obrona przed spamem przy pomocy Exchange 2007 i MS Forefront
Transkrypt
obrona przed spamem przy pomocy Exchange 2007 i MS Forefront
Niechciane wiadomości – obrona przed spamem przy pomocy Exchange 2007 i MS Forefront Security dr Maciej Miłostan Zespół Bezpieczeństwa PCSS 1 Poznań, 19.11.2008 Agenda (1) 11:00 – Rozpocz Rozpoczęcie, ęcie, powitanie uczestnik uczestników, ów, informacje organizacyjne 11:05 – Poznajmy si się: ę: czym jest PCSS i MIC? 11:15 – Niechciane wiadomo wiadomości ści (cz. 1) - obrona przed spamem spamem:: architektura systemu pocztowego a role serwer serwerów ów Microsoft Exchange 2007 12:00 – Przerwa 12:10 – N Niechciane iechciane wiadomo wiadomości ści (cz. 2) – obrona przed spamem spamem:: mechanizmy filtracji a Microsoft Forefront Security 2007 12:50 – Podsumowanie, dyskusja, zaproszenie na kolejne szkolenia 13:00 – Zako Zakończenie ńczenie 2 Informacje organizacyjne Ankieta Kr Krótka ótka i anonimowa Pomoc na przysz przyszłość łość Lista obecno obecności ści Prosz Proszę ę zaznaczy zaznaczyć, ć, czy chcecie Pa Państwo ństwo otrzymywa otrzymywaćć informacje o kolejnych szkoleniach Prezentacja – dost dostępna ępna na stronach WWW http:// http://mic.psnc.pl mic.psnc.pl http://szkolenia. http://szkolenia.man.poznan.pl man.poznan.pl http:// http://security.psnc.pl security.psnc.pl Webcast Wyj Wyjątkowo ątkowo brak – jeste jesteście ście Pa Państwo ństwo wybrani ;) 3 Kim jeste śmy i co robimy jesteśmy robimy?? 4 PCSS Pozna Poznańskie ńskie Centrum Superkomputerowo Superkomputerowo-Sieciowe: 15 lat Operator sieci PIONIER oraz POZMAN Uczestnik projekt projektów ów naukowo naukowo-badawczych -badawczych G Główne łówne obszary zainteresowa zainteresowań ń Gridy Gridy,, sieci nowej generacji, portale Bezpiecze Bezpieczeństwo ństwo sieci i system systemów ów http:// http://www.pcss.pl www.pcss.pl 5 Zesp ół Bezpiecze ństwa PCSS Zespół Bezpieczeństwa Dedykowany zespół istnieje od 1996r. Podstawowy zakres prac Zespołu Zabezpieczanie infrastruktury PCSS Zadania bezpieczeństwa w projektach naukowo – badawczych Szkolenia i transfer wiedzy Badania własne Audyty i doradztwo w zakresie bezpieczeństwa IT Niektóre badania z ostatnich lat Raport o bezpieczeństwie bankowości elektronicznej (2006) Bezpieczeństwo serwerów WWW Apache i MS IIS (2007) Bezpieczeństwo sklepów internetowych (2008) http://security.psnc.pl 6 Centrum Innowacji Microsoft Pierwsze w Polsce MIC „Centrum bezpieczeństwa i usług outsourcingowych” Partnerzy Microsoft Corporation Poznańskie Centrum Superkomputerowo-Sieciowe Politechnika Poznańska Otwarcie: 1.06.2006r. http://mic.psnc.pl 7 Cele i zadania MIC Wybrane cele MIC Edukacja poprzez zdalne udostępnianie aplikacji MS Szybszy rozwój lokalnych firm (MŚP) poprzez doradztwo w zakresie podnoszenia poziomu bezpieczeństwa teleinformatycznego, audyty oraz szkolenia Poprawa dostępu i jakości usług medycznych w Wielkopolsce Łatwy i bezpieczny dostęp do e-usług w urzędach Główne zadania MIC w roku 2008 Usługi hostingowe dla edukacji, instytucji charytatywnych i użytkowników indywidualnych Szkolenia w zakresie bezpieczeństwa IT Rozwój systemu telekonsultacji medycznych „Telesfor” Badania nad technologią Silverlight 2.0 8 Szkolenia bezpiecze ństwa MIC bezpieczeństwa 4 szkolenia rocznie http://mic.psnc.pl/tasks/lect.html http://szkolenia.man.poznan.pl/kdm Tematy szkoleń w roku 2008 10.04.08: Format OpenXML 24.06.08: Bezpieczeństwo w firmach 19.11.08: Niechciane wiadomości 16(18).12.08: Omijanie firewalli w systemach Windows Zachęcamy do zgłaszania w ankietach propozycji tematów na rok 2009! 9 Niechciane wiadomo wiadomości ści – obrona przed spamem przy pomocy Exchange 2007 i MS Forefront Security 10 SPAM a rzeczywistość Skrzynka wiadomości, czytamy i „SPAM, SPAM, SPAM…” niczym w skeczu Monty Pythona http://www.spam.com 11 Dostrzec to co ważne 12 Walka z wiatrakami? 13 Przepływ poczty Zapytanie DNS: smtp.istniejacadomena.pl From: Herr Flick <[email protected]> To: [email protected] Subject:WaŜne Misie w drodze. Ptaszki muszą odlecieć do ciepłych krajów. Serwer poczty wychodzącej: smtp.istniejącadomena.pl Odpowiedź DNS: 10.0.0.100 14 Przepływ poczty milos@man. milos@man. poznan.pl poznan.pl Nawiązanie połączenia: 10.0.0.100 Uwierzytelnienie: uŜytkownik+hasło Zapytanie DNS: mx man.poznan.pl Odpowiedz DNS: 150.254.173.3 15 Przepływ poczty Łączenie z 150.254.173.3 [email protected]. [email protected]. pl Sprawdzanie poczty 16 Przepływ poczty [email protected]. [email protected]. pl Pobieranie poczty Sprawdzanie poczty 17 Przepływ poczty [email protected]. [email protected]. Pobieranie poczty pl 18 Przepływ poczty Wysyłanie poczty (smtp) DNS DNS Pobieranie poczty (pop, imap, protokoły microsoft*) SMTP 19 * http://msdn.microsoft.com/en-us/library/cc425499.aspx Dane uzyskane w trakcie sesji SMTP >telnet 207.46.197.32 25 Trying 127.0.0.1... Źródłowy 220 CPMSFTWBC10.phx.gbl Microsoft ESMTP MAIL Service, Version: adres IP 6.0.3790.1830 ready at…. Nazwa komputera helo anemone.man.poznan.pl 250 CPMSFTWBC10.phx.gbl Hello [150.254.149.195] Typowa sesja SMTP a filtracja mail from: [email protected] 250 2.1.0 [email protected] OK. rcpt to: [email protected] 250 2.1.5 [email protected] Ok Adres e-mail nadawcy Adres e-mail odbiorcy DATA 354 End data with <CR><LF>.<CR><LF> Subject: Test SMTP To: Ktos <[email protected]> Witaj, Pozdrawiam. Zawartość: Temat, Odbiorca i nadawca w treści itp. . 250 2.0.0 Ok quit Connection closed by foreign host. +DANE Z DNS20 Dane z sesji a metody antyspamowe Źródłowy adres IP: Czarne listy (black lists, rbls) Białe listy (white lists) Rekordy odwrotne dns Rekord mx w dns dla nazwy domeny uzyskanej w wyniku odwrotnego zapytania DNS Nazwa komputera z EHLO/HELO: zgodność z nazwą uzyskaną z zapytania DNS liczba nazw dla jednego adresu IP (wymaga bazy adresów ) czarne listy, białe listy 21 Dane z sesji a metody antyspamowe (1) Adres e-mail nadawcy czy FQDN Rekordy mx Rekordy A Adres e-mail odbiorcy czy lokalny jeśli nie lokalny, to czy nadawca lokalny i użytkownik lub host autoryzowany do wysyłania e-maila z takim adresem >printf '\0username\0password'| mimencode AHVzZXJuYW1lAHBhc3N3b3Jk >telnet server.example.com 25 ... 220 server.example.com EHLO client.example.com 250-AUTH DIGEST-MD5 PLAIN CRAM-MD5 250 8BITMIME AUTH PLAIN AHVzZXJuYW1lAHBhc3N3b3Jk 235 Authentication successful 22 Dane z sesji a metody antyspamowe (1) Zawartość (mail content, mail body): Nagłówki, Temat, Słowa kluczowe Załączniki: Typy plików Zawartość plików (wirusy, konie trojańskie, skrypty itp.) 23 Kiedy filtrować W trakcie sesji SMTP (z ang. before queue) Po odebraniu całej wiadomości i przesłaniu jej do „kolejki” w celu dalszego przetwarzania(z ang. after queue) 24 Kiedy filtrować W trakcie sesji SMTP (z ang. before queue) Mail sprawdzony zanim trafi do kolejki (+) Redukcja problemów z „odbitymi i podwójnie odbitymi wiadomościami” (ang. bounce i double-bounce) (+) Wydłużenie czasu obsługi klientów (-) Konieczność uruchamiania większej liczby procesów żeby obsłużyć żądania klientów (-) Możliwość szybkiego przerwania sesji bez konieczności odbioru zawartości wiadomości (+) 25 Kiedy filtrować Po odebraniu całej wiadomości i przesłaniu jej do „kolejki” w celu dalszego przetwarzania (z ang. after queue) Możliwość przeprowadzenia czasochłonnej analizy zawartości np. wyszukiwanie wzorców, metody uczenia maszynowego (+) Dekompresja dużych załączników (+) Analiza antywirusowa (+) Może wystąpić problem bounce-ów i double-bounce-ów (-) 26 Kiedy filtrować Należy filtrować zarówno w trakcie sesji (lekkie analizy, sprawdzanie rekordów DNS-owych) jak i po odebraniu całej wiadomości. 27 Inne możliwości SMTP callback verification/callout verification HELO <local host name> MAIL FROM:<> RCPT TO:<the address to be tested> QUIT Celowe opóźnienie w odpowiedziach na komendy SMTP (Greet delays, tarpitting) Greylisting (szare listy) 28 Greylisting 1. Czy wysyłający nadawca/host/sieć jest na białej liście? 2. Czy adres e-mail odbiorcy (lub domena) jest na białej liście, jeśli tak to przepuść e-maila 3. Sprawdź czy widzieliśmy już taką trójkę wcześniej (IP/nadawca/odbiorca): 1. 2. 3. Jeśli nie to wygeneruj tymczasowy błąd (np. 4.5.0) do MTA i utwórz rekord w bazie Jeśli widzieliśmy, ale czasowa blokada nie minęła, to wygeneruj tymczasowy błąd Jeśli czas blokady dla danej trójki minął, to przepuść29 Greylisting 4. Jeśli wiadomość została przepuszczona i doręczona z sukcesem to: Inkrementujemy licznik prawidłowych doręczeń Resetujemy czas życia rekordu Jeśli nie została doręczona to: Inkrementujemy licznik błędów dla danego rekordu Jeśli nadawca jest specjalnym przypadkiem (np. null sender) nie zwracaj błędu po RCPT, tylko poczekaj do końca fazy DATA 30 Ruch międzyserwerowy vs. ruch kliencki MUA (Mail User Agent) SM TP Port 25 Port 587 MSA (Mail Submission Agent) TP M S Port 25 MTA (Mail Transfer Agent) RFC 5068 http://www.ietf.org/rfc/rfc5068.txt definiuje MSA (Mail Submission Agent)31 Ruch wewnątrz firmowy vs. komunikacja ze światem zewnętrznym Brak separacji - wielokrotne skanowanie tej samej poczty, bezpośredni wpływ ruchu zewnętrznego na wydajność komunikacji wewnętrznej Separacja – stabilna komunikacja wewnątrz korporacji, efektywniejsze wykorzystanie zasobów Jak dokonać separacji i w którym miejscu? 32 Model systemu pocztowego Internet Serwer brzegowy (port 25): Routing, filtracja, dns MTA (Mail Transfer Agent) Dostęp kliencki (port 587, message submission; 143, IMAP; 110 POP; +TLS) MUA (Mail User Agent) MSA (Mail Submission Agent) Węzeł pocztowy Skrzynki pocztowe DNS 33 Świat przed Exchange Server 2007 (do MSE 2003) Internet Internet Mail Mail Gateway Gateway Server Server Routing Routing Hub Hub Server Server Mailbox Mailbox Server Server Internet Internet Outlook Outlook 2003 2003 Client Client `` 1. 1.Connection Connection Filtering Filtering Allow/Deny Allow/Deny IP IPlists lists Real Real time timeblock block lists lists 2. 2. Sender Sender Filtering Filtering 3. 3.Recipient Recipient Lookup Lookup 4. 4.Recipient Recipient Filtering Filtering 8. 8.Virus VirusScanning Scanning 7. 7.Attachment Attachment Stripping Stripping For For example example:: .dll, .dll, .exe, .exe,.cmd, .cmd, .com, .com, .js, .wsf, and .vbs .js, .wsf, and .vbs 9. 9.User User Safe Safe/Blocked /Blocked Sender Sender Lists Listsand and Store StoreThreshold Threshold Inbox Inbox Junk Junk EE -mail -mail 13. 13.Antivirus AntivirusSoftware Software Real -time scanning Real -time scanning 12. 12.Attachment Attachment and and Web Beacon Blocking Web Beacon Blocking 11. 11. Client-Side Client-SideSpam Spam Filtering Filtering 5. 5.Sender Sender ID ID Lookup Lookup 6. 6.Intelligent Intelligent Message Message Filter Filter 10. 10.Outlook OutlookClient Client Version Control Version Control 34 Intelligent Message Filter Technologia SmartScreen oparta na uczeniu maszynowym opracowana i opatentowana przez Microsoft Research Klasyfikator nauczony na próbkach wiadomości ważnych/pożądanych, oraz niepożądanych (UCE - unsolicited commercial e-mail , SPAM) 35 MS Exchange 2003 z IMF 36 Microsoft Exchange 2007 Architektura zbieżna z przedstawionym modelem sytemu pocztowego W stosunku do Exchange 2003 nowe role serwerów Nowe wbudowane funkcje antyspamowe i antywirusowe Nowa rodzina produktów rozszerzających możliwości antywirusowe i antyspamowe Model administracji oparty na rolach. Jeden serwer może pełnić kilka ról lub funkcjonalność może być rozdzielona pomiędzy serwery 37 Nowości w wersji 2007 38 Role serwerów Exchange Hub Transport Edge Transport Dostęp kliencki Zarządzanie skrzynkami (Mailbox Server) Unified Messaging 39 (Elastyczna i skalowalna infrastruktura ) User tier Middle tier Data tier Telephone Unified Messaging Mailbox SMTP host Internet Edge Transport Hub Transport Mailbox Office Outlook Web Access Exchange ActiveSync Outlook Anywhere Client Access 40 Mailbox MS Exchange 2007 Design and Architecture w Microsoft Architektury serwerów i środowiska Edge Transport 41 Edge Transport – wymagania konfiguracyjne Musi być zainstalowany na komputerze wolnostojącym, Musi mieć ustaloną nazwę DNS (FQDN), Powinien być umieszczony w sieci DMZ, Wymagana jest odpowiednia konfiguracja zapory sieciowej, Nie jest członkiem domeny, lecz wykorzystuje Active Directory Application Mode (ADAM) 42 Edge Transport – wymagania konfiguracyjne Jeśli Edge transport dostarcza pocztę bezpośrednio do Internetu, to musi mieć możliwość rozwiązywania nazw zewnętrznych domen pocztowych, Publiczna domena DNS musi posiadać rekord MX wskazujący na serwer Edge Transport. 43 Edge transport – porty na firewallu Zapora sieciowa Reguła Opis Zewnętrzna Port 25 dostepny ze wszystkich zewnetrznych adresów IP Wymagany dla dostarczania poczty z Internetu Zewnętrzna Port 25 dostepny z Edge Transport do wszystkich zewnetrznych adresów IP Wymagany do wysyłania poczty na zewnatrz organizacji Zewnętrzna Port 53 z Edge Transport do wszystkich zewnetrznych IP Konieczny do rozwiazywania nazw DNS Wewnętrzna Port 25 dostepny z Edge Transport do serwerów Hub Transport Przesłanie poczty przychodzacej do serwerów Hub Transport Wewnętrzna Port 25 dostepny z serwerów Hub T. do serwera Egde T. Przesłanie poczty wychodzacej do Internetu Wewnętrzna Port 50636 z serwerów Hub Transport do serwera Egde LDAPS dla EdgeSync Wewnętrzna 3389 z sieci wew. do serwera Edge Transport Zdalna administracja (RDP) 44 45 Exchange Server 2007 – funkcje ochrony Exchange Exchange ADAM ADAM EdgeSync EdgeSync Hashed HashedRecipient Recipientand and Safe SafeSenders Senders Information Information Safelist Safelist Aggregation Aggregation Edge Edge Transport Transport Server Server Hub Hub Transport Transport Server Server Active Active Directory Directory Safe SafeRecipients RecipientsLists Lists, , Safe SafeSenders SendersLists Lists , ,and and External ExternalContacts Contacts Mailbox Mailbox Server Server Internet Internet Outlook Outlook 2007 2007 Client Client `` 1. 1.Connection ConnectionFiltering Filtering 2.2.Sender SenderFiltering Filtering 14. 14.Virus VirusScanning Scanning 13. 13.Message Message Journaling Journaling 15. 15.User UserSafe Safe/ / Blocked BlockedSender Sender Lists Listsand and Store StoreThreshold Threshold 3.3.Recipient RecipientLookup Lookup 18. 18.Attachment Attachmentand and Web WebBeacon BeaconBlocking Blocking 12. 12.Rules RulesProcessing Processing 4. 4.Recipient RecipientFiltering Filtering 5.5.Sender SenderID IDLookup Lookup 19. 19.Antivirus AntivirusSoftware Software Real Real-time -timescanning scanning Inbox Inbox Junk JunkEE -mail -mail 17. 17.Client-Side Client-SideSpam Spam Filtering Filtering 6. 6.Protocol ProtocolAnalysis Analysis 7.7.Header HeaderFiltering Filtering 16. 16.Outlook OutlookClient Client Version VersionControl Control 8.8.Rule RuleProcessing Processing E-Mail E-MailPostmarks Postmarks 9. 9.Content ContentFiltering Filtering 10. 10.Attachment AttachmentFiltering Filtering 11. 11.Virus VirusScanning Scanning 46 47 Prosta organizacja (z pojedynczym serwerem) Brak moŜliwości skorzystania z dobrodziejstw roli Edge Transport 48 Rozwiązania antyspamowe oferowane przez firmę Microsoft Sender ID/SP Framework Sender Reputation IP Reputation Content filter Microsoft SmartScreen/ Intelligent Message Filter v2 Tarpitting Antivirus stamping Office Outlook 2007 EMail Postmark Greylisting nie jest w standardzie, ale są pierwsze jaskółki (np. Greylisting Sample Agent ) http://www.microsoft.com/mscorp/safety/technologies/antispam/default.mspx 49 Uruchomieni domyślnie agenci 50 Microsoft SmartScreen Maszynowe uczenie Klasyfikator probabilistyczny Próbka kilku milionów e-mail pozyskanych od klientów i partnerów Microsoft Technologia opatentowana przez Microsoft Research Nie wiele danych dot. samego algorytmu Intensywnie wdrażane w produktach MS od 2003 roku jako remedium na problem spamu 51 Bill Gates o SmartScreen "We are making progress with new software derived from advanced work in the field of machine learning -- the design of systems that learn from data and grow smarter over time. The software learns from a vast and continually growing archive of e-mail provided by nearly 200,000 of our e-mail customers who have volunteered to classify millions of messages as legitimate or not. This feedback enables us to identify spam with unprecedented precision based on key words, message structure, even the time it was sent -- more than 500,000 characteristics in all. Early reports have indicated that this Microsoft SmartScreen technology is blocking as much as 95 percent of spam, and we expect it to get even smarter as it learns from a continuing flow of feedback. Washington Post, 24 Listopad 2003r 52 Sender Policy Framework Próba kontroli fałszowanych e-maili Daje możliwość specyfikowania legitymowanych źródeł poczty Implementowany jako rekordy DNS-owe Protokół opracowany przez grupę ochotników Rozwijany od 2003 roku Sender ID Framework SPF Record Wizard RFC 4408 53 Sender ID Business Value White Paper Sender Policy Framewrok (SPF) C:\Documents and Settings\Maciek>nslookup (...) > set type=TXT > microsoft.com (...) microsoft.com text = "v=spf1 mx include:_spf-a.microsoft.com include:_spf-b.microsoft.com include:_spf-c.microsoft.com include:_spf-ssg-a.microsoft.com ~all" 54 Sender Policy Framework (SPF) Mechanizmy SPF all | ip4 | ip6 | a | mx | ptr | exists | include Modyfikatory (modifiers) redirect | exp Kwalifikatory "+"Pass "-"Fail "~"SoftFail "?"Neutral 55 Zaawansowany przykład > gmail.com gmail.com text = "v=spf1 redirect=_spf.google.com” >_spf.google.com _spf.google.com text = "v=spf1 ip4:216.239.32.0/19 ip4:64.233.160.0/19 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:209.85.128.0/17 ip4:66.102.0.0/20 ip4:74.125.0.0/16 ?all" 56 Ewaluacja rekordów SPF 57 Problemy i ograniczenia Weryfikuje tylko „poprawność domeny”, nie dostarcza wiedzy o użytkownikach Sprawdza “ostatni krok” a nie pełną ścieżkę Istnieją domeny spamerskie Przydatne w budowaniu „reputacji domeny” 58 Sender ID 59 Content Filter agent The Content Filter agent is one of several anti-spam agents. When you configure anti-spam agents on a computer that has the Edge Transport server role installed, the agents act on messages cumulatively to reduce the amount of spam that enters the organization. For more information about how to plan and deploy anti-spam agents, see AntiSpam and Antivirus Functionality. The Content Filter agent assigns a spam confidence level (SCL) rating to each message. The SCL rating is a number between 0 and 9. A higher SCL rating indicates that a message is more likely to be spam. You can configure the Content Filter agent to take the following actions on messages according to their SCL rating: Delete message Reject message Quarantine message 60 Reputacja nadawcy (Sender reputation) Zabezpieczenie anty-spamowe aktywowane na serwerze Microsoft Exchange Server 2007 pełniącego rolę Edge Transport Blokuje wiadomości w oparciu o cechy charakterystyczne dla nadawcy Używa miary SRL (Sender Reputation Level) określającej poziom zaufania nadawcy Proces odpowiedzialny za wyliczanie miary SRL zbiera dane statystyczne 61 Miara Sender Reputation Level wyliczana na podstawie następujących statystyk: analiza HELO/EHLO (adres IP podawany=IP inicjatora połączenia; liczba różnych domen z danego adresu IP powinna być relatywnie mała; wiele różnych nazw w krótkim czasie=spammer) Analiza zapytań odwrotnych do DNS (Reverse DNS lookup) Analiza ocen SCL (spam confidence level) – dostarczanych przez Content Filter Agent (następca IMF) Sender open proxy test SRL – liczba od 0-9 wyliczona na podstawie ważonych wyników powyższych statystyk Sender filter agent – Akcje: Reject, Delete and archive, Accept and mark as a blocked sender 62 Kiedy wykorzystać/obliczyć SRL? W momencie wydania polecenia SMTP: MAIL FROM Sender reputation acts on a message only if the message was blocked or otherwise acted on by the Connection Filter agent, Sender Filter agent, Recipient Filter agent, or Sender ID agent. In this case, sender reputation retrieves the sender's current SRL rating from the sender profile that is persisted about that sender in the Edge Transport database. After this rating is retrieved and evaluated, the Edge Transport server configuration dictates the behavior that occurs at a particular connection according to the block threshold. Po komendzie "end of data" protokołu SMTP The end of data transfer (_EOD) SMTP command is given when all the actual message data is sent. At this point in the SMTP session, many of the anti-spam agents have processed the message. As a by-product of anti-spam processing, the statistics that sender reputation relies on are updated. Therefore, sender reputation has the data to calculate or recalculate an SRL rating for the sender. 63 IP Reputation Service „Microsoft IP Reputation Service is an IP Block list service that is offered exclusively to Exchange 2007 customers” 64 Microsoft Office Outlook 2007 E-mail Postmark Znacznik obliczany przez Outlook-a w trakcie wysyłania poczty na podstawie unikalnych elementów wiadomości tj. czasu wysłania i listy odbiorców Celem jest spowolnienie mass-mailingu Wiadomości w obrębie organizacji tj. do adresatów zawartych w Microsoft Exchange Global Address List (GAL) nie są znakowane Po stronie odbiorcy znaczniki mogą być użyte 65 przez oprogramowanie anytspamowe Antivirus stamp Ograniczenie wielokrotnego skanowania tej samej poczty w obrębie jednej organizacji Jest dodawany gdy zachodzą warunki: Wiadomość została przeskanowana przez Forefront Security for Exchange Server z co najmniej jednym silnikiem antywirusowym (Antivirus stamp nie może być wykorzystywany w środowiskach mieszanych opartych o produkty zewnętrznych dostawców oprogramowania antywirusowego niezintegrowanych z Forefront Security for Exchange Server, ze względu na zasadę ograniczonego zaufania) wirus nie został znaleziony lub wirus został usunięty a zmodyfikowana wiadomość ponownie zapisana przez Exchange-a 66 Forefront security dla Exchange 2007 KOMPLEKSOWA OCHRONA ANTYWIRUSOWA 67 Microsoft Forefront Security dla Exchange Informacje ogólne Dawniej produkt znany pod nazwą Antigen for Exchange (Sybari Software przejęte w 2005r.) Forefront Security for Exchange Server jest dedykowany do Exchange 2007!!! Exchange 2000/2003 jest wspierany przez Antigen dla Exchange Licencja Forefront daje prawo do używania wcześniejszych wersji oprogramowania Antigen (i vice versa) Wersja produkcyjna jest 64-bit Wsparcie dla ról Exchange Edge Transport, Hub Transport i Mailbox/Public Folder Auto-detekcja roli serwera Exchange 68 Microsoft Forefront Security dla Exchange Informacje ogólne Zawiera: Wiele silników antywirusowych (aktualnie 8), z których użytkownik wybiera 5 Filtracje plików W serwerach transportowych (Edge/Hub Transport) W serwerach obsługujących skrzynki (Mailstore) Filtracja wg słów kluczowych Tylko transport Filtracja po temacie i domenie nadawcy Tylko serwer skrzynek Powiadomienia 69 Microsoft Forefront Security dla Exchange Informacje ogólne Nie zawiera: Mechanizmów antyspamowych Filtracji wg tematu i nadawcy/domeny na serwerze transportowym Powyższe funkcje zapewnia MS Exchange 2007 70 Programy antywirusowe w Forefront Security Wiodący dostawcy 71 Automatyzacja aktualizacji sygnatur Internet Internet Forefront Engine Adaptor 72 Liczba używanych antywirusów a Nie zawsze uŜywane są te wydajność A C B D D same silniki , gdyŜ stosuje się alokację dynamiczną z puli dostępnych antywirusów Max Certainty: uŜywa wszystkich (100%) Favor Certainty: uŜywa wszystkich dostępnych silników Neutral: uŜywa około 50% dostępnych silników Favor Performance: uŜywa 25% dostępnych silników Max Performance: uŜywa jednego silnika do kaŜdego skanu 73 Liczba używanych antywirusów a wydajność Nie zawsze uŜywane są te A C B D D same silniki , gdyŜ stosuje się alokację dynamiczną z puli dostępnych antywirusów Max Certainty: uŜywa wszystkich (100%) Favor Certainty: uŜywa wszystkich dostępnych silników Neutral: uŜywa około 50% dostępnych silników Favor Performance: uŜywa 25% dostępnych silników Max Performance: uŜywa jednego silnika do kaŜdego skanu 74 Antivirus stamping – ruch wychodzący 75 Antivirus stamping – ruch przychodzący 76 Antivirus stamping – ruch wewnętrzny 77 Antivirus Stamp Szczegóły techniczne Nagłówek X-header Producenci AV znakują wyniki skanowania Znaczniki są analizowane przez kolejne AV i wykorzystane do podjęcia decyzji o skanowaniu lub pominięciu skanowania (jeśli pierwszy antywirus wykryje wirusa, to zwykle nie ma potrzeby dalej skanować) Forefront zawsze ustawia numer wersji na 1 Przykład: X-MS-Exchange-Organization-AVStamp-Mailbox: MSFTFF;1;0;info MSFTFF: nazwa producenta AV (8 znaków); MSFTFF = Microsoft 1: numer wersji prducenta (32-bit unsigned integer); 1 = Microsoft 0 (VIRSCAN_NO_VIRUS): status (32-bit unsigned integer) Info: opcjonalne informacje o wirusie (128 byte string) 78 Antivirus Stamp Szczegóły techniczne Przy zapisie do skrzynek znacznik antywirusowy (ang. antivirus stamp) jest dodawany do pól MAPI i utrzymywany 79 Antivirus Stamp Bezpieczeństwo - szczegóły A co jeśli ktoś będzie próbował sfałszować znacznik (AV stamp) w celu uniknięcia skanowania? Serwer Exchange Edge lub Hub usuwa wszystkie istniejące znaczniki z emaili pochodzących z zewnątrz Serwer Edge lub Hub usuwa znaczniki z poczty wychodzącej Nie ma powodu, żeby znacznik z jednej organizacji funkcjonował w innej Znacznik zawsze musi pochodzić z zaufanego serwera Exchange w obrębie danej organizacji 80 Skanowanie skrzynek (Mailbox Server) Trzy tryby: Podstawowy (default) Zagrożenie infekcją (outbreak) Maksymalne bezpieczeństwo (ultimate security) Dwa podstawowe mechanizmy skanowania: Skanowanie w momencie odczytu wiadomości Inkrementalne skanowanie w tle Skanowanie na żądanie 81 Tryb podstawowy (default mode) Nie są skanowane wiadomości zapisywane do skrzynki Wiadomości są skanowane przy odczycie tylko jeśli nie były skanowane wcześniej (np. na serwerze Edge) W praktyce skanowane są maile w folderze wiadomości wysłanych (Sent), pliki w folderach publicznych (Public Folders), oraz w skrzynce wiadomości wychodzących (Outbox) Skanowanie periodyczne, codziennie, e-maili spełniających określone kryteria np. otrzymane w ciągu x godzin, starsze niż x dni, zawierające załączniki itp. 82 Tryb zagrożenia infekcją Przy zapisie do skrzynki Wiadomości nie są skanowane Przy pierwszym dostępie Wiadomości są skanowane Przy kolejnych dostępach Wiadomości są skanowane jeśli chociaż jedna baza wirusów uległa zmianie (Włączona opcja Scan on Scanner Update) Skanowanie w tle Skanowane są wszystkie wiadomości w zależności od parametrów Jeden raz dziennie 83 Tryb maksymalnego bezpieczeństwa Przy zapisie do skrzynki Wiadomości są zawsze skanowane Przy pierwszym dostępie Wiadomości są skanowane jeśli silniki antywirusowe zostały zaktualizowane w międzyczasie Przy kolejnych dostępach Wiadomości są skanowane jeśli chociaż jedna baza wirusów uległa zmianie (Włączona opcja Scan on Scanner Update) od momentu poprzedniego skanowania Skanowanie w tle Skanowane są wszystkie wiadomości w zależności od parametrów Restartowane przy każdej aktualizacji skanerów 84 Forefront Security - podsumowanie Kompleksowa ochrona antywirusowa Bazy wielu producentów dostępne w jednym produkcie Spójne wsparcie zarówno dla serwerów pełniących role transportowe jak i role składowania danych Elastyczne możliwości konfiguracji 85 Wybrane dokumenty RFC RFC 2821 http://www.ietf.org/rfc/rfc2821.txt RFC 2822 http://www.ietf.org/rfc/rfc2822.txt RFC 3848 http://www.ietf.org/rfc/rfc3848.txt RFC 4405 http://www.ietf.org/rfc/rfc4405.txt RFC 4406 http://www.ietf.org/rfc/rfc4406.txt RFC 4407 http://www.ietf.org/rfc/rfc4407.txt RFC 4408 http://www.ietf.org/rfc/rfc4408.txt definiuje SPF (Sender Policy Framework) RFC 5068 http://www.ietf.org/rfc/rfc5068.txt definiuje MSA (Mail Submission Agent) 86 Informacje dodatkowe Krótka prezentacja multimedialna o Forefront Security dla Exchange Serwera http://www.microsoft.com/forefront/serversecuri ty/exchange/en/us/demos.aspx Protokoły w Exchange Server http://msdn.microsoft.com/enus/library/cc425499.aspx Dostęp do wirtualnych laboratoriów poświęconych MS Exchange TechNet Virtual Labs: Exchange Server http://technet.microsoft.com/en-us/bb499043.aspx 87 Podsumowanie Microsoft Exchange 2007 Nowoczesna, skalowalna architektura Szeroki wachlarz metod antyspamowych Wspiera większość powszechnie stosowanych podejść do ochrony antyspamowej Microsoft Forefront Security for Exchange 2007 Całościowa ochrona infrastruktury Exchange-a przed wirusami i złośliwym oprogramowaniem Zoptymalizowana wydajność Uproszczone zarządzanie 88 Informacje kontaktowe Autor prezentacji milos [email protected] @man.poznan.pl Centrum Innowacji Microsoft http:// http://mic.psnc.pl mic.psnc.pl mic [email protected] @man.poznan.pl PCSS http:// http://www.pcss.pl www.pcss.pl Zesp Zespół ół Bezpiecze Bezpieczeństwa ństwa PCSS http:// http://security.psnc.pl security.psnc.pl security [email protected] @man.poznan.pl 89 Pytania i dyskusja Dzi Dziękuję ękuję za uwag uwagę! ę! 90