AntiSpam

La funcionalidad AntiSpam de los equipos FortiGate permite gestionar los correos no solicitados detectando los mensajes de spam e identificando esas transmisiones. Los filtros antispam se configuran de un modo global, si bien son aplicados en base a perfiles de protección, al igual que el resto de funcionalidades del equipo.

El spam resta tiempo a los empleados, quienes se ven forzados a malgastar su tiempo en limpiar sus buzones de entrada, afectando por lo tanto de forma negativa a la productividad. Así mismo, los mensajes de spam hacen crecer los tamaños necesarios de los buzones de correo de los usuarios, haciendo crecer implícitamente el tamaño de los servidores necesarios para albergarlos. En resumen, se produce un consumo de recursos innecesario.

La funcionalidad AntiSpam ofrecida por los equipos FortiGate consiste en la aplicación de diferentes filtros sobre el tráfico de intercambio de correo electrónico (protocolos SMTP, POP3 e

IMAP). Aquellos filtros que requieren la conexión con servidores

tiempo real) se ejecutan de forma simultánea con los otros filtros, optimizando el tiempo de respuesta del análisis de los mensajes. Tan pronto como alguno de los filtros aplicados identifica el mensaje como spam se procede a realizar la acción definida para cada filtro que podrá ser:

 Marcar el mensaje como Spam (Tagged): el mensaje quedará identificado como Spam a través de una etiqueta que puede estar localizada en el título del correo o en el encabezamiento MIME.

 Descartar (Discard): Sólo para SMTP. En este caso el mensaje es desechado, pudiendo sustituirlo con un mensaje predefinido que advierta al usuario del envío de Spam.

La configuración de las distintas medidas AntiSpam que se pueden definir están divididas entre aquellas que se establecen mediante el servicio de filtrado de Spam de FortiGuard y aquellas que se definen de manera local.

Los servicios de AntiSpam de FortiGuard usan para ello una base de datos de reputación de IP del remitente, una base de datos de firmas de Spam conocido y otras sofisticadas herramientas de filtrado de spam. Dentro de este servicio se pueden configurar la comprobación de IP del remitente, de las URLs que vayan en el correo, incluyendo aquellas de phishing y del checksum del correo. Además se puede activar la opción de Spam Submission para notificar casos de correos legítimos identificado erróneamente como spam, lo que es conocido como falsos positivos.

Localmente es posible comprobar el dominio indicado por el remitente en el HELO de la conexión SMTP, establecer listas blancas/negras de IPs y/o correos y comprobar la existencia del dominio que aparece en el reply-to.

Dentro de esta separación, los distintos filtros antispam aplicados por la plataforma FortiGate a los mensajes de correo se basan en el control por origen del mensaje y el control por el contenido del mismo.

Control por Origen

Black White List: lista blanca/negra de IPs o direcciones de correo. Las direcciones de correo se pueden definir mediante wildcards o expresiones regulares.

FortiGuard IP Address check: comprueba contra los servidores de FortiGuard si la IP del remitente se encuentra en una lista negra. IP address black/white list check: el FortiGate comprueba si la IP del remitente pertenece a alguna lista blanca o negra configurada por el usuario.

HELO DNS lookup: el equipo hace una comprobación DNS para revisar que el dominio indicado por el remitente al inicio de la conexión SMTP, el cual se identifica con el comando HELO, realmente existe. Si no es así, cualquier correo entregado dentro de esa sesión se considera spam.

Email address black/white list check: el FortiGate comprueba si la dirección de correo del remitente pertenece a alguna lista blanca o negra configurada por el usuario.

También se pueden configurar DNSBL & ORDBL check (listas DNS Blackhole y Listas Open Relay Database), en las que se chequea el origen del mensaje contra listas de DNSB y ORDB predefinidas, identificadas como listas blancas (marcaríamos el mensaje como

clear) o listas negras. Las listas son configurables por el administrador de la plataforma FortiGate.

Control de Contenido

FortiGuard URL check: comprueba contra los servidores de FortiGuard si las URLs que se encuentran en el cuerpo del correo están asociadas con spam. Si esas URLs pertenecen a alguna lista negra determina que el correo es spam.

Detect phishing URLs in email: envía los links URL a los servidores de FortiGuard para identificar si se tratan de URLs de phishing. De ser así elimina el link.

FortiGuard email checksum check: el FortiGate obtiene el hash del correo y lo envía a los servidores de FortiGuard, los cuales lo comparan con los hashes de correos de spam guardados en su base de datos. Si se encuentra una coincidencia el correo se marca como spam.

FortiGuard spam submission: es un modo para informar al servicio antispam de FortiGuard que un correo que no es spam ha sido catalogado como spam (falso positivo). Para esto el FortiGate añade un link al final de todos los correos que categoriza como spam. Comprobación de las cabeceras MIME: Las cabeceras MIME (Multipurpose Internet Mail Extensions) son añadidas al email para describir el tipo de contenido, como puede ser el tipo de texto en el cuerpo del email o el programa que generó el email. Los spammers frecuentemente insertan comentarios en los valores de las cabeceras o las dejan en blanco, por lo que pueden utilizarse como filtros spam y de virus. Asimismo, los equipos FortiGate pueden utilizar las cabeceras MIME para marcar aquellos mensajes detectados como spam.

Banned word check: El equipo FortiGate puede controlar el spam mediante el bloqueo de emails que contienen palabras específicas o patrones reconocidos. Las palabras pueden ser definidas mediante comodines (wildcards) o expresiones regulares. Por ejemplo, la siguiente expresión capturaría la palabra “viagra” deletreada de varias maneras:

/[v|\/].?[iíl;1'!\|].?[a@àâäå0].?[gq].?r.?[a@àâäå0]/i. Solo es configurable vía CLI.

Además de todo esto, también se permite la inspección en modo flow, soportando la inspección de sesiones SSL. Junto con esto también es capaz de procesar mensajes fragmentados y la inclusión de una firma a todos los correos SMTP.

2.18.1. Servicio Fortiguard AntiSpam

Fortiguard AntiSpam es un servicio gestionado, administrado y actualizado por Fortinet y soportado por la red FortiGuard Network que dispone de listas propias de direcciones IP, direcciones e-mail, URL's, etc. que están continuamente actualizadas gracias a la detección de nuevos mensajes de spam a lo largo de todo el mundo. Mediante la utilización de honeypots en los que se detectan nuevos mensajes de spam, y la realimentación por parte de los equipos FortiGate y los clientes FortiClient existentes en todo el mundo, el servicio FortiGuard Antispam es capaz de actualizar las listas negras de forma casi inmediata ante la aparición de nuevos mensajes de spam a lo largo de todo el mundo.

El motor AntiSpam, continuamente mejorado, se actualiza periódicamente a través del servicio Fortiguard AntiSpam, sin ser necesario esperar a una actualización completa de firmware del equipo Fortigate para actualizar dicho motor.

Activación del Servicio mediante Perfiles de Protección

Al igual que el resto de funcionalidades, la activación de la funcionalidad AntiSpam de los equipos FortiGate se realiza en cada perfil de protección, aplicado posteriormente en las diferentes políticas definidas en el firewall.

2.18.2. Más características FortiGuard

 Actualizaciones de base de datos GeoIP en tiempo real

 Servicio de mensajería SMS

 Servidores DNS desde FortiGuard

 Servidores NTP desde FortiGuard

 Servicio de DNS dinámico FortiGuard

 Actualizaciones de Modem USB

 Actualizaciones para visibilidad de Dispositivos y Sistemas operativos

 Licencias del servicio FortiCloud

2.19. Data Leak Prevention (Prevención de Fuga de