27ª IRIS-MAIL, Mayo 2008- Universidad de Valencia

Nuevos enfoques en las infraestructuras de correo electronico en RedIRIS

[ Propuesta y presentacion ]

 

Esto es es un resumen de los mensajes mas interesantes enviados durante el debate de la iniciativa presentada. Los textos son copy/paste de los mensajes distribuidos  por IRIS-MAIL. No han sido incluidos todos los comentarios porque extenderiamos en exceso este resumen  y hay comentarios que si bien son interesantes no aportan mucho a los objetivos. Todos los mensajes estén en los archivos de la lista IRIS-MAIL.

Contribuciones de:

  1. Pascual Perez (UNIZAR)
  2. Jesus Puga (URG)
  3. Miguel Hidalgo (CIS)
  4. Fernando Lópe Santoveña (IATA.CSIC)
  5. Fermin Molina Ibarz (UdL)
  6. Pedro Benito Rocha (UBU)
  7. MIguel Armas (ULPGC)
  8. Xavi Herrero (UPF)
  9. Jordi Guijarro Olivares (Universitat Oberta de Catalunya)
  10.  Juan Jose Varas (UEM)
  11. Jesus Sanz de las Heras (moderador)
Exposicion de Jesus Sanz de las Heras. RedIRIS.

 

Como sabéis este año en los próximo GT 2008 de Mayo en Valencia se van a evaluar nuevos métodos para mejorar la dinámica, efectividad y productividad de los mismos. La idea es que habrá sesiones debate virtual previas a las reuniones. La sesión final será la presencial  sin traspas y solo habrá debate y conclusiones.

La sesión previa y virtual será de debate por la lista IRIS-MAIL, por tanto hay dos semanas para os leais la propuesta, el tema y enviéis vuestros comentarios a IRIS-MAIL El tema  propuesto es:  "Nuevos enfoques en las infraestructuras de correo electrónico". Creo que es un tema importante e interesante. Tenéis mas información en: http://www.rediris.es/mail/gt/my08/ donde encontrareis una presentación.

Espero que se entienda y que os animéis a participar. Lo bueno de este nuevo formato es que los que no puedan asistir a Valencia podrá enviar su opiniones y puntos de vista

Comentarios de:  Pascual Perez. RedIRIS.

Me gustaría abrir este debate lanzando algunas ideas/dudas/sorpresas

1) Jesus lanza un ordago que parece tener mas calado y realidad que algunas otras propuestas mas o menos "exoticas" a las que nos tiene acostumbrados cuando se acercan las JT/GT. Entiendo que se trate de un globo sonda por recabar impresiones, pero me gustaría que nos concretara un poco mas.

2) Creo que un servicio de esta envergadura es factible técnicamente y presupuestariamente, aunque su definición no es trivial: ¿nos limitamos a "tirar el spam"?, ¿usamos cuarentenas?, ¿que margen de maniobra le queda al usuario final (el estudiante X de la facultad Y, de la universidad Z)?, ¿que responsabilidad adquiere el gestor del servicio sobre perdida  de mensajes?, etc


3) ¿En que modelo económico se esta pensando?: Algunas opciones

     a) RedIris tras conocer la necesidad de un sistema de filtrado de spam monta y ofrece el servicio a las instituciones de forma gratuita

     b) RedIris hace de intermediario entre la comunidad y algunas empresas de sector dispuestas a  ofrecer el servicio

     c) Montamos un consorcio entre las universidades interesadas para financiar el proyecto

Creo que para abrir boca es suficiente.

 

Comentarios de:  Jesus Puga. Universidad de Granada.

 LO POSIBLE:
Me parece muy interesante la idea de Jesús de centralizar el servicio antivirus/antispam en un sólo "proveedor" que procese, en un primer nivel de filtrado, todo el correo de las instituciones afiliadas a RedIris.
Los beneficios son indudables:
     - Centralizar todos los esfuerzos de investigación y mejora de los servicios antispam/antivirus.
     - Todas las instituciones tendrían exactamente el mismo servicio que la institución más avanzada.
     - La reducción de costes para la Administración sería excepcional en muchos aspectos: precio de las herramientas utilizadas (sólo habría que adquirir una licencia), horas de personal dedicadas al servicio, infraestructura de red/sistemas/almacenamiento/transacciones, reducción de desarrollos propios para facilitar a nuestros usuarios la flexibilidad de opciones en la política antispam.
Si todo esto se centraliza, el coste para nuestras instituciones sería prácticamente nulo, aunque lógicamente tuviésemos que pagar entre todas la infraestructura central

En este sentido yo apostaría por ser ambicioso e intentar incluir a todas las instituciones, independientemente de su tamaño. Disponemos de estadísticas y no sería complicado calcular las necesidades técnicas globales del proyecto.

LO IMPOSIBLE ??!:

No creo posible que los equipos de gobierno de todas las instituciones públicas que formamos parte de RedIris pudieran admitir que su correo interno se derivara hacia el sector privado, dado el potencial de procesamiento de información universitaría que este servicio les daría y otro tipo de connotaciones en las que no voy a entrar.
Ya se que se hace en otros servicios de la administración pública, pero, somos tantas las instituciones afiliadas a RedIris, que entraríamos en una dinámica de discusión que probablemente abortaría el proyecto y que, en cualquier caso, escaparía a nuestras capacidades de decisión.

LO REAL:

En Granada etiquetamos el spam para que sea el propio usuario el que decida qué hacer con él.

Adicionalmente, el usuario que lo desee, puede habilitar/deshabilitar cuantas veces quiera la eliminación de spam en estafeta central para evitar recibir los correos etiquetados. Las personas que habitualmente reciben el correo limpio de spam, puntualmente vuelven a desactivar el servicio de borrado centralizado cuando esperan algún tipo de comunicación crítica para ellos.

LO DESEABLE:

Un servicio centralizado de filtrado (no voy a repetir las importantes ventajas del mismo), con servicios de valor añadido para nuestros usuarios finales del tipo de los expuestos en el apartado anterior.

Esto quizá habría que estudiarlo más detenidamente; pero con algún modelo de "federación" (que no me disparen todavía los expertos), o con una simple autenticación distribuida mediante LDAP no lo veo imposible.

Son reflexiones sobre la marcha, poco meditadas aún, pero que creo que pueden ser viables. Seguro que habrá muchas mas cosas que se me han pasado y complejidades que no he valorado, pero para empezar yo apostaría por apoyar un proyecto como el que Jesús está proponiendo.

Voy a plantear este modelo centralizado a la dirección del Centro de Informática para poder aportar su posible viabilidad "política" antes de los grupos de Valencia.

Comentarios de Miguel Ángel Hidalgo. CIS

El tema propuesto por Jesús me parece muy interesante para una organización pequeña como la nuestra que no supera los 200 buzones. El problema para una organización pequeña es que con pocos medios y personal podemos montar nuestro sistema de correo, pero para enfrentarnos al spam y otro tipo de correo no deseado, los medios tienen que ser los mismos o muy parecidos que para organizaciones grandes, todo lo que fuera tener una primera barrera de filtrado mejoraría la carga de trabajo de nuestros servidores, descargaría el trafico de nuestra línea, permitiría que el poco personal informático disponible se dedicara a otras tareas y no menos importante el ahorro económico que supondría.

Comentarios de  Fernando Lopez Santoveña. IATA.CSIC

>Eso ¡nunca! todo lo contrario. En ningún momento se habla del sector
>privado . Precisamente uno de los objetivos es evitar y caer en esas
>tentaciones y desplegar un servicio en la propia comunidad RedIRIS en
>colaboración con sector privado pero gestionado por la propia Comunidad.


No sé si es del todo equiparable, pero el acceso al proveedor de documentacion cientifica Web Of Knowledge esta siendo pagado por
la FECYT para toda la comunidad academica (
http://accesowok.fecyt.es/ ).

Quizá fuese un posible formato administrativo, dado que el correo es tambien una pieza fundamental del trabajo de los investigadores
españoles: La FECYT (si le parece de interes la iniciativa) paga los costes del proyecto, RedIRIS lo administra y las instituciones que
desean aprovechar ese servicio registran los datos pertinentes para aprovecharlo.

Comentarios de Fermin Molina Ibarz. (Universidad de Lleida)

Lo más fácil es que todo el mundo se habra una cuenta en gmail, y listo.  Además, ya integra la agenda, documentos, compartición de archivos, etc.

Ninguna empresa te dará semejante servicio a coste 0 y estabilidad y  escalabilidad mejor que cualquier empresa. ;-)

Lo digo medio en broma, pero... ¿quien te dá más a ese coste y estabilidad?

Comentarios de Jesus Sanz de las Heras , RedIRIS

Hubo un debate sobre el tema de contracion de servicios en Google que no destaco en estas páginas de resumen.  Se comenatron temas de autenticacion y compatibilidad con Google y otros temas que quedan en los archivos de IRIS-MAIL

http://www.google.com/a/help/intl/en/security/education.html

Comentarios de  MIguel Armas. (Universidad de las Palmas de Gran canaria)

Al respecto de la idea de "ceder" parte del correo a una entidad externa, como por ejemplo Google, es bastante evidente que tendría algunas ventajas, pero creo que hay aspectos negativos que hay que tener en cuenta también. Por ejemplo:

- - Supongo que a todo el mundo le habrá pasado el caso de que un usuario borra por error un mensaje "importantísimo" que recibió hace un par de días. Si tenemos el control del sistema de correo, podemos recurrir a una copia de seguridad de la noche anterior y restaurarlo. ¿Nos ofrecería un gestor externo esa posibilidad?
- - Muchos de nosotros estamos padeciendo problemas con la entrega de correo a yahoo. ¿Que pasaría si el que tiene esos problemas es nuestro proveedor "externo"? ¿Qué velocidad de respuesta tendrían para solventar el problema de una institución que seguramente no representa ni el 0,001% de su negocio? La experiencia con yahoo es altamente desalentadora en ese sentido.

Yo creo que al respecto hay una solución facilísima. ¿Te gusta el servicio que te prestamos en la universidad? Fantástico, lo utilizas. ¿Que prefieres otro servicio de correo? Pues te redirigimos bajo tu responsabilidad el correo a donde nos digas. Y así, todos contentos. Y nosotros también porque la decisión y la responsabilidad queda en manos de cada usuario, que decide que valora más (por ejemplo,  privacidad de su correo frente a disponer de calendario en el gestor webmail).

En breves momentos seguramente me mandarán un "correo-pedrada" :-) los que están abiertamente en contra de las redirecciones de correo..... 5, 4, 3, 2,.... :-)

Comentarios de  Xavi Herrero. (UPF)

En la UPF hemos tenido esta discusión este año, de hecho se creó una comisión de "alto nivel" (encabezada por el vicerector y con un miembro de cada departamento) para plantear el tema. Yo asistí a als reuniones y participé del grupo de trabajo.

El tema no es tan simple, pero quería comentar que son básicos dos puntos: el nivel de servicio por un lado, y la confidencialidad por otro. En el primero, si cogemos un producto externo perdemos el control sobre muchas cosas, no tenemos acceso a los logs ni podemos decidir políticas antispam, etc... . Respecto a la confidencialidad, a parte del tema de que a ningún pdi le gusta la idea que su proyecto de invertigación resida fuera de la institución, y sin exagerar, si tenemos los mensajes en un servidor en Palo Alto estamos bajo las leyes de California ---> Mr. Bush puede rastrear lo que le apetezca, por ejemplo.

En nuestra universidad, debido a un tema de escalabilidad en el pasado, los alumnos tienen un correo que está subcontratado a Telefónica (llamado correodeempresas). Si bien actualmente funciona razonablemente bien, hay problemas recurrentes como fallos en la carga masiva de usuarios, etc. y un problema grave desde mi punto de vista, ya que Telefónica aplica las políticas que le parece en cada momento y se apoya en el hecho que el servicio es compartido con n empresas para no aplicar políticas que pedimos.

Un ejemplo para que veais porqué digo que es un problema grave: los administradores decidieron hace un par de meses filtrar los mensajes con título: "User unknown...", y según su propia respuesta lo hicieron porqué tenían un "ataque de DoS", y no está planificado quitar ese filtro. Conclusión: si te equivocas en la dirección de email al enviar un mensaje a un estudiante nuestro, ni el usuario destino recibe el mensaje, ni el usuario origen se entera del error. Mal,  mal, mal.

Comentarios de  Jesus Sanz de las Heras. RedIRIS

Bueno por fin me incorporo a la sala de debate. Os recuerdo que este tema se tratará durante 1 hora, en la reunión de los próximos GT en Valencia (Miércoles, 7 de mayo  SALA B (Auditorio)), donde habrá que tomar una decisión. Todo lo que debatamos en esta fase previa mejor.

Era de esperar que en el debate saliera  el tema de Google,  pero hay que centrar el tema para sacar conclusiones. La propia idea de la propuesta que planteo tuvo su origen al observar, para mi sorpresa que  algunas universidades  estaban valorando el tema de Google como ha comentado  Xavi (UPF) y alguna otra mas. Además  me di cuenta que algunas ya fueran un paso mas allá como la UEM ya tenía contratado un servicio "lavadora" similar pero con un Fabricante español.

Entonces fue cuando me planteé  seriamente si sería posible plantear a la Comunidad una Proyecto para montar un infraestructura para darnos a nosotros mismos un Servicio similar desde RedIRIS por supuesto *si las condiciones tecnológicas, económicas y de recursos humanos fueran optimas*. La Fase 1 sería   esta primera presentación y debate. La propuesta no entra en detalles. Si hubiera un consenso mínimo  podríamos pasar a una Fase 2 y plantear un Proyecto a las autoridades. La idea es incluso colaborar con alguna empresa o evaluar soluciones magnificas como la de HERMES. Creo que habría todo un abanico de posibilidades.

No es la idea  hacer un copia de un servicio de Google ,  tampoco desarrollar una nueva tecnología, sino unirnos para ofrecernos nuestro propio servicio con beneficios económicos, tecnológicos, de recursos que solo redundaría en un mejora del mismo a nuestros actuales usuarios.

Recordar que la idea que yo planteo inicialmente es un  modelo Servicio de "lavadora", en  primer nivel de filtrado (prelavado). Solo en algunos casos que lo desearan podría servirse filtrado de contenidos o almacenaje de buzones, ésto último ahora mismo no lo veo claro aunque redes como Surfnet lo ofrece. Todo es cuestión de analizarlo/evaluarlo/estudiarlo...pero para ello es necesario saber si hay interés y para ello este debate y Valencia

Es un tema tremendamente delicado, incluso un cambio de paradigma del propio modelo que hemos seguido desde hace 15 años.  He intentado plantearlo de la forma mas suave posible solo para conocer vuestra opinión

¿Es tiempo de evaluar nuevos modelos? o de seguir con los actuales ....¿hasta cuando?

SALUDos y buen fin de semana

Comentarios de Pedro Benito Rocha. Universidad de Burgos .

Como ya se ha comentado el principal problema es el almacenamiento, ya que la política de muchas instituciones (entre ellas la mía) es de "puedes marcar, pero nunca borrar", con lo cual el spam llena el buzón del usuario.

Sin embargo creo que un primer nivel de filtrado puede aportar grandes ventajas para todo el mundo, ya sea solo marcando con una política común (el que quiera que lo borre y el que quiera no) o bien directamente filtrando. El segundo caso (filtrado) implicaría poner de acuerdo a todos los usuarios de la iniciativa, algo que creo muy complicado.

El uso de una primera barrera ayudaría a descargar de trabajo a nuestros relays, ya que no haría falta antivirus ni antispam, en todo caso un "discriminador" que ejecutara las acciones que cada institución desee en función de la marca que lleve el mensaje.

Otro punto que creo que sería bueno es el de parar los ataques a direcciones falsificadas. Si esa primera barrera pudiera saber que usuarios son válidos y cuales no (usando un ldap o similar) el volumen de correo a procesar por las instituciones sería muchísimo mas bajo, con el consiguiente ahorro.

Por lo tanto, la idea de Jesús me parece buena, y pienso que debería estudiarse en un grupo de trabajo cuyo fin fuera el de hacer propuestas a las instituciones afiliadas, de tal forma que con una inversión menor podamos dar un mejor servicio y dedicar nuestros recursos a que nuestros usuarios puedan tener una mejora apreciable en el servicio, ya no solo con menos spam o virus, si no con mejoras como calendarios, chat, etc. Servicios que hace tiempo se demandan y que ahora rara vez se dan.

Otra cosa buena podría ser la compra/desarrollo/modificación de forma conjunta de un software que permita dar unos servicios comunes a todas las instituciones: clanedario, chat, etc. El ahorro de costes podría ser importante.

Respecto a llevar el correo a sitios externos solo le veo una ventaja, y es que nos ahorramos el disco, nada mas. El resto son inconvenientes, y creo que algunos con implicaciones legales graves.

Saludos a todos,

Pedro

Comentarios de Jordi Guijarro Olivares (Universitat Oberta de Catalunya)

 

Despues del seguimiento del debate y la asistencia a la sesión de los últimos GGTT en Valencia, únicamente comentar que en el ambiente se respiraba la necesidad de atacar el problema y hacerlo de manera conjunta (seguramente muchos de los asistentes ya le habían dado a la "bola" de como atacarlo individualmente y acababan en conclusiones basadas en soluciones de terceros como muy bien comentabas durante la sesión y el hilo del debate anterior).

En el caso concreto de la UOC, dónde intentamos atacar el problema mediante herramientas del mundo del Software Libre, se ha hablado varias veces internamente y las palabras mágicas "servicio externo"  (tipo solución de serenamail o gmail) han aparecido en cada una de ellas.

Por mi parte y considerando lo que puede aportar una iniciativa de este tipo a la comunidad a parte del reto que puede suponer, no tendría problema en echar una mano y aportar lo posible para hacer de esto una realidad.


Gracias y Saludos,

Jordi Guijarro

 

Comentarios de Juan Jose Varas (Universidad Europea de Madrid)

Animado por Jesús y para intentar aportar nuestra experiencia a la comunidad por si sirve de ayuda, os comento el proceso de cambio que hemos vivido. En la Universidad Europea de Madrid teníamos la solución de Trend (IMSS + Officescan + PC-Cillin). La parte de officescan y PC-Cillin la seguimos manteniendo, pero la parte de IMSS la hemos cambiado por Spamina.

Los motivos por los que decidimos cambiar el producto de TrendMicro por el servicio de SPAMINA, han sido varios:


-    La principal es que IMSS ya no soportaba la carga de correo que teníamos. El sistema se ralentizaba tanto que hasta una actualización del patrón suponía tener el sistema fuera de servicio durante más de 15 minutos. Abrimos casos a soporte, pero nunca hemos logrado una configuración que nos diera buen rendimiento.

-    Ahora tenemos un servicio, no un producto. De este modo, nos olvidamos de tener máquina/s, licencias, contratos de soporte hw/sw, renovaciones periódicas de máquinas, etc…

-    Todos los ataques y el spam filtrado se queda en SPAMINA, no llegan a nuestra organización, con los beneficios que supone para el rendimiento de comunicaciones, routers, firewalls, etc…

 Valoramos Panda y Spamina, solo estos dos porque eran los únicos que ofrecían el servicio totalmente externo, esto quiere decir que ni siquiera queríamos tener un appliance en nuestras instalaciones. El producto de Panda nos pareció que estaba poco avanzado, y de hecho, cuando valoramos las opciones Panda sólo nos dio información teórica nada técnica y no pudimos ver ni una demo. Spamina nos hizo una exposición técnica excelente sobre el funcionamiento de su sistema, nos dio la posibilidad de realizar pruebas, nos gustó el resultado y contratamos el producto.

 ¿Que nos ofrece?, gestión del dominio y subdominios, modo de alta de cuentas automático por smtp (permite dar de alta los usuarios de forma automática, para ello comprueba que las direcciones de correo sean válidas para el dominio, mediante verificaciones que se realizan con un servidor SMTP), Listas de confianza por usuarios, servicios de filtrado por usuario y por dominio antivirus y antispam, uno de los dos o ninguno. Dos tipos de modo de filtrado de listas blancas y listas negras por usuario o por dominios. Se generan informes con la periodicidad que se quiera. Todo el correo detectado como spam o con virus se queda en los servidores de Spamina y no llega nunca a entrar en nuestra organización a no ser que un correo marcado como spam el usuario lo marque como seguro, el usuario tiene la posibilidad de bajar o subir el nivel de filtrado, etc.

¿Qué se echa en falta principalmente? Gestión de los logs para hacer consultas de que ha pasado con un determinado correo, para esto ahora hay que hablar con soporte y nos pasan las trazas, algunas tareas de administración.

 Que hemos ganado-> Limpieza, menor consumo en las comunicaciones, costes en hardware, backup, etc.

 Que hemos perdido-> Rapidez de respuesta ante problemas aunque es asumible. Si surge un problema hay que tratar con el soporte técnico de Spamina, muchas veces no es tan rápido como desearíamos.

En resumen estamos bastante contentos con el producto y su funcionamiento, lo que tienen que mejorar es el soporte.

 He sintetizado bastante pero con estas líneas generales espero que os sirva de referencia de nuestra experiencia.

 Un saludo,

Juan José Varas Garzón

Área Técnica. Dpto. de Tecnologías de la Información y Comunicaciones

 

Conclusiones finales

 

La ultima contribución al debate fue la que envió Juanjo de la UEM el pasado dia 6, que es la única universidad que dispone de un modelo similar al propuesta en la Sesión de Valencia. Fue éste el motivo por el que lo invite a que compartiera su experiencia. Por otro lado felicito a Juanjo por el mensaje y los detalles aportados. Realmente la UEM es el único caso que yo conozca en la Comunidad RedIRIS que puede hablar con conocimiento de causa sobre el tema de la externalización del servicio.

La sesión del pasado miércoles en Valencia sobre este tema me pareció interesante y por otro lado también me sorprendió la respuesta favorable a evaluar y definir un modelo de "Servicio Lavadora" para la comunidad RedIRIS,  asi como un estrategia de Proyecto.  Antes de ponernos manos a la obra os envío referencias de servicios "lavadora" similares en otras redes académicas europeas. AMbos tienen enfoques diferentes

* Sobre el servicio de UNINETT  (Rede academica Noruega)  se llama MailDike.
http://software.uninett.no/maildike/index.php?page=dike
basado en reputación con grey,black y white list

* Sobre el servicio de Surfnet (Red académica Holandesa)
el servicio se llama SurfMailfilter

http://www.surfnet.nl/info/diensten/beveiliging/mailfilter.jsp

se basa en una plataforma comercial, de Roaring Penguin (http://www.roaringpenguin.com). En el servicio se ofrece  cuarentena etc.

Bueno con esto cerramos el debate de esta propuesta y seguimos en contacto. EL siguiente paso es forma un pequeño grupo de trabajo para elaborar un propuestas mas detallada y concreta. Pensaros si estáis interesados en participar en la definición, diseño y arquitectura de este nuevo modelo de Servicio que si se llevara a cabo marcar una nueva etapa .

Esta página ha sido firmada digitalmente usando PGP