Download pptx - Борьба со спамом и вредоносным кодом с помощью Microsoft Exchange 2007/2010 и

Microsoft TechDayshttp://www.techdays.ru

Борьба со спамом и вредоносным кодом с помощью

Microsoft Exchange 2007/2010 и Forefront Protection for Exchange

2010 - Теория

Мокшин Сергей ГеннадьевичОАО «ВСГК»[email protected]


План презентации

Общие СведенияФинансовая сторонаТехнологии СПАМ рассылокМетоды борьбы со спамом и их недостаткиРекомендации по настройке почтовой системыЛичная гигиенаВопросы и ответы.


Официально 80-95% всех писем рунета1-3% содержат вирусы8-10% фишинговые сообщения

Статистика СПАМа

РекламаФишингЗаражение компьютеровАтаки DoS«Нигерийские письма»

Цели СПАМ-рассылок

Junk mail (Мусор)Нежелательная почтаUnsolicited e-mail (Непрошенная)

Синонимы

Spiced ham - в буквальном переводе spiced ham – «ветчина со специями»Спам – это анонимная массовая непрошенная рассылка.

Значение слова СПАМ (SPAM)?

Общие сведения


Рейтинг стран (% спама)

19.9

8

7.2

6.3

4.83.53.4

3.22.3

2.12.1

2.12

1.9

1.71.61.51.51.41.4

22.2

Ноябрь 2009СШАРоссияИндияБразилияВьетнамКореяИталияПольшаИспанияАргентинаРумынияКитайКолумбияУкраинаАнглияФранцияТайваньМексика


Закон о рекламе ст.18 (Незаконно, но не

всё)Лучший закон в Австралии

($800k за каждое письмо)

Законность?

Малый бизнесИнтернет-структурыРекламные агентства

Кто платит СПАМерам?

поставщики ПО, баз, IP-адресов; вирусописатели; сами спамеры (рассыльщики); спамоустойчивые хостеры; рекламодатели; рекламные агентства.

Инфраструктура СПАМ-рынка

очень дёшево (0,1 USD за тысячу показов);высокий отклик (до 1-3%);никакого регулирования, теневая экономика;порог вхождения на рынок очень низок (несколько тысяч USD).

Причины эффективности СПАМа

Рынок


Финансовые потери

Не боремся со спамомНизкая скорость приёма нужной почты, примерно в N*100 раз (N=1 – 100);Плата за дисковое пространство и за трафик N*100*50Kb=N*5Mb в день => N*110Mb в месяц;Потеря времени сотрудников на чистку почтовых ящиков до 30 мин в день => до 11ч в месяц => 50сотр.*(20т.р./22д/8ч)*11ч=62,5 т.р./мес;

Боремся со спамомОплата средств антиспама;Потери от ложных срабатываний;Время на обслуживание средств антиспама;Оплата мощностей оборудования.


Механизмы СПАМ рассылок

Рассылка вручнуюРассылка при помощи специальных программРассылка через некорректно настроенные почтовые серверыРассылка с применением web-интерфейсаТроянские проксиСПАМ боты


Методы борьбы со СПАМом

Методы, основанные на анализе письма;

Детекторы массовой рассылки;

Методы, основанные на признании отправителя в качестве спамера;

Методы, основанные на верификации обратного адреса отправителя и его домена;

GreyListing – эмуляция устранимой ошибки;

Tarpit - Задержка ответа при соединении;

Спам-ловушки (Honey Pot).


Анализ письма

По формальным признакам,

По содержимому с использованием сигнатурного

анализа,

По содержимому с применением статистических

методик.,

По содержимому с использованием SURBL (Spam URL

Realtime Block Lists — списка блокировки спамерских

URL). Идея метода состоит в поиске расположенных в

теле письма ссылок и их проверке по базе SURBL. Этот

метод эффективен против спама, в котором для обхода

фильтров вместо рекламы применяется ссылка на сайт

с рекламой.


Детекторы массовой рассылки

Как следует из названия, их задачей является обнаружение рассылки похожего письма большому количеству абонентов;

“Вариант Майкрософт” – Sender Reputation Filter, основан на запоминании пришедших писем и использовании их при приёме следующих.


Ответный ход спамеров

Персонализация сообщений (Уважаемый Zaitsev! Специалисты нашей компании изучили ваш сайт www.smolen.ru и пришли к выводу….);

Использование пробелов и иных разделителей в словах («К У П И ТЕ супер-товар»);

Транслитерация («Купите супертовар», «][акер», «}{акер» или «4ерный»);

Перефразирование («Купите супертовар» и «Приобретайте нашу отличную продукцию»);

Добавление постороннего текста;

Использование возможностей HTML;

Замена рекламы на URL или на изображение.


Признание отправителяв качестве спамера

RBL (Realtime Block List) база IP адресов СПАМ-машин.White IP List – база доверенных IP адресов.

Ip a.b.c.d

Есть/нет в базе


Ответный ход спамеров

Рассылка при помощи бот-машин и троянских прокси;

Динамические IP адреса;

Бесплатные RBL листы могут давать относительно много ложных срабатываний;

Не все системный администраторы хороши. Неправильная настройка шлюза приводит к его попаданию в RBL.

Недостатки методов


Верификация обратного адреса и домена

DNS-запрос по имени домена;

Проверка PTR записи (обратная зона);

Caller ID + SPF (Sender Policy Framework)

Sender ID Framework + SRS (Sender Rewriting Scheme).

Технология DomainKeys Identified Mail (DKIM)


DNS-запрос по имени домена

DNS vsgk.ruЕсть/нет

vsgk.ruvsgk.ru text = "v=spf1 mx -all"vsgk.ru MX preference = 20, mail exchanger = mail1.vsgk.ruvsgk.ru MX preference = 10, mail exchanger = mail.vsgk.ru

vsgk.ru internet address = 195.151.248.117vsgk.ru nameserver = ns.virtech.ruvsgk.ru nameserver = ns2.virtech.ru

vsgk.ru nameserver = ns2.virtech.ruvsgk.ru nameserver = ns.virtech.rumail.vsgk.ru internet address = 195.206.47.30mail1.vsgk.ru internet address = 195.239.200.178


Проверка PTR записи

Ip a.b.c.dmail.vsgk.ru

195.206.47.30

mail.vsgk.ruAddress: 195.206.47.30


Проверка SPF записи

DNS запрос

Txt v=spf 1 mx -all

vsgk.ruvsgk.ru text = "v=spf1 mx -all"vsgk.ru MX preference = 20, mail exchanger = mail1.vsgk.ruvsgk.ru MX preference = 10, mail exchanger = mail.vsgk.ru

vsgk.ru internet address = 195.151.248.117vsgk.ru nameserver = ns.virtech.ruvsgk.ru nameserver = ns2.virtech.ru

vsgk.ru nameserver = ns2.virtech.ruvsgk.ru nameserver = ns.virtech.rumail.vsgk.ru internet address = 195.206.47.30mail1.vsgk.ru internet address = 195.239.200.178


Ответный ход спамеровРегистрация нормальных доменов со всеми записями;

Использование бесплатных почтовых служб;

Использование в поле from нормального адреса;

Не все системные администраторы хороши. На DNS не прописаны SPF записи;

Не все провайдеры хороши. На DNS не прописаны PTR записи обратной зоны;

Проблема пересылок почты.

Технология DKIM относительно молода (Стандарт 2007г). Практически не используется.



Другие методы

GreyListing – эмуляция устранимой ошибки;

Доказательство надёжности отправителя самим отправителем;

Tarpit - Задержка ответа при соединении;

Спам-ловушки (Honey Pot).



У грейлистинга проблема с отправителями, у которых несколько серверов с разными IP;

Не все сисадмины хороши. Ожидание ответа маленькое. (Возможно экономические причины);


Рекомендации по настройке серверов.

Прописать PTR записи в DNS провайдеров;

Прописать в своём DNS записи (A, MX, SPF);

Запретить пересылку через ваш сервер неавторизованным

пользователям;

Защищаться от вирусов;

Запрет приема почты от «своего» домена;

Проверка получателей в Active Directory;

Настройка интервала задержки(Tarpit);

Использование RBL/DNSBL;

Использование «серых» списков;

Использование других фильтров;


Личная гигиена

Завести два почтовых адреса – один для регистраций в интернет, другой – рабочий;

Не публиковать адреса в сети Интернет;

Выбрать правильное имя, а не [email protected], [email protected], [email protected] и т.п.;

Защищаться от вирусов, не посещать ненадёжные узлы в сети Интернет;

Обучить всему этому пользователей.


Полезные ссылкиАнтиспам технологии

http://ru.wikipedia.org/wiki/Spamhttp://www.lexa.ru/articles/antispam.html http://antispam.home.nov.ru/ http://www.antispam.ru

Сайты, посвященные Exchangehttp://www.msexchange.ruhttp://www.exchangerus.ruhttp://www.msexchange.org

http://ru.wikipedia.org/wiki/Spam

http://www.lexa.ru/articles/antispam.html

http://antispam.home.nov.ru/

http://www.antispam.ru/

http://www.exchangerus.ru/

http://www.exchangerus.ru/

http://www.msexchange.org/


Борьба со спамом и вредоносным кодом с помощью

Microsoft Exchange 2007/2010 и Forefront Protection for Exchange

2010 - Теория

Мокшин Сергей ГеннадьевичОАО «ВСГК»[email protected]