Павел Нагаев MCSE, MCITP, MVP Exchange КТК-Р IS 302.

Содержание

Слайд 2

Технические аспекты защиты от спама

Павел Нагаев

MCSE, MCITP, MVP Exchange

КТК-Р

IS 302

Технические аспекты защиты от спама Павел Нагаев MCSE, MCITP, MVP Exchange КТК-Р IS 302

Слайд 3

Содержание

Краткий обзор продуктов защиты от спама
Архитектура защиты
Обзор Forefront Protection 2010 for

Содержание Краткий обзор продуктов защиты от спама Архитектура защиты Обзор Forefront Protection
Exchange Server
Алгоритм работы спам-фильтров
Общие рекомендации по настройке
Итоги
Вопросы (теле-мост)

Слайд 4

Интегрированная защита от спама

Интегрированная защита от спама

Слайд 5

Архитектура защиты от спама

Интернет

СПАМ

СПАМ

Чистая почта

Чистая почта

Уровень Интернета

Уровень сервера

Уровень клиента

Edge Transport role

Hub Transport

Чистая

Архитектура защиты от спама Интернет СПАМ СПАМ Чистая почта Чистая почта Уровень
почта

Периметр

Слайд 6

Forefront Protection 2010 for Exchange Server

Forefront Protection 2010 for Exchange Server

Слайд 7

Централизованное управление серверами Exchange 2010 Hub и Edge, FPE 2010 и FOPE

Отчеты

Централизованное управление серверами Exchange 2010 Hub и Edge, FPE 2010 и FOPE
о спаме

Управление настройками антивируса и спам-фильтра

Консоль управления

Слайд 8

Virus Bulletin (Июль 2010)

Virus Bulletin (Июль 2010)

Слайд 9

Транспортные агенты FPE 2010

Транспортные агенты FPE 2010

Слайд 10

Уровень соединения

Уровень протокола

Уровень содержимого

Почтовый ящик / Хранилище


Входящие

Папка Junk

Администратор
Карантин

Входящая почта

Уровень соединения Уровень протокола Уровень содержимого Почтовый ящик / Хранилище Входящие Папка
из Интернет

2

3

1

Списки IP Allow/Deny
Блок-листы Forefront DNSBL/ 3-х фирм

Фильтр Cloudmark
Отпечатки
Анти-фишинг
Карантин
Значение SCL
Обновления

Фильтры отправителя/получателя
Sender ID
Списки доверенных отправителей
Фильтр Backscatter
Анализ протокола
SMTP Tarpitting
Инкрементальный Edge Synch
Message submission rate (per IP)

Спам-фильтры Forefront Protection 2010 for Exchange Server

Слайд 11

Фильтрация на уровне соединения

Проверяем список разрешенных IP-адресов

Начало сеанса SMTP

Нет

Да

Проверяем список запрещенных IP-адресов

IP-адрес

Фильтрация на уровне соединения Проверяем список разрешенных IP-адресов Начало сеанса SMTP Нет
в списке разрешенных IP адресов?

IP-адрес в списке запрещенных IP адресов?

2

Проверяем список поставщиков
разрешенных IP-адресов

Проверяем список поставщиков запрещенных IP-адресов

Фильтр отправителя

Нет

IP-адрес в «белом» списке поставщиков?

Нет

IP-адрес в «черном» списке поставщиков?

1

3

4

Разорвать соединение и не применять другие фильтры

Разорвать соединение и не применять другие фильтры

Да

Да

Да

Слайд 12

Как работает DNS Block List

C:\>nslookup 161.41.195.109.zen.spamhaus.org
Server: dns.exchangerus.ru
Address: 10.10.10.10
Non-authoritative answer:
Name: 161.41.195.109.zen.spamhaus.org
Address: 127.0.0.11

IP спам-сервера:

Как работает DNS Block List C:\>nslookup 161.41.195.109.zen.spamhaus.org Server: dns.exchangerus.ru Address: 10.10.10.10 Non-authoritative
109.195.41.161

C:\>nslookup 85.78.15.152.zen.spamhaus.org
Server: dns.exchangerus.ru
Address: 10.10.10.10
*** dns.exchangerus.ru can't find 85.78.15.152.zen.spamhaus.org: Non-existent domain

Слайд 13

Ответы Forefront DNS Block List

550 5.7.1 :127.0.0.5:Client host 113.160.112.120 blocked using 88.blocklist.zap;

Ответы Forefront DNS Block List 550 5.7.1 :127.0.0.5:Client host 113.160.112.120 blocked using
Mail from IP banned. To request removal from this list please forward this message to [email protected]

550 5.7.1 :127.0.0.10:Client host 109.195.41.161 blocked using 87.blocklist.zap; Mail from IP banned. To request removal from this list please visit http://www.spamhaus.org/query/bl?ip=$

Возвращает Код Описание
127.0.0.2 SBL Spamhaus SBL Data
127.0.0.3 SBL Spamhaus SBL CSS Data
127.0.0.4 XBL CBL Data
127.0.0.5 XBL Customized NJABL Data
127.0.0.10 PBL ISP Maintained
127.0.0.11 PBL Spamhaus

Слайд 14

Запрос ForeFront DNS Block list

IP адрес сервера: 209.85.216.178

Запрос в DNS: 17FD30FA6789C636-209.85.216.178.blocklist.messaging.microsoft.com

Хеш

IP

DNS имя

Запрос ForeFront DNS Block list IP адрес сервера: 209.85.216.178 Запрос в DNS:
сервера

Слайд 15

Уровень соединения

Плюсы
Экономия на трафике (разрыв соединения на уровне SMTP)
Блокировка конкретного спам-сервера

Уровень соединения Плюсы Экономия на трафике (разрыв соединения на уровне SMTP) Блокировка
или сбойного сервера
Комментарий и время жизни (EMS)
Включение Forefront DNSBL одним нажатием
Минусы
Ручная настройка и разрастание списков
Ошибочное попадание отправителей в списки спам серверов
Неграмотность пользователей

Слайд 16

Проверяем адрес отправителя

Фильтр соединения

Нет

Фильтрация получателей

Адрес в списке запрещенных отправителей?

Разорвать соединение и не

Проверяем адрес отправителя Фильтр соединения Нет Фильтрация получателей Адрес в списке запрещенных
применять другие фильтры

Да

Схема фильтрации отправителей

Слайд 17

Синхронизация EdgeSync

E2007: Полная AD синхронизация на Edge = до 4 часов

E2007: Ручное

Синхронизация EdgeSync E2007: Полная AD синхронизация на Edge = до 4 часов
обновление = до 4 часов

E2010: Автоматическое обновление = 30 секунд

E2007:
Safe
Senders List
+
E2010:
Blocked
Senders List

E2010: EDGE SYNCH = 30 сек

Белые и черные списки отправителей синхронизируются на Edge сервер за секунды

Mailbox role

Domain Controller

Edge Server

Слайд 18

Плюсы
Возможность заблокировать рассылки или «настойчивых» пользователей
Минусы
Легко подделать отправителя
Нет возможности добавить комментарий
Ограничение

Плюсы Возможность заблокировать рассылки или «настойчивых» пользователей Минусы Легко подделать отправителя Нет
по количеству записей

Фильтрация отправителей

Слайд 19

Проверяем адрес получателя

Фильтрация отправителей

Проверяем адрес получателя в Глобальном списке

Адрес в списке запрещенных

Проверяем адрес получателя Фильтрация отправителей Проверяем адрес получателя в Глобальном списке Адрес
получателей?

Разорвать соединение на уровне SMTP
(MAIL FROM)

Да

Адрес существует в Глобальном адресном списке?

Разорвать соединение на уровне SMTP
(MAIL FROM)

Да

Нет

Нет

Фильтрация Sender ID

Фильтрация получателей

Слайд 20

Режим замедления ответов SMTP (Tarpit)

Предотвращает Directory Harvesting Attack (DHA) – подбор «живых»

Режим замедления ответов SMTP (Tarpit) Предотвращает Directory Harvesting Attack (DHA) – подбор
адресов
Tarpit интервал равен 5 секундам по умолчанию

1 Client: MAIL FROM: [email protected]
2 Server: 250 2.1.0 [email protected] OK
3 Client: RCPT TO: [email protected]
4 Server: 250 2.1.5 [email protected]
5 Client: RCPT TO: [email protected]
6 Server: 550 5.5.1 User Unknown

Слайд 21

Фильтрация получателей

Плюсы
Запрет приема сообщений для определенных пользователей
Принимать сообщения для существующих получателей
Минусы
Подбор

Фильтрация получателей Плюсы Запрет приема сообщений для определенных пользователей Принимать сообщения для
адресов электронной почты

Слайд 22

Механизм Sender ID

DNS

Аутентификация
прошла
не прошла

Входящие

Нежелательная почта

1

2

3

4

5

exchangerus.ru. IN TXT “v=spf1

Механизм Sender ID DNS Аутентификация прошла не прошла Входящие Нежелательная почта 1
ip4:85.111.10.40 +a:smtp.exchangerus.ru –all”

Уровень протокола. Код отправителя

Интернет

Слайд 23

Код отправителя (Sender ID)

Плюсы
Идентификация сервера отправителя
Не нужно проверять MX
FPE действует только наверняка
Минусы
Пересылка

Код отправителя (Sender ID) Плюсы Идентификация сервера отправителя Не нужно проверять MX
почты на другой адрес (механизм forward)
Прием получателем почты через резервный почтовый сервер (backup MX)

Слайд 24

Что такое Backscatter?

Backscatter — NDR спам с подделанным адресом отправителя
Bounce Address Tag

Что такое Backscatter? Backscatter — NDR спам с подделанным адресом отправителя Bounce
Validation(BATV) — технология по защите от NDR спама

[email protected]

prvs=Fключ(время жизни, адрес)[email protected]

Пример: [email protected]

Слайд 25

FPE 2010 добавляет хешированную метку к P1.MailFrom

Получатель не может доставить сообщение и

FPE 2010 добавляет хешированную метку к P1.MailFrom Получатель не может доставить сообщение
возвращает его обратно

Внутренний пользователь отправляет сообщение на корпоративный сервер

Если метка существует, то NDR будет доставлен пользователю

FPE 2010 просматривает метку

Внутренний пользователь
([email protected])

FPE 2010

Сервер получателя


Механизм работы Anti-Backscatter

Слайд 26

Получатель не может доставить и должен послать NDR

3. FPE 2010 ищет хешированную метку

1. Спамер

Получатель не может доставить и должен послать NDR 3. FPE 2010 ищет
генерирует сообщение с фальшивым адресом в MAIL FROM и посылает его на сервер.

4. Если метки нет, то сообщение признается backscatter spam

FPE 2010

Сервер получателя

Spammer

Внутренний пользователь
([email protected])

Backscatter. Атака спамера

Слайд 27

Технология backscatter в FPE

Используется два транспортных агента для анализа хешированной метки
Метка содержит

Технология backscatter в FPE Используется два транспортных агента для анализа хешированной метки
отправителя и время
Backscatter начинает работать через 24 часа
accepted: in phase out period, BATV tag was not validated
rejecting: BATV tag validation failed, returning 550 response.
550 5.7.1 Request action not taken: message refused

Слайд 28

Фильтр содержимого

Новый фильтр Cloudmark Authority Engine
Изменены значений SCL

Фильтр содержимого Новый фильтр Cloudmark Authority Engine Изменены значений SCL

Слайд 29

Цифровые отпечатки (Fingerprints)

Применяется к каждому входящему сообщению*
Fingerprints не определяет относится письмо к

Цифровые отпечатки (Fingerprints) Применяется к каждому входящему сообщению* Fingerprints не определяет относится
спаму или нет
Fingerprints сравниваются с локальным кэшем известных «спамовых» fingerprints

Spam

Легитимное

Fingerprint Cache

Reject

* Исключения: Safe Senders/Recipients/Safe Listed Ips и т.д.

Message Fingerprinting

Content Analysis
URL/Domain
Information Entropy
Redirectors
Pattern Hash
Pattern Dictionary
Dynamic Patterns
Longest Common String
Image Framework (decoding/noise reduction)

Данные кэша обновляются каждые 45 секунд
В случае совпадения письмо считается спамом
В случае несовпадения запускается эвристика.
Если не совпадает, то письмо считается легитимным

Слайд 30

Отчеты о работе спам-фильтров

X-MS-Exchange-Organization-Antispam-Report: v=1.1
cv=UmKbMGcK0ODFGOVLbWSsnc4cSM78ciSOlL3oFpZVzQQ= c=1 sm=1 a=gH2l33NO9zgA:10
a=xNkmr0qudcMA:10 a=jPJDawAOAc8A:10 a=Fdkxr_5KmFUA:10 a=ytB2GYGUEEAA:10
a=ibi3b6Q5wLy8D8VTdfDbdA==:17 a=-OZdoqLpvXrLEne8aosA:9
a=nb3xUh8hnMWWdIaeiJIBI77mBnsA:4

Отчеты о работе спам-фильтров X-MS-Exchange-Organization-Antispam-Report: v=1.1 cv=UmKbMGcK0ODFGOVLbWSsnc4cSM78ciSOlL3oFpZVzQQ= c=1 sm=1 a=gH2l33NO9zgA:10 a=xNkmr0qudcMA:10 a=jPJDawAOAc8A:10
a=pvA44qeTxYYA:10
a=ibi3b6Q5wLy8D8VTdfDbdA==:117;OrigIP:119.153.147.78;SCL:-1 

Заголовок письма

PowerShell

Консоль Forefront

Слайд 31

Рекомендации по защите от спама

Правильная настройка почтовых серверов в DNS (A, PTR,

Рекомендации по защите от спама Правильная настройка почтовых серверов в DNS (A,
MX, Sender ID)
Проверка получателей в Active Directory
Настройка интервала задержки (Tarpit)
Запрет приема почты от «своего» домена
Использование Forefront DNSBL
Схема работы спам-фильтров
Поиск заблокированных писем

Слайд 32

Спам нельзя победить полностью, но с ним можно успешно бороться
Защита должна быть

Спам нельзя победить полностью, но с ним можно успешно бороться Защита должна
многоуровневой
Изменение психологии работы с почтой
Борьба со спамом — соблюдение баланса
Эффективность или блокировка легитимных писем
Администратор или пользователь

Итоги

Слайд 33

Ресурсы

Дополнительные сессии по теме
IS 303: Облачные технологии безопасности для компании (18/11,

Ресурсы Дополнительные сессии по теме IS 303: Облачные технологии безопасности для компании
13:00-14:00, Селигер)
CT 304: Миграция на Exchange Server 2010: сценарии, рекомендации, практический опыт (18/11, 16:00-17:00, Зона интерактивных сессий)
Блоги
http://www.exchangerus.ru
http://blogs.technet.com/securityrus

Слайд 34

Официальные курсы и сертификация Microsoft

Более 300 официальных курсов Microsoft доступно в России.

Официальные курсы и сертификация Microsoft Более 300 официальных курсов Microsoft доступно в

Официальные курсы можно прослушать только в авторизованных учебных центрах Microsoft
под руководством опытного сертифицированного инструктора Microsoft
интенсивное обучение с акцентом на практику
более 80-и учебных центров более чем в 20-и городах России (+ дистанционные и выездные курсы)
Сертификат Microsoft - показатель квалификации ИТ-специалиста для работодателя .
Microsoft предлагает гибкую систему сертификаций.
Все курсы, учебные центры и центры тестирования: www.microsoft.com/rus/learning

Слайд 35

Специальные предложения
Сертификационный пакет со вторым шансом
Пакеты экзаменационных ваучеров со скидкой от 15

Специальные предложения Сертификационный пакет со вторым шансом Пакеты экзаменационных ваучеров со скидкой
до 20% и бесплатной пересдачей («вторым шансом»). Все экзамены сдаются одним человеком.
Сэкономьте 15% на сертификации вашей ИТ-команды
Пакет из 10-и экзаменационных ваучеров со скидкой 15% для сотрудников ИТ-отдела. «Второй шанс» включен. Ваучеры можно произвольно распределять между сотрудниками.
Microsoft Certified Career Conference
Первая 24-часовая глобальная виртуальная конференция с 18 ноября с 15.00 (моск. время) по 19 ноября 2010 г.
Сессии по технологиям и построению карьеры
Скидка 50% для сертифицированных специалистов Microsoft и студентов
Бесплатная подписка на TechNet для слушателей официальных курсов
Некоторые курсы по SharePoint, Windows 7; Windows Server 2008; SQL Server 2008
Детали: www.microsoft.com/rus/learning

С 22 ноября 2010 г. – подписка TechNet бесплатно для слушателей курсов. Количество ограничено!

Слайд 36

Обратная связь

Ваше мнение очень важно для нас. Пожалуйста, оцените доклад, заполните

Обратная связь Ваше мнение очень важно для нас. Пожалуйста, оцените доклад, заполните
анкету и сдайте ее при выходе из зала
Спасибо!

Слайд 37

Вопросы

IS 302
Павел Нагаев
Ведущий администратор системы электронной почты, КТК-Р
[email protected]
http://www.exchangerus.ru
Вы сможете

Вопросы IS 302 Павел Нагаев Ведущий администратор системы электронной почты, КТК-Р pan@exchangerus.ru
задать вопросы докладчику в зоне «Спроси эксперта» в течение часа после завершения этого доклада
Имя файла: Павел-Нагаев-MCSE,-MCITP,-MVP-Exchange-КТК-Р-IS-302..pptx
Количество просмотров: 165
Количество скачиваний: 2