Review de GFI en la nube
Con la ola de servicios online que se viene decidí probar algunas alternativas de antispam online. Encontré una realmente interesante en GFI, el producto viene en 2 ediciones, GFI MAX MailEdge y GFI MAX MailProtection.
Pueden ver las diferencias entre ambas versiones en http://www.gfi.com/maxmail/mpvsme.htm
Configuración inicial
Nosotros vamos a evaluar la más completa de las soluciones, GFI MAX MailProtection. Obviamente la consola de administración es web, y está disponible en varios idiomas.
La configuración de la solución realmente es muy sencilla, solo tenemos que dar de alta nuestra organización con los datos de contacto y el dominio de correo que queremos gestionar .
Para la prueba voy a usar 2 dominios que tengo registrados contra un Exchange de prueba. Así que declaramos uno como dominio y el otro como sibling o alias indicando la IP publica del servidor de correo que se encarga de la gestión del correo.(Fig. 2)
En caso de que tengamos más de un MX gestionando nuestro correo podemos declararlo (Fig. 3) y adicionalmente podremos configurar el porcentaje de carga que manejara cada MX.
En cuanto terminamos de configurar nuestro dominio el sitio nos dara los MX a los que tendremos que apuntar nuestros correos para empezar a usar la solución (Fig. 4).
Con los DNS seteados solo nos resta configurar los usuarios de correo. Los mismos van a tener dos usos fundamentales, el primero dar acceso a la cuarentena por usuario y la segunda permitirnos recibir correos solo para los usuarios existentes filtrando en el perímetro todos los mensajes a destinatarios incorrectos.
Existen varias opciones para la configuración de usuarios, algunas manuales obviamente poco recomendables y otras automáticas por medio de sincronización. Para el segundo método podremos elegir varias fuentes de datos. En mi caso, obviamente elegí LDAP para realizar la integración d
el antispam con los usuarios de Active directory (Fig. 6).
Esta configuración realmente no me convenció demasiado al principio, ya que tenemos que publicar nuestro LDAP a internet. Pero luego leyendo un poco más encontré las direcciones IP desde donde se van a realizar las conexiones para la consulta, por lo que podemos restringir el acceso a nuestros datos. Como una medida adicional, podremos encriptar los datos en curso usando SSL. Por tratarse de una prueba no me tome el trabajo de hacer esto, pero definitivamente lo haría en producción. Fíjense que solo tenemos que definir la IP en donde publicamos nuestro servicio, un usuario y una password, la base de la búsqueda LDAP y la frecuencia de la sincronización. Una vez que declaramos el LDAP como un Active Directory el wizard se encargara de declarar las propiedades a buscar en nuestros usuarios.
Un cambio adicional que deberemos hacer, será el filtrado de las conexiones SMTP externas en nuestro firewall para que solo sean recibidas si están originadas en los rangos declarados por GFI. Esto no es una configuración menor, ya que muchos de los correos no deseados, realizan conexiones directas a nuestra IP sin consultar los DNS y por lo tanto evitando la protección online.
Configuración de la protección:
Con los mails llegando a nuestro servidor a través del servicio online solo nos queda configurar la protección de entrada y salida. Para eso deberemos declarar servidores autorizados para enviar mensajes a través del servicio online.
No hay mucho que decir sobre las configuraciones de filtrado, la interfaz es muy intuitiva y nos permitirá configurar la dureza del análisis antispam (Fig. 6) así como la acción a tomar con los mensajes (Fig. 7). Adicionalmente podremos agregar disclaimers a los mensajes salientes y por medio de la integración con Active Directory podremos tomar acción contra los mensajes dirigidos a usuarios inexistentes evitando el uso de recursos innecesario en el procesamiento de los mismos. (Fig. 8)
Algo que realmente me gusto del producto es la granularidad en la configuración por usuario, cada uno de ellos tendrá la posibilidad de configurar la dureza del análisis para sus mensajes, listas blancas y negras y el envió de los resúmenes de estado de la cuarentena. Así como la posibilidad de iniciar sesión en la consola de cuarentena de usuario utilizando el mismo usuario que en nuestra organización para liberar o eliminar mensajes almacenados. (Fig. 9)
Reportes
El sistema nos da gran visibilidad de los mensajes recibidos, su tipo y porcentaje bloqueado, ya sea a nivel de la organización o a nivel de usuario final (Fig. 10)
Conclusiones
El sistema realmente es sencillo de implementar y muy intuitivo en su configuración. La cuarentena de usuarios es clara y la granularidad en la configuración es clave para satisfacer todas las necesidades de la empresa y de usuarios existentes.
Adicionalmente es una gran solución para empresas sin capacidad de recuperación ante desastres ya que los mensajes serán almacenados hasta que el servidor de destino esté listo para recibirlos.
Lo único que no termina de convencerme es el método que eligieron para la sincronización LDAP, me sentiría mucho más cómodo instalando un servicio que corra internamente en mi red y suba la información a la nube. Aunque, como detalle en el review termina siendo posible la configuración segura del acceso, deja muchos puntos del lado del administrador y eso puede generar un problema en algunos ámbitos.