niechciane wiadomości - obrona przed spamem …security.psnc.pl/files/szkolenia/mic_081119.pdf11...

11

Niechciane wiadomoNiechciane wiadomośści ci ––

obrona przedobrona przed spamemspamem przy pomocy przy pomocy

Exchange 2007 i MSExchange 2007 i MS Forefront SecurityForefront Security

PoznaPoznańń, , 1919..1111.2008.2008

dr Maciejdr Maciej MiMiłłostanostan

ZespZespóółł BezpieczeBezpieczeńństwa PCSSstwa PCSS

22

Agenda (1)AgendaAgenda (1)(1)

11:00 – Rozpoczęcie, powitanie uczestników, informacje

organizacyjne

11:05 – Poznajmy się: czym jest PCSS i MIC?

11:15 – Niechciane wiadomości (cz. 1) - obrona przed spamem:

architektura systemu pocztowego a role serwerów Microsoft

Exchange 2007

12:00 – Przerwa

12:10 – Niechciane wiadomości (cz. 2) – obrona przed spamem:

mechanizmy filtracji a Microsoft Forefront Security 2007

12:50 – Podsumowanie, dyskusja, zaproszenie na kolejne szkolenia

13:00 – Zakończenie

11:00 11:00 –– RozpoczRozpoczęęcie, powitanie uczestnikcie, powitanie uczestnikóów, informacje w, informacje

organizacyjneorganizacyjne

11:05 11:05 –– Poznajmy siPoznajmy sięę: czym jest PCSS i MIC?: czym jest PCSS i MIC?

11:15 11:15 –– Niechciane wiadomoNiechciane wiadomośści (cz. 1) ci (cz. 1) -- obrona przedobrona przed spamemspamem: :

architektura systemu pocztowego a role serwerarchitektura systemu pocztowego a role serweróów Microsoft w Microsoft

Exchange 2007Exchange 2007

12:00 12:00 –– PrzerwaPrzerwa

12:10 12:10 –– NNiechciane wiadomoiechciane wiadomośści (cz. 2) ci (cz. 2) –– obrona przedobrona przed spamemspamem: :

mechanizmy filtracji a Microsoftmechanizmy filtracji a Microsoft Forefront SecurityForefront Security 20072007

12:50 12:50 –– Podsumowanie, dyskusja, zaproszenie na kolejne szkoleniaPodsumowanie, dyskusja, zaproszenie na kolejne szkolenia

13:00 13:00 –– ZakoZakońńczenieczenie

33

Informacje organizacyjneInformacje organizacyjneInformacje organizacyjne

Ankieta

Krótka i anonimowa

Pomoc na przyszłość

Lista obecności

Proszę zaznaczyć, czy chcecie Państwo otrzymywaćinformacje o kolejnych szkoleniach

Prezentacja – dostępna na stronach WWW

http://mic.psnc.pl

http://szkolenia.man.poznan.pl

http://security.psnc.pl

Webcast

Wyjątkowo brak – jesteście Państwo wybrani ;)

AnkietaAnkieta

KrKróótka i anonimowatka i anonimowa

Pomoc na przyszPomoc na przyszłłoośćść

Lista obecnoLista obecnośścici

ProszProszęę zaznaczyzaznaczyćć, czy chcecie Pa, czy chcecie Pańństwo otrzymywastwo otrzymywaććinformacje o kolejnych szkoleniachinformacje o kolejnych szkoleniach

Prezentacja Prezentacja –– dostdostęępna na stronach WWWpna na stronach WWW

http://http://micmic..psncpsnc..plpl

http://szkolenia.http://szkolenia.manman..poznanpoznan..plpl

http://http://securitysecurity..psncpsnc..plpl

WebcastWebcast

WyjWyjąątkowo brak tkowo brak –– jestejesteśście Pacie Pańństwo wybrani ;)stwo wybrani ;)

44

Kim jesteśmy i co robimy?KimKim jestejesteśśmymy i coi co robimyrobimy??

55

PCSSPCSSPCSSPoznańskie Centrum Superkomputerowo-Sieciowe: 15 lat

Operator sieci PIONIER oraz POZMAN

Uczestnik projektów naukowo-badawczych

Główne obszary zainteresowań

Gridy, sieci nowej generacji, portale

Bezpieczeństwo sieci i systemów

http://www.pcss.pl

PoznaPoznańńskie Centrum skie Centrum SuperkomputerowoSuperkomputerowo--Sieciowe: Sieciowe: 15 lat15 lat

Operator sieci PIONIER oraz Operator sieci PIONIER oraz POZMANPOZMAN

Uczestnik projektUczestnik projektóów w naukowonaukowo--badawczychbadawczych

GGłłóówne obszary wne obszary zainteresowazainteresowańń

GridyGridy, sieci nowej , sieci nowej generacji, portalegeneracji, portale

BezpieczeBezpieczeńństwo sieci i stwo sieci i systemsystemóóww

http://http://wwwwww..pcsspcss..plpl

66

Zespół Bezpieczeństwa PCSSZespZespóółł BezpieczeBezpieczeńństwa PCSSstwa PCSS

Dedykowany zespDedykowany zespóółł istnieje od 1996r.istnieje od 1996r.

Podstawowy zakres prac ZespoPodstawowy zakres prac Zespołłuu

Zabezpieczanie infrastruktury PCSSZabezpieczanie infrastruktury PCSS

Zadania bezpieczeZadania bezpieczeńństwa w projektach naukowo stwa w projektach naukowo –– badawczychbadawczych

Szkolenia i transfer wiedzySzkolenia i transfer wiedzy

Badania wBadania włłasneasne

AudytyAudyty i doradztwo w zakresie bezpieczei doradztwo w zakresie bezpieczeńństwa ITstwa IT

NiektNiektóóre badania z ostatnich latre badania z ostatnich lat

Raport o bezpieczeRaport o bezpieczeńństwie bankowostwie bankowośści elektronicznej (2006)ci elektronicznej (2006)

BezpieczeBezpieczeńństwo serwerstwo serweróów WWWw WWW ApacheApache i MS IIS (2007)i MS IIS (2007)

BezpieczeBezpieczeńństwo sklepstwo sklepóów internetowych (2008)w internetowych (2008)

http://http://securitysecurity..psncpsnc..plpl

77

Centrum Innowacji MicrosoftCentrum Innowacji MicrosoftCentrum Innowacji Microsoft

Otwarcie: Otwarcie: 1.06.2006r.1.06.2006r.

Pierwsze w Polsce MICPierwsze w Polsce MIC„„Centrum bezpieczeCentrum bezpieczeńństwa stwa i usi usłługug outsourcingowychoutsourcingowych””

PartnerzyPartnerzyMicrosoft CorporationMicrosoft Corporation

PoznaPoznańńskie Centrum skie Centrum SuperkomputerowoSuperkomputerowo--SiecioweSieciowe

Politechnika PoznaPolitechnika Poznańńskaska

http://http://micmic..psncpsnc..plpl

88

Cele i zadania MICCele i zadania MICCele i zadania MICWybrane cele MICWybrane cele MIC

Edukacja poprzez zdalne udostEdukacja poprzez zdalne udostęępnianie aplikacji MSpnianie aplikacji MS

Szybszy rozwSzybszy rozwóój lokalnych firm (Mj lokalnych firm (MŚŚP) poprzez doradztwo w zakresie P) poprzez doradztwo w zakresie podnoszenia poziomu bezpieczepodnoszenia poziomu bezpieczeńństwa teleinformatycznego,stwa teleinformatycznego, audytyaudytyoraz szkoleniaoraz szkolenia

Poprawa dostPoprawa dostęępu i jakopu i jakośści usci usłług medycznych w Wielkopolsce ug medycznych w Wielkopolsce

ŁŁatwy i bezpieczny dostatwy i bezpieczny dostęęp do ep do e--ususłług w urzug w urzęędachdach

GGłłóówne zadania MIC w roku 2008wne zadania MIC w roku 2008

UsUsłługiugi hostingowehostingowe dla edukacji, instytucji charytatywnych i dla edukacji, instytucji charytatywnych i uużżytkownikytkownikóów indywidualnychw indywidualnych

Szkolenia w zakresie bezpieczeSzkolenia w zakresie bezpieczeńństwa ITstwa IT

RozwRozwóój systemuj systemu telekonsultacjitelekonsultacji medycznych medycznych „„TelesforTelesfor””

Badania nad technologiBadania nad technologiąą SilverlightSilverlight 2.02.0

99

Szkolenia bezpieczeństwa MICSzkolenia bezpieczeSzkolenia bezpieczeńństwa MICstwa MIC4 szkolenia rocznie4 szkolenia rocznie

http://http://micmic..psncpsnc..plpl//taskstasks//lectlect..htmlhtml

http://szkolenia.http://szkolenia.manman..poznanpoznan..plpl//kdmkdm

Tematy szkoleTematy szkoleńń w roku 2008w roku 2008

10.04.08: Format10.04.08: Format OpenXMLOpenXML

24.06.08: Bezpiecze24.06.08: Bezpieczeńństwo w firmachstwo w firmach

19.11.08: Niechciane wiadomo19.11.08: Niechciane wiadomośścici

16(18).12.08: Omijanie16(18).12.08: Omijanie firewallifirewalliw systemach Windowsw systemach Windows

ZachZachęęcamy do zgcamy do zgłłaszania aszania w ankietachw ankietachpropozycji tematpropozycji tematóów na rok 2009!w na rok 2009!

10

Niechciane wiadomości –

obrona przed spamem przy pomocy

Exchange 2007 i MS Forefront Security

Niechciane wiadomoNiechciane wiadomośści ci ––

obrona przedobrona przed spamemspamem przy pomocy przy pomocy

Exchange 2007 i MSExchange 2007 i MS Forefront SecurityForefront Security

11

Skrzynka wiadomości, czytamy i „SPAM, SPAM, SPAM…” niczym w skeczu Monty Pythona

Skrzynka wiadomości, czytamy i „SPAM, SPAM, SPAM…” niczym w skeczu Monty Pythona

SPAM a rzeczywistośćSPAM a rzeczywistość

http://www.spam.com

12

Dostrzec to co ważneDostrzec to co ważne

13

Walka z wiatrakami?Walka z wiatrakami?

14

Przepływ poczty Przepływ poczty Zapytanie DNS:smtp.istniejacadomena.pl

Serwer poczty wychodz ącej:smtp.istniej ącadomena.pl

Odpowied ź DNS: 10.0.0.100

From: Herr Flick<[email protected]>To: [email protected]:Wa ŜneMisie w drodze. Ptaszki musz ąodlecie ć do ciepłych krajów .

15

Przepływ poczty Przepływ poczty Nawiązanie połączenia:10.0.0.100

[email protected]

[email protected]

Uwierzytelnienie: uŜytkownik+hasło Zapytanie DNS:

mxman.poznan.pl

Odpowiedz DNS: 150.254.173.3

16

Przepływ poczty Przepływ poczty

[email protected]

[email protected]

Łączenie z 150.254.173.3

Sprawdzanie poczty

17


[email protected]

[email protected]

Pobieranie pocztySprawdzanie poczty

18


[email protected]

[email protected] poczty

19


Pobieranie poczty (pop,imap, protokoły microsoft*)DNS

Wysyłanie poczty(smtp) DNS

SMTP

* http://msdn.microsoft.com/en-us/library/cc425499. aspx

20

Typowa sesja SMTP a filtracja Typowa sesja SMTP a filtracja >telnet 207.46.197.32 25Trying 127.0.0.1...220 CPMSFTWBC10.phx.gbl Microsoft ESMTP MAIL Service, Version: 6.0.3790.1830 ready at….

helo anemone.man.poznan.pl250 CPMSFTWBC10.phx.gbl Hello [150.254.149.195]

mail from: [email protected] 2.1.0 [email protected] OK.

rcpt to: [email protected] 2.1.5 [email protected] Ok

DATA354 End data with <CR><LF>.<CR><LF>Subject: Test SMTPTo: Ktos <[email protected]>Witaj,Pozdrawiam.

.250 2.0.0 OkquitConnection closed by foreign host .

Źródłowy adres IP

Nazwa komputera

Adres e-mailnadawcy

Adres e-mailodbiorcy

Zawarto ść: Temat, Odbiorca i nadawca w tre ści itp.

Dane uzyskane w trakcie sesji SMTP

+DANE Z DNS

21

Źródłowy adres IP:Czarne listy (black lists, rbls)

Białe listy (white lists)

Rekordy odwrotne dns

Rekord mx w dns dla nazwy domeny uzyskanej w wyniku odwrotnego zapytania DNS

Nazwa komputera z EHLO/HELO:zgodność z nazwą uzyskaną z zapytania DNS

liczba nazw dla jednego adresu IP (wymaga bazy adresów )

czarne listy, białe listy

Źródłowy adres IP:Czarne listy (black lists, rbls)

Białe listy (white lists)

Rekordy odwrotne dns

Rekord mx w dns dla nazwy domeny uzyskanej w wyniku odwrotnego zapytania DNS

Nazwa komputera z EHLO/HELO:zgodność z nazwą uzyskaną z zapytania DNS

liczba nazw dla jednego adresu IP (wymaga bazy adresów )

czarne listy, białe listy

Dane z sesji a metody antyspamoweDane z sesji a metody antyspamowe

22

Adres e-mail nadawcyczy FQDN

Rekordy mx

Rekordy A

Adres e-mail odbiorcyczy lokalny

jeśli nie lokalny, to czy nadawca lokalny i użytkownik lub hostautoryzowany do wysyłania e-maila z takim adresem

Adres e-mail nadawcyczy FQDN

Rekordy mx

Rekordy A

Adres e-mail odbiorcyczy lokalny

jeśli nie lokalny, to czy nadawca lokalny i użytkownik lub hostautoryzowany do wysyłania e-maila z takim adresem

Dane z sesji a metody antyspamowe (1)Dane z sesji a metody antyspamowe (1)>printf '\0username\0password'|

mimencode

AHVzZXJuYW1lAHBhc3N3b3Jk

>telnet server.example.com 25

. . .

220 server.example.com

EHLO client.example.com

250-AUTH DIGEST-MD5 PLAIN CRAM-MD5

250 8BITMIME

AUTH PLAIN AHVzZXJuYW1lAHBhc3N3b3Jk

235 Authentication successful

>printf '\0username\0password'|

mimencode

AHVzZXJuYW1lAHBhc3N3b3Jk

>telnet server.example.com 25

. . .

220 server.example.com

EHLO client.example.com

250-AUTH DIGEST-MD5 PLAIN CRAM-MD5

250 8BITMIME

AUTH PLAIN AHVzZXJuYW1lAHBhc3N3b3Jk

235 Authentication successful

23

Zawartość (mail content, mail body):Nagłówki,

Temat,

Słowa kluczowe

Załączniki:Typy plików

Zawartość plików (wirusy, konie trojańskie, skrypty itp.)

Zawartość (mail content, mail body):Nagłówki,

Temat,

Słowa kluczowe

Załączniki:Typy plików

Zawartość plików (wirusy, konie trojańskie, skrypty itp.)

Dane z sesji a metody antyspamowe (1)Dane z sesji a metody antyspamowe (1)

24

W trakcie sesji SMTP (z ang. before queue)

Po odebraniu całej wiadomości i przesłaniu jej do „kolejki” w celu dalszego przetwarzania(z ang. after queue)

W trakcie sesji SMTP (z ang. before queue)


Kiedy filtrowaćKiedy filtrować

25


W trakcie sesji SMTP (z ang. before queue)Mail sprawdzony zanim trafi do kolejki (+)

Redukcja problemów z „odbitymi i podwójnie odbitymi wiadomościami” (ang. bounce i double-bounce) (+)

Wydłużenie czasu obsługi klientów (-)

Konieczność uruchamiania większej liczby procesów żeby obsłużyć żądania klientów (-)

Możliwość szybkiego przerwania sesji bez konieczności odbioru zawartości wiadomości (+)

W trakcie sesji SMTP (z ang. before queue)Mail sprawdzony zanim trafi do kolejki (+)

Redukcja problemów z „odbitymi i podwójnie odbitymi wiadomościami” (ang. bounce i double-bounce) (+)

Wydłużenie czasu obsługi klientów (-)

Konieczność uruchamiania większej liczby procesów żeby obsłużyć żądania klientów (-)

Możliwość szybkiego przerwania sesji bez konieczności odbioru zawartości wiadomości (+)

25

26



Możliwość przeprowadzenia czasochłonnej analizy zawartości np. wyszukiwanie wzorców, metody uczenia maszynowego (+)

Dekompresja dużych załączników (+)

Analiza antywirusowa (+)

Może wystąpić problem bounce-ów i double-bounce-ów (-)


Możliwość przeprowadzenia czasochłonnej analizy zawartości np. wyszukiwanie wzorców, metody uczenia maszynowego (+)

Dekompresja dużych załączników (+)

Analiza antywirusowa (+)

Może wystąpić problem bounce-ów i double-bounce-ów (-)

26

27

Należy filtrować zarówno w trakcie sesji (lekkie analizy, sprawdzanie rekordów DNS-owych) jak i po odebraniu całej wiadomości.

Należy filtrować zarówno w trakcie sesji (lekkie analizy, sprawdzanie rekordów DNS-owych) jak i po odebraniu całej wiadomości.


28

Inne możliwościInne możliwości

SMTP callback verification/callout verificationHELO <local host name>

MAIL FROM:<>

RCPT TO:<the address to be tested>

QUIT

Celowe opóźnienie w odpowiedziach na komendy SMTP (Greet delays, tarpitting)

Greylisting (szare listy)

SMTP callback verification/callout verificationHELO <local host name>

MAIL FROM:<>

RCPT TO:<the address to be tested>

QUIT

Celowe opóźnienie w odpowiedziach na komendy SMTP (Greet delays, tarpitting)

Greylisting (szare listy)

28

29

GreylistingGreylisting1. Czy wysyłający nadawca/host/sieć jest na białej

liście?

2. Czy adres e-mail odbiorcy (lub domena) jest na białej liście, jeśli tak to przepuść e-maila

3. Sprawdź czy widzieliśmy już taką trójkę wcześniej (IP/nadawca/odbiorca):

1. Jeśli nie to wygeneruj tymczasowy błąd (np. 4.5.0) doMTA i utwórz rekord w bazie

2. Jeśli widzieliśmy, ale czasowa blokada nie minęła, to wygeneruj tymczasowy błąd

3. Jeśli czas blokady dla danej trójki minął, to przepuść

1. Czy wysyłający nadawca/host/sieć jest na białej liście?

2. Czy adres e-mail odbiorcy (lub domena) jest na białej liście, jeśli tak to przepuść e-maila

3. Sprawdź czy widzieliśmy już taką trójkę wcześniej (IP/nadawca/odbiorca):

1. Jeśli nie to wygeneruj tymczasowy błąd (np. 4.5.0) doMTA i utwórz rekord w bazie

2. Jeśli widzieliśmy, ale czasowa blokada nie minęła, to wygeneruj tymczasowy błąd

3. Jeśli czas blokady dla danej trójki minął, to przepuść29

30

GreylistingGreylisting

4. Jeśli wiadomość została przepuszczona i doręczona z sukcesem to:

Inkrementujemy licznik prawidłowych doręczeń

Resetujemy czas życia rekordu

Jeśli nie została doręczona to: Inkrementujemy licznik błędów dla danego rekordu

Jeśli nadawca jest specjalnym przypadkiem (np. null sender) nie zwracaj błędu po RCPT, tylko poczekaj do końca fazy DATA

4. Jeśli wiadomość została przepuszczona i doręczona z sukcesem to:

Inkrementujemy licznik prawidłowych doręczeń

Resetujemy czas życia rekordu

Jeśli nie została doręczona to: Inkrementujemy licznik błędów dla danego rekordu

Jeśli nadawca jest specjalnym przypadkiem (np. null sender) nie zwracaj błędu po RCPT, tylko poczekaj do końca fazy DATA

30

31

Ruch międzyserwerowy vs. ruch klienckiRuch międzyserwerowy vs. ruch kliencki

SMTP SMTP

Port 25Port 25

Port 587

RFC 5068 http://www.ietf.org/rfc/rfc5068.txt definiuje MSA (Mail Submission Agent)

MTA (Mail Transfer Agent)

MSA (MailSubmission Agent)

MUA (MailUser Agent)

32

Brak separacji - wielokrotne skanowanie tej samej poczty, bezpośredni wpływ ruchu zewnętrznego na wydajność komunikacji wewnętrznej

Separacja – stabilna komunikacja wewnątrz korporacji, efektywniejsze wykorzystanie zasobów

Jak dokonać separacji i w którym miejscu?

Brak separacji - wielokrotne skanowanie tej samej poczty, bezpośredni wpływ ruchu zewnętrznego na wydajność komunikacji wewnętrznej

Separacja – stabilna komunikacja wewnątrz korporacji, efektywniejsze wykorzystanie zasobów

Jak dokonać separacji i w którym miejscu?

Ruch wewnątrz firmowy vs. komunikacja ze światem zewnętrznymRuch wewnątrz firmowy vs. komunikacja ze światem zewnętrznym

33

Model systemu pocztowegoModel systemu pocztowegoSerwer brzegowy (port 25):Routing, filtracja, dns

Dostęp kliencki(port 587, message submission; 143, IMAP; 110 POP; +TLS)

Skrzynki pocztowe

Węzełpocztowy

DNS

Inte

rne

t

MUA (MailUser Agent)

MTA (Mail Transfer Agent)

MSA (MailSubmission Agent)

34

Świat przed Exchange Server 2007 (do MSE 2003)Świat przed Exchange Server 2007 (do MSE 2003)

`

9. User Safe /Blocked Sender Lists andStore Threshold

Internet

1. Connection FilteringAllow/Deny IP listsReal time block lists

Internet Mail Gateway Server

2. Sender Filtering

3. Recipient Lookup

4. Recipient Filtering

5. Sender ID Lookup

6. Intelligent Message Filter

Routing HubServer

8. Virus Scanning

7. Attachment Stripping

For example :.dll, .exe, .cmd, .com,

.js, .wsf, and .vbs

Mailbox Server

13. Antivirus SoftwareReal -time scanning

Outlook 2003Client

12. Attachment and Web Beacon Blocking

Inbox Junk E -mail

11. Client-Side Spam Filtering

10. Outlook Client Version Control

`

9. User Safe /Blocked Sender Lists andStore Threshold

Internet

1. Connection FilteringAllow/Deny IP listsReal time block lists

Internet Mail Gateway Server

2. Sender Filtering

3. Recipient Lookup


5. Sender ID Lookup

6. Intelligent Message Filter

Routing HubServer

8. Virus Scanning

7. Attachment Stripping

For example :.dll, .exe, .cmd, .com,

.js, .wsf, and .vbs

Mailbox Server


Outlook 2003Client


Inbox Junk E -mail



35

Technologia SmartScreen oparta na uczeniu maszynowym opracowana i opatentowana przez Microsoft Research

Klasyfikator nauczony na próbkach wiadomości ważnych/pożądanych, oraz niepożądanych (UCE - unsolicited commercial e-mail , SPAM)

Technologia SmartScreen oparta na uczeniu maszynowym opracowana i opatentowana przez Microsoft Research

Klasyfikator nauczony na próbkach wiadomości ważnych/pożądanych, oraz niepożądanych (UCE - unsolicited commercial e-mail , SPAM)

Intelligent Message FilterIntelligent Message Filter

36

MS Exchange 2003 z IMFMS Exchange 2003 z IMF

37

Architektura zbieżna z przedstawionym modelem sytemu pocztowego

W stosunku do Exchange 2003 nowe role serwerów

Nowe wbudowane funkcje antyspamowe i antywirusowe

Nowa rodzina produktów rozszerzających możliwości antywirusowe i antyspamowe

Model administracji oparty na rolach. Jeden serwer może pełnić kilka ról lub funkcjonalność może byćrozdzielona pomiędzy serwery

Architektura zbieżna z przedstawionym modelem sytemu pocztowego

W stosunku do Exchange 2003 nowe role serwerów

Nowe wbudowane funkcje antyspamowe i antywirusowe

Nowa rodzina produktów rozszerzających możliwości antywirusowe i antyspamowe

Model administracji oparty na rolach. Jeden serwer może pełnić kilka ról lub funkcjonalność może byćrozdzielona pomiędzy serwery

Microsoft Exchange 2007Microsoft Exchange 2007

38

Nowości w wersji 2007Nowości w wersji 2007

39

Hub Transport

Edge Transport

Dostęp kliencki

Zarządzanie skrzynkami (Mailbox Server)

Unified Messaging

Hub Transport

Edge Transport

Dostęp kliencki

Zarządzanie skrzynkami (Mailbox Server)

Unified Messaging

Role serwerów ExchangeRole serwerów Exchange

40

Architektury serwerów i środowiska (Elastyczna i skalowalna infrastruktura )Architektury serwerów i środowiska (Elastyczna i skalowalna infrastruktura )

Internet

Data tierMiddle tierUser tier

Hub Transport

Office Outlook Web Access

Exchange ActiveSyncOutlook Anywhere

Unified Messaging

Telephone

Edge Transport

Client Access

Mailbox

Mailbox

Mailbox

SMTP host

MS

Exc

hang

e 20

07D

esig

n an

d A

rchi

tect

ure

w M

icro

soft

41

Edge TransportEdge Transport

42

Edge Transport – wymagania konfiguracyjneEdge Transport – wymagania konfiguracyjne

Musi być zainstalowany na komputerze wolnostojącym,

Musi mieć ustaloną nazwę DNS (FQDN),

Powinien być umieszczony w sieci DMZ,

Wymagana jest odpowiednia konfiguracja zapory sieciowej,

Nie jest członkiem domeny, lecz wykorzystujeActive Directory Application Mode (ADAM)

Musi być zainstalowany na komputerze wolnostojącym,

Musi mieć ustaloną nazwę DNS (FQDN),

Powinien być umieszczony w sieci DMZ,

Wymagana jest odpowiednia konfiguracja zapory sieciowej,

Nie jest członkiem domeny, lecz wykorzystujeActive Directory Application Mode (ADAM)

42

43

Edge Transport – wymagania konfiguracyjneEdge Transport – wymagania konfiguracyjne

Jeśli Edge transport dostarcza pocztębezpośrednio do Internetu, to musi miećmożliwość rozwiązywania nazw zewnętrznych domen pocztowych,

Publiczna domena DNS musi posiadać rekord MX wskazujący na serwer Edge Transport.

Jeśli Edge transport dostarcza pocztębezpośrednio do Internetu, to musi miećmożliwość rozwiązywania nazw zewnętrznych domen pocztowych,

Publiczna domena DNS musi posiadać rekord MX wskazujący na serwer Edge Transport.

43

44

Edge transport – porty na firewalluEdge transport – porty na firewalluZapora sieciowa Reguła Opis

Zewnętrzna Port 25 dostepny ze wszystkichzewnetrznych adresów IP

Wymagany dla dostarczania poczty z Internetu

Zewnętrzna Port 25 dostepny z EdgeTransport do wszystkichzewnetrznych adresów IP

Wymagany do wysyłania poczty nazewnatrz organizacji

Zewnętrzna Port 53 z Edge Transport do wszystkich zewnetrznych IP

Konieczny dorozwiazywania nazw DNS

Wewnętrzna Port 25 dostepny z Edge Transport do serwerów Hub Transport

Przesłanie poczty przychodzacej do serwerów Hub Transport

Wewnętrzna Port 25 dostepny z serwerów Hub T. do serwera Egde T.

Przesłanie poczty wychodzacej doInternetu

Wewnętrzna Port 50636 z serwerów Hub Transport do serwera Egde

LDAPS dla EdgeSync

Wewnętrzna 3389 z sieci wew. do serwera EdgeTransport

Zdalna administracja (RDP) 44

46

Exchange Server 2007 – funkcje ochronyExchange Server 2007 – funkcje ochrony

`

15. User Safe /Blocked Sender

Lists andStore Threshold

Internet

1. Connection Filtering

Edge TransportServer

2. Sender Filtering

3. Recipient Lookup


5. Sender ID Lookup

Hub TransportServer

14. Virus Scanning

Mailbox Server


Outlook 2007Client


Inbox Junk E -mail



6. Protocol Analysis

8. Rule Processing

9. Content Filtering

10. Attachment Filtering

11. Virus Scanning

7. Header Filtering

13. Message Journaling

12. Rules Processing

E-Mail Postmarks

Active Directory

Safe Recipients Lists , Safe Senders Lists , and

External Contacts

SafelistAggregation

Exchange ADAM

Hashed Recipient and Safe Senders Information

EdgeSync

`

15. User Safe /Blocked Sender

Lists andStore Threshold

Internet

1. Connection Filtering

Edge TransportServer

2. Sender Filtering

3. Recipient Lookup


5. Sender ID Lookup

Hub TransportServer

14. Virus Scanning

Mailbox Server


Outlook 2007Client


Inbox Junk E -mail



6. Protocol Analysis

8. Rule Processing

9. Content Filtering

10. Attachment Filtering

11. Virus Scanning

7. Header Filtering

13. Message Journaling

12. Rules Processing

E-Mail Postmarks

Active Directory

Safe Recipients Lists , Safe Senders Lists , and

External Contacts

SafelistAggregation

Exchange ADAM

Hashed Recipient and Safe Senders Information

EdgeSync

48

Prosta organizacja (z pojedynczym serwerem)Prosta organizacja (z pojedynczym serwerem)

Brak moŜliwo ści skorzystania z dobrodziejstw roli EdgeTransport

49

Rozwiązania antyspamowe oferowane przez firmę MicrosoftRozwiązania antyspamowe oferowane przez firmę Microsoft

Sender ID/SPFramework

Sender Reputation

IP Reputation

Content filter

MicrosoftSmartScreen/Intelligent Message Filter v2

Sender ID/SPFramework

Sender Reputation

IP Reputation

Content filter

MicrosoftSmartScreen/Intelligent Message Filter v2

Tarpitting

Antivirus stamping

Office Outlook 2007 E-Mail Postmark

Greylisting nie jest w standardzie, ale sąpierwsze jaskółki (np. Greylisting Sample Agent )

Tarpitting

Antivirus stamping

Office Outlook 2007 E-Mail Postmark

Greylisting nie jest w standardzie, ale sąpierwsze jaskółki (np. Greylisting Sample Agent )

http://www.microsoft.com/mscorp/safety/technologies /antispam/default.mspx

50

Uruchomieni domyślnie agenci Uruchomieni domyślnie agenci

51

Maszynowe uczenie Klasyfikator probabilistyczny

Próbka kilku milionów e-mail pozyskanych od klientów i partnerów Microsoft

Technologia opatentowana przez MicrosoftResearch

Nie wiele danych dot. samego algorytmu

Intensywnie wdrażane w produktach MS od 2003 roku jako remedium na problem spamu

Maszynowe uczenie Klasyfikator probabilistyczny

Próbka kilku milionów e-mail pozyskanych od klientów i partnerów Microsoft

Technologia opatentowana przez MicrosoftResearch

Nie wiele danych dot. samego algorytmu

Intensywnie wdrażane w produktach MS od 2003 roku jako remedium na problem spamu

Microsoft SmartScreenMicrosoft SmartScreen

52

Bill Gates o SmartScreenBill Gates o SmartScreen

"We are making progress with new software derived from advanced work in the field of machine learning -- the design of systems that learn from data and grow smarter over time. The software learns from a vast and continually growing archive of e-mail provided by nearly 200,000 of our e-mail customers who have volunteered to classify millions of messages as legitimate or not. This feedback enables us to identify spam with unprecedented precision based on key words, message structure, even the time it was sent -- more than 500,000 characteristics in all. Early reports have indicated that this Microsoft SmartScreen technology is blocking as much as 95 percent of spam, and we expect it to get even smarter as it learns from a continuing flow of feedback.

Washington Post, 24 Listopad 2003r

"We are making progress with new software derived from advanced work in the field of machine learning -- the design of systems that learn from data and grow smarter over time. The software learns from a vast and continually growing archive of e-mail provided by nearly 200,000 of our e-mail customers who have volunteered to classify millions of messages as legitimate or not. This feedback enables us to identify spam with unprecedented precision based on key words, message structure, even the time it was sent -- more than 500,000 characteristics in all. Early reports have indicated that this Microsoft SmartScreen technology is blocking as much as 95 percent of spam, and we expect it to get even smarter as it learns from a continuing flow of feedback.

Washington Post, 24 Listopad 2003r 52

53

Próba kontroli fałszowanych e-maili

Daje możliwość specyfikowania legitymowanych źródeł poczty

Implementowany jako rekordy DNS-owe

Protokół opracowany przez grupę ochotników

Rozwijany od 2003 roku

Sender ID Framework SPF Record Wizard

RFC 4408

Sender ID Business Value White Paper

Próba kontroli fałszowanych e-maili

Daje możliwość specyfikowania legitymowanych źródeł poczty

Implementowany jako rekordy DNS-owe

Protokół opracowany przez grupę ochotników

Rozwijany od 2003 roku

Sender ID Framework SPF Record Wizard

RFC 4408

Sender ID Business Value White Paper

Sender Policy Framework Sender Policy Framework

54

Sender Policy Framewrok (SPF)Sender Policy Framewrok (SPF)

54

C:\Documents and Settings\Maciek>nslookup(...)> set type=TXT> microsoft.com(...)microsoft.com text =

"v=spf1 mx include:_spf-a.microsoft.com include:_spf-b.microsoft.com include:_spf-c.microsoft.com include:_spf-ssg-a.microsoft.com ~all"

55

Sender Policy Framework (SPF)Sender Policy Framework (SPF)

Mechanizmy SPF

all | ip4 | ip6 | a | mx | ptr | exists | include

Modyfikatory (modifiers)

redirect | exp

Kwalifikatory

"+"Pass

"-"Fail

"~"SoftFail

"?"Neutral

Mechanizmy SPF

all | ip4 | ip6 | a | mx | ptr | exists | include

Modyfikatory (modifiers)

redirect | exp

Kwalifikatory

"+"Pass

"-"Fail

"~"SoftFail

"?"Neutral

56

Zaawansowany przykładZaawansowany przykład

> gmail.com

gmail.com text =

"v=spf1 redirect=_spf.google.com”

>_spf.google.com

_spf.google.com text =

"v=spf1 ip4:216.239.32.0/19 ip4:64.233.160.0/19 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:209.85.128.0/17 ip4:66.102.0.0/20 ip4:74.125.0.0/16 ?all"

> gmail.com

gmail.com text =

"v=spf1 redirect=_spf.google.com”

>_spf.google.com

_spf.google.com text =

"v=spf1 ip4:216.239.32.0/19 ip4:64.233.160.0/19 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:209.85.128.0/17 ip4:66.102.0.0/20 ip4:74.125.0.0/16 ?all"

57

Ewaluacja rekordów SPFEwaluacja rekordów SPF

57

58

Problemy i ograniczeniaProblemy i ograniczenia

Weryfikuje tylko „poprawność domeny”, nie dostarcza wiedzy o użytkownikach

Sprawdza “ostatni krok” a nie pełną ścieżkę

Istnieją domeny spamerskie

Przydatne w budowaniu „reputacji domeny”

Weryfikuje tylko „poprawność domeny”, nie dostarcza wiedzy o użytkownikach

Sprawdza “ostatni krok” a nie pełną ścieżkę

Istnieją domeny spamerskie

Przydatne w budowaniu „reputacji domeny”

59

Sender IDSender ID

60

The Content Filter agent is one of several anti-spam agents. When you configure anti-spam agents on a computer that has the Edge Transport server role installed, the agents act on messages cumulatively to reduce the amount of spam that enters the organization. For moreinformation about how to plan and deploy anti-spam agents, see Anti-Spam and Antivirus Functionality.

The Content Filter agent assigns a spam confidence level (SCL) rating to each message. The SCL rating is a number between 0 and 9. A higher SCL rating indicates that a message is more likely to be spam.

You can configure the Content Filter agent to take the following actions on messages according to their SCL rating:

Delete message

Reject message

Quarantine message

The Content Filter agent is one of several anti-spam agents. When you configure anti-spam agents on a computer that has the Edge Transport server role installed, the agents act on messages cumulatively to reduce the amount of spam that enters the organization. For moreinformation about how to plan and deploy anti-spam agents, see Anti-Spam and Antivirus Functionality.

The Content Filter agent assigns a spam confidence level (SCL) rating to each message. The SCL rating is a number between 0 and 9. A higher SCL rating indicates that a message is more likely to be spam.

You can configure the Content Filter agent to take the following actions on messages according to their SCL rating:

Delete message

Reject message

Quarantine message

Content Filter agentContent Filter agent

61

Zabezpieczenie anty-spamowe aktywowane na serwerze Microsoft Exchange Server 2007 pełniącego rolę Edge Transport

Blokuje wiadomości w oparciu o cechy charakterystyczne dla nadawcy

Używa miary SRL (Sender Reputation Level)określającej poziom zaufania nadawcy

Proces odpowiedzialny za wyliczanie miary SRL zbiera dane statystyczne

Zabezpieczenie anty-spamowe aktywowane na serwerze Microsoft Exchange Server 2007 pełniącego rolę Edge Transport

Blokuje wiadomości w oparciu o cechy charakterystyczne dla nadawcy

Używa miary SRL (Sender Reputation Level)określającej poziom zaufania nadawcy

Proces odpowiedzialny za wyliczanie miary SRL zbiera dane statystyczne

Reputacja nadawcy (Sender reputation)Reputacja nadawcy (Sender reputation)

62

Miara Sender Reputation LevelMiara Sender Reputation Levelwyliczana na podstawie następujących statystyk:

analiza HELO/EHLO (adres IP podawany=IP inicjatora połączenia; liczba różnych domen z danego adresu IP powinna być relatywnie mała; wiele różnych nazw w krótkim czasie=spammer)

Analiza zapytań odwrotnych do DNS (Reverse DNS lookup)

Analiza ocen SCL (spam confidence level) – dostarczanych przez Content Filter Agent (następca IMF)

Sender open proxy test

SRL – liczba od 0-9 wyliczona na podstawie ważonych wyników powyższych statystyk

Sender filter agent – Akcje: Reject, Delete and archive,Accept and mark as a blocked sender

wyliczana na podstawie następujących statystyk:

analiza HELO/EHLO (adres IP podawany=IP inicjatora połączenia; liczba różnych domen z danego adresu IP powinna być relatywnie mała; wiele różnych nazw w krótkim czasie=spammer)

Analiza zapytań odwrotnych do DNS (Reverse DNS lookup)

Analiza ocen SCL (spam confidence level) – dostarczanych przez Content Filter Agent (następca IMF)

Sender open proxy test

SRL – liczba od 0-9 wyliczona na podstawie ważonych wyników powyższych statystyk

Sender filter agent – Akcje: Reject, Delete and archive,Accept and mark as a blocked sender 62

63

W momencie wydania polecenia SMTP: MAIL FROM

Sender reputation acts on a message only if the message was blocked or otherwise acted on by the Connection Filter agent, Sender Filter agent, Recipient Filter agent, or Sender ID agent. In this case, sender reputation retrieves the sender's current SRL rating from the sender profile that is persisted about that sender in the Edge Transport database. After this rating is retrieved and evaluated, the Edge Transport server configuration dictates the behavior that occurs at a particular connection according to the block threshold.

Po komendzie "end of data" protokołu SMTP

The end of data transfer (_EOD) SMTP command is given when all the actual message data is sent. At this point in the SMTP session, many of the anti-spam agents have processed the message. As a by-product of anti-spam processing, the statistics that sender reputation relies on are updated. Therefore, sender reputation has the data to calculate or recalculate an SRL rating for the sender.

W momencie wydania polecenia SMTP: MAIL FROM

Sender reputation acts on a message only if the message was blocked or otherwise acted on by the Connection Filter agent, Sender Filter agent, Recipient Filter agent, or Sender ID agent. In this case, sender reputation retrieves the sender's current SRL rating from the sender profile that is persisted about that sender in the Edge Transport database. After this rating is retrieved and evaluated, the Edge Transport server configuration dictates the behavior that occurs at a particular connection according to the block threshold.

Po komendzie "end of data" protokołu SMTP

The end of data transfer (_EOD) SMTP command is given when all the actual message data is sent. At this point in the SMTP session, many of the anti-spam agents have processed the message. As a by-product of anti-spam processing, the statistics that sender reputation relies on are updated. Therefore, sender reputation has the data to calculate or recalculate an SRL rating for the sender.

Kiedy wykorzystać/obliczyć SRL? Kiedy wykorzystać/obliczyć SRL?

64

„Microsoft IP Reputation Service is an IP Block list service that is offered exclusively to Exchange 2007 customers”

„Microsoft IP Reputation Service is an IP Block list service that is offered exclusively to Exchange 2007 customers”

IP Reputation ServiceIP Reputation Service

65

Znacznik obliczany przez Outlook-a w trakcie wysyłania poczty na podstawie unikalnych elementów wiadomości tj. czasu wysłania i listy odbiorców

Celem jest spowolnienie mass-mailingu

Wiadomości w obrębie organizacji tj. do adresatów zawartych w Microsoft Exchange Global Address List (GAL) nie są znakowane

Po stronie odbiorcy znaczniki mogą być użyte przez oprogramowanie anytspamowe

Znacznik obliczany przez Outlook-a w trakcie wysyłania poczty na podstawie unikalnych elementów wiadomości tj. czasu wysłania i listy odbiorców

Celem jest spowolnienie mass-mailingu

Wiadomości w obrębie organizacji tj. do adresatów zawartych w Microsoft Exchange Global Address List (GAL) nie są znakowane

Po stronie odbiorcy znaczniki mogą być użyte przez oprogramowanie anytspamowe

Microsoft Office Outlook 2007 E-mail PostmarkMicrosoft Office Outlook 2007 E-mail Postmark

66

Antivirus stampAntivirus stampOgraniczenie wielokrotnego skanowania tej samej poczty w obrębie jednej organizacji

Jest dodawany gdy zachodzą warunki:Wiadomość została przeskanowana przez Forefront Security for Exchange Server z co najmniej jednym silnikiem antywirusowym(Antivirus stamp nie może być wykorzystywany w środowiskach mieszanych opartych o produkty zewnętrznych dostawców oprogramowania antywirusowego niezintegrowanych z Forefront Security for Exchange Server, ze względu na zasadę ograniczonego zaufania)

wirus nie został znaleziony lub wirus został usunięty a zmodyfikowana wiadomość ponownie zapisana przez Exchange-a

Ograniczenie wielokrotnego skanowania tej samej poczty w obrębie jednej organizacji

Jest dodawany gdy zachodzą warunki:Wiadomość została przeskanowana przez Forefront Security for Exchange Server z co najmniej jednym silnikiem antywirusowym(Antivirus stamp nie może być wykorzystywany w środowiskach mieszanych opartych o produkty zewnętrznych dostawców oprogramowania antywirusowego niezintegrowanych z Forefront Security for Exchange Server, ze względu na zasadę ograniczonego zaufania)

wirus nie został znaleziony lub wirus został usunięty a zmodyfikowana wiadomość ponownie zapisana przez Exchange-a

66

67

KOMPLEKSOWA OCHRONA ANTYWIRUSOWAKOMPLEKSOWA OCHRONA ANTYWIRUSOWA

Forefront security dla Exchange 2007Forefront security dla Exchange 2007

67

68

Microsoft Forefront Security dla ExchangeInformacje ogólneMicrosoft Forefront Security dla ExchangeInformacje ogólne

Dawniej produkt znany pod nazwą Antigen for Exchange(Sybari Software przejęte w 2005r.)

Forefront Security for Exchange Server jest dedykowany do Exchange 2007!!!

Exchange 2000/2003 jest wspierany przez Antigen dlaExchangeLicencja Forefront daje prawo do używania wcześniejszych wersji oprogramowania Antigen (i vice versa)

Wersja produkcyjna jest 64-bit Wsparcie dla ról Exchange Edge Transport, Hub Transport i Mailbox/Public Folder

Auto-detekcja roli serwera Exchange

Dawniej produkt znany pod nazwą Antigen for Exchange(Sybari Software przejęte w 2005r.)

Forefront Security for Exchange Server jest dedykowany do Exchange 2007!!!

Exchange 2000/2003 jest wspierany przez Antigen dlaExchangeLicencja Forefront daje prawo do używania wcześniejszych wersji oprogramowania Antigen (i vice versa)

Wersja produkcyjna jest 64-bit Wsparcie dla ról Exchange Edge Transport, Hub Transport i Mailbox/Public Folder

Auto-detekcja roli serwera Exchange

69


Zawiera:Wiele silników antywirusowych (aktualnie 8), z których użytkownik wybiera 5

Filtracje plikówW serwerach transportowych (Edge/Hub Transport)

W serwerach obsługujących skrzynki (Mailstore)

Filtracja wg słów kluczowychTylko transport

Filtracja po temacie i domenie nadawcyTylko serwer skrzynek

Powiadomienia

Zawiera:Wiele silników antywirusowych (aktualnie 8), z których użytkownik wybiera 5

Filtracje plikówW serwerach transportowych (Edge/Hub Transport)

W serwerach obsługujących skrzynki (Mailstore)

Filtracja wg słów kluczowychTylko transport

Filtracja po temacie i domenie nadawcyTylko serwer skrzynek

Powiadomienia69

70


Nie zawiera:Mechanizmów antyspamowych

Filtracji wg tematu i nadawcy/domeny na serwerze transportowym

Powyższe funkcje zapewnia MS Exchange 2007

Nie zawiera:Mechanizmów antyspamowych

Filtracji wg tematu i nadawcy/domeny na serwerze transportowym

Powyższe funkcje zapewnia MS Exchange 2007

70

71

Programy antywirusowe w Forefront SecurityProgramy antywirusowe w Forefront Security

71

Wiodący dostawcy

72

Automatyzacja aktualizacji sygnaturAutomatyzacja aktualizacji sygnatur

Internet Internet

ForefrontEngineAdaptor

73

Liczba używanych antywirusów a wydajnośćLiczba używanych antywirusów a wydajność

Max Certainty: u Ŝywa wszystkich (100%)Favor Certainty: u Ŝywa wszystkich dost ępnych silnikówNeutral: u Ŝywa około 50% dost ępnych silnikówFavor Performance: u Ŝywa 25% dost ępnych silnikówMax Performance: u Ŝywa jednego silnika do ka Ŝdego skanu

Nie zawsze u Ŝywane s ą te same silniki , gdy Ŝstosuje si ę alokacj ędynamiczn ą z puli dost ępnych antywirusów

D

A C

DB

74

Liczba używanych antywirusów a wydajnośćLiczba używanych antywirusów a wydajność Nie zawsze u Ŝywane s ą te

same silniki , gdy Ŝstosuje si ę alokacj ędynamiczn ą z puli dost ępnych antywirusów

Max Certainty: u Ŝywa wszystkich (100%) Favor Certainty: u Ŝywa wszystkich dost ępnych silników

Neutral: u Ŝywa około 50% dost ępnych silnikówFavor Performance: u Ŝywa 25% dost ępnych silnikówMax Performance: u Ŝywa jednego silnika do ka Ŝdego skanu

D

A C

DB

75

Antivirus stamping – ruch wychodzącyAntivirus stamping – ruch wychodzący

76

Antivirus stamping – ruch przychodzącyAntivirus stamping – ruch przychodzący

76

77

Antivirus stamping – ruch wewnętrznyAntivirus stamping – ruch wewnętrzny

77

78

Antivirus StampSzczegóły techniczneAntivirus StampSzczegóły techniczne

Nagłówek X-header

Producenci AV znakują wyniki skanowania

Znaczniki są analizowane przez kolejne AV i wykorzystane do podjęcia decyzji o skanowaniu lub pominięciu skanowania (jeśli pierwszy antywirus wykryje wirusa, to zwykle nie ma potrzeby dalej skanować)

Forefront zawsze ustawia numer wersji na 1

Przykład:

X-MS-Exchange-Organization-AVStamp-Mailbox: MSFTFF;1;0;info

MSFTFF: nazwa producenta AV (8 znaków); MSFTFF = Microsoft

1: numer wersji prducenta (32-bit unsigned integer); 1 = Microsoft

0 (VIRSCAN_NO_VIRUS): status (32-bit unsigned integer)

Info: opcjonalne informacje o wirusie (128 byte string)

Nagłówek X-header

Producenci AV znakują wyniki skanowania

Znaczniki są analizowane przez kolejne AV i wykorzystane do podjęcia decyzji o skanowaniu lub pominięciu skanowania (jeśli pierwszy antywirus wykryje wirusa, to zwykle nie ma potrzeby dalej skanować)

Forefront zawsze ustawia numer wersji na 1

Przykład:

X-MS-Exchange-Organization-AVStamp-Mailbox: MSFTFF;1;0;info

MSFTFF: nazwa producenta AV (8 znaków); MSFTFF = Microsoft

1: numer wersji prducenta (32-bit unsigned integer); 1 = Microsoft

0 (VIRSCAN_NO_VIRUS): status (32-bit unsigned integer)

Info: opcjonalne informacje o wirusie (128 byte string)

79

Antivirus StampSzczegóły techniczneAntivirus StampSzczegóły techniczne

Przy zapisie do skrzynek znacznik antywirusowy (ang.antivirus stamp) jest dodawany do pól MAPI i utrzymywany

Przy zapisie do skrzynek znacznik antywirusowy (ang.antivirus stamp) jest dodawany do pól MAPI i utrzymywany

80

Antivirus StampBezpieczeństwo - szczegółyAntivirus StampBezpieczeństwo - szczegóły

A co jeśli ktoś będzie próbował sfałszowaćznacznik (AV stamp) w celu uniknięcia skanowania?

� Serwer Exchange Edge lub Hub usuwa wszystkie istniejące znaczniki z emaili pochodzących z zewnątrz

� Serwer Edge lub Hub usuwa znaczniki z poczty wychodzącej

� Nie ma powodu, żeby znacznik z jednej organizacji funkcjonował w innej

� Znacznik zawsze musi pochodzić z zaufanego serweraExchange w obrębie danej organizacji

A co jeśli ktoś będzie próbował sfałszowaćznacznik (AV stamp) w celu uniknięcia skanowania?

� Serwer Exchange Edge lub Hub usuwa wszystkie istniejące znaczniki z emaili pochodzących z zewnątrz

� Serwer Edge lub Hub usuwa znaczniki z poczty wychodzącej

� Nie ma powodu, żeby znacznik z jednej organizacji funkcjonował w innej

� Znacznik zawsze musi pochodzić z zaufanego serweraExchange w obrębie danej organizacji

81

Skanowanie skrzynek (Mailbox Server)Skanowanie skrzynek (Mailbox Server)

Trzy tryby:Podstawowy (default)

Zagrożenie infekcją (outbreak)

Maksymalne bezpieczeństwo (ultimate security)

Dwa podstawowe mechanizmy skanowania:Skanowanie w momencie odczytu wiadomości

Inkrementalne skanowanie w tle

Skanowanie na żądanie

Trzy tryby:Podstawowy (default)

Zagrożenie infekcją (outbreak)

Maksymalne bezpieczeństwo (ultimate security)

Dwa podstawowe mechanizmy skanowania:Skanowanie w momencie odczytu wiadomości

Inkrementalne skanowanie w tle

Skanowanie na żądanie81

82

Tryb podstawowy (default mode)Tryb podstawowy (default mode)Nie są skanowane wiadomości zapisywane do skrzynki

Wiadomości są skanowane przy odczycie tylko jeśli nie były skanowane wcześniej (np. na serwerze Edge)

W praktyce skanowane są maile w folderze wiadomości wysłanych (Sent), pliki w folderach publicznych (Public Folders), oraz w skrzynce wiadomości wychodzących (Outbox)

Skanowanie periodyczne, codziennie, e-maili spełniających określone kryteria np. otrzymane w ciągu x godzin, starsze niż x dni, zawierające załączniki itp.

Nie są skanowane wiadomości zapisywane do skrzynki

Wiadomości są skanowane przy odczycie tylko jeśli nie były skanowane wcześniej (np. na serwerze Edge)

W praktyce skanowane są maile w folderze wiadomości wysłanych (Sent), pliki w folderach publicznych (Public Folders), oraz w skrzynce wiadomości wychodzących (Outbox)

Skanowanie periodyczne, codziennie, e-maili spełniających określone kryteria np. otrzymane w ciągu x godzin, starsze niż x dni, zawierające załączniki itp.

82

83

Tryb zagrożenia infekcjąTryb zagrożenia infekcją

Przy zapisie do skrzynkiWiadomości nie są skanowane

Przy pierwszym dostępieWiadomości są skanowane

Przy kolejnych dostępachWiadomości są skanowane jeśli chociaż jedna baza wirusów uległa zmianie (Włączona opcja Scan on Scanner Update)

Skanowanie w tleSkanowane są wszystkie wiadomości w zależności od parametrów

Jeden raz dziennie

Przy zapisie do skrzynkiWiadomości nie są skanowane

Przy pierwszym dostępieWiadomości są skanowane

Przy kolejnych dostępachWiadomości są skanowane jeśli chociaż jedna baza wirusów uległa zmianie (Włączona opcja Scan on Scanner Update)


Jeden raz dziennie83

84

Tryb maksymalnego bezpieczeństwaTryb maksymalnego bezpieczeństwa

84

Przy zapisie do skrzynkiWiadomości są zawsze skanowane

Przy pierwszym dostępieWiadomości są skanowane jeśli silniki antywirusowe zostały zaktualizowane w międzyczasie

Przy kolejnych dostępachWiadomości są skanowane jeśli chociaż jedna baza wirusów uległa zmianie (Włączona opcja Scan on Scanner Update) od momentu poprzedniego skanowania


Restartowane przy każdej aktualizacji skanerów

Przy zapisie do skrzynkiWiadomości są zawsze skanowane

Przy pierwszym dostępieWiadomości są skanowane jeśli silniki antywirusowe zostały zaktualizowane w międzyczasie

Przy kolejnych dostępachWiadomości są skanowane jeśli chociaż jedna baza wirusów uległa zmianie (Włączona opcja Scan on Scanner Update) od momentu poprzedniego skanowania


Restartowane przy każdej aktualizacji skanerów

85

Forefront Security - podsumowanieForefront Security - podsumowanie

Kompleksowa ochrona antywirusowa

Bazy wielu producentów dostępne w jednym produkcie

Spójne wsparcie zarówno dla serwerów pełniących role transportowe jak i role składowania danych

Elastyczne możliwości konfiguracji

Kompleksowa ochrona antywirusowa

Bazy wielu producentów dostępne w jednym produkcie

Spójne wsparcie zarówno dla serwerów pełniących role transportowe jak i role składowania danych

Elastyczne możliwości konfiguracji

85

86

RFC 2821 http://www.ietf.org/rfc/rfc2821.txt






RFC 4408 http://www.ietf.org/rfc/rfc4408.txtdefiniuje SPF (Sender Policy Framework)


definiuje MSA (Mail Submission Agent)







RFC 4408 http://www.ietf.org/rfc/rfc4408.txtdefiniuje SPF (Sender Policy Framework)


definiuje MSA (Mail Submission Agent)

Wybrane dokumenty RFCWybrane dokumenty RFC

87

Krótka prezentacja multimedialna o Forefront Security dla Exchange Serwera

http://www.microsoft.com/forefront/serversecurity/exchange/en/us/demos.aspx

Protokoły w Exchange Serverhttp://msdn.microsoft.com/en-us/library/cc425499.aspx

Dostęp do wirtualnych laboratoriów poświęconych MS Exchange

TechNet Virtual Labs: Exchange Serverhttp://technet.microsoft.com/en-us/bb499043.aspx

Krótka prezentacja multimedialna o Forefront Security dla Exchange Serwera

http://www.microsoft.com/forefront/serversecurity/exchange/en/us/demos.aspx

Protokoły w Exchange Serverhttp://msdn.microsoft.com/en-us/library/cc425499.aspx

Dostęp do wirtualnych laboratoriów poświęconych MS Exchange

TechNet Virtual Labs: Exchange Serverhttp://technet.microsoft.com/en-us/bb499043.aspx

Informacje dodatkoweInformacje dodatkowe

88

PodsumowaniePodsumowanieMicrosoft Exchange 2007

Nowoczesna, skalowalna architektura

Szeroki wachlarz metod antyspamowych

Wspiera większość powszechnie stosowanych podejść do ochrony antyspamowej

Microsoft Forefront Security for Exchange 2007

Całościowa ochrona infrastruktury Exchange-a przed wirusami i złośliwym oprogramowaniem

Zoptymalizowana wydajność

Uproszczone zarządzanie

Microsoft Exchange 2007Nowoczesna, skalowalna architektura

Szeroki wachlarz metod antyspamowych

Wspiera większość powszechnie stosowanych podejść do ochrony antyspamowej

Microsoft Forefront Security for Exchange 2007

Całościowa ochrona infrastruktury Exchange-a przed wirusami i złośliwym oprogramowaniem

Zoptymalizowana wydajność

Uproszczone zarządzanie 88

8989

Informacje kontaktowe Informacje kontaktowe Informacje kontaktowe Autor prezentacji

[email protected]

Centrum Innowacji Microsofthttp://mic.psnc.pl

[email protected]

PCSShttp://www.pcss.pl

Zespół Bezpieczeństwa PCSShttp://security.psnc.pl

[email protected]

Autor prezentacjiAutor prezentacjimilosmilos@@manman..poznanpoznan..plpl

Centrum Innowacji MicrosoftCentrum Innowacji Microsofthttp://http://micmic..psncpsnc..plpl

micmic@@manman..poznanpoznan..plpl

PCSSPCSShttp://http://wwwwww..pcsspcss..plpl

ZespZespóółł BezpieczeBezpieczeńństwa PCSSstwa PCSShttp://http://securitysecurity..psncpsnc..plpl

securitysecurity@@manman..poznanpoznan..plpl

9090

Pytania i dyskusjaPytania i dyskusjaPytania i dyskusja

Dziękuję za uwagę!DziDzięękujkujęę za uwagza uwagęę!!