1 / 26

SPF - Sender policy framework kot orodje za pomoč pri odpravi nezaželjene pošte

SPF - Sender policy framework kot orodje za pomoč pri odpravi nezaželjene pošte. Agenda. Uvod Splošni pogled na trenutno problematiko SMTP Demo – pregled nastavitev SMTP strežnika nastavitve SMTP strežnika dnsreport.com dnsstuff.com SPF od začetkov do ... Uvod v SPF Kako deluje?

crwys
Download Presentation

SPF - Sender policy framework kot orodje za pomoč pri odpravi nezaželjene pošte

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. SPF - Sender policy framework kot orodje za pomoč pri odpravi nezaželjene pošte

  2. Agenda • Uvod • Splošni pogled na trenutno problematiko SMTP • Demo – pregled nastavitev SMTP strežnika • nastavitve SMTP strežnika • dnsreport.com • dnsstuff.com • SPF od začetkov do ... • Uvod v SPF • Kako deluje? • Kaj s SPFjem odpravimo / proti komu ali čemu se borimo? • Kaj pri SPFju še ne deluje? • Implementacija SPF zapisa na pošiljateljevi strani • Implementacija SPF zapisa na prejemnikovi strani • SPF in varnost • Demo – izdelava SPF zapisa • Exchange 2003 SP2 – SenderID • Povezave / dodatna literatura • Vprašanja

  3. UvodSplošni pogled na trenutno problematiko SMTP • SMTP nima integririrane nobene funkcije za preverjanje izvora sporočila • Na svetu je še vedno veliko “open relay” SMTP strežnikov • Ob instalaciji so nekateri poštni strežniki že v osnovi nastavljeni kot open relay – če tega takoj ne popravimo bomo kaj kmalu na črni listi • Filtriranje proti črnim listam je lahko problematično • Pozorni moramo biti na dynamic IP block liste • SMTP strežniki imajo napačno nastavljen “greeting” telnet mail.podjetje.si 25 220 server01 Microsoft ESMTP MAIL Service, Version: 6.0.3790.1830

  4. DEMO Nastavitve SMTP strežnika Preverjanje nastavitev s pomočjo spletnega orodja dnsreport.com, dnsstuff.com, programa nslookup in programa telnet

  5. SPF od začetkov do ...Uvod v SPF • Kratica SPF pomeni Sender policy framework (v zasnovi pa je pomenila Sender permited from). • Preprečuje ponaredbo pošiljatelja in NI de-facto anti-spam rešitev. • Poštnim strežnikom omogča enostavno zaznavo autoriziranih in neautoriziranih strežnikov za določeno domeno. • Sam SMTP omogoča vsakemu uporabniku, da pošlje e-sporočilo v katerem se lahko predstavi kot kdorkoli. • Zgoraj navedena lastnost pošiljateljem nezaželjene pošte omogoča, da se precej dobro skrijejo (pošiljatelj je težko izsledljiv). • Nezaželjena pošta prihaja iz naslovov, ki se prejemniku zdijo zaupanja vredni. • SPF kot “dodatek” SMTP protokolu omogoča detekcijo ponarejenih naslovov v SMTP Mail from (return-path). • SPF definira RFC dokument 4408.

  6. SPF od začetkov do ...Uvod v SPF • Zgodovinski pregled • SPF se je razvil v juniju 2003 s pomočjo programerske skupine Gordona Fecyka (Designated Mailers Protocol) ter Hadmuta Danisch (Reverse MX). • V začetku leta 2004 je IETF aktiviral skupino MARID, ki je uporabljala SPF ter Microsoftov Caller-ID za izdelavo novega sistema – Sender-ID. • V juliju 2005 je bila specifikacija SPF dokončno sprejeta s strani IETF in s tem, se je pojavil tudi RFC 4408 • Široka uporaba SPFja v letu 2005 še posebej pri “velikih igralcih” (npr. Microsoft, AOL, Hotmail, Google, E-bay, Amazon.com ...) ga je že naredila de-facto standard.

  7. SPF – pregledKako deluje? • Že med SMTP dialogom med strežniki, prejemnikov strežnik preveri pošiljateljevo domeno za SPF zapis – preko DNS poizvedbe. • Na podlagi zapisa dobimo sledeče odgovore: • Pass – strežnik je avtoriziran za pošiljanje pošte za domeno primer.com • Fail – domena primer.com prepoveduje pošiljanje pošte s strežnika xxx.xxx.com • SoftFail – domena “misli”, da strežnik ni avtoroziran za pošiljanje pošte vendar tega ne trdi • Neutral – domena ima “mešane občutke” glede pošiljateljevega strežnika “niti DA niti NE” • None – domena je brez SPF zapisa ali domena ne obstaja • TempError – napaka pri preverjanju SPF zapisa • PermError – SPF ne more biti previlno interpretiran – napačna sintaksa zapisa SPF • Na podlagi rezultatov se mora prejemnikov strežnik oziroma programska oprema odločiti kako se bo odzvala na sporočilo

  8. Analiza sporočila iom@alrightal.freeserve.co.uk Received: from xhofqo (70-54.126-70.tampabay.res.rr.com [70.126.54.70]) – ali je to res pravi strežnik za pošiljanje pošte salrightal.freeserve.co.uk Izkaže se, da je spam bil poslan z klicne / adsl povezave. Josefa Mcallister [conner@joeltarbox.com] Received: from abyj32.neoplus.adsl.tpnet.pl (abyj32.neoplus.adsl.tpnet.pl [83.9.29.32]) Spam poslan ravno tako z ADSL povezave ...

  9. SPF – pregledKako deluje? • SPF zapis definiramo s TXT oziroma (v prhodnosti) SPF zapisom na domenskem strežniku • V njem definiramo strežnike, ki so avtorizirani za pošiljanje elektronske pošte za določeno domeno – primer.com • Strežnik prejemnika sporočila z domene primer.com pa opravi preverjanje, če je IP naslov oziroma ime strežnika, ki je poslal sporočilo res zapisano v DNS zapisu za pošiljateljevo domeno. • Na podlagi rezultata preverjanja se lahko strežnik prejemnika odloči: • V primeru, da je pošiljateljev strežnik vpisan v DNS zapis • Poštno sporočilo vseeno dodatno sprocesira • Poštno sporočilo brez dodatnege procesiranja dostavi v poštni predal • V primeru, da je pošiljateljev strežnik neveljaven (ni zapisan v DNSju) ali pa pošiljateljeva domena nima SPF-ja (sedanjost in bližnja prihodnost) • Poštno sporočilo sprejme – vendar ga dodatno dočkuje • Poštno sporočilo zavrne (v tem trenutku še ni priporočljivo) • Poštno sporočilo zavrne z odgovorom (ni priporočljivo)

  10. SPF – pregledKaj s SPFjem odpravimo / proti komu ali čemu se borimo? • Širitev črvov in virusov z lastnim SMTP “motorjem” je onemogočena s samostojnih delovnih postaj • Nezaželjena pošta (v določeni meri) – ponarejanje pošiljateljevega naslova je zelo oteženo • Phising

  11. SPF – pregled Kaj pri SPFju še ne deluje? • Mailing liste • Po RFCju se od mailing list oziroma sistema zahteva prepis ali popravek Reverse-path (v zadnjih različicah poštnih strežnikov že deluje) • Forwarding • Pojavlja se enak problem kot pri mailing listah – prepis Reverse-path vendar rešitve obstajajo: • Na pošiljateljevi strani • Uporaba macro-jev in nekaj popravkov v DNS zapisih • “Vmes” • Strategija je v razvoju • Na prejemnikovi strani • Whitelisting “zaupanja vrednih” forwarderjev

  12. SPF – implementacijaImplementacija SPF zapisa na pošiljateljevi strani • Samo SPF zapis v DNS coni naše domene primer.com • Dodaten t.i. SPF zapis se bo implementiral v nove različice DNS strežnikov • Klasični primer zapisa SPF: • “v=spf1 * določilo mehanizem • Določila v SPF zapisu: • + / pass • - / fail • ? / neutral • ~ / softfail • Po predpisih “dobrih praks” se priporoča začetno implementacijo SPF zapisa z določilom “~” ali “?”, ki se nato, ko je vse “pripravljeno” postavi na “–”.

  13. SPF – implementacija Implementacija SPF zapisa na pošiljateljevi strani • Mehanizmi v SPF zapisu: • a – Drži če pošiljateljev IP naslov ustreza “a” zapisu • a:mail.primer.com/28 • mx – Drži, če je naslov pošiljateljevega strežnika zapisan kot “mx” zapis domene • PTR – Drži, če se IP naslov pošiljateljevega strežnika razrešuje v imenski zapis • ptr:mail.primer.com • IP4 – Drži če se IP naslov pošiljateljevega strežnika nahaja v določenem IPv4 naslovnem polju (IP range) • 193.5.22.0/24 • IP6 – Drži, če se IP naslov pošijateljevega strežnika nahaja v določenem IPv6 naslovnem polju (IP range) • All – vedno drži

  14. SPF – implementacijaImplementacija SPF zapisa na prejemnikovi strani • Večina anti-spam / anti-virus programov že omogoča SPF • Večina novejših poštnih strežnikov (ali addon-ov / plug-in-ov) že razume SPF zapis • Večina ponudnikov brezplačnih elektronskih poštnih predalov že uporabla SPF zapise (v obeh smereh)

  15. SPF – implementacijaImplementacija SPF zapisa na prejemnikovi strani X-Gmail-Received: d07caab5c6cc18b775e66e5b6ddf7e5552fd184e Delivered-To: przemj@gmail.com Received: by 10.65.183.14 with SMTP id k14cs16216qbp; Fri, 20 Jan 2006 07:17:17 -0800 (PST) Received: by 10.65.132.8 with SMTP id j8mr68400qbn; Fri, 20 Jan 2006 07:17:17-0800 (PST)a Return-Path: lista@cert.pl Received: from melkor1.nask.waw.pl (melkor1.nask.waw.pl [195.187.7.67]) by mx.gmail.com with ESMTP id q13si1295973qbq.2006.01.20.07.17.11; Fri, 20 Jan 2006 07:17:17 -0800 (PST) Received-SPF: pass (gmail.com: domain of lista@cert.pl designates 195.187.7.67 as permitted sender) Received: from localhost.localdomain (localhost [127.0.0.1]) by melkor1.nask.waw.pl (Postfix) with ESMTP id 30071AFB14; Fri, 20 Jan 2006 16:17:09 +0100 (CET) Vir: http://www.terena.nl/activities/tf-csirt/meeting17/spf.pdf

  16. SPF in varnost • DDoS napadi • Nalašč nastavljeni SPF zapisi s prevsmeritvijo na druge domene bi lahko služili kot ojačevalec • Nalašč nastavljeni SPF zapisi bi lahko odjemalca prevsmerili in s tem povzročili pretirano količino DNS poizvedb (rešljivo s pravilno implementacijo SPF preverjanja) • SPF se naslanja na DNS in po njem “podeduje” vse slabosti • Ponarejanje med uporabniki iste domene je mogoče (uporabljati je potrebno SMTP Auth ali podobne možnosti zaščite ...) • Informacije o poštnem prometu se “posredujejo” med DNS strežniki in poštnimi strežniki kar bi lahko kršilo zasebnost(?!?).

  17. Exchange 2003 SP2 – SenderID

  18. Exchange 2003 SP2 – SenderID

  19. Exchange 2003 SP2 – SenderID

  20. Exchange 2003 SP2 – SenderID

  21. DEMO Izdelava in vpis SPF zapisa

  22. SPF – Povezave • RFC 4408 • http://www.ietf.org/rfc/rfc4408.txt • SPF homepage • http://www.openspf.org/ • SPF - TXT record generator (Microsoft Sender-ID) • http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/ • SPF – O SPF-ju • http://en.wikipedia.org/wiki/Sender_Policy_Framework • SPF – Test SPF zapisov • http://www.dnsstuff.com/pages/spf.htm • Splošno testiranje domene • http://dnsreport.com/ • Microsoft Exchange 2003 SenderID • http://www.microsoft.com/mscorp/safety/technologies/senderid/default.mspx • Nastavitev in vzpostavitev • http://www.msexchange.org/tutorials/Configuring-enabling-Sender-ID-filtering-Exchange-2003-SP2.html

More Related