ScanMail for Exchange vs. IMSVA

Una pregunta muy común entre los administradores de seguridad que manejan soluciones de Trend Micro para correo, es ¿cuál es la diferencia entre ScanMail for Exchange (SMEX) con IMSVA ó incluso con HES?

La diferencia es grande entre estas soluciones, a continuación detallamos algunos de los puntos más importantes:

HES (Hosted Email Security)

Es una solución de protección de correo en el gateway totalmente hosteada y dirigida a pequeñas y medianas empresas que necesitan una administración fácil de su correo sin tener que invertir en hardware.

HES es una plataforma en la nube, hosteada por Trend Micro y se adquiere como un servicio, es decir, que el cliente final paga una cuota mensual por usar el servicio y puede cancelarlo en cualquier momento.

Ventajas:

  • Es una solución económica ya que el cliente final no necesita invertir en hardware ni en licencias para sistemas operativos para instalar la solución. Todo el hardware es adminsitrado y actualizado por Trend Micro.
  • Es una solución fácil de administrar. HES se administra desde una consola en la nube lo que permite al administrador acceder a la solución desde cualquier lugar.
  • SLA (Service Level Agreement): Trend Micro ofrece en esta solución un SLA agresivo que proporciona casi el 100%  de disponibilidad del servicio, además de la posibilidad de guardar el correo por 7 días (se puede verificar el número actual de días en el SLA del sitio de Trend Micro) en caso de que el servidor de correo del cliente deje de estar disponible, lo que asegura que el correo nunca se pierda.
  • Administración de parches. Debido a que el servicio está hosteado en la nube, se elimina la necesidad de aplicar parches a sistemas operativos y aplicaciones ya que Trend Micro se encarga de esa tarea, lo que disminuye costos en personal y tiempos de respuesta más altos en disponibilidad de servicio.
  • Manejo de cuarentena. Los usuarios pueden entrar a una consola en la nube desde la cuál pueden administrar fácilmente sus archivos en cuarentena, liberarlos y crear listas blancas personalizadas.
  • Soporta TLS.

Desventajas:

  • La configuración de políticas es muy básica, no se pueden hacer políticas muy granulares.
  • Los logs no se pueden ver en tiempo real, siempre hay un retraso de apróximadamente 2 horas entre los eventos y la hora en que pueden ser vistos en la consola de HES.
  • Debido a que es un servicio en la nube, no se puede tener control sobre las razones de alguna falla en la entrega de correo que no sea con los logs que arroja la consola.
  • No se pueden implementar protocolos adicionales a TLS, como SPF, Sender-ID y DKIM.
  • Cualquier problema con la consola debe reportarse directo a Trend, el cliente final no puede hacer nada por resolver un problema más que esperar una respuesta de Trend Micro.
  • El órden de las políticas no se puede modificar.
  • No se pueden modificar los límites máximos como número de destinatarios, tamaño del correo, tamaño de los adjuntos y número total de archivos adjuntos en un archivo comprimido.

IMSVA (InterScan Messaging Security Virtual Appliance)

Es una solución de protección en el gateway que se instala físicamente en las instalaciones del cliente final. Esto quiere decir, que la solución reside dentro de la infraestructura del cliente. A partir de la versión 8.0 se cuenta opcionalmente con Pre-Filtro que se puede activar / desactivar en cualquier momento. Este Pre-Filtro puede detener un alto porcentaje de correos maliciosos ó SPAM sin que este correo ocupe el ancho de banda de la empresa. El correo restante se entrega del Pre-Filtro al IMSVA local en las instalaciones del cliente para ser procesado por políticas más granulares.

Debido a que es una solución de gateway ó perímetro, esta solución, al igual que HES sirven para filtrar el correo entrante y saliente desde Internet pero no nos sirven para controlar el correo interno del cliente final. Es decir, el correo que se manda entre usuarios del mismo cliente jamás llega ni al IMSVA ni al HES. Este correo debe filtrarse con una solución de correo interno como SMEX.

Esta es una solución orientada a grandes empresas que necesitan tener control sobre su infraestructura y necesitan de políticas muy granulares y una mayor cantidad de filtros para controlar su correo.

Ventajas:

  • Se pueden hacer políticas muy granulares
  • Se puede integrar prácticamente con cualquier LDAP aunque oficialmente están soportados sólo OpenLDAP, Active Directory, Lotus y Sun One.
  • Se pueden controla el flujo del correo y la conversación de SMTP a un nivel muy elevado ya que utiliza un servidor Postfix que por su diseño permite una personalización muy granular del protocolo SMTP.
  • El uso del Pre-Filtro ayuda a eliminar ataques al cliente final ya que cualquier ataque de denegación de servicio sería recibido primero por Trend.
  • Los usuarios pueden administrar su propia cuarentena, decidiendo qué correos eliminar ó liberar, además de poder tener su propia lista blanca.
  • Puede funcionar con TLS, DKIM y SPF.
  • Tiene un módulo que le permite aprender qué direcciones IP están teniendo un comportamiento malicioso en tiempo real incluso antes de que esas IP’s estén listadas en cualquier servicio de reputación. Esto sirve para detectar ataques muy locales.
  • Cuenta con un servicio de reputación de IP’s que corta las conexiones que direcciones IP que son conocidas por actividad maliciosa (como spammers).
  • Se puede instalar como una máquina virtual sobre Vmware y Hyper-V lo que disminuye los costos para el cliente final. También se puede instalar físicamente sobre un servidor, siempre y cuando este soporte CentOS 5.
  • Se pueden crear diferentes usuarios para administrar la solución con diversos roles.
  • Se tiene un alto grado de detalle en los logs ya que lo que no se puede ver en los logs de la consola web de administración se puede ver en los logs del Postfix. Todos los módulos se pueden poner en debug lo que agiliza la ubicación de errores y/o problemas.

Desventajas:

  • Sólamente puede ser instalado en plataformas de 64-bits.
  • No soporta Sender-ID, pero se puede configurar SPF en su lugar, lo que aproxima mucho al mismo resultado.
  • No puede mandar reportes por correo electrónico, todos los reportes deben ser vistos en la consola.
  • No se pueden personalizar los reportes.
  • A nivel de shell sólo se puede administrar con el usuario “root”, ya que no permite la creación de usuarios adicionales.
  • No permite ser monitoreado en tiempo real con SNMP, sólo soporta “traps”.
  • Se debe cumplir con los requerimientos mínimos de hardware ó la instalación no puede completarse.
  • En cuanto a costos puede ser muy cara ya que se tiene que tomar en cuenta el costo del servidor ó la licencia de Vmware / Hyper-V para su instalación como máquina virtual.

SMEX (ScanMail for Exchange)

Es una solución de protección de correo interno de MS Exchange Server orientada tanto a empresas pequeñas como grandes. A diferencia de las dos soluciones anteriores, SMEX se puede usar para proteger tanto el correo entrante / saliente de Internet como el correo interno intercambiado entre los usuarios del mismo cliente. Sin embargo, aunque puede tomar el rol de una protección en el gateway y de correo interno, su protección perimetral no es tan detallada como la de un HES ó un IMSVA.

Cuando se utiliza SMEX es recomendable que la protección contra los correos entrantes / salientes de Internet se haga en una apliación de gateway como HES ó IMSVA debido a las limitantes mencionadas.

Ventajas:

  • Soporta todas las versiones de Exchange (2003/2007/2010) con un mismo instalador.
  • Se puede instalar en todos los servidores de Exchange con un sólo instalador, es decir, si se tienen 10 servidores de Exchange, los 10 se pueden instalar simultaneamente con una sola instalación.
  • Se soportan todos los tipos de clusters para mailbox (ccr, scc, dag, etc.)
  • Fácil de instalar y fácil de administrar.
  • Integración nativa con Exchange, soportando también de forma nativa plataformas de 64 bits.
  • Escaneo inteligente que permite que un correo que ya fue escaneado por un rol como HUB, no vuelva a ser escaneado otra vez.

Desventajas:

  • Tiene filtros como la verificación de la reputación de las direcciones IP, que casi nunca se ocupan porque generalmente el servidor Exchange está protegido en el gateway con otra solución que hace la misma función, y la reputación de las IP’s sólo se puede hacer una vez.
  • Una instalación mal realizada en clusters 2003 ó SCC puede provocar que el cluster entero falle y sea dificil su recuperación.
  • Aunque tiene un filtro de Anti-SPAM no contiene logs de SPAM.
  • El rastreo de correos es dificil ya que sólo registra los correos que bloquea, lo demás debe buscarse en el servidor Exchange.
  • Cualquier administrador de dominio puede entrar en la consola de administración lo que puede ser un hueco de seguridad al no poder controlas quién puede o no, modificar la configuración.
  • Sólamente genera reportes en HTML.
  • No se pueden crear más reportes, además de los ya incluidos.

Como podemos ver cada una de estas soluciones tiene su propio mercado y su propio uso que no se duplica con las demás soluciones. Particularmente las soluciones de Trend Micro tienen un muy buen desempeño y en nuestra experiencia, brindan un buen servicio de calidad tanto en clientes pequeños como Enterprise.

Esperamos que con esta descripción sea más fácil comprender el uso y aplicación de cada una de estas soluciones y ayude a elegir la mejor opción para su Organización.

 

Para mayor información sobre IMSVA, su instalación, implementación, configuración y funcionamiento te recomendamos nuestro libro Manual Avanzado de Implementación y Configuración de IMSVA. También puedes visitar nuestra sección de Libros y nuestra sección de IMSVA para información complementaria.

Recuerda mandarnos tus dudas y comentarios a nuestra cuenta de Twitter: @redinskala donde encontrarás más información y tips de seguridad.