El término firewall describe una amplia categoría de productos para una variedad de casos de uso. Hay servidores de seguridad de filtro de paquetes simples que utilizan iptables o similares, pero también llamados servidores de seguridad de próxima generación que realizan análisis de nivel de aplicación. Y hay sistemas de prevención de intrusiones, productos de gestión unificada de amenazas, cortafuegos de la industria ... y también puertas de enlace seguras. A veces, estos nombres se refieren a su tarea, a veces a una tecnología y, a veces, son solo una jerga de marketing. Pero todos estos tipos de firewalls de red tienen en común que se usan para separar redes en varios tipos de capas: de paquete a nivel de aplicación.
1) ¿Cuál es la diferencia entre una puerta de enlace de seguridad de correo electrónico y un firewall? ¿Podría una puerta de enlace de seguridad de correo electrónico ser considerada como un proxy smtp?
Las pasarelas de correo o pasarelas de correo seguras proporcionan una separación en la capa de aplicación al analizar el contexto de la entrega de correo y el contenido de los correos transferidos a través de un límite de red. De esta manera, ayudan a proteger la red interna contra malware, phishing, spam, etc. pero también pueden ayudar a detectar la fuga de datos desde adentro hacia afuera mediante el uso de correos electrónicos. Si bien existen puertas de enlace de correo seguras independientes o soluciones basadas en la nube, la funcionalidad necesaria a menudo también se incluye en los firewalls empresariales modernos. Pero, al igual que con los firewalls en general, la calidad de las soluciones puede variar mucho incluso entre productos que afirman tener las mismas características generales.
2) ¿Un gateway de seguridad de correo electrónico ejecuta un MTA o un UA?
Las puertas de enlace de correo seguro se implementan comúnmente como MTA, es decir, se configuran explícitamente como MX para el correo entrante y como el servidor de correo saliente en los clientes de correo. Pero también hay productos que se pueden usar de manera transparente, es decir, que se configuran frente a un MTA existente sin configuración adicional en DNS o en los clientes.
3) ¿Cómo detecta spam y correos electrónicos de phishing?
Esto por sí mismo es una pregunta amplia. Pero, para mencionar algunas técnicas: hay listas negras de direcciones IP que se sabe que entregan correos no deseados o dañinos ( DNS-BL - Listas negras basadas en DNS). Hay Greylisting para negar temporalmente recibir algún correo con la esperanza de que los spammers simplemente se den por vencidos. Existe el uso de SPF , DKIM y DMARC para detectar la suplantación de identidad del remitente. Hay varios filtros basados en el contenido que, por ejemplo, comparan los correos recibidos con los correos mal recibidos en honeypots o comprueban si contienen enlaces a sitios conocidos de spam o phishing. Y aunque estas son probablemente las técnicas más utilizadas y conocidas, esta no es una lista exhaustiva de las técnicas utilizadas.