Reputación del remitente y agente de análisis de protocolo

  • Artículo

Se aplica a: Exchange Server 2013

La reputación del remitente forma parte de la funcionalidad contra correo no deseado de Exchange que bloquea los mensajes según muchas características del remitente. La reputación del remitente depende de datos que se conserven de él para decidir la acción que efectuar con el mensaje entrante, si se debe realizar alguna. El agente de análisis de protocolo es el agente subyacente que se encarga de la función de reputación del remitente.

Al configurar agentes contra correo no deseado en un servidor exchange, los agentes actúan en los mensajes de forma acumulativa para reducir el número de mensajes no solicitados que entran en la organización.

Cálculo del nivel de reputación del remitente

El nivel de reputación del remitente (SRL) se calcula a partir de las siguientes estadísticas:

  • Análisis HELO/EHLO: los comandos HELO y EHLO SMTP están diseñados para proporcionar el nombre de dominio, como Contoso.com, o la dirección IP del servidor SMTP de envío al servidor SMTP receptor. Los usuarios malintencionados o spammers suelen falsificar la instrucción HELO/EHLO de diferentes formas. Por ejemplo, escriben una dirección IP que no coincide con la dirección IP desde la que se originó la conexión. Los spammers también ponen dominios que se admiten de forma local en el servidor de destino en la instrucción HELO para intentar aparentar que los dominios están en la organización. En otros casos, los spammers cambian el dominio que se pasa a la instrucción HELO. El comportamiento típico de un usuario legítimo puede consistir en usar un conjunto de dominios diferente, pero relativamente constante, en las instrucciones HELO.

    Por lo tanto, el análisis de la instrucción HELO/EHLO por remitente puede indicar que es probable que el remitente sea un spammer. Por ejemplo, un remitente que proporciona muchas instrucciones HELO/EHLO únicas en un período específico será, probablemente, un spammer. Los remitentes que proporcionan de forma coherente una dirección IP en la instrucción HELO que no coincide con la dirección IP de origen determinada por el agente de filtro de conexión también tienen más probabilidades de ser spammers. También es muy probable que lo sean los remitentes remotos que proporcionan constantemente un nombre de dominio local en la instrucción HELO que está en la misma organización que el servidor de Exchange.

  • Búsqueda inversa de DNS: la reputación del remitente también comprueba que la dirección IP de origen desde la que el remitente transmitió el mensaje coincide con el nombre de dominio registrado que el remitente envía en el comando HELO o EHLO SMTP.

    La reputación del remitente lleva a cabo una consulta de DNS inversa enviando la dirección IP de origen al DNS. El resultado que devuelve el DNS es el nombre de dominio registrado mediante el uso de la autoridad de nombres de dominio de esa dirección IP. La reputación del remitente compara el nombre de dominio que devuelve el DNS con el nombre de dominio que el remitente envió en el comando SMTP HELO/EHLO. Si los nombres de dominio no coinciden, es probable que el remitente sea un spammer y que su clasificación general de SRL aumente.

    El agente de Id. del remitente realiza una tarea similar, pero el éxito de este agente depende de los remitentes legítimos para actualizar su infraestructura de DNS e identificar a todos los servidores SMTP que envían correo electrónico en la organización. Al realizar una búsqueda inversa de DNS se puede identificar a potenciales spammers.

  • Análisis de clasificaciones de SCL en mensajes de un remitente determinado: cuando el agente de filtro de contenido procesa un mensaje, asigna una clasificación de nivel de confianza de correo no deseado (SCL) al mensaje. La clasificación SCL es un número comprendido entre el 0 y el 9. Una clasificación SCL alta indica que el mensaje tiene más posibilidades de ser correo no deseado. Los datos de cada remitente y las clasificaciones que obtienen sus mensajes se guardan para que la reputación del remitente los analice. La reputación del remitente calcula estadísticas para un remitente de acuerdo con la relación entre todos los mensajes de ese remitente que han obtenido una clasificación SCL baja en el pasado y todos los mensajes de ese remitente que han obtenido una clasificación SCL alta en el pasado. Asimismo, a la clasificación SRL general se aplica el número de mensajes con una clasificación SCL alta que ese remitente ha enviado el último día.

  • Prueba de proxy abierto del remitente: un proxy abierto es un servidor proxy que acepta solicitudes de conexión de cualquier persona en cualquier lugar y reenvía el tráfico como si se originase en los hosts locales. Los servidores proxy retransmiten el tráfico TCP a través de hosts de firewall para proporcionar a las aplicaciones de usuario acceso transparente a través del firewall. Dado que los protocolos proxy son ligeros e independientes de los protocolos de aplicación de usuario, muchos servicios diferentes pueden usar servidores proxy. Los servidores proxy también se pueden usar para compartir una única conexión a Internet mediante varios hosts. Normalmente, los servidores proxy se configuran para que solo los hosts de confianza dentro del firewall puedan atravesar los servidores proxy. Un remitente legítimo puede ser un proxy abierto debido a una configuración incorrecta involuntaria o malware.

    Los proxies abiertos constituyen la vía perfecta para que los usuarios malintencionados oculten su identidad verdadera e inicien ataques por denegación de servicio (DoS) o envíen correo no deseado. Dado que cada vez hay más servidores proxy configurados como abiertos de forma predeterminada, los proxies abiertos son cada vez más habituales. Además, los usuarios malintencionados pueden usar varios proxies abiertos para ocultar la dirección IP de origen.

    Si la reputación del remitente realiza una prueba de proxy abierto, lo hace mediante la aplicación de formato a una solicitud SMTP para intentar volver a conectarse al servidor Exchange desde el proxy abierto. Si se recibe una solicitud SMTP desde el proxy, la reputación del remitente comprueba que el proxy es un proxy abierto y actualiza la estadística de prueba de proxy abierto para ese remitente.

La reputación del remitente compara todas estas estadísticas y calcula un SRL para cada remitente. El SRL es un número comprendido entre el 0 y el 9 que predice la probabilidad de que un remitente específico sea un spammer o usuario malintencionado. El valor 0 indica que probablemente el remitente no sea un spammer, mientras que el valor 9 indica que probablemente lo sea.

Se puede configurar un umbral de bloqueo del 0 al 9, en el que la reputación del remitente emite una solicitud al agente de filtro de remitentes y bloquea al remitente para que no pueda enviar el mensaje a la organización. Cuando se bloquea a un remitente, este se agrega a la lista Remitentes bloqueados durante un período de tiempo que se puede configurar. La forma en la que se tratan los mensajes depende de la configuración del agente de filtro de remitentes. Las siguientes acciones son las opciones que se pueden elegir para tratar los mensajes bloqueados:

  • Rechazar

  • Eliminar y archivar

  • Aceptar y marcar como remitente bloqueado

Si el remitente está incluido en la lista de direcciones IP bloqueadas o en el servicio de reputación de IP de Microsoft, la reputación del remitente emite una solicitud inmediata al agente de filtro de remitentes para bloquear al remitente. Para aprovechar esta funcionalidad, debe habilitar y configurar el servicio de actualización antispam de Microsoft Exchange.

De manera predeterminada, la reputación del remitente establece una calificación de 0 para los remitentes que no se han analizado. Una vez que un remitente ha enviado 20 o más mensajes, la reputación del remitente calcula una SRL basada en las estadísticas enumeradas anteriormente en este tema.

Uso de la SRL

La reputación del remitente actúa en los mensajes en dos fases de la sesión SMTP:

  • En el comando MAIL FROM: SMTP: la reputación del remitente actúa en un mensaje solo si el mensaje se bloqueó o actuó de otro modo por el agente de filtro de conexión, el agente de filtro de remitente, el agente de filtro de destinatarios o el agente de id. de remitente. En este caso, la reputación del remitente recupera la clasificación de SRL actual del remitente del perfil de remitente que se conserva sobre ese remitente en el servidor de Exchange. Una vez recuperada y evaluada esta clasificación, la configuración del servidor exchange determina el comportamiento que se produce en una conexión determinada según el umbral de bloque.

  • Después del comando SMTP "fin de datos": el comando SMTP final de la transferencia de datos (EOD) se proporciona cuando se envían todos los datos reales del mensaje. En este momento de la sesión SMTP, muchos de los agentes antispam han procesado el mensaje. Como producto del procesamiento antispam, se actualizan las estadísticas en las que se basa la reputación del remitente. De esta forma, la reputación del remitente tiene datos para calcular o recalcular una calificación SRL para el remitente.

Para obtener más información, vea Administrar la reputación del remitente.

Habilitación y configuración de la detección de servidores proxy abiertos

La reputación del remitente evalúa varias características del remitente para calcular una SRL. Entre las características que evalúa la reputación del remitente se encuentran los resultados de una prueba para servidores proxy abiertos. Con frecuencia, los spammers enrutan los mensajes a través de servidores proxy abiertos en Internet. Al enrutar el correo no deseado a través de servidores proxy abiertos, los spammers pueden enviar mensajes que parecen originarse desde un servidor diferente al suyo propio.

Cuando la reputación de remitente calcula un SRL, intenta conectarse a la dirección IP de origen del remitente mediante varios protocolos proxy comunes, como son SOCKS4, SOCKS5, HTTP, Telnet, Cisco y Wingate. La reputación del remitente da formato a una solicitud específica del protocolo en un intento de volver a conectarse al servidor de transporte perimetral desde el servidor proxy abierto mediante una solicitud SMTP. Si se recibe una solicitud SMTP desde el servidor proxy, la reputación del remitente comprueba que el servidor proxy está abierto y ajusta la calificación de SRL de acuerdo con este resultado. De forma predeterminada, la detección de servidores proxy abiertos está habilitada en la reputación del remitente.

Para obtener más información sobre cómo habilitar y configurar la detección de servidores proxy abiertos, consulte Administración de la reputación del remitente.

Establecimiento del umbral de bloqueo de SRL

El SRL es un número comprendido entre el 0 y el 9 que predice la probabilidad de que un remitente específico sea un spammer o usuario malintencionado. Debe establecer un umbral para el bloqueo del remitente por SRL. Este umbral de bloque srl define el valor srl que se debe superar para que la reputación del remitente bloquee un remitente. De forma predeterminada, la SRL se establece en 7. Debe supervisar la eficacia del agente en el nivel predeterminado. Es posible que encuentre que puede ajustar el valor para satisfacer las necesidades de su organización. Si establece otros agentes antispam de forma agresiva, es posible que pueda establecer un umbral de SRL más alto para la reputación del remitente que si los otros agentes antispam no se establecieran de forma agresiva. Para obtener más información sobre cómo ajustar las configuraciones de antispam para que funcionen conjuntamente para reducir el correo no deseado, consulte Protección contra correo no deseado.

En un servidor de transporte perimetral, si se supera el umbral de bloque SRL para un remitente determinado, la reputación del remitente agrega el remitente a la lista Ip Block del agente de filtro de conexión. A veces, los spammers envían lotes de correo no deseado desde un único remitente. En esta situación, si la reputación del remitente calcula un SRL que supera el umbral de bloqueo de SRL, el remitente se agrega a la lista de remitentes bloqueados durante un intervalo de tiempo configurable. La duración predeterminada es de 24 horas. Transcurridas estas 24 horas, se quita al remitente de la lista de remitentes bloqueados para que pueda volver a enviar mensajes.

Cuando se agrega un remitente a la lista de direcciones IP bloqueadas, la reputación del remitente elimina el perfil de dicho remitente. La reputación del remitente elimina el perfil porque el perfil existente del remitente bloqueado indica que el SRL del remitente supera el umbral de bloqueo de SRL. Esto provocaría que el remitente bloqueado se agregara de nuevo a la lista de direcciones IP bloqueadas tan pronto como terminara el tiempo de bloqueo del remitente.

Para obtener más información, vea Administrar la reputación del remitente.