Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Wprowadzenie do poczty elektronicznej Ziemek Borowski czyli co muszę wiedzieć zanim spróbuję postawić własny serwer pocztowy?

Podobne prezentacje


Prezentacja na temat: "Wprowadzenie do poczty elektronicznej Ziemek Borowski czyli co muszę wiedzieć zanim spróbuję postawić własny serwer pocztowy?"— Zapis prezentacji:

1 Wprowadzenie do poczty elektronicznej Ziemek Borowski czyli co muszę wiedzieć zanim spróbuję postawić własny serwer pocztowy?

2 Krótko o mnie Ziemek Borowski wss.pl – i jestem WSS-koholikiem, ostatnio redaktor (czyli cieć od newsów ). kilkanaście lat jako IT Pro Współprowadzę - ale jestem najgorszym mówcą świata…http://www.wss.pl/grupy/PEPUG Zarówno Exchange jak i sendmail oraz postfix Obecnie pracuję dla jednego z operatorów hostowanego Exchange – ale teraz siedzę w czymś zupełnie innym… W 2009 i 2010 Microsoft wyróżnił mnie tytułem MVP w kategorii Exchange

3 Agenda – 60 do 90 minut… Co to jest poczta elektroniczna? o co to jest koperta? o co to jest ciało a? o co to jest MIME? Jak poczta działa w Internecie (DNS) Jakie zagrożenia czekają na serwer pocztowy? Co brać pod uwagę przy konfiguracji serwera poczty który… o będzie odbierał informacje ze świata? o będzie wysyłał pocztę? A co na to wszystko prawo? Podsumowanie

4 Co to jest poczta elektroniczna? Poczta elektroniczna to usługa asynchronicznego przesyłania wiadomości tekstowych pomiędzy pojedynczymi użytkownikami. Grupy to osobny temat. W przeciwieństwie do innych metod komunikacji elektronicznej (synchroniczne formy rozmowy – IRC, chaty, Instant Messaging lub interakcji człowiek- maszyna jak np. nawigowanie po WWW lub wypełnianie formularzy) poczta elektroniczna opiera się na o wiadomościach (będących technicznie zamkniętymi całościami) o wymaga strony pośredniczącej (store & forward) zamiast bezpośredniej komunikacji klient / serwer.

5 SMTP i parę kluczowych pojęć Z założenia poczta elektroniczna w swej warstwie transportowej wykorzystuje protokół SMTP – Simple Mail Transport Protocol. Zwyczajowo używa się następujących skrótów opisujących elementy służące do przetwarzania poczty: o MUA (Mail User Agent) - klient poczty elektronicznej, program pocztowy dla zwykłego użytkownika (np. Outlook, Evolution, mutt, Mozilla Mail) o MSA (Mail Submision Agent) – fragment serwera SMTP odpowiedzialny za przyjmowania korespondencji od klientów pocztowych (w protokole słabo widoczne) o MTA (Mail Transfer Agent) - serwer odpowiedzialny za przekazywanie poczty między komputerami (np. Sendmail, Postfix, Exim, QMail, Exchange) o MDA (Mail Delivery Agent) – przetwarzający dane w ramach konkretnego system pocztowego. W wypadku bardziej skomplikowanych środowisk takich jak np. MS Exchange Server ciężko wyodrębnić tę rolę.

6 Jak wygląda trasa maila? 1.Nadawca (klient) wysyła mail przez swój serwer 2.Serwer sprawdza (m.in.DNS) gdzie ma skierować przesyłkę 3.Serwer nadawcy rozmawia z serwerem odbiorcy 4.Stacja końcowa klienta pyta SMTP odbiorcy o to czy ma dla niego jakieś przesyłki…

7 DEMO – wysłanie poczty protokołem SMTP bez uwierzytelniania

8 Co to jest DNS? Rozproszona globalna baza danych Korzenie (serwery odpowiadające za. ) pod kontrolą Internet Corporation for Assigned Names and Numbers Internet Corporation for Assigned Names and Numbers a dokłaniej: o pace.svg pace.svg o heoretical_DNS_recursion.svg heoretical_DNS_recursion.svg o

9 Co ma DNS wspólnego z SMTP? Routing poczty między serwerami publicznymi zazwyczaj odbywa się w oparciu od DNS a dokładniej rekordy MX. Poza MX potem przydadzą się nam inne rekordy… MX – Mail eXchanger Format Serwer: google-public-dns-a.google.com Address: Nieautorytatywna odpowiedź: virtualstudy.pl MX preference = 10, mail exchanger = mail.outlook.com

10 Co się dzieje po DATA?

11 Zady i walety SMTP Zbyt rozpowszechniony – ciężko zmieniać Zbyt wiele rozszerzeń zbyt daleko sięgających a podstaw nie ma w standardzie Prosty bo głupi… Rozpowszechniony Prosty, ale z rozszerzeniami KISS Brak w standardzie dobergo dowodzenia tożsamości (zdalnego serwera, zdalnego użytkownika)

12 Co brać pod uwagę przy konfiguracji serwera poczty który ….

13 będzie odbierał informacje ze świata? Poprawne DNS, Poprawne odbieranie wiadomości (bounce spam), Nasłuchiwanie na poprawnych portach… Ale także zalew spamu, prób słownikowych ataków a adresy, badania podatności…

14 będzie wysyłał pocztę? I zaczyna się wielki i podstawowy problem

15 Czterdzieści lat minęło jak jeden dzień… Kto używa poczty elektronicznej krócej niż pół swojego życia? A dłużej niż 10 lat? Choć tak naprawdę SMTP jako taki… o modernizowany w szczegółach, ale nie w kluczowych założeniach … ma 27 lat (RFC August 1982) O dziwo nie ma skutecznych alternatyw. o X.400 wykorzystywany w specjalizowanych systemach

16 Czemu poczta jest problemem? Jako jeden z kanałów przekazywania wiadomości i treści – narażony na: o SPAM – Unsolicitated Bulk/Commercial o Warstwa transportowa dla wirusów o Phising o Social Enginering Maile od root-a od zawsze obecne w pracowniach studenckich Jest usługą mission critical, o kanałem komunikacyjnym ze światem, o warstwą integracji usług

17 Dlaczego spam jest zły? 80-do 97% wiadomości w dużych systemach pocztowych nie jest dostarczanych do inboxów o Odrzucane w trakcie konwersacji o Uznawane za śmieci przez oprogramowanie serwerowe o Uznawane za śmieci przez oprogramowanie klienckie Information overload

18 Co doradzają twórcy nam Internetu? "Be liberal in what you accept, and conservative in what you send." -- jon (Postel) RFC-1122 (originates in RFC760) RFC-1122(originates in RFC760) Junk mail is war. RFCs do not apply. -- Wietse Venema

19 Jak, skąd atakuje spam Spamboty/inne formy automatów o Zombies, o Podatne WWW/SMTP (OpenRelay) o Hosting z min. ochroną przed własnymi użytkownikami Spamujący inteligentni inaczej Spam bouncujący Skutek uboczny harvestingu

20 Jak się bronimy? Analiza treści Uwierzytelnianie poczty serwer-serwer o Sender Policy Framework Sender Policy Framework o SenderID o DomainKeys Identified Mail DomainKeys Identified Mail Ocena reputacji nadawcy Listy źródeł spamu / zagrożeń Black/White listy nadawców/odbiorców o Harvesting Zwiększanie kosztowności spamowania o Greylisting, Tarpinging o Weryfikacja poprawności konfiguracji (np. reverse DNS, zgodność HELO) o Blokada harvestingu

21 … i jakie to ma konsekwencje… Poczta przestała być zaufanym medium transmisyjnym. Zwiększyło się ryzyko, że poczta przepadnie – false positives Zwiększyły się praktyczne wymogi stawiane przed hostem pocztowym

22 Konsekwencje: Content filtering Junk Mails Czasem REJECT Bardzo często praktycznie DROP Reguły filtrowania najmniej skodyfikowane o Filtry baysowskie o Zestawy słów kluczowych o Charakterystyka – wielkość i zawartość a

23 Konsekwencje: Uwierzytelnianie poczty Odrzucenia z powodu wysłania z nie zaufanego adresu Brak zgodności z wszelkimi systemami forwadującymi maile lub podszywającymi się, np. część notyfikacji allegro.pl

24 Konsekwencje: Reputacja stron Można do problemu podchodzić na kilka sposobów: Dynamicznie, w oparciu o obecne zachowania wobec nas i świata o Czy teraz jest open relay o Czy domena nadawcy istnieje o Czy domena nadawcy ma (pracujące) pod adresem wskazanym przez MX-y serwery odbierające 3rd party, historyczne, zazwyczaj jako Listy źródeł spamu / zagrożeń

25 Konsekwencje: Listy źródeł zagrożeń Zazwyczaj jako Real Time Blocking List – z czasem Domain Name System Block List Prowadzone przez różne organizacji, z różnymi celami i politykami tak umieszczania jak i wycofywania Brak dobrych i uniwersalnych list dla każdego Konieczna jest samokontrola o o o (płatny, powoli doganiany przez MXToolbox) o Własne skrypty

26 Typy DNSBL: spam source new.spam.dnsbl.sorbs.net - List of hosts that have been noted as sending spam/UCE/UBE to the admins of SORBS within the last 48 hours. sbl.spamhaus.org - Static UBE sources, verified spam services and ROKSO spammers bl.spamcop.net - The SCBL is a list of IP addresses which have transmitted reported to SpamCop users, which in turn is used to block and filter unwanted .

27 Typy DNSBL: Dynamic dul.dnsbl.sorbs.net - Dynamic IP Address ranges (NOT a Dial Up list!) -- Dynamic User and Host List (DUHL) Założenie: DUL-e nie powinny mieć samodzielnych serwerów Założenie: DUL-e to klienci, a więc i ew. źródło infekcji

28 Typy DNSBL: braki administrowania escalations.dnsbl.sorbs.net - This zone contains netblocks of spam supporting service providers, including those who provide websites, DNS or drop boxes for a spammer. rfc-ignorant.org is the clearinghouse for sites who think that the rules of the internet don't apply to them. DSN ( <> ) postmaster abuse whois bogusmxDSN ( <> )postmasterabusewhoisbogusmx

29 Spam Operators/ Supporters 100 Known Spam Operations responsible for 80% of your spam.

30 Typy DNSBL: Backscatterer Backscatterer.org – Backscatter (also known as outscatter, misdirected bounces, blowback or collateral spam ) is a side-effect of spam, viruses and worms, where servers receiving spam and other mail send bounce messages to an innocent party. This occurs because the original message's envelope sender is forged to contain the often unprotected address of the victim. spam viruseswormsbounce messagesenvelope sender

31 Typy DNSxL Nie każda lista IP Address Provider jest Black Listą o - lista IP krajów (taka globalna odmiana o - DNSWL.org provides a Whitelist of known legitimate servers to reduce the chances of false positives while spam filtering. Można także samemu postawić własną DNSxL: o

32 Konsekwencje: zwiększanie kosztów Tarpinging - spowalniaj reakcję na błędne komendy: stosunkowo bezpieczny, zabezpiecza przez agresywnym atakiem obciążając nadawcę Greylisting – rozwinięcie tarpitingu – niezależnie od tego czy polecenia były błędne czy nie, nie przyjmuj pierwszych maili na dany adres z tego IP o Wprowadza opóźnienie w komunikacji, o Czasem b. długie (Exchange 2003 miewa problemy z kolejnymi przerworzeniami jeśli ten czas nie jest naprawdę krótki) o Wymaga dobrej koordynacji baz poprawnie skomunikowanych połączeń między MX-ami. Harvesting – blokowanie, na poziomie sesji SMTP dostarczania do nie naszych użytkowników o Istotne także w połączeniu z backscatterem, świetnie wspierane przez tarpitting

33 Zwiększanie kosztów – poprawna konfiguracja Weryfikacja poprawności konfiguracji o reverse DNS, o zgodność HELO/EHLO, o Wysyłanie z adresów które są MX-ami Kontakt z helpdeskiem

34 W polskich warunkach… DNSBL-e typowe to DUN – spora część klas TPSA traktowana była jako zmienne IP, nie tylko Neostrada, ale też DSL Odpowiedzialność zbiorowa: o Słaba reaktywność wsparcia technicznego TPSA/Netii powodowała uznanie cały AS za przyjazne spamerom Często reakcją na te problemy jest wysyłanie przez dostawcę gdzie mamy WWW (odradzam, zwł. na Exchange 2007/10)

35 Jak więc postawić serwer pocztowy? Nigdy więcej rozmów z ludźmi o marnej reputacji Jarosław Kaczyński TCO serwera SMTP zawiera: -Koszt łącza Lub -Koszt usługi filtrowania/przesyłania poczty Nie bardzo da się użyć usługi dla użytkownika domowego lub typowego POP3 do obsługi Exchange. I jest to celowe działanie.

36 A co na to wszystko prawo? Uwaga, uwaga – póki co o ile nie świadczy jej telekom poczta nie jest usługą telekomunikacyjną… Więc nie trzeba gromadzić logów z połączeń przed dwa lata w wiarygodny sposób… … ale teoretycznie każdy system pocztowy przetwarza dane osobowe…. Upppppppssssss.

37 Podsumowanie

38 Dziękuję za uwagę…

39 Pytania? Komentarze ? Chętni do poprowadzenia własnej sesji? Następne spotkanie: :30 także na Virtual Study, A potem , 3 czwartek listopada twarzą w twarz, i częsciowo przez LM.

40 Zero Inbox


Pobierz ppt "Wprowadzenie do poczty elektronicznej Ziemek Borowski czyli co muszę wiedzieć zanim spróbuję postawić własny serwer pocztowy?"

Podobne prezentacje


Reklamy Google