Sicurezza diExchange 2003

Agenda• Comparazione tra Spam e Virus• Il problema dello Spam: SMTP• Tecnologie/iniziative antispam• Mezzi per contrastare lo Spam con

un’infrastruttura basata su Microsoft– Exchange 2003– IMF – Intelligent message filter– Outlook 2003

• Visione futura ..

Comparazione tra Spam e Virus

EffettiEffetti Distruttivo

SpamSpam

ExploitsExploits Specifica vulnerabilità(e.g. buffer overruns)

“Apertura” dell’SMTP(anonymous)

VirusVirus

Fastidio

Motivo dell’azioneMotivo dell’azioneLudico, vendetta, $ $

IdentificazioneIdentificazione Signature, deterministicoNon sempre determinabile

CostoCosto Perdita dei datiPerdita della produttivitàHelpdeskAdministrazioneDischi, CPUBanda

Perdita della produttivitàHelpdeskAdministrazioneDischi, CPUBanda

Soluzione Soluzione ExchangeExchange

Exchange 2003 (blocco degli allegati OWA )3rd Anti-Virus

Exchange 2003 features3rd Anti-Spam

Il problema dello spam: SMTPSMTP è descritto in due documenti IETF

– RFC 821: il modello di comunicazione, i comandi SMTP, i codici d’errore

– RFC 822: Il formato dei messaggi, il formato degli indirizzi, il formato delle date

MIME è descritto da cinque documenti IETF:• RFC 2045, 2046, 2047, 2048, 2049

ESMTP è descritto da vari documenti IETF:• RFC 1869: un meccanismo generale di estensione di SMTP• RFC 1652, 1870, 1830, 2197, 1891, 1985, 2034, 2487: varie

estensioni del protocollo SMTPSMTP è stato aggiornato nell'aprile 2001:

– RFC 2821 e 2822 aggiornano rispettivamente le RFC 821 e RFC 822

SMTP

Teniamo sempre in mente che:

SMTP è un protocollo basato su testo,

per lo scambio di messaggi di posta e

la verifica dei destinatari dei messaggi.

I limiti del protocollo SMTPI limiti fondamentali di SMTP:

– La lunghezza massima del messaggio è di 1 Mb– I caratteri accettati sono solo ASCII a 7 bit– Ogni messaggio deve contenere una sequenza CRLF ogni 1000

caratteri o meno.

Questi limiti impediscono la trasmissione di documenti binari:

• Un file binario usa tutti i 256 tipi di byte• Un file binario può facilmente essere più lungo di 1 Mb• In un file binario la sequenza CRLF è una sequenza come tutte le

altre, e può esserci o mancare senza vincoli.

MIME permette di superare questi limiti del protocollo SMTP

La sicurezza del protocollo SMTP

Impersonificazione• Il meccanismo di trasporto di SMTP è insicuro.

Derivando da ARPA si dava per scontato la sicurezza intrinseca della rete.

• E‘ facilissimo realizzare messaggi che sembrino, per l'utente inesperto ed esperto, provenire da altri mittenti (spoofing)

• L'unica soluzione è implementare la crittografia e la firma digitale

Tecnologie/iniziative antispam

• Spf “Storico” = Sender Policy Framework

• Caller ID + Spf = The Sender ID Framework

• RMX = Reverse MX

• DMP = Designated Mailer Protocol

The Sender ID Framework

• Contromisura allo Spam• Cos’è il Sender ID Framework (SIDF)

– I componenti del Sender ID

• Come funziona Sender ID– Il formato SPF– Come funziona il PRA - Purported Responsible

Address

Sender ID Framework

• E’ il merge di due tecnologie– SPF (Sender Policy Framework)– Microsoft Caller ID

• Inizia ad essere adottato da:– AOL, Bell Canada, Cisco, Cloudmark,

Comcast, IBM, Interland, IronPort, Port25, Sendmail, Symantec, Tumbleweed, VeriSign….

– Email Service Provider Coalition, Opengroup, TRUSTe….

Cos’è il Sender ID Framework

Sender ID FrameworkSender ID Framework

Mail Mail SendersSenders

MTA MTA Vendors &Vendors & Receiving Receiving NetworksNetworks

Sender ID Record (SPF V2)Sender ID Record (SPF V2)SPF V1 RecordSPF V1 Record

Purported Responsible Purported Responsible Address (PRA)Address (PRA)

CheckCheck

SubmitterSubmitterSMTP OptimizationSMTP Optimization

MAIL FROMMAIL FROMCheckCheck

Come funziona Sender ID1. Chi vuole inviare posta SMTP pubblica i suoi

IP di outbound sui DNS tramite i record SPF

2. Chi riceve determina su quale dominio effettuare il checka) “Purported responsible domain” derivato dal

message body (RFC 2822 headers)

b) “Envelope From” domain (RFC 2821 Mail From)

3. Chi riceve effettua una query sul DNS e verifica tramite un test se il messaggio è di spoofing

SPF Records

• test.com TXT “v=spf1 -all”– Questo dominio non invierà mai messaggi SMTP

• test.com TXT “v=spf1 mx -all”– I server in inbound sono identici agli outbound

• test.com TXT “v=spf1 ip4:192.0.2.0/24 –all”– Range di IP

• test.com TXT “v=spf1 mx include:myesp.com –all” – Dominio SMTP in outsourcing

Direct Delivery

• Pubblicare gli outbound server nel DNS usando il formato SPF

• Opzionale: Transmettere il parametro SUBMITTER sul comando MAIL

alice@ugimex.orgalice@ugimex.org bob@studenti.ugimex.edubob@studenti.ugimex.edu

S: 220 studenti.ugimex.eduESMTP server ready C: EHLO ugimex.orgS: 250-studenti.ugimex.edu S: 250-DSN S: 250-AUTH S: 250-SUBMITTER S: 250 SIZE C: MAIL FROM:<alice@ugimex.org>S: 250 <alice@ugimex.org> sender ok C: RCPT TO:<bob@studenti.ugimex.edu> S: 250 <bob@studenti.ugimex.edu> recipient ok C: DATA S: 354 okay, send message C: From: alice@ugimex.orgC: (message body goes here) C: . S: 250 message accepted C: QUIT S: 221 goodbye

Direct Delivery

SUBMITTER extension advertised in EHLO

response

Creazione del record SPF• Esiste un Wizard ma ad oggi è in beta

Limiti di Sender ID

Limiti– Authentica i domini non gli utenti– Valida l’ultimo hop non è end-to-end– Gli Spammers possono registrare i loro domini

La tecnologia Sender ID sarà disponibile con il service pack 2 di Exchange 2003

Mezzi per contrastare lo Spam

In un’infrastruttura AD/Exchange, possiamo

operare a livello di:

• Exchange 2003

• IMF – Intelligent message filter

• Outlook 2003

Exchange 2003:Connection Filtering

• Liste globali “Allow / Deny”– Specifici IP o subnet– “Deny” by design

• Supporto ad abbonamento a servizi esterni “real-time block list (RBL)”– Es: Mail from 62.190.247.12

• 12.247.190.62.bad.bl.org– Supporto per diversi fornitori RBL

(3 o 4 ideale)– NDR personalizzabile per ogni

fornitore– Possibilità di sovrascittura del filtro

(exception by E-mail address)

Exchange 2003: Connection FilteringUn elenco degli RBL si trova:http://www.declude.com/junkmail/support/ip4r.htm

Address Filtering

• Sender filtering– Filtro di messaggi spediti da un indirizzo e-mail o dominio

smtp– Filtro di messaggi senza mittente

• Recipient filtering– Filtro di messaggi spediti a destinatari non esistenti

(senza NDR)– Filtro di messaggi spediti a specifici indirizzi– Solo utenti autenticati inviano a Distribution List

– In aggiunta all’Address Filtering sul client – Safe/Block list

New: SMTP Internet Protocol Restriction and Accept/Deny List

• Scaricabile da www.microsoft.com/exchange

nei tools

É uno script vbs: Ipsec.vbs

New: SMTP Internet Protocol Restriction and Accept/Deny ListIpsec.vbs - Manipulate Exchange Ip Security Settings-s server name (default: local machine's name)-i instance id (default = 1)-o <operations>

operations:

e Enumerate a security settinga Add an IP address or domaind Delete an IP address or domainc Clear the current IP list or domain lists Set grant or deny by default

-r [connection|relay|accept|deny]-t [ip|domain] Specify whether the value that you are adding is an IP address or a domain

name. The default value is IP address (not used in -o s and -o e).-g [grant|deny] (only for -o s)-v value (ip or domain) to add or remove (required for -o a and -o d)-m subnet mask (optional)-d domain controller (required)

Gateway Server Transport

Exchange Server 2003

Mailbox ServerStore

JunkMail

Folder

JunkMail

Folder

Inbox

Exchange 2003 OWA

Outlook 2003

SCL = Spam Confidence Level

Antispam – senza IMFAntispam – senza IMF

spam?

UserTrusted &

JunkSenders

3rd Party Plug-Ins

Allow/Deny Lists

Real-Time Block Lists

Recipient & Sender Filtering

Message + SCL

spam?

UserTrusted &

JunkSenders

Inbox

UserTrusted &

JunkSenders

SMTP Message

Microsoft Exchange Intelligent Message Filter

• Basato sulla tecnologia SmartScreen– presente in Outlook2003– utilizzata da Hotmail dal 24 Febbraio 2004– integrata con l’infrastruttura SCL ( Spam Confidence

Level )

• E’ un’estensione di Exchange 2003 Server, da installare sui Bridgeheads

• Coesistenza con le soluzioni di 3° parti

Microsoft Exchange Intelligent Message Filter

• Supporta il message tagging

• Si amministra con un’estensione di Exchange System Manager Console

• Saranno disponibili Filter Updates

http://www.microsoft.com/exchange/imf

IMF in italiano

Il filtro è stato aggiornato tramite la KB 883106

Antispam – con IMFAntispam – con IMF

IMFRegisty da configurare (opzionale)HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange\ContentFilter

ArchiveDir

ArchiveSCL

CheckAuthSessions

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\ParametersSystem

Max Extended Rule Size

Configurazione consigliata Antispam oggi

• Combinazione di – RBL in DMZ

– Internal filtering

• Opzioni in DMZ– Exchange in

una forest separata

:-)

– Server SMTP

• Internal– Exchange

• IMF• Content Filtering

Internal Network

DMZ

Internet

External Firewall

Internal Firewall

RBL/Filter Exchange Relay Server

InboundSMTP

Argomenti dei prossimi eventi

– ExBPA: Exchange Server Best Pratices Analyzer Tool 1.1

• Aggiornato il 9/2/2005 ExBPAUpdate.EXE

– Exchange Server 2003 Security Hardening Guide

• Aggiornato a Dicembre 2004

– ....