1. Проблемы 2. Как работает DMARC и что такое DKIM? 3. Плюсы технологии DMARC 4. Неожиданности DMARC 5. Кейс 6.Заключение

1. Проблемы 2. Как работаетDMARC и что такое DKIM ? 3. Плюсы технологии DMARC 4. Неочевидное поведение DMARC 5. Кейсы 6.Заключение

Zinko Airlines | Privacy | Однажды, Том получает письмо с прогнозом погоды.

Zinko Airlines | Privacy | Поддельный URL ! Он открывает ссылку, и вводит свои учетные данные, но получает сбой проверки подлинности. Тогда он кликает на логотип компании, его перенаправляют на сайт снова и успешно входит в систему. Он только что стал жертвой успешной фишинговой атаки. Он открывает ссылку, и вводит свои учетные данные, но получает сбой проверки подлинности. Тогда он кликает на логотип компании, его перенаправляют на сайт снова и успешно входит в систему. Он только что стал жертвой успешной фишинговой атаки.

1.Выглядит, как настоящее 2. Пользователю трудно распознать, что что-то не так 3. Традиционные анти спам решения не работают

1.Выглядит, как настоящее 2. Пользователю трудно распознать, что что-то не так 3. Традиционные анти спам решения не работают Решения обычно отбирают фильтрами спам из потока «нормальных» писем; однако, фишинговые письма имеют следующие характеристики: a) Отсылаются с IP адресов и(или) доменов, у которых прежде не было негативной репутации b) Домены могут пройти проверку SPF или DKIM, но пользователь может не увидеть этого c) Даже заголовок From может быть скрыт от пользователя, в зависимости от используемого клиента Решения обычно отбирают фильтрами спам из потока «нормальных» писем; однако, фишинговые письма имеют следующие характеристики: a) Отсылаются с IP адресов и(или) доменов, у которых прежде не было негативной репутации b) Домены могут пройти проверку SPF или DKIM, но пользователь может не увидеть этого c) Даже заголовок From может быть скрыт от пользователя, в зависимости от используемого клиента

1.Выглядит, как настоящее 2. Пользователю трудно распознать, что что-то не так 3. Традиционные анти спам решения не работают Cyber thieves stole $215 million from businesses using hacked addressesCyber thieves stole $215 million from businesses using hacked addresses. Как они это делают? Вот сценарий кошмара: Вы работаете в бухгалтерии, и получаете письмо от финансового директора, который просит, чтобы Вы срочно перевели одному из зарубежных поставщиков компании пятизначную сумму, которая была каким-то образом пропущена. Вы делаете платеж, и уведомляете об этом босса, получив от него по электронной почте ответное письмо «Чего? КАКОЙ ПЛАТЕЖ?» Cyber thieves stole $215 million from businesses using hacked addressesCyber thieves stole $215 million from businesses using hacked addresses. Как они это делают? Вот сценарий кошмара: Вы работаете в бухгалтерии, и получаете письмо от финансового директора, который просит, чтобы Вы срочно перевели одному из зарубежных поставщиков компании пятизначную сумму, которая была каким-то образом пропущена. Вы делаете платеж, и уведомляете об этом босса, получив от него по электронной почте ответное письмо «Чего? КАКОЙ ПЛАТЕЖ?»

Authentication-results: protection.outlook.com; spf=pass (sender IP is xx.xx.xx.xx) dkim=none (message not signed) header.d=none; dmarc=fail action=quarantine header.from=woodgrovebank.com;

1. Проблемы 2. Как работает DMARC и что такое DKIM? 3. Плюсы технологии DMARC 4. Неочевидное поведение DMARC 5. Кейсы 6.Заключение

Zinko Airlines | Privacy |

Authentication-Results: mxfront5j.mail.yandex.net; spf=pass (mxfront5j.mail.yandex.net: domain of outlook.com designates as permitted sender) dkim=pass X-Yandex-Spam

aptitude install opendkim opendkim-tools mkdir /etc/opendkim/ opendkim-genkey -D /etc/opendkim/ -d $(hostname -d) -s $(hostname) echo $(hostname -f | sed s/\\./._domainkey./) $(hostname - d):$(hostname):$(ls /etc/opendkim/*.private) | tee -a /etc/opendkim/keytable echo $(hostname -d) $(hostname -f | sed s/\\./._domainkey./) | tee -a /etc/opendkim/signingtable

DMARC = Domain-based Message Authentication, Reporting, and Conformance Authentication – опирается на существующие технологии (DKIM and SPF) Reporting – дает хорошее визуальное представление в виде отчетов: о сбоях, прогнозах, динамике (XML) Conformance – использование стандартных идентификаторов обеспечивает гибкость политики

Использовался как прототип между Paypal и Yahoo – с 2007 Вендоры выступили с предложениями на рынок – с 2009 Первая опубликованная запись DMARC – Февр 11 Черновик спецификации – Янв 30 е 2012, пересмотрен Апр 12 В это время внесены значительные изменения В 2014 оформлен IETF WG как официальный стандарт

Приблизительно 2 миллиона почтовых адресов по всему миру защищены Более чем 80% обычных пользователей, использующих сервисы электронной почты защищены – Microsoft: Hotmail/Outlook/Live/Office 365 – AOL – Gmail – Yahoo – Mail.ru – Яндекс.ру Более 80,000 активных доменов имеют записи DMARC

Paypal: Более чем 25 миллионов поддельных писем были отклонены в течение новогодних распродаж Twitter: В течение первых 45 дней начатого мониторинга, было замечено около 2.5 биллионов поддельных писем До DMARC: ~110 миллионов сообщений/в день После DMARC: 1,000/в день после публикации политики "reject" Издательство Clearing House сообщило, что они использовали DMARC для блокировки более 100,000 не прошедших проверку писем за 90 дневный период 2014.

TXT запись в DNS _dmarc.example.com Проверка точного соответствия заголовка From Если запись не найдена, выполняется проверка домена организации используя From Возможные варианты политики: none – просто оцениваем работу и собираем статистику quarantine – отбираем явно подозрительные письма для более тщательной проверки reject – отклоняем письма, не прошедшие проверку DMARC

Первая запись DMARC каждого: v=DMARC1; p=none;

Начинаем немного закручивать гайки... v=DMARC1; p=quarantine; pct=10; или, с прогнозируемыми отчетами: v=DMARC1; p=quarantine; pct=10;

Правильно настроенные серверы могут отклонять 100% писем, не прошедших проверку соответствия Nslookup –q=TXT _dmarc.facebookmail.com v=DMARC1; p=reject; pct=100;

1. Проблемы 2. Как работает DMARC? 3. Плюсы технологии DMARC 4. Неожиданности DMARC 5. Кейсы 6.Заключение

Не потерять важное письмо Избавиться от поддельных писем

Почтовый сервер 1. Поставщик рассылок отсылает MAIL FROM 2. Письмо проходит SPF и DKIM, Но RFC5321MailFrom не cсоответствует 3. Отсылается уведомление О сбое 4.Упс,, Я забыл делегировать под домен Для этого поставщика рассылок почтовый сервер поставщика

1. Проблема 2. Как работаетDMARC? 3. Плюсы технологии DMARC 4. Неожиданности DMARC 5. Кейсы 6.Заключение

Image taken from Flickr Creative Commons:

Case 1: SPF сработает только тогда, если письмо отправлено отсюда Case 2: Если письмо отправлено отсюда… …и немного изменено здесь, DMARC может не сработать

Case 1: SPF сработает тогда, если письмо отправлено отсюда Case 2: Если письмо отправлено отсюда… …и немного изменено здесь, DMARC может не сработать Происходит все время с легитимными группами рассылки,на стадии доработки рабочей группой DMARC.

1. Проблема 2. Как работает DMARC ? 3. Плюсы технологииDMARC 4. Неожиданности DMARC 5. Кейс 6.Заключение

1. DMARC решает некоторые проблемы фишинга 2. DMARC позволяет сделать домены более безопасными 3.Но, DMARC все еще есть, куда стремиться

1.DKIM: RFC 6376 и dkim.org.DKIM: RFC 6376dkim.org 2. DMARC RFC 7489 и dmarc.orgDMARC RFC 7489 dmarc.org 3. Создаем цифровую подпись Dkim в Exchange 2013Создаем цифровую подпись Dkim в Exchange Как включить поддержку в Office 365: 1. aspx 2.

© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.