IMSVA puede parecer un Open-Relay

Hay ocasiones en que el IMSVA de Trend Micro (o para su efecto cualquier otro anti-spam) puede parecer que está configurado erróneamente como un Open-Relay para la red interna. En este post hablaremos de la configuración del Relay en IMSVA y algunos puntos a tomar en cuenta para evitar este tipo de situaciones.

Las razones por las que un IMSVA puede actuar como un Open-Relay para la red interna están directamente ligadas a la configuración que se tenga en Administration -> SMTP Routing -> Message Rule -> Permitted Senders of Relayed Mail. Para poder comprender lo que se está configurando en esta sección, uno debe comprender primero de qué se trata el Relay y a qué nos referimos cuando decimos que un sistema es un Open-Relay Si tienes dudas sobre estos conceptos te recomendamos leer primero nuestro post sobre ¿Qué es un Open-Relay? antes de continuar.

Aclarado este punto continuamos con nuestro estudio…

Lo que hacemos en esta sección de la consola web es configurar algunos parámetros del archivo main.cf del Postfix que incluye IMSVA para indicarle cómo debe tratar las conexiones tanto de la red externa como de la red interna.

Por defecto, el Postfix de IMSVA (y de hecho cualquier Postfix recién instalado) tendrá el Relay abierto al segmento al cuál pertenece el IMSVA. Esto es, si el IMSVA tiene configurada la IP 192.168.52.5, entonces le permitirá a cualquier equipo con IP del tipo 192.168.52.X a mandar cualquier correo hacia cualquier dominio. Debido a su alcance esta configuración no es recomendad ya que cualquier equipo dentro de la misma red del IMSVA podrá hacer uso de su Postfix como un Open-Relay para mandar correo hacia Internet lo que no necesariamente es lo que buscamos.

Suponga por ejemplo que un auditor de vulnerabilidades se conecta al segmento del IMSVA y lanza un escaneo a toda la red. Debido a que su IP es parte del mismo segmento del IMSVA , podría parecer que éste actúa como un Open-Relay, lo que técnicamente es correcto porque así está configurado.

Otro ejemplo en que se puede apreciar este efecto es cuando en vez de “Subnet”, esta sección tiene configuradas únicamente ciertas direcciones IP que pertenecen a equipos que sí tienen permitido el envío de correo hacia internet a través del IMSVA. Bajo este esquema también es posible que el IMSVA parezca un Open-Relay en la siguiente situación:

Suponga que además de sus servidores de correo, necesita que algún otro dispositivo como una impresora, un autómata o una aplicación que vive dentro de la red de los usuarios mande sus correos a través del IMSVA, pero, dicho dispositivo o aplicación al estar en un segmento distinto pasa necesariamente por un Firewall que “NAT-EA” su dirección IP para que pueda alcanzar al IMSVA. En este caso la IP que ve el IMSVA (y que tiene configurada como Permitted Sender of Relayed Mail) es la IP del Firewall, no la del dispositivo. Cuando se hace este tipo de configuración donde se agrega la IP del Firewall para permitirle a un dispositivo entregar su correo a través del IMSVA, es de esperarse que no sólo dicho dispositivo pueda ver al IMSVA como Open-Relay sino CUALQUIER otro dispositivo que se encuentre bajo ese Firewall y esto es porque todos ellos llegarán al IMSVA usando la misma IP del Firewall que está permitida para hacer este tipo de actividad.

Debido a que las topologías y necesidades de cada red pueden ser diferentes, hay que tomar los siguientes puntos en consideración cuando configuramos el Relay para evitar problemas de envío de correo no deseado y afectar así la reputación de la Organización:

  1. La configuración por default de “Subnet” sólo debe usarse en aquellos casos donde la cantidad de dispositivos que deben mandar correo hacia Internet a través del IMSVA no pueden ser identificados con claridad o no existe riesgo de caer en un uso indebido del IMSVA por parte de ellos.
  2. La configuración recomendada para el Relay siempre es la de agregar una por una las direcciones IP de los servidores ó dispositivos que pueden usar al IMSVA como Open-Relay (servidores de correo, etc..).
  3. En caso de que alguna aplicación ó dispositivo dentro del segmento de usuarios o de otro segmento menos seguro deba usar al IMSVA para mandar correo, es recomendable no hacerlo y de ser posible se mande este flujo a través del servidor de correo interno para que se verifiquen los flujos de Relay antes de que el correo salga de la Organización.
  4. En caso de ser necesario abrir el Relay del IMSVA a segmentos menos seguros (como el caso de agregar la IP del Firewall para que la red usuarios lo alcance), se recomienda utilizar un IMSVA en particular para este propósito con su propio flujo de tal forma que no se afecte el flujo correcto del Relay. En caso de no ser posible es necesario poder distinguir entre el tráfico del dispositivo permitido y el tráfico de los usuarios no permitidos. Debido a que las políticas de contenido de IMSVA no incluyen un filtro para detectar la IP origen, se pueden combinar otros filtros para lograr esta distinción. Primero configuramos el filtro de contenido para indicarle que esa política aplica para todos aquellos correos que en su encabezado “Received” contengan el valor de la IP del Firewall. Posteriormente aplicamos un filtro de contenido con un diccionario que busque la NO OCURRENCIA de alguna palabra que siempre venga contenida en el cuerpo de los correos que sí deben salir a internet. Cualquier correo que coincida con esta política será detenido, permitiendo el libre paso de los correos válidos sin afectar el Relay del IMSVA.

Esperamos que estos sencillos consejos ayuden a aclarar algunas dudas sobre el Relay del IMSVA y su configuración.

 

Recuerda que puedes mandarnos tus preguntas y comentarios a nuestra cuenta de Twitter: @redinskala donde encontrarás más información y tips de seguridad.

Gracias por tu visita!