¿Cómo puedo analizar los correos electrónicos POP3 o IMAP alojados en busca de virus?

0

En nuestra empresa utilizamos un proveedor de alojamiento para correos electrónicos y parece que no analizan el correo electrónico entrante en busca de virus. Y nuestros empleados no tienen mucho cuidado con los archivos adjuntos ... Así que nos ocupamos de las infecciones de virus de vez en cuando. (TorrentLocker y Cryptolocker hoy en día)

Me gustaría realizar una exploración de virus a nivel de red, y espero que este dispositivo / sistema detenga los correos electrónicos entrantes infectados que se almacenan / administran en los servidores de nuestros proveedores de alojamiento antes de que puedan llegar a las computadoras de nuestros empleados.

¿Cómo puedo analizar virus POP3 o IMAP entrantes alojados? ¿Puedo usar un dispositivo o software UTM / proxy para este propósito (Sophos UTM Essential, Endian, etc., existen varios gratuitos para uso comercial)?

¿Alguien usa tal sistema?

    
pregunta 22.11.2014 - 23:56
fuente

4 respuestas

1

La exploración del tráfico POP3 en busca de virus es más fácil, porque los correos se transmiten en su totalidad. Existen soluciones gratuitas para el tráfico (siempre que tenga un escáner de virus que en su mayoría no es gratuito) y la mayoría de los firewalls (inspección profunda) pueden hacer esto.

El IMAP, en cambio, es mucho más difícil, porque los clientes de correo a menudo no reciben el correo completo a la vez, solo las partes que necesitan en este momento. Los ejemplos típicos son Thunderbird que obtiene grandes archivos adjuntos en partes y Apple Mail que obtiene primero la estructura de correo y luego cada parte por separado. Si solo realiza un análisis de red pasivo (como la mayoría de los firewalls), le falta un contexto como la codificación de transferencia de contenido, que es importante para escanear los archivos adjuntos.

Por lo tanto, muchos firewalls o bien no son compatibles con IMAP (como Sophos UTM), tienen límites documentados que apuntan a serias implicaciones en el uso real una vez que los comprende (consulte "Descripción de las limitaciones del análisis antivirus de IMAP" para Juniper Firewalls ) o Afirma tener soporte para IMAP, pero probablemente no sepa de qué están hablando (o están en silencio sobre los límites). El escaneo IMAP en línea seguro, en cambio, necesita pasarelas de nivel de aplicación (ALG) que no solo inspeccionan el tráfico sino que pueden manipularlo para que tengan suficiente contexto. La inspección profunda pasiva que tiene en la mayoría de los NGFW (firewall de próxima generación) o UTM (Unified Threat Management) puede ser suficiente para demostraciones pero no para la vida real.

Algunos firewalls no ofrecen el escaneo IMAP en línea, sino que reflejan las cuentas IMAP, escanean nuevos correos y brindan un servidor IMAP en el mismo firewall. En este caso, las credenciales de la cuenta IMAP original deben almacenarse en el firewall y el usuario obtiene credenciales diferentes para acceder al servidor IMAP de los firewalls.

    
respondido por el Steffen Ullrich 23.11.2014 - 10:07
fuente
1

Si usted es un proveedor de correo, puede intentar conectar un escáner antivirus antes de que el sistema de correo entregue localmente. La mayoría de los paquetes smtp tienen un mapa de proceso en el que puede encontrar una forma de hacerlo, a diferencia de un enorme programa monolítico que hace todo el proceso. De esta forma podrás invocar la av. Pero esto también significa que su sistema toma más recursos.

El uso de dispositivos de puerta de enlace elimina la plataforma de configuración del software de ajustes. Pero ser capaz de hacerlo ayuda mucho a comprender y apreciar las diferencias entre los productos de la competencia y las ofertas de código abierto. Entonces, siempre que pueda redirigir el correo entrante (a través de mx records, reescritura, etc.) puede canalizar el contenido a través de un escáner av o invocar algo similar. Los productos comerciales utilizan algunas partes de la misma lista para sus firmas que los de código abierto, por lo que lo que está comprando con un producto comercial es la capacidad de hacer que alguien vea el problema.

    
respondido por el munchkin 22.01.2015 - 11:27
fuente
0

Sí, es posible. Por ejemplo, Copfilter ( enlace ) hace esto. Es posible incluso con un proveedor que realiza SSL obligatorio, simplemente teniendo que la Conexión finalice en la UTM.

Ya que hay soluciones de código abierto para el problema que está describiendo, apuesto a que también hay soluciones "profesionales" similares. Puede buscar BlueCoat para antivirus a nivel de red, y hay muchos productos similares en el mercado.

    
respondido por el sebastian nielsen 23.11.2014 - 00:58
fuente
0

Para la mayoría de las empresas, esto no es algo que desee obtener de forma gratuita. La seguridad de la red de su negocio debe ser manejada por el software / hardware adecuado en estos días, dado el auge del régimen de hackers.

Incluso las empresas más pequeñas en estos días utilizan algún tipo de puerta de enlace de correo. Me gustaría comprar algo como Symantec Mail Gateway (formalmente brightmail) para manejar el filtrado de contenido. Un filtro de contenido adecuado es tan bueno como las bases de datos con las que se comprueba, y los SMG son insuperables. Hay muchos otros jugadores en este ámbito con los que las compañías se van, google es tu amigo aquí.

Encontrará que los resultados con una solución de pago son mejores, y tener apoyo no es nada para estornudar.

Cualquiera que sea la solución que elija, no permitiría que los ejecutables de ningún tipo lo superaran, y no limitaría los tipos de adjuntos que acepta. Esto irá a millas para evitar que el correo electrónico sea un vector de intrusión.

    
respondido por el atyoung 23.11.2014 - 01:13
fuente

Lea otras preguntas en las etiquetas