RACEv2: Red Avanzada de Correo Electrónico

Formulario de solicitud de auditoria RACEv2

Datos Institución Solicitante

Nombre Institución y dominio:
Responsable Correo:
Email Contacto:
Teléfono Contacto:

Antes de rellenarlo lea las condiciones previas de evaluación
Seleccione los criterios que desea sean evaluados para su institución para la obtención de un nivel de calidad RACE. Como verá hay algunos criterios marcados que son lo definidos como imprescindibles

Criterios de encaminamiento SMTP
Criterio 1: Control de acceso al puerto 25 en entrada / salida [100 puntos] El proveedor debería diseñar y aplicar una topología del Servicio de Correo que concentre en varias estafetas todo el tráfico de entrada y salida de su organización (estafetas de primer nivel), estando éstas bajo su directa administración
Criterio 2: Reglas anti-relay (Obligatorio) [100 puntos] El proveedor debe configurar adecuadamente el puerto 25 de sus estafetas de primer nivel, disponiendo de reglas anti-relay que garanticen un uso legítimo, aceptando mensajes cuyo destino sea la propia organización o bien dominios delegados.
Criterio 3: Política de trazas - logs (Obligatorio) [100 puntos] El proveedor debe almacenar y conservar convenientemente los ficheros de trazas (logs) de acuerdo a la legislación vigente en cada momento.
Criterio 4: Resolución inversa de MTAs (Obligatorio) [100 puntos] El proveedor debe definir la resolución inversa de las direcciones IP asignadas a las estafetas de primer nivel, encargadas del encaminamiento de entrada y salida de la organización.
Criterio 5: Tamaño máximo de mensaje [100 puntos] El tamaño máximo de mensaje debería ser controlado, formando parte de la configuración de las estafetas de primer nivel corporativas. El tamaño máximo de mensaje lo definirá cada institución atendiendo a las cuestiones que considere oportunas.
Criterio 6: Definición de registros SPF (Sender Policy Framework) [100 puntos] El proveedor debería definir en su zona DNS los registros SPF (Sender Policy Framework) de todos los dominios de su responsabilidad, asociándolos a los nodos de correo que efectúen el encaminamiento de salida SMTP (estafeta de primer nivel).
Criterio 7: Uso de SPF en correo entrante [100 puntos] El proveedor debería declarar y mantener actualizadas en la Lista Blanca de RedIRIS las direcciones IP de sus relays de correo así como incluirlas en los chequeos de conexión SMTP para evitar el bloqueo de tráfico generado en dicha Lista Blanca.
Criterio 8: Uso de Lista Blanca de RedIRIS [55 puntos] El proveedor debería configurar sus estafetas de primer nivel para que se lleven a cabo los correspondientes chequeos SPF del correo entrante.
Criterio 9: Número máximo y mínimo de destinatarios [60 puntos] Debe existir un número mínimo de 100 destinatarios y debería existir un máximo de 150 receptores admitido en el campo RCPT TO: . Para cumplir con los estándares marcados en la sección 4.5.3.1 (Tamaños mínimos y límites) del RFC 2821 recomendamos un máximo de 100 como valor máximo de este campo.
Criterio 10: Control de destinatarios [95 puntos] La organización debería disponer de algún tipo de mecanismo que permita rechazar en sus estafetas de primer nivel aquellos mensajes dirigidos a destinatarios no existentes.
Criterio 11: Control de flujo SMTP [80 puntos] Se debería disponer de algún tipo de mecanismo de control de flujo en transacciones SMTP internas y externas. Este tipo de control evita mucho tráfico de correo no deseado y posibilita por tanto, tener un sistema de correo de calidad.

Criterios de infraestructuras
Criterio 12: Sincronización NTP [100 puntos] El proveedor debería tener correctamente configurada la zona horaria, y sincronizadas mediante NTP todas las estafetas de correo electrónico de la organización, tanto las de primer nivel, como nodos intermedios, estafetas de almacenamiento de mensajes, etc., con un servidor de la propia organización o de otro proveedor que ofrezca este servicio.
Criterio 13: Alta disponibilidad [100 puntos] La infraestructura hardware que soporta la plataforma del Servicio de Correo Electrónico debería diseñarse para ofrecer alta disponibilidad

Criterios de autenticación y cifrado
Criterio 14: Autenticación centralizada [100 puntos] El proveedor debería disponer de un sistema de autenticación centralizada, aplicado a su infraestructura de servicio.
Criterio 15: Acceso externo cifrado [100 puntos] La organización debería ofrecer únicamente servicios basados en protocolos de recogida de mensajes con cifrado SSL/TLS (POPs, IMAPs) y un servicio de correo saliente SMTP con TLS, así como acceso al correo por Web vía HTTPs para los usuarios externos.
Criterio 16: Servicio SUBMISSION [100 puntos] El proveedor debería ofrecer acceso autenticado (SASL) y cifrado (TLS) a través del puerto 587 (SUBMISSION) para todos sus usuarios, dejando el puerto 25 (SMTP) únicamente para tráfico entre MTAs.
Criterio 17: Cifrado MTAi-MTAi [60 puntos] El proveedor debería configurar sus sistemas para permitir la comunicación cifrada (SMTP con TLS) entre las distintas MTAs de su organización.
Criterio 18: Cifrado MTA-MTA [60 puntos]

Criterios de servicios
Criterio 19: Documento descripción del Servicio (DOCE) [100 puntos] El proveedor debería disponer de un documento público que describa el Servicio de Correo Electrónico, incluyendo la política de uso y los servicios ofrecidos.
URL:
Criterio 20: Disponibilidad de direcciones abuse@ y postmaster@ (Obligatorio) [100 puntos] Se debe disponer de un servicio de soporte y gestión de incidentes, cuyas direcciones de contacto sean abuse@ (buzón orientado a la recepción de incidentes como falsificaciones, correo no deseado, etc) y postmaster@.
Criterio 21: Servicio de antivirus [100 puntos] La organización debería disponer de un servicio de antivirus que analice tanto los mensajes entrantes como los salientes en las estafetas de primer nivel.
Criterio 22: Acceso remoto por WebMail y otros [100 puntos] La organización debería ofrecer uno o más mecanismos de acceso remoto al correo institucional individual. debería ofrecerse, al menos, un servicio de acceso al correo vía Web (WebMail) con cifrado SSL.
Criterio 23: Política de backup (buzones) [100 puntos] El proveedor debería disponer de una política de copias de seguridad de los buzones de los usuarios.
Criterio 24: Servicio de cambio de contraseña [100 puntos] Se debería ofrecer al usuario la posibilidad de cambiar su contraseña, de forma autónoma e inmediata, sin intervención de un tercero, y con el objetivo de garantizar la privacidad de la misma.
Criterio 25: Servicio de antispam [100 puntos] La organización debería disponer de un servicio de antispam en sus estafetas, que analice los mensajes entrantes y actúe sobre aquellos que considere spam según su política interna.
Criterio 26: Servicio antispam personalizado [85 puntos] Sería recomendable ofrecer a nuestros usuarios un servicio antispam personalizado, que les permita configurar mínimamente sus preferencias y que éstas se apliquen en el análisis de los mensajes que reciben en su carpeta de entrada.
Criterio 27: Servicio de respuesta automática por ausencia prolongada [40 puntos] Es recomendable ofrecer a los usuarios un servicio de respuesta automática por ausencia prolongada (vacation), que les permita programar el texto a enviar en la respuesta y la fecha de caducidad del auto-respondedor.
Criterio 28: Redirección de cuentas [50 puntos] Debido a los problemas asociados a estos servicios, el proveedor, NO debería ofrecer servicios de redirección de mensajes (forwarding).
Criterio 29: Servicio de listas de distribución [60 puntos] El proveedor debería ofrecer a sus usuarios un servicio de gestión de listas de distribución privadas, que permita solicitar la creación de las mismas, y dar de alta o baja miembros de forma autónoma.

Otros criterios
Criterio 30: Datos del administrador del Servicio de Correo en la base de datos de RedIRIS [100 puntos] Los responsables de la gestión del Servicio de Correo Electrónico deberían estar dados de alta en la base de datos que, a tal efecto, mantiene RedIRIS con el objetivo de coordinar a las instituciones miembros de RedIRIS, y facilitar la comunicación entre las mismas.
Criterio 31: Estadísticas del tráfico SMTP [55 puntos] Es recomendable disponer de estadísticas del tráfico SMTP de la institución, que permitan detectar problemas de funcionamiento, dimensionar adecuadamente las infraestructuras y controlar la evolución del Servicio de Correo.

El envío de esta solicitud supone la aceptación de las condiciones de la evaluación , como por ejemplo la creación de una cuenta de correo para realizar las tareas de evaluación o el compromiso de colaboración por parte de la institución solicitante en las posteriores evaluaciones que realice el comité RACE.

Esta página ha sido firmada digitalmente usando PGP