Date post: | 01-May-2015 |
Category: |
Documents |
Upload: | alonso-orlandi |
View: | 215 times |
Download: | 0 times |
Sicurezza diExchange 2003
Agenda• Comparazione tra Spam e Virus• Il problema dello Spam: SMTP• Tecnologie/iniziative antispam• Mezzi per contrastare lo Spam con
un’infrastruttura basata su Microsoft– Exchange 2003– IMF – Intelligent message filter– Outlook 2003
• Visione futura ..
Comparazione tra Spam e Virus
EffettiEffetti Distruttivo
SpamSpam
ExploitsExploits Specifica vulnerabilità(e.g. buffer overruns)
“Apertura” dell’SMTP(anonymous)
VirusVirus
Fastidio
Motivo dell’azioneMotivo dell’azioneLudico, vendetta, $ $
IdentificazioneIdentificazione Signature, deterministicoNon sempre determinabile
CostoCosto Perdita dei datiPerdita della produttivitàHelpdeskAdministrazioneDischi, CPUBanda
Perdita della produttivitàHelpdeskAdministrazioneDischi, CPUBanda
Soluzione Soluzione ExchangeExchange
Exchange 2003 (blocco degli allegati OWA )3rd Anti-Virus
Exchange 2003 features3rd Anti-Spam
Il problema dello spam: SMTPSMTP è descritto in due documenti IETF
– RFC 821: il modello di comunicazione, i comandi SMTP, i codici d’errore
– RFC 822: Il formato dei messaggi, il formato degli indirizzi, il formato delle date
MIME è descritto da cinque documenti IETF:• RFC 2045, 2046, 2047, 2048, 2049
ESMTP è descritto da vari documenti IETF:• RFC 1869: un meccanismo generale di estensione di SMTP• RFC 1652, 1870, 1830, 2197, 1891, 1985, 2034, 2487: varie
estensioni del protocollo SMTPSMTP è stato aggiornato nell'aprile 2001:
– RFC 2821 e 2822 aggiornano rispettivamente le RFC 821 e RFC 822
SMTP
Teniamo sempre in mente che:
SMTP è un protocollo basato su testo,
per lo scambio di messaggi di posta e
la verifica dei destinatari dei messaggi.
I limiti del protocollo SMTPI limiti fondamentali di SMTP:
– La lunghezza massima del messaggio è di 1 Mb– I caratteri accettati sono solo ASCII a 7 bit– Ogni messaggio deve contenere una sequenza CRLF ogni 1000
caratteri o meno.
Questi limiti impediscono la trasmissione di documenti binari:
• Un file binario usa tutti i 256 tipi di byte• Un file binario può facilmente essere più lungo di 1 Mb• In un file binario la sequenza CRLF è una sequenza come tutte le
altre, e può esserci o mancare senza vincoli.
MIME permette di superare questi limiti del protocollo SMTP
La sicurezza del protocollo SMTP
Impersonificazione• Il meccanismo di trasporto di SMTP è insicuro.
Derivando da ARPA si dava per scontato la sicurezza intrinseca della rete.
• E‘ facilissimo realizzare messaggi che sembrino, per l'utente inesperto ed esperto, provenire da altri mittenti (spoofing)
• L'unica soluzione è implementare la crittografia e la firma digitale
Tecnologie/iniziative antispam
• Spf “Storico” = Sender Policy Framework
• Caller ID + Spf = The Sender ID Framework
• RMX = Reverse MX
• DMP = Designated Mailer Protocol
The Sender ID Framework
• Contromisura allo Spam• Cos’è il Sender ID Framework (SIDF)
– I componenti del Sender ID
• Come funziona Sender ID– Il formato SPF– Come funziona il PRA - Purported Responsible
Address
Sender ID Framework
• E’ il merge di due tecnologie– SPF (Sender Policy Framework)– Microsoft Caller ID
• Inizia ad essere adottato da:– AOL, Bell Canada, Cisco, Cloudmark,
Comcast, IBM, Interland, IronPort, Port25, Sendmail, Symantec, Tumbleweed, VeriSign….
– Email Service Provider Coalition, Opengroup, TRUSTe….
Cos’è il Sender ID Framework
Sender ID FrameworkSender ID Framework
Mail Mail SendersSenders
MTA MTA Vendors &Vendors & Receiving Receiving NetworksNetworks
Sender ID Record (SPF V2)Sender ID Record (SPF V2)SPF V1 RecordSPF V1 Record
Purported Responsible Purported Responsible Address (PRA)Address (PRA)
CheckCheck
SubmitterSubmitterSMTP OptimizationSMTP Optimization
MAIL FROMMAIL FROMCheckCheck
Come funziona Sender ID1. Chi vuole inviare posta SMTP pubblica i suoi
IP di outbound sui DNS tramite i record SPF
2. Chi riceve determina su quale dominio effettuare il checka) “Purported responsible domain” derivato dal
message body (RFC 2822 headers)
b) “Envelope From” domain (RFC 2821 Mail From)
3. Chi riceve effettua una query sul DNS e verifica tramite un test se il messaggio è di spoofing
SPF Records
• test.com TXT “v=spf1 -all”– Questo dominio non invierà mai messaggi SMTP
• test.com TXT “v=spf1 mx -all”– I server in inbound sono identici agli outbound
• test.com TXT “v=spf1 ip4:192.0.2.0/24 –all”– Range di IP
• test.com TXT “v=spf1 mx include:myesp.com –all” – Dominio SMTP in outsourcing
Direct Delivery
• Pubblicare gli outbound server nel DNS usando il formato SPF
• Opzionale: Transmettere il parametro SUBMITTER sul comando MAIL
[email protected]@ugimex.org [email protected]@studenti.ugimex.edu
S: 220 studenti.ugimex.eduESMTP server ready C: EHLO ugimex.orgS: 250-studenti.ugimex.edu S: 250-DSN S: 250-AUTH S: 250-SUBMITTER S: 250 SIZE C: MAIL FROM:<[email protected]>S: 250 <[email protected]> sender ok C: RCPT TO:<[email protected]> S: 250 <[email protected]> recipient ok C: DATA S: 354 okay, send message C: From: [email protected]: (message body goes here) C: . S: 250 message accepted C: QUIT S: 221 goodbye
Direct Delivery
SUBMITTER extension advertised in EHLO
response
Creazione del record SPF• Esiste un Wizard ma ad oggi è in beta
Limiti di Sender ID
Limiti– Authentica i domini non gli utenti– Valida l’ultimo hop non è end-to-end– Gli Spammers possono registrare i loro domini
La tecnologia Sender ID sarà disponibile con il service pack 2 di Exchange 2003
Mezzi per contrastare lo Spam
In un’infrastruttura AD/Exchange, possiamo
operare a livello di:
• Exchange 2003
• IMF – Intelligent message filter
• Outlook 2003
Exchange 2003:Connection Filtering
• Liste globali “Allow / Deny”– Specifici IP o subnet– “Deny” by design
• Supporto ad abbonamento a servizi esterni “real-time block list (RBL)”– Es: Mail from 62.190.247.12
• 12.247.190.62.bad.bl.org– Supporto per diversi fornitori RBL
(3 o 4 ideale)– NDR personalizzabile per ogni
fornitore– Possibilità di sovrascittura del filtro
(exception by E-mail address)
Exchange 2003: Connection FilteringUn elenco degli RBL si trova:http://www.declude.com/junkmail/support/ip4r.htm
Address Filtering
• Sender filtering– Filtro di messaggi spediti da un indirizzo e-mail o dominio
smtp– Filtro di messaggi senza mittente
• Recipient filtering– Filtro di messaggi spediti a destinatari non esistenti
(senza NDR)– Filtro di messaggi spediti a specifici indirizzi– Solo utenti autenticati inviano a Distribution List
– In aggiunta all’Address Filtering sul client – Safe/Block list
New: SMTP Internet Protocol Restriction and Accept/Deny List
• Scaricabile da www.microsoft.com/exchange
nei tools
É uno script vbs: Ipsec.vbs
New: SMTP Internet Protocol Restriction and Accept/Deny ListIpsec.vbs - Manipulate Exchange Ip Security Settings-s server name (default: local machine's name)-i instance id (default = 1)-o <operations>
operations:
e Enumerate a security settinga Add an IP address or domaind Delete an IP address or domainc Clear the current IP list or domain lists Set grant or deny by default
-r [connection|relay|accept|deny]-t [ip|domain] Specify whether the value that you are adding is an IP address or a domain
name. The default value is IP address (not used in -o s and -o e).-g [grant|deny] (only for -o s)-v value (ip or domain) to add or remove (required for -o a and -o d)-m subnet mask (optional)-d domain controller (required)
Gateway Server Transport
Exchange Server 2003
Mailbox ServerStore
JunkMail
Folder
JunkMail
Folder
Inbox
Exchange 2003 OWA
Outlook 2003
SCL = Spam Confidence Level
Antispam – senza IMFAntispam – senza IMF
spam?
UserTrusted &
JunkSenders
3rd Party Plug-Ins
Allow/Deny Lists
Real-Time Block Lists
Recipient & Sender Filtering
Message + SCL
spam?
UserTrusted &
JunkSenders
Inbox
UserTrusted &
JunkSenders
SMTP Message
Microsoft Exchange Intelligent Message Filter
• Basato sulla tecnologia SmartScreen– presente in Outlook2003– utilizzata da Hotmail dal 24 Febbraio 2004– integrata con l’infrastruttura SCL ( Spam Confidence
Level )
• E’ un’estensione di Exchange 2003 Server, da installare sui Bridgeheads
• Coesistenza con le soluzioni di 3° parti
Microsoft Exchange Intelligent Message Filter
• Supporta il message tagging
• Si amministra con un’estensione di Exchange System Manager Console
• Saranno disponibili Filter Updates
http://www.microsoft.com/exchange/imf
IMF in italiano
Il filtro è stato aggiornato tramite la KB 883106
Antispam – con IMFAntispam – con IMF
IMFRegisty da configurare (opzionale)HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange\ContentFilter
ArchiveDir
ArchiveSCL
CheckAuthSessions
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\ParametersSystem
Max Extended Rule Size
Configurazione consigliata Antispam oggi
• Combinazione di – RBL in DMZ
– Internal filtering
• Opzioni in DMZ– Exchange in
una forest separata
:-)
– Server SMTP
• Internal– Exchange
• IMF• Content Filtering
Internal Network
DMZ
Internet
External Firewall
Internal Firewall
RBL/Filter Exchange Relay Server
InboundSMTP
Argomenti dei prossimi eventi
– ExBPA: Exchange Server Best Pratices Analyzer Tool 1.1
• Aggiornato il 9/2/2005 ExBPAUpdate.EXE
– Exchange Server 2003 Security Hardening Guide
• Aggiornato a Dicembre 2004
– ....