Desde inicios de verano, el spam recibido en nuestros buzones empezaba a ser insoportable. Además, afectaba especialmente a determinadas personas de la "alta dirección", además de a buzones corporativos de comunicación con clientes.
En el mes de septiembre, instalamos una herramienta de detección y filtrado de spam (GFIMailSecurity). Lamentablemente, no pudimos dedicar el tiempo necesario a la configuración y "ajuste fino" de la herramienta, pero aún así se nota una cierta mejora.
Este mes quería presentar los datos de la validez (o no) de las medidas tomadas. Yo no había revisado anteriormente esto, pero me he quedado muy sorprendido.
Recibimos unos 200.000 correos electrónicos al mes. No sé si es mucho o poco, ni en comparación con qué, pero es lo que hay. Pues bien, el amigo GFI afirma que está filtrando y evitando que lleguen a los usuarios casi 140.000 de esos correos, un 69%, para ser exactos.
De primeras, me pareció una barbaridad, especialmente cuando raro es el lunes que no tengo otros 6-8 mensajes que atraviesan ese filtro. Pero segun datos externos (MAPS o Ipswitch), el porcentaje global es de entre el 60 y 65%, así que parece que los datos son coherentes con lo que hay fuera.
Y esto no sé si es un consuelo o una desgracia. Dos tercios de la capacidad de nuestras líneas dedicadas al correo electrónico se ocupan con basura, lo que afecta también a la velocidad de internet o de las conexiones remotas. Estupendo. Hay 10 tipos que me hacen gastarme el triple de lo que necesito en comunicaciones. Seguramente los sistemas de filtrado iran mejorando, pero, como en los virus, iremos siempre retrasados respecto a los "malos". Al final, el consejero delegado, preguntó qué podemos hacer, la respuesta no es demasiado esperanzadora: podemos mejorar las herramientas, utilizar filtros dobles o triples (correo, firewalls, etc.), pero el filtrado perfecto no existe. Y probablemente, no existirá.
19 dic 2006 | 08:50 AM
Y, que no se te olvide, que cuantos más filtros y más severos sean estos, más falsos positivos con lo cual posiblemente ese mismo directivo será el que te eche la bronca del siglo cuando se quede sin recibir a tiempo ese mensaje que tanto esperaba de vete tu a saber quien...
19 dic 2006 | 12:20 PM
Si no has activado la comprabación de ficha SPF (http://www.openspf.org/) en tus servidores de correo, hazlo. A nosotros nos ha quitado muchísimo spam, y eso que todavía muchos dominios no la tienen definida.
19 dic 2006 | 01:25 PM
Algunas empresas ya están aplicando este método:
consiste en dar de alta las direcciones de las que se admite correo, de este modo sólo se aceptará como enviadores de correo a quien realmente esté autorizado.
Si alguien nuevo quiere enviar correo deberá ponerse en contacto telefónico con el destinatario y que le den de alta, pueden darse de alta dominios completos para permitir por ejemplo que toda una empresa autorizada pueda enviarlos.
Sí, ya sé que la dirección origen se puede falsear, pero creo que con una nueva versión de SMTP puede comprobarse si el servidor que envía el correo pertenece al dominio correcto.
Espero que esto sea de utilidad.
19 dic 2006 | 11:47 PM
Pues tienes suerte, en nuestro caso estamos en torno al 95% del total y nuestro tráfico medio es de unos 160.000 correos diarios.
Hemos montado un par de barreras en cascada, basadas en reglas bayesianas, validadores de dominio y hashes de los mensajes spam, los algoritmos se alimentan de manera inversa, uno con lo que es spam y otro con lo que no es spam y parece que la mierda esta ya está bajo control. La broma ha salido por 12.000€ mas el mantenimiento anual.
¡Ah! y por supuesto, encima parece que la culpa de que los usuarios reciban esta plaga la tenemos en Informática y que si no lo paramos es porque no nos preocupa.
Así se le atragante a alguno de esos "10" figuras las angulas de fin de año.
22 dic 2006 | 09:21 AM
Txematools, lo bueno de este negocio es que siempre hay alguien que está peor ;-)
Lector, Fernando, gracias por las sugerencias, seguro que podemos seguir mejorando.
josemaria, el concepto de falso negativo lo explique en la reunión. El de falso positivo lo pase algo más deprisa...