1 / 26

Борьба со спамом и вредоносным кодом с помощью Microsoft Exchange 2007/2010 и

Борьба со спамом и вредоносным кодом с помощью Microsoft Exchange 2007/2010 и Forefront Protection for Exchange 2010 - Теория. Мокшин Сергей Геннадьевич ОАО «ВСГК» sergey@mokshin.info. План презентации. Общие Сведения Финансовая сторона Технологии СПАМ рассылок

emerald-mills
Download Presentation

Борьба со спамом и вредоносным кодом с помощью Microsoft Exchange 2007/2010 и

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Борьба со спамом и вредоносным кодом с помощью Microsoft Exchange 2007/2010 и Forefront Protection for Exchange 2010 - Теория Мокшин Сергей Геннадьевич ОАО «ВСГК» sergey@mokshin.info

  2. План презентации • Общие Сведения • Финансовая сторона • Технологии СПАМ рассылок • Методы борьбы со спамом и их недостатки • Рекомендации по настройке почтовой системы • Личная гигиена • Вопросы и ответы.

  3. Общие сведения • Значение слова СПАМ (SPAM)? • Синонимы Spicedham- в буквальном переводеspicedham – «ветчина со специями» Спам – это анонимная массовая непрошенная рассылка. • Junk mail (Мусор) • Нежелательная почта • Unsolicited e-mail (Непрошенная) • Цели СПАМ-рассылок Статистика СПАМа • Реклама • Фишинг • Заражение компьютеров • Атаки DoS • «Нигерийские письма» • Официально 80-95% всех писем рунета • 1-3% содержат вирусы • 8-10% фишинговые сообщения

  4. Рейтинг стран (% спама)

  5. Рынок • Причины эффективности СПАМа Инфраструктура СПАМ-рынка очень дёшево (0,1 USD за тысячу показов); высокий отклик (до 1-3%); никакого регулирования, теневая экономика; порог вхождения на рынок очень низок (несколько тысяч USD). поставщики ПО, баз, IP-адресов; вирусописатели; сами спамеры (рассыльщики); спамоустойчивыехостеры; рекламодатели; рекламные агентства. Кто платит СПАМерам? Законность? • Малый бизнес • Интернет-структуры • Рекламные агентства Закон о рекламе ст.18 (Незаконно, но не всё) Лучший закон в Австралии ($800k за каждое письмо)

  6. Финансовые потери Не боремся со спамом • Низкая скорость приёма нужной почты, примерно в N*100 раз (N=1 – 100); • Плата за дисковое пространство и за трафик N*100*50Kb=N*5Mb в день=> N*110Mb в месяц; • Потеря времени сотрудников на чистку почтовых ящиков до 30 мин в день => до 11ч в месяц => 50сотр.*(20т.р./22д/8ч)*11ч=62,5 т.р./мес; Боремся со спамом • Оплата средств антиспама; • Потери от ложных срабатываний; • Время на обслуживание средств антиспама; • Оплата мощностей оборудования.

  7. Механизмы СПАМ рассылок • Рассылка вручную • Рассылка при помощи специальных программ • Рассылка через некорректно настроенные почтовые серверы • Рассылка с применением web-интерфейса • Троянские прокси • СПАМ боты

  8. Методы борьбы со СПАМом • Методы, основанные на анализе письма; • Детекторы массовой рассылки; • Методы, основанные на признании отправителя в качестве спамера; • Методы, основанные на верификации обратного адреса отправителя и его домена; • GreyListing – эмуляция устранимой ошибки; • Tarpit - Задержка ответа при соединении; • Спам-ловушки (Honey Pot).

  9. Анализ письма • По формальным признакам, • По содержимому с использованием сигнатурного анализа, • По содержимому с применением статистических методик., • По содержимому с использованием SURBL (Spam URL RealtimeBlockLists — списка блокировки спамерских URL). Идея метода состоит в поиске расположенных в теле письма ссылок и их проверке по базе SURBL. Этот метод эффективен против спама, в котором для обхода фильтров вместо рекламы применяется ссылка на сайт с рекламой.

  10. Детекторы массовой рассылки • Как следует из названия, их задачей является обнаружение рассылки похожего письма большому количеству абонентов; • “Вариант Майкрософт” – Sender Reputation Filter, основан на запоминании пришедших писем и использовании их при приёме следующих.

  11. Ответный ход спамеров • Персонализация сообщений (Уважаемый Zaitsev! Специалисты нашей компании изучили ваш сайт www.smolen.ru и пришли к выводу….); • Использование пробелов и иных разделителей в словах («К У П И ТЕ супер-товар»); • Транслитерация («Купите супертовар», «][акер», «}{акер» или «4ерный»); • Перефразирование («Купите супертовар» и «Приобретайте нашу отличную продукцию»); • Добавление постороннего текста; • Использование возможностей HTML; • Замена рекламы на URL или на изображение.

  12. Признание отправителяв качестве спамера • RBL (Realtime Block List) база IP адресов СПАМ-машин. • White IP List – база доверенных IP адресов. Ipa.b.c.d Есть/нет в базе

  13. Ответный ход спамеров • Рассылка при помощи бот-машин и троянских прокси; • Динамические IP адреса; Недостатки методов • Бесплатные RBL листы могут давать относительно много ложных срабатываний; • Не все системный администраторы хороши. Неправильная настройка шлюза приводит к его попаданию в RBL.

  14. Верификация обратного адреса и домена • DNS-запрос по имени домена; • Проверка PTR записи (обратная зона); • Caller ID + SPF (Sender Policy Framework) • Sender ID Framework + SRS (Sender Rewriting Scheme). • ТехнологияDomainKeys Identified Mail (DKIM)

  15. DNS-запрос по имени домена DNS vsgk.ru Есть/нет • vsgk.ru • vsgk.ru text = • "v=spf1 mx -all" • vsgk.ru MX preference = 20, mail exchanger = mail1.vsgk.ru • vsgk.ru MX preference = 10, mail exchanger = mail.vsgk.ru • vsgk.ru internet address = 195.151.248.117 • vsgk.ru nameserver = ns.virtech.ru • vsgk.ru nameserver = ns2.virtech.ru • vsgk.ru nameserver = ns2.virtech.ru • vsgk.ru nameserver = ns.virtech.ru • mail.vsgk.ru internet address = 195.206.47.30 • mail1.vsgk.ru internet address = 195.239.200.178

  16. Проверка PTR записи mail.vsgk.ru Ipa.b.c.d • 195.206.47.30 • mail.vsgk.ru • Address: 195.206.47.30

  17. Проверка SPF записи DNS запрос Txt v=spf 1 mx -all • vsgk.ru • vsgk.ru text = • "v=spf1 mx -all" • vsgk.ru MX preference = 20, mail exchanger = mail1.vsgk.ru • vsgk.ru MX preference = 10, mail exchanger = mail.vsgk.ru • vsgk.ru internet address = 195.151.248.117 • vsgk.ru nameserver = ns.virtech.ru • vsgk.ru nameserver = ns2.virtech.ru • vsgk.ru nameserver = ns2.virtech.ru • vsgk.ru nameserver = ns.virtech.ru • mail.vsgk.ru internet address = 195.206.47.30 • mail1.vsgk.ru internet address = 195.239.200.178

  18. Ответный ход спамеров • Регистрация нормальных доменов со всеми записями; • Использование бесплатных почтовых служб; • Использование в поле from нормального адреса; Недостатки методов • Не все системные администраторы хороши. На DNS не прописаны SPF записи; • Не все провайдеры хороши. На DNS не прописаны PTR записи обратной зоны; • Проблема пересылок почты. • Технология DKIM относительно молода (Стандарт 2007г). Практически не используется.

  19. Другие методы • GreyListing – эмуляция устранимой ошибки; • Доказательство надёжности отправителя самим отправителем; • Tarpit - Задержка ответа при соединении; • Спам-ловушки(Honey Pot).

  20. Недостатки методов • У грейлистинга проблема с отправителями, у которых несколько серверов с разными IP; • Не все сисадмины хороши. Ожидание ответа маленькое. (Возможно экономические причины);

  21. Рекомендации по настройкесерверов. • Прописать PTR записи в DNS провайдеров; • Прописать в своём DNS записи (A, MX, SPF); • Запретить пересылку через ваш сервер неавторизованным пользователям; • Защищаться от вирусов; • Запрет приема почты от «своего» домена; • Проверка получателей в Active Directory; • Настройка интервала задержки(Tarpit); • Использование RBL/DNSBL; • Использование «серых» списков; • Использование других фильтров;

  22. Личная гигиена • Завести два почтовых адреса – один для регистраций в интернет, другой – рабочий; • Не публиковать адреса в сети Интернет; • Выбрать правильное имя, а не john@mail.ru, info@mail.ru, office@mail.ru и т.п.; • Защищаться от вирусов, не посещать ненадёжные узлы в сети Интернет; • Обучить всему этому пользователей.

  23. Полезные ссылки • Антиспам технологии • http://ru.wikipedia.org/wiki/Spam • http://www.lexa.ru/articles/antispam.html • http://antispam.home.nov.ru/ • http://www.antispam.ru • Сайты, посвященные Exchange • http://www.msexchange.ru • http://www.exchangerus.ru • http://www.msexchange.org

  24. Борьба со спамом и вредоносным кодом с помощью Microsoft Exchange 2007/2010 и Forefront Protection for Exchange 2010 - Теория Мокшин Сергей Геннадьевич ОАО «ВСГК» sergey@mokshin.info

More Related