SPF - Sender policy framework - PowerPoint PPT Presentation

1 / 26
About This Presentation
Title:

SPF - Sender policy framework

Description:

SPF - Sender policy framework kot orodje za pomo pri odpravi neza eljene po te – PowerPoint PPT presentation

Number of Views:127
Avg rating:3.0/5.0
Slides: 27
Provided by: Luka70
Category:

less

Transcript and Presenter's Notes

Title: SPF - Sender policy framework


1
SPF - Sender policy framework kot orodje za pomoc
pri odpravi nezaželjene pošte
2
Agenda
  • Uvod
  • Splošni pogled na trenutno problematiko SMTP
  • Demo pregled nastavitev SMTP strežnika
  • nastavitve SMTP strežnika
  • dnsreport.com
  • dnsstuff.com
  • SPF od zacetkov do ...
  • Uvod v SPF
  • Kako deluje?
  • Kaj s SPFjem odpravimo / proti komu ali cemu se
    borimo?
  • Kaj pri SPFju še ne deluje?
  • Implementacija SPF zapisa na pošiljateljevi
    strani
  • Implementacija SPF zapisa na prejemnikovi strani
  • SPF in varnost
  • Demo izdelava SPF zapisa
  • Exchange 2003 SP2 SenderID
  • Povezave / dodatna literatura
  • Vprašanja

3
UvodSplošni pogled na trenutno problematiko SMTP
  • SMTP nima integririrane nobene funkcije za
    preverjanje izvora sporocila
  • Na svetu je še vedno veliko open relay SMTP
    strežnikov
  • Ob instalaciji so nekateri poštni strežniki že v
    osnovi nastavljeni kot open relay ce tega takoj
    ne popravimo bomo kaj kmalu na crni listi
  • Filtriranje proti crnim listam je lahko
    problematicno
  • Pozorni moramo biti na dynamic IP block liste
  • SMTP strežniki imajo napacno nastavljen
    greeting
  • telnet mail.podjetje.si 25
  • 220 server01 Microsoft ESMTP MAIL Service,
    Version 6.0.3790.1830

4
  • DEMO
  • Nastavitve SMTP strežnika
  • Preverjanje nastavitev s pomocjo spletnega orodja
  • dnsreport.com, dnsstuff.com, programa nslookup in
    programa telnet

5
SPF od zacetkov do ...Uvod v SPF
  • Kratica SPF pomeni Sender policy framework (v
    zasnovi pa je pomenila Sender permited from).
  • Preprecuje ponaredbo pošiljatelja in NI de-facto
    anti-spam rešitev.
  • Poštnim strežnikom omogca enostavno zaznavo
    autoriziranih in neautoriziranih strežnikov za
    doloceno domeno.
  • Sam SMTP omogoca vsakemu uporabniku, da pošlje
    e-sporocilo v katerem se lahko predstavi kot
    kdorkoli.
  • Zgoraj navedena lastnost pošiljateljem
    nezaželjene pošte omogoca, da se precej dobro
    skrijejo (pošiljatelj je težko izsledljiv).
  • Nezaželjena pošta prihaja iz naslovov, ki se
    prejemniku zdijo zaupanja vredni.
  • SPF kot dodatek SMTP protokolu omogoca
    detekcijo ponarejenih naslovov v SMTP Mail from
    (return-path).
  • SPF definira RFC dokument 4408.

6
SPF od zacetkov do ...Uvod v SPF
  • Zgodovinski pregled
  • SPF se je razvil v juniju 2003 s pomocjo
    programerske skupine Gordona Fecyka (Designated
    Mailers Protocol) ter Hadmuta Danisch (Reverse
    MX).
  • V zacetku leta 2004 je IETF aktiviral skupino
    MARID, ki je uporabljala SPF ter Microsoftov
    Caller-ID za izdelavo novega sistema Sender-ID.
  • V juliju 2005 je bila specifikacija SPF dokoncno
    sprejeta s strani IETF in s tem, se je pojavil
    tudi RFC 4408
  • Široka uporaba SPFja v letu 2005 še posebej pri
    velikih igralcih (npr. Microsoft, AOL, Hotmail,
    Google, E-bay, Amazon.com ...) ga je že naredila
    de-facto standard.

7
SPF pregledKako deluje?
  • Že med SMTP dialogom med strežniki, prejemnikov
    strežnik preveri pošiljateljevo domeno za SPF
    zapis preko DNS poizvedbe.
  • Na podlagi zapisa dobimo sledece odgovore
  • Pass strežnik je avtoriziran za pošiljanje
    pošte za domeno primer.com
  • Fail domena primer.com prepoveduje pošiljanje
    pošte s strežnika xxx.xxx.com
  • SoftFail domena misli, da strežnik ni
    avtoroziran za pošiljanje pošte vendar tega ne
    trdi
  • Neutral domena ima mešane obcutke glede
    pošiljateljevega strežnika niti DA niti NE
  • None domena je brez SPF zapisa ali domena ne
    obstaja
  • TempError napaka pri preverjanju SPF zapisa
  • PermError SPF ne more biti previlno
    interpretiran napacna sintaksa zapisa SPF
  • Na podlagi rezultatov se mora prejemnikov
    strežnik oziroma programska oprema odlociti kako
    se bo odzvala na sporocilo

8
(No Transcript)
9
(No Transcript)
10
Analiza sporocila
iom_at_alrightal.freeserve.co.uk Received from
xhofqo (70-54.126-70.tampabay.res.rr.com
70.126.54.70) ali je to res pravi strežnik za
pošiljanje pošte salrightal.freeserve.co.uk Izkaž
e se, da je spam bil poslan z klicne / adsl
povezave. Josefa Mcallister conner_at_joeltarbox.co
m Received from abyj32.neoplus.adsl.tpnet.pl
(abyj32.neoplus.adsl.tpnet.pl 83.9.29.32) Spam
poslan ravno tako z ADSL povezave ...
11
(No Transcript)
12
SPF pregledKako deluje?
  • SPF zapis definiramo s TXT oziroma (v prhodnosti)
    SPF zapisom na domenskem strežniku
  • V njem definiramo strežnike, ki so avtorizirani
    za pošiljanje elektronske pošte za doloceno
    domeno primer.com
  • Strežnik prejemnika sporocila z domene primer.com
    pa opravi preverjanje, ce je IP naslov oziroma
    ime strežnika, ki je poslal sporocilo res
    zapisano v DNS zapisu za pošiljateljevo domeno.
  • Na podlagi rezultata preverjanja se lahko
    strežnik prejemnika odloci
  • V primeru, da je pošiljateljev strežnik vpisan v
    DNS zapis
  • Poštno sporocilo vseeno dodatno sprocesira
  • Poštno sporocilo brez dodatnege procesiranja
    dostavi v poštni predal
  • V primeru, da je pošiljateljev strežnik
    neveljaven (ni zapisan v DNSju) ali pa
    pošiljateljeva domena nima SPF-ja (sedanjost in
    bližnja prihodnost)
  • Poštno sporocilo sprejme vendar ga dodatno
    dockuje
  • Poštno sporocilo zavrne (v tem trenutku še ni
    priporocljivo)
  • Poštno sporocilo zavrne z odgovorom (ni
    priporocljivo)

13
SPF pregledKaj s SPFjem odpravimo / proti komu
ali cemu se borimo?
  • Širitev crvov in virusov z lastnim SMTP
    motorjem je onemogocena s samostojnih delovnih
    postaj
  • Nezaželjena pošta (v doloceni meri) ponarejanje
    pošiljateljevega naslova je zelo oteženo
  • Phising

14
SPF pregled Kaj pri SPFju še ne deluje?
  • Mailing liste
  • Po RFCju se od mailing list oziroma sistema
    zahteva prepis ali popravek Reverse-path (v
    zadnjih razlicicah poštnih strežnikov že deluje)
  • Forwarding
  • Pojavlja se enak problem kot pri mailing listah
    prepis Reverse-path vendar rešitve obstajajo
  • Na pošiljateljevi strani
  • Uporaba macro-jev in nekaj popravkov v DNS
    zapisih
  • Vmes
  • Strategija je v razvoju
  • Na prejemnikovi strani
  • Whitelisting zaupanja vrednih forwarderjev

15
SPF implementacijaImplementacija SPF zapisa na
pošiljateljevi strani
  • Samo SPF zapis v DNS coni naše domene primer.com
  • Dodaten t.i. SPF zapis se bo implementiral v nove
    razlicice DNS strežnikov
  • Klasicni primer zapisa SPF
  • vspf1 dolocilo mehanizem
  • Dolocila v SPF zapisu
  • / pass
  • - / fail
  • ? / neutral
  • / softfail
  • Po predpisih dobrih praks se priporoca zacetno
    implementacijo SPF zapisa z dolocilom ali
    ?, ki se nato, ko je vse pripravljeno postavi
    na .

16
SPF implementacija Implementacija SPF zapisa
na pošiljateljevi strani
  • Mehanizmi v SPF zapisu
  • a Drži ce pošiljateljev IP naslov ustreza a
    zapisu
  • amail.primer.com/28
  • mx Drži, ce je naslov pošiljateljevega
    strežnika zapisan kot mx zapis domene
  • PTR Drži, ce se IP naslov pošiljateljevega
    strežnika razrešuje v imenski zapis
  • ptrmail.primer.com
  • IP4 Drži ce se IP naslov pošiljateljevega
    strežnika nahaja v dolocenem IPv4 naslovnem polju
    (IP range)
  • 193.5.22.0/24
  • IP6 Drži, ce se IP naslov pošijateljevega
    strežnika nahaja v dolocenem IPv6 naslovnem polju
    (IP range)
  • All vedno drži

17
SPF implementacijaImplementacija SPF zapisa na
prejemnikovi strani
  • Vecina anti-spam / anti-virus programov že
    omogoca SPF
  • Vecina novejših poštnih strežnikov (ali addon-ov
    / plug-in-ov) že razume SPF zapis
  • Vecina ponudnikov brezplacnih elektronskih
    poštnih predalov že uporabla SPF zapise (v obeh
    smereh)

18
SPF implementacijaImplementacija SPF zapisa na
prejemnikovi strani
  • X-Gmail-Received d07caab5c6cc18b775e66e5b6ddf7e55
    52fd184e
  • Delivered-To przemj_at_gmail.com
  • Received by 10.65.183.14 with SMTP id
    k14cs16216qbp Fri, 20 Jan 2006 071717 -0800
    (PST)
  • Received by 10.65.132.8 with SMTP id
    j8mr68400qbn Fri, 20 Jan 2006 071717-0800
    (PST)a
  • Return-Path lista_at_cert.pl
  • Received from melkor1.nask.waw.pl
    (melkor1.nask.waw.pl 195.187.7.67) by
    mx.gmail.com with ESMTP id q13si1295973qbq.2006.01
    .20.07.17.11 Fri, 20 Jan 2006 071717 -0800
    (PST)
  • Received-SPF pass (gmail.com domain of
    lista_at_cert.pl designates 195.187.7.67 as
    permitted sender)
  • Received from localhost.localdomain (localhost
    127.0.0.1) by melkor1.nask.waw.pl (Postfix)
    with ESMTP id 30071AFB14 Fri, 20 Jan 2006
    161709 0100 (CET)
  • Vir http//www.terena.nl/activities/tf-csirt/meet
    ing17/spf.pdf

19
SPF in varnost
  • DDoS napadi
  • Nalašc nastavljeni SPF zapisi s prevsmeritvijo na
    druge domene bi lahko služili kot ojacevalec
  • Nalašc nastavljeni SPF zapisi bi lahko odjemalca
    prevsmerili in s tem povzrocili pretirano
    kolicino DNS poizvedb (rešljivo s pravilno
    implementacijo SPF preverjanja)
  • SPF se naslanja na DNS in po njem podeduje vse
    slabosti
  • Ponarejanje med uporabniki iste domene je mogoce
    (uporabljati je potrebno SMTP Auth ali podobne
    možnosti zašcite ...)
  • Informacije o poštnem prometu se posredujejo
    med DNS strežniki in poštnimi strežniki kar bi
    lahko kršilo zasebnost(?!?).

20
Exchange 2003 SP2 SenderID
21
Exchange 2003 SP2 SenderID
22
Exchange 2003 SP2 SenderID
23
Exchange 2003 SP2 SenderID
24
  • DEMO
  • Izdelava in vpis SPF zapisa

25
SPF Povezave
  • RFC 4408
  • http//www.ietf.org/rfc/rfc4408.txt
  • SPF homepage
  • http//www.openspf.org/
  • SPF - TXT record generator (Microsoft Sender-ID)
  • http//www.microsoft.com/mscorp/safety/content/tec
    hnologies/senderid/wizard/
  • SPF O SPF-ju
  • http//en.wikipedia.org/wiki/Sender_Policy_Framewo
    rk
  • SPF Test SPF zapisov
  • http//www.dnsstuff.com/pages/spf.htm
  • Splošno testiranje domene
  • http//dnsreport.com/
  • Microsoft Exchange 2003 SenderID
  • http//www.microsoft.com/mscorp/safety/technologie
    s/senderid/default.mspx
  • Nastavitev in vzpostavitev
  • http//www.msexchange.org/tutorials/Configuring-en
    abling-Sender-ID-filtering-Exchange-2003-SP2.html

26
(No Transcript)
Write a Comment
User Comments (0)
About PowerShow.com