Bright Mail Gateway

5/10/2018 Bright Mail Gateway - slidepdf.com

http://slidepdf.com/reader/full/bright-mail-gateway 1/27

CONFIDENCIAL Esparza Oteo 37

Guadalupe INN México D. F. 2282 4150 FAX 5089 0520

Filtrado de Correo

Symantec Brightmail Gateway



Esparza Oteo 37

Guadalupe INN México D. F. 2282 4150 FAX 5089 0520 CONFIDENCIAL

Índice

Introducción ...................................................................................................... 2 Jerarquía de las Políticas en Symantec Brightmail Gateway .........................2 Revisión de Requerimientos ............................................................................3 Componentes de Symantec Brightmail Gateway ...........................................4 Instalación de SMS For SMTP ...........................................................................5 Políticas de Filtrado de Contenido .................................................................11 Condiciones de la Política.................................................................................12 Acciones Configurables ....................................................................................13 Recursos para las Políticas ............................................................................13 Mejores Prácticas ...........................................................................................17 Ejercicios Prácticos.........................................................................................18 Apéndice .........................................................................................................24 Material de Referencia ...................................................................................25



2

CONFIDENCIAL

Esparza Oteo 37


Sección

Symantec Brightmail Gateway

Introducción

Symantec Brightmail Gateway proporciona una protección integral de seguridad para

el correo entrante, correo saliente y mensajería instantánea, con una exacta y efectivaprotección AntiSpam y AntiVirus, filtrado de contenido avanzado, y tecnología deprevención de pérdida de la información (DLP).

Brightmail Gateway es sencillo de administrar y cuenta con una efectividad de hastael 99% en la detección de Spam con menos de uno en un millón de falsos positivos.Con Brightmail Gateway, las organizaciones pueden responder de una forma efectivaa las nuevas amenazas de correo, minimizar las caídas en la red, mejorar laproductividad de los empleados y proteger la reputación de su empresa.

El producto utiliza las actualizaciones continuas de AntiSpam y Antivirus de SymantecGlobal Intelligence Network así como la herramienta de control de conexiones basadaen reputación global y en el auto-aprendizaje de la herramienta, además de lareportería detallada.

La herramienta Symantec Brightmail Gateway se encuentra disponible en ApplianceFísico como en Appliance Virtual (VMWARE), permitiendo a las organizaciones unaforma sencilla de agregar o disminuir capacidad AntiSpam para conservar el flujo delos mensajes frente al creciente e impredecible volumen de Spam.

Jerarquía de las Políticas en Symantec Brightmail Gateway

La herramienta Brightmail Gateway sigue una jerarquía para realizar el filtrado de loscorreos procesados, por lo que es importante mencionar la precedencia que tiene

cada una de las disposiciones dentro de la solución para realizar un filtrado másexacto y eficaz.

A continuación se lista el orden en que la herramienta Symantec Brightmail Gatewayasigna las Disposiciones en las que puede caer algún correo procesado por laherramienta.

Virus attack

Worm

Virus

Spyware or adwareSuspicious attachment (suspected virus)



3

CONFIDENCIAL

Esparza Oteo 37


UnscannableEncrypted attachment

End user-defined Allowed Senders List

End user-defined Blocked Senders List

Administrator-defined, IP-based Allowed Senders ListAdministrator-defined, IP-based Blocked Senders List

Administrator-defined, domain-based Allowed Senders List

Administrator-defined, domain-based Blocked Senders List

Spam attackDirectory harvest attack

Safe Senders List (part of the Sender Reputation Service)

Open Proxy Senders (part of the Sender Reputation Service)

Third Party Services Allowed Senders List

Third Party Services Blocked Senders List

Content Compliance policies

Dropped invalid recipient

Spam

Blocked languageSuspected spamSuspected Spammers (part of the Sender Reputation Service)

Sender authentication failure

Revisión de Requerimientos

La instalación de la solución de Symantec Brightmail Gateway se puede realizaren un Appliance Físico o en un Appliance Virtual (VMWARE), en este entorno nosenfocaremos en la instalación sobre un Appliance Virtual. (para mayor detalle en

cuanto a los modelos de Appliance existentes, consultar el Apéndice Modelos deAppliance ).

Sistema Operativo

Linux Red Hat

Hardware

VMWARE Desktop

512 GB RAM (Recomendado 1GB)

20 MB de espacio en disco



4

CONFIDENCIAL

Esparza Oteo 37


Componentes de Symantec Brightmail Gateway

COMPONENTES DE Brightmail Gateway

La herramienta Symantec Brightmail Gateway está integrada por 2 componentes; el ControlCenter y el Scanner; de acuerdo al ambiente en el cual será implementada la solución, sepuede realizar la instalación de estos componentes de varias formas.

Scanner. El Scanner es el componente encargado de realizar el procesamiento yfiltrado de la totalidad de correo que pasa a través de él. En una instalación dentro deuna empresa puede haber más de un Scanner instalado.

Control Center. El Control Center es una consola de administración basada enWeb, esta consola es utilizada para la configuración y administración del filtrado de

correo, configuraciones del sistema de filtrado, reportería, y otras funcionalidades. Adiferencia del componente Scanner, en una instalación únicamente puede haberinstalado un Control Center desde el cual se monitorearán y configurarán la totalidadde los Scanners instalados. El Control Center provee un status general de todo el sistema de filtrado delSymantec Brightmail Gateway, permite la visualización de los logs y permite lageneración de reportes personalizados.Otra función del Control Center es la de almacenar la cuarentena de Spam y lacuarentena de los correos sospechosos de Virus, en donde se almacenan loscorreos de Spam y los correos con archivos infectados respectivamente.

De acuerdo a los requerimientos y necesidades del cliente, el Control Center y el Sca nnerpueden ser instalados en un mismo Appliance o en Appliances diferentes.



5

CONFIDENCIAL

Esparza Oteo 37


Instalación de SMS For SMTP

INSTALACIÓN DE LA

SOLUCIÓN

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________

Configuración de Password

Usuario: admin

Password: symantec

Configuración de FQDN

Dirección IP

Máscara de Red

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________ ___________________________________

___________________________________

Configuración desegunda Dirección IP(Opcional).

Máscara de Red.

Configuración de RutaEstática (opcional)

Default Gateway.

___________________________________

___________________________________ ___________________________________

___________________________________

___________________________________

_________ __________________________

___________________________________



6

CONFIDENCIAL

Esparza Oteo 37


Configuración de DNS s de laherramienta, se pueden dar de altahasta 3.

Especificación del Roldel Appliance.

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________

Revisión de parámetrosde configuración.

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________

Reinicio de Appliance

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________ ___________________________________

___________________________________



7

CONFIDENCIAL

Esparza Oteo 37


CONFIGURACIÓN INICIAL

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________

Inicio de sesión vía Web

https://host:41443

Aceptamos el acuerdo de licencia paracomenzar con la configuración inicial.

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________

Al acceder por primera vez a la consolade administración se deberán de instalarlas licencias de activación del producto.

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________ ___________________________________

___________________________________

https://host:41443/



8

CONFIDENCIAL

Esparza Oteo 37


No se recomienda realizar en este puntola actualización de versiones en caso deaplicar.

Configuramos una dirección de correoa la cual llegarán las notificaciones dela herramienta.

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________

__________________________________ _

___________________________________

Configuración de hora en el equipo.

Configuración de idioma y codificación

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________

_ __________________________________

___________________________________

Determinamos si la herramienta filtrarácorreo entrante, saliente o ambos.

Especificamos la dirección y puerto quetendrá la herramienta para el filtrado deentrada.

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________ ___________________________________

___________________________________



9

CONFIDENCIAL

Esparza Oteo 37


Configuramos que la herramientareciba conexiones provenientes decualquier dirección IP (recomendado).

Agregamos los dominios para los cualesse realizará el filtrado, y la dirección adonde será entregado el correo una vezfiltrado.

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________

Especificamos la dirección y puerto quetendrá la herramienta para el filtrado desalida.

Determinamos de qué direccionesaceptará conexiones la IP de salida.

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________

Determinamos la dirección a la queserán entregados los correos una vezfiltrado.

Configuración del Relayde laherramienta (Default recomendado).

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________ ___________________________________

___________________________________



10

CONFIDENCIAL

Esparza Oteo 37


Revisamos los parámetros deconfiguración, y con esto sefinaliza la configuración inicial.

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________

___________________________________



11

CONFIDENCIAL

Esparza Oteo 37


Políticas de Filtrado de Contenido

Una política de Filtrado de Contenido está conformada los siguientes elementos:Nombre de Política . Con este nombre aparecerá listada nuestra política defiltrado de contenido, por lo que se recomienda que sea lo más descriptivaposible. Dirección en la que la Política aplicará . En esta parte determinaremos si lapolítica para el correo entrante, para el correo saliente, o tanto para el correoentrante como para el correo saliente. Grupo de clientes al que aplica la Polí tica . Una política de filtrado decontenido puede ser aplicada a un solo usuario, a un grupo de usuarios o atodo un dominio. El grupo Default comprende la totalidad de usuarios del ode los dominios filtrados en la herramienta, este grupo no puede sereliminado. Condiciones que deberá cumplir el correo . En este apartado se configurarán

las condiciones y/o características que deberá de cumplir un correo para quesea susceptible a la política de filtrado. Acciones que tomará la herramienta . En este paso se deberá de seleccionarla acción que realizará la herramienta de filtrado en caso de que algún correocumpla con las condiciones establecidas, algunas de las acciones aconfigurar son: eliminar el correo, enviar el correo a la cuarentena, notificar aladministrador, agregar una nota en el correo, etc.



12

CONFIDENCIAL

Esparza Oteo 37


Dirección de la Política

La dirección de la política se refiere al sentido en que la política entrará en vigor.

Generalmente se configuran políticas de entrada para realizar filtrado de correos portipo de archivo, por peso del correo, por origen del correo etc. En cambio las políticasde filtrado de salida se configuran para evitar la pérdida de información sensitiva de laempresa.

Condiciones de la Política

Las condiciones de una política de filtrado serán las características con las quedeberá cumplir un correo para que pueda ser sujeto de aplicar la política de filtrado.

La herramienta Symantec Brightmail Gateway ofrece una gran variedad decondiciones a configurar, entre ellas se encuentra el tamaño del archivo adjunto,contenido en alguna parte del correo, incluso dentro del archivo adjunto, asunto delcorreo, etc.



13

CONFIDENCIAL

Esparza Oteo 37


Acciones Configurables

Una vez determinadas las condiciones que deberá de cumplir un correo, sedeberá determinar la acción que tomará la herramienta, entre las acciones

configurables se encuentran: eliminar el correo, enviar el correo a cuarentena,enviar una notificación, etc. Lo cual permite un filtrado más granular y flexible enel correo entrante y correo saliente (en caso que aplique).

Recursos para las Políticas

Los recursos de las políticas no son más que herramientas de ayuda , para laconfiguración de políticas de filtrado de contenido en la parte de condiciones; acontinuación se listan estas opciones y se describen de forma breve.

Annotations. Las anotaciones son fragmentos de texto que se anexan alinicio o al final de los correos que han coincidido con alguna de lascondiciones configuradas en la política de filtrado de contenido, tienen lafuncionalidad de informar al usuario que ha violado alguna políticainterna.



14

CONFIDENCIAL

Esparza Oteo 37


Attachment Lists. Las listas de adjuntos, como su nombre lo dicen sonlistas en las que se darán de alta las extensiones de los archivos queestarán bloqueados o permitidos en las políticas de filtrado de contenido,

además se pueden realizar listas de adjuntos por Trae File Type , lo cualpermite que aunque se cambie la extensión de un archivo bloqueado, laherramienta es capaz de determinar por los encabezados el tipo dearchivo.

Dictionaries. Los diccionarios nos permiten dar de alta palabras para quecuando la palabra o frase configuradas sea detectada en alguna partedel correo (asunto del correo, cuerpo del mensaje), o incluso en algúnarchivo adjunto, se ejecute la acción configurada en la política.



15

CONFIDENCIAL

Esparza Oteo 37


Notifications. Finalmente las notificaciones como su nombre lo dicepermiten enviar una notificación vía correo electrónico al administradorde la herramienta, al autor del correo y/o al destinatario, para informarque su correo violó alguna política de filtrado de contenido.

Patterns. Son expresiones regulares las cuales pueden ser usadas en laconfiguración de políticas de filtrado de contenido, se puede hacer usode 3 tipos de patrones: Basic, Premium y C ustom

o Basic. Patrones predefinidos, incluidos con el licenciamientobásico, no editables.

o Premium. Patrones predefinidos en el módulo de PremiumContent Control (PCC). Realizan validación adicional a lasexpresiones regulares para reducir los falsos positivos. Nopueden ser eliminados o editados.

o Custom. Patrones creados por el administrador de SymantecBrightmail Gateway.



16

CONFIDENCIAL

Esparza Oteo 37


Records. Utilizados en la creación de políticas de filtrado de contenido deInformación Estructurada (Structured Data). Utiliza la tecnología dedetección llamada Structured Data Detection.



17

CONFIDENCIAL

Esparza Oteo 37


Mejores Prácticas

A continuación se listan una serie de recomendaciones y mejores prácticas para el

óptimo desempeño de la herramienta Symantec Brightmail Gateway.

Realizar de forma periódica la revisión de las colas de entrega.

El servidor deberá de tener salida a los siguientes servicios: http, https, FTP ySMTP.

No habilitar la parte de Directory Harvest Attack al menos que la herramientase tenga sincronizada con un servidor LDAP.

Se recomienda que el nombre del Host MTA tenga el mismo nombre que elregistro MX del dominio que se estará filtrando.

Realizar el cambio en las políticas de Spam y Suspect Spam para que lasacciones a tomar sean eliminar y enviar a la cuarentena respectivamente, yaque por default únicamente se modifica el Asunto del correo y sonentregados de forma normal al usuario final.



18

CONFIDENCIAL

Esparza Oteo 37


Ejercicios Prácticos

Creación de un Diccionario Personalizado Objetivo: Mostrar al estudiante la forma de configurar un diccionario personalizadoen la herramienta, para posteriormente utilizarlo en una Política de Filtrado deContenido.

1. En la consola de administración ir a la siguiente ruta: Compliance > Dictionaries.

2. Una vez en el menú de Dictionaries, dar click en el botón de Add para crear nuestrodiccionario personalizado.

3. En la pantalla desplegada configuraremos el nombre de nuestro diccionario PRUEBA yagregaremos la palabra Viagra para posteriormente realizar una política de filtrado con estediccionario.

4. Guardamos nuestro diccionario personalizado y nos aparecerá listado en la pantalla deDictionaries.



19

CONFIDENCIAL

Esparza Oteo 37


Política de Filtrado de Contenido por diccionarios Objetivo: Configurar y probar el filtrado por un diccionario personalizado.

1. En la consola de Symantec Brightmail Gateway vamos a la siguiente ruta:

Compliance > Email.

2. En la ventana de políticas de filtrado de contenido, damos click en el botón de Add para crear una política nueva.

3. En la pantalla mostrada a continuación seleccionamos la opción de Blank paragenerar una política en blanco.

4. Click en Select para pasar al siguiente Menú.

5. Una vez ubicados en la pantalla de la nueva política configuraremos los siguientesparámetros:

Policy Name: POLÍTICA DE DICCIONARIOS.

Apply to: Inbound and Outbound Messages.

Wich of the following conditions must be met: Any Click en Add para configurar la condición.



20

CONFIDENCIAL

Esparza Oteo 37


En la pantalla desplegada a continuación seleccionaremos la opciónde Text in the Subject, Body or Attachments: En el combo buscaremos el diccionario creado en el paso anterior. Click en Add Condition.

Una vez configurada la condición, se definirá la acción que tomará laherramienta.



21

CONFIDENCIAL

Esparza Oteo 37


Actions: Delete the Message.

Apply to the Following Policy Groups: Default.

4. Guardar los cambios.



22

CONFIDENCIAL

Esparza Oteo 37


Búsqueda de Correos en la Herramienta Objetivo: Determinar la disposición de un correo dentro de la herramienta ylocalización del mismo

1. En la pestaña de Status seleccionamos la opción de Message audit. Logs.

2. En los filtros configuraremos los siguientes parámetros para generar el reporte:

Host: All Scanners.

Mandatory Filter: Recipient.

Mandatory Filter Value: [email protected]

Time Range: Past Hour.

3. Damos click en Display Filtered para generar el reporte requerido y determinar ladisposición del correo.

4. Con la información obtenida podemos determinar el paradero de los correosprocesados por la herramienta Symantec Brightmail Security.



23

CONFIDENCIAL

Esparza Oteo 37


Generando Reportes Ejecutivos Objetivo: Demostrar al usuario la forma de generar reportes varios dentro de laherramienta para corroborar la efectividad de la herramienta.

1. En la pestaña de Reports configuraremos los siguientes parámetros para nuestroreporte:

Report Type: Email Messages Direction: Inbound Time Range: Past 24 hours Group by: Hour Display: Graph y Table

2. Click en Run para generar un reporte de todo el correo procesado en el último día.

3. Revisar el reporte generado por la herramienta.



24

CONFIDENCIAL

Esparza Oteo 37


Apéndice

MODELOS DE APPLIANCE

8340

ORGANIZACION SMB (Arriba De 1000 usuarios) INSTALACIÓN TIPICA Control Center /Scanner TAMAÑO 1 Unidad de Rack FUENTE DE PODER Sencilla CPU Procesador Sencillo DISCO DURO / RAID 2 x 80GB Serial ATA RAID 1NIC 2 Puertos Ethernet

8360

ORGANIZACION Enterprise / Large Enterprise INSTALACIÓN TIPICA Scanner Dedicado o Control

Center Dedicado TAMAÑO 1 Unidad de Rack FUENTE DE PODER Redundante, hot-plug, auto-

switching, UPS CPU Procesadores Dual Multi-Core DISCO DURO / RAID 2 x 146GB Serial Attach SCSI (hot-

swappable) RAID 1 NIC 2 Puertos Ethernet

8380

ORGANIZACION Enterprise / Large Enterprise INSTALACIÓN TIPICA Control Center Dedicado TAMAÑO 2 Unidades de Rack FUENTE DE PODER Redundante, hot-plug, auto-

switching, UPS CPU Procesadores Dual Multi-Core DISCO DURO / RAID 6x300GB Serial Attach SCSI (hot-

swappable) RAID 10NIC 3 Puertos Ethernet



25

CONFIDENCIAL

Esparza Oteo 37


Material de Referencia

Mejores prácticas para el control del Spam

http://service1.symantec.com/support/ent -gate.nsf/854fa02b4f5013678825731a007d06af/4f9a58bddb664cc88025749d003d7d0a?OpenDocument

Mejores prácticas cuando se tiene una amenaza mass-mailer http://service1.symantec.com/support/ent -gate.nsf/854fa02b4f5013678825731a007d06af/3f562791ef08204c882575d800632e6e?OpenDocument

Mejores Prácticas para la configuración del Control Center y del Control Center SMTP host http://service1.symantec.com/support/ent -gate.nsf/854fa02b4f5013678825731a007d06af/b8441b89388bae228825734c00828ed3?OpenDocument

Mejores Prácticas para mejorar el rendimiento de la herramienta http://service1.symantec.com/support/ent -gate.nsf/854fa02b4f5013678825731a007d06af/0807afc69e27c5bd802574880041b717?OpenDocument

Mejores Prácticas al integrar Microsoft Active Directory como servidor de LDAP http://service1.symantec.com/support/e nt-gate.nsf/854fa02b4f5013678825731a007d06af/71c87a72a47fc4968825734c00828f41?OpenDocument

Mejores Prácticas en la configuración de Passwords http://seer.entsupport.symantec.com/docs/322 154.htm

Envío manual de correo Spam y Falsos positivos a Symantec Security Response Center http://service1.symantec.com/support/ent-gate.nsf/854fa02b4f5013678825731a007d06af/72007e542947aa388825734c00828c35?OpenDocument

Bloqueo de correos provenientes de su mismo dominio (spoofing) http://service1.symantec.com/support/ent -gate.nsf/854fa02b4f5013678825731a007d06af/742035c3ff90c70e802575040051de75?OpenDocument

Actualizaciones de Software de Language Pack http://service1.symantec.com/support/ent -gate.nsf/854fa02b4f5013678825731a007d06af/efe2c24008565e8588257582007e36b6?OpenDocument

Troubleshooting de Message Queue http://seer.entsupport.symantec.com/docs/320064.htm

Cómo agregar espacio en disco a un Appliance Virtual http://service1.symantec.com/support/ent -gate.nsf/854fa02b4f5013678825731a007d06af/b734dcf61f0392b6802575e80044036c?OpenDocument

Configurando Sender Authentication http://seer.entsupport.symantec.com/docs/322079.htm

http://seer.entsupport.symantec.com/docs/322079.htm

http://gate.nsf/854fa02b4f5013678825731a007d06af/b734dcf61f0392b6802575e80044036c?OpenDoc

http://service1.symantec.com/support/ent-


http://gate.nsf/854fa02b4f5013678825731a007d06af/efe2c24008565e8588257582007e36b6?OpenDo


http://gate.nsf/854fa02b4f5013678825731a007d06af/742035c3ff90c70e802575040051de75?OpenDoc


http://gate.nsf/854fa02b4f5013678825731a007d06af/72007e542947aa388825734c00828c35?OpenD



http://gate.nsf/854fa02b4f5013678825731a007d06af/71c87a72a47fc4968825734c00828f41?OpenDoc


http://gate.nsf/854fa02b4f5013678825731a007d06af/0807afc69e27c5bd802574880041b717?OpenDo


http://gate.nsf/854fa02b4f5013678825731a007d06af/b8441b89388bae228825734c00828ed3?OpenD


http://gate.nsf/854fa02b4f5013678825731a007d06af/3f562791ef08204c882575d800632e6e?OpenDo


http://gate.nsf/854fa02b4f5013678825731a007d06af/4f9a58bddb664cc88025749d003d7d0a?OpenDo




26

CONFIDENCIAL

Esparza Oteo 37


Notas para la actualización a la versión 8.0.2 http://service1.symantec.com/support/ent -gate.nsf/854fa02b4f5013678825731a007d06af/5bf9769d7b3f56a9882575b60080754f?OpenDocument

Plantillas de Políticas de Filtrado de Contenido http://seer.entsupport.symantec.com/docs/321845.htm


http://gate.nsf/854fa02b4f5013678825731a007d06af/5bf9769d7b3f56a9882575b60080754f?OpenDoc


Documents

Bright Mail Gateway