Теория и практика борьбы со спамом и вредоносным кодом с помощью технологий Microsoft Павел Нагаев КТК-Р [email protected] http://www.exchangerus.ru 2 Содержание доклада • Спам — зло, и это факт! • Современные подходы к защите от спама • Базовая защита от спама в Microsoft Exchange 2007 SP1 • Расширенная защита от спама и вирусов. Microsoft Forefront Server Security for Exchange Server • Общие рекомендации • Выводы 3 Спам — зло и это факт! Почему нельзя победить спам? • Что такое спам? – Анонимная, незапрошенная, массовая рассылка электронной почты • • • • • Спам — источник заработка Спамера трудно поймать и наказать Затраты на рассылку спама минимальны Рассылать спам легко И еще… 4 Современные подходы борьбы со спамом Логическое представление Уровень Интернета Выделенный сервер Размещенные услуги Уровень сервера Microsoft Exchange Уровень клиента Microsoft Outlook Уровень пользователя Обучение 5 Современные подходы борьбы со спамом Физическая схема Уровень Интернета Уровень сервера Уровень клиента Microsoft© Exchange Hosted Filtering Периметр Чистая почта Microsoft© СПАМ Exchange Server 2007 Интернет Edge Transport role Microsoft© Office Outlook 2007 Hub Transport role СПАМ Microsoft© Exchange Server 2007 Microsoft© Forefront Security for Exchange Server 6 Современные подходы борьбы со спамом Уровень Интернета • Выделенный server – – – – MS Exchange Server 2007(Edge)+ MS Forefront Server Security Windows SMTP+фильтры сторонних производителей *nix + MTA(postfix/sendmail) «железные» решения • Размещенное решение(Hosted solution) – MS Exchange Hosted Filtering – Сторонние размещенные услуги • Плюсы и минусы Параметр Выделенный сервер Размещенное решение Цена Частота обновления баз SLA Управляемость Безопасность(?) Качество услуг 7 Современные подходы борьбы со спамом Уровень сервера • Базовая защита – MS Exchange server 2007 • Роли Edge и Hub Transport – Фильтры • Уровень соединения • Уровень протокола • Уровень содержимого • Расширенная защита – MS Forefront Server Security for Exchange • • • • Защита от вирусов Служба репутации IP-адресов Microsoft Обновление сигнатур спама Автоматическое обновление фильтра содержимого 8 Современные подходы борьбы со спамом Уровень клиента Outlook и пользователя • Microsoft Outlook – Junk e-mail – Фильтры сторонних производителей • Обучение пользователей – Инструкции по использованию электронной почты – Инструкции по безопасной работе в Интернете 9 Пример сеанса SMTP c:\telnet smtp.exchangerus.ru 25 01 02 03 04 05 06 07 08 09 10 11 12 13 14 220 smtp.exchangerus.ru Microsoft ESMTP … HELO smtp.windowspowershell.ru 250 smtp.exchangerus.ru Hello[81.11.11.11] MAIL FROM:<[email protected]> 250 2.1.0 Sender OK RCPT TO:<[email protected]> 250 2.1.5 Recipient OK DATA 354 Start mail input;end with <CRLF>.<CRLF> Subject: Test message 250 2.6.0 <[email protected]> Queued mail for delivery QUIT 221 2.0.0 Service closing transmission channel Connection to host lost. 10 Базовая защита от спама Список фильтров в Exchange Server 2007 11 Базовая защита от спама MS Exchange Server 2007 Порядок применения фильтров Входящие сообщения из Интернета 1. Фильтрация 2. Фильтрация 3. Фильтрация 4. Фильтрация 5. Фильтрация 6. Фильтрация соединения отправителя получателей SenderID содержимого вложений Microsoft© Office Outlook 2007 Входящие Нежелательная почта 12 Фильтрация на уровне соединения Схема Начало сеанса SMTP Проверяем список разрешенных IP адресов IP-адрес в списке разрешенных IP адресов? Да 1 Нет IP-адрес в списке запрещенных IP адресов? Проверяем список запрещенных IP-адресов 2 Да Нет Разорвать соединение и не применять другие фильтры IP-адрес в «белом» списке поставщиков? Проверяем список поставщиков разрешенных IP-адресов 3 Да Нет IP-адрес в «черном» списке поставщиков? Проверяем список поставщиков запрещенных IP-адресов Фильтр отправителя 4 Да Разорвать соединение и не применять другие фильтры 14 Фильтрация на уровне соединения Плюсы и минусы • Плюсы – Экономия на трафике(разрыв соединения на уровне SMTP) – Блокировка конкретного спам-сервера или сбойного сервера – Комментарий и время жизни(EMS) • Минусы – Ручная настройка списков – Разрастание списков – Ошибочное попадание отправителей в блоклисты Фильтрация на уровне протокола Схема фильтрации отправителей Фильтр соединения Адрес в списке запрещенных отправителей? Проверяем адрес отправителя Да Нет Разорвать соединение и не применять другие фильтры Фильтрация получателей 16 Фильтрация отправителей Плюсы и минусы • Плюсы – Можно заблокировать рассылки или «настойчивых» пользователей • Минусы – Отправителя легко подделать – Комментарий добавить нельзя – Ручное редактирование списка – Потеря производительности из-за проверки каждого сообщения – Ограничение – 100 записей Фильтрация на уровне протокола Схема фильтрации получателей Фильтрация отправителей Адрес в списке запрещенных получателей? Проверяем адрес получателя Да Нет Адрес существует в Глобальном адресном списке? Проверяем адрес получателя в Глобальном списке Нет Разорвать соединение на уровне SMTP (MAIL FROM) Разорвать соединение на уровне SMTP (MAIL FROM) Да Фильтрация Sender ID 18 Фильтрация получателей Плюсы и минусы • Плюсы – Запрет приема сообщений для определенных пользователей – Принимать только «свои» сообщения • Минусы – Подбор адресов электронной почты Фильтрация на уровне протокола Схема фильтрации по коду отправителя(Sender ID) Microsoft© Microsoft© Office Outlook 2007 Exchange Server 2007 4 1 Интернет 3 Аутентификация прошла не прошла 5 Входящие Нежелательная почта 2 Удалить Механизм Sender ID Карантин DNS exchangerus.ru. IN TXT “v=spf1 ip4:85.111.10.40 +a:smtp.exchangerus.ru –all” 20 Фильтрация по коду отправителя Плюсы и минусы • Плюсы – Идентификация сервера отправителя – Не нужно проверять MX !!! • Минусы – Пересылка почты на другой адрес (механизм forward) – Прием получателем почты через резервный почтовый сервер (backup MX) Фильтрация содержимого Схема Фильтрация по коду отправителя 1 Да Нет Применить фильтр содержимого Назначить SCL IP-адрес в списке разрешенных адресов (фильтр соединений) Все получатели в списке исключений (фильтр содержимого) Параметр AntispamByPassEnabled равен True для почтового ящика 4. Отправитель в списке разрешенных отправителей Outlook (Safelist aggregation) 5. Отправитель в списке разрешенных отправителей (фильтр содержимого) 1. 2. 3. удалить сообщение без уведомления Разорвать соединение на SMTP уровне Послать сообщение в карантин Да Да Да 2 Нет SCL превышает deletion threshold? Фильтрация вложения 3 SCL превышает rejection threshold? Нет SCL 4 превышает quarantine Нет threshold? Проверка на вирусы Фильтрация содержимого Плюсы и минусы • Плюсы – Блокировка «сомнительных» фраз – Гибкая настройка SCL • Минусы – Ложные срабатывания – Сообщения размером больше 11Мбайт не проверяются Фильтрация вложений Схема Фильтрация содержимого Является ли вложение блокированным файлом или типом содержимого? Фильтруем вложения Блокировать сообщение и послать NDR отправителю Или 1 Нет Да Удалить сообщение и не применять другие фильтры Или Вырезать вложение из сообщения Сканирование на вирусы Фильтрация вложений Плюсы и минусы • Плюсы – Самая простая защита от вирусов – Запрет «мусора» - mp3, avi, и т.д. • Минусы – Реально вирусы не удаляются – Конфигурирование через EMS Расширенная защита от спама Forefront Server Security for Exchange • Антивирусная защита • Обновления • Репутация отправителя(SRL) – Анализ HELO/EHLO – Проверка Reverse DNS – Анализ SCL от определенного отправителя – Проверка открытых прокси 27 Расширенная защита от спама Мощь многоядерной технологии • Microsoft Forefront Server Security объединяет мощь антивирусных ядер от Microsoft и антивирусных лабораторий • Каждый продукт Forefront Server Security может использовать до пяти антивирусных ядер при сканировании 28 Распределенная защита Сервер SMTP Exchange Server Интернет A B D C E Exchange Server Интернет A Сканирование по протоколу SMTP B C D E Сканирование в реальном времени (хранилище Exchange) 30 Расширенная защита от спама Обновления антиспама • Обновление фильтра содержимого – Поддельные веб-сайты – Microsoft SmartScreen – Другие IMF-обновления • Обновления для Microsoft IP Reputation service (Microsoft Block list) • Обновления меток спама Тип обновления Standard CAL Enterprise CAL Фильтр содержимого Раз в две недели Ежедневно Спам метки(signatures) Недоступно По необходимости (несколько раз в день) IP Reputation Недоступно Несколько раз в день 31 Рекомендации по борьбе со спамом • Правильная настройка почтовых серверов в DNS (A, PTR, MX, Sender ID) • Проверка получателей в Active Directory • Настройка интервала задержки(Tarpit) • Запрет приема почты от «своего» домена • Использование RBL/DNSBL • Использование «серых» списков • Схема работы спам-фильтров • Поиск заблокированных писем 34 Выводы • Спам победить нельзя, но с ним можно успешно бороться • Защита должна быть многоуровневой • Изменение психологии работы с почтой • Борьба со спамом — соблюдение баланса – Эффективность или блокировка легитимных писем – Администратор или пользователь • “Универсальное средство борьбы со спамом – человек!” 35 Полезные ссылки • Microsoft Exchange server 2007 – http://www.microsoft.com/exchange/ – http://technet.microsoft.com/en-us/library/bb124558.aspx • Microsoft Forefront Server Security for Exchange – http://www.microsoft.com/forefront/serversecurity/exchange – http://technet.microsoft.com/en-us/library/bb914001.aspx • Антиспам технологии – http://www.lexa.ru/articles/antispam.html – http://ru.wikipedia.org/wiki/Spam • Мой блог http://www.exchangerus.ru 36 Не забывайте заполнять анкеты по докладам Ваше мнение очень важно! 1. Заполните анкету: http://platforma2009.ru/Eval.aspx Терминалы - холлы конференции и интернет-кафе на 1 этаже 2. Чтобы участвовать в розыгрыше призов 3. Результаты – на сайте конференции и в голосовых объявлениях после розыгрышей в 14:30, 16:00, 17:30 и 19:00 Подробная информация по заполнению анкет – на сайте конференции Запись доклада на www.platforma2009.ru