Este es el punto mas importante de la iniciativa ya que nos permitirá definir los criterios de selección y estructurar el proyecto. La
idea es definir 3 niveles de calidad del Servicio (nivel básico, nivel medio y nivel avanzado) y cada uno de ellos con un serie de
indicadores de calidad . A cada indicador se le asignará un valor (peso) individual que habrá que definir. Cada uno de los niveles
tendrá un valor total máximo. Según los indicadores que disponga una
institución encajará en un Nivel u otro.
Estos criterios darían una estimación cuantitativa que nos permitirá catalogar los servicio de correo de una institución en alguno de
los 3 niveles anteriormente definidos Con esta relación se hará una mapa de la calidad del Servicio de correo-e en la comunidad
RedIRIS. A cada criterio RACE se le ha añadido alguna información adicional: RFC, legislativa etc
Todos los criterios del Nivel Básico son de obligado cumplimiento para que un Servicio de Correo Electrónico sea etiquetado en este Nivel.
Se han considerador criterios mínimos para la calidad de este Nivel Básico.
En los niveles Medio y Avanzado hay unos indicadores que se han considerado como imprescindibles ,es decir, criterios mínimos y de
obligado cumplimiento para que un Servicio sea etiquetado con uno de estos dos estos niveles.
EL objetivo de este Nivel Básico es definir un nivel mínimo de calidad del Servicio de Correo donde se han considerado no sólo aspectos técnicos.
Como ya se ha comentado anteriormente todos los criterios de este Nivel son de
- Control de acceso al puerto SMTP/25 de la Institución (tráfico de
entrada).
Descripción: Existencia de un único punto de entrada del
tráfico SMTP en la Institución a través de la definición de listas
de acceso (filtros) del puerto SMTP(25) en el router principal.
- Documento público describiendo el Servicio de Correo Electrónico.
Descripción: Documento público y conocido por los usuarios que
defina la política técnica del mismo (POP/IMAP, seguridad, tamaño buzones o
mensajes de entrada, listas de spam) asi como el buen uso del servicio de
correo-e.Este documento debe describir:
- Responsabilidades del Servicio
- Tipo de MTA en los puertos
- Modelo de acceso (pop,imap,http)
- Política Antivirus
- Politica AntiSpam
- Política de Logs (trazas)
- Política de encaminamiento: entrada y salida
- Servidores: descripción simple
- Capacidad máxima permitida de los buzones.Si existe
- Politicas de limpieza o eliminacion de buzones. Si existe.
- Puntos de contacto: postmaster, abuse
Información:
DOCE (Documento de Correo Electrónico)-ZT IRIS-MAIL-. Recomendaciones de RACE para generar un documento descriptivo del Servicio
Art 37/3c de "Ley 34/2002 de 11 de Julio de Servicios de la Sociedad de la Información y de comercio electrónico"
- Reglas Anti-Relay.
Descripción: Definir claramente las direcciones IP de las redes a las que
damos servicio de correo-e y que deberán ser las únicas que tengan permiso de
utilizar el servidor principal para encaminar correo. A cualquier otra se la debe
denegar el servicio en la transacción SMTP.
Es decir, hay que tener
completo control de las direcciones IP que tienen permiso para establecer un sesión SMTP
contra nuestro servidor, lógicamente se incluyen tanto Agentes de Usuarios desde
PCs como servidores de correo-e secundarios internos de nuestra organización
No se debe aceptar correo desde direcciones externas a nuestra dominio y
destinadas a direcciones externas a nuestro dominio. Esta regla junto con el anterior
párrafo debe denegar el encaminamiento de correo desde cualquier dirección IP
fuera de nuestro dominio destinada a cualquier dirección (RCPT TO:) fuera de
nuestro dominio, independientemente cual sea la dirección origen del sobre(MAIL FROM:).
Información: RFC2505 (Anti-Spam Recommendations for SMTP MTAs),
RFC2635 (A Set of Guidelines for Mass Unsolicited
Mailings and Postings (spam*)
- Servicio de soporte y gestión de incidentes (abuse, postmaster@)
Descripción: Servicio documentado y divulgado de atención de problemas relacionados
con el correo electrónico postmaster@ y de abusos de correo abuse@
falsificaciones, correo no deseado (spam)
Información: RFC822 (6.3),
RFC2821 (4.5.1)
RFC1123 (5.2.7),
- Sincronización NTP.
Descripción: Sincronización horaria con la red NTP de RedIRIS de los
servidores de correo.
Información:Zona horaria en España
- Antivirus en el Servidor de Correo
(Entrada/Salida).
Descripción: Existencia de algún tipo de Antivirus que
escanee el tráfico SMTP de entrada y salida a la institución en busca de
virus.
- Política de ficheros de trazas (logs)
Descripción: Existencia y mantenimiento de ficheros donde se almacenen las trazas
de las transacciones SMTP de la Institución. Rotación y almacenamiento de
dichos ficheros de los últimos 6 meses como mínimo.
Información:Art 12 de "Ley 34/2002 de 11 de Julio de Servicios de la Sociedad de la Información y de comercio electrónico"
- Datos del administrador del Servicio en la base de datos de RedIRIS.
Descripción: Personas implicadas en la gestión del Servicio dadas de alta
en la base de datos IRIS-MAI donde está los responsables del Servicio de correo-e de cada institución de RedIRIS.
- Resolución inversa de las Estafetas
Descripción: Las Estafetas que componen el Servicio deben disponer de resolución inversa de
sus respectivas direcciones IP.
Información:RFC3172"Management Guidelines & Operational Requirements
for the Address and Routing Parameter Area Domain ("arpa")", DNS en RedIRIS
Nivel Medio.
El objetivo de Nivel Medio es definir criterios de valor añadido al Servicio que se han considerado aportan calidad al mismo.
En este Nivel hay dos criterios imprescindibles. El control del tráfico de salida es un nivel mas para controlar todo el tráfico
smtp de entrada/salida con todas las ventajas que ello aporta. El servicio de WebMail es lo mínimo que se puede ofrecer a los usuarios
acceso desde el exterior a sus buzones.
- Control de acceso al puerto 25 de la Institución (tráfico de salida)
-imprenscindible-
Descripción: Existencia de un único punto de
salida del tráfico SMTP en la Institución a través de la definición de listas
de acceso (filtros) del puerto SMTP(25) en el router principal.
- Servicio de WebMail. -imprenscindible-
Descripción: Servicio básico de acceso remoto a los buzones de correo a
través de aplicaciones web con acceso SSL que permita el cifrado de datos entre
el punto de acceso y el servidor WebMail.
- Servicio de Listas de Distribución.
Descripción: Servicio de distribución masiva y organizada de información así como
foros de debate para el trabajo en grupo. Es un servicio de valor añadido que
ofrece ventajas a la calidad del Servicio.
- Servicios añadidos a usuarios: cambio de clave, redirección de correo,
autorespondedor (vacaciones etc).
Descripción: Son servicios de gran valor añadido en un Servicio de Correo
Electrónico.
- Control tamaño de mensajes
Descripción: Definición de filtros o medidas para impedir transacciones SMTP
desde el exterior de ficheros voluminosos e impedir problemas de seguridad.
Alternativas:
- Servicio de Servidor por ficheros.
- Otros: control de cuotas de buzones etc
Información:RFC1653 "SMTP Service Extension for Message Size Declaration".
- Estadísticas del Servicio
Descripción: Estadísticas del tráfico SMTP de las máquinas que nos permitirá
dimensionar de forma adecuada la evolución del servicio.
Nivel Avanzado
El objetivo de este Nivel básicamente es conseguir cifrar y autenticas todas las transacciones entre el emisor y el receptor de un mensaje.ES el nivél máximo
y el que nos permitirá ir aumentando una Red Privada Académica de correo-e con encaminamiento estático y conexiones cifradas y autenticadas entre los extremos.
- Cifrado en transacciones POP, IMAP y SMTP (UA-MTA) -imprescindible-
Descripción: Permitir a los usuarios poder utilizar SMTP, POP, IMAP autenticado y cifrado. Correo cifrado entre usuarios.
Infraestructura de PKI integrada en el Servicio de correo-e.
Información:RFC2595 "Using TLS with IMAP, POP3 and ACAP"
- Comunicación cifrada SMTP entre MTAs internos (MTAi-MTAi) -imprescindible-
Descripción: El correo interno entre Estafetas debe ser cifrado (TLS)
Información:RFC3207 "SMTP Service Extension for Secure SMTP over Transport Layer Security"
- Estructura de PKI en el Servicio de Correo Electrónico.
Descripción: Autenticación y cifrado de correo con la CA de la Institución
que permita a sus usuarios firmar/cifrar los mensajes .
- Autenticación centralizada.
Descripción: Sistema de autenticación de buzones centralizado.
- Autenticación en transacciones SMTP externas (UA-MTA)
Descripción: Permitir a clientes SMTP autenticarse cuando se desea utilizar el relay desde direcciones
IP externas a nuestro dominio: SMTP-AUTH,SASL.
Información:RFC2554 "SMTP Service Extension for Authentication"
- Comunicación cifrada SMTP con MTA externos (MTA-MTA)
Descripción: MTA preparada para establecer conexiones cifradas (TLS)
Información:RFC3207 "SMTP Service Extension for Secure SMTP over Transport Layer Security"
- Alta disponibilidad en el servicio de correo.
Descripción: Si disponemos de un sistema centralizado de autenticación es
necesario la redundancia o alta disponibilidad para garantizar la
disponibilidad del Servicio y el acceso a los buzones:
- Alta disponibilidad en Estafeta de entrada (MTA) (Round Robin,
switch...)
- Alta disponibilidad en Almacén de buzones (MDAs)
o
- Redundancia del servidor de autenticación.
Hay indicadores que por su contexto o son experimentales o son difíciles de evaluar pero si son de interés tenerlos en cuenta.
Estos criterios