obrona przed spamem przy pomocy Exchange 2007 i MS Forefront

Transkrypt

Niechciane wiadomości –
obrona przed spamem przy pomocy
Exchange 2007 i MS Forefront Security
dr Maciej Miłostan
Zespół Bezpieczeństwa PCSS
1
Poznań, 19.11.2008
Agenda (1)
11:00 – Rozpocz
Rozpoczęcie,
ęcie, powitanie uczestnik
uczestników,
ów, informacje
organizacyjne
11:05 – Poznajmy si
się:
ę: czym jest PCSS i MIC?
11:15 – Niechciane wiadomo
wiadomości
ści (cz. 1) - obrona przed spamem
spamem::
architektura systemu pocztowego a role serwer
serwerów
ów Microsoft
Exchange 2007
12:00 – Przerwa
12:10 – N
Niechciane
iechciane wiadomo
wiadomości
ści (cz. 2) – obrona przed spamem
spamem::
mechanizmy filtracji a Microsoft Forefront Security 2007
12:50 – Podsumowanie, dyskusja, zaproszenie na kolejne szkolenia
13:00 – Zako
Zakończenie
ńczenie
2
Informacje organizacyjne
Ankieta
Kr
Krótka
ótka i anonimowa
Pomoc na przysz
przyszłość
łość
Lista obecno
obecności
ści
Prosz
Proszę
ę zaznaczy
zaznaczyć,
ć, czy chcecie Pa
Państwo
ństwo otrzymywa
otrzymywaćć
informacje o kolejnych szkoleniach
Prezentacja – dost
dostępna
ępna na stronach WWW
http://
http://mic.psnc.pl
mic.psnc.pl
http://szkolenia.
http://szkolenia.man.poznan.pl
man.poznan.pl
http://
http://security.psnc.pl
security.psnc.pl
Webcast
Wyj
Wyjątkowo
ątkowo brak – jeste
jesteście
ście Pa
Państwo
ństwo wybrani ;)
3
Kim jeste
śmy i co robimy
jesteśmy
robimy??
4
PCSS
Pozna
Poznańskie
ńskie Centrum
Superkomputerowo
Superkomputerowo-Sieciowe: 15 lat
Operator sieci PIONIER oraz
POZMAN
Uczestnik projekt
projektów
ów
naukowo
naukowo-badawczych
-badawczych
G
Główne
łówne obszary
zainteresowa
zainteresowań
ń
Gridy
Gridy,, sieci nowej
generacji, portale
Bezpiecze
Bezpieczeństwo
ństwo sieci i
system
systemów
ów
http://
http://www.pcss.pl
www.pcss.pl
5
Zesp
ół Bezpiecze
ństwa PCSS
Zespół
Bezpieczeństwa
Dedykowany zespół istnieje od 1996r.
Podstawowy zakres prac Zespołu
Zabezpieczanie infrastruktury PCSS
Zadania bezpieczeństwa w projektach naukowo – badawczych
Szkolenia i transfer wiedzy
Badania własne
Audyty i doradztwo w zakresie bezpieczeństwa IT
Niektóre badania z ostatnich lat
Raport o bezpieczeństwie bankowości elektronicznej (2006)
Bezpieczeństwo serwerów WWW Apache i MS IIS (2007)
Bezpieczeństwo sklepów internetowych (2008)
6
Centrum Innowacji Microsoft
Pierwsze w Polsce MIC
„Centrum bezpieczeństwa
i usług outsourcingowych”
Partnerzy
Microsoft Corporation
Poznańskie Centrum
Superkomputerowo-Sieciowe
Politechnika Poznańska
Otwarcie: 1.06.2006r.
http://mic.psnc.pl
7
Cele i zadania MIC
Wybrane cele MIC
Edukacja poprzez zdalne udostępnianie aplikacji MS
Szybszy rozwój lokalnych firm (MŚP) poprzez doradztwo w zakresie
podnoszenia poziomu bezpieczeństwa teleinformatycznego, audyty
oraz szkolenia
Poprawa dostępu i jakości usług medycznych w Wielkopolsce
Łatwy i bezpieczny dostęp do e-usług w urzędach
Główne zadania MIC w roku 2008
Usługi hostingowe dla edukacji, instytucji charytatywnych i
użytkowników indywidualnych
Szkolenia w zakresie bezpieczeństwa IT
Rozwój systemu telekonsultacji medycznych „Telesfor”
Badania nad technologią Silverlight 2.0
8
Szkolenia bezpiecze
ństwa MIC
bezpieczeństwa
4 szkolenia rocznie
http://mic.psnc.pl/tasks/lect.html
http://szkolenia.man.poznan.pl/kdm
Tematy szkoleń w roku 2008
10.04.08: Format OpenXML
24.06.08: Bezpieczeństwo w firmach
19.11.08: Niechciane wiadomości
16(18).12.08: Omijanie firewalli
w systemach Windows
Zachęcamy do zgłaszania w ankietach
propozycji tematów na rok 2009!
9
Niechciane wiadomo
wiadomości
ści –
obrona przed spamem przy pomocy
Exchange 2007 i MS Forefront Security
10
SPAM a rzeczywistość
Skrzynka wiadomości, czytamy i „SPAM,
SPAM, SPAM…” niczym w skeczu Monty
Pythona
http://www.spam.com
11
Dostrzec to co ważne
12
Walka z wiatrakami?
13
Przepływ poczty
Zapytanie DNS:
smtp.istniejacadomena.pl
From: Herr Flick
<[email protected]>
To: [email protected]
Subject:WaŜne
Misie w drodze. Ptaszki muszą
odlecieć do ciepłych krajów.
Serwer poczty wychodzącej:
smtp.istniejącadomena.pl
Odpowiedź DNS:
10.0.0.100
14
Przepływ poczty
milos@man.
milos@man.
poznan.pl
poznan.pl
Nawiązanie
połączenia:
10.0.0.100
Uwierzytelnienie:
uŜytkownik+hasło
Zapytanie DNS:
mx
man.poznan.pl
Odpowiedz DNS:
150.254.173.3
15
Przepływ poczty
Łączenie z
150.254.173.3
[email protected].
[email protected].
pl
Sprawdzanie poczty
16
Przepływ poczty
[email protected].
[email protected].
pl
Pobieranie poczty
Sprawdzanie
poczty
17
Przepływ poczty
[email protected].
[email protected].
Pobieranie
poczty
pl
18
Przepływ poczty
Wysyłanie
poczty
(smtp)
DNS
DNS
Pobieranie poczty (pop,
imap, protokoły microsoft*)
SMTP
19
* http://msdn.microsoft.com/en-us/library/cc425499.aspx
Dane uzyskane
w trakcie sesji
SMTP
>telnet 207.46.197.32 25
Trying 127.0.0.1...
Źródłowy
220 CPMSFTWBC10.phx.gbl Microsoft ESMTP MAIL Service, Version: adres IP
6.0.3790.1830 ready at….
Nazwa komputera
helo anemone.man.poznan.pl
250 CPMSFTWBC10.phx.gbl Hello [150.254.149.195]
Typowa sesja SMTP a filtracja
mail from: [email protected]
250 2.1.0 [email protected] OK.
rcpt to: [email protected]
250 2.1.5 [email protected] Ok
Adres e-mail
nadawcy
Adres e-mail
odbiorcy
DATA
354 End data with <CR><LF>.<CR><LF>
Subject: Test SMTP
To: Ktos <[email protected]>
Witaj,
Pozdrawiam.
Zawartość:
Temat, Odbiorca i
nadawca w treści
itp.
.
250 2.0.0 Ok
quit
Connection closed by foreign host.
+DANE Z DNS20
Dane z sesji a metody antyspamowe
Źródłowy adres IP:
Czarne listy (black lists, rbls)
Białe listy (white lists)
Rekordy odwrotne dns
Rekord mx w dns dla nazwy domeny uzyskanej w
wyniku odwrotnego zapytania DNS
Nazwa komputera z EHLO/HELO:
zgodność z nazwą uzyskaną z zapytania DNS
liczba nazw dla jednego adresu IP (wymaga bazy
adresów )
czarne listy, białe listy
21
Dane z sesji a metody antyspamowe (1)
Adres e-mail nadawcy
czy FQDN
Rekordy mx
Rekordy A
Adres e-mail odbiorcy
czy lokalny
jeśli nie lokalny, to czy
nadawca lokalny i
użytkownik lub host
autoryzowany do
wysyłania e-maila z takim
adresem
>printf '\0username\0password'|
mimencode
AHVzZXJuYW1lAHBhc3N3b3Jk
>telnet server.example.com 25
...
220 server.example.com
EHLO client.example.com
250-AUTH DIGEST-MD5 PLAIN CRAM-MD5
250 8BITMIME
AUTH PLAIN AHVzZXJuYW1lAHBhc3N3b3Jk
235 Authentication successful
22
Dane z sesji a metody antyspamowe (1)
Zawartość (mail content, mail body):
Nagłówki,
Temat,
Słowa kluczowe
Załączniki:
Typy plików
Zawartość plików (wirusy, konie trojańskie, skrypty itp.)
23
Kiedy filtrować
W trakcie sesji SMTP (z ang. before queue)
Po odebraniu całej wiadomości i przesłaniu jej do
„kolejki” w celu dalszego przetwarzania(z ang. after
queue)
24
Kiedy filtrować
W trakcie sesji SMTP (z ang. before queue)
Mail sprawdzony zanim trafi do kolejki (+)
Redukcja problemów z „odbitymi i podwójnie odbitymi
wiadomościami” (ang. bounce i double-bounce) (+)
Wydłużenie czasu obsługi klientów (-)
Konieczność uruchamiania większej liczby procesów żeby
obsłużyć żądania klientów (-)
Możliwość szybkiego przerwania sesji bez konieczności
odbioru zawartości wiadomości (+)
25
Kiedy filtrować
Po odebraniu całej wiadomości i przesłaniu jej do
„kolejki” w celu dalszego przetwarzania
(z ang. after queue)
Możliwość przeprowadzenia czasochłonnej analizy
zawartości np. wyszukiwanie wzorców, metody uczenia
maszynowego (+)
Dekompresja dużych załączników (+)
Analiza antywirusowa (+)
Może wystąpić problem bounce-ów i double-bounce-ów (-)
26
Kiedy filtrować
Należy filtrować zarówno w trakcie sesji (lekkie
analizy, sprawdzanie rekordów DNS-owych)
jak i po odebraniu całej wiadomości.
27
Inne możliwości
SMTP callback verification/callout verification
HELO <local host name>
MAIL FROM:<>
RCPT TO:<the address to be tested>
QUIT
Celowe opóźnienie w odpowiedziach na
komendy SMTP (Greet delays, tarpitting)
Greylisting (szare listy)
28
Greylisting
1. Czy wysyłający nadawca/host/sieć jest na białej
liście?
2. Czy adres e-mail odbiorcy (lub domena) jest na
białej liście, jeśli tak to przepuść e-maila
3. Sprawdź czy widzieliśmy już taką trójkę wcześniej
(IP/nadawca/odbiorca):
1.
2.
3.
Jeśli nie to wygeneruj tymczasowy błąd (np. 4.5.0) do
MTA i utwórz rekord w bazie
Jeśli widzieliśmy, ale czasowa blokada nie minęła, to
wygeneruj tymczasowy błąd
Jeśli czas blokady dla danej trójki minął, to przepuść29
Greylisting
4. Jeśli wiadomość została przepuszczona i
doręczona z sukcesem to:
Inkrementujemy licznik prawidłowych doręczeń
Resetujemy czas życia rekordu
Jeśli nie została doręczona to:
Inkrementujemy licznik błędów dla danego rekordu
Jeśli nadawca jest specjalnym przypadkiem (np. null
sender) nie zwracaj błędu po RCPT, tylko poczekaj do
końca fazy DATA
30
Ruch międzyserwerowy vs. ruch kliencki
MUA (Mail
User Agent)
SM
TP
Port 25
Port 587
MSA (Mail
Submission Agent)
TP
M
S
Port 25
MTA (Mail
Transfer Agent)
RFC 5068 http://www.ietf.org/rfc/rfc5068.txt
definiuje MSA (Mail Submission Agent)31
Ruch wewnątrz firmowy vs. komunikacja ze
światem zewnętrznym
Brak separacji - wielokrotne skanowanie tej
samej poczty, bezpośredni wpływ ruchu
zewnętrznego na wydajność komunikacji
wewnętrznej
Separacja – stabilna komunikacja wewnątrz
korporacji, efektywniejsze wykorzystanie
zasobów
Jak dokonać separacji i w którym miejscu?
32
Model systemu pocztowego
Internet
Serwer
brzegowy
(port 25):
Routing,
filtracja, dns
MTA (Mail
Transfer Agent)
Dostęp kliencki
(port 587, message
submission; 143,
IMAP; 110 POP; +TLS)
MUA (Mail
User Agent)
MSA (Mail
Submission Agent)
Węzeł
pocztowy
Skrzynki
pocztowe
DNS
33
Świat przed Exchange Server 2007 (do MSE 2003)
Internet
Internet Mail
Mail
Gateway
Gateway Server
Server
Routing
Routing Hub
Hub
Server
Server
Mailbox
Mailbox
Server
Server
Internet
Internet
Outlook
Outlook 2003
2003
Client
Client
``
1.
1.Connection
Connection Filtering
Filtering
Allow/Deny
Allow/Deny IP
IPlists
lists
Real
Real time
timeblock
block lists
lists
2.
2. Sender
Sender Filtering
Filtering
3.
3.Recipient
Recipient Lookup
Lookup
4.
4.Recipient
Recipient Filtering
Filtering
8.
8.Virus
VirusScanning
Scanning
7.
7.Attachment
Attachment
Stripping
Stripping
For
For example
example::
.dll,
.dll, .exe,
.exe,.cmd,
.cmd, .com,
.com,
.js,
.wsf,
and
.vbs
.js, .wsf, and .vbs
9.
9.User
User Safe
Safe/Blocked
/Blocked
Sender
Sender Lists
Listsand
and
Store
StoreThreshold
Threshold
Inbox
Inbox
Junk
Junk EE -mail
-mail
13.
13.Antivirus
AntivirusSoftware
Software
Real
-time
scanning
Real -time scanning
12.
12.Attachment
Attachment and
and
Web
Beacon
Blocking
Web Beacon Blocking
11.
11. Client-Side
Client-SideSpam
Spam
Filtering
Filtering
5.
5.Sender
Sender ID
ID Lookup
Lookup
6.
6.Intelligent
Intelligent Message
Message
Filter
Filter
10.
10.Outlook
OutlookClient
Client
Version
Control
Version Control
34
Intelligent Message Filter
Technologia SmartScreen oparta na uczeniu
maszynowym opracowana i opatentowana
przez Microsoft Research
Klasyfikator nauczony na próbkach
wiadomości ważnych/pożądanych, oraz
niepożądanych (UCE - unsolicited commercial
e-mail , SPAM)
35
MS Exchange 2003 z IMF
36
Microsoft Exchange 2007
Architektura zbieżna z przedstawionym modelem
sytemu pocztowego
W stosunku do Exchange 2003 nowe role serwerów
Nowe wbudowane funkcje antyspamowe i
antywirusowe
Nowa rodzina produktów rozszerzających możliwości
antywirusowe i antyspamowe
Model administracji oparty na rolach. Jeden serwer
może pełnić kilka ról lub funkcjonalność może być
rozdzielona pomiędzy serwery
37
Nowości w wersji 2007
38
Role serwerów Exchange
Hub Transport
Edge Transport
Dostęp kliencki
Zarządzanie skrzynkami (Mailbox Server)
Unified Messaging
39
(Elastyczna i skalowalna infrastruktura )
User tier
Middle tier
Data tier
Telephone
Unified Messaging
Mailbox
SMTP host
Internet
Edge Transport
Hub Transport
Mailbox
Office Outlook
Web Access
Exchange ActiveSync
Outlook Anywhere
Client Access
40
Mailbox
MS Exchange 2007 Design and Architecture w Microsoft
Architektury serwerów i środowiska
Edge Transport
41
Edge Transport – wymagania
konfiguracyjne
Musi być zainstalowany na komputerze
wolnostojącym,
Musi mieć ustaloną nazwę DNS (FQDN),
Powinien być umieszczony w sieci DMZ,
Wymagana jest odpowiednia konfiguracja
zapory sieciowej,
Nie jest członkiem domeny, lecz wykorzystuje
Active Directory Application Mode (ADAM)
42
Edge Transport – wymagania
konfiguracyjne
Jeśli Edge transport dostarcza pocztę
bezpośrednio do Internetu, to musi mieć
możliwość rozwiązywania nazw zewnętrznych
domen pocztowych,
Publiczna domena DNS musi posiadać rekord
MX wskazujący na serwer Edge Transport.
43
Edge transport – porty na firewallu
Zapora sieciowa
Reguła
Opis
Zewnętrzna
Port 25 dostepny ze wszystkich
zewnetrznych adresów IP
Wymagany dla dostarczania poczty z
Internetu
Zewnętrzna
Port 25 dostepny z Edge
Transport do wszystkich
zewnetrznych adresów IP
Wymagany do wysyłania poczty na
zewnatrz organizacji
Zewnętrzna
Port 53 z Edge Transport do
wszystkich zewnetrznych IP
Konieczny do
rozwiazywania nazw DNS
Wewnętrzna
Port 25 dostepny z Edge Transport
do serwerów Hub Transport
Przesłanie poczty przychodzacej do
serwerów Hub Transport
Wewnętrzna
Port 25 dostepny z serwerów Hub
T. do serwera Egde T.
Przesłanie poczty wychodzacej do
Internetu
Wewnętrzna
Port 50636 z serwerów Hub
Transport do serwera Egde
LDAPS dla EdgeSync
Wewnętrzna
3389 z sieci wew. do serwera Edge
Transport
Zdalna administracja (RDP)
44
45
Exchange Server 2007 – funkcje ochrony
Exchange
Exchange ADAM
ADAM
EdgeSync
EdgeSync
Hashed
HashedRecipient
Recipientand
and
Safe
SafeSenders
Senders
Information
Information
Safelist
Safelist
Aggregation
Aggregation
Edge
Edge Transport
Transport
Server
Server
Hub
Hub Transport
Transport
Server
Server
Active
Active Directory
Directory
Safe
SafeRecipients
RecipientsLists
Lists, ,
Safe
SafeSenders
SendersLists
Lists , ,and
and
External
ExternalContacts
Contacts
Mailbox
Mailbox
Server
Server
Internet
Internet
Outlook
Outlook 2007
2007
Client
Client
``
1.
1.Connection
ConnectionFiltering
Filtering
2.2.Sender
SenderFiltering
Filtering
14.
14.Virus
VirusScanning
Scanning
13.
13.Message
Message Journaling
Journaling
15.
15.User
UserSafe
Safe/ /
Blocked
BlockedSender
Sender
Lists
Listsand
and
Store
StoreThreshold
Threshold
3.3.Recipient
RecipientLookup
Lookup
18.
18.Attachment
Attachmentand
and
Web
WebBeacon
BeaconBlocking
Blocking
12.
12.Rules
RulesProcessing
Processing
4.
4.Recipient
RecipientFiltering
Filtering
5.5.Sender
SenderID
IDLookup
Lookup
19.
19.Antivirus
AntivirusSoftware
Software
Real
Real-time
-timescanning
scanning
Inbox
Inbox Junk
JunkEE -mail
-mail
17.
17.Client-Side
Client-SideSpam
Spam
Filtering
Filtering
6.
6.Protocol
ProtocolAnalysis
Analysis
7.7.Header
HeaderFiltering
Filtering
16.
16.Outlook
OutlookClient
Client
Version
VersionControl
Control
8.8.Rule
RuleProcessing
Processing
E-Mail
E-MailPostmarks
Postmarks
9.
9.Content
ContentFiltering
Filtering
10.
10.Attachment
AttachmentFiltering
Filtering
11.
11.Virus
VirusScanning
Scanning
46
47
Prosta organizacja (z pojedynczym
serwerem)
Brak
moŜliwości
skorzystania z
dobrodziejstw
roli Edge
Transport
48
Rozwiązania antyspamowe oferowane
przez firmę Microsoft
Sender ID/SP
Framework
Sender Reputation
IP Reputation
Content filter
Microsoft
SmartScreen/
Intelligent Message
Filter v2
Tarpitting
Antivirus stamping
Office Outlook 2007 EMail Postmark
Greylisting nie jest w
standardzie, ale są
pierwsze jaskółki
(np. Greylisting Sample Agent )
http://www.microsoft.com/mscorp/safety/technologies/antispam/default.mspx
49
Uruchomieni domyślnie agenci
50
Microsoft SmartScreen
Maszynowe uczenie
Klasyfikator probabilistyczny
Próbka kilku milionów e-mail pozyskanych od
klientów i partnerów Microsoft
Technologia opatentowana przez Microsoft
Research
Nie wiele danych dot. samego algorytmu
Intensywnie wdrażane w produktach MS od
2003 roku jako remedium na problem spamu
51
Bill Gates o SmartScreen
"We are making progress with new software derived from
advanced work in the field of machine learning -- the design of
systems that learn from data and grow smarter over time. The
software learns from a vast and continually growing archive of
e-mail provided by nearly 200,000 of our e-mail customers
who have volunteered to classify millions of messages as
legitimate or not. This feedback enables us to identify spam
with unprecedented precision based on key words, message
structure, even the time it was sent -- more than 500,000
characteristics in all. Early reports have indicated that this
Microsoft SmartScreen technology is blocking as much as 95
percent of spam, and we expect it to get even smarter as it
learns from a continuing flow of feedback.
Washington Post, 24 Listopad 2003r
52
Sender Policy Framework
Próba kontroli fałszowanych e-maili
Daje możliwość specyfikowania
legitymowanych źródeł poczty
Implementowany jako rekordy DNS-owe
Protokół opracowany przez grupę ochotników
Rozwijany od 2003 roku
Sender ID Framework SPF Record Wizard
RFC 4408
53
Sender ID Business Value White Paper
Sender Policy Framewrok (SPF)
C:\Documents and Settings\Maciek>nslookup
(...)
> set type=TXT
> microsoft.com
(...)
microsoft.com text =
"v=spf1 mx include:_spf-a.microsoft.com
include:_spf-b.microsoft.com
include:_spf-c.microsoft.com
include:_spf-ssg-a.microsoft.com ~all"
54
Sender Policy Framework (SPF)
Mechanizmy SPF
all | ip4 | ip6 | a | mx | ptr | exists | include
Modyfikatory (modifiers)
redirect | exp
Kwalifikatory
"+"Pass
"-"Fail
"~"SoftFail
"?"Neutral
55
Zaawansowany przykład
> gmail.com
gmail.com
text =
"v=spf1 redirect=_spf.google.com”
>_spf.google.com
_spf.google.com text =
"v=spf1 ip4:216.239.32.0/19 ip4:64.233.160.0/19
ip4:66.249.80.0/20 ip4:72.14.192.0/18
ip4:209.85.128.0/17 ip4:66.102.0.0/20
ip4:74.125.0.0/16 ?all"
56
Ewaluacja rekordów SPF
57
Problemy i ograniczenia
Weryfikuje tylko „poprawność domeny”, nie
dostarcza wiedzy o użytkownikach
Sprawdza “ostatni krok” a nie pełną ścieżkę
Istnieją domeny spamerskie
Przydatne w budowaniu „reputacji domeny”
58
Sender ID
59
Content Filter agent
The Content Filter agent is one of several anti-spam agents. When you
configure anti-spam agents on a computer that has the Edge Transport
server role installed, the agents act on messages cumulatively to
reduce the amount of spam that enters the organization. For more
information about how to plan and deploy anti-spam agents, see AntiSpam and Antivirus Functionality.
The Content Filter agent assigns a spam confidence level (SCL) rating to
each message. The SCL rating is a number between 0 and 9. A higher
SCL rating indicates that a message is more likely to be spam.
You can configure the Content Filter agent to take the following actions
on messages according to their SCL rating:
Delete message
Reject message
Quarantine message
60
Reputacja nadawcy (Sender reputation)
Zabezpieczenie anty-spamowe aktywowane na
serwerze Microsoft Exchange Server 2007
pełniącego rolę Edge Transport
Blokuje wiadomości w oparciu o cechy
charakterystyczne dla nadawcy
Używa miary SRL (Sender Reputation Level)
określającej poziom zaufania nadawcy
Proces odpowiedzialny za wyliczanie miary SRL zbiera
dane statystyczne
61
Miara Sender Reputation Level
wyliczana na podstawie następujących statystyk:
analiza HELO/EHLO (adres IP podawany=IP inicjatora
połączenia; liczba różnych domen z danego adresu IP
powinna być relatywnie mała; wiele różnych nazw w
krótkim czasie=spammer)
Analiza zapytań odwrotnych do DNS (Reverse DNS lookup)
Analiza ocen SCL (spam confidence level) – dostarczanych
przez Content Filter Agent (następca IMF)
Sender open proxy test
SRL – liczba od 0-9 wyliczona na podstawie ważonych
wyników powyższych statystyk
Sender filter agent – Akcje: Reject, Delete and archive,
Accept and mark as a blocked sender
62
Kiedy wykorzystać/obliczyć SRL?
W momencie wydania polecenia SMTP: MAIL FROM
Sender reputation acts on a message only if the message was blocked or
otherwise acted on by the Connection Filter agent, Sender Filter agent,
Recipient Filter agent, or Sender ID agent. In this case, sender reputation
retrieves the sender's current SRL rating from the sender profile that is
persisted about that sender in the Edge Transport database. After this rating is
retrieved and evaluated, the Edge Transport server configuration dictates the
behavior that occurs at a particular connection according to the block
threshold.
Po komendzie "end of data" protokołu SMTP
The end of data transfer (_EOD) SMTP command is given when all the actual
message data is sent. At this point in the SMTP session, many of the anti-spam
agents have processed the message. As a by-product of anti-spam processing,
the statistics that sender reputation relies on are updated. Therefore, sender
reputation has the data to calculate or recalculate an SRL rating for the
sender.
63
IP Reputation Service
„Microsoft IP Reputation Service is an IP Block
list service that is offered exclusively to
Exchange 2007 customers”
64
Microsoft Office Outlook 2007 E-mail
Postmark
Znacznik obliczany przez Outlook-a w trakcie
wysyłania poczty na podstawie unikalnych
elementów wiadomości tj. czasu wysłania i
listy odbiorców
Celem jest spowolnienie mass-mailingu
Wiadomości w obrębie organizacji tj. do
adresatów zawartych w Microsoft Exchange
Global Address List (GAL) nie są znakowane
Po stronie odbiorcy znaczniki mogą być użyte
65
przez oprogramowanie anytspamowe
Antivirus stamp
Ograniczenie wielokrotnego skanowania tej
samej poczty w obrębie jednej organizacji
Jest dodawany gdy zachodzą warunki:
Wiadomość została przeskanowana przez Forefront
Security for Exchange Server z co najmniej jednym
silnikiem antywirusowym
(Antivirus stamp nie może być wykorzystywany w środowiskach
mieszanych opartych o produkty zewnętrznych dostawców
oprogramowania antywirusowego niezintegrowanych z Forefront Security
for Exchange Server, ze względu na zasadę ograniczonego zaufania)
wirus nie został znaleziony lub wirus został usunięty
a zmodyfikowana wiadomość ponownie zapisana
przez Exchange-a
66
Forefront security dla
Exchange 2007
KOMPLEKSOWA OCHRONA
ANTYWIRUSOWA
67
Microsoft Forefront Security dla Exchange
Informacje ogólne
Dawniej produkt znany pod nazwą Antigen for Exchange
(Sybari Software przejęte w 2005r.)
Forefront Security for Exchange Server jest dedykowany
do Exchange 2007!!!
Exchange 2000/2003 jest wspierany przez Antigen dla
Exchange
Licencja Forefront daje prawo do używania wcześniejszych
wersji oprogramowania Antigen (i vice versa)
Wersja produkcyjna jest 64-bit
Wsparcie dla ról Exchange Edge Transport, Hub
Transport i Mailbox/Public Folder
Auto-detekcja roli serwera Exchange
68
Informacje ogólne
Zawiera:
Wiele silników antywirusowych (aktualnie 8), z
których użytkownik wybiera 5
Filtracje plików
W serwerach transportowych (Edge/Hub Transport)
W serwerach obsługujących skrzynki (Mailstore)
Filtracja wg słów kluczowych
Tylko transport
Filtracja po temacie i domenie nadawcy
Tylko serwer skrzynek
Powiadomienia
69
Informacje ogólne
Nie zawiera:
Mechanizmów antyspamowych
Filtracji wg tematu i nadawcy/domeny na
serwerze transportowym
Powyższe funkcje zapewnia MS Exchange 2007
70
Programy antywirusowe w Forefront
Security
Wiodący dostawcy
71
Automatyzacja aktualizacji sygnatur
Internet
Internet
Forefront
Engine
Adaptor
72
Liczba używanych antywirusów a
Nie zawsze uŜywane są te
wydajność
A
C
B
D
D
same silniki , gdyŜ
stosuje się alokację
dynamiczną z puli
dostępnych antywirusów
Max Certainty: uŜywa wszystkich (100%)
Favor Certainty: uŜywa wszystkich dostępnych silników
Neutral: uŜywa około 50% dostępnych silników
Favor Performance: uŜywa 25% dostępnych silników
Max Performance: uŜywa jednego silnika do kaŜdego skanu
73
Liczba używanych antywirusów a
wydajność
Nie zawsze uŜywane są te
A
C
B
D
D
same silniki , gdyŜ
stosuje się alokację
dynamiczną z puli
dostępnych antywirusów
Max Certainty: uŜywa wszystkich (100%)
Favor Certainty: uŜywa wszystkich dostępnych silników
Neutral: uŜywa około 50% dostępnych silników
Favor Performance: uŜywa 25% dostępnych silników
Max Performance: uŜywa jednego silnika do kaŜdego skanu
74
Antivirus stamping – ruch wychodzący
75
Antivirus stamping – ruch przychodzący
76
Antivirus stamping – ruch wewnętrzny
77
Antivirus Stamp
Szczegóły techniczne
Nagłówek X-header
Producenci AV znakują wyniki skanowania
Znaczniki są analizowane przez kolejne AV i wykorzystane do
podjęcia decyzji o skanowaniu lub pominięciu skanowania (jeśli
pierwszy antywirus wykryje wirusa, to zwykle nie ma potrzeby dalej
skanować)
Forefront zawsze ustawia numer wersji na 1
Przykład:
X-MS-Exchange-Organization-AVStamp-Mailbox: MSFTFF;1;0;info
MSFTFF: nazwa producenta AV (8 znaków); MSFTFF = Microsoft
1: numer wersji prducenta (32-bit unsigned integer); 1 = Microsoft
0 (VIRSCAN_NO_VIRUS): status (32-bit unsigned integer)
Info: opcjonalne informacje o wirusie (128 byte string)
78
Antivirus Stamp
Szczegóły techniczne
Przy zapisie do skrzynek znacznik antywirusowy (ang.
antivirus stamp) jest dodawany do pól MAPI i
utrzymywany
79
Antivirus Stamp
Bezpieczeństwo - szczegóły
A co jeśli ktoś będzie próbował sfałszować
znacznik (AV stamp) w celu uniknięcia skanowania?
Serwer Exchange Edge lub Hub usuwa wszystkie
istniejące znaczniki z emaili pochodzących z zewnątrz
Serwer Edge lub Hub usuwa znaczniki z poczty
wychodzącej
Nie ma powodu, żeby znacznik z jednej organizacji
funkcjonował w innej
Znacznik zawsze musi pochodzić z zaufanego serwera
Exchange w obrębie danej organizacji
80
Skanowanie skrzynek (Mailbox Server)
Trzy tryby:
Podstawowy (default)
Zagrożenie infekcją (outbreak)
Maksymalne bezpieczeństwo (ultimate security)
Dwa podstawowe mechanizmy skanowania:
Skanowanie w momencie odczytu wiadomości
Inkrementalne skanowanie w tle
Skanowanie na żądanie
81
Tryb podstawowy (default mode)
Nie są skanowane wiadomości zapisywane do skrzynki
Wiadomości są skanowane przy odczycie tylko jeśli nie
były skanowane wcześniej (np. na serwerze Edge)
W praktyce skanowane są maile w folderze wiadomości
wysłanych (Sent), pliki w folderach publicznych (Public
Folders), oraz w skrzynce wiadomości wychodzących
(Outbox)
Skanowanie periodyczne, codziennie, e-maili
spełniających określone kryteria np. otrzymane w ciągu
x godzin, starsze niż x dni, zawierające załączniki itp.
82
Tryb zagrożenia infekcją
Przy zapisie do skrzynki
Wiadomości nie są skanowane
Przy pierwszym dostępie
Wiadomości są skanowane
Przy kolejnych dostępach
Wiadomości są skanowane jeśli chociaż jedna baza wirusów
uległa zmianie (Włączona opcja Scan on Scanner Update)
Skanowanie w tle
Skanowane są wszystkie wiadomości w zależności od
parametrów
Jeden raz dziennie
83
Tryb maksymalnego bezpieczeństwa
Przy zapisie do skrzynki
Wiadomości są zawsze skanowane
Przy pierwszym dostępie
Wiadomości są skanowane jeśli silniki antywirusowe zostały
zaktualizowane w międzyczasie
Przy kolejnych dostępach
Wiadomości są skanowane jeśli chociaż jedna baza wirusów
uległa zmianie (Włączona opcja Scan on Scanner Update)
od momentu poprzedniego skanowania
Skanowanie w tle
Skanowane są wszystkie wiadomości w zależności od
parametrów
Restartowane przy każdej aktualizacji skanerów
84
Forefront Security - podsumowanie
Kompleksowa ochrona antywirusowa
Bazy wielu producentów dostępne w jednym
produkcie
Spójne wsparcie zarówno dla serwerów
pełniących role transportowe jak i role
składowania danych
Elastyczne możliwości konfiguracji
85
Wybrane dokumenty RFC
definiuje SPF (Sender Policy Framework)
definiuje MSA (Mail Submission Agent)
86
Informacje dodatkowe
Krótka prezentacja multimedialna o Forefront
Security dla Exchange Serwera
http://www.microsoft.com/forefront/serversecuri
ty/exchange/en/us/demos.aspx
Protokoły w Exchange Server
http://msdn.microsoft.com/enus/library/cc425499.aspx
Dostęp do wirtualnych laboratoriów
poświęconych MS Exchange
TechNet Virtual Labs: Exchange Server
http://technet.microsoft.com/en-us/bb499043.aspx
87
Podsumowanie
Microsoft Exchange 2007
Nowoczesna, skalowalna architektura
Szeroki wachlarz metod antyspamowych
Wspiera większość powszechnie stosowanych
podejść do ochrony antyspamowej
Microsoft Forefront Security for Exchange
2007
Całościowa ochrona infrastruktury Exchange-a
przed wirusami i złośliwym oprogramowaniem
Zoptymalizowana wydajność
Uproszczone zarządzanie
88
Informacje kontaktowe
Autor prezentacji
milos
[email protected]
@man.poznan.pl
Centrum Innowacji Microsoft
http://
http://mic.psnc.pl
mic.psnc.pl
mic
[email protected]
@man.poznan.pl
PCSS
http://
http://www.pcss.pl
www.pcss.pl
Zesp
Zespół
ół Bezpiecze
Bezpieczeństwa
ństwa PCSS
http://
security.psnc.pl
security
[email protected]
@man.poznan.pl
89
Pytania i dyskusja
Dzi
Dziękuję
ękuję za uwag
uwagę!
ę!
90

obrona przed spamem przy pomocy Exchange 2007 i MS Forefront

Transkrypt

Podobne dokumenty

Automat Walutowy - ACTIVE PAYMENT SOLUTIONS