Sicurezza di Exchange 2003 Agenda • • • • Comparazione tra Spam e Virus Il problema dello Spam: SMTP Tecnologie/iniziative antispam Mezzi per contrastare lo Spam con un’infrastruttura basata su Microsoft – Exchange 2003 – IMF – Intelligent message filter – Outlook 2003 • Visione futura .. Comparazione tra Spam e Virus Virus Spam Exploits Specifica vulnerabilità (e.g. buffer overruns) “Apertura” dell’SMTP (anonymous) Effetti Distruttivo Fastidio Motivo dell’azione Ludico, vendetta, $ $ Identificazione Signature, deterministico Non sempre determinabile Costo Perdita dei dati Perdita della produttività Helpdesk Administrazione Dischi, CPU Banda Perdita della produttività Helpdesk Administrazione Dischi, CPU Banda Soluzione Exchange Exchange 2003 (blocco degli allegati OWA ) 3rd Anti-Virus Exchange 2003 features 3rd Anti-Spam Il problema dello spam: SMTP SMTP è descritto in due documenti IETF – RFC 821: il modello di comunicazione, i comandi SMTP, i codici d’errore – RFC 822: Il formato dei messaggi, il formato degli indirizzi, il formato delle date MIME è descritto da cinque documenti IETF: • RFC 2045, 2046, 2047, 2048, 2049 ESMTP è descritto da vari documenti IETF: • RFC 1869: un meccanismo generale di estensione di SMTP • RFC 1652, 1870, 1830, 2197, 1891, 1985, 2034, 2487: varie estensioni del protocollo SMTP SMTP è stato aggiornato nell'aprile 2001: – RFC 2821 e 2822 aggiornano rispettivamente le RFC 821 e RFC 822 SMTP Teniamo sempre in mente che: SMTP è un protocollo basato su testo, per lo scambio di messaggi di posta e la verifica dei destinatari dei messaggi. I limiti del protocollo SMTP I limiti fondamentali di SMTP: – La lunghezza massima del messaggio è di 1 Mb – I caratteri accettati sono solo ASCII a 7 bit – Ogni messaggio deve contenere una sequenza CRLF ogni 1000 caratteri o meno. Questi limiti impediscono la trasmissione di documenti binari: • Un file binario usa tutti i 256 tipi di byte • Un file binario può facilmente essere più lungo di 1 Mb • In un file binario la sequenza CRLF è una sequenza come tutte le altre, e può esserci o mancare senza vincoli. MIME permette di superare questi limiti del protocollo SMTP La sicurezza del protocollo SMTP Impersonificazione • Il meccanismo di trasporto di SMTP è insicuro. Derivando da ARPA si dava per scontato la sicurezza intrinseca della rete. • E‘ facilissimo realizzare messaggi che sembrino, per l'utente inesperto ed esperto, provenire da altri mittenti (spoofing) • L'unica soluzione è implementare la crittografia e la firma digitale Tecnologie/iniziative antispam • Spf “Storico” = Sender Policy Framework • Caller ID + Spf = The Sender ID Framework • RMX = Reverse MX • DMP = Designated Mailer Protocol The Sender ID Framework • Contromisura allo Spam • Cos’è il Sender ID Framework (SIDF) – I componenti del Sender ID • Come funziona Sender ID – Il formato SPF – Come funziona il PRA - Purported Responsible Address Sender ID Framework • E’ il merge di due tecnologie – SPF (Sender Policy Framework) – Microsoft Caller ID • Inizia ad essere adottato da: – AOL, Bell Canada, Cisco, Cloudmark, Comcast, IBM, Interland, IronPort, Port25, Sendmail, Symantec, Tumbleweed, VeriSign…. – Email Service Provider Coalition, Opengroup, TRUSTe…. Cos’è il Sender ID Framework Sender ID Framework Mail Senders MTA Vendors & Receiving Networks Sender ID Record (SPF V2) SPF V1 Record MAIL FROM Check Purported Responsible Address (PRA) Check Submitter SMTP Optimization Come funziona Sender ID 1. Chi vuole inviare posta SMTP pubblica i suoi IP di outbound sui DNS tramite i record SPF 2. Chi riceve determina su quale dominio effettuare il check a) “Purported responsible domain” derivato dal message body (RFC 2822 headers) b) “Envelope From” domain (RFC 2821 Mail From) 3. Chi riceve effettua una query sul DNS e verifica tramite un test se il messaggio è di spoofing SPF Records • test.com TXT “v=spf1 -all” – Questo dominio non invierà mai messaggi SMTP • test.com TXT “v=spf1 mx -all” – I server in inbound sono identici agli outbound • test.com TXT “v=spf1 ip4:192.0.2.0/24 –all” – Range di IP • test.com TXT “v=spf1 mx include:myesp.com –all” – Dominio SMTP in outsourcing Direct Delivery [email protected] [email protected] • Pubblicare gli outbound server nel DNS usando il formato SPF • Opzionale: Transmettere il parametro SUBMITTER sul comando MAIL Direct Delivery S: 220 studenti.ugimex.eduESMTP server ready C: EHLO ugimex.org S: 250-studenti.ugimex.edu S: 250-DSN S: 250-AUTH S: 250-SUBMITTER SUBMITTER extension S: 250 SIZE C: MAIL FROM:<[email protected]> advertised in EHLO S: 250 <[email protected]> sender ok response C: RCPT TO:<[email protected]> S: 250 <[email protected]> recipient ok C: DATA S: 354 okay, send message C: From: [email protected] C: (message body goes here) C: . S: 250 message accepted C: QUIT S: 221 goodbye Creazione del record SPF • Esiste un Wizard ma ad oggi è in beta Limiti di Sender ID Limiti – Authentica i domini non gli utenti – Valida l’ultimo hop non è end-to-end – Gli Spammers possono registrare i loro domini La tecnologia Sender ID sarà disponibile con il service pack 2 di Exchange 2003 Mezzi per contrastare lo Spam In un’infrastruttura AD/Exchange, possiamo operare a livello di: • Exchange 2003 • IMF – Intelligent message filter • Outlook 2003 Exchange 2003: Connection Filtering • Liste globali “Allow / Deny” – Specifici IP o subnet – “Deny” by design • Supporto ad abbonamento a servizi esterni “real-time block list (RBL)” – Es: Mail from 62.190.247.12 • 12.247.190.62.bad.bl.org – Supporto per diversi fornitori RBL (3 o 4 ideale) – NDR personalizzabile per ogni fornitore – Possibilità di sovrascittura del filtro (exception by E-mail address) Exchange 2003: Connection Filtering Un elenco degli RBL si trova: http://www.declude.com/junkmail/support/ip4r.htm Address Filtering • Sender filtering – Filtro di messaggi spediti da un indirizzo e-mail o dominio smtp – Filtro di messaggi senza mittente • Recipient filtering – Filtro di messaggi spediti a destinatari non esistenti (senza NDR) – Filtro di messaggi spediti a specifici indirizzi – Solo utenti autenticati inviano a Distribution List – In aggiunta all’Address Filtering sul client – Safe/Block list New: SMTP Internet Protocol Restriction and Accept/Deny List • Scaricabile da www.microsoft.com/exchange nei tools É uno script vbs: Ipsec.vbs New: SMTP Internet Protocol Restriction and Accept/Deny List Ipsec.vbs - Manipulate Exchange Ip Security Settings -s server name (default: local machine's name) -i instance id (default = 1) -o <operations> operations: e a d c s Enumerate a security setting Add an IP address or domain Delete an IP address or domain Clear the current IP list or domain list Set grant or deny by default -r [connection|relay|accept|deny] -t [ip|domain] Specify whether the value that you are adding is an IP address or a domain name. The default value is IP address (not used in -o s and -o e). -g [grant|deny] (only for -o s) -v value (ip or domain) to add or remove (required for -o a and -o d) -m subnet mask (optional) -d domain controller (required) Antispam – senza IMF Exchange Server 2003 Gateway Server Transport SMTP Message Allow/Deny Lists Real-Time Block Lists Recipient & Sender Filtering 3rd Party Plug-Ins Message + SCL SCL = Spam Confidence Level Mailbox Server Store User Trusted & Junk Senders User Trusted & Junk Senders Inbox spam? Junk Mail Folder spam? Junk Mail Folder Inbox Outlook 2003 User Trusted & Junk Senders Exchange 2003 OWA Microsoft Exchange Intelligent Message Filter • Basato sulla tecnologia SmartScreen – presente in Outlook2003 – utilizzata da Hotmail dal 24 Febbraio 2004 – integrata con l’infrastruttura SCL ( Spam Confidence Level ) • E’ un’estensione di Exchange 2003 Server, da installare sui Bridgeheads • Coesistenza con le soluzioni di 3° parti Microsoft Exchange Intelligent Message Filter • Supporta il message tagging • Si amministra con un’estensione di Exchange System Manager Console • Saranno disponibili Filter Updates http://www.microsoft.com/exchange/imf IMF in italiano Il filtro è stato aggiornato tramite la KB 883106 Antispam – con IMF IMF Registy da configurare (opzionale) HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange\ContentFilter ArchiveDir ArchiveSCL CheckAuthSessions HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\ ParametersSystem Max Extended Rule Size Configurazione consigliata Antispam oggi • Combinazione di – RBL in DMZ – Internal filtering Internet • Opzioni in DMZ – Exchange in una forest separata :-) – Server SMTP • Internal – Exchange • IMF • Content Filtering Inbound SMTP External Firewall Exchange Relay Server RBL/Filter DMZ Internal Firewall Internal Network Argomenti dei prossimi eventi – ExBPA: Exchange Server Best Pratices Analyzer Tool 1.1 • Aggiornato il 9/2/2005 ExBPAUpdate.EXE – Exchange Server 2003 Security Hardening Guide • Aggiornato a Dicembre 2004 – ....