Борьба со спамом и вредоносным кодом с помощью microsoft...
DESCRIPTION
Борьба со спамом и вредоносным кодом с помощью Microsoft Exchange 2007/2010 и Forefront Protection for Exchange 2010 - Теория. Мокшин Сергей Геннадьевич ОАО «ВСГК» [email protected]. План презентации. Общие Сведения Финансовая сторона Технологии СПАМ рассылок - PowerPoint PPT PresentationTRANSCRIPT
Microsoft TechDayshttp://www.techdays.ru
Борьба со спамом и вредоносным кодом с помощью
Microsoft Exchange 2007/2010 и Forefront Protection for Exchange
2010 - Теория
Мокшин Сергей ГеннадьевичОАО «ВСГК»[email protected]
Microsoft TechDayshttp://www.techdays.ru
План презентации
Общие СведенияФинансовая сторонаТехнологии СПАМ рассылокМетоды борьбы со спамом и их недостаткиРекомендации по настройке почтовой системыЛичная гигиенаВопросы и ответы.
Microsoft TechDayshttp://www.techdays.ru
Официально 80-95% всех писем рунета1-3% содержат вирусы8-10% фишинговые сообщения
Статистика СПАМа
РекламаФишингЗаражение компьютеровАтаки DoS«Нигерийские письма»
Цели СПАМ-рассылок
Junk mail (Мусор)Нежелательная почтаUnsolicited e-mail (Непрошенная)
Синонимы
Spiced ham - в буквальном переводе spiced ham – «ветчина со специями»Спам – это анонимная массовая непрошенная рассылка.
Значение слова СПАМ (SPAM)?
Общие сведения
Microsoft TechDayshttp://www.techdays.ru
Рейтинг стран (% спама)
19.9
8
7.2
6.3
4.83.53.4
3.22.3
2.12.1
2.12
1.9
1.71.61.51.51.41.4
22.2
Ноябрь 2009СШАРоссияИндияБразилияВьетнамКореяИталияПольшаИспанияАргентинаРумынияКитайКолумбияУкраинаАнглияФранцияТайваньМексика
Microsoft TechDayshttp://www.techdays.ru
Закон о рекламе ст.18 (Незаконно, но не
всё)Лучший закон в Австралии
($800k за каждое письмо)
Законность?
Малый бизнесИнтернет-структурыРекламные агентства
Кто платит СПАМерам?
поставщики ПО, баз, IP-адресов; вирусописатели; сами спамеры (рассыльщики); спамоустойчивые хостеры; рекламодатели; рекламные агентства.
Инфраструктура СПАМ-рынка
очень дёшево (0,1 USD за тысячу показов);высокий отклик (до 1-3%);никакого регулирования, теневая экономика;порог вхождения на рынок очень низок (несколько тысяч USD).
Причины эффективности СПАМа
Рынок
Microsoft TechDayshttp://www.techdays.ru
Финансовые потери
Не боремся со спамомНизкая скорость приёма нужной почты, примерно в N*100 раз (N=1 – 100);Плата за дисковое пространство и за трафик N*100*50Kb=N*5Mb в день => N*110Mb в месяц;Потеря времени сотрудников на чистку почтовых ящиков до 30 мин в день => до 11ч в месяц => 50сотр.*(20т.р./22д/8ч)*11ч=62,5 т.р./мес;
Боремся со спамомОплата средств антиспама;Потери от ложных срабатываний;Время на обслуживание средств антиспама;Оплата мощностей оборудования.
Microsoft TechDayshttp://www.techdays.ru
Механизмы СПАМ рассылок
Рассылка вручнуюРассылка при помощи специальных программРассылка через некорректно настроенные почтовые серверыРассылка с применением web-интерфейсаТроянские проксиСПАМ боты
Microsoft TechDayshttp://www.techdays.ru
Методы борьбы со СПАМом
Методы, основанные на анализе письма;
Детекторы массовой рассылки;
Методы, основанные на признании отправителя в качестве спамера;
Методы, основанные на верификации обратного адреса отправителя и его домена;
GreyListing – эмуляция устранимой ошибки;
Tarpit - Задержка ответа при соединении;
Спам-ловушки (Honey Pot).
Microsoft TechDayshttp://www.techdays.ru
Анализ письма
По формальным признакам,
По содержимому с использованием сигнатурного
анализа,
По содержимому с применением статистических
методик.,
По содержимому с использованием SURBL (Spam URL
Realtime Block Lists — списка блокировки спамерских
URL). Идея метода состоит в поиске расположенных в
теле письма ссылок и их проверке по базе SURBL. Этот
метод эффективен против спама, в котором для обхода
фильтров вместо рекламы применяется ссылка на сайт
с рекламой.
Microsoft TechDayshttp://www.techdays.ru
Детекторы массовой рассылки
Как следует из названия, их задачей является обнаружение рассылки похожего письма большому количеству абонентов;
“Вариант Майкрософт” – Sender Reputation Filter, основан на запоминании пришедших писем и использовании их при приёме следующих.
Microsoft TechDayshttp://www.techdays.ru
Ответный ход спамеров
Персонализация сообщений (Уважаемый Zaitsev! Специалисты нашей компании изучили ваш сайт www.smolen.ru и пришли к выводу….);
Использование пробелов и иных разделителей в словах («К У П И ТЕ супер-товар»);
Транслитерация («Купите супертовар», «][акер», «}{акер» или «4ерный»);
Перефразирование («Купите супертовар» и «Приобретайте нашу отличную продукцию»);
Добавление постороннего текста;
Использование возможностей HTML;
Замена рекламы на URL или на изображение.
Microsoft TechDayshttp://www.techdays.ru
Признание отправителяв качестве спамера
RBL (Realtime Block List) база IP адресов СПАМ-машин.White IP List – база доверенных IP адресов.
Ip a.b.c.d
Есть/нет в базе
Microsoft TechDayshttp://www.techdays.ru
Ответный ход спамеров
Рассылка при помощи бот-машин и троянских прокси;
Динамические IP адреса;
Бесплатные RBL листы могут давать относительно много ложных срабатываний;
Не все системный администраторы хороши. Неправильная настройка шлюза приводит к его попаданию в RBL.
Недостатки методов
Microsoft TechDayshttp://www.techdays.ru
Верификация обратного адреса и домена
DNS-запрос по имени домена;
Проверка PTR записи (обратная зона);
Caller ID + SPF (Sender Policy Framework)
Sender ID Framework + SRS (Sender Rewriting Scheme).
Технология DomainKeys Identified Mail (DKIM)
Microsoft TechDayshttp://www.techdays.ru
DNS-запрос по имени домена
DNS vsgk.ruЕсть/нет
vsgk.ruvsgk.ru text = "v=spf1 mx -all"vsgk.ru MX preference = 20, mail exchanger = mail1.vsgk.ruvsgk.ru MX preference = 10, mail exchanger = mail.vsgk.ru
vsgk.ru internet address = 195.151.248.117vsgk.ru nameserver = ns.virtech.ruvsgk.ru nameserver = ns2.virtech.ru
vsgk.ru nameserver = ns2.virtech.ruvsgk.ru nameserver = ns.virtech.rumail.vsgk.ru internet address = 195.206.47.30mail1.vsgk.ru internet address = 195.239.200.178
Microsoft TechDayshttp://www.techdays.ru
Проверка PTR записи
Ip a.b.c.dmail.vsgk.ru
195.206.47.30
mail.vsgk.ruAddress: 195.206.47.30
Microsoft TechDayshttp://www.techdays.ru
Проверка SPF записи
DNS запрос
Txt v=spf 1 mx -all
vsgk.ruvsgk.ru text = "v=spf1 mx -all"vsgk.ru MX preference = 20, mail exchanger = mail1.vsgk.ruvsgk.ru MX preference = 10, mail exchanger = mail.vsgk.ru
vsgk.ru internet address = 195.151.248.117vsgk.ru nameserver = ns.virtech.ruvsgk.ru nameserver = ns2.virtech.ru
vsgk.ru nameserver = ns2.virtech.ruvsgk.ru nameserver = ns.virtech.rumail.vsgk.ru internet address = 195.206.47.30mail1.vsgk.ru internet address = 195.239.200.178
Microsoft TechDayshttp://www.techdays.ru
Ответный ход спамеровРегистрация нормальных доменов со всеми записями;
Использование бесплатных почтовых служб;
Использование в поле from нормального адреса;
Не все системные администраторы хороши. На DNS не прописаны SPF записи;
Не все провайдеры хороши. На DNS не прописаны PTR записи обратной зоны;
Проблема пересылок почты.
Технология DKIM относительно молода (Стандарт 2007г). Практически не используется.
Недостатки методов
Microsoft TechDayshttp://www.techdays.ru
Другие методы
GreyListing – эмуляция устранимой ошибки;
Доказательство надёжности отправителя самим отправителем;
Tarpit - Задержка ответа при соединении;
Спам-ловушки (Honey Pot).
Microsoft TechDayshttp://www.techdays.ru
Недостатки методов
У грейлистинга проблема с отправителями, у которых несколько серверов с разными IP;
Не все сисадмины хороши. Ожидание ответа маленькое. (Возможно экономические причины);
Microsoft TechDayshttp://www.techdays.ru
Рекомендации по настройке серверов.
Прописать PTR записи в DNS провайдеров;
Прописать в своём DNS записи (A, MX, SPF);
Запретить пересылку через ваш сервер неавторизованным
пользователям;
Защищаться от вирусов;
Запрет приема почты от «своего» домена;
Проверка получателей в Active Directory;
Настройка интервала задержки(Tarpit);
Использование RBL/DNSBL;
Использование «серых» списков;
Использование других фильтров;
Microsoft TechDayshttp://www.techdays.ru
Личная гигиена
Завести два почтовых адреса – один для регистраций в интернет, другой – рабочий;
Не публиковать адреса в сети Интернет;
Выбрать правильное имя, а не [email protected], [email protected], [email protected] и т.п.;
Защищаться от вирусов, не посещать ненадёжные узлы в сети Интернет;
Обучить всему этому пользователей.
Microsoft TechDayshttp://www.techdays.ru
Полезные ссылкиАнтиспам технологии
http://ru.wikipedia.org/wiki/Spamhttp://www.lexa.ru/articles/antispam.html http://antispam.home.nov.ru/ http://www.antispam.ru
Сайты, посвященные Exchangehttp://www.msexchange.ruhttp://www.exchangerus.ruhttp://www.msexchange.org
Microsoft TechDayshttp://www.techdays.ru
Борьба со спамом и вредоносным кодом с помощью
Microsoft Exchange 2007/2010 и Forefront Protection for Exchange
2010 - Теория
Мокшин Сергей ГеннадьевичОАО «ВСГК»[email protected]