Forefront contro lo SPAM
Emanuele Bianchi
Security Technology Specialist
Agenda



Forefront Antispam
Forefront Online Protection for Exchange
Forefront Protection for Exchange



Connection filtering
Protocol filtering
Content filtering
Cloudmark
 Risorse

Forefront Antispam
Forefront Online
Protection for
Exchange



External Firewall
Internet
Perimetro Interno
Corporate
Network
DMZ
Internal Firewall
Perimetro Esterno
Authentication and Authorization
Soluzione antispam multilivello
FOPE Gateway
Forefront Protection for
Exchange
ISA Server
Exchange Hub
Forefront Protection
for Exchange
Offre un’insieme di soluzione ai clienti per implementare e gestire la loro infrastruttura di posta
Offre una soluzione completa multi-strato combinando software e servizi esternalizzati
Offre software e servizi che si integrano la piattaforma Microsoft Exchange
Outlook IMF
Forefront Online Protection for Exchange
Architettura FOPE
Internet Cloud
I
N
T
E
R
N
E
T
FOPE
Online
Service
Customer
Mail server
Spam quarantine
Infrastruttura affidabile



7 datacenter
Alta affidabilità
SLA puntuali (100% virus, >98% spam, 99,999% up time, etc.)
Washington
Ireland
Virginia
California
Texas
Singapore
Forefront Protection for Exchange
Difesa Antispam
Forefront Protection for Exchange consente tramite diverse tecnologie
di valutare l'identità dei mittenti, la reputazione, e la fedeltà di ogni
transazione SMTP
Forefront Anti-Spam Protection Layers
Viruses
Malware
Spam
Source
Analysis
IP Allow/Block
DNSBL
SenderID
Protocol
Analysis
Content
Analysis
Client
Analysis
Cloudmark
SMTP Tarpitting
Filter Fingerprinting
Submission Rate (IP)
Safelists Enforcement
Hybrid Model Filtering
Source Analysis


IP Allow/Block list

Primo agente ad essere
invocato nel livello di Source
Analysis
Definizione di black list o
white list anche per periodi
temporali definiti
Rimedio immediato in casi
particolari
Source Analysis
Blocco dinamico delle richieste di
connessione in ingresso
 Nessuna attività di
configurazione o manutenzione
 Agente DNSBL interroga la
blocklist gestita da Microsoft
(richiesta crittografata)
 Il servizio MS-DNSBL include i
feed provenienti da diversi
fornitori terze parti

DNSBL
IP Allow/Block list
Source Analysis
SenderID autentica il messaggio in
entrata e ne convalida la sorgente
 Verifica che l'IP mittente può
legittimamente inviare mail per il
dominio in cui si fa riferimento
l'indirizzo del mittente
 Ulteriore livello di difesa contro i
messaggi di spoofing con
contenuto maligno, soprattutto
durante la attacchi zero-day

Sender ID
DNSBL
IP Allow/Block list
Protocol Analysis


Backscatter Filtering
Non è solo un problema di
spam, ma un grave problema
di sicurezza (può trasportare
payload maligno)
Filtro anti-Backscatter
aggiunge un token BATV a
tutti i messaggi in uscita e ne
verificia la validità in
ingresso.
Protocol Analysis


Sender/Recipient
Filtering
Backscatter Filtering
Filtraggio dei messaggi
inviati a destinatari
inesistenti
Forefront proteggere le
organizzazioni da attacchi
di directory harvesting
Protocol Analysis

Safelists
Enforcements
Sender/Recipient
Filtering
Backscatter Filtering

Le black/white list
definite dagli utenti con
Outlook vengono
propagate al perimetro
Filtraggio più accurato
dello spam “soggettivo”
Protocol Analysis
Di default i ruoli Edge
Exchange sono impostati per
accettare 600 messaggi da un
unico IP al minuto.
 Tuttavia, sotto attacco spam, è
consigliabile limitare il tasso di
sottomissione a un numero
inferiore.
 Limitando il numero di
messaggi permette di
implementare una risposta
immediata a un attacco spam
in corso.

Limiting Submission
Rate
Safelists
Enforcements
Sender/Recipient
Filtering
Backscatter Filtering
Protocol Analysis
SMTP Tarpitting

Limiting Submission
Rate
Safelists
Enforcements
Sender/Recipient
Filtering
Backscatter Filtering

SMTP tarpitting funzionalità
utile per proteggere le
organizzazioni da attacchi di
Directory Harvesting
Per contrastare attaccchi a
livello di protocollo SMTP, il
server ricevente può
rallentare le sue risposte al
client
Cloudmark
Cloudmark Authority engine







Il motore Cloudmark è integrato nell’architettura
antispam Forefront tramite il framework ad agenti
Viene eseguito nella pipeline SMTP di ricezione
Scans MIME stream only – body + headers of the
message
Il motore è basato su Fingerprint
Mantiene compatibilità con il punteggio SCL di
Exchange
Permette di inviar einformazioni statistiche a
CloudmarkEnables statistical data feedback to 3rd party
Microupdate ogni 45 sec. per filtraggio accurato
Fingerprinting
Fingerprint
Cache
Spam
Reject
Legit.
FSE-protected Exchange
recipient




Algoritmo applicato alle parti rilevanti del messaggio
Messaggio viene ridotto ad un insieme di fingerprint anonimi
Fingerprint comparati con il database local
In caso di assenza di firma viene applicata un’analisi euristica
Processo di classificazione di Cloudmark
Message Analysis
Preprocessing Steps
Engine Preprocessor
• Content Decoding—deQP
• Content Decoding—
deBase64
• Content Decoding—HTML
• Image Decoding
• Image Noise Reduction
• Unzip
Decoded Message Parts





Engine Fingerprinting
•
•
•
•
•
•
•
•
•
URL/Domain
Information Entropy
Redirectors
Pattern Hash
Pattern Dictionary
Dynamic Patterns
Longest Common String
Antivirus
Image Framework
Confidence, Category & Metadata
Fingerprint Cache
Known Fingerprinting
•
•
•
•
Fingerprints
Classifications
Categories
Confidences
Spam
Legitimate
Global
Exception List
continuo aggiornamento delle firme digitali, senza intervento
manuale
Lookup veloce sfruttando cache in memoria
Fingerprint computazionalmente efficenti
Rilevamento dello spam in tempo reale con il 98% +
precisione
Risposta rapida alle nuove campagne spam
Phishing
Newsletters
Graymail
Risorse
Risorse

Antispam Resource Center
http://www.microsoft.com/forefront/antispam/

Forefront Online Protection for Exchange
http://www.microsoft.com/online/exchange-hosted-services/filtering.mspx

Forefront Protection 2010 for Exchange
http://www.microsoft.com/forefront/protection-for-exchange/en/us/default.aspx

Risorse tecniche
http://technet.microsoft.com/en-us/library/dd639368.aspx

Whitepaper
http://www.microsoft.com/forefront/protection-for-exchange/en/us/white-papers.aspx
© 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.