Exchange Server

реклама
Теория и практика борьбы со
спамом и вредоносным кодом с
помощью технологий Microsoft
Павел Нагаев
КТК-Р
[email protected]
http://www.exchangerus.ru
2
Содержание доклада
• Спам — зло, и это факт!
• Современные подходы к защите от спама
• Базовая защита от спама в Microsoft
Exchange 2007 SP1
• Расширенная защита от спама и вирусов.
Microsoft Forefront Server Security for
Exchange Server
• Общие рекомендации
• Выводы
3
Спам — зло и это факт!
Почему нельзя победить спам?
• Что такое спам?
– Анонимная, незапрошенная, массовая
рассылка электронной почты
•
•
•
•
•
Спам — источник заработка
Спамера трудно поймать и наказать
Затраты на рассылку спама минимальны
Рассылать спам легко
И еще…
4
Современные подходы борьбы со спамом
Логическое представление
Уровень Интернета
Выделенный
сервер
Размещенные
услуги
Уровень сервера
Microsoft Exchange
Уровень клиента
Microsoft Outlook
Уровень пользователя
Обучение
5
Современные подходы борьбы со спамом
Физическая схема
Уровень Интернета
Уровень сервера
Уровень клиента
Microsoft©
Exchange Hosted Filtering
Периметр
Чистая почта
Microsoft©
СПАМ
Exchange Server 2007
Интернет
Edge Transport
role
Microsoft©
Office Outlook 2007
Hub Transport
role
СПАМ
Microsoft©
Exchange Server 2007
Microsoft©
Forefront
Security for Exchange Server
6
Современные подходы борьбы со спамом
Уровень Интернета
• Выделенный server
–
–
–
–
MS Exchange Server 2007(Edge)+ MS Forefront Server Security
Windows SMTP+фильтры сторонних производителей
*nix + MTA(postfix/sendmail)
«железные» решения
• Размещенное решение(Hosted solution)
– MS Exchange Hosted Filtering
– Сторонние размещенные услуги
• Плюсы и минусы
Параметр
Выделенный сервер
Размещенное решение
Цена
Частота обновления баз
SLA
Управляемость
Безопасность(?)
Качество услуг
7
Современные подходы борьбы со спамом
Уровень сервера
• Базовая защита
– MS Exchange server 2007
• Роли Edge и Hub Transport
– Фильтры
• Уровень соединения
• Уровень протокола
• Уровень содержимого
• Расширенная защита
– MS Forefront Server Security for Exchange
•
•
•
•
Защита от вирусов
Служба репутации IP-адресов Microsoft
Обновление сигнатур спама
Автоматическое обновление фильтра содержимого
8
Современные подходы борьбы со спамом
Уровень клиента Outlook и пользователя
• Microsoft Outlook
– Junk e-mail
– Фильтры сторонних
производителей
• Обучение пользователей
– Инструкции по использованию
электронной почты
– Инструкции по безопасной работе
в Интернете
9
Пример сеанса SMTP
c:\telnet smtp.exchangerus.ru 25
01
02
03
04
05
06
07
08
09
10
11
12
13
14
220 smtp.exchangerus.ru Microsoft ESMTP …
HELO smtp.windowspowershell.ru
250 smtp.exchangerus.ru Hello[81.11.11.11]
MAIL FROM:<[email protected]>
250 2.1.0 Sender OK
RCPT TO:<[email protected]>
250 2.1.5 Recipient OK
DATA
354 Start mail input;end with <CRLF>.<CRLF>
Subject: Test message
250 2.6.0 <[email protected]>
Queued mail for delivery
QUIT
221 2.0.0 Service closing transmission channel
Connection to host lost.
10
Базовая защита от спама
Список фильтров в Exchange Server 2007
11
Базовая защита от спама
MS Exchange Server 2007
Порядок применения фильтров
Входящие
сообщения
из Интернета
1. Фильтрация
2. Фильтрация
3. Фильтрация
4. Фильтрация
5. Фильтрация
6. Фильтрация
соединения
отправителя
получателей
SenderID
содержимого
вложений
Microsoft©
Office Outlook 2007
Входящие
Нежелательная почта
12
Фильтрация на уровне соединения
Схема
Начало сеанса
SMTP
Проверяем список
разрешенных IP адресов
IP-адрес в списке разрешенных IP адресов?
Да
1
Нет
IP-адрес в списке запрещенных IP адресов?
Проверяем список
запрещенных IP-адресов
2
Да
Нет
Разорвать
соединение и
не применять
другие
фильтры
IP-адрес в «белом» списке поставщиков?
Проверяем список поставщиков
разрешенных IP-адресов
3
Да
Нет
IP-адрес в «черном» списке поставщиков?
Проверяем список поставщиков
запрещенных IP-адресов
Фильтр отправителя
4
Да
Разорвать
соединение и
не применять
другие
фильтры
14
Фильтрация на уровне соединения
Плюсы и минусы
• Плюсы
– Экономия на трафике(разрыв соединения на
уровне SMTP)
– Блокировка конкретного спам-сервера или
сбойного сервера
– Комментарий и время жизни(EMS)
• Минусы
– Ручная настройка списков
– Разрастание списков
– Ошибочное попадание отправителей в
блоклисты
Фильтрация на уровне протокола
Схема фильтрации отправителей
Фильтр
соединения
Адрес в списке запрещенных отправителей?
Проверяем адрес отправителя
Да
Нет
Разорвать
соединение и
не применять
другие
фильтры
Фильтрация получателей
16
Фильтрация отправителей
Плюсы и минусы
• Плюсы
– Можно заблокировать рассылки или
«настойчивых» пользователей
• Минусы
– Отправителя легко подделать
– Комментарий добавить нельзя
– Ручное редактирование списка
– Потеря производительности из-за проверки
каждого сообщения
– Ограничение – 100 записей
Фильтрация на уровне протокола
Схема фильтрации получателей
Фильтрация
отправителей
Адрес в списке запрещенных получателей?
Проверяем адрес получателя
Да
Нет
Адрес существует в Глобальном адресном списке?
Проверяем адрес получателя
в Глобальном списке
Нет
Разорвать
соединение
на уровне
SMTP
(MAIL FROM)
Разорвать
соединение
на уровне
SMTP
(MAIL FROM)
Да
Фильтрация
Sender ID
18
Фильтрация получателей
Плюсы и минусы
• Плюсы
– Запрет приема сообщений для
определенных пользователей
– Принимать только «свои» сообщения
• Минусы
– Подбор адресов электронной почты
Фильтрация на уровне протокола
Схема фильтрации по коду отправителя(Sender ID)
Microsoft©
Microsoft©
Office Outlook 2007
Exchange Server 2007
4
1
Интернет
3
Аутентификация
прошла
не прошла
5
Входящие
Нежелательная
почта
2
Удалить
Механизм Sender ID
Карантин
DNS
exchangerus.ru. IN TXT “v=spf1 ip4:85.111.10.40 +a:smtp.exchangerus.ru –all”
20
Фильтрация по коду отправителя
Плюсы и минусы
• Плюсы
– Идентификация сервера отправителя
– Не нужно проверять MX !!!
• Минусы
– Пересылка почты на другой адрес
(механизм forward)
– Прием получателем почты через резервный
почтовый сервер (backup MX)
Фильтрация содержимого
Схема
Фильтрация по
коду отправителя
1
Да
Нет
Применить фильтр
содержимого
Назначить SCL
IP-адрес в списке разрешенных адресов (фильтр соединений)
Все получатели в списке исключений (фильтр содержимого)
Параметр AntispamByPassEnabled равен True для почтового
ящика
4. Отправитель в списке разрешенных отправителей Outlook
(Safelist aggregation)
5. Отправитель в списке разрешенных отправителей (фильтр
содержимого)
1.
2.
3.
удалить
сообщение без
уведомления
Разорвать
соединение на
SMTP уровне
Послать
сообщение в
карантин
Да
Да
Да
2
Нет
SCL превышает
deletion threshold?
Фильтрация
вложения
3
SCL превышает
rejection threshold?
Нет
SCL
4 превышает
quarantine
Нет threshold?
Проверка на
вирусы
Фильтрация содержимого
Плюсы и минусы
• Плюсы
– Блокировка «сомнительных» фраз
– Гибкая настройка SCL
• Минусы
– Ложные срабатывания
– Сообщения размером больше 11Мбайт не
проверяются
Фильтрация вложений
Схема
Фильтрация
содержимого
Является ли вложение
блокированным файлом
или типом содержимого?
Фильтруем вложения
Блокировать сообщение и
послать NDR отправителю
Или
1
Нет
Да
Удалить сообщение и не
применять другие
фильтры
Или
Вырезать вложение из
сообщения
Сканирование
на вирусы
Фильтрация вложений
Плюсы и минусы
• Плюсы
– Самая простая защита от вирусов
– Запрет «мусора» - mp3, avi, и т.д.
• Минусы
– Реально вирусы не удаляются
– Конфигурирование через EMS
Расширенная защита от спама
Forefront Server Security for Exchange
• Антивирусная защита
• Обновления
• Репутация отправителя(SRL)
– Анализ HELO/EHLO
– Проверка Reverse DNS
– Анализ SCL от определенного отправителя
– Проверка открытых прокси
27
Расширенная защита от спама
Мощь многоядерной технологии
• Microsoft Forefront Server Security объединяет
мощь антивирусных ядер от Microsoft и
антивирусных лабораторий
• Каждый продукт Forefront Server Security
может использовать до пяти антивирусных
ядер при сканировании
28
Распределенная защита
Сервер SMTP
Exchange Server
Интернет
A
B
D
C
E
Exchange Server
Интернет
A
Сканирование по
протоколу SMTP
B
C
D
E
Сканирование в реальном
времени (хранилище
Exchange)
30
Расширенная защита от спама
Обновления антиспама
• Обновление фильтра содержимого
– Поддельные веб-сайты
– Microsoft SmartScreen
– Другие IMF-обновления
• Обновления для Microsoft IP Reputation
service (Microsoft Block list)
• Обновления меток спама
Тип обновления
Standard CAL
Enterprise CAL
Фильтр содержимого
Раз в две недели
Ежедневно
Спам метки(signatures)
Недоступно
По необходимости
(несколько раз в день)
IP Reputation
Недоступно
Несколько раз в день
31
Рекомендации по борьбе со
спамом
• Правильная настройка почтовых серверов
в DNS (A, PTR, MX, Sender ID)
• Проверка получателей в Active Directory
• Настройка интервала задержки(Tarpit)
• Запрет приема почты от «своего» домена
• Использование RBL/DNSBL
• Использование «серых» списков
• Схема работы спам-фильтров
• Поиск заблокированных писем
34
Выводы
• Спам победить нельзя, но с ним можно
успешно бороться
• Защита должна быть многоуровневой
• Изменение психологии работы с почтой
• Борьба со спамом — соблюдение
баланса
– Эффективность или блокировка легитимных
писем
– Администратор или пользователь
• “Универсальное средство борьбы со
спамом – человек!”
35
Полезные ссылки
• Microsoft Exchange server 2007
– http://www.microsoft.com/exchange/
– http://technet.microsoft.com/en-us/library/bb124558.aspx
• Microsoft Forefront Server Security for Exchange
– http://www.microsoft.com/forefront/serversecurity/exchange
– http://technet.microsoft.com/en-us/library/bb914001.aspx
• Антиспам технологии
– http://www.lexa.ru/articles/antispam.html
– http://ru.wikipedia.org/wiki/Spam
• Мой блог http://www.exchangerus.ru
36
Не забывайте заполнять анкеты по докладам
Ваше мнение очень важно!
1. Заполните анкету: http://platforma2009.ru/Eval.aspx
Терминалы - холлы конференции и интернет-кафе
на 1 этаже
2. Чтобы участвовать в розыгрыше призов
3. Результаты – на сайте конференции и в голосовых
объявлениях после розыгрышей в 14:30, 16:00,
17:30 и 19:00
Подробная информация по заполнению анкет – на сайте
конференции
Запись доклада на
www.platforma2009.ru
Скачать