Jak postawi* serwer pocztowy

Report
Wprowadzenie do poczty
elektronicznej
czyli co muszę wiedzieć zanim
spróbuję postawić własny serwer
pocztowy?
Ziemek Borowski
Krótko o mnie
• Ziemek Borowski
• ziembor @ wss.pl – i jestem WSS-koholikiem, ostatnio
redaktor (czyli cieć od newsów ).
• kilkanaście lat jako IT Pro
• Współprowadzę http://www.wss.pl/grupy/PEPUG ale jestem najgorszym mówcą świata…
• Zarówno Exchange jak i sendmail oraz postfix
• Obecnie pracuję dla jednego z operatorów
hostowanego Exchange – ale teraz siedzę w czymś
zupełnie innym…
• W 2009 i 2010 Microsoft wyróżnił mnie tytułem MVP
w kategorii Exchange 
Agenda – 60 do 90 minut…
• Co to jest poczta elektroniczna?
o co to jest koperta?
o co to jest ciało e-maila?
o co to jest MIME?
• Jak poczta działa w Internecie (DNS)
• Jakie zagrożenia czekają na serwer pocztowy?
• Co brać pod uwagę przy konfiguracji serwera
poczty który…
o będzie odbierał informacje ze świata?
o będzie wysyłał pocztę?
• A co na to wszystko prawo?
• Podsumowanie
Co to jest poczta
elektroniczna?
• Poczta elektroniczna to usługa asynchronicznego
przesyłania wiadomości tekstowych pomiędzy
pojedynczymi użytkownikami. Grupy to osobny temat.
• W przeciwieństwie do innych metod komunikacji
elektronicznej (synchroniczne formy rozmowy – IRC,
chaty, Instant Messaging lub interakcji człowiekmaszyna jak np. nawigowanie po WWW lub
wypełnianie formularzy) poczta elektroniczna
opiera się na
o wiadomościach (będących technicznie zamkniętymi całościami)
o wymaga strony pośredniczącej (store & forward) zamiast bezpośredniej
komunikacji klient / serwer.
SMTP
i parę kluczowych pojęć
• Z założenia poczta elektroniczna w swej warstwie
transportowej wykorzystuje protokół SMTP – Simple
Mail Transport Protocol.
• Zwyczajowo używa się następujących skrótów
opisujących elementy służące do przetwarzania
poczty:
o MUA (Mail User Agent) - klient poczty elektronicznej, program pocztowy dla
zwykłego użytkownika (np. Outlook, Evolution, mutt, Mozilla Mail)
o MSA (Mail Submision Agent) – fragment serwera SMTP odpowiedzialny za
przyjmowania korespondencji od klientów pocztowych (w protokole słabo
widoczne)
o MTA (Mail Transfer Agent) - serwer odpowiedzialny za przekazywanie
poczty między komputerami (np. Sendmail, Postfix, Exim, QMail, Exchange)
o MDA (Mail Delivery Agent) – przetwarzający dane w ramach konkretnego
system pocztowego. W wypadku bardziej skomplikowanych środowisk
takich jak np. MS Exchange Server ciężko wyodrębnić tę rolę.
Jak wygląda trasa maila?
1. Nadawca (klient) wysyła
mail przez swój serwer
2. Serwer sprawdza
(m.in.DNS) gdzie ma
skierować przesyłkę
3. Serwer nadawcy
rozmawia z serwerem
odbiorcy
4. Stacja końcowa klienta
pyta SMTP odbiorcy o to
czy ma dla niego jakieś
przesyłki…
DEMO –
wysłanie poczty
protokołem
SMTP bez
uwierzytelniania
Co to jest DNS?
• Rozproszona globalna baza danych
• Korzenie (serwery odpowiadające za „.”) pod
kontrolą Internet Corporation for Assigned Names
and Numbers http://www.icann.org/en/about/
• http://en.wikipedia.org/wiki/Domain_Name_System
a dokłaniej:
o http://upload.wikimedia.org/wikipedia/commons/b/b1/Domain_name_s
pace.svg
o http://upload.wikimedia.org/wikipedia/commons/7/77/An_example_of_t
heoretical_DNS_recursion.svg
o http://en.wikipedia.org/wiki/File:DNS_in_the_real_world.svg
Co ma DNS
wspólnego z SMTP?
• Routing poczty między serwerami publicznymi
zazwyczaj odbywa się w oparciu od DNS a
dokładniej rekordy MX.
• Poza MX potem przydadzą się nam inne rekordy…
• MX – Mail eXchanger
• Format
Serwer: google-public-dns-a.google.com
Address: 8.8.8.8
Nieautorytatywna odpowiedź:
virtualstudy.pl MX preference = 10, mail exchanger = 1986265544.mail.outlook.com
Co się dzieje po DATA?
Zady i walety SMTP
• Rozpowszechniony
•
• Prosty, ale z
rozszerzeniami
• KISS
• Brak w standardzie
dobergo dowodzenia
tożsamości (zdalnego
serwera, zdalnego
użytkownika)
• Zbyt rozpowszechniony
– ciężko zmieniać
• Zbyt wiele rozszerzeń
zbyt daleko
sięgających a podstaw
nie ma w standardzie
• Prosty bo głupi…
Co brać pod uwagę przy
konfiguracji serwera
poczty który ….
będzie odbierał
informacje ze świata?
•
•
•
•
Poprawne DNS,
Poprawne odbieranie wiadomości (bounce spam),
Nasłuchiwanie na poprawnych portach…
Ale także zalew spamu, prób słownikowych ataków
a adresy, badania podatności…
będzie wysyłał pocztę?
• I zaczyna się wielki i podstawowy
problem
Czemu poczta jest
problemem?
• Jako jeden z kanałów przekazywania wiadomości i
treści – narażony na:
o
o
o
o
SPAM – Unsolicitated Bulk/Commercial Email
Warstwa transportowa dla wirusów
Phising
Social Enginering
• Maile od root-a od zawsze obecne w pracowniach
studenckich 
• Jest usługą mission critical,
o kanałem komunikacyjnym ze światem,
o warstwą integracji usług
Dlaczego spam jest zły?
• 80-do 97% wiadomości w dużych
systemach pocztowych nie jest
dostarczanych do inboxów
o Odrzucane w trakcie konwersacji
o Uznawane za śmieci przez oprogramowanie
serwerowe
o Uznawane za śmieci przez oprogramowanie
klienckie
• Information overload
Co doradzają twórcy nam
Internetu?
• "Be liberal in what you accept,
and conservative in what you
send."
-- jon (Postel)
RFC-1122 (originates in RFC760)
• “Junk mail is war.
RFCs do not apply.”
-- Wietse Venema
Jak, skąd atakuje spam
• Spamboty/inne formy automatów
o Zombies,
o Podatne WWW/SMTP (OpenRelay)
o Hosting z min. ochroną przed własnymi
użytkownikami
• Spamujący „inteligentni inaczej”
• Spam bouncujący
• Skutek uboczny harvestingu
Jak się bronimy?
• Analiza treści
• Uwierzytelnianie poczty serwer-serwer
o Sender Policy Framework
o SenderID
o DomainKeys Identified Mail
• Ocena reputacji nadawcy
• Listy źródeł spamu / zagrożeń
• Black/White listy nadawców/odbiorców
o Harvesting
• Zwiększanie kosztowności spamowania
o Greylisting, Tarpinging
o Weryfikacja poprawności konfiguracji (np. reverse DNS, zgodność HELO)
o Blokada harvestingu
… i jakie to ma
konsekwencje…
• Poczta przestała być zaufanym
medium transmisyjnym.
• Zwiększyło się ryzyko, że poczta
„przepadnie” – false positives
• Zwiększyły się praktyczne wymogi
stawiane przed hostem pocztowym
Konsekwencje:
Content filtering
• Junk Mails
• Czasem REJECT
• Bardzo często praktycznie DROP
• Reguły filtrowania najmniej skodyfikowane
o Filtry baysowskie
o Zestawy słów kluczowych
o Charakterystyka – wielkość i zawartość e-maila
Konsekwencje:
Uwierzytelnianie poczty
• Odrzucenia z powodu wysłania z nie zaufanego
adresu
• Brak zgodności z wszelkimi systemami
forwadującymi maile lub podszywającymi się, np.
część notyfikacji allegro.pl
Konsekwencje:
Reputacja stron
Można do problemu podchodzić na kilka sposobów:
• Dynamicznie, w oparciu o obecne zachowania
wobec nas i świata
o Czy teraz jest open relay
o Czy domena nadawcy istnieje
o Czy domena nadawcy ma (pracujące) pod adresem wskazanym przez
MX-y serwery odbierające
• 3rd party, historyczne, zazwyczaj jako Listy źródeł
spamu / zagrożeń
Konsekwencje:
Listy źródeł zagrożeń
• Zazwyczaj jako Real Time Blocking List – z czasem
Domain Name System Block List
• Prowadzone przez różne organizacji, z różnymi
celami i politykami tak umieszczania jak i
wycofywania
http://en.wikipedia.org/wiki/Comparison_of_DNS_blacklists
• Brak dobrych i uniwersalnych list dla każdego
• Konieczna jest samokontrola
o
o
o
o
http://mxtoolbox.com/blacklists.aspx
http://www.dnsbl.info/dnsbl-database-check.php
http://www.dnsstuff.com (płatny, powoli doganiany przez MXToolbox)
Własne skrypty
Typy DNSBL:
spam source
• new.spam.dnsbl.sorbs.net - List of hosts that have
been noted as sending spam/UCE/UBE to the
admins of SORBS within the last 48 hours.
• sbl.spamhaus.org - Static UBE sources, verified spam
services and ROKSO spammers
• bl.spamcop.net - The SCBL is a list of IP addresses
which have transmitted reported email to
SpamCop users, which in turn is used to block and
filter unwanted email.
Typy DNSBL:
Dynamic
• dul.dnsbl.sorbs.net - Dynamic IP Address ranges
(NOT a Dial Up list!) -- Dynamic User and Host List
(DUHL)
• Założenie: DUL-e nie powinny mieć samodzielnych
serwerów
• Założenie: DUL-e to klienci, a więc i ew. źródło
infekcji
Typy DNSBL:
braki administrowania
• escalations.dnsbl.sorbs.net - This zone contains
netblocks of spam supporting service providers,
including those who provide websites, DNS or drop
boxes for a spammer.
• rfc-ignorant.org is the clearinghouse for sites who
think that the rules of the internet don't apply to
them. DSN ( <> ) postmaster abuse whois bogusmx
Spam Operators/
Supporters
100 Known Spam Operations responsible
for 80% of your spam.
• http://www.spamhaus.org/rokso/
Typy DNSBL:
Backscatterer
• Backscatterer.org – Backscatter (also known as
outscatter, misdirected bounces, blowback or
collateral spam) is a side-effect of e-mail spam,
viruses and worms, where e-mail servers receiving
spam and other mail send bounce messages to an
innocent party. This occurs because the original
message's envelope sender is forged to contain the
often unprotected e-mail address of the victim.
•
Typy DNSxL
•
Nie każda lista IP Address Provider jest Black Listą
o http://countries.nerd.dk/ - lista IP krajów (taka globalna odmiana
http://42.pl/pl/
o http://www.dnswl.org/ - DNSWL.org provides a Whitelist of known
legitimate email servers to reduce the chances of false positives while
spam filtering.
• Można także samemu postawić własną DNSxL:
o http://www.zytrax.com/books/dns/ch9/dnsbl.html
Konsekwencje:
zwiększanie kosztów
• Tarpinging - spowalniaj reakcję na błędne komendy:
stosunkowo bezpieczny, zabezpiecza przez agresywnym
atakiem obciążając nadawcę
• Greylisting – „rozwinięcie” tarpitingu – niezależnie od
tego czy polecenia były błędne czy nie, nie przyjmuj
pierwszych maili na dany adres z tego IP
o Wprowadza opóźnienie w komunikacji,
o Czasem b. długie (Exchange 2003 miewa problemy z kolejnymi
przerworzeniami jeśli ten czas nie jest naprawdę krótki)
o Wymaga dobrej koordynacji baz poprawnie skomunikowanych połączeń
między MX-ami.
• Harvesting – blokowanie, na poziomie sesji SMTP
dostarczania do nie naszych użytkowników
o Istotne także w połączeniu z backscatterem, świetnie wspierane przez
tarpitting
Zwiększanie kosztów –
„poprawna konfiguracja”
• Weryfikacja poprawności konfiguracji
o reverse DNS,
o zgodność HELO/EHLO,
o Wysyłanie z adresów które są MX-ami
• Kontakt z helpdeskiem
W polskich warunkach…
DNSBL-e typowe to
• DUN – spora część klas TPSA traktowana była jako
zmienne IP, nie tylko Neostrada, ale też DSL
• Odpowiedzialność zbiorowa:
o Słaba reaktywność wsparcia technicznego TPSA/Netii
powodowała uznanie cały AS za przyjazne spamerom
• Często reakcją na te problemy jest
wysyłanie przez dostawcę gdzie mamy
WWW (odradzam, zwł. na Exchange
2007/10)
Jak więc postawić serwer
pocztowy?
Nigdy więcej rozmów z ludźmi o
marnej reputacji
Jarosław Kaczyński
TCO serwera SMTP zawiera:
- Koszt łącza
Lub
- Koszt usługi filtrowania/przesyłania poczty
Nie bardzo da się użyć usługi dla użytkownika
domowego lub typowego POP3 do obsługi
Exchange. I jest to celowe działanie.
A co na to wszystko
prawo?
• Uwaga, uwaga – póki co o ile nie świadczy jej
telekom poczta nie jest usługą telekomunikacyjną…
Więc nie trzeba gromadzić logów z połączeń przed
dwa lata w wiarygodny sposób…
• … ale teoretycznie każdy system pocztowy
przetwarza dane osobowe…. Upppppppssssss.
Podsumowanie
Dziękuję za uwagę…
Pytania? Komentarze? Chętni do
poprowadzenia własnej sesji?
• Następne spotkanie: 2011-10-26 20:30
także na Virtual Study,
• A potem 2011-11-17, 3 czwartek
listopada twarzą w twarz, i częsciowo
przez LM.
Zero Inbox

similar documents