Documento descriptivo Fortimail
Tabla de contenidos
1. FortiMail – Secure Email Gateway.............................................................................8
1.1. Modelos de Appliances.........................................................................................8
1.2. Validación independiente......................................................................................9
1.3. Modos de Operación...........................................................................................10
1.4. Integración O365.................................................................................................11
1.5. Antispam.............................................................................................................12
1.6. AntiVirus y Protección contra Amenazas Avanzadas..........................................17
1.7. Prevención de Ataques Selectivos......................................................................18
1.8. Seguridad del sistema y del contenido................................................................19
1.9. IP Blacklist Protection..........................................................................................20
1.10. Política de Compliance........................................................................................20
1.11. Gestión................................................................................................................ 22
1.1.
Diciembre - 2020 2
�1. FORTIMAIL – SECURE EMAIL GATEWAY
FortiMail es una pasarela de correo electrónico (MTA) líder de mercado que detiene las amenazas
específicas y volumétricas, permite asegurar la superficie de ataque de la empresa, evita la pérdida
de datos confidenciales y ayuda a mantener el cumplimiento de distintas regulaciones normativas.
Disponible en dispositivos físicos, virtuales y cloud
FortiMail combina múltiples niveles de antispam y antimalware con funciones adicionales que
incluyen la prevención de fuga de datos (DLP), cifrado basado en la identidad (IBE), archivado de
correo electrónico y listas negras, en una solución "todo en uno"
La solución FortiMail recibe sistemáticamente el premio VBSpam+, en reconocimiento de las tasas
de protección más altas y las tasas de falsos positivos más bajas del sector. Esta excelente tasa de
protección es consecuencia de la capacidad de FortiMail de evolucionar con las nuevas amenazas.
Además, FortiMail es una parte integral de Fortinet Security Fabric y en combinación con
FortiSandbox, detecta y bloquea de forma proactiva malware desconocido.
Las funciones de seguridad de FortiMail, como antispam, antivirus, protección outbreak y
componentes de protección contra amenazas avanzada, se desarrollan dentro de la casa y están
impulsadas por la inteligencia de seguridad líder de FortiGuard Labs. FortiMail no necesita licencias
de otros proveedores. Esto permite a Fortinet ofrecer una solución robusta completamente integrada,
sin sobrecarga adicional de licencias de terceros, lo que permite a FortiMail evitar los modelos de
licencias por buzón de correo y proporcionar un único punto de contacto y contrato de soporte.
1.1. Modelos de Appliances
FortiMail se ofrece como familia de dispositivos físicos, VM, instancias públicas en cloud y servicios
administrados dedicados a la seguridad del correo electrónico. Los miembros de estas familias
difieren en términos de almacenamiento disponible, rendimiento o interfaces de red.
Hardware Appliances
FortiMail 200F Para Pequeñas Empresas o Sucursales: 1TB de
almacenamiento local, 50k mensajes por hora
FortiMail 400F Para la organizaciones pequeñas o medianas: 2TB
de almacenamiento local, 250k mensajes por hora.
Fuente redundante opcional
FortiMail 900F Para empresas de mediano a gran tamaño,
Ministerios: hasta 8TB de almacenamiento local,
800k mensajes por hora. Fuente redundante, RAID
Hardware
FortiMail 2000E Para grandes empresas, MSSP de tamaño medio y
Ministerios: hasta 20TB de almacenamiento local,
1.5M mensajes por hora. Fuente redundante, RAID
Hardware
FortiMail 3000E Para ISP, MSSP, Carriers, Universidades: hasta
16TB de almacenamiento local, 2.5M mensajes por
hora. Fuente redundante, RAID Hardware
FortiMail 3200E Para ISP, MSSP, Carriers, Universidades: hasta
24TB de almacenamiento local, 3.4M mensajes por
hora. Fuente redundante, RAID Hardware,
2x10Gps SFP
Diciembre - 2020 3
�FortiMail para Cloud privado y público
FortiMail admite nubes públicas y privadas que incluyen VMWare ESXi, Microsoft Hyper-V, KVM,
Citrix XenServer, Microsoft Azure y Amazon Web Services (AWS).
Las licencias para entornos virtuales se basan en el número máximo de núcleos de CPU (de 1 a 32
cores). Estas plataformas no difieren en características, ofreciendo el mismo nivel de protección de
grandes empresas y telecomunicaciones hasta las redes de pequeñas empresas. Se soporta Cloud-
init para permitir la orquestación de la configuración inicial
Servicio administrado en la nube de FortiMail
FortiMail Cloud es una solución Secure Email Gateway validada de forma independiente que ofrece
una tasa de detección de spam de más del 99,95%, múltiples capas de detección de malware y una
tasa de falsos positivos extremadamente baja. Completamente administrado por Fortinet, FortiMail
Cloud le permite centrarse en su negocio al confiar en un experto en seguridad de confianza para
administrar este componente clave de seguridad de infraestructura.
1.2. Validación independiente
FortiMail se prueba continuamente como parte de la certificación VBSPAM con más de 50
certificaciones consecutivas, 19 de las cuales fueron calificaciones VMSPAM+ que indican una tasa
de captura del 100% y 0% falsos positivos.
FortiMail también participa en la Prueba de Defensa de Amenazas Avanzadas ICSA, donde la pila
ATP, incluido FortiMail, se prueba durante un período de 40 días. ICSA afirmó que "con su solución
ATP, Fortinet ofrece una defensa altamente efectiva y completa, incluyendo un excelente
reconocimiento de amenazas previamente desconocidas transmitidas por correo electrónico con
pocos falsos positivos".”
FortiMail también se ha evaluado en los esquemas de certificación FIPS 140-2 y Common Criteria
EAL2+ (4.2.2) y NDPP (5.2.6) con recertificación en las etapas finales para 6.0.
Diciembre - 2020 4
� 1.3. Modos de Operación
Los dispositivos FortiMail se pueden implementar en tres modos:
Gateway: El modo Gateway es el escenario de implementación más común. En este modo,
FortiMail funciona como el intercambiador de correo (MTA) para el dominio e intercepta todo el correo
antes de depurar las amenazas y enviarlo a su destino.
Transparent: El dispositivo FortiMail se puede implementar en Capa 2 (bridge) o Capa 3 (routed) e
intercepta de forma transparente el correo electrónico que atraviesa la red. El modo transparente es
especialmente útil en entornos carrier, donde indicar a los clientes que reconfiguren sus entornos no
es asequible. También es útil en empresas donde es difícil modificar la topología actual o la
información DNS.
Server: En el modo servidor, FortiMail actúa como servidor de correo de destino
proporcionando las mismas funciones de seguridad, además de proporcionar acceso al correo
electrónico de los usuarios a través de POP3, IMAP4, Webmail y también sincronización de
calendarios y contactos compartidos.
La interfaz de FortiMail Webmail incluye calendario, libreta de direcciones y varias configuraciones
avanzadas de usuario: como reenvío automático, respuesta automática programada o filtros de
correo.
Diciembre - 2020 5
� 1.4. Protección O365
FortiMail puede realizar la protección de correo de O365 en tres modos de despliegue
independientemente de elegir un dispositivo físico, virtual o cloud. Incluso permite gestionar varios
dominios (suscripciones Microsoft):
Monitor: El modo Monitor permite únicamente inspeccionar los correos sin realizar ninguna
modificación o protección. En O365 se configura una política para añadir en copia oculta (BCC) una
dirección de correo residente en FortiMail, de esta forma se trabaja con una copia del correo y, por lo
tanto, no se realiza ninguna acción sobre el correo original
En línea: El dispositivo FortiMail trabaja en modo Gateway cambiando los registros MX del
dominio para enrutar todos los correos entrantes hacia el FortiMail, igualmente habrá que configurar
una política de redirección en el O365 para los correos salientes
En paralelo: Este despliegue permite que cualquier tipo de FortiMail se conecte a las APIs de
O365 para analizar los correos existentes mediante dos procedimientos
Tiempo Real: Analiza todos los correos nuevos, que procesa O365, cuando un nuevo
correo llega a O365, FortiMail es capaz de detectar el evento para empezar su proceso de
protección
Programado: Los correos almacenados en O365 antes del despliegue de FortiMail no
generan ningún evento, por tal motivo tenemos que programar una inspección de los correos
almacenados previamente en los buzones de los usuarios
Diciembre - 2020 6
� 1.5. Antispam
FortiGuard antispam
El servicio antispam FortiGuard es un servicio administrado por Fortinet que proporciona un enfoque
de tres elementos para la detección de mensajes de correo electrónico. El primer elemento es una
Lista de Bloques DNS (DNSBL) que es una lista "activa" de orígenes de spam conocidos. El segundo
elemento es un filtrado de correo electrónico detallado basado en un identificador uniforme de
recursos (URI) incluido en el cuerpo del mensaje, comúnmente conocido como listas de agujeros
reales (SURBL) URI de spam. El tercer elemento es la función FortiGuard antispam Checksum
Blocklist (SHASH). Mediante SHASH, la unidad FortiMail envía un hash de un correo electrónico al
servidor antispam FortiGuard, que compara el hash con los hash de los mensajes de correo basura
conocidos almacenados en la base de datos antispam FortiGuard. Si los resultados del hash
coinciden, el correo electrónico se marca como spam. Los filtros también se pueden configurar para
clasificar ciertas clases de URI como spam, basándose en las mismas calificaciones que FortiGate
(malintencionado, suplantación de identidad, etc). Es posible configurar una lista de identificadores
URI que están exentos de ser clasificados como spam
Fortiguard antispam DNSBL (IP Block)
Para lograr una identificación actualizada en tiempo real, el servicio antispam de FortiGuard utiliza
sondas de spam distribuidas globalmente que reciben más de un millón de mensajes de spam al día.
El servicio antispam FortiGuard utiliza múltiples capas de procesos de identificación para producir
una lista actualizada de orígenes de spam. Para mejorar aún más el servicio y optimizar el
rendimiento, el servicio antispam FortiGuard revisa continuamente cada una de las identidades
"conocidas" de la lista para determinar el estado del origen (activo o inactivo). Si un origen de spam
conocido ha sido retirado del servicio, el servicio antispam FortiGuard elimina el origen de la lista,
proporcionando así a los clientes precisión y rendimiento.
FortiGuard Antispam SURBL
Para detectar el spam basado en los URIs del cuerpo del mensaje (normalmente sitios web), Fortinet
utiliza la tecnología antispam FortiGuard SURBL. Como complemento del componente DNSBL, que
bloquea los mensajes basados en el origen del spam, la tecnología SURBL bloquea los mensajes
que tienen hosts de spam mencionados en los cuerpos de mensajes. Al analizar el cuerpo del
Diciembre - 2020 7
�mensaje, SURBL puede determinar si el mensaje es un mensaje de spam conocido
independientemente del origen. Esto mejora la tecnología DNSBL al detectar mensajes de spam de
origenes de spam que pueden ser dinámicos, o un origen de spam que aún no se conoce en el
servicio DNSBL. La combinación de ambas tecnologías proporciona un servicio administrado superior
con tasas de detección más altas que las DNSBL tradicionales o las SURBL por sí solas.
Behavioral Analysis
Los métodos de FortiGuard son buenos para detectar el contenido volumétrico de spam y el spam
previamente visto de direcciones IP conocidas, pero los atacantes ajustan a menudo su
comportamiento para evitar la detección, por ejemplo, usando IPs previamente limpias pero ahora
infectadas para distribuir spam y cambiar contenido ocultando texto aleatorio en el cuerpo del correo.
FortiMail Behavioral Analysis utiliza una lógica difusa y un aprendizaje automático para buscar
ataques que tienen características comunes a los spam observados recientemente.
Spam Outbreak Protection
Outbreak protection es una técnica para detectar ataques nuevos. Para mejorar las posibilidades de
detectar virus o spams desconocidos, la protección Outbreak de FortiMail analizará los mensajes
sospechosos dos veces antes de la entrega: una vez cuando se recibe el mensaje y otra vez
después de un período de outbreak (de 15 minutos a 6 horas). Durante ese período, la base de datos
de FortiGuard se enriquece con nueva información y podría devolver un nuevo resultado del análisis.
Impersonation Analysis scan
Este método busca engañar a los usuarios enviando correos electrónicos que afirman ser de
usuarios VIP de la organización. Se trata de enviar correos modificando el "Display Name" para
engañar al usuario interno. Las asignaciones de direcciones válidas de los usuarios válidos se
pueden identificar de varias maneras:
Carga manual
Autodescubrimiento dinámico del flujo de tráfico
Forged IP scan
Cuando FortiMail recibe un mensaje de correo electrónico, convierte la dirección IP del remitente en
un nombre de host canónico. A continuación, la unidad FortiMail compara todas las direcciones IP
registradas oficialmente para ese nombre de host con la dirección IP del remitente. Si no se
encuentra la dirección IP del remitente, la unidad FortiMail considera que la dirección IP y/o el
nombre de host se han falsificado y trata el correo como spam.
Greylist
El análisis greylist bloquea el correo basura en función del comportamiento del servidor de envío, en
lugar del contenido de los mensajes. Al recibir un correo electrónico de un servidor desconocido, la
unidad FortiMail rechazará temporalmente el mensaje. Si el correo es legítimo, el servidor de origen
intentará enviarlo de nuevo más tarde, en cuyo momento la unidad FortiMail lo aceptará. Los
remitentes de correo basura rara vez intentan un reintento.
El greylist tradicional tiene su principal inconveniente: puede retrasar la entrega del primer correo
electrónico de todos los usuarios externos. FortiMail implementa una función de exención automática
que disminuye significativamente ese impacto. Sólo el primer correo electrónico de una misma tupla
de subred de dominio sería cuestionado por la greylist.
SPF scan
Fortimail puede comparar la dirección IP del MTA remitente con las configuradas en las entradas
DNS de SPF para el dominio de envío (derivadas de Mail From: o De la cabecera en el cuerpo). Si
hay una discordancia, el mensaje se clasifica como spam
DMARC scan
DMARC realiza comprobaciones adicionales del mensaje basadas en registros DNS SPF y firmas
DKIM en el propio mensaje.
Diciembre - 2020 8
�DNSBL scan
Además de admitir el servicio antispam de FortiGuard DNSBL de Fortinet, la unidad FortiMail admite
servidores de lista negra DNS definidos por el administrador y de terceros. El administrador puede
definir varios servidores DNSBL para cada perfil antispam.
SURBL scan
Además de admitir el servicio FortiGuard antispam SURBL de Fortinet, la unidad FortiMail admite
servidores de listas de URI de spam definidos por el administrador y de terceros. El administrador
puede especificar qué servidores SURBL públicos utilizar como parte de un perfil antispam.
Deep header scan
La exploración profunda de encabezados implica dos comprobaciones separadas. La comprobación
de IP examina los campos "Recibidos" del encabezado de correo electrónico. A continuación, la
unidad FortiMail extrae cualquier URI o IP del encabezado y los pasa al servicio antispam FortiGuard,
a los servidores DNSBL o SURBL para comprobar el spam. El análisis de encabezados examina el
encabezado completo del mensaje para las características de correo no deseado.
Bayesian scan
El análisis bayesiano utiliza bases de datos para determinar si un correo electrónico es spam. Para
que el escaneo bayesiano sea eficaz, las bases de datos deben ser formadas con spam conocido y
mensajes de correo electrónico “buenos” conocidos para que el escáner pueda conocer las
diferencias entre los dos tipos de correo electrónico. Para mantener su efectividad, se deben enviar
falsos positivos y falsos negativos a la unidad FortiMail para que el escáner bayesiano pueda
aprender de sus errores.
El escáner Bayesiano de FortiMail utiliza tres tipos de bases de datos: personal, grupal y global. Las
bases de datos personales están asociadas a usuarios individuales, la base de datos de grupo se
aplica a todos los usuarios de un dominio y la base de datos global se aplica a todos los usuarios
alojados en dominios definidos en la unidad FortiMail.
Heuristic scan
La unidad FortiMail incluye reglas que utilizan el filtro heurístico. Cada regla tiene una puntuación
individual para calcular la puntuación total de un correo electrónico. Se establece un umbral límite
superior e inferior para cada perfil antispam.
Para determinar si un correo electrónico es spam, el filtro heurístico examina un mensaje de correo
electrónico y agrega la puntuación de cada regla que se aplica a ese correo electrónico. Si el total es
mayor o igual al umbral superior, el filtro clasifica el correo electrónico como correo basura y lo
procesa en consecuencia. Si el total es menor o igual al umbral inferior, el correo electrónico no es
spam. Si el total está entre los dos umbrales, el filtro heurístico no puede determinar si el correo
electrónico es spam o no.
Dictionary scan
El módulo de escaneo de diccionario permite al administrador definir diccionarios multilingües de
palabras que no deben aparecer en el correo electrónico. Al aplicar ciertos pesos y umbrales, estos
diccionarios se pueden utilizar para admitir la detección como spam.
Banned word scan
Se puede especificar una lista de palabras prohibidas como parte de un perfil antispam. Si la unidad
FortiMail detecta cualquiera de las palabras prohibidas en el cuerpo o encabezado del correo
electrónico, marca el correo como spam.
Newsletter
Permite la detección de boletines informativos. Puede que no sean spam, pero se pueden etiquetar
con una palabra clave para facilitar la clasificación por el destinatario
Diciembre - 2020 9
�Suspicious Newsletter
Similar a la detección de boletines, pero realiza comprobaciones adicionales para ver si el mensaje
es realmente spam
SafeList/BlockList
A nivel de sistema, dominio o usuario es posible configurar direcciones IP y direcciones de correo
electrónico que están exentas de ser clasificadas como spam (Safe) o siempre clasificadas como
spam (block). Los usuarios pueden administrar su propia lista Safe/block desde el portal de usuarios.
Safelist word scan
De manera similar, se puede especificar una lista segura de palabras como parte de un perfil
antispam. Si la unidad FortiMail detecta una palabra en la whitelist, trata el mensaje como no spam y
cancela el análisis antispam adicional.
Image spam scan
Los spammers intentan que sus mensajes de correo electrónico pasen las protecciones del spam
reemplazando el cuerpo del mensaje con un archivo de imagen. Este archivo de imagen muestra un
gráfico del texto deseado. Dado que el cuerpo del mensaje no contiene texto real, los escáneres
diseñados para examinar el cuerpo del mensaje no encuentran nada con qué trabajar. Sin embargo,
el escaneo de spam de imágenes de la unidad FortiMail está equipado para examinar e identificar
gráficos GIF, JPEG y PNG utilizados en el spam de imágenes.
Otras opciones
Los spammers pueden adjuntar un archivo PDF a un mensaje que de otra manera no sería
válido, para que sus mensajes de correo electrónico pasen las protecciones contra el spam.
El archivo PDF contiene información de spam. Dado que el cuerpo del mensaje no contiene
texto, los motores antispam no pueden determinar si el mensaje es spam. Habilitar la opción
de análisis PDF de FortiMail aplica métodos heurísticos, escaneo de palabras prohibidas e
imágenes spam sobre el contenido de archivos PDF.
Especificar el tamaño máximo del mensaje que se va a analizar (incluye, sin límite)
Evitar el análisis de spam para sesiones autenticadas
Aplicar siempre la acción independientemente de la clasificación del mensaje
Acciones AntiSpam
Todas y cada una de las técnicas de exploración permiten realizar acciones separadas en caso de
que se detecte spam. Gracias a ello, los métodos utilizados pueden ajustarse a las prácticas
específicas del entorno y de las empresas. Se pueden realizar las siguientes acciones como
resultado de la coincidencia de perfiles antispam:
Diciembre - 2020 10
�Tag subject
Insertar una etiqueta predefinida en el asunto del mensaje
Insert a new header
Insertar un texto personalizado en el encabezado del mensaje
Deliver to alternate host
El mensaje original o modificado se redireccionará a un MTA alternativo
Deliver to original host
El mensaje original o modificado se redireccionará al host original (por ejemplo, para dejar el mensaje
original en la cuarentena y el correo saneado al destinatario)
BCC
Se agregará un destinatario específico en copia oculta (BCC)
Archive
El mensaje se almacenará en un archivo
Notification
La notificación se puede enviar al remitente, destinatario u otra persona. El contenido de las
notificaciones se puede personalizar.
Reject
El mensaje se rechazará con el código SMTP 550. El mensaje de error se puede personalizar.
Discard
El correo electrónico será aceptado y borrado sin entregar.
Personal Quarantine
El correo electrónico se moverá a la cuarentena personal para que el destinatario lo administre.
Existen diferentes opciones: el administrador puede notificar al destinatario mediante un informe de
cuarentena, los vínculos incrustados en ese informe permiten al destinatario administrar los mensajes
en cuarentena. El administrador también puede proporcionar acceso por correo web a la cuarentena
personal.
System Quarantine
El correo electrónico se moverá a la cuarentena del sistema controlada por el Administrador. El
administrador puede crear varias cuarentena de sistema diferentes.
Rewrite recipient address
La dirección de correo electrónico del destinatario se reescribe y el mensaje se envía a la nueva
dirección.
Diciembre - 2020 11
� 1.6. AntiVirus y Protección contra Amenazas Avanzadas
FortiGuard Antivirus
FortiMail viene con el galardonado antivirus FortiGuard que protege contra los últimos virus, malware
y otras amenazas a nivel de contenido usando firmas de archivos y heurística en tiempo real. Utiliza
motores de detección avanzados líderes en la industria para evitar que amenazas nuevas y en
evolución se afiancen dentro de su red.
Las actualizaciones del motor y las firmas se distribuyen a través de los servidores de actualización
FortiGuard en modo pull o push. Esto último permite a los servidores FortiGuard notificar a la unidad
sobre las actualizaciones disponibles para acortar significativamente el ciclo de actualización.
FortiGuard Virus Outbreak
FortiGuard Virus Outbreak es un servicio basado en la reputación de archivos que utiliza múltiples
fuentes de información de brotes para identificar amenazas emergentes. Las fuentes incluyen fuentes
de amenazas de Fortinet y de terceros:
Hash de pre-firmas de FortiGuard
Hash de Amenazas Globales Forti Sandbox
Fuentes de la Cyber Threat Alliance
FortiGuard Malware Outbreak
FortiGuard ve millones de consultas por hora en correos electrónicos y archivos adjuntos; bueno y
malo, conocido y desconocido en todo el mundo. Fortinet realiza análisis de metadatos de estas
consultas para identificar nuevas amenazas y prevenir nuevos brotes.
Diciembre - 2020 12
�FortiMail Antivirus Actions
El perfil Antivirus permite al administrador configurar la acción cuando se detecta una amenaza.
Además de las acciones enumeradas para AntiSpam, se pueden aplicar las siguientes acciones a un
mensaje detectado como virus o malintencionado
Replaced infected/suspicious body or attachment(s)
Reemplaza el archivo infectado por un mensaje que notifica al usuario de correo electrónico que se
ha eliminado el archivo infectado. Los mensajes de reemplazo se pueden personalizar
Rewrite recipient email address
Cambiar la dirección del destinatario de cualquier mensaje de correo electrónico infectado para que
los administradores puedan hacer el análisis del correo.
Repackage email with customized or original content
Reenvía el correo electrónico infectado como un adjunto, con el cuerpo de correo electrónico,
personalizado con una plantilla de correo electrónico.
1.7. Prevención de Ataques Selectivos
Siendo el correo electrónico el vector preferido para ataques sofisticados, FortiMail se ha convertido
en uno de los componentes principales para la Prevención de Amenazas Avanzadas y Ataques
Específicos. Además de las protecciones tradicionales de malware, proporciona un conjunto de
funciones avanzadas que se complementan con el Sandboxing.
FortiSandbox
FortiSandbox es una parte central de la solución Fortinet Advanced Threat Protection (ATP) que se
integra con FortiMail a través de Fortinet Security Fabric. FortiSandbox ofrece inteligencia en tiempo
real a través de la automatización de la detección y mitigación de malware avanzado de día cero.
FortiSandbox está disponible como un dispositivo físico, virtual o nube, utilizando el servicio
FortiSandbox Cloud.
Content Disarm and Reconstruct
En todas las organizaciones existe un equilibrio entre la seguridad y la existencia de canales de
comunicación abiertos para permitir el negocio. El Content Disarm & Reconstruction de FortiMail
permite la entrada de correos electrónicos y documentos potencialmente de riesgo a la organización,
al tiempo que neutraliza cualquier amenaza.
FortiMail puede desmenuzar el correo electrónico y los archivos adjuntos para eliminar las amenazas
potenciales y, a continuación, reconstruir el correo electrónico o los archivos para que se puedan
enviar de forma segura al destinatario. Un ejemplo típico es la eliminación de macros de documentos
de Microsoft Word.
Diciembre - 2020 13
�Existen varios métodos disponibles para reducir el riesgo de que el contenido entre en la
organización:
Document sanitization – Soporta PDF y Documentos Office
o Neutralización de contenido activo como macros, javascript, activescript
o Neutralización de enlaces en función de la categoría
o Eliminación de contenido incrustado
Email body sanitization
o Convertir HTML en texto
o Eliminación de URL de los cuerpos de correo electrónico
o Sanitización de contenido HTML
Password Decryption – Soporta PDF y Documentos Office
o Prueba de contraseñas definidas por el administrador
o Contraseñas detectadas automáticamente en el contenido del cuerpo
Otro uso de CDR es limitar el impacto de los posibles retrasos introducidos por Sandboxing: se
puede desarmar el correo y entregar al destinatario mientras se espera el veredicto de FortiSandbox.
Business Email Compromise (BEC)
Un método común utilizado por los atacantes es la suplantación de usuarios internos. Los correos
electrónicos son falsificados, fingiendo ser de un usuario VIP interno para engañar a su destinatario
con el fin de que divulgue información.
La detección de suplantación de FortiMail detecta el uso de nombres de usuario internos que se
originan en correos electrónicos desde fuera de la organización. Las asignaciones de direcciones
válidas de los usuarios válidos se pueden identificar de varias maneras:
Carga manual
Autodescubrimiento dinámico
Al detectar estos correos, FortiMail puede notificar al destinatario para evitar este tipo de ataques de
ingeniería social.
URI Click Protection
Para evitar las protecciones sobre URIs, un atacante puede retrasar la activación de un sitio web
malintencionado. Por ejemplo, un atacante envía un correo electrónico que contiene una dirección
URI "limpia". Cuando FortiMail y FortiSandbox escanean un correo electrónico el sitio web está
limpio, sin embargo, después de un breve periodo de tiempo el atacante puede armar la URI y
esperar a que el usuario haga clic.
FortiMail Click Protection reescribe los identificadores URI, todos u opcionalmente basados en
categoría, de modo que cuando se hace clic en ellos, el usuario se redirige a FortiMail, donde el
identificador URI se vuelve a analizar "en el momento del clic" mediante Filtrado de contenido web y
FortiSandbox. Después de hacer clic, el usuario se redirigiría al URI original o recibiría una página de
bloqueo en función del resultado del análisis.
1.8. Seguridad del sistema y del contenido
Seguridad del sistema
FortiMail se proporciona como un sistema operativo bastionado con aplicación integrada (firmware).
Las actualizaciones de paquetes de seguridad para los motores AntiVirus y AntiSpam y las firmas
pueden ser recuperadas automáticamente o incluso enviadas al dispositivo por uno de los centros de
actualización de FortiGuard repartidos por todo el mundo.
El firmware se puede cargar en el dispositivo a través de la interfaz gráfica de usuario para actualizar
el SO con un simple clic. El administrador no puede instalar componentes de software adicionales ni
escribir archivos en la plataforma, para garantizar la seguridad del sistema.
Diciembre - 2020 14
�Recolección de directorios y prevención de DoS
Gracias a la reputación del remitente, FortiMail es capaz de observar el comportamiento histórico del
remitente en lugar de tratar cada mensaje por separado. Aunque la técnica de reputación del
remitente en local se desarrolló originalmente para el escaneo de spam saliente y la prevención de
listas negras, también es aplicable a la transmisión entrante. Usándolo de esta manera se puede
obtener una reacción más rápida a nuevas campañas de spam y protección contra ataques de
recolección de directorios (DHA).
Lo anterior combinado con la limitación de la velocidad de conexión por IP, mensaje, comando HELO
y destinatarios permite defenderse contra ataques DoS.
1.9. IP Blacklist Protection
La mayoría de los filtros antispam del mercado se centran en la transmisión entrante para proteger a
la organización de los correos basura que se le envían. Filtrar el corriente saliente, especialmente a
nivel de los ISP, requiere superar varios desafíos que no suelen verse en las soluciones corporativas.
Hay dos modelos que el ISP puede utilizar para controlar la secuencia SMTP saliente:
1. Bloquear el puerto 25 hacia Internet y obligar a los usuarios a pasar por el relay de correo
2. Filtrar SMTP de forma transparente
La adopción de la opción 1 tendría múltiples consecuencias:
Los usuarios finales deben ser informados sobre cómo reconfigurar sus MTA
Introducción de retransmisión en la autenticación SMTP
Introducción de retransmisión de filtrado de flujo saliente, incluyendo filtros antivirus,
antispam y DLP
Para evitarlo, las empresas pueden utilizar mecanismos SPF y/o DKIM para asegurarse de
que todo el correo electrónico de su dominio se envíe desde sus servidores. El relay de
correo a través del ISP obviamente no es compatible con esto.
El filtrado transparente ofrecido por FortiMail está libre de estas desventajas. Los ISP y los
proveedores de servicios de Internet pueden simplemente realizar políticas para encaminar el tráfico
SMTP a través del dispositivo FortiMail, que escaneará todos los correos electrónicos salientes,
evitando que los extremos infectados distribuyan tráfico malicioso que puede dar como resultado que
el ISP o Carrier caigan en una lista negra.
1.10. Política de Compliance
En muchos entornos la detección de información confidencial que sale de la organización es una
parte importante en la política de seguridad.
FortiMail es capaz de detectar y filtrar archivos adjuntos por nombre, tipo MIME y contenido. El
análisis de diccionario permite un filtrado sencillo basado en palabras clave, expresiones regulares y
sus combinaciones. Tanto el contenido del mensaje como los archivos adjuntos de PDF y MS Office
se pueden analizar con el diccionario. Como resultado, los mensajes pueden ser puestos en
cuarentena, cifrados, archivados, bloqueados, etiquetados, reescritos o incluso enviados a un
sistema externo para su procesamiento.
Perfiles de contenido y diccionario
El perfil de contenido está diseñado para proteger el envío de información confidencial por correo
electrónico. El perfil de contenido busca información específica en los mensajes procesados. Los
nombres de archivo, las extensiones de archivo y los tipos MIME se utilizan para identificar el
contenido
Archivos comprimidos
Los archivos como zip, rar y gzip se pueden descomprimir para su inspección. La compresión
recursiva también es compatible con hasta 12 niveles de compresión. También se aplica la
protección contra Zip bomb; limitando el tamaño máximo del archivo descomprimido.
Diciembre - 2020 15
�Contenido protegido por contraseña
Los archivos protegidos por contraseña se pueden detectar y bloquear.
Documentos incrustados
Los documentos que contienen macros, así como el contenido incrustado en otros documentos, se
pueden analizar y bloquear.
Dynamic DLP
En lugar de configurar un conjunto de patrones fijos para que coincidan con DLP, es posible analizar
el contenido del correo electrónico y los archivos adjuntos en busca de contenido de archivo
específico. Los archivos que se van a proteger se pueden cargar a FML a través de la interfaz gráfica
de usuario o se pueden analizar mediante el acceso a un recurso compartido SMB/CIFS
Políticas TLS
FortiMail presenta políticas TLS flexibles con compatibilidad con CRL y OCSP. El administrador
puede exigir TLS por host, red, dominio de correo electrónico o incluso por usuario individual. Las
políticas determinan si TLS está disponible, si es así, si es obligatorio y, en caso afirmativo, cuáles
son los requisitos mínimos para el certificado. Estas restricciones pueden mantenerse por separado
para las conexiones iniciadas por FortiMail y terceros.
Cifrado a nivel de mensaje
Una parte importante de muchos requisitos de cumplimiento es el cifrado a nivel de mensaje.
Desafortunadamente, depender del entorno de software y certificados del receptor es a menudo más
difícil de implementar.
FortiMail implementa tanto el cifrado tradicional basado en S/MIME como el esquema de Cifrado
basado en identidad. Al contrario de la encriptación S/MIME, IBE es un entorno receptor agnóstico:
No requiere ningún software específico para ser instalado en el cliente de correo del
destinatario
No requiere ninguna inscripción previa de clave de cifrado
No impone ningún sistema operativo o hardware en particular al destinatario
El módulo IBE admite los modos pull y push.
El cifrado de mensajes de FortiMail se puede activar mediante:
dirección de correo del remitente o del destinatario
dominio del remitente o del destinatario
dirección IP MTA de destino
contenido del mensaje o adjuntos
Firma automática de mensajes/cifrado
El estándar S/MIME se puede usar para firmar/cifrar correos electrónicos. Ayuda al destinatario a
confiar en el remitente y el contenido del correo electrónico. Prueba que el remitente es el autor
original. También evita la manipulación; es la garantía de que el contenido no ha sido alterado en
tránsito. Mediante certificados precargados, FortiMail puede firmar y/o cifrar automáticamente los
mensajes salientes de dominios protegidos.
Archiving basado en políticas
Archivado de correo electrónico significa mantener una copia de correo seleccionado o de todo el
correo de la organización. Esta copia está protegida contra la eliminación accidental o intencional y
puede utilizarse para cualquier cumplimiento, litigio u operación.
Diciembre - 2020 16
�Con el correo electrónico que constituye registros de comunicación comercial, todo el archivo de
correo de la empresa debe ser administrado en masa para que los mensajes específicos puedan
localizarse en minutos.
La funcionalidad de archiving de FortiMail incluye funciones de indexación y búsqueda.
El administrador puede configurar reglas flexibles y usar direcciones de correo electrónico,
filtros de contenido, diccionarios, filtros de spam para clasificar qué correo electrónico debe
archivarse.
Basándose en las políticas, FortiMail puede enviar correos electrónicos a diferentes cuentas
de archivo para que sean accesibles por distintos usuarios.
1.11. Gestión
FortiMail se puede administrar por HTTPS utilizando los navegadores más comunes habilitados para
Javascript (Chrome, IE), SSH, Telnet o consola.
También está disponible una API basada en REST para monitorización, automatización y
orquestación.
Administración basada en roles y tenant
FortiMail se ha diseñado teniendo en cuenta a los
MSSP con soporte para varios tenant,
administración delegada y aprovisionamiento
masivo. La función habitual de un MSSP es la
delegación de administración. Permite transmitir al
cliente un subconjunto de funciones,
permitiéndoles mantener el control, sin poner en
peligro la seguridad del sistema y de otros clientes.
Los derechos administrativos en FortiMail se basan
en roles (otorgando acceso de lectura y escritura a
políticas, cuarentena, listas de bloqueo y
seguridad, archivos, etc...) y delegados por
dominio. La asociación de un administrador, un rol
y un dominio conduce a implementaciones muy
flexibles que permiten a MSSP delegar tareas
administrativas a sus clientes según sea necesario.
Alta disponibilidad
El administrador puede mejorar el rendimiento y la
disponibilidad mediante las funcionalidades de HA. FortiMail admite dos modos de alta disponibilidad:
activo-pasivo y activo-activo.
Activo-Activo
Un clúster config-only está pensado para dar un rendimiento adicional. Las unidades FortiMail
pueden formar clústeres activos de hasta 25 miembros. La configuración sigue sincronizada, lo que
permite un único punto de administración, pero determinadas unidades procesan distintos correos
electrónicos. El equilibrio entre el tráfico entre unidades se puede lograr mediante registros MX de
igual prioridad (cuando proceda) o mediante un balanceador de carga.
Diciembre - 2020 17
�Activo-Passivo
Se agrupan dos unidades para aumentar la disponibilidad. El Master sincroniza completamente la
configuración al esclavo y también los directorios de correo.
Los dispositivos se sincronizan utilizando un enlace TCP dedicado
Se puede implementar una dirección IP virtual para este tipo de cluster, no sólo desde
Internet sino también desde la perspectiva del usuario del correo.
La unidad pasiva puede monitorizar la disponibilidad del servicio en el dispositivo maestro, de
esta manera se puede detectar la falla del demonio SMTP incluso si el dispositivo sigue
funcionando a nivel de red.
La cuarentena se puede centralizar en un solo dispositivo para una administración
simplificada del usuario (FML 400E y superior)
Logs e Informes
La seguridad de la red requiere una visibilidad perfecta del tráfico. Cuando se trata de rastrear un
problema o analizar un ataque, los administradores pasan la mayor parte del tiempo explorando
registros e informes. Los detalles de los registros son importantes para proporcionar la máxima
información durante el análisis posterior al evento.
FortiMail permite registrar cualquier actividad en el propio GUI con un histórico de 4 años o en un
servidor de informes y syslog externo como FortiAnalyzer.
FortiMail tiene informes predefinidos (Top Sender, Top Spammer IP, Top Spam Type...) que se
pueden generar a partir de registros. La creación de informes se puede programar y enviar
automáticamente por correo. Utilizar FortiAnalyzer como servidor de log extendido de FortiMail
agregando informes más avanzados cuando los registros coinciden con algunos patrones.
La búsqueda de logs y el identificador de directivas facilitan el proceso de seguimiento de las
actividades de correo y encontrar qué reglas se han aplicado en un mensaje dado. La búsqueda
cruzada de logs proporciona una correlación rápida entre registros de diferentes módulos. Por
ejemplo, el administrador a menudo quiere saber por qué exactamente un mensaje dado fue
bloqueado, sabiendo que es un filtro AntiSpam no es suficiente, la búsqueda cruzada de registros
proporciona inmediatamente los detalles sobre ese filtro y las razones. El seguimiento de mensajes
se simplifica al proporcionar una búsqueda de registro desde las colas de cuarentena y de correo.
Para un mensaje determinado almacenado en FortiMail se pueden recuperar fácilmente los detalles
del clasificador y otros registros.
Diciembre - 2020 18
�Diciembre - 2020 19
