Wprowadzenie do poczty elektronicznej

czyli co muszę wiedzieć zanim spróbuję postawić własny serwer pocztowy?

Ziemek Borowski

• • • • • • •

Krótko o mnie

Ziemek Borowski ziembor @ wss.pl – i jestem WSS-koholikiem, ostatnio redaktor (czyli cieć od newsów  ). kilkanaście lat jako IT Pro Współprowadzę http://www.wss.pl/grupy/PEPUG ale jestem najgorszym mówcą świata… Zarówno Exchange jak i sendmail oraz postfix Obecnie pracuję dla jednego z operatorów hostowanego Exchange – ale teraz siedzę w czymś zupełnie innym… W 2009 i 2010 Microsoft wyróżnił mnie tytułem MVP w kategorii Exchange 

• • • • • •

Agenda – 60 do 90 minut…

Co to jest poczta elektroniczna? o o o co to jest koperta?

co to jest ciało e-maila?

co to jest MIME?

Jak poczta działa w Internecie (DNS) Jakie zagrożenia czekają na serwer pocztowy?

Co brać pod uwagę przy konfiguracji serwera poczty który… o będzie odbierał informacje ze świata? o będzie wysyłał pocztę? A co na to wszystko prawo? Podsumowanie

• •

Co to jest poczta elektroniczna?

Poczta elektroniczna to usługa asynchronicznego przesyłania wiadomości tekstowych pomiędzy pojedynczymi użytkownikami. Grupy to osobny temat.

W przeciwieństwie do innych metod komunikacji elektronicznej (synchroniczne formy rozmowy – IRC, chaty, Instant Messaging lub interakcji człowiek maszyna jak np. nawigowanie po WWW lub wypełnianie formularzy) poczta elektroniczna opiera się na o wiadomościach (będących technicznie zamkniętymi całościami) o wymaga strony pośredniczącej (store & forward) zamiast bezpośredniej komunikacji klient / serwer.

• •

SMTP i parę kluczowych pojęć

Z założenia poczta elektroniczna w swej warstwie transportowej wykorzystuje protokół SMTP – Simple Mail Transport Protocol. Zwyczajowo używa się następujących skrótów opisujących elementy służące do przetwarzania poczty: o o MUA (Mail User Agent) - klient poczty elektronicznej, program pocztowy dla zwykłego użytkownika (np. Outlook, Evolution, mutt, Mozilla Mail) MSA (Mail Submision Agent) – fragment serwera SMTP odpowiedzialny za przyjmowania korespondencji od klientów pocztowych (w protokole słabo widoczne) o o MTA (Mail Transfer Agent) - serwer odpowiedzialny za przekazywanie poczty między komputerami (np. Sendmail, Postfix, Exim, QMail, Exchange) MDA (Mail Delivery Agent) – przetwarzający dane w ramach konkretnego system pocztowego. W wypadku bardziej skomplikowanych środowisk takich jak np. MS Exchange Server ciężko wyodrębnić tę rolę.

Jak wygląda trasa maila?

1. Nadawca (klient) wysyła mail przez swój serwer 2. Serwer sprawdza (m.in.DNS) gdzie ma skierować przesyłkę 3. Serwer nadawcy rozmawia z serwerem odbiorcy 4. Stacja końcowa klienta pyta SMTP odbiorcy o to czy ma dla niego jakieś przesyłki…

DEMO – wysłanie poczty protokołem SMTP bez uwierzytelniania

• • •

Co to jest DNS?

Rozproszona globalna baza danych Korzenie (serwery odpowiadające za „

.

”) pod kontrolą

Internet Corporation for Assigned Names

and Numbers http://www.icann.org/en/about/ http://en.wikipedia.org/wiki/Domain_Name_System a dokłaniej: o http://upload.wikimedia.org/wikipedia/commons/b/b1/Domain_name_s pace.svg

o o http://upload.wikimedia.org/wikipedia/commons/7/77/An_example_of_t heoretical_DNS_recursion.svg

http://en.wikipedia.org/wiki/File:DNS_in_the_real_world.svg

Co ma DNS wspólnego z SMTP?

• • Routing poczty między serwerami publicznymi zazwyczaj odbywa się w oparciu od DNS a dokładniej rekordy MX.

Poza MX potem przydadzą się nam inne rekordy… • MX – Mail eXchanger • Format Serwer: google-public-dns-a.google.com

Address: 8.8.8.8

Nieautorytatywna odpowiedź: virtualstudy.pl MX preference = 10, mail exchanger = 1986265544.mail.outlook.com

Co się dzieje po DATA?

• • • • •

Zady i walety SMTP

Rozpowszechniony Prosty, ale z rozszerzeniami KISS Brak w standardzie dobergo dowodzenia tożsamości (zdalnego serwera, zdalnego użytkownika) • • • Zbyt rozpowszechniony – ciężko zmieniać Zbyt wiele rozszerzeń zbyt daleko sięgających a podstaw nie ma w standardzie Prosty bo głupi…

Co brać pod uwagę przy konfiguracji serwera poczty który ….

• • • •

będzie odbierał informacje ze świata?

Poprawne DNS, Poprawne odbieranie wiadomości (bounce spam), Nasłuchiwanie na poprawnych portach… Ale także zalew spamu, prób słownikowych ataków a adresy, badania podatności…

•

będzie wysyłał pocztę?

I zaczyna się wielki i podstawowy

problem

• •

Czemu poczta jest problemem?

Jako jeden z kanałów przekazywania wiadomości i treści – narażony na: o SPAM – Unsolicitated Bulk/Commercial Email o Warstwa transportowa dla wirusów o o Phising Social Enginering • Maile od root-a od zawsze obecne w pracowniach studenckich  Jest usługą mission critical, o o kanałem komunikacyjnym ze światem, warstwą integracji usług

• •

Dlaczego spam jest zły?

80-do 97% wiadomości w dużych systemach pocztowych nie jest dostarczanych do inboxów o o o Odrzucane w trakcie konwersacji Uznawane za śmieci przez oprogramowanie serwerowe Uznawane za śmieci przez oprogramowanie klienckie Information overload

•

Co doradzają twórcy nam Internetu?

"Be liberal in what you accept, and conservative in what you send." -- jon (Postel) RFC-1122 (originates in RFC760) • “Junk mail is war. RFCs do not apply.” -- Wietse Venema

• • • •

Jak, skąd atakuje spam

Spamboty/inne formy automatów o o o Zombies, Podatne WWW/SMTP (OpenRelay) Hosting z min. ochroną przed własnymi użytkownikami Spamujący „inteligentni inaczej” Spam bouncujący Skutek uboczny harvestingu

• • • • • •

Jak się bronimy?

Analiza treści Uwierzytelnianie poczty serwer-serwer o Sender Policy Framework o o SenderID DomainKeys Identified Mail Ocena reputacji nadawcy Listy źródeł spamu / zagrożeń Black/White listy nadawców/odbiorców o Harvesting Zwiększanie kosztowności spamowania o Greylisting, Tarpinging o o Weryfikacja poprawności konfiguracji (np. reverse DNS, zgodność HELO) Blokada harvestingu

• • •

… i jakie to ma konsekwencje…

Poczta przestała być zaufanym medium transmisyjnym. Zwiększyło się ryzyko, że poczta „przepadnie” – false positives Zwiększyły się praktyczne wymogi stawiane przed hostem pocztowym

• • •

Konsekwencje: Content filtering

Junk Mails Czasem REJECT Bardzo często praktycznie DROP • Reguły filtrowania najmniej skodyfikowane o o o Filtry baysowskie Zestawy słów kluczowych Charakterystyka – wielkość i zawartość e-maila

•

Konsekwencje: Uwierzytelnianie poczty

Odrzucenia z powodu wysłania z nie zaufanego adresu • Brak zgodności z wszelkimi systemami forwadującymi maile lub podszywającymi się, np. część notyfikacji allegro.pl

Konsekwencje: Reputacja stron

• Można do problemu podchodzić na kilka sposobów: Dynamicznie, w oparciu o obecne zachowania wobec nas i świata o o Czy teraz jest open relay Czy domena nadawcy istnieje o Czy domena nadawcy ma (pracujące) pod adresem wskazanym przez MX-y serwery odbierające • 3rd party, historyczne, zazwyczaj jako Listy źródeł spamu / zagrożeń

• • • •

Konsekwencje: Listy źródeł zagrożeń

Zazwyczaj jako Real Time Blocking List – z czasem

Domain Name System Block List

Prowadzone przez różne organizacji, z różnymi celami i politykami tak umieszczania jak i wycofywania http://en.wikipedia.org/wiki/Comparison_of_DNS_blacklists Brak dobrych i uniwersalnych list dla każdego Konieczna jest samokontrola o http://mxtoolbox.com/blacklists.aspx

o o o http://www.dnsbl.info/dnsbl-database-check.php

http://www.dnsstuff.com

(płatny, powoli doganiany przez MXToolbox) Własne skrypty

• • •

Typy DNSBL: spam source

new.spam.dnsbl.sorbs.net - List of hosts that have been noted as sending spam/UCE/UBE to the admins of SORBS within the last 48 hours. sbl.spamhaus.org - Static UBE sources, verified spam services and ROKSO spammers bl.spamcop.net - The SCBL is a list of IP addresses which have transmitted reported email to SpamCop users, which in turn is used to block and filter unwanted email.

• • •

Typy DNSBL: Dynamic

dul.dnsbl.sorbs.net - Dynamic IP Address ranges (NOT a Dial Up list!) -- Dynamic User and Host List (DUHL) Założenie: DUL-e nie powinny mieć samodzielnych serwerów Założenie: DUL-e to klienci, a więc i ew. źródło infekcji

• •

Typy DNSBL: braki administrowania

escalations.dnsbl.sorbs.net - This zone contains netblocks of spam supporting service providers, including those who provide websites, DNS or drop boxes for a spammer.

rfc-ignorant.org is the clearinghouse for sites who think that the rules of the internet don't apply to them. DSN ( <> ) postmaster abuse whois bogusmx

Spam Operators/ Supporters

•

100 Known Spam Operations responsible for 80% of your spam.

http://www.spamhaus.org/rokso/

• •

Typy DNSBL:

Backscatterer

Backscatterer.org – Backscatter (also known as outscatter, misdirected bounces, blowback or collateral spam) is a side-effect of e-mail spam , viruses and message's worms , where e-mail servers receiving spam and other mail send bounce messages innocent party. This occurs because the original envelope sender to an is forged to contain the often unprotected e-mail address of the victim.

• •

Typy DNSxL

Nie każda lista IP Address Provider jest Black Listą o o http://countries.nerd.dk/ http://42.pl/pl/ - lista IP krajów (taka globalna odmiana http://www.dnswl.org/ legitimate email servers to reduce the chances of false positives while spam filtering. - DNSWL.org provides a Whitelist of known Można także samemu postawić własną DNSxL: o http://www.zytrax.com/books/dns/ch9/dnsbl.html

• • •

Konsekwencje: zwiększanie kosztów

Tarpinging - spowalniaj reakcję na błędne komendy: stosunkowo bezpieczny, zabezpiecza przez agresywnym atakiem obciążając nadawcę Greylisting – „rozwinięcie” tarpitingu – niezależnie od tego czy polecenia były błędne czy nie, nie przyjmuj pierwszych maili na dany adres z tego IP o Wprowadza opóźnienie w komunikacji, o o Czasem b. długie (Exchange 2003 miewa problemy z kolejnymi przerworzeniami jeśli ten czas nie jest naprawdę krótki) Wymaga dobrej koordynacji baz poprawnie skomunikowanych połączeń między MX-ami. Harvesting – blokowanie, na poziomie sesji SMTP dostarczania do nie naszych użytkowników o Istotne także w połączeniu z backscatterem, świetnie wspierane przez tarpitting

Zwiększanie kosztów – „poprawna konfiguracja”

• • o o o Weryfikacja poprawności konfiguracji reverse DNS, zgodność HELO/EHLO, Wysyłanie z adresów które są MX-ami Kontakt z helpdeskiem

• • •

W polskich warunkach…

DNSBL-e typowe to DUN – spora część klas TPSA traktowana była jako zmienne IP, nie tylko Neostrada, ale też DSL Odpowiedzialność zbiorowa: o Słaba reaktywność wsparcia technicznego TPSA/Netii powodowała uznanie cały AS za przyjazne spamerom Często reakcją na te problemy jest wysyłanie przez dostawcę gdzie mamy WWW (odradzam, zwł. na Exchange 2007/10)

Jak więc postawić serwer pocztowy?

Nigdy więcej rozmów z ludźmi o marnej reputacji

Jarosław Kaczyński TCO serwera SMTP zawiera: - Koszt łącza Lub - Koszt usługi filtrowania/przesyłania poczty Nie bardzo da się użyć usługi dla użytkownika domowego lub typowego POP3 do obsługi Exchange. I jest to celowe działanie.

• •

A co na to wszystko prawo?

Uwaga, uwaga – póki co o ile nie świadczy jej telekom poczta nie jest usługą telekomunikacyjną… Więc nie trzeba gromadzić logów z połączeń przed dwa lata w wiarygodny sposób… … ale teoretycznie każdy system pocztowy przetwarza dane osobowe…. Upppppppssssss.

Podsumowanie

Dziękuję za uwagę…

Pytania?

Komentarze

? Chętni do poprowadzenia własnej sesji?

• • Następne spotkanie:

2011-10-26 20:30 także na Virtual

Study, A potem 2011-11-17, 3 przez LM. czwartek listopada twarzą w twarz, i częsciowo

Zero Inbox