Tcp/ip и Интернет 2



страница12/25
Дата18.11.2016
Размер1.5 Mb.
Просмотров3062
Скачиваний0
1   ...   8   9   10   11   12   13   14   15   ...   25

29. Почтовые серверы


Существует два типа почтовых серверов: серверы, взаимодействующие с Интернетом для обработки входящих и исходящих сообщений, и внутренние серверы, взаимодействующие с пользователями.

Интернет DMZ Внутренняя сеть

DLP = Предотвращение утечки данных





Структура почтовой системы (вариант I)

Почтовая система, изображенная на схеме состоит из двух частей: DMZ (демилитаризованной зоны), компьютеры которой подключены непосредственно к Интернету, и внутренней зоны, отделенной от зоны DMZ и Интернета с помощью брандмауэра. В зоне DMZ расположено несколько серверов.



  • Транспортный агент, прослушивающий порт 25 и передающий входящую почту на фильтры.

  • Фильтры вирусов и спама, отвергающие или отправляющие “в карантин” опасные сообщения.

  • Копия базы данных LDAP (Lightweight Directory Access Protocol — облегченный протокол доступа к каталогам), содержащая исходящую информацию почтовой системы.

  • Исходящий транспортный агент, пытающийся доставить почту, отправленную аген­ том представления.

  • Резервный исходящий агент МТА для исходящих сообщений, не отправленных с первой попытки.

  • Кеширующий сервер DNS, используемый исходящим агентом МТА для просмо­ тра записей MX и входящим агентом МТА — для просмотра “черного списка” (до­ менов отправителей), а также криптографической информации для подписанных сообщений.

Сервер исходящей почты, который непосредственно подключен к Интернету, наи­ более уязвим. Он должен быть хорошо защищен, иметь мало пользователей и не выпол­ нять посторонних процессов или услуг. Каждое сообщение, которое он обрабатывает, должно быть проверено, чтобы выполнялись следующие условия:

  • Организация отправителя не занесена в черный список.

  • Запись SPF отправителя является корректной.

  • Местный получатель является корректным.

  • Если сообщение подписано, можно проверить его подпись DKIM.

  • Сообщение не содержит вредоносных программ.

  • Сообщение не является спамом. 


Все эти задачи, связанные со сканированием сообщений, можно выполнить внутри агента МТА или с помощью отдельного пакета, например amavisd-new. К серверам внутренней зоны относятся следующие агенты:

  • Транспортный агент внутренней маршрутизации, выполняющий маршрутизацию принятой почты в хранилище сообщений.

  • Исходная база данных LDAP, содержащая информацию о маршрутизации почты.

  • Агенты представления или транспортные агенты для исходящей почты.

  • Фильтры вирусов, спама и механизм предотвращения утечки данных (DLP — data leak prevention).

В конце пути, который проходит электронное сообщение, находятся пользователи, работающие во внутренней зоне и имеющие доступ как к хранилищу сообщений (для отправки входящей почты), так и к агенту представления (для посылки исходящей почты). Эти пользователи могут быть удаленными. В этом случае они должны использовать команду SMTP-AUTH, чтобы аутентифицировать себя.

При необходимости почтовые серверы для входящих и исходящих сообщений можно реплицировать. Например, несколько серверов для входящих сообщений можно скрыть за блоком балансировки загрузки или можно использовать записи DNS MX чтобы при­ мерно сбалансировать загрузку. Разные клиентские машины могут направлять почту че­ рез разные серверы исходящих сообщений.

И наоборот, организации с небольшой загрузкой могут разумно сочетать серверы входящих и исходящих сообщений. Некоторые механизмы, такие как BATV или отражатель Pen-pals, легче реализовать на одном сервере. BATV (bounce address tag valifation — проверка обратного адреса) — это схема, определяющая, истинным или поддельным является обратный адрес. Он не дает отражателю электронной почты отправлять со­ общения по поддельным адресам. Pen-pals (часть утилиты amavisd-new) — это схема, уменьшающая вероятность того, что письмо является спамом, если его отправитель ра­ нее уже отвечал на сообщения, посланные одним из ваших пользователей.

30. Cпам и вредоносные программы


В этом разделе рассматриваются общие вопросы, касающиеся борьбы со спамом и вирусами, включая использование внешнего антивирусного инструмента amavis-new. Прежде чем приступать к сканированию содержимого писем, следует ответить на сле­ дующие вопросы.

Где производить сканирование: в зоне DMZ или во внутренней сети?

Когда производить сканирование: при первом соединении или после получения сообщения?

• В каком порядке производить сканирование?

• Что делать с обнаруженными вирусами и спамом?

Входящая корреспонденция обычно сканируется на концентраторе поступающих со­ общений в зоне DMZ. В идеале ее следовало бы сканировать оперативно, чтобы вред­ ные сообщения можно было отбрасывать, пока исходное соединение SMTP остается разомкнутым. Исходящую почту можно сканировать на вирусы и спам на внутреннем специальном компьютере, выполняющем маршрутизацию всех сообщений.

Проверка корректности сообщения должна состоять из следующих действий.

• Проверяем, соответствует ли реализация протокола SMTP, по которому работает отправитель, документации RFC.

• Проверяем, существуют ли локальные получатели.

• Сравниваем адрес с черным списком IР-адресов.

• Проверяем репутацию.

• Верифицируем подпись DKIM и запись SPF.

• Фильтруем спам.

• Фильтруем вирусы.

Многие роботы для рассылки спама неточно следуют протоколу SMTP; они обыч­ но посылают сообщение еще до того, как получат ответ EHLO. Небольшая задержка на вашем сервере может выявить эту “несдержанность”. Эту информацию можно исполь­ зовать для того, чтобы либо разорвать соединение, либо увеличить рейтинг спама для полученных сообщений.

Проверка существования локальных получателей имеет смысл, если при дальнейшей проверке вы не искажаете их адреса. Ранняя проверка минимизирует работу почтового сервера с недоставленной почтой. Кроме того, она исключает много “беспорядочного” спама. Однако она открывает доступ в ваше адресное пространство для зонда отправителя.

Порядок остальных проверок, в основном, зависит от связанных с ними затрат. Быстрые и простые проверки следует выполнять до более продолжительных и сложных, чтобы в среднем некорректные сообщения отфильтровывались на как можно более ран­ них стадиях.

Что делать с обнаруженным некорректным сообщением? Отклонить его, выбросить в мусорную корзину, отправить в карантин, заархивировать? Если вы тестируете настрой­ ки, мы рекомендуем отправлять их в карантин и архивировать. Если же система уже на­ строена так, как надо, отклоняйте или выбрасывайте в корзину все письма с вирусами, а также отклоняйте или архивируйте спам в соответствии с установленными вами пра­ вилами. Удаляйте заархивированный спам, срок давности которого превышает месяц; за это время пользователи смогут разобраться с письмами, которые были распознаны как спам по ошибке.

Спам

Спам — это жаргонное название макулатурной почты, которую также называют непрошеной коммерческой электронной почтой (unsolicited commercial email — UCE). Она стала серьезной проблемой, потому что, несмотря на невысокий процент отвечающих, стоимость ответа в расчете на доллар высока. Для борьбы со спамом рекомендуем использовать превентивные меры и открытые черные списки, доступные для вас. Хорошим источником таких списков является сайт zen.spamhaus.org. Можно также перенаправлять входящую корреспонденцию аут­ сорсинговым компаниям по борьбе со спамом, таким как Postini (которая стала частью компании Google) или Message Labs (которая в настоящее время является частью ком­ пании Symantec). Однако это может повлечь за собой снижение производительности, уровня конфиденциальности и безопасности.



Посоветуйте своим пользователям просто удалять спам, который они получают. Многие сообщения, являющиеся спамом, содержат инструкции о том, как удалить свой адрес из списка рассылки. Если последовать этим инструкциям, спамеры могут действи­ тельно удалить ваш адрес из текущего списка, но они немедленно добавят его в несколь­ ко других списков с аннотацией “доставлено реальному человеку, прочитавшему это со­ общение”. С этого момента ваш электронный адрес будет стоить еще дороже.

Люди, продающие электронные адреса спамерам, для сбора адресов используют специальный вид атаки с помощью словаря. Начиная со списка распространенных фа­ милий, сканирующие программы добавляют к ним разные инициалы в надежде обна­ ружить реальный электронный адрес. Для того чтобы проверить этот адрес, программа связывается с почтовыми серверами, принадлежащими, например, пятидесяти крупней­ шим интернет-провайдерам, и применяет команды VRFY, EXPN или RCPT к милли­ ардам адресов. Транспортные агенты могут блокировать команды VRFY и EXPN про­ токола SMTP, но не команду RCPT. Такие действия загружают ваш почтовый сервер и мешают быстро доставлять реальные почтовые сообщений. Для защиты от подобного рода атак транспортные агенты могут ограничивать количество выполнений команды RCPT, поступающих из одного источника.

Глава 20. Электронная почта 809

Подделки

Подделать электронное письмо очень просто; многие пользовательские агенты по­ зволяют заполнять поле адреса отправителя чем угодно. Транспортные агенты могут использовать механизм аутентификацию по протоколу SMTP между локальными сер­ верами, но они не могут этого сделать в масштабе всего Интернета. Некоторые транс­ портные агенты добавляют предупреждающие заголовки в исходящие локальные со­ общения, которые могут быть подделаны.

В электронном сообщении личность отправителя может быть фальсифицирована. Будьте очень осторожны, если в вашей организации электронные сообщения исполь­ зуются в качестве средства авторизации, например, ключей от дверей, карточек доступа и денег. Вы должны предупредить об этом администраторов и полагаться на то, что они просматривают подозрительные письма, поступающие от авторитетных отправителей, и проверяют корректность сообщений. Следует быть еще более осторожным, если в сооб­ щении предлагается предоставить необычной персоне непропорциональные привилегии.

Конфиденциальность сообщений

Более подробно пакеты PGP и GPG описаны в разделе 22.10.

Если вы не используете какой-либо внешний пакет для шифрования, например Pretty Good Privacy (PGP), его клон для GNU (GPG) или S/MIME, то о конфиденци­ альности сообщений говорить не приходится. По умолчанию вся почта посылается не­ зашифрованной. Шифрование требует специальной поддержки со стороны почтовых пользовательских агентов. Если ваши пользователи хотят сохранить свои сообщения в тайне, они должны применять собственное шифрование.

Пакеты S/MIME и PGP описаны в документах RFC, причем стандартом считается S/MIME. Однако мы предпочитаем пакеты PGP и GPG; они являются более доступны­ ми. Пакет PGP был разработан выдающимся криптографом Филом Циммерманом (Phil Zimmermann), которому мы доверяем.

Эти стандарты образуют основу для обеспечения конфиденциальности электронной почты, аутентификации, проверки целостности сообщений и гарантии сохранения ав­ торства. Однако анализ трафика по-прежнему возможен, потому что заголовки и кон­ верты пересылаются открытым текстом.

Фильтрация спама

Проблема спама привела к борьбе между борцами со спамом, с одной стороны, и спа­ мерами, с другой, причем обе стороны вооружены сложными технологиями. В настоя­ щее время для текущего контроля используются следующие показатели.

• “Серые” списки: временная отсрочка (форма проверки на соответствие докумен­ там RFC).

• SpamAssassin: эвристический инструмент для распознавания спама на основе срав­ нения с образцами.

• “Черные” списки: списки известных спамеров; часто на основе системы DNS.

• “Белые” списки: списки разрешенных отправителей на основе системы DNS, что­ бы избежать ложного распознавания спама.

• Почтовые фильтры, сканирующие заголовки и тело сообщения.

• Записи SPF и DKIM/ADSP для идентификации доменов отправителей и почтовых правил.

• Системы amavisd-new и MailScanner: антивирусные и антиспамовские фильтрую­ щие системы.

Боле подробно эти инструменты будут рассмотрены немного позже.

Когда следует фильтровать

Это фундаментальный вопрос, и на него нет однозначного ответа. Основная пробле­ ма заключается в том, следует ли выполнять фильтрацию одновременно с выполнением транзакции SMTP при соединении с отправителем или уже после получения сообще­ ния. Эти схемы имеют как преимущества, так и недостатки. Преимущества оперативной фильтрации (до размещения в очереди почтовой системы) заключаются в следующем.

• •


Вы можете отказаться от приема почты и не принимать на себя ответственность за ее доставку. (В некоторых странах это даже является юридическим требованием!)

Отправитель гарантированно уведомляется о причине, по которой его сообщение не могло быть доставлено. Вы не обязаны доверять отправителю сообщения; вы просто формулируете причину отказа и поручаете исходному почтовому серверу сообщить об этом отправителю. Это более аккуратный и надежный способ, чем прием почты и ее отправка обратно.

Однако у схемы обработки почты после ее размещения в очереди почтовой системы тоже есть свои преимущества.

• Производительность почтового сервера, имеющего выход в Интернет, не страда­ ет от интенсивной проверки спама. Это особенно ценно, когда одновременно со спамом почтовый сервер загружен полезными сообщениями.

• Фильтрация после размещения сообщения в очереди почтовой системы проще и надежнее.

На первый взгляд, может показаться, что следует предпочесть фильтрацию после раз­ мещения сообщения в очереди почтовой системы. Она не снижает производительность работы почтового сервера и легче управляется системными администраторами. Однако обратная отправка сообщения, генерируемая системой фильтрации после размещения в очереди почтовой системы, сама становится разновидностью спама, если адрес отправи­ теля был подделан, как это обычно бывает при рассылке спама.

Эта проблема называется “обратной рассылкой спама” (“backscatter spam”). Для борьбы с ней была изобретена система BATV (bounce address tag validation — проверка обратного адреса). Тем не менее проблема остается нерешенной. Система может опреде­ лить корректность обратного адреса (адрес отправителя на конверте), если отправитель сообщения подписал адрес на конверте. Фильтры системы BATV могут помочь сайтам отправлять сообщения только по корректным обратным адресам.

Разумным компромиссом было бы выполнение фильтрации вирусов и спама до раз­ мещения сообщений в очереди почтовой системы, а затем выполнение дополнительного сканирования после размещения сообщений в очереди.

"Серые" списки/DCC

“Серые” списки — это схема, в которой почтовый сервер конфигурируется так, что­ бы при установлении всех соединений с новыми, нераспознанными, IP-адресами возникала задержка, например, от 15 минут до часа. Сервер отказывается принимать почту, отправляя в ответ сообщение “повторите попытку позже”. Реальные транспортные аген­ ты, посылающие реальную почту реальных пользователей, подождут и затем повторят попытку; роботы для рассылки спама перейдут к следующему адресу в списке и не будут повторять попытку.

“Серые” списки были реализованы для компьютеров, на которых работают транс­ портные агенты; подробности можно найти на сайте greylisting.org. Они особенно эффективны в качестве компонентов системы борьбы со спамом под названием DCC (Distributed Checksum Clearinghouses; см. rhyolite.com/dcc), распознающей “массо­ вость” сообщения путем вычисления нечеткой контрольной суммы и проверки, сколько почтовых серверов имеют ту же самую контрольную сумму. Эта система распознает не спам как таковой, а массовые рассылки. Если вы поместите в белый список всю массо­ вую рассылку, которую хотите получать (например, списки рассылки, принадлежащие вам), то остальные распознанные сообщения образуют непрошеную почту, т.е. спам.

Система DCC также может работать с серыми списками; она используется как фильтр и может заносить в серые списки или отвергать письма до их постановки в очередь по­ чтовой системы во время сеанса SMTP. Поскольку система DCC не выполняет сравне­ ние с образцами, как инструменты типа SpamAssassin, ее невозможно обмануть, добав­ ляя случайные слова в свои сообщения, как делают спамеры, пытаясь обмануть системы, сравнивающие образцы.

Эффективность серых списков снизилась (с более чем 97% до 90%), когда роботы для рассылки спама восприняли их всерьез и привели в порядок свою реализацию про­ токола SMTP. Однако они по-прежнему остаются эффективными, если используются в сочетании с черными списками, потому что система автоматической поддержки черных списков часто управляется сайтами, специализирующимися на борьбе со спамом, пока не истечет период для повторной попытки.

Программа SpamAssassin

Программа SpamAssassin (spamassassin.apache.org) — это открытый модуль на языке Perl, написанный Хабибом Диу (Habeeb Dihu) и поддержанный Яном Джастманом (Ian Justman). Он прекрасно справляется с распознаванием спама. Эту программу можно вызвать с помощью фильтра и использовать во многих системах для борьбы со спамом.

Для распознавания спама программа SpamAssassin использует множество эмпири­ ческих правил. Эти правила постоянно обновляются, но в настоящее время они под­ держиваются все менее активно. Программа SpamAssassin перехватывает практически весь спам, но иногда принимает “ложноположительные” решения, особенно если она настроена с включенной опцией “авто-Байес”. При настройке программы SpamAssassin и выборе ее параметров внимательно изучите накопленный спам.

Программа SpamAssassin использует систему подсчета баллов для оценки сообщений. Если сообщение набирает слишком много баллов, количество которых зависит как от настроек сайта, так и от пользователя, то программа SpamAssassin помечает сообщение как спам. После этого подозрительные сообщения можно отправить в папку для спама, либо запустив на сервере фильтр, например фильтр sieve фирмы Cyrus, либо соответ­ ствующим образом настроив своего пользовательского агента. Программу SpamAssassin можно даже обучить распознавать хорошие и плохие сообщения (“ham” и “spam”), под­ ключив байесовский фильтр.

Черные списки

Несколько организаций (например, spamhaus.org) составляют списки спамеров и публикуют их в системе DNS. Транспортные агенты можно настроить так, чтобы они проверяли эти черные списки (известные также как Realtime Black Lists, или RBL) и от­ вергали почту, приходящую с указанных адресов.

Они также составляют списки открытых почтовых станций, т.е. почтовых серверов, предназначенных для пересылки сообщений из Интернета пользователю, находящему­ ся вне локальной сети, без аутентификации сервера-отправителя. Спамеры используют открытые почтовые станции для маскировки источников сообщений и перепоручения рассылки огромного количества сообщений другим сайтам.

Белые списки

Белые списки — это репутационные списки, основанные на системе DNS, которые, по существу, являются противоположностью черных списков, описанных выше. Они используются для сокращения количества “ложноположительных” ответов, генерируемых фильтрами спама. Один из белых списков, поддерживаемых на сайте dnswl.org, оце­ нивает домены следующим образом.

• Высокий рейтинг — никогда не посылает спама.

• Средний рейтинг — редко посылает спам, исправляет проблемы, связанные со спамом, если они возникают.

• Низкий рейтинг — иногда посылает спам, медленно исправляет проблемы.

• Нет рейтинга — законный почтовый сервер, но может рассылать спам.

Белые списки рекомендуют пропускать часть обычной процедуры сканирования по­ чты с учетом рейтинга отправителя в белом списке.

• Не искать в черном и сером списках домены, имеющие рейтинг.

• Не выполнять фильтрацию спама для доменов с высоким или средним рейтингом.

• Никогда не игнорировать сканирование на вирусы.





Поделитесь с Вашими друзьями:
1   ...   8   9   10   11   12   13   14   15   ...   25


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал