Download
1 / 39
390 likes | 501 Views
Wprowadzenie do poczty elektronicznej. czyli co muszę wiedzieć zanim spróbuję postawić własny serwer pocztowy?. Ziemek Borowski. Krótko o mnie. Ziemek Borowski ziembor @ wss.pl – i jestem WSS- koholikiem , ostatnio redaktor (czyli cieć od newsów ). kilkanaście lat jako IT Pro
E N D
Wprowadzenie do poczty elektronicznej czyli co muszę wiedzieć zanim spróbuję postawić własny serwer pocztowy? Ziemek Borowski
Krótko o mnie • Ziemek Borowski • ziembor @ wss.pl – i jestem WSS-koholikiem, ostatnio redaktor (czyli cieć od newsów ). • kilkanaście lat jako IT Pro • Współprowadzę http://www.wss.pl/grupy/PEPUG - ale jestem najgorszym mówcą świata… • Zarówno Exchange jak i sendmail oraz postfix • Obecnie pracuję dla jednego z operatorów hostowanego Exchange – ale teraz siedzę w czymś zupełnie innym… • W 2009 i 2010 Microsoft wyróżnił mnie tytułem MVP w kategorii Exchange
Agenda – 60 do 90 minut… • Co to jest poczta elektroniczna? • co to jest koperta? • co to jest ciało e-maila? • co to jest MIME? • Jak poczta działa w Internecie (DNS) • Jakie zagrożenia czekają na serwer pocztowy? • Co brać pod uwagę przy konfiguracji serwera poczty który… • będzie odbierał informacje ze świata? • będzie wysyłał pocztę? • A co na to wszystko prawo? • Podsumowanie
Co to jest poczta elektroniczna? • Poczta elektroniczna to usługa asynchronicznego przesyłania wiadomości tekstowych pomiędzy pojedynczymi użytkownikami. Grupy to osobny temat. • W przeciwieństwie do innych metod komunikacji elektronicznej (synchroniczne formy rozmowy – IRC, chaty, Instant Messaging lub interakcji człowiek-maszyna jak np. nawigowanie po WWW lub wypełnianie formularzy) poczta elektroniczna opiera się na • wiadomościach (będących technicznie zamkniętymi całościami) • wymaga strony pośredniczącej (store & forward) zamiast bezpośredniej komunikacji klient / serwer.
SMTP i parę kluczowych pojęć • Z założenia poczta elektroniczna w swej warstwie transportowej wykorzystuje protokół SMTP – Simple Mail Transport Protocol. • Zwyczajowo używa się następujących skrótów opisujących elementy służące do przetwarzania poczty: • MUA (Mail User Agent) - klient poczty elektronicznej, program pocztowy dla zwykłego użytkownika (np. Outlook, Evolution, mutt, Mozilla Mail) • MSA (Mail Submision Agent) – fragment serwera SMTP odpowiedzialny za przyjmowania korespondencji od klientów pocztowych (w protokole słabo widoczne) • MTA (Mail Transfer Agent) - serwer odpowiedzialny za przekazywanie poczty między komputerami (np. Sendmail, Postfix, Exim, QMail, Exchange) • MDA (Mail Delivery Agent) – przetwarzający dane w ramach konkretnego system pocztowego. W wypadku bardziej skomplikowanych środowisk takich jak np. MS Exchange Server ciężko wyodrębnić tę rolę.
Jak wygląda trasa maila? • Nadawca (klient) wysyła mail przez swój serwer • Serwer sprawdza (m.in.DNS) gdzie ma skierować przesyłkę • Serwer nadawcy rozmawia z serwerem odbiorcy • Stacja końcowa klienta pyta SMTP odbiorcy o to czy ma dla niego jakieś przesyłki…
DEMO – wysłanie poczty protokołem SMTP bez uwierzytelniania
Co to jest DNS? • Rozproszona globalna baza danych • Korzenie (serwery odpowiadające za „.”) pod kontrolą Internet Corporation for Assigned Names and Numbershttp://www.icann.org/en/about/ • http://en.wikipedia.org/wiki/Domain_Name_System a dokłaniej: • http://upload.wikimedia.org/wikipedia/commons/b/b1/Domain_name_space.svg • http://upload.wikimedia.org/wikipedia/commons/7/77/An_example_of_theoretical_DNS_recursion.svg • http://en.wikipedia.org/wiki/File:DNS_in_the_real_world.svg
Co ma DNS wspólnego z SMTP? • Routing poczty między serwerami publicznymi zazwyczaj odbywa się w oparciu od DNS a dokładniej rekordy MX. • Poza MX potem przydadzą się nam inne rekordy… • MX – Mail eXchanger • Format Serwer: google-public-dns-a.google.com Address: 8.8.8.8 Nieautorytatywna odpowiedź: virtualstudy.pl MX preference = 10, mail exchanger = 1986265544.mail.outlook.com
Zady i walety SMTP • Rozpowszechniony • Prosty, ale z rozszerzeniami • KISS • Brak w standardzie dobergo dowodzenia tożsamości (zdalnego serwera, zdalnego użytkownika) • Zbyt rozpowszechniony – ciężko zmieniać • Zbyt wiele rozszerzeń zbyt daleko sięgających a podstaw nie ma w standardzie • Prosty bo głupi…
będzie odbierał informacje ze świata? • Poprawne DNS, • Poprawne odbieranie wiadomości (bounce spam), • Nasłuchiwanie na poprawnych portach… • Ale także zalew spamu, prób słownikowych ataków a adresy, badania podatności…
będzie wysyłał pocztę? • I zaczyna się wielki i podstawowy problem
Czemu poczta jest problemem? • Jako jeden z kanałów przekazywania wiadomości i treści – narażony na: • SPAM – Unsolicitated Bulk/Commercial Email • Warstwa transportowa dla wirusów • Phising • Social Enginering • Maile od root-a od zawsze obecne w pracowniach studenckich • Jest usługą mission critical, • kanałem komunikacyjnym ze światem, • warstwą integracji usług
Dlaczego spam jest zły? • 80-do 97% wiadomości w dużych systemach pocztowych nie jest dostarczanych do inboxów • Odrzucane w trakcie konwersacji • Uznawane za śmieci przez oprogramowanie serwerowe • Uznawane za śmieci przez oprogramowanie klienckie • Information overload
Co doradzają twórcy nam Internetu? • "Be liberal in what you accept, and conservative in what you send." -- jon(Postel)RFC-1122(originates in RFC760) • “Junk mail is war. RFCs do not apply.” -- Wietse Venema
Jak, skąd atakuje spam • Spamboty/inne formy automatów • Zombies, • Podatne WWW/SMTP (OpenRelay) • Hosting z min. ochroną przed własnymi użytkownikami • Spamujący „inteligentni inaczej” • Spam bouncujący • Skutek uboczny harvestingu
Jak się bronimy? • Analiza treści • Uwierzytelnianie poczty serwer-serwer • Sender Policy Framework • SenderID • DomainKeys Identified Mail • Ocena reputacji nadawcy • Listy źródeł spamu / zagrożeń • Black/White listy nadawców/odbiorców • Harvesting • Zwiększanie kosztowności spamowania • Greylisting, Tarpinging • Weryfikacja poprawności konfiguracji (np. reverse DNS, zgodność HELO) • Blokada harvestingu
… i jakie to ma konsekwencje… • Poczta przestała być zaufanym medium transmisyjnym. • Zwiększyło się ryzyko, że poczta „przepadnie” – false positives • Zwiększyły się praktyczne wymogi stawiane przed hostem pocztowym
Konsekwencje: Content filtering • Junk Mails • Czasem REJECT • Bardzo często praktycznie DROP • Reguły filtrowania najmniej skodyfikowane • Filtry baysowskie • Zestawy słów kluczowych • Charakterystyka – wielkość i zawartość e-maila
Konsekwencje: Uwierzytelnianie poczty • Odrzucenia z powodu wysłania z nie zaufanego adresu • Brak zgodności z wszelkimi systemami forwadującymi maile lub podszywającymi się, np. część notyfikacji allegro.pl
Konsekwencje: Reputacja stron Można do problemu podchodzić na kilka sposobów: • Dynamicznie, w oparciu o obecne zachowania wobec nas i świata • Czy teraz jest open relay • Czy domena nadawcy istnieje • Czy domena nadawcy ma (pracujące) pod adresem wskazanym przez MX-y serwery odbierające • 3rd party, historyczne, zazwyczaj jako Listy źródeł spamu / zagrożeń
Konsekwencje: Listy źródeł zagrożeń • Zazwyczaj jako Real Time Blocking List – z czasem Domain Name System Block List • Prowadzone przez różne organizacji, z różnymi celami i politykami tak umieszczania jak i wycofywania http://en.wikipedia.org/wiki/Comparison_of_DNS_blacklists • Brak dobrych i uniwersalnych list dla każdego • Konieczna jest samokontrola • http://mxtoolbox.com/blacklists.aspx • http://www.dnsbl.info/dnsbl-database-check.php • http://www.dnsstuff.com (płatny, powoli doganiany przez MXToolbox) • Własne skrypty
Typy DNSBL: spam source • new.spam.dnsbl.sorbs.net - List of hosts that have been noted as sending spam/UCE/UBE to the admins of SORBS within the last 48 hours. • sbl.spamhaus.org- Static UBE sources, verified spam services and ROKSO spammers • bl.spamcop.net - The SCBL is a list of IP addresses which have transmitted reported email to SpamCop users, which in turn is used to block and filter unwanted email.
Typy DNSBL: Dynamic • dul.dnsbl.sorbs.net - Dynamic IP Address ranges (NOT a Dial Up list!) -- Dynamic User and Host List (DUHL) • Założenie: DUL-e nie powinny mieć samodzielnych serwerów • Założenie: DUL-e to klienci, a więc i ew. źródło infekcji
Typy DNSBL: braki administrowania • escalations.dnsbl.sorbs.net - This zone contains netblocks of spam supporting service providers, including those who provide websites, DNS or drop boxes for a spammer. • rfc-ignorant.org is the clearinghouse for sites who think that the rules of the internet don't apply to them. DSN ( <> )postmasterabusewhoisbogusmx
Spam Operators/ Supporters 100 Known Spam Operations responsible for 80% of your spam. • http://www.spamhaus.org/rokso/
Typy DNSBL: Backscatterer • Backscatterer.org – Backscatter (also known as outscatter, misdirected bounces, blowback or collateral spam) is a side-effect of e-mail spam, viruses and worms, where e-mail servers receiving spam and other mail send bounce messages to an innocent party. This occurs because the original message's envelope sender is forged to contain the often unprotected e-mail address of the victim.
Typy DNSxL • Nie każda lista IP Address Provider jest Black Listą • http://countries.nerd.dk/ - lista IP krajów (taka globalna odmiana http://42.pl/pl/ • http://www.dnswl.org/ - DNSWL.org provides a Whitelist of known legitimate email servers to reduce the chances of false positives while spam filtering. • Można także samemu postawić własną DNSxL: • http://www.zytrax.com/books/dns/ch9/dnsbl.html
Konsekwencje: zwiększanie kosztów • Tarpinging - spowalniaj reakcję na błędne komendy: stosunkowo bezpieczny, zabezpiecza przez agresywnym atakiem obciążając nadawcę • Greylisting – „rozwinięcie” tarpitingu – niezależnie od tego czy polecenia były błędne czy nie, nie przyjmuj pierwszych maili na dany adres z tego IP • Wprowadza opóźnienie w komunikacji, • Czasem b. długie (Exchange 2003 miewa problemy z kolejnymi przerworzeniami jeśli ten czas nie jest naprawdę krótki) • Wymaga dobrej koordynacji baz poprawnie skomunikowanych połączeń między MX-ami. • Harvesting – blokowanie, na poziomie sesji SMTP dostarczania do nie naszych użytkowników • Istotne także w połączeniu z backscatterem, świetnie wspierane przez tarpitting
Zwiększanie kosztów – „poprawna konfiguracja” • Weryfikacja poprawności konfiguracji • reverse DNS, • zgodność HELO/EHLO, • Wysyłanie z adresów które są MX-ami • Kontakt z helpdeskiem
W polskich warunkach… DNSBL-e typowe to • DUN – spora część klas TPSA traktowana była jako zmienne IP, nie tylko Neostrada, ale też DSL • Odpowiedzialność zbiorowa: • Słaba reaktywność wsparcia technicznego TPSA/Netii powodowała uznanie cały AS za przyjazne spamerom • Często reakcją na te problemy jest wysyłanie przez dostawcę gdzie mamy WWW (odradzam, zwł. na Exchange 2007/10)
Jak więc postawić serwer pocztowy? Nigdy więcej rozmów z ludźmi o marnej reputacji Jarosław Kaczyński TCO serwera SMTP zawiera: • Koszt łącza Lub • Koszt usługi filtrowania/przesyłania poczty Nie bardzo da się użyć usługi dla użytkownika domowego lub typowego POP3 do obsługi Exchange. I jest to celowe działanie.
A co na to wszystko prawo? • Uwaga, uwaga – póki co o ile nie świadczy jej telekom poczta nie jest usługą telekomunikacyjną… Więc nie trzeba gromadzić logów z połączeń przed dwa lata w wiarygodny sposób… • … ale teoretycznie każdy system pocztowy przetwarza dane osobowe…. Upppppppssssss.
Pytania? Komentarze? Chętni do poprowadzenia własnej sesji? • Następne spotkanie: 2011-10-26 20:30 także na Virtual Study, • A potem 2011-11-17, 3 czwartek listopada twarzą w twarz, i częsciowo przez LM.
