SPF - Sender policy framework

1
SPF - Sender policy framework kot orodje za pomoc
pri odpravi nezaželjene pošte
2
Agenda

• Uvod
• Splošni pogled na trenutno problematiko SMTP
• Demo pregled nastavitev SMTP strežnika
• nastavitve SMTP strežnika
• dnsreport.com
• dnsstuff.com
• SPF od zacetkov do ...
• Uvod v SPF
• Kako deluje?
• Kaj s SPFjem odpravimo / proti komu ali cemu se
  borimo?
• Kaj pri SPFju še ne deluje?
• Implementacija SPF zapisa na pošiljateljevi
  strani
• Implementacija SPF zapisa na prejemnikovi strani
• SPF in varnost
• Demo izdelava SPF zapisa
• Exchange 2003 SP2 SenderID
• Povezave / dodatna literatura
• Vprašanja

3
UvodSplošni pogled na trenutno problematiko SMTP

• SMTP nima integririrane nobene funkcije za
  preverjanje izvora sporocila
• Na svetu je še vedno veliko open relay SMTP
  strežnikov
• Ob instalaciji so nekateri poštni strežniki že v
  osnovi nastavljeni kot open relay ce tega takoj
  ne popravimo bomo kaj kmalu na crni listi
• Filtriranje proti crnim listam je lahko
  problematicno
• Pozorni moramo biti na dynamic IP block liste
• SMTP strežniki imajo napacno nastavljen
  greeting
• telnet mail.podjetje.si 25
• 220 server01 Microsoft ESMTP MAIL Service,
  Version 6.0.3790.1830

4

• DEMO
• Nastavitve SMTP strežnika
• Preverjanje nastavitev s pomocjo spletnega orodja
• dnsreport.com, dnsstuff.com, programa nslookup in
  programa telnet

5
SPF od zacetkov do ...Uvod v SPF

• Kratica SPF pomeni Sender policy framework (v
  zasnovi pa je pomenila Sender permited from).
• Preprecuje ponaredbo pošiljatelja in NI de-facto
  anti-spam rešitev.
• Poštnim strežnikom omogca enostavno zaznavo
  autoriziranih in neautoriziranih strežnikov za
  doloceno domeno.
• Sam SMTP omogoca vsakemu uporabniku, da pošlje
  e-sporocilo v katerem se lahko predstavi kot
  kdorkoli.
• Zgoraj navedena lastnost pošiljateljem
  nezaželjene pošte omogoca, da se precej dobro
  skrijejo (pošiljatelj je težko izsledljiv).
• Nezaželjena pošta prihaja iz naslovov, ki se
  prejemniku zdijo zaupanja vredni.
• SPF kot dodatek SMTP protokolu omogoca
  detekcijo ponarejenih naslovov v SMTP Mail from
  (return-path).
• SPF definira RFC dokument 4408.

6
SPF od zacetkov do ...Uvod v SPF

• Zgodovinski pregled
• SPF se je razvil v juniju 2003 s pomocjo
  programerske skupine Gordona Fecyka (Designated
  Mailers Protocol) ter Hadmuta Danisch (Reverse
  MX).
• V zacetku leta 2004 je IETF aktiviral skupino
  MARID, ki je uporabljala SPF ter Microsoftov
  Caller-ID za izdelavo novega sistema Sender-ID.
• V juliju 2005 je bila specifikacija SPF dokoncno
  sprejeta s strani IETF in s tem, se je pojavil
  tudi RFC 4408
• Široka uporaba SPFja v letu 2005 še posebej pri
  velikih igralcih (npr. Microsoft, AOL, Hotmail,
  Google, E-bay, Amazon.com ...) ga je že naredila
  de-facto standard.

7
SPF pregledKako deluje?

• Že med SMTP dialogom med strežniki, prejemnikov
  strežnik preveri pošiljateljevo domeno za SPF
  zapis preko DNS poizvedbe.
• Na podlagi zapisa dobimo sledece odgovore
• Pass strežnik je avtoriziran za pošiljanje
  pošte za domeno primer.com
• Fail domena primer.com prepoveduje pošiljanje
  pošte s strežnika xxx.xxx.com
• SoftFail domena misli, da strežnik ni
  avtoroziran za pošiljanje pošte vendar tega ne
  trdi
• Neutral domena ima mešane obcutke glede
  pošiljateljevega strežnika niti DA niti NE
• None domena je brez SPF zapisa ali domena ne
  obstaja
• TempError napaka pri preverjanju SPF zapisa
• PermError SPF ne more biti previlno
  interpretiran napacna sintaksa zapisa SPF
• Na podlagi rezultatov se mora prejemnikov
  strežnik oziroma programska oprema odlociti kako
  se bo odzvala na sporocilo

8
(No Transcript)
9
(No Transcript)
10
Analiza sporocila
iom_at_alrightal.freeserve.co.uk Received from
xhofqo (70-54.126-70.tampabay.res.rr.com
70.126.54.70) ali je to res pravi strežnik za
pošiljanje pošte salrightal.freeserve.co.uk Izkaž
e se, da je spam bil poslan z klicne / adsl
povezave. Josefa Mcallister conner_at_joeltarbox.co
m Received from abyj32.neoplus.adsl.tpnet.pl
(abyj32.neoplus.adsl.tpnet.pl 83.9.29.32) Spam
poslan ravno tako z ADSL povezave ...
11
(No Transcript)
12
SPF pregledKako deluje?

• SPF zapis definiramo s TXT oziroma (v prhodnosti)
  SPF zapisom na domenskem strežniku
• V njem definiramo strežnike, ki so avtorizirani
  za pošiljanje elektronske pošte za doloceno
  domeno primer.com
• Strežnik prejemnika sporocila z domene primer.com
  pa opravi preverjanje, ce je IP naslov oziroma
  ime strežnika, ki je poslal sporocilo res
  zapisano v DNS zapisu za pošiljateljevo domeno.
• Na podlagi rezultata preverjanja se lahko
  strežnik prejemnika odloci
• V primeru, da je pošiljateljev strežnik vpisan v
  DNS zapis
• Poštno sporocilo vseeno dodatno sprocesira
• Poštno sporocilo brez dodatnege procesiranja
  dostavi v poštni predal
• V primeru, da je pošiljateljev strežnik
  neveljaven (ni zapisan v DNSju) ali pa
  pošiljateljeva domena nima SPF-ja (sedanjost in
  bližnja prihodnost)
• Poštno sporocilo sprejme vendar ga dodatno
  dockuje
• Poštno sporocilo zavrne (v tem trenutku še ni
  priporocljivo)
• Poštno sporocilo zavrne z odgovorom (ni
  priporocljivo)

13
SPF pregledKaj s SPFjem odpravimo / proti komu
ali cemu se borimo?

• Širitev crvov in virusov z lastnim SMTP
  motorjem je onemogocena s samostojnih delovnih
  postaj
• Nezaželjena pošta (v doloceni meri) ponarejanje
  pošiljateljevega naslova je zelo oteženo
• Phising

14
SPF pregled Kaj pri SPFju še ne deluje?

• Mailing liste
• Po RFCju se od mailing list oziroma sistema
  zahteva prepis ali popravek Reverse-path (v
  zadnjih razlicicah poštnih strežnikov že deluje)
• Forwarding
• Pojavlja se enak problem kot pri mailing listah
  prepis Reverse-path vendar rešitve obstajajo
• Na pošiljateljevi strani
• Uporaba macro-jev in nekaj popravkov v DNS
  zapisih
• Vmes
• Strategija je v razvoju
• Na prejemnikovi strani
• Whitelisting zaupanja vrednih forwarderjev

15
SPF implementacijaImplementacija SPF zapisa na
pošiljateljevi strani

• Samo SPF zapis v DNS coni naše domene primer.com
• Dodaten t.i. SPF zapis se bo implementiral v nove
  razlicice DNS strežnikov
• Klasicni primer zapisa SPF
• vspf1 dolocilo mehanizem
• Dolocila v SPF zapisu
• / pass
• - / fail
• ? / neutral
• / softfail
• Po predpisih dobrih praks se priporoca zacetno
  implementacijo SPF zapisa z dolocilom ali
  ?, ki se nato, ko je vse pripravljeno postavi
  na .

16
SPF implementacija Implementacija SPF zapisa
na pošiljateljevi strani

• Mehanizmi v SPF zapisu
• a Drži ce pošiljateljev IP naslov ustreza a
  zapisu
• amail.primer.com/28
• mx Drži, ce je naslov pošiljateljevega
  strežnika zapisan kot mx zapis domene
• PTR Drži, ce se IP naslov pošiljateljevega
  strežnika razrešuje v imenski zapis
• ptrmail.primer.com
• IP4 Drži ce se IP naslov pošiljateljevega
  strežnika nahaja v dolocenem IPv4 naslovnem polju
  (IP range)
• 193.5.22.0/24
• IP6 Drži, ce se IP naslov pošijateljevega
  strežnika nahaja v dolocenem IPv6 naslovnem polju
  (IP range)
• All vedno drži

17
SPF implementacijaImplementacija SPF zapisa na
prejemnikovi strani

• Vecina anti-spam / anti-virus programov že
  omogoca SPF
• Vecina novejših poštnih strežnikov (ali addon-ov
  / plug-in-ov) že razume SPF zapis
• Vecina ponudnikov brezplacnih elektronskih
  poštnih predalov že uporabla SPF zapise (v obeh
  smereh)

18
SPF implementacijaImplementacija SPF zapisa na
prejemnikovi strani

• X-Gmail-Received d07caab5c6cc18b775e66e5b6ddf7e55
  52fd184e
• Delivered-To przemj_at_gmail.com
• Received by 10.65.183.14 with SMTP id
  k14cs16216qbp Fri, 20 Jan 2006 071717 -0800
  (PST)
• Received by 10.65.132.8 with SMTP id
  j8mr68400qbn Fri, 20 Jan 2006 071717-0800
  (PST)a
• Return-Path lista_at_cert.pl
• Received from melkor1.nask.waw.pl
  (melkor1.nask.waw.pl 195.187.7.67) by
  mx.gmail.com with ESMTP id q13si1295973qbq.2006.01
  .20.07.17.11 Fri, 20 Jan 2006 071717 -0800
  (PST)
• Received-SPF pass (gmail.com domain of
  lista_at_cert.pl designates 195.187.7.67 as
  permitted sender)
• Received from localhost.localdomain (localhost
  127.0.0.1) by melkor1.nask.waw.pl (Postfix)
  with ESMTP id 30071AFB14 Fri, 20 Jan 2006
  161709 0100 (CET)
• Vir http//www.terena.nl/activities/tf-csirt/meet
  ing17/spf.pdf

19
SPF in varnost

• DDoS napadi
• Nalašc nastavljeni SPF zapisi s prevsmeritvijo na
  druge domene bi lahko služili kot ojacevalec
• Nalašc nastavljeni SPF zapisi bi lahko odjemalca
  prevsmerili in s tem povzrocili pretirano
  kolicino DNS poizvedb (rešljivo s pravilno
  implementacijo SPF preverjanja)
• SPF se naslanja na DNS in po njem podeduje vse
  slabosti
• Ponarejanje med uporabniki iste domene je mogoce
  (uporabljati je potrebno SMTP Auth ali podobne
  možnosti zašcite ...)
• Informacije o poštnem prometu se posredujejo
  med DNS strežniki in poštnimi strežniki kar bi
  lahko kršilo zasebnost(?!?).

20
Exchange 2003 SP2 SenderID
21
Exchange 2003 SP2 SenderID
22
Exchange 2003 SP2 SenderID
23
Exchange 2003 SP2 SenderID
24

• DEMO
• Izdelava in vpis SPF zapisa

25
SPF Povezave

• RFC 4408
• http//www.ietf.org/rfc/rfc4408.txt
• SPF homepage
• http//www.openspf.org/
• SPF - TXT record generator (Microsoft Sender-ID)
• http//www.microsoft.com/mscorp/safety/content/tec
  hnologies/senderid/wizard/
• SPF O SPF-ju
• http//en.wikipedia.org/wiki/Sender_Policy_Framewo
  rk
• SPF Test SPF zapisov
• http//www.dnsstuff.com/pages/spf.htm
• Splošno testiranje domene
• http//dnsreport.com/
• Microsoft Exchange 2003 SenderID
• http//www.microsoft.com/mscorp/safety/technologie
  s/senderid/default.mspx
• Nastavitev in vzpostavitev
• http//www.msexchange.org/tutorials/Configuring-en
  abling-Sender-ID-filtering-Exchange-2003-SP2.html

26
(No Transcript)