slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Борьба со спамом и вредоносным кодом с помощью Microsoft Exchange 2007/2010 и PowerPoint Presentation
Download Presentation
Борьба со спамом и вредоносным кодом с помощью Microsoft Exchange 2007/2010 и

Loading in 2 Seconds...

play fullscreen
1 / 26

Борьба со спамом и вредоносным кодом с помощью Microsoft Exchange 2007/2010 и - PowerPoint PPT Presentation


  • 189 Views
  • Uploaded on

Борьба со спамом и вредоносным кодом с помощью Microsoft Exchange 2007/2010 и Forefront Protection for Exchange 2010 - Теория. Мокшин Сергей Геннадьевич ОАО «ВСГК» sergey@mokshin.info. План презентации. Общие Сведения Финансовая сторона Технологии СПАМ рассылок

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Борьба со спамом и вредоносным кодом с помощью Microsoft Exchange 2007/2010 и' - emerald-mills


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide2

Борьба со спамом и вредоносным кодом с помощью

Microsoft Exchange 2007/2010 и

Forefront Protection for Exchange 2010

- Теория

Мокшин Сергей Геннадьевич

ОАО «ВСГК»

sergey@mokshin.info

slide3
План презентации
  • Общие Сведения
  • Финансовая сторона
  • Технологии СПАМ рассылок
  • Методы борьбы со спамом и их недостатки
  • Рекомендации по настройке почтовой системы
  • Личная гигиена
  • Вопросы и ответы.
slide4
Общие сведения
  • Значение слова СПАМ (SPAM)?
  • Синонимы

Spicedham- в буквальном переводеspicedham – «ветчина со специями»

Спам – это анонимная массовая непрошенная рассылка.

  • Junk mail (Мусор)
  • Нежелательная почта
  • Unsolicited e-mail (Непрошенная)
  • Цели СПАМ-рассылок

Статистика СПАМа

  • Реклама
  • Фишинг
  • Заражение компьютеров
  • Атаки DoS
  • «Нигерийские письма»
  • Официально 80-95% всех писем рунета
  • 1-3% содержат вирусы
  • 8-10% фишинговые сообщения
slide6
Рынок
  • Причины эффективности СПАМа

Инфраструктура СПАМ-рынка

очень дёшево (0,1 USD за тысячу показов);

высокий отклик (до 1-3%);

никакого регулирования, теневая экономика;

порог вхождения на рынок очень низок (несколько тысяч USD).

поставщики ПО, баз, IP-адресов;

вирусописатели;

сами спамеры (рассыльщики);

спамоустойчивыехостеры;

рекламодатели;

рекламные агентства.

Кто платит СПАМерам?

Законность?

  • Малый бизнес
  • Интернет-структуры
  • Рекламные агентства

Закон о рекламе ст.18

(Незаконно, но не всё)

Лучший закон в Австралии

($800k за каждое письмо)

slide7
Финансовые потери

Не боремся со спамом

  • Низкая скорость приёма нужной почты, примерно в N*100 раз (N=1 – 100);
  • Плата за дисковое пространство и за трафик N*100*50Kb=N*5Mb в день=> N*110Mb в месяц;
  • Потеря времени сотрудников на чистку почтовых ящиков до 30 мин в день => до 11ч в месяц => 50сотр.*(20т.р./22д/8ч)*11ч=62,5 т.р./мес;

Боремся со спамом

  • Оплата средств антиспама;
  • Потери от ложных срабатываний;
  • Время на обслуживание средств антиспама;
  • Оплата мощностей оборудования.
slide8
Механизмы СПАМ рассылок
  • Рассылка вручную
  • Рассылка при помощи специальных программ
  • Рассылка через некорректно настроенные почтовые серверы
  • Рассылка с применением web-интерфейса
  • Троянские прокси
  • СПАМ боты
slide9
Методы борьбы со СПАМом
  • Методы, основанные на анализе письма;
  • Детекторы массовой рассылки;
  • Методы, основанные на признании отправителя в качестве спамера;
  • Методы, основанные на верификации обратного адреса отправителя и его домена;
  • GreyListing – эмуляция устранимой ошибки;
  • Tarpit - Задержка ответа при соединении;
  • Спам-ловушки (Honey Pot).
slide10
Анализ письма
  • По формальным признакам,
  • По содержимому с использованием сигнатурного анализа,
  • По содержимому с применением статистических методик.,
  • По содержимому с использованием SURBL (Spam URL RealtimeBlockLists — списка блокировки спамерских URL). Идея метода состоит в поиске расположенных в теле письма ссылок и их проверке по базе SURBL. Этот метод эффективен против спама, в котором для обхода фильтров вместо рекламы применяется ссылка на сайт с рекламой.
slide11
Детекторы массовой рассылки
  • Как следует из названия, их задачей является обнаружение рассылки похожего письма большому количеству абонентов;
  • “Вариант Майкрософт” – Sender Reputation Filter, основан на запоминании пришедших писем и использовании их при приёме следующих.
slide12
Ответный ход спамеров
  • Персонализация сообщений (Уважаемый Zaitsev! Специалисты нашей компании изучили ваш сайт www.smolen.ru и пришли к выводу….);
  • Использование пробелов и иных разделителей в словах («К У П И ТЕ супер-товар»);
  • Транслитерация («Купите супертовар», «][акер», «}{акер» или «4ерный»);
  • Перефразирование («Купите супертовар» и «Приобретайте нашу отличную продукцию»);
  • Добавление постороннего текста;
  • Использование возможностей HTML;
  • Замена рекламы на URL или на изображение.
slide13
Признание отправителяв качестве спамера
  • RBL (Realtime Block List) база IP адресов СПАМ-машин.
  • White IP List – база доверенных IP адресов.

Ipa.b.c.d

Есть/нет в базе

slide14
Ответный ход спамеров
  • Рассылка при помощи бот-машин и троянских прокси;
  • Динамические IP адреса;

Недостатки методов

  • Бесплатные RBL листы могут давать относительно много ложных срабатываний;
  • Не все системный администраторы хороши. Неправильная настройка шлюза приводит к его попаданию в RBL.
slide15
Верификация обратного адреса и домена
  • DNS-запрос по имени домена;
  • Проверка PTR записи (обратная зона);
  • Caller ID + SPF (Sender Policy Framework)
  • Sender ID Framework + SRS (Sender Rewriting Scheme).
  • ТехнологияDomainKeys Identified Mail (DKIM)
slide16
DNS-запрос по имени домена

DNS vsgk.ru

Есть/нет

  • vsgk.ru
  • vsgk.ru text =
  • "v=spf1 mx -all"
  • vsgk.ru MX preference = 20, mail exchanger = mail1.vsgk.ru
  • vsgk.ru MX preference = 10, mail exchanger = mail.vsgk.ru
  • vsgk.ru internet address = 195.151.248.117
  • vsgk.ru nameserver = ns.virtech.ru
  • vsgk.ru nameserver = ns2.virtech.ru
  • vsgk.ru nameserver = ns2.virtech.ru
  • vsgk.ru nameserver = ns.virtech.ru
  • mail.vsgk.ru internet address = 195.206.47.30
  • mail1.vsgk.ru internet address = 195.239.200.178
slide17
Проверка PTR записи

mail.vsgk.ru

Ipa.b.c.d

  • 195.206.47.30
  • mail.vsgk.ru
  • Address: 195.206.47.30
slide18
Проверка SPF записи

DNS запрос

Txt v=spf 1 mx -all

  • vsgk.ru
  • vsgk.ru text =
  • "v=spf1 mx -all"
  • vsgk.ru MX preference = 20, mail exchanger = mail1.vsgk.ru
  • vsgk.ru MX preference = 10, mail exchanger = mail.vsgk.ru
  • vsgk.ru internet address = 195.151.248.117
  • vsgk.ru nameserver = ns.virtech.ru
  • vsgk.ru nameserver = ns2.virtech.ru
  • vsgk.ru nameserver = ns2.virtech.ru
  • vsgk.ru nameserver = ns.virtech.ru
  • mail.vsgk.ru internet address = 195.206.47.30
  • mail1.vsgk.ru internet address = 195.239.200.178
slide19
Ответный ход спамеров
  • Регистрация нормальных доменов со всеми записями;
  • Использование бесплатных почтовых служб;
  • Использование в поле from нормального адреса;

Недостатки методов

  • Не все системные администраторы хороши. На DNS не прописаны SPF записи;
  • Не все провайдеры хороши. На DNS не прописаны PTR записи обратной зоны;
  • Проблема пересылок почты.
  • Технология DKIM относительно молода (Стандарт 2007г). Практически не используется.
slide20
Другие методы
  • GreyListing – эмуляция устранимой ошибки;
  • Доказательство надёжности отправителя самим отправителем;
  • Tarpit - Задержка ответа при соединении;
  • Спам-ловушки(Honey Pot).
slide21
Недостатки методов
  • У грейлистинга проблема с отправителями, у которых несколько серверов с разными IP;
  • Не все сисадмины хороши. Ожидание ответа маленькое. (Возможно экономические причины);
slide22
Рекомендации по настройкесерверов.
  • Прописать PTR записи в DNS провайдеров;
  • Прописать в своём DNS записи (A, MX, SPF);
  • Запретить пересылку через ваш сервер неавторизованным пользователям;
  • Защищаться от вирусов;
  • Запрет приема почты от «своего» домена;
  • Проверка получателей в Active Directory;
  • Настройка интервала задержки(Tarpit);
  • Использование RBL/DNSBL;
  • Использование «серых» списков;
  • Использование других фильтров;
slide23
Личная гигиена
  • Завести два почтовых адреса – один для регистраций в интернет, другой – рабочий;
  • Не публиковать адреса в сети Интернет;
  • Выбрать правильное имя, а не john@mail.ru, info@mail.ru, office@mail.ru и т.п.;
  • Защищаться от вирусов, не посещать ненадёжные узлы в сети Интернет;
  • Обучить всему этому пользователей.
slide24
Полезные ссылки
  • Антиспам технологии
    • http://ru.wikipedia.org/wiki/Spam
    • http://www.lexa.ru/articles/antispam.html
    • http://antispam.home.nov.ru/
    • http://www.antispam.ru
  • Сайты, посвященные Exchange
    • http://www.msexchange.ru
    • http://www.exchangerus.ru
    • http://www.msexchange.org
slide25

Борьба со спамом и вредоносным кодом с помощью

Microsoft Exchange 2007/2010 и

Forefront Protection for Exchange 2010

- Теория

Мокшин Сергей Геннадьевич

ОАО «ВСГК»

sergey@mokshin.info