Lo spam è quasi raddoppiato nel 2006, arrivando a consumare 819 TB di larghezza di banda al giorno. Per eludere i filtri IP, sempre più spesso lo spam è trasmesso dai botnet, decine di migliaia di host che “nascondono” trojan horse. Oggi, su tre messaggi inviati, uno trasporta immagini che eludono i filtri di testo e sprecano il 70% in più di risorse.
Mentre lo spam cresce diventando sempre più invasivo e inafferrabile, gli operatori di rete stanno cercando di trovare nuove strategie per combatterlo. In questo senso, gli appliance per la sicurezza dell'email possono aiutarvi a fronteggiare in modo più efficiente lo spam, migliorando così la produttività degli utenti.
Perché implementare un'appliance per la sicurezza
dell'email?
Gli appliance per la sicurezza
dell'email, compresi i firewall per lo spam e gli appliance per il filtraggio
della posta elettronica, sono dispositivi costruiti espressamente per
controllare il traffico generato appunto dell'email, al fine di bloccare il
flusso dei messaggi indesiderati. Eliminando, bloccando o mettendo in quarantena
le email, questi appliance provano ad arrestare lo spam - circa l'85% del
traffico globale - affinché non raggiunga i workgroup server e le caselle di
posta dell'utente.
I benefici potenziali includono un minore carico sulla vostra Lan, un flusso di email più limitato e una minore necessità di storage sui server; un miglioramento delle produttività; la riduzione del numero di virus, di spyware e di attacchi di phishing che provocano danni agli asset o che portano al furto di identità.
La maggior parte degli appliance per la sicurezza dell'email sono progettati per deviare il traffico SMTP inbound non richiesto. Alcuni filtrano anche l'email outbound per evitare eventuali problemi di responsabilità, rischi inerenti la riservatezza e il non rispetto di requisiti di conformità. Alcuni appliance per la sicurezza dell'email consentono di aiutarvi nel raggiungere la conformità a quello norme che non solo richiedono la salvaguardia dei dati del cliente ma anche che dimostriate di aver operato in questo senso.
Aggiungere un appliance per la sicurezza dell'email alla vostra rete
La maggior parte
degli appliance per la sicurezza dell'email è destinata alle reti business e
viene posizionata fra un firewall perimetrale e uno o più server di posta. Se il
vostro server email è posto sul DMZ del firewall, l'appliance per la sicurezza
dell'email dovrebbe essere inserito fra il DMZ e l'email server. Se avete un
cluster di email server con load-balance, posizionate l'appliance per la
sicurezza dell'email davanti al cluster.
Nel caso di appliance che effettuano il routing della posta elettronica, cambiate il vostro record MX di dominio con l'IP pubblico dell'appliance per la sicurezza dell'email. Alcuni appliance possono funzionare in modo trasparente, effettuando il bridging da e per gli email server senza influenzare i record MX. Se desiderate che l'appliance rafforzi la policy di outbound, configurate i server, i router e gli switch all'interno della vostra Lan per forzare il passaggio di tutti i protocolli email outbound attraverso l'appliance stesso.
In funzione del tipo di appliance e di come lo usate, può essere richiesta un'ulteriore integrazione. Per esempio, gli appliance possono trattare tutte gli utenti allo stesso modo oppure applicare differenti regole per configurare utenti e gruppi. In questo caso, valutate la possibilità di integrare il vostro appliance per la sicurezza dell'email con Active Directory, legando i nuovi attributi dell'email agli oggetti già esistenti dell'utente e del gruppo. Gli appliance che mettono in quarantena lo spam possono lasciare ai destinatari la possibilità di rivedere i messaggi sospetti. Se pensate di seguire questa via, decidete se e come gli utenti dovrebbero interagire con il vostro appliance - per esempio, tramite un Web portal o un plug-in per i client di Microsoft Outlook o Lotus Notes.
Cosa cercare in un appliance per la sicurezza
dell'email
Gli appliance per la sicurezza dell'email
controllano rapidamente e in modo efficiente un possibile tipo di traffico le
cui prestazioni sono direttamente collegate al numero di utenti che deve essere
gestito. Per questo motivo, selezionate un appliance di dimensione appropriata, tenendo
conto della potenza di elaborazione (per lo scanning high-volume), della
capacità di collegamento (per molte connessioni simultanee), della capacità
ingresso/uscita (per un efficiente gestione della coda delle email), dello
storage on board (per la quarantena) e delle caratteristiche di alta
disponibilità.
Gli appliance per la sicurezza dell'email devono essere rafforzati contro gli attacchi di spamming. Uno spammer può per esempio provare a "raccogliere" username validi trasmettendo email a una lunga/casuale lista @yourdomain; i messaggi che non rimbalzano possono essere ritenuti validi ed essere usati nello spaming futuro. Gli appliance dovrebbero poter contrastare questo attacco senza rivelare alcun username e nemmeno soccombere al sovraccarico.
Gli appliance dovrebbero eliminare rapidamente le email inviate da spammer conosciuti, far passare quelle che arrivano da fonti affidabili e verificare il resto del traffico. I metodi di filtraggio delle fonti possono includere i filtri di reputazione (per esempio, SenderBase), blacklist pubbliche (per esempio, DNSRBL), blacklist e whitelist locali, autenticazione del mittente (per esempio, SPF, DomainKeys) e controlli sulla velocità.
I metodi di analisi dei contenuti possono includere filtri per i pattern del testo o per liste di parole, una classifica basate su norme, l'analisi bayesiana , l'impronta dello spam, i filtri di OCR e la rilevazione di pattern ricorrenti. Per esempio, l'OCR tenta di identificare lo spam che usa le immagini per eludere l'analisi Bayesian, mentre l'impronta dello spam prova a rilevare le immagini animate che sono saltate dall'OCR. Dato il continuo evolvere dello spam, anche queste difese devono continuamente migliorare in efficacia. Per essere aggiornati sulle più recenti tendenze e sulle relative contromisure, potete scaricare questo documento PDF dal sito di Barracuda.
Difesa dai virus
Gli appliance per la sicurezza dell'email possono anche svolgere un ruolo importante nella
difesa del virus. Alcuni integrano più di una tecnologia antivirus, come
per esempio l'analisi dei picchi di flusso per mettere rapidamente in
quarantena i messaggi sospetti nelle ore immediatamente successive al
diffondersi di una nuova epidemia. Tali tecnologie sono completate da uno
o più i motori di scansione delle firme dei virus. In questo caso, i fattori
da considerare includono la frequenza dell'aggiornamento delle firme, le
prestazioni del motore di scansione, i comandi da eseguire sul messaggio (per
esempio, reindirizzare, inviare, etichettare, mettere in quarantena ed
eliminare) e la capacità ridurre il volume dei messaggi da verificare.
Gli appliance che filtrano i messaggi outbound possono forzare il rispetto delle policy relative ai contenuti dell'email per una serie di motivi inerenti il business. I filtri dei pattern possono individuare le “banned word” trasportate dalle email non di lavoro che violano le policy per l'uso della posta elettronica. I filtri degli allegati possono impedire la trasmissione dei documenti proprietari e dei fogli elettronici all'esterno del vostro dominio, basando questa operazione sull'analisi del tipo di file o dei contenuti.
Gli elenchi predefiniti delle conformità possono mettere automaticamente in quarantena i messaggi che contengono i numeri di carta di credito, le informazioni sulla finanza personale e così via. Quando questi messaggi sensibili sono trasmessi a un destinatario di fiducia, alcuni appliance possono cifrarli automaticamente per assicurare la privacy senza dover far affidamento sugli utenti finali o sul software del client.
Altri fattori importanti sono le caratteristiche di amministrazione, di controllo e di reporting. Per esempio, desiderate che le whitelist e le valutazioni Bayesian siano basate sul singolo utente? Dovete applicare policy differenti per gli allegati nel caso della finanza e dell'engineering? Quando l'appliance è sotto pressione per la diffusione di un virus, dovete avere un accesso immediato ai report e agli alert? Desiderate realmente che gli utenti effettuino il log in nell'appliance per gestire i messaggi in quarantena? Queste sono solo alcune delle molteplici domande da considerare quando dovete scegliere l'appliance giusto per il vostro ambiente di lavoro.
Individuare l'appliance per la sicurezza dell'email
Oggi
sono disponibili molte soluzioni per la sicurezza dell'email, dai servizi
gestiti (come per esempio Postini) al software do-it-yourself (come
BrightEmail). Alcune aziende preferiscono servirsi di outsourcer, mentre altre
scelgono di tenere in casa i sistemi per il controllo e la verifica dell'email.
Gli appliance per la sicurezza dell'email rappresentano una soluzione che si
colloca giusto nel mezzo: un box "chiavi in mano" che dovrebbe essere più facile
da gestire rispetto a un software sviluppato ad hoc, senza la necessità di
trasmettere tutte le email tramite un server di terze parti.
Oggi, molti firewall Unified Threat Management (come Fortinet) includono caratteristiche come il filtraggio dello spam e la ricerca dei virus e possono essere utili per la difesa perimetrale del servizio di email, ma non hanno lo stesso livello di efficacia degli appliance nei confronti del rispetto delle policy aziendali e delle minacce che riguardano in modo specifico la posta elettronica. Tra le società che realizzano appliance hardware progettati specificamente per arrestare lo spam, sventare il phishing e far rispettare le policy di sicurezza relative all'email troviamo nomi quali Barracuda, IronPort, MailFoundry, SonicWall, Sophos, Symantec e altri ancora.
