Llegamos a ustedes gracias a:



Reportajes y análisis

Seguridad del correo electrónico

Revisión de cuatro soluciones de código abierto

Seguridad del correo electrónico

[05/02/2016] La seguridad del correo electrónico es una preocupación primordial en cualquier organización. Un porcentaje significativo de malware llega a través de correo electrónico, con la premisa de que un usuario desprevenido abrirá el mensaje, lo que permite el ingreso de la carga útil de malware a la máquina del usuario. A partir de ahí, el gusano malicioso se abre camino en la red y causa varias clases de estragos, a menudo no detectados, a veces durante meses o incluso años.

Entonces, no debería sorprender que una importante industria haya crecido en torno a la seria tarea de contener amenazas de correo electrónico. Decidimos revisar cuatro productos de código abierto para ver si podían ofrecer seguridad de nivel empresarial. Los cuatro productos fueron CipherMail, MailScanner, Scrollout F1 y hMailServer.

Cada producto tiene un enfoque único para la seguridad de correo electrónico. CipherMail tiene el enfoque más estrecho, ya que realiza una sola tarea principal, el cifrado de correo electrónico, con una pequeña dosis de la prevención de pérdida de datos (DLP, por sus siglas en inglés). Actúa como una puerta de entrada que utiliza cuatro diferentes estándares de encriptación para cifrar/descifrar el correo entrante y saliente.

En el otro extremo del espectro está hMailServer, un servidor de correo electrónico con todas las funciones que soporta protocolos de correo electrónico comunes y contiene soporte integrado para la protección contra virus y spam. En el medio, está Scrollout F1 y MailScanner.

Scrollout F1 está, según el vendedor, "diseñado para aquellos que no tienen experiencia avanzada en correo electrónico". Es principalmente una puerta de enlace de correo electrónico anti-spam diseñada para encajar con una infraestructura de correo electrónico existente, pero también tiene capacidades antivirus y encriptación.

MailScanner ofrece anti-spam, anti-virus y otras tareas de seguridad de correo electrónico. Es un producto maduro que ha existido desde el 2001, y de los cuatro productos que probamos ofrece el mayor número de características de seguridad de correo electrónico.

Al probar los productos que no se alinean en características para la función, nuestra atención se centra en la evaluación de lo bien que cada producto cumple con los objetivos declarados. Siempre estamos buscando la usabilidad y las características, además del rendimiento general. Al principio de la prueba identificamos a MailScanner y Scrollout F1 como destacados, sobre todo debido a que proporcionan un conjunto más completo de funciones de seguridad de correo electrónico y opciones de configuración.

MailScanner es probablemente la mejor solución para aquellos que laboran en un entorno más empresarial, ya que se puede instalar en una selección más amplia de plataformas y tiene un poco más de potencia de fuego que Scrollout F1. Sin embargo, Scrollout F1 es una excelente opción para aquellos que buscan una solución con características comparables a MailScanner, pero que pueden preferir un enfoque racionalizado. Encontramos que Scrollout F1 es uno de los productos más fáciles de ejecutar, mientras que MailScanner fue un poco más temperamental. Ambos proporcionan excelentes manuales de usuario en línea, con la ventaja de que MailScanner proporciona una explicación detallada de cada uno de las casi 350 opciones de configuración.

Nuestros finalistas son hMailServer y CipherMail, dos productos muy capaces, pero con algunas carencias comparándolos entre ellos. La mayor fortaleza y debilidad de CipherMail es la misma, solo proporciona cifrado de correo electrónico. Sin embargo, el cifrado puede ser una pieza muy importante de la cadena de seguridad de correo electrónico, y CipherMail hace un buen trabajo en eso sin añadir demasiada carga. Es fácil de instalar, tiene una interfaz intuitiva moderna y una gran documentación.

HMailServer fue el único producto de Windows en nuestra prueba. Se trata esencialmente de un servidor de correo en toda regla con múltiples funciones integradas de seguridad de correo electrónico, como verificación de spam y virus. Aunque no está diseñado para garantizar la seguridad de correo electrónico como su principal objetivo, mediante la configuración de las opciones de cuidado, puede conseguir una seguridad bastante decente.

Estas son las revisiones individuales.

CipherMail

La versión para la comunidad de CipherMail es un software de código abierto que se puede instalar en la mayoría de versiones de Linux utilizando un paquete de distribución, o como un dispositivo virtual para VMware o Microsoft Hyper-V. Se ejecuta en Java y requiere Postfix, así como Tomcat para la GUI Web. A diferencia de algunos de los otros productos que revisamos, CipherMail se centra en una única función del proceso de correo electrónico, es decir, el cifrado.

En el centro de CipherMail está el uso de certificados de claves para cifrar/descifrar/firmar mensajes de correo electrónico. Cuenta con un sistema incorporado en Certificate Authority (CA) que se puede utilizar para emitir certificados X.509 tanto para los usuarios internos como externos, la puerta de entrada también puede utilizar un servidor de CA externo. Los certificados y claves se pueden importar, almacenar y gestionar desde el almacén de certificados sin límites en el número de certificados y claves. Un certificado válido específico puede ser configurado para su uso en los niveles global, dominio o usuario. Esto significa que el usuario A puede utilizar un certificado y el usuario B uno diferente.

CipherMail

CipherMail se puede gestionar y configurar desde una GUI Web o utilizando una herramienta rudimentaria de configuración del sistema de la consola. No estamos del todo seguros de por qué, pero hay ciertas cosas que solo se pueden configurar desde la consola y otras solo desde la GUI Web, y hay elementos que se pueden configurar en ambas. La interfase de usuario Web tiene un aspecto moderno y es fácil de navegar, pero el rendimiento resultó un poco lento, incluso en nuestro servidor de prueba en el que no hay mucho tráfico y amplios recursos.

CipherMail proporciona a los administradores un poco de control granular, desde la configuración general del servidor a cómo se maneja el correo para las cuentas de usuario individuales. Afortunadamente, no tiene que configurar cada usuario individualmente, ya que los ajustes fluyen a partir de la configuración de fábrica; luego, las preferencias globales seguidas por las preferencias de dominio; y, finalmente, la cuenta de usuario. Por ejemplo, ciertas cuentas pueden ser obligadas a cifrar todos los mensajes salientes, mientras que otras cuentas no necesitan cifrar mensajes.

CipherMail encripta mensajes de correo electrónico utilizando una combinación de cuatro normas: S/MIME, OpenPGP, TLS y PDF de correo electrónico cifrado. Puede cifrar/descifrar mensajes de correo electrónico entrantes y salientes mediante el procesamiento de mensajes de correo electrónico antes o después de que salgan del servidor de correo. CipherMail funciona como un servidor SMTP y usa Postfix como el agente de transferencia de correo (MTA). Se puede integrar con la infraestructura de manejo de correo electrónico existente en varios aspectos, uno de los cuales es de entrega directa donde reside, entre el servidor de correo interno e Internet. Otra configuración común sería colocarlo entre el servidor de correo y un relé SMTP o entre un escáner de virus (y servidor de correo) e Internet.

El cifrado de mensajes de gran tamaño requiere de una gran cantidad de memoria y CipherMail por defecto asigna el 60% de la memoria disponible para la asignación dinámica de memoria (heap, por sus siglas en inglés), algo a tener en cuenta si el servidor no está dedicado a un correo electrónico. Al permitir límites de tamaño en los mensajes cifrados de correo electrónico, CipherMail asegura que el servidor no quede empantanado tratando de firmar y cifrar mensajes de correo electrónico muy grandes. Además de cifrar el propio mensaje de correo electrónico; CipherMail, cuando sea posible, también cifrará archivos adjuntos. Proporciona una variedad de entornos, especialmente centrados en los archivos adjuntos PDF, ya que este formato se utiliza a menudo para el intercambio de documentos por correo electrónico.

CipherMail también incluye un componente de correo web que permite un acceso seguro a los correos electrónicos cifrados a través de un navegador. También hay una aplicación CipherMail disponible para dispositivos Android. Además, proporciona una cierta prevención de pérdida de datos (DLP, por sus siglas en inglés) en los correos electrónicos, para que pueden ser analizados en busca de palabras clave o ciertos patrones, tales como números de tarjetas de crédito o de cuentas y mensajes de cuarentena que contengan dicha información.

En nuestro entorno de poco volumen, encontramos que CipherMail añade muy poco retraso en el procesamiento de correo electrónico, pero esto podría ser una historia diferente en instalaciones más grandes. Como se mencionó, el cifrado de mensajes de correo electrónico especialmente grandes puede ser que consuma muchos recursos, y para las organizaciones que cuentan con un gran volumen de correo electrónico con archivos adjuntos puede ser un problema. Aunque CipherMail proporciona una función bastante estrecha en la cadena de correo electrónico, puede ser muy importante, sobre todo en entornos en los que la información sensible necesita ser protegida y/o hay problemas de cumplimiento normativo. Hay una pequeña curva de aprendizaje para familiarizarse con todos los ajustes detallados, pero CipherMail ofrece excelente documentación que hace que esta tarea sea más fácil.

Scrollout F1

Scrollout F1 es una puerta de entrada de correo electrónico de código abierto que se instala en Debian Linux y se integra con los servidores de correo existentes, tales como Lotus Domino, Postfix y Microsoft Exchange. Scrollout F1 se puede instalar con algunos comandos de la terminal, o usando un ISO preconfigurado proporcionado por el vendedor.

Scrollout F1 se puede configurar y gestionar desde una GUI Web. Nos pareció que la configuración inicial era sencilla, solo requiere un nombre de host, IP, información de puerto y puerta de enlace. La página de inicio proporciona información básica acerca de los servidores y de utilización de indicadores para la carga de la CPU, la memoria, los usuarios y la red.

Scrollout F1 es principalmente una puerta de entrada para los correos electrónicos entrantes, lo que significa que todos los correos electrónicos pasan por la puerta de entrada antes de ser enviados al servidor de correo real, donde los correos electrónicos se entregan al usuario final. Puede ser configurado para manejar el correo electrónico de varios dominios y si se desea, se puede utilizar para el correo saliente, así como entrante. A excepción de los pocos parámetros de instalación mencionados anteriormente, el software viene preconfigurado con los ajustes adecuados para la mayoría de los ambientes.

Scrollout F1

Al igual que muchas otras aplicaciones de seguridad de correo electrónico, Scrollout F1 utiliza un sistema de puntuación para determinar si un mensaje es spam. Los administradores tienen un control granular sobre éste y otros ajustes de la pestaña de Seguridad, donde hay 15 categorías disponibles para configurar, que van desde nombres de host y filtros de direcciones URL a SpamAssassin y límites de la frecuencia. Cada categoría tiene un ajuste de 1 a 10, siendo 1 el más restrictivo; la configuración también tiene un código de color de verde oscuro (1) a rojo oscuro (10). Para cada categoría se puede leer detalles haciendo clic en el enlace de información que muestra lo básico para esta categoría. El correo electrónico que se considera spam puede ser puesto en cuarentena o se puede eliminar en base a la puntuación. Los correos electrónicos que contienen virus pueden ser manejados de la misma manera.

Además de verificar spam y virus, Scrollout F1 ofrece opciones de lista en blanco y negro, mensajes de correo electrónico o dominios de estas listas que están o bloqueados o aceptados sin ninguna comprobación adicional. Una característica que nos gustó en particular fue la capacidad de gestionar los correos electrónicos según el país. Los mensajes de correo electrónico entrantes se pueden obtener en base a tres ajustes de cada país, "zona de negocios, zona extranjera" y "fuera de área". A los países de la categoría de "negocio" se les permite pasar sin la adición de una puntuación de spam, a los "extranjeros" se les da una puntuación de spam basada en la ubicación, y los mensajes de correo electrónico "fuera de área" son bloqueados, utilizando métodos Geo tanto en el nivel de conexión como en el nivel de procesamiento de correo. Scrollout también incluye lista de bloqueo en tiempo real (RBL, por sus siglas en inglés) y se integra con Pyzor, un sistema colaborativo y en red diseñado para detectar y bloquear el spam mediante compendios de mensajes.

Además de la información básica del servidor que aparece en la página principal, hay un registro y estadística presentados en forma de gráfico. Los gráficos muestran el volumen total de tráfico de correo electrónico por periodo, como días o meses, con información sobre la cantidad de mensajes que fueron spam o que contenían virus. La integración con una infraestructura de correo electrónico existente es tan fácil como simplemente añadir la dirección IP de los servidores de correo que se encargan del correo electrónico para cada dominio.

Scrollout F1 ofrece varios videos en su sitio web, los cuales muestran cómo realizar diversas tareas de configuración. Para la mayoría de usuarios esto será más que suficiente ya que el software es fácil de usar por su cuenta. El soporte de pago está disponible, y hay un foro en el que se puede encontrar la información sobre los temas más complejos. El vendedor también ofrece filtrado de correo entrante como un servicio en la nube a partir de 15 dólares por mes para un máximo de dos dominios.

En general nos gustó Scrollout F1 por su facilidad de instalación y uso. Sin embargo, encontramos que la interfaz web es un poco difícil de leer con una fuente gris/blanco sobre un fondo negruzco. En nuestra opinión, la interfaz también podría beneficiarse de un ligero lavado de cara para que se vea más profesional.

hMailServer

HMailServer es un servidor de correo electrónico de código abierto que tiene algunas características de seguridad convincentes y es también uno de los pocos productos de servidor de correo electrónico de código abierto que se ejecuta de forma nativa en Windows.

Al igual que con cualquier software de procesamiento de correo, los requisitos del sistema dependen del número de cuentas de correo electrónico y el volumen de correo electrónico, pero hMailServer ofrece una relativamente pequeña huella, y afirma usar menos memoria RAM de 100MB para la mayoría de las instalaciones. Desde IMAP es más recursos que POP, hMailServer recomienda utilizar POP para instalaciones más grandes. Se utiliza una versión integrada luz de MS SQL Server para el almacenamiento, pero, alternativamente, puede integrarse con la mayoría de las versiones de SQL Server, MySQL y PostgreSQL.

hMailServer

Instalamos hMailServer en un servidor Windows utilizando un archivo EXE y la instalación inicial fue sencilla, con solo unas pocas instrucciones de configuración, como la selección de una carpeta de instalación y una contraseña. A diferencia de algunos de los productos revisados, hMailServer se gestiona desde un programa de Windows que se ejecuta desde el escritorio. La consola de administración es algo austera y anticuada, pero fácil de navegar y con una funcionalidad de ayuda que explica las diversas características. Algunas funciones se pueden manejar utilizando PHPWebAdmin para darle cabida a los entornos de Apache.

HMailServer tiene incorporadas varias protecciones de spam e intentos por determinar lo antes posible si un mensaje es spam o no, lo que permite preservar los recursos del servidor. Utiliza un sistema de puntuación, donde cada método de comprobación de spam añade un valor a una puntuación acumulada que se utiliza para determinar cómo se maneja un mensaje.

Además de los controles internos, los cuales incluyen los ejércitos HELO, comprobaciones SPF y DKIM, también puede utilizar las listas negras DNS de Spamhaus y Spamcop, junto con la comprobación externa SURBL. También tiene incorporado el apoyo a SpamAssasin. Si se determina que un mensaje sea correo no deseado, se puede enviar al destinatario con un encabezado de correo no deseado añadido o se puede eliminar, dependiendo de los ajustes.

Además de las características anti-spam, hMailServer proporciona lista gris. Este servicio esencialmente rechaza todo el correo en el primer intento de entrega, aprovechando el hecho de que los servidores de correo legítimos intentarán entregarlos de nuevo, mientras que los spammers a menudo se darán por vencido después de un solo intento. La desventaja es que esto causará demoras en la entrega de correo, pero hay maneras de evitar pasar por la lista gris para los remitentes que aprueban un control MX o SPF. Con hMailServer también es posible utilizar SSL para cifrar la comunicación entre el servidor y los clientes, así como las conexiones a otros servidores de correo. Cabe señalar que esta característica encripta la comunicación y la transmisión de la contraseña, no el propio mensaje real, por lo que no se puede comparar con un producto como CipherMail, que cifra el mensaje completo.

Es posible colocar direcciones de correo electrónico e IP específicas en lista blanca para eludir la comprobación de spam en remitentes que sabe no le enviarán correo no deseado. Esto reduce la carga en el servidor de correo, y puede tener sentido en ambientes donde se reciben un gran número de correos electrónicos de fuentes conocidas.

En cuanto a las características de anti-virus, hMailServer viene con soporte incorporado para ClamAV, un software antivirus de código abierto. Para utilizar ClamAV, necesita ser instalado como un servidor independiente, y le proporcionará la dirección y el puerto en la pestaña de configuración del antivirus dentro de hMailServer. También puede utilizar otros productos antivirus de terceros llamando a un archivo ejecutable desde la pestaña antivirus antes mencionada. Con la función de anti-virus nativo, varios tipos de archivos adjuntos también pueden ser rechazados y hay una lista inicial de los tipos comunes de archivos que deben ser rechazados (.exe, .bat, etc.). Una pequeña desventaja es que solo se puede utilizar un escáner de virus externo a la vez (además de ClamAV), pero esto no debe ser una desventaja para la mayoría de las instalaciones.

Otra característica poderosa del hMailServer es la capacidad de crear scripts VB para realizar ciertas tareas. Por ejemplo, puede buscar ciertos términos dentro de un correo electrónico y rechazar el mensaje como spam en base a varios términos. La función de script también se puede utilizar para diversos mensajes personalizados en el registro.

Productos de seguridad del correo electrónico: Pros y Contras
Scrollout F1 CipherMail MailScanner hMailServer
Pros Fácil de usar, ajustes preconfigurados que facilitan su funcionamiento 'fuera de la caja', soporte IPv6. Interfaz gráfica moderna y fácil de usar, documentación sólida, control granular de configuración. Se integra con múltiples fuentes abiertas, configuración flexible, muy buena documentación. Fácil de instalar y configurar, buena documentación, compatible con Windows (para aquellos en las plataformas Windows).
Contras Solo se ejecuta en Debian, interfaz de usuario difícil de leer y navegar en la mayoría de los dispositivos. Solo realiza el cifrado de correo electrónico Instalación inicial y configuración puede ser un poco engorroso. Carece de una interfaz web nativa basada en Windows.

Una desventaja potencial es que necesita instalar un servidor de correo en toda regla, con el fin de aprovechar el incorporado en las funciones de seguridad de correo electrónico; pero esto también puede ser visto como una ventaja para algunos. Nos gustaría ver un módulo de administración Web nativo con el fin de evitar la necesidad de utilizar una solución de escritorio remoto para administrar el servidor. Sin embargo, encontramos que hMailServer es una buena opción para aquellos que necesitan una solución basada en Windows.

MailScanner Email

MailScanner es software libre publicado bajo licencia GPL que se ejecuta en la mayoría de versiones de Linux y se integra con pasarelas de correo electrónico basadas en Linux. Los archivos de instalación se proporcionan como archivos .tar descargables y la instalación se completa a través de un script de shell que le guía a través de la instalación con varias indicaciones. Instalamos MailScanner en un servidor Ubuntu, pero esto no fue una tarea fácil. Después de una larga instalación, que incluye muchos pasos, MailScanner informó "El paquete MailScanner no se pudo instalar. Atender las dependencias necesarias y ejecute de nuevo la instalación". Después de 30 minutos fue bastante frustrante. En nuestra opinión, una verificación del sistema estaría bien en un producto que ha existido durante más de 15 años.

MailScanner

Como parte de la instalación puede seleccionar instalar un MTA como Postfix o Sendmail, también hay opciones para instalar SpamAssassin y ClamAV. MailScanner ofrece un "centro de mando" para varias otras herramientas de código abierto antispam y antivirus, así como más de 20 ofertas comerciales. Como algunos de los otros productos analizados, es un complemento a un servidor de correo existente y proporciona un motor de mensajes de pre procesamiento de correo electrónico. En cuanto a los requisitos del sistema, MailScanner puede ejecutarse en hardware bastante básico. Según MailScanner, un servidor con procesadores Xeon de doble núcleo, unidades de 2GB de RAM y SCSI pueden procesar 1,5 millones de correos electrónicos por día.

Una vez que la instalación básica ha finalizado, puede instalar una de varias interfaces gráficas de usuario Web para la gestión, o simplemente gestionar MailScanner desde el símbolo del sistema. Mailscanner llega con lo que llama configuraciones "sensibles" y "razonables" fuera de la caja, pero las mejores prácticas dictan (y el proveedor recomienda) que la configuración sea revisada y modificada según sea necesario antes de poner el producto en la producción. Las configuraciones se mantienen principalmente en un archivo conf de MailScanner, pero hay otros archivos de configuración disponibles. La versión actual tiene no menos de 346 opciones de configuración, que van desde dónde almacenar el correo en cuarentena a con qué listas de virus y spam se integran.

A excepción de algunos pequeños ajustes específicos a nuestro servidor de prueba, hemos elegimos utilizar los valores por defecto para la mayoría de nuestras pruebas.

Cuando el correo llega se procesa con cierto orden, con la determinación de si un mensaje es spam como el primer paso. Esto se logra mediante la comprobación del mensaje entrante contra varios RBLs. Si se determina que el mensaje procede de una fuente de spam conocida, se marca como spam y no se hacen más verificaciones, lo que ahorra los recursos de procesamiento. Si pasa el primer paso, el mensaje es procesado por SpamAssassin, que ejecuta varias pruebas y le asigna un valor de spam y efectúa la detección de virus por uno o varios escáneres de virus. El último paso consiste en analizar los archivos adjuntos, incluyendo el contenido de los archivos comprimidos, en contra de un conjunto de reglas, y rechazar o aceptar el archivo adjunto.

Como se mencionó anteriormente, deseamos que MailScanner tenga una mejor interfaz de instalación que proporcione más comentarios acerca de posibles problemas a medida que avance a través de la instalación. Sin embargo, una vez instalado nos gustó cómo MailScanner proporcionaba gran granularidad para el manejo de los mensajes que contienen spam y también su capacidad de integración con otros productos de correo electrónico de código abierto como ClamAV y SpamAssassin, así como productos comerciales de terceros. La documentación, esencialmente un libro de 400 páginas PDF por el fundador de MailScanner (Julian Field), es muy completa y con información detallada de todas las características.

Susan Perschke, Network World (EE.UU.)