Теория и практика борьбы со спамом и вредоносным кодом с помощью технологий Microsoft Павел Нагаев КТК-Р 2

Содержание доклада Спам зло, и это факт! Современные подходы к защите от спама Базовая защита от спама в Microsoft Exchange 2007 SP1 Расширенная защита от спама и вирусов. Microsoft Forefront Server Security for Exchange Server Общие рекомендации Выводы 3

Спам зло и это факт! Почему нельзя победить спам? Что такое спам? – Анонимная, незапрошенная, массовая рассылка электронной почты Спам источник заработка Спамера трудно поймать и наказать Затраты на рассылку спама минимальны Рассылать спам легко И еще… 4

Современные подходы борьбы со спамом Логическое представление Уровень Интернета Уровень Интернета Выделенный сервер Размещенные услуги Уровень сервера Уровень сервера Microsoft Exchange Уровень клиента Уровень клиента Microsoft Outlook Уровень пользователя Уровень пользователя ОбучениеОбучение 5

ПериметрПериметр Современные подходы борьбы со спамом Физическая схема Интернет СПАМ Интернт СПАМ Чистая почта Microsoft© Exchange Server 2007 Microsoft© Exchange Server 2007 Microsoft© Exchange Hosted Filtering Microsoft© Office Outlook 2007 Чистая почта 6 Уровень Интернета Уровень сервера Уровень клиента Microsoft© Forefront Security for Exchange Server Edge Transport role Hub Transport role

Современные подходы борьбы со спамом Уровень Интернета Выделенный server –MS Exchange Server 2007(Edge)+ MS Forefront Server Security сторонних –Windows SMTP+фильтры сторонних производителей –*nix + MTA(postfix/sendmail) –«железные» решения Размещенное решение(Hosted solution) –MS Exchange Hosted Filtering –Сторонние размещенные услуги Плюсы и минусы 7

Современные подходы борьбы со спамом Уровень сервера Базовая защита –MS Exchange server 2007 Роли Edge и Hub Transport –Фильтры Уровень соединения Уровень протокола Уровень содержимого Расширенная защита –MS Forefront Server Security for Exchange Защита от вирусов Служба репутации IP-адресов Microsoft Обновление сигнатур спама Автоматическое обновление фильтра содержимого 8

Современные подходы борьбы со спамом Уровень клиента Outlook и пользователя Microsoft Outlook – Junk –Фильтры сторонних производителей Обучение пользователей –Инструкции по использованию электронной почты –Инструкции по безопасной работе в Интернете 9

Пример сеанса SMTP c:\telnet smtp.exchangerus.ru smtp.exchangerus.ru Microsoft ESMTP … 02 HELO smtp.windowspowershell.ru smtp.exchangerus.ru Hello[ ] 04 MAIL FROM: Sender OK 06 RCPT TO: Recipient OK 08 DATA Start mail input;end with . 10 Subject: Test message Queued mail for delivery 12 QUIT Service closing transmission channel 14 Connection to host lost. 10

Базовая защита от спама Список фильтров в Exchange Server

Порядок применения фильтров Базовая защита от спама MS Exchange Server 2007 ВходящиеВходящие Нежелательная почта Входящие сообщения из Интернета из Интернета Входящие сообщения из Интернета из Интернета Microsoft© Office Outlook Фильтрация соединения 2. Фильтрация отправителя 3. Фильтрация получателей 4. Фильтрация SenderID 5. Фильтрация содержимого 6. Фильтрация вложений 12

Базовая защита от спама Транспортные агенты в Exchange Server

Фильтрация на уровне соединения Схема 14 Проверяем список разрешенных IP адресов Начало сеанса SMTP НетНет ДаДа Проверяем список запрещенных IP-адресов IP-адрес в списке разрешенных IP адресов? IP-адрес в списке запрещенных IP адресов? 22 Проверяем список поставщиков разрешенных IP-адресов Проверяем список поставщиков разрешенных IP-адресов Проверяем список поставщиков запрещенных IP-адресов Фильтр отправителя НетНет IP-адрес в «белом» списке поставщиков? НетНет IP-адрес в «черном» списке поставщиков? Разорвать соединение и не применять другие фильтры ДаДа ДаДа ДаДа

Фильтрация на уровне соединения Плюсы и минусы Плюсы –Экономия на трафике(разрыв соединения на уровне SMTP) –Блокировка конкретного спам-сервера или сбойного сервера –Комментарий и время жизни(EMS) Минусы –Ручная настройка списков –Разрастание списков –Ошибочное попадание отправителей в блоклисты

Фильтрация на уровне протокола Схема фильтрации отправителей 16 Проверяем адрес отправителя Фильтр соединения НетНет Фильтрация получателей Адрес в списке запрещенных отправителей? Разорвать соединение и не применять другие фильтры ДаДа

Фильтрация отправителей Плюсы и минусы Плюсы –Можно заблокировать рассылки или «настойчивых» пользователей Минусы –Отправителя легко подделать –Комментарий добавить нельзя –Ручное редактирование списка –Потеря производительности из-за проверки каждого сообщения –Ограничение – 100 записей

Фильтрация на уровне протокола Схема фильтрации получателей 18 Проверяем адрес получателя Фильтрация отправителей Проверяем адрес получателя в Глобальном списке Адрес в списке запрещенных получателей? Разорвать соединение на уровне SMTP (MAIL FROM) Разорвать соединение на уровне SMTP (MAIL FROM) ДаДа Адрес существует в Глобальном адресном списке? Разорвать соединение на уровне SMTP (MAIL FROM) Разорвать соединение на уровне SMTP (MAIL FROM) ДаДа НетНет НетНет Фильтрация Sender ID

Фильтрация получателей Плюсы и минусы Плюсы –Запрет приема сообщений для определенных пользователей –Принимать только «свои» сообщения Минусы –Подбор адресов электронной почты

Фильтрация на уровне протокола Схема фильтрации по коду отправителя(Sender ID) Интернет Microsoft© Exchange Server 2007 Microsoft© Office Outlook Механизм Sender ID DNS Аутентификация прошла не прошла Удалить Карантин Входящие Нежелательная почта exchangerus.ru. IN TXT v=spf1 ip4: a:smtp.exchangerus.ru –all

Фильтрация на уровне протокола Схема фильтрации по коду отправителя Получаем запись SPF с DNS отправителя Фильтрация получателей НетНет Проверяем адрес отправителя Сообщение с заблокированного домена ? Адрес отправителя в списке запрещенных отправителей ? Разорвать соединение и не применять другие фильтры ДаДа 22 ДаДа Фильтр по Sender ID разрешает метки ? Фильтровать сообщение по установкам Sender-ID и не применять другие фильтры НетНет Поставить метку Sender ID Failed Фильтрация содержимого ДаДа НетНет

Фильтрация по коду отправителя Плюсы и минусы Плюсы –Идентификация сервера отправителя –Не нужно проверять MX !!! Минусы –Пересылка почты на другой адрес (механизм forward) –Прием получателем почты через резервный почтовый сервер (backup MX)

Фильтрация содержимого Схема Фильтрация по коду отправителя 1. IP-адрес в списке разрешенных адресов (фильтр соединений) 2. Все получатели в списке исключений (фильтр содержимого) 3. Параметр AntispamByPassEnabled равен True для почтового ящика 4. Отправитель в списке разрешенных отправителей Outlook (Safelist aggregation) 5. Отправитель в списке разрешенных отправителей (фильтр содержимого) 11ДаДа SCL превышает deletion threshold? Фильтрация вложения Применить фильтр содержимого Назначить SCL 2233 Послать сообщение в карантин Разорвать соединение на SMTP уровне удалить сообщение без уведомления 44 НетНет SCL превышает rejection threshold? SCL превышает quarantine threshold? НетНетНетНет Проверка на вирусы ДаДаДаДаДаДа НетНет

Фильтрация содержимого Плюсы и минусы Плюсы –Блокировка «сомнительных» фраз –Гибкая настройка SCL Минусы –Ложные срабатывания – Сообщения размером больше 11Мбайт не проверяются

Фильтрация вложений Схема Фильтруем вложения Фильтрация содержимого Является ли вложение блокированным файлом или типом содержимого? 11 Блокировать сообщение и послать NDR отправителю Удалить сообщение и не применять другие фильтры Вырезать вложение из сообщения НетНет ИлиИли ДаДа Сканирование на вирусы ИлиИли

Фильтрация вложений Плюсы и минусы Плюсы –Самая простая защита от вирусов –Запрет «мусора» - mp3, avi, и т.д. Минусы –Реально вирусы не удаляются –Конфигурирование через EMS

Расширенная защита от спама Forefront Server Security for Exchange Антивирусная защита Обновления Репутация отправителя(SRL) –Анализ HELO/EHLO –Проверка Reverse DNS –Анализ SCL от определенного отправителя –Проверка открытых прокси 27

Microsoft Forefront Server Security объединяет мощь антивирусных ядер от Microsoft и антивирусных лабораторий Каждый продукт Forefront Server Security может использовать до пяти антивирусных ядер при сканировании Расширенная защита от спама Мощь многоядерной технологии 28

Преимущества многоядерной защиты Быстрый ответ на новые угрозы Безостановочная защита благодаря избыточности Множество антивирусных ядер и более высокий уровень эвристики Время реакции (часов) Многоядерное решение Microsoft WildList Number Malware Name Forefront Set 1 Forefront Set 2 Forefront Set 3 Vendor A*Vendor B*Vendor C* 10/07 agobot_itw486.ex_ /07 autorun_itw11.ex_ /07 autorun_itw15.ex_ /07 ircbot_itw176.ex_ /07 ircbot_itw177.ex_ /07 ircbot_itw182.ex_ /07 sdbot_itw2410.ex_ /07 sdbot_itw2499.ex_ /07 sdbot_itw2511.ex_ /07 vb_itw29.ex_ /07 vbs_solow_itw26.vb /07 virut_itw12.ex_ /07 virut_itw14.ex_ * Includes beta signatures ** 0.00 denotes proactive detection 1 Source: AV-Test.org 2007 ( Прочие одноядерные решения = Менее 5 часов = от 5 до 24 часов = Более 24 часов 29

Распределенная защита Сервер SMTP Exchange Server A B C D E Интернет Exchange Server A B C D E Интернет Сканирование по протоколу SMTP Сканирование в реальном времени (хранилище Exchange) 30

Расширенная защита от спама Обновления антиспама Обновление фильтра содержимого –Поддельные веб-сайты –Microsoft SmartScreen –Другие IMF-обновления Обновления для Microsoft IP Reputation service (Microsoft Block list) Обновления меток спама 31 Тип обновленияStandard CALEnterprise CAL Фильтр содержимогоРаз в две неделиЕжедневно Спам метки(signatures)НедоступноПо необходимости (несколько раз в день) IP ReputationНедоступноНесколько раз в день

Расширенная защита от спама Обновления антиспама 32

Расширенная защита от спама Обновления антиспама change+server+2007+anti-spam&lang=en 33

Рекомендации по борьбе со спамом Правильная настройка почтовых серверов в DNS (A, PTR, MX, Sender ID) Проверка получателей в Active Directory Настройка интервала задержки(Tarpit) Запрет приема почты от «своего» домена Использование RBL/DNSBL Использование «серых» списков Схема работы спам-фильтров Поиск заблокированных писем 34

Выводы Спам победить нельзя, но с ним можно успешно бороться Защита должна быть многоуровневой Изменение психологии работы с почтой Борьба со спамом соблюдение баланса –Эффективность или блокировка легитимных писем –Администратор или пользователь Универсальное средство борьбы со спамом – человек! 35

Полезные ссылки Microsoft Exchange server 2007 – – Microsoft Forefront Server Security for Exchange – – Антиспам технологии – – Мой блог 36

Заполните анкету: Терминалы - холлы конференции и интернет-кафе на 1 этаже Заполните анкету: Терминалы - холлы конференции и интернет-кафе на 1 этаже Чтобы участвовать в розыгрыше призов Чтобы участвовать в розыгрыше призов Результаты – на сайте конференции и в голосовых объявлениях после розыгрышей в 14:30, 16:00, 17:30 и 19:00 Результаты – на сайте конференции и в голосовых объявлениях после розыгрышей в 14:30, 16:00, 17:30 и 19:00 Не забывайте заполнять анкеты по докладам Ваше мнение очень важно! Подробная информация по заполнению анкет – на сайте конференции

Запись доклада на