eMate Cloud Platform by Huifi S.A.
v3.36.0 · Producción activa
Domain Security Operations Center.
Email authentication, threat intelligence y compliance para organizaciones que crecen.
El problema

Dominios en p=none por meses

La mayoría de organizaciones no tienen visibilidad sobre qué fuentes envían correo en nombre de su dominio. Sin datos, no hay enforcement. Sin enforcement, el dominio queda expuesto a spoofing, phishing y abuso de entregabilidad indefinidamente.

94% de dominios jamás alcanzan p=reject
días en p=none sin herramientas de visibilidad
La solución

Datos → Decisión → Enforcement

eMate procesa reportes DMARC en tiempo real, enriquece cada fuente con GeoIP / ASN / reputación, y guía al administrador desde p=none hasta p=reject con seguridad y trazabilidad completa.

  • Pipeline de ingesta con parsers validados contra Google, Microsoft y Yahoo
  • Enrichment por cada IP origen: país, ASN, reputación
  • Simulador de políticas antes de aplicar cualquier cambio
  • Alertas inteligentes ante fuentes desconocidas o sospechosas

Capacidades core

📧
Ingesta DMARC RUA
Receptor SMTP propio + soporte S3/SES. Parsers SAX validados contra reportes de Google, Microsoft y Yahoo. Dead Letter Queue para mensajes fallidos.
🔍
Motor SPF
Árbol de includes completo, conteo exacto de lookups DNS, diff de rangos IP entre reportes, detección temprana de configuraciones rotas.
🔑
Motor DKIM
Descubrimiento automático de selectores activos, monitoreo de antigüedad de claves criptográficas, alertas de rotación pendiente.
🛡️
Procesador DMARC
Cálculo de alineación SPF/DKIM, simulador de impacto de política, tracking del journey p=none → p=quarantine → p=reject con historial completo.
🔒
MTA-STS + TLS-RPT
Monitoreo de políticas MTA-STS, análisis de reportes TLS por dominio, detección de intentos de downgrade en tránsito.
🌍
Enrichment Pipeline
GeoIP + ASN + PTR por cada IP fuente. Librería de senders conocidos (ESP, CDN, SaaS). Score de reputación por IP en tiempo real.
Alertas en tiempo real
Reglas configurables por umbral o política. Canales gateados por tier: Email + Webhook genérico (Básico), Slack + Teams (Estándar), PagerDuty (Pro), Splunk + Microsoft Sentinel (Advanced).
🤖
AI Threat Narratives
Resúmenes ejecutivos generados por Claude (Anthropic API) sobre estado de autenticación + análisis narrativo de eventos de spoofing. Listo para C-level.
📊
Analytics ClickHouse
Volumen histórico de mensajes, tendencias de alineación, drill-down por fuente / IP / país / selector DKIM. Particionado por tenant y mes.
🛡️
Blacklist Monitoring
Chequeo continuo contra 39 RBLs en 3 tiers (Spamhaus, Barracuda, SORBS, SURBL, MultiRBL, etc.). Delisting steps estructurados per provider.
🎣
Phish-eMate
Endpoint SMTP dedicado para que usuarios reporten phishing recibido (phish+{token}@). Pipeline de neutralización + awareness campaign automática.
🌐
Lookalike Detection
Monitoreo continuo de dominios typosquatting / homográficos sobre tu marca (emate.cloud → ematecloud.com, emate-cloud.io, em4te.cloud, etc.).
📥
Threat Intel Enrichment
7 sources integrados (AbuseIPDB, VirusTotal, GreyNoise, OTX, URLhaus, MaxMind GeoLite2, MISP). Reputation score por IP en tiempo real con TTL configurable.

Dashboard & herramientas integradas

— Setup Wizard DNS
Onboarding guiado paso a paso para nuevos dominios. Verificación automática de registros DNS publicados.
— Simulador DMARC
Preview del impacto de cambiar política sin aplicarla. Calcula cuántos mensajes pasarían o fallarían con la nueva configuración.
— SPF Flattener
Aplanamiento automático de la cadena SPF para mantenerse bajo el límite de 10 lookups DNS.
— DNS Propagation Tracker
Badge en tiempo real: "Propagating · Xs" → "Live in DNS" / "Slow". Polling automático post-cambio de registro.
— Sending Sources
Mapa completo de IPs y fuentes con clasificación: Autorizada · Desconocida · Sospechosa. Acción directa desde la UI.
— Header Analyzer
Análisis de cabeceras de correo real con diagnóstico SPF/DKIM/DMARC inline. Paste-and-analyze en segundos.
— Spam Score Tester
Prueba de entregabilidad antes de enviar. Score SpamAssassin + recomendaciones accionables.
— Inbox Placement
Monitoreo de placement en Gmail y Outlook. Detecta si el correo llega a bandeja principal o carpeta de spam.
— CISO Report (PDF MSSP-branded)
Reporte ejecutivo PDF con KPIs, tendencias, compliance frameworks (ISO/NIST). Branding white-label del MSSP (logo + primary color derivado) + i18n EN/ES/PT-BR.
— Executive Threat Heatmap
Mapa de calor de suplantación por país en el dashboard /executive. TopoJSON world-atlas + paleta rotativa + drill-down por fuente.
— Awareness Training Campaigns
Simulaciones de phishing programables con templates per industry. Métricas de click-through, report-rate y training automatic enrollment.
— API Playground
Explorador OpenAPI integrado en el dashboard. Prueba endpoints con tu propio token JWT en tiempo real.
— Audit Log (tamper-evident)
Outbox transaccional → Kafka audit.events → PostgreSQL append-only + S3 Object Lock (WORM). Ningún servicio escribe directo al log.
— MSSP Portal White-Label
Multi-cliente para revendedores. Logo + primary color custom, hide-powered-by, RBAC granular (mssp_admin/analyst), billing per cliente, oportunidades pipeline.
— Hosted DNS
Records DMARC/MTA-STS/TLS-RPT/BIMI servidos desde nuestra infra para clientes con DNS provider limitado. Auto-rotación KSK + DNSSEC.
— Email Flow Monitor
Panel super_admin con stats 24h de outbound (api+alert-engine) e inbound (RUA records). Filtros por status/service, auto-refresh 30s, paginado.
— Subscription Lifecycle Manager
Activación y renovación de licencias con fecha de inicio configurable. Alertas automáticas D-30/15/7/1 días al vencimiento (comercial + cliente). Auto-suspend a los +30d de expiración. UI disponible para Super Admin y MSSP partners.
— Feature Gating por Tier
Acceso al dashboard granular por tier. Free ve solo las funciones core; las rutas premium (Executive, Threat Intel, Awareness, etc.) se habilitan automáticamente según el plan activo, sin necesidad de configuración manual.

Arquitectura del pipeline de datos

Ingesta
📨 SMTP Receiver:2525
email.rawKafka · Avro
normalizer-workerSAX · MinIO/S3
dmarc.rua.rawKafka · Avro
Enrichment
enrichment-workerGeoIP · ASN · PTR
dmarc.rua.enrichedKafka · Avro
Procesamiento
clickhouse-writer
dmarc-worker
spf-worker
dkim-worker
mta-sts-worker
tls-rpt-processor
rbl-checker
bimi-checker
lookalike-monitor
dmarc-intel-worker
alert-engine
Notificaciones
report-mailerSES SMTP · digests CISO
audit-exporterS3 WORM
contact-verifieremail verification
Fallback
⚠ dmarc.dlq — Dead Letter Queue · ningún mensaje se descarta silenciosamente

Cada worker es un contenedor Python independiente con su propio consumer group en Kafka. Falla uno, los demás siguen operando. Escala por motor según la carga real.

Stack tecnológico

CapaTecnología
API BackendPython 3.12 + FastAPI + asyncpg — async de punta a punta
DashboardReact 18 + TypeScript + Vite + Tailwind CSS — SPA API-first
StreamingApache Kafka (3 brokers) + Confluent Schema Registry (Avro BACKWARD_TRANSITIVE)
AnalyticsClickHouse 24.x — append-only, particionado por tenant + mes
Base relacionalPostgreSQL 16 — RLS en todas las tablas, SET LOCAL app.tenant_id por query
CacheRedis 7 — rate limiting sliding-window + MFA challenge tokens
Object StorageMinIO (dev) / AWS S3 (prod) — mismo binario, STORAGE_ENDPOINT por variable de entorno
ObservabilidadPrometheus + Grafana + CloudWatch — métricas, dashboards, alertas activas
Seguridad authJWT HS256 (15 min TTL) + MFA obligatorio + API Keys (X-API-Key header)
Workers25+ microservicios Python — BaseKafkaWorker + WorkerSupervisor (auto-restart en kafka loop dead) + DLQ + Prometheus :8080 + healthcheck Kafka-aware (/health/live con grace 60s) + PgConnectionManager (reconnect en InterfaceError)
Email transaccionalAWS SES (DKIM 2048-bit + SNS bounces/complaints) + SendGrid fallback (Event Webhook ECDSA-P256)
Reverse ProxyTraefik v3.3 (file provider) — TLS terminación, routing por host, ACME challenge auto-renewal
CDNCloudFront (website estático) + ACM cert wildcard us-east-1 — Origin Access Control firmado al S3
Infra producciónAWS EC2 · EBS 150 GB encrypted (KMS) · Backups S3 diarios · Lambda EBS snapshots + CloudTrail + AWS Health

Multi-tenancy & seguridad

Modelo de tenant 3 tiers

PlatformTecnosophie (super_admin · platform_support)
MSSPRevendedores (mssp_admin · mssp_analyst)
ClientClientes finales (tenant_admin · analyst · auditor · api)

Jerarquía RBAC

super_admin > platform_support > mssp_admin > mssp_analyst
> tenant_admin > analyst = auditor > api

Controles de seguridad ISO 27001 Phase 2 ✓

  • 🔐FORCE RLS 67/67 tablas — todas las tablas de tenant data tienen FORCE ROW LEVEL SECURITY. SET LOCAL app.tenant_id + smoke smoke_rls_isolation.sh 18×4 escenarios = 18/18 PASS. Gate CI lint-rls-coverage impide tablas nuevas sin policy declarada.
  • 📋Audit outbox transaccionalwrite_audit helper escribe a audit_outbox en la MISMA transacción del cambio. Exporter desacoplado a Kafka audit.events → S3 Object Lock (WORM).
  • 🔑Encrypted DNS configs — credenciales DNS provider (Route53/GCP/RFC2136/Hostinger) cifradas at-rest con dns_config_key (Fernet AES-128). Rotación con runbook.
  • 🔁Credential rotation runbooks — runbooks reproducibles para JWT + DB password + MaxMind + IAM keys (~90d). Monitor diario monitor-credentials.sh + Slack alert -30d.
  • 📲MFA obligatorio — no puede deshabilitarse por ningún rol ni tenant. Tokens TOTP en Redis con TTL.
  • 🌐TLS 1.2+ end-to-end. Kafka SASL/SCRAM entre brokers y clients. PTR record en AWS SES SMTP receiver para entregabilidad Exchange Online.
  • Rate limiting — sliding window Redis por tenant y dominio externo. SPF: 1.000 lookups/día. Threat intel: 7 sources con TTL configurable.
  • 🔍CI Security — Semgrep SAST + Trivy SCA + Aikido custom rules en cada PR. Dependabot activo. Pentest contratado due 2026-07-31.
  • 💾DR Plan — Modalidad A (snapshot-only, RTO 20-25 min, ~$3/mo) live. Modalidades B (warm standby) + C (multi-region) ready cuando aparezca SLA contractual.

Opciones de despliegue

🐳
On-Premise / Docker
Docker Compose o Kubernetes (Helm). MinIO + Kafka local. Control total de datos en tu propia infraestructura.
Docker ComposeKubernetesMinIOHelm
☁️
Cloud Managed (AWS)
MSK + SES + S3 + RDS PostgreSQL + ElastiCache. El mismo binario Docker, configuración via variables de entorno.
MSKSESS3RDSElastiCache
Producción activa
EC2 · 45+ contenedores healthy · EBS 150 GB encrypted (KMS) · Backups diarios S3 · Lambda EBS snapshots + CloudTrail + AWS Health · AWS SES (Easy DKIM 2048-bit) integrado.
platform.emate.cloud45+ containersEBS KMSAWS SES

Integraciones

SIEM
  • Splunk
  • Microsoft Sentinel
  • Webhook genérico
Alertas
  • Slack
  • Microsoft Teams
  • PagerDuty
  • Email AWS SES (Easy DKIM 2048)
  • Email SendGrid (Event Webhook ECDSA-P256)
  • Webhook genérico
DNS Providers
  • AWS Route 53
  • Google Cloud DNS
  • RFC 2136 (nsupdate)
  • Hostinger (manual)
  • Cloudflare (manual)
Threat Intel
  • AbuseIPDB
  • VirusTotal
  • GreyNoise
  • OTX (AlienVault)
  • URLhaus
  • MaxMind GeoLite2 (ASN+City)
  • MISP (planned)
Blacklist Sources
  • Spamhaus ZEN/SBL/XBL
  • Barracuda
  • SORBS
  • SURBL
  • MultiRBL
  • +34 más (39 total en 3 tiers)
Identidad
  • OIDC / SAML (SSO)
  • MFA TOTP
  • API Keys (X-API-Key)
IA / ML
  • Claude (Anthropic API)
  • Resúmenes ejecutivos AI
  • AI policy advisor
Billing
  • Stripe (preparado)
  • Planes SMB / Enterprise
  • Webhooks de eventos