Sicurezza di
Exchange 2003
Agenda
•
•
•
•
Comparazione tra Spam e Virus
Il problema dello Spam: SMTP
Tecnologie/iniziative antispam
Mezzi per contrastare lo Spam con
un’infrastruttura basata su Microsoft
– Exchange 2003
– IMF – Intelligent message filter
– Outlook 2003
• Visione futura ..
Comparazione tra Spam e Virus
Virus
Spam
Exploits
Specifica vulnerabilità
(e.g. buffer overruns)
“Apertura” dell’SMTP
(anonymous)
Effetti
Distruttivo
Fastidio
Motivo dell’azione
Ludico, vendetta, $
$
Identificazione
Signature, deterministico Non sempre determinabile
Costo
Perdita dei dati
Perdita della produttività
Helpdesk
Administrazione
Dischi, CPU
Banda
Perdita della produttività
Helpdesk
Administrazione
Dischi, CPU
Banda
Soluzione
Exchange
Exchange 2003 (blocco
degli allegati OWA )
3rd Anti-Virus
Exchange 2003 features
3rd Anti-Spam
Il problema dello spam: SMTP
SMTP è descritto in due documenti IETF
– RFC 821: il modello di comunicazione, i comandi SMTP, i codici
d’errore
– RFC 822: Il formato dei messaggi, il formato degli indirizzi, il
formato delle date
MIME è descritto da cinque documenti IETF:
• RFC 2045, 2046, 2047, 2048, 2049
ESMTP è descritto da vari documenti IETF:
• RFC 1869: un meccanismo generale di estensione di SMTP
• RFC 1652, 1870, 1830, 2197, 1891, 1985, 2034, 2487: varie
estensioni del protocollo SMTP
SMTP è stato aggiornato nell'aprile 2001:
– RFC 2821 e 2822 aggiornano rispettivamente le RFC 821 e RFC
822
SMTP
Teniamo sempre in mente che:
SMTP è un protocollo basato su testo,
per lo scambio di messaggi di posta e
la verifica dei destinatari dei messaggi.
I limiti del protocollo SMTP
I limiti fondamentali di SMTP:
– La lunghezza massima del messaggio è di 1 Mb
– I caratteri accettati sono solo ASCII a 7 bit
– Ogni messaggio deve contenere una sequenza CRLF ogni
1000
caratteri o meno.
Questi limiti impediscono la trasmissione di documenti
binari:
• Un file binario usa tutti i 256 tipi di byte
• Un file binario può facilmente essere più lungo di 1 Mb
• In un file binario la sequenza CRLF è una sequenza come tutte
le
altre, e può esserci o mancare senza vincoli.
MIME permette di superare questi limiti del protocollo SMTP
La sicurezza del protocollo SMTP
Impersonificazione
• Il meccanismo di trasporto di SMTP è insicuro.
Derivando da ARPA si dava per scontato la
sicurezza intrinseca della rete.
• E‘ facilissimo realizzare messaggi che sembrino,
per l'utente inesperto ed esperto, provenire da
altri mittenti (spoofing)
• L'unica soluzione è implementare la crittografia
e la firma digitale
Tecnologie/iniziative antispam
• Spf “Storico” = Sender Policy Framework
• Caller ID + Spf = The Sender ID
Framework
• RMX = Reverse MX
• DMP = Designated Mailer Protocol
The Sender ID Framework
• Contromisura allo Spam
• Cos’è il Sender ID Framework (SIDF)
– I componenti del Sender ID
• Come funziona Sender ID
– Il formato SPF
– Come funziona il PRA - Purported Responsible
Address
Sender ID Framework
• E’ il merge di due tecnologie
– SPF (Sender Policy Framework)
– Microsoft Caller ID
• Inizia ad essere adottato da:
– AOL, Bell Canada, Cisco, Cloudmark,
Comcast, IBM, Interland, IronPort, Port25,
Sendmail, Symantec, Tumbleweed, VeriSign….
– Email Service Provider Coalition, Opengroup,
TRUSTe….
Cos’è il Sender ID Framework
Sender ID Framework
Mail
Senders
MTA
Vendors &
Receiving
Networks
Sender ID Record (SPF V2)
SPF V1 Record
MAIL FROM
Check
Purported Responsible
Address (PRA)
Check
Submitter
SMTP Optimization
Come funziona Sender ID
1. Chi vuole inviare posta SMTP pubblica i suoi
IP di outbound sui DNS tramite i record SPF
2. Chi riceve determina su quale dominio
effettuare il check
a) “Purported responsible domain” derivato dal
message body (RFC 2822 headers)
b) “Envelope From” domain (RFC 2821 Mail
From)
3. Chi riceve effettua una query sul DNS e
verifica tramite un test se il messaggio è di
spoofing
SPF Records
• test.com TXT “v=spf1 -all”
– Questo dominio non invierà mai messaggi SMTP
• test.com TXT “v=spf1 mx -all”
– I server in inbound sono identici agli outbound
• test.com TXT “v=spf1 ip4:192.0.2.0/24 –all”
– Range di IP
• test.com TXT “v=spf1 mx include:myesp.com –all”
– Dominio SMTP in outsourcing
Direct Delivery
[email protected]
[email protected]
• Pubblicare gli outbound server nel DNS
usando il formato SPF
• Opzionale: Transmettere il parametro
SUBMITTER sul comando MAIL
Direct Delivery
S: 220 studenti.ugimex.eduESMTP server ready
C: EHLO ugimex.org
S: 250-studenti.ugimex.edu
S: 250-DSN
S: 250-AUTH
S: 250-SUBMITTER
SUBMITTER extension
S: 250 SIZE
C: MAIL FROM:<[email protected]>
advertised in EHLO
S: 250 <[email protected]> sender ok
response
C: RCPT TO:<[email protected]>
S: 250 <[email protected]> recipient ok
C: DATA
S: 354 okay, send message
C: From: [email protected]
C: (message body goes here)
C: .
S: 250 message accepted
C: QUIT
S: 221 goodbye
Creazione del record SPF
• Esiste un Wizard ma ad oggi è in beta
Limiti di Sender ID
Limiti
– Authentica i domini non gli utenti
– Valida l’ultimo hop non è end-to-end
– Gli Spammers possono registrare i loro domini
La tecnologia Sender ID sarà
disponibile con il service pack 2
di Exchange 2003
Mezzi per contrastare lo Spam
In un’infrastruttura AD/Exchange, possiamo
operare a livello di:
• Exchange 2003
• IMF – Intelligent message filter
• Outlook 2003
Exchange 2003:
Connection Filtering
• Liste globali “Allow / Deny”
– Specifici IP o subnet
– “Deny” by design
• Supporto ad abbonamento a
servizi esterni “real-time block
list (RBL)”
– Es: Mail from 62.190.247.12
• 12.247.190.62.bad.bl.org
– Supporto per diversi fornitori RBL
(3 o 4 ideale)
– NDR personalizzabile per ogni
fornitore
– Possibilità di sovrascittura del filtro
(exception by E-mail address)
Exchange 2003: Connection Filtering
Un elenco degli RBL si trova:
http://www.declude.com/junkmail/support/ip4r.htm
Address Filtering
• Sender filtering
– Filtro di messaggi spediti da un indirizzo e-mail o dominio
smtp
– Filtro di messaggi senza mittente
• Recipient filtering
– Filtro di messaggi spediti a destinatari non esistenti
(senza NDR)
– Filtro di messaggi spediti a specifici indirizzi
– Solo utenti autenticati inviano a Distribution List
– In aggiunta all’Address Filtering sul client – Safe/Block list
New: SMTP Internet Protocol
Restriction and Accept/Deny List
• Scaricabile da www.microsoft.com/exchange
nei tools
É uno script vbs: Ipsec.vbs
New: SMTP Internet Protocol
Restriction and Accept/Deny List
Ipsec.vbs - Manipulate Exchange Ip Security Settings
-s server name (default: local machine's name)
-i instance id (default = 1)
-o <operations>
operations:
e
a
d
c
s
Enumerate a security setting
Add an IP address or domain
Delete an IP address or domain
Clear the current IP list or domain list
Set grant or deny by default
-r [connection|relay|accept|deny]
-t [ip|domain] Specify whether the value that you are adding is an IP address or a domain
name. The default value is IP address (not used in -o s and -o e).
-g [grant|deny] (only for -o s)
-v value (ip or domain) to add or remove (required for -o a and -o d)
-m subnet mask (optional)
-d domain controller (required)
Antispam – senza IMF
Exchange Server 2003
Gateway Server
Transport
SMTP
Message
Allow/Deny
Lists
Real-Time
Block Lists
Recipient
& Sender
Filtering
3rd Party
Plug-Ins
Message
+ SCL
SCL = Spam Confidence Level
Mailbox Server
Store
User
Trusted &
Junk
Senders
User
Trusted &
Junk
Senders
Inbox
spam?
Junk
Mail
Folder
spam?
Junk
Mail
Folder
Inbox
Outlook 2003
User
Trusted &
Junk
Senders
Exchange 2003 OWA
Microsoft Exchange Intelligent
Message Filter
• Basato sulla tecnologia SmartScreen
– presente in Outlook2003
– utilizzata da Hotmail dal 24 Febbraio 2004
– integrata con l’infrastruttura SCL ( Spam
Confidence Level )
• E’ un’estensione di Exchange 2003 Server,
da installare sui Bridgeheads
• Coesistenza con le soluzioni di 3° parti
Microsoft Exchange Intelligent
Message Filter
• Supporta il message
tagging
• Si amministra con
un’estensione di
Exchange System
Manager Console
• Saranno disponibili
Filter Updates
http://www.microsoft.com/exchange/imf
IMF in italiano
Il filtro è stato aggiornato tramite la KB 883106
Antispam – con IMF
IMF
Registy da configurare (opzionale)
HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange\ContentFilter
ArchiveDir
ArchiveSCL
CheckAuthSessions
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\
ParametersSystem
Max Extended Rule Size
Configurazione consigliata Antispam
oggi
• Combinazione di
– RBL in DMZ
– Internal filtering
Internet
• Opzioni in DMZ
– Exchange in
una forest separata
:-)
– Server SMTP
• Internal
– Exchange
• IMF
• Content Filtering
Inbound
SMTP
External
Firewall
Exchange
Relay Server
RBL/Filter
DMZ
Internal
Firewall
Internal Network
Argomenti dei prossimi eventi
– ExBPA: Exchange Server Best Pratices
Analyzer Tool 1.1
• Aggiornato il 9/2/2005 ExBPAUpdate.EXE
– Exchange Server 2003 Security Hardening
Guide
• Aggiornato a Dicembre 2004
– ....
Scarica

Sicurezza di Exchange 2003