Spam Protection with Spam Protection with OpenBSD and PF (spamd)OpenBSD and PF (spamd)

Gökhan ALKANgokhan@enderunix.org

19-10-2007

Spam Nedir ?

• Kullanıcının isteği dışında genellikle reklam amaçlı olarak gönderien maillere spam denilebilir.

Spam Maillerin Neden Olabileceği Sorunlar ve Tehlikeler

• Kullanıcı zamanının boşa harcanması, sunucu kaynaklarının tüketilmesi vs ..

• Phishing yöntemi ile kullanıcıya ait özel bilgilerin elde edilmeye çalışılması .

Phishing Yöntemi Nedir ?

• Daha çok Instant messaging ve Mail yolu ile yapılan kullanıcıya özel bilgilerin elde edilmesi. Bu yöntem ile daha çok ;

1. Kredi, Debit/ATM Kart Numaraları/CVV2

2. Şifreler ve Parolalar 3. Hesap Numaraları 4. İnternet Bankacılığı İçin Kullanılan Kullanıcı Kodu ve Şifreleri

Örnek Phishing Mail İçeriği• Örnek:

Sayin XXXX Bank MusterisiHesabiniza 12/ekim/2007 tarihinde YYY ZZZ tarafindan ??? YTL. havale edilmistir. Yapilan havale ile ilgili ayrintilar asagidadir.

Gonderen: YYY ZZZ Miktar: ??? YTL. Sube: CCC / MerkezAciklama: -Havale onay ve/veya red islemi icin asagidaki linkden internet bankaciligini kullanabilirsiniz ve/veya hesabinizda gerekli incelemeleri yapabilirsiniz. Size havale gonderen kisinin bilgileri icinde asagidaki linki kullanabilirsiniz...

• www.abcd.com.tr • Eger yukaridaki link calismiyorsa lutfen asagidaki linki kullaniniz.

http://X.Y.Z.T/form/ 

Spamla Savaşma Yöntemleri

Pasif ve aktif olmak üzere spamle savaşmak için 2 yol bulunmaktadır.

1 Pasif Yönte1.1 İçerik Filtreleme

2. Aktif Yöntem2.1 Kara Liste Uygulamaları2.2 Greylist

Pasif Yöntem

• Pasif yöntem ile bütün mailler hiç bir ip adres bilgisi kısıtlaması olmadan kabul edilir ve içerik filtrelemesinden geçirilerek spam olup olmadığına karar verilir.

• Avantajları ve Dezavantajları vardır.

Pasif Yöntem Ve Dezavantajları

• Sunucu kaynaklarının boşa tüketilmesi , false-pozitif sonuçlar .

• Özelliklede spam yapan kişilerin mailin kullanıcıya gittiğini varsayması ve daha çok spam gönderilmesine sebep olması.

Pasif Yöntem Ve Avantajları

• Maillerin kaybedilmemesi. Mailler içerik filtrelemesinden geçtikten sonra kullanıcının mail kutusuna düştüğü için mailler kaybedilmez.

• Başta bayesian methodu olmak üzere çeşitli teknikler kullanılarak spam tanıma yüzdesinin artması.

Aktif Yöntem 1 – Kara Liste Uygulaması

• Kara Liste yöntemi ile daha önce belirlenmiş ip adreslerinden mail kabul etmeme.

Bu yöntemde mail sunucunun ip adres bilgisinin kara listelere girmiş olması yeterli.

Bu yöntemden özellikle ; • Adsl ip bloklarına sahip mail sunucular• Çok fazla kullanıcıya hizmet veren kampüs

ağları yada büyük kuruluşlar etkilenmektedir.

Aktif Yöntem 2 – Spamd ve PF Greylist Uygulaması

• Greylist uygulaması Spamd ve PF• SMTP [ RFC 2821 ] protokolünde belirtilen spesifikasyonlara göre geriye

“450 Requested mail action not taken: mailbox unavailable error” mesajı döner. Eğer gerçek bir mail sunucu yazılımından mail atılmışsa mail tekrar gönderilecektir.

Greylist Nasıl Çalışır ?

• Whitelist: Spam mail göndermediği düşünülen Mail sunucular

• Blacklist: Spam mail gönderdiği düşünülen Mail sunucular

• Greylist: Henüz karar verilmemiş , spammer olup olmadığına karar verilecek.

Pf Kuralları -1

1. table <spamd> persist 2. table <spamd-white> persist 3. table <spamd-mywhite> persist file "/usr/local/etc/spamd-

mywhite" 4. rdr pass inet proto tcp from <spamd-white> to $external_addr

port smtp -> 127.0.01 port 25 5. rdr pass inet proto tcp from <spamd> to $external_addr port smtp

-> 127.0.0.1 port spamd 6. rdr pass inet proto tcp from !<spamd-mywhite> to $external_addr

port smtp -> 127.0.0.1 port spamd 7. pass in log inet proto tcp from any to $external_addr port smtp

flags S/SA synproxy state 8. pass out log inet proto tcp from $external_addr to any port smtp

flags S/SA synproxy state

Pf Kurallari - 2

• spamd-setup -> <spamd> spamd tablosunu düzenliyor.

Cron işi ile tablo düzenleniyor • spamlogd -> <spamd-white> spamdlogd

ilede spamd-white tablosu duzenleniyor.

TeşekkürlerTeşekkürler

Tesekkurler