Павел Нагаев MCSE, MCITP, MVP Exchange КТК-Р IS 302

Краткий обзор продуктов защиты от спама Архитектура защиты Обзор Forefront Protection 2010 for Exchange Server Алгоритм работы спам-фильтров Общие рекомендации по настройке Итоги Вопросы (теле-мост)

Интернет СПАМ Чистая почта Уровень Интернета Уровень сервера Уровень клиента Edge Transport role Hub Transport Чистая почта Периметр

Exchange Forefront Protection 2010 Преимущества Уровень источника Forefront DNS Block List Собирает данные о DNS с нескольких провайдеров (Spamhaus.org, Forefront Online Protection for Exchange, Hotmail и т.д.) Не требует конфигурирования. «Включил, работает» Управление Forefront из одной консоли Уровень протокола Общее управление Фильтры отправителя/получателя/SenderID управляются из одной консоли Anti-Backscatter Блокирует спам в NDR Уровень содержимого Фильтр Cloudmark Альтернативный контент-фильтр от стороннего производителя Блокирует 99% спама; ложные срабатывания 0.004% Не требует конфигурирования. «Включил, работает» Фильтрация файлов Проверяет тип файла по сигнатуре, а не по расширению Может помечать и удалять файлы внутри ZIP/RAR Глобальный список исключений Единая точка управления списком исключений для оправителей и получателей

Централизованное управление серверами Exchange 2010 Hub и Edge, FPE 2010 и FOPE Отчеты о спаме Управление настройками антивируса и спам-фильтра

Уровень соединения Уровень протокола Уровень содержимого Почтовый ящик / Хранилище Входящие Папка Junk АдминистраторКарантин Входящая почта из Интернет Уровень соединения Уровень содержимого 3 3 Списки IP Allow/Deny Блок-листы Forefront DNSBL/ 3-х фирм Фильтр Cloudmark Отпечатки Анти-фишинг Карантин Значение SCL Обновления Уровень протокола 2 2 Фильтры отправителя/получателя Sender ID Списки доверенных отправителей Фильтр Backscatter Анализ протокола SMTP Tarpitting Инкрементальный Edge Synch Message submission rate (per IP)

Проверяем список разрешенных IP-адресов Начало сеанса SMTP НетНет ДаДа Проверяем список запрещенных IP-адресов IP-адрес в списке разрешенных IP адресов? IP-адрес в списке запрещенных IP адресов? 22 Проверяем список поставщиков разрешенных IP-адресов Проверяем список поставщиков разрешенных IP-адресов Проверяем список поставщиков запрещенных IP-адресов Фильтр отправителя НетНет IP-адрес в «белом» списке поставщиков? НетНет IP-адрес в «черном» списке поставщиков? Разорвать соединение и не применять другие фильтры ДаДа ДаДа ДаДа

C:\>nslookup zen.spamhaus.org Server: dns.exchangerus.ru Address: Non-authoritative answer: Name: zen.spamhaus.org Address: IP спам-сервера: C:\>nslookup zen.spamhaus.org Server: dns.exchangerus.ru Address: *** dns.exchangerus.ru can't find zen.spamhaus.org: Non-existent domain

: :Client host blocked using 88.blocklist.zap; Mail from IP banned. To request removal from this list please forward this message to : :Client host blocked using 87.blocklist.zap; Mail from IP banned. To request removal from this list please visit Возвращает КодОписание SBLSpamhaus SBL Data SBLSpamhaus SBL CSS Data XBLCBL Data XBLCustomized NJABL Data PBLISP Maintained PBLSpamhaus

IP адрес сервера: FD30FA6789C blocklist.messaging.microsoft.com Запрос в DNS: 17FD30FA6789C blocklist.messaging.microsoft.com ХешХешIPIP DNS имя сервера

Плюсы Экономия на трафике (разрыв соединения на уровне SMTP) Блокировка конкретного спам-сервера или сбойного сервера Комментарий и время жизни (EMS) Включение Forefront DNSBL одним нажатием Минусы Ручная настройка и разрастание списков Ошибочное попадание отправителей в списки спам серверов Неграмотность пользователей

Проверяем адрес отправителя Фильтр соединения НетНет Фильтрация получателей Адрес в списке запрещенных отправителей? Разорвать соединение и не применять другие фильтры ДаДа

Белые и черные списки отправителей синхронизируются на Edge сервер за секунды Mailbox role Domain Controller Edge Server

Плюсы Возможность заблокировать рассылки или «настойчивых» пользователей Минусы Легко подделать отправителя Нет возможности добавить комментарий Ограничение по количеству записей

Проверяем адрес получателя Фильтрация отправителей Проверяем адрес получателя в Глобальном списке Адрес в списке запрещенных получателей? Разорвать соединение на уровне SMTP (MAIL FROM) Разорвать соединение на уровне SMTP (MAIL FROM) ДаДа Адрес существует в Глобальном адресном списке? Разорвать соединение на уровне SMTP (MAIL FROM) Разорвать соединение на уровне SMTP (MAIL FROM) ДаДа НетНет НетНет Фильтрация Sender ID

Предотвращает Directory Harvesting Attack (DHA) – подбор «живых» адресов Tarpit интервал равен 5 секундам по умолчанию 1 Client: MAIL FROM: 2 Server: OK 3 Client: RCPT TO: 4 Server: Client: RCPT TO: 6 Server: User Unknown

Плюсы Запрет приема сообщений для определенных пользователей Принимать сообщения для существующих получателей Минусы Подбор адресов электронной почты

22 Механизм Sender ID DNS Аутентификация прошла не прошла Удалить Карантин Входящие Нежелательная почта exchangerus.ru. IN TXT v=spf1 ip4: a:smtp.exchangerus.ru –all Интернет

Плюсы Идентификация сервера отправителя Не нужно проверять MX FPE действует только наверняка Минусы Пересылка почты на другой адрес (механизм forward) Прием получателем почты через резервный почтовый сервер (backup MX)

Backscatter Backscatter NDR спам с подделанным адресом отправителя Bounce Address Tag Validation(BATV) Bounce Address Tag Validation(BATV) технология по защите от NDR спама prvs=F ключ (время жизни, Пример:

2.FPE 2010 добавляет хешированную метку к P1.MailFrom 3.Получатель не может доставить сообщение и возвращает его обратно INTERNET 1. Внутренний пользователь отправляет сообщение на корпоративный сервер 5.Если метка существует, то NDR будет доставлен пользователю 4. FPE 2010 просматривает метку Внутренний пользователь FPE 2010 Сервер получателя

2.Получатель не может доставить и должен послать NDR 3.FPE 2010 ищет хешированную метку INTERNET 1.Спамер генерирует сообщение с фальшивым адресом в MAIL FROM и посылает его на сервер. 4.Если метки нет, то сообщение признается backscatter spam FPE 2010 Сервер получателя Spammer Внутренний пользователь

Используется два транспортных агента для анализа хешированной метки Метка содержит отправителя и время Backscatter начинает работать через 24 часа accepted: in phase out period, BATV tag was not validated rejecting: BATV tag validation failed, returning 550 response Request action not taken: message refused

Новый фильтр Cloudmark Authority Engine Изменены значений SCLSCLОпределение Сообщения из доверенных источников или если в них спам не найден 0 Не используется, но можно включить 1- 4 Не используется Менее 1% случаев 9 Однозначный спам, более 90% всех сообщений

Применяется к каждому входящему сообщению* Fingerprints не определяет относится письмо к спаму или нет Fingerprints сравниваются с локальным кэшем известных «спамовых» fingerprints Spam Легитимное Fingerprint Cache Reject * Исключения: Safe Senders/Recipients/Safe Listed Ips и т.д. Message Fingerprinting Content Analysis URL/Domain Information Entropy Redirectors Pattern Hash Pattern Dictionary Dynamic Patterns Longest Common String Image Framework (decoding/noise reduction) Данные кэша обновляются каждые 45 секунд В случае совпадения письмо считается спамом В случае несовпадения запускается эвристика. Если не совпадает, то письмо считается легитимным

X-MS-Exchange-Organization-Antispam-Report: v=1.1 cv=UmKbMGcK0ODFGOVLbWSsnc4cSM78ciSOlL3oFpZVzQQ= c=1 sm=1 a=gH2l33NO9zgA:10 a=xNkmr0qudcMA:10 a=jPJDawAOAc8A:10 a=Fdkxr_5KmFUA:10 a=ytB2GYGUEEAA:10 a=ibi3b6Q5wLy8D8VTdfDbdA==:17 a=-OZdoqLpvXrLEne8aosA:9 a=nb3xUh8hnMWWdIaeiJIBI77mBnsA:4 a=pvA44qeTxYYA:10 a=ibi3b6Q5wLy8D8VTdfDbdA==:117;OrigIP: ;SCL:-1 a=ibi3b6Q5wLy8D8VTdfDbdA==:117;OrigIP: ;SCL:-1 Заголовок письма PowerShell Консоль Консоль Forefront

Правильная настройка почтовых серверов в DNS (A, PTR, MX, Sender ID) Проверка получателей в Active Directory Настройка интервала задержки (Tarpit) Запрет приема почты от «своего» домена Использование Forefront DNSBL Схема работы спам-фильтров Поиск заблокированных писем

Спам нельзя победить полностью, но с ним можно успешно бороться Защита должна быть многоуровневой Изменение психологии работы с почтой Борьба со спамом соблюдение баланса Эффективность или блокировка легитимных писем Администратор или пользователь

Дополнительные сессии по теме IS 303 IS 303: Облачные технологии безопасности для компании (18/11, 13:00-14:00, Селигер) CT 304 CT 304: Миграция на Exchange Server 2010: сценарии, рекомендации, практический опыт (18/11, 16:00-17:00, Зона интерактивных сессий) Блоги

Более 300 официальных курсов Microsoft доступно в России. Официальные курсы можно прослушать только в авторизованных учебных центрах Microsoft под руководством опытного сертифицированного инструктора Microsoft интенсивное обучение с акцентом на практику более 80-и учебных центров более чем в 20-и городах России (+ дистанционные и выездные курсы) Сертификат Microsoft - показатель квалификации ИТ-специалиста для работодателя. Microsoft предлагает гибкую систему сертификаций. Все курсы, учебные центры и центры тестирования: % Доказательство 75 сертифицированных специалистов считают, что сертификация помогла им получить работу или повышение 57 % Доказательство 119 рекрутеров считают сертификацию сотрудников одним из критериев для повышения в должности

Сертификационный пакет со вторым шансом Пакеты экзаменационных ваучеров со скидкой от 15 до 20% и бесплатной пересдачей («вторым шансом»). Все экзамены сдаются одним человеком. Сэкономьте 15% на сертификации вашей ИТ-команды Пакет из 10-и экзаменационных ваучеров со скидкой 15% для сотрудников ИТ-отдела. «Второй шанс» включен. Ваучеры можно произвольно распределять между сотрудниками. Microsoft Certified Career Conference Первая 24-часовая глобальная виртуальная конференция с 18 ноября с (моск. время) по 19 ноября 2010 г. Сессии по технологиям и построению карьеры Скидка 50% для сертифицированных специалистов Microsoft и студентов Бесплатная подписка на TechNet для слушателей официальных курсов Некоторые курсы по SharePoint, Windows 7; Windows Server 2008; SQL Server 2008 Детали: С 22 ноября 2010 г. – подписка TechNet бесплатно для слушателей курсов. Количество ограничено!

Ваше мнение очень важно для нас. Пожалуйста, оцените доклад, заполните анкету и сдайте ее при выходе из зала Спасибо!

IS 302 Павел Нагаев Ведущий администратор системы электронной почты, КТК-Р Вы сможете задать вопросы докладчику в зоне «Спроси эксперта» в течение часа после завершения этого доклада