Forefront contro lo SPAM Emanuele Bianchi Security Technology Specialist Agenda Forefront Antispam Forefront Online Protection for Exchange Forefront Protection for Exchange Connection filtering Protocol filtering Content filtering Cloudmark Risorse Forefront Antispam Forefront Online Protection for Exchange External Firewall Internet Perimetro Interno Corporate Network DMZ Internal Firewall Perimetro Esterno Authentication and Authorization Soluzione antispam multilivello FOPE Gateway Forefront Protection for Exchange ISA Server Exchange Hub Forefront Protection for Exchange Offre un’insieme di soluzione ai clienti per implementare e gestire la loro infrastruttura di posta Offre una soluzione completa multi-strato combinando software e servizi esternalizzati Offre software e servizi che si integrano la piattaforma Microsoft Exchange Outlook IMF Forefront Online Protection for Exchange Architettura FOPE Internet Cloud I N T E R N E T FOPE Online Service Customer Mail server Spam quarantine Infrastruttura affidabile 7 datacenter Alta affidabilità SLA puntuali (100% virus, >98% spam, 99,999% up time, etc.) Washington Ireland Virginia California Texas Singapore Forefront Protection for Exchange Difesa Antispam Forefront Protection for Exchange consente tramite diverse tecnologie di valutare l'identità dei mittenti, la reputazione, e la fedeltà di ogni transazione SMTP Forefront Anti-Spam Protection Layers Viruses Malware Spam Source Analysis IP Allow/Block DNSBL SenderID Protocol Analysis Content Analysis Client Analysis Cloudmark SMTP Tarpitting Filter Fingerprinting Submission Rate (IP) Safelists Enforcement Hybrid Model Filtering Source Analysis IP Allow/Block list Primo agente ad essere invocato nel livello di Source Analysis Definizione di black list o white list anche per periodi temporali definiti Rimedio immediato in casi particolari Source Analysis Blocco dinamico delle richieste di connessione in ingresso Nessuna attività di configurazione o manutenzione Agente DNSBL interroga la blocklist gestita da Microsoft (richiesta crittografata) Il servizio MS-DNSBL include i feed provenienti da diversi fornitori terze parti DNSBL IP Allow/Block list Source Analysis SenderID autentica il messaggio in entrata e ne convalida la sorgente Verifica che l'IP mittente può legittimamente inviare mail per il dominio in cui si fa riferimento l'indirizzo del mittente Ulteriore livello di difesa contro i messaggi di spoofing con contenuto maligno, soprattutto durante la attacchi zero-day Sender ID DNSBL IP Allow/Block list Protocol Analysis Backscatter Filtering Non è solo un problema di spam, ma un grave problema di sicurezza (può trasportare payload maligno) Filtro anti-Backscatter aggiunge un token BATV a tutti i messaggi in uscita e ne verificia la validità in ingresso. Protocol Analysis Sender/Recipient Filtering Backscatter Filtering Filtraggio dei messaggi inviati a destinatari inesistenti Forefront proteggere le organizzazioni da attacchi di directory harvesting Protocol Analysis Safelists Enforcements Sender/Recipient Filtering Backscatter Filtering Le black/white list definite dagli utenti con Outlook vengono propagate al perimetro Filtraggio più accurato dello spam “soggettivo” Protocol Analysis Di default i ruoli Edge Exchange sono impostati per accettare 600 messaggi da un unico IP al minuto. Tuttavia, sotto attacco spam, è consigliabile limitare il tasso di sottomissione a un numero inferiore. Limitando il numero di messaggi permette di implementare una risposta immediata a un attacco spam in corso. Limiting Submission Rate Safelists Enforcements Sender/Recipient Filtering Backscatter Filtering Protocol Analysis SMTP Tarpitting Limiting Submission Rate Safelists Enforcements Sender/Recipient Filtering Backscatter Filtering SMTP tarpitting funzionalità utile per proteggere le organizzazioni da attacchi di Directory Harvesting Per contrastare attaccchi a livello di protocollo SMTP, il server ricevente può rallentare le sue risposte al client Cloudmark Cloudmark Authority engine Il motore Cloudmark è integrato nell’architettura antispam Forefront tramite il framework ad agenti Viene eseguito nella pipeline SMTP di ricezione Scans MIME stream only – body + headers of the message Il motore è basato su Fingerprint Mantiene compatibilità con il punteggio SCL di Exchange Permette di inviar einformazioni statistiche a CloudmarkEnables statistical data feedback to 3rd party Microupdate ogni 45 sec. per filtraggio accurato Fingerprinting Fingerprint Cache Spam Reject Legit. FSE-protected Exchange recipient Algoritmo applicato alle parti rilevanti del messaggio Messaggio viene ridotto ad un insieme di fingerprint anonimi Fingerprint comparati con il database local In caso di assenza di firma viene applicata un’analisi euristica Processo di classificazione di Cloudmark Message Analysis Preprocessing Steps Engine Preprocessor • Content Decoding—deQP • Content Decoding— deBase64 • Content Decoding—HTML • Image Decoding • Image Noise Reduction • Unzip Decoded Message Parts Engine Fingerprinting • • • • • • • • • URL/Domain Information Entropy Redirectors Pattern Hash Pattern Dictionary Dynamic Patterns Longest Common String Antivirus Image Framework Confidence, Category & Metadata Fingerprint Cache Known Fingerprinting • • • • Fingerprints Classifications Categories Confidences Spam Legitimate Global Exception List continuo aggiornamento delle firme digitali, senza intervento manuale Lookup veloce sfruttando cache in memoria Fingerprint computazionalmente efficenti Rilevamento dello spam in tempo reale con il 98% + precisione Risposta rapida alle nuove campagne spam Phishing Newsletters Graymail Risorse Risorse Antispam Resource Center http://www.microsoft.com/forefront/antispam/ Forefront Online Protection for Exchange http://www.microsoft.com/online/exchange-hosted-services/filtering.mspx Forefront Protection 2010 for Exchange http://www.microsoft.com/forefront/protection-for-exchange/en/us/default.aspx Risorse tecniche http://technet.microsoft.com/en-us/library/dd639368.aspx Whitepaper http://www.microsoft.com/forefront/protection-for-exchange/en/us/white-papers.aspx © 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.