click pueden causar grandes daños. La lista completa de la versión actual es: exe|vbs|pif|scr|bat|cmd|com|cpl|jar|ade|adp|chm|exe|hta|ins|isp|jse|lib|lnk|mde|msc|msp|mst|sct|shb|sys|vb|vbe|vxd|wsc|wsf|wsh
Detección de Phishing y Scam E-mails (Inbound)
A través de la aplicación del las reglas standard más reglas propias de Spamassassin, se pone especial énfasis en ciertos parámetros que detectan Phishing con un porcentaje marginal de falsos positivos. Se pone especial atención a la puntuación SPF (IPs permitidas para un dominio), RDNS (IPs con DNS reverso correctamente configurado), Razor2, URIBL y otras redes colaborativas de detección de firmas, URLs, dominios e IPs que generan spam.
Resumen y Gráficos de Mails Recibidos (Inbound / AVAS)
Se puede visualizar, por cada dominio, cuántos mails se filtraron por spam, cuántos por virus, cuántos fueron buenos, y sus respectiva visualización gráfica semanal y mensual.
Búsqueda de Mails (Inbound / Outbound / AVAS)
Se pueden realizar búsquedas combinadas por Subject, From, To y Date, y las búsquedas históricas abarcan 60 días para atrás por default.
Multilenguaje
La versión actual sólo se encuentra en idioma inglés, pero se esta trabajando sobre las versiones en español y portugués para una próxima versión
Importación Masiva de Usuarios (AVAS)
Se puede realizar una importación masiva de usuarios y claves, o inclusive una integración de importación periódica de un export de Active Directory o Zimbra para tener sincronizadas cuentas y claves.
White Label (AVAS)
El servicio se comercializa en modalidad White Label con diferentes opciones de branding, pudiendo utilizarse el logo del revendedor o cliente.
Retención ante Indisponibilidad (Inbound)
En casos en que el Maildrop (Exchange o Zimbra) no responda, los MX del AVAS retienen los correos para reintentar periódicamente entregarlos al Maildrop cunado el mismo vuelva a encontrarse disponible. De esta manera, ante cualquier indisponibilidad del Maildrop no se pierden correos.
