'

Павел Нагаев MCSE, MCITP, MVP Exchange КТК-Р IS 302.

Понравилась презентация – покажи это...





Слайд 0


Слайд 1

Технические аспекты защиты от спама Павел Нагаев MCSE, MCITP, MVP Exchange КТК-Р IS 302


Слайд 2

Содержание Краткий обзор продуктов защиты от спама Архитектура защиты Обзор Forefront Protection 2010 for Exchange Server Алгоритм работы спам-фильтров Общие рекомендации по настройке Итоги Вопросы (теле-мост)


Слайд 3

Интегрированная защита от спама


Слайд 4

Архитектура защиты от спама Интернет СПАМ СПАМ Чистая почта Чистая почта Уровень Интернета Уровень сервера Уровень клиента Edge Transport role Hub Transport Чистая почта Периметр


Слайд 5

Forefront Protection 2010 for Exchange Server


Слайд 6

Централизованное управление серверами Exchange 2010 Hub и Edge, FPE 2010 и FOPE Отчеты о спаме Управление настройками антивируса и спам-фильтра Консоль управления


Слайд 7

Virus Bulletin (Июль 2010)


Слайд 8

Транспортные агенты FPE 2010


Слайд 9

Уровень соединения Уровень протокола Уровень содержимого Почтовый ящик / Хранилище Входящие Папка Junk Администратор Карантин Входящая почта из Интернет 2 3 1 Списки IP Allow/Deny Блок-листы Forefront DNSBL/ 3-х фирм Фильтр Cloudmark Отпечатки Анти-фишинг Карантин Значение SCL Обновления Фильтры отправителя/получателя Sender ID Списки доверенных отправителей Фильтр Backscatter Анализ протокола SMTP Tarpitting Инкрементальный Edge Synch Message submission rate (per IP) Спам-фильтры Forefront Protection 2010 for Exchange Server


Слайд 10

Фильтрация на уровне соединения Проверяем список разрешенных IP-адресов Начало сеанса SMTP Нет Да Проверяем список запрещенных IP-адресов IP-адрес в списке разрешенных IP адресов? IP-адрес в списке запрещенных IP адресов? 2 Проверяем список поставщиков разрешенных IP-адресов Проверяем список поставщиков запрещенных IP-адресов Фильтр отправителя Нет IP-адрес в «белом» списке поставщиков? Нет IP-адрес в «черном» списке поставщиков? 1 3 4 Разорвать соединение и не применять другие фильтры Разорвать соединение и не применять другие фильтры Да Да Да


Слайд 11

Как работает DNS Block List C:\>nslookup 161.41.195.109.zen.spamhaus.org Server: dns.exchangerus.ru Address: 10.10.10.10 Non-authoritative answer: Name: 161.41.195.109.zen.spamhaus.org Address: 127.0.0.11 IP спам-сервера: 109.195.41.161 C:\>nslookup 85.78.15.152.zen.spamhaus.org Server: dns.exchangerus.ru Address: 10.10.10.10 *** dns.exchangerus.ru can't find 85.78.15.152.zen.spamhaus.org: Non-existent domain


Слайд 12

Ответы Forefront DNS Block List 550 5.7.1 :127.0.0.5:Client host 113.160.112.120 blocked using 88.blocklist.zap; Mail from IP banned. To request removal from this list please forward this message to delist.forefront@messaging.microsoft.com 550 5.7.1 :127.0.0.10:Client host 109.195.41.161 blocked using 87.blocklist.zap; Mail from IP banned. To request removal from this list please visit http://www.spamhaus.org/query/bl?ip=$ Возвращает Код Описание 127.0.0.2 SBL Spamhaus SBL Data 127.0.0.3 SBL Spamhaus SBL CSS Data 127.0.0.4 XBL CBL Data 127.0.0.5 XBL Customized NJABL Data 127.0.0.10 PBL ISP Maintained 127.0.0.11 PBL Spamhaus


Слайд 13

Запрос ForeFront DNS Block list IP адрес сервера: 209.85.216.178 Запрос в DNS: 17FD30FA6789C636-209.85.216.178.blocklist.messaging.microsoft.com Хеш IP DNS имя сервера


Слайд 14

Уровень соединения Плюсы Экономия на трафике (разрыв соединения на уровне SMTP) Блокировка конкретного спам-сервера или сбойного сервера Комментарий и время жизни (EMS) Включение Forefront DNSBL одним нажатием Минусы Ручная настройка и разрастание списков Ошибочное попадание отправителей в списки спам серверов Неграмотность пользователей


Слайд 15

Проверяем адрес отправителя Фильтр соединения Нет Фильтрация получателей Адрес в списке запрещенных отправителей? Разорвать соединение и не применять другие фильтры Да Схема фильтрации отправителей


Слайд 16

Синхронизация EdgeSync E2007: Полная AD синхронизация на Edge = до 4 часов E2007: Ручное обновление = до 4 часов E2010: Автоматическое обновление = 30 секунд E2007: Safe Senders List + E2010: Blocked Senders List E2010: EDGE SYNCH = 30 сек Белые и черные списки отправителей синхронизируются на Edge сервер за секунды Mailbox role Domain Controller Edge Server


Слайд 17

Плюсы Возможность заблокировать рассылки или «настойчивых» пользователей Минусы Легко подделать отправителя Нет возможности добавить комментарий Ограничение по количеству записей Фильтрация отправителей


Слайд 18

Проверяем адрес получателя Фильтрация отправителей Проверяем адрес получателя в Глобальном списке Адрес в списке запрещенных получателей? Разорвать соединение на уровне SMTP (MAIL FROM) Да Адрес существует в Глобальном адресном списке? Разорвать соединение на уровне SMTP (MAIL FROM) Да Нет Нет Фильтрация Sender ID Фильтрация получателей


Слайд 19

Режим замедления ответов SMTP (Tarpit) Предотвращает Directory Harvesting Attack (DHA) – подбор «живых» адресов Tarpit интервал равен 5 секундам по умолчанию 1 Client: MAIL FROM: spamer@anydomain.com 2 Server: 250 2.1.0 spamer@anydomain.com....Sender OK 3 Client: RCPT TO: pavel.nagaev@exchangerus.ru 4 Server: 250 2.1.5 pavel.nagaev@exchangerus.ru 5 Client: RCPT TO: pavel.nagaev001@exchangerus.ru 6 Server: 550 5.5.1 User Unknown


Слайд 20

Фильтрация получателей Плюсы Запрет приема сообщений для определенных пользователей Принимать сообщения для существующих получателей Минусы Подбор адресов электронной почты


Слайд 21

22 Механизм Sender ID DNS Аутентификация прошла не прошла Входящие Нежелательная почта 1 2 3 4 5 exchangerus.ru. IN TXT “v=spf1 ip4:85.111.10.40 +a:smtp.exchangerus.ru –all” Уровень протокола. Код отправителя Интернет


Слайд 22

Код отправителя (Sender ID) Плюсы Идентификация сервера отправителя Не нужно проверять MX FPE действует только наверняка Минусы Пересылка почты на другой адрес (механизм forward) Прием получателем почты через резервный почтовый сервер (backup MX)


Слайд 23

Что такое Backscatter? Backscatter — NDR спам с подделанным адресом отправителя Bounce Address Tag Validation(BATV) — технология по защите от NDR спама you@example.com prvs=Fключ(время жизни, адрес)=you@example.com Пример: prvs=12we34fnr=you@example.com


Слайд 24

FPE 2010 добавляет хешированную метку к P1.MailFrom Получатель не может доставить сообщение и возвращает его обратно Внутренний пользователь отправляет сообщение на корпоративный сервер Если метка существует, то NDR будет доставлен пользователю FPE 2010 просматривает метку Внутренний пользователь (you@example.com) FPE 2010 Сервер получателя <prvs=12we34fnr=you@example.com> Механизм работы Anti-Backscatter


Слайд 25

Получатель не может доставить и должен послать NDR 3. FPE 2010 ищет хешированную метку 1. Спамер генерирует сообщение с фальшивым адресом в MAIL FROM <you@example.com> и посылает его на сервер. 4. Если метки нет, то сообщение признается backscatter spam FPE 2010 Сервер получателя Spammer Внутренний пользователь (you@example.com) Backscatter. Атака спамера


Слайд 26

Технология backscatter в FPE Используется два транспортных агента для анализа хешированной метки Метка содержит отправителя и время Backscatter начинает работать через 24 часа accepted: in phase out period, BATV tag was not validated rejecting: BATV tag validation failed, returning 550 response. 550 5.7.1 Request action not taken: message refused


Слайд 27

Фильтр содержимого Новый фильтр Cloudmark Authority Engine Изменены значений SCL


Слайд 28

Цифровые отпечатки (Fingerprints) Применяется к каждому входящему сообщению* Fingerprints не определяет относится письмо к спаму или нет Fingerprints сравниваются с локальным кэшем известных «спамовых» fingerprints Spam Легитимное Fingerprint Cache Reject * Исключения: Safe Senders/Recipients/Safe Listed Ips и т.д. Message Fingerprinting Content Analysis URL/Domain Information Entropy Redirectors Pattern Hash Pattern Dictionary Dynamic Patterns Longest Common String Image Framework (decoding/noise reduction) Данные кэша обновляются каждые 45 секунд В случае совпадения письмо считается спамом В случае несовпадения запускается эвристика. Если не совпадает, то письмо считается легитимным


Слайд 29

Отчеты о работе спам-фильтров X-MS-Exchange-Organization-Antispam-Report: v=1.1 cv=UmKbMGcK0ODFGOVLbWSsnc4cSM78ciSOlL3oFpZVzQQ= c=1 sm=1 a=gH2l33NO9zgA:10 a=xNkmr0qudcMA:10 a=jPJDawAOAc8A:10 a=Fdkxr_5KmFUA:10 a=ytB2GYGUEEAA:10 a=ibi3b6Q5wLy8D8VTdfDbdA==:17 a=-OZdoqLpvXrLEne8aosA:9 a=nb3xUh8hnMWWdIaeiJIBI77mBnsA:4 a=pvA44qeTxYYA:10 a=ibi3b6Q5wLy8D8VTdfDbdA==:117;OrigIP:119.153.147.78;SCL:-1  Заголовок письма PowerShell Консоль Forefront


Слайд 30

Рекомендации по защите от спама Правильная настройка почтовых серверов в DNS (A, PTR, MX, Sender ID) Проверка получателей в Active Directory Настройка интервала задержки (Tarpit) Запрет приема почты от «своего» домена Использование Forefront DNSBL Схема работы спам-фильтров Поиск заблокированных писем


Слайд 31

Спам нельзя победить полностью, но с ним можно успешно бороться Защита должна быть многоуровневой Изменение психологии работы с почтой Борьба со спамом — соблюдение баланса Эффективность или блокировка легитимных писем Администратор или пользователь Итоги


Слайд 32

Ресурсы Дополнительные сессии по теме IS 303: Облачные технологии безопасности для компании (18/11, 13:00-14:00, Селигер) CT 304: Миграция на Exchange Server 2010: сценарии, рекомендации, практический опыт (18/11, 16:00-17:00, Зона интерактивных сессий) Блоги http://www.exchangerus.ru http://blogs.technet.com/securityrus


Слайд 33

Официальные курсы и сертификация Microsoft Более 300 официальных курсов Microsoft доступно в России. Официальные курсы можно прослушать только в авторизованных учебных центрах Microsoft под руководством опытного сертифицированного инструктора Microsoft интенсивное обучение с акцентом на практику более 80-и учебных центров более чем в 20-и городах России (+ дистанционные и выездные курсы) Сертификат Microsoft - показатель квалификации ИТ-специалиста для работодателя . Microsoft предлагает гибкую систему сертификаций. Все курсы, учебные центры и центры тестирования: www.microsoft.com/rus/learning


Слайд 34

Специальные предложения Сертификационный пакет со вторым шансом Пакеты экзаменационных ваучеров со скидкой от 15 до 20% и бесплатной пересдачей («вторым шансом»). Все экзамены сдаются одним человеком. Сэкономьте 15% на сертификации вашей ИТ-команды Пакет из 10-и экзаменационных ваучеров со скидкой 15% для сотрудников ИТ-отдела. «Второй шанс» включен. Ваучеры можно произвольно распределять между сотрудниками. Microsoft Certified Career Conference Первая 24-часовая глобальная виртуальная конференция с 18 ноября с 15.00 (моск. время) по 19 ноября 2010 г. Сессии по технологиям и построению карьеры Скидка 50% для сертифицированных специалистов Microsoft и студентов Бесплатная подписка на TechNet для слушателей официальных курсов Некоторые курсы по SharePoint, Windows 7; Windows Server 2008; SQL Server 2008 Детали: www.microsoft.com/rus/learning С 22 ноября 2010 г. – подписка TechNet бесплатно для слушателей курсов. Количество ограничено!


Слайд 35

Обратная связь Ваше мнение очень важно для нас. Пожалуйста, оцените доклад, заполните анкету и сдайте ее при выходе из зала Спасибо!


Слайд 36

Вопросы IS 302 Павел Нагаев Ведущий администратор системы электронной почты, КТК-Р pan@exchangerus.ru http://www.exchangerus.ru Вы сможете задать вопросы докладчику в зоне «Спроси эксперта» в течение часа после завершения этого доклада


Слайд 37


×

HTML:





Ссылка: