La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Come combattere lo SPAM in un ambiente Exchange Server 2003: tecniche e metodi 11 novembre 2005 - 10:30 Alessandro Appiani MCT MCSE (2000 NT 4.0 NT 3.5)

Presentazioni simili


Presentazione sul tema: "Come combattere lo SPAM in un ambiente Exchange Server 2003: tecniche e metodi 11 novembre 2005 - 10:30 Alessandro Appiani MCT MCSE (2000 NT 4.0 NT 3.5)"— Transcript della presentazione:

1 Come combattere lo SPAM in un ambiente Exchange Server 2003: tecniche e metodi 11 novembre :30 Alessandro Appiani MCT MCSE (2000 NT 4.0 NT 3.5)

2 Agenda Spam: come affrontare il problema in azienda Spam: come affrontare il problema in azienda Exchange Server 2003 Anti-Spam Exchange Server 2003 Anti-Spam mail filtering e ambiti di azione mail filtering e ambiti di azione Intelligent Message Filter & Outlook integration Intelligent Message Filter & Outlook integration VSAPI e integrazione con sistemi Anti-Virus VSAPI e integrazione con sistemi Anti-Virus Per concludere Per concludere Exchange Server 2003 Service Pack 2 news Exchange Server 2003 Service Pack 2 news Message Microsoft Message Microsoft Best Practice Best Practice

3 Spam world I messaggi indesiderati sono il problema numero 1 del mondo I messaggi indesiderati sono il problema numero 1 del mondo Sono un rischio per security, privacy, availability Sono un rischio per security, privacy, availability Phisher scams, ID and information theft Phisher scams, ID and information theft Spoofing detected in 95% of phishing attacks Spoofing detected in 95% of phishing attacks Unauthorized relay Unauthorized relay Spam rappresenta più del 60% del traffico Spam rappresenta più del 60% del traffico Hotmail blocca più di 3 miliardi di messaggi al giorno Hotmail blocca più di 3 miliardi di messaggi al giorno Virus, Spyware, Trojan Virus, Spyware, Trojan Fare Spam costa poco, genera alti profitti, può essere fatto in modo anonimo Fare Spam costa poco, genera alti profitti, può essere fatto in modo anonimo è difficile bloccare alla fonte spammer e phisher è difficile bloccare alla fonte spammer e phisher

4 Critical Legitimate Mail Less Critical Legitimate Mail Legitimate Commercial Mail Business and Personal mail Business and Personal mail Easily classified at gateway Easily classified at gateway Subscriptions Subscriptions Listservs Listservs Mail from company with a pre-existing business relationship Mail from company with a pre-existing business relationship Unsolicited promotional messages, phishing, scams Unsolicited promotional messages, phishing, scams Spam Viruses, malware, spyware Viruses, malware, spyware Easily classified at gateway Easily classified at gateway Destructive Message Classification * External communication only, all internal communication is assumed to be legitimate

5 Enterprise Requirements per Anti-Spam Evitare i falsi positivi Evitare i falsi positivi Bloccare quanto pi ù possibile a livello di gateway Bloccare quanto pi ù possibile a livello di gateway Trasparente per gli utenti (non se ne accorgono) Trasparente per gli utenti (non se ne accorgono) Minimizza l impatto dello spam sulla banda e sulle risorse di sistema (anche client) Minimizza l impatto dello spam sulla banda e sulle risorse di sistema (anche client) Amministrazione Amministrazione Soluzioni complete Soluzioni complete Facili da gestire Facili da gestire Ottimizzare il compromesso tra controllo aziendale e scelte utente Ottimizzare il compromesso tra controllo aziendale e scelte utente

6 Come combattere lo spam

7 Cosa analizzare La struttura di un messaggio Da dove proviene (Connection) Da dove proviene (Connection) Da chi arriva (Sender) Da chi arriva (Sender) A chi è destinato (Recipient) A chi è destinato (Recipient) Di cosa tratta (Content) Di cosa tratta (Content) La struttura del messaggio viene gestita direttamente da singole funzionalità di sicurezza di exchange La struttura del messaggio viene gestita direttamente da singole funzionalità di sicurezza di exchange analizzando il messaggio possiamo decidere cosa farne (accept / reject) analizzando il messaggio possiamo decidere cosa farne (accept / reject)

8 Exchange Filtering Da dove proviene: Connection filtering (IP) Da dove proviene: Connection filtering (IP) Global allow and deny lists Global allow and deny lists DNS Block Lists (RBL) DNS Block Lists (RBL) Da chi arriva: Sender filtering Da chi arriva: Sender filtering Filter messages sent from particular addresses or domains Filter messages sent from particular addresses or domains Internal spoof detection Internal spoof detection A chi è destinato: Recipient filtering A chi è destinato: Recipient filtering Block messages to non-existent recipients or specific recipients Block messages to non-existent recipients or specific recipients Restricted DLs Restricted DLs Di cosa tratta: Content filtering Di cosa tratta: Content filtering SmartScreen SmartScreen Intelligent Message Filter (IMF) Intelligent Message Filter (IMF) Message taxonomy mapped to Exchange Features Message taxonomy mapped to Exchange Features

9 Da dove proviene: Connection Filtering Liste globali Allow / Deny Liste globali Allow / Deny Specifici IP o subnet Specifici IP o subnet Deny by design Deny by design Supporto ad abbonamento a servizi esterni real-time block list (RBL) Supporto ad abbonamento a servizi esterni real-time block list (RBL) Es: Mail from Es: Mail from bad.bl.org bad.bl.org Supporto per diversi fornitori RBL (3 o 4 ideale) Supporto per diversi fornitori RBL (3 o 4 ideale) NDR personalizzabile per ogni fornitore NDR personalizzabile per ogni fornitore Possibilità di sovrascrittura del filtro (exception by E- mail address) Possibilità di sovrascrittura del filtro (exception by E- mail address)

10

11 Connection Filtering Demo Edit this slide by selecting Properties in the Live Meeting Presentation menu. Live Meeting Sharing Slide Changes directly made to this slide will not be displayed in Live Meeting. Edit this slide by selecting Properties in the Live Meeting Presentation menu.

12 Da chi proviene: Sender filtering Filtro di messaggi spediti da un indirizzo o dominio smtp Filtro di messaggi spediti da un indirizzo o dominio smtp Filtro di messaggi senza mittente Filtro di messaggi senza mittente Può eventualmente droppare la connessione Può eventualmente droppare la connessione

13

14 Sender Filtering Demo Edit this slide by selecting Properties in the Live Meeting Presentation menu. Live Meeting Sharing Slide Changes directly made to this slide will not be displayed in Live Meeting. Edit this slide by selecting Properties in the Live Meeting Presentation menu.

15 A chi è destinato: Recipient Filtering Filtro di messaggi spediti a destinatari non esistenti Filtro di messaggi spediti a destinatari non esistenti nessuna NDR (protocol level) nessuna NDR (protocol level) verifica in tempo reale in Active Directory verifica in tempo reale in Active Directory Filtro di messaggi spediti a specifici indirizzi Filtro di messaggi spediti a specifici indirizzi Restricted Distribution List Restricted Distribution List Solo utenti autenticati possono usarle per inviare mail Solo utenti autenticati possono usarle per inviare mail si possono differenziare DL interne e pubbliche si possono differenziare DL interne e pubbliche In aggiunta allAddress Filtering sul client – Safe/Block list In aggiunta allAddress Filtering sul client – Safe/Block list

16 Recipient Filtering

17

18 Recipient Filtering Recipient Filtering Distribution List security Distribution List security

19 Recipient Filtering Demo Edit this slide by selecting Properties in the Live Meeting Presentation menu. Live Meeting Sharing Slide Changes directly made to this slide will not be displayed in Live Meeting. Edit this slide by selecting Properties in the Live Meeting Presentation menu.

20 Antispam: Microsoft Exchange Intelligent Message Filter Basato sulla tecnologia SmartScreen Basato sulla tecnologia SmartScreen presente in Outlook2003 presente in Outlook2003 utilizzata da Hotmail dal 24 Febbraio 2004 utilizzata da Hotmail dal 24 Febbraio 2004 integrata con linfrastruttura SCL ( Spam Confidence Level ) integrata con linfrastruttura SCL ( Spam Confidence Level ) E unestensione (gratuita) di Exchange 2003 Server SP1 (è Built-in in SP2) E unestensione (gratuita) di Exchange 2003 Server SP1 (è Built-in in SP2) Coesistenza con le soluzioni di 3° parti Coesistenza con le soluzioni di 3° parti

21 Exchange Anti-Spam Filtering caratteristiche E un componente di Front-End (no cluster setup) E un componente di Front-End (no cluster setup) Aggiornabile Aggiornabile Non filtra messaggi da connessioni autenticate e accettate Non filtra messaggi da connessioni autenticate e accettate evita i falsi positivi su mail interne o trusted evita i falsi positivi su mail interne o trusted Documentato in Exchange SDK Documentato in Exchange SDK Introduce nuove proprietà del messaggio (fields) per associare ad ogni messaggio informazioni specifiche sullo spam Introduce nuove proprietà del messaggio (fields) per associare ad ogni messaggio informazioni specifiche sullo spam

22 Spam Confidence Level (SCL) La probabilità che il messaggio sia Unsolicited Commercial (UCE) o junk La probabilità che il messaggio sia Unsolicited Commercial (UCE) o junk E un numero da 0 (no spam) a 9 (spam sicuro) E un numero da 0 (no spam) a 9 (spam sicuro) E memorizzato nel database insieme al messaggio (tag property) e con esso persiste (routing, inbox,...) E memorizzato nel database insieme al messaggio (tag property) e con esso persiste (routing, inbox,...)

23 Microsoft Exchange Intelligent Message Filter Si amministra con Exchange System Manager Si amministra con Exchange System Manager Basato su soglie Basato su soglie Gateway SCL threshold Gateway SCL threshold Reject, delete, archive, and no action Reject, delete, archive, and no action Store SCL threshold Store SCL threshold Built-in performance counters Built-in performance counters MOM management pack extension MOM management pack extension Comprehensive deployment guide Comprehensive deployment guide

24 How it works (Server & Client settings)

25 Intelligent Message Filter Intelligent Message Filter basic configuration basic configuration Customizing Intelligent Message Filter (deployment guide – capitolo 6) Customizing Intelligent Message Filter (deployment guide – capitolo 6)

26 IMF Demo Edit this slide by selecting Properties in the Live Meeting Presentation menu. Live Meeting Sharing Slide Changes directly made to this slide will not be displayed in Live Meeting. Edit this slide by selecting Properties in the Live Meeting Presentation menu.

27 Outlook & OWA Client Features

28 Web/Spam Beacon blocking Blocca contenuti HTML potenzialmente pericolosi

29 Outlook2003 & OWA2003 Enhancements User specified Safe & Blocked Senders lists User specified Safe & Blocked Senders lists Safe Senders, Safe Recipients, Blocked Senders Safe Senders, Safe Recipients, Blocked Senders Possono includere Contatti e GAL Possono includere Contatti e GAL Supporta anche la modalità Safe Senders Only Supporta anche la modalità Safe Senders Only User Lists CONDIVISE da Outlook 2003, Exchange 2003 ed OWA memorizzate sul server (mbx store) richiede Outlook 2003 per la configurazione User Lists CONDIVISE da Outlook 2003, Exchange 2003 ed OWA memorizzate sul server (mbx store) richiede Outlook 2003 per la configurazione Spostamenti in junk-folder determinati da: Spostamenti in junk-folder determinati da: Exchange 2003 Mailbox Store based on user lists Exchange 2003 Mailbox Store based on user lists Per message SCL Per message SCL Client Side based on Microsoft SmartScreen Technology Client Side based on Microsoft SmartScreen Technology Block all external content by default (Web beacons) Block all external content by default (Web beacons)

30 Il client Outlook Posta indesiderata

31 Outlook 2003 security (Smartscreen,...) Outlook 2003 security (Smartscreen,...) Client settings (junk-mail,...) Client settings (junk-mail,...)

32 Outlook Web Access Demo Edit this slide by selecting Properties in the Live Meeting Presentation menu. Live Meeting Sharing Slide Changes directly made to this slide will not be displayed in Live Meeting. Edit this slide by selecting Properties in the Live Meeting Presentation menu.

33 Come combattere i virus

34 Enterprise Requirements for Antivirus Sono necessarie difese adeguate Sono necessarie difese adeguate Trattamento differenziato di messaggi inbound e outbound Trattamento differenziato di messaggi inbound e outbound Non solo AV scanning Non solo AV scanning Attachment management is key Attachment management is key Directory lookups before scanning Directory lookups before scanning Security notifications Security notifications Message purging versus cleaning Message purging versus cleaning Metrics and reporting Metrics and reporting

35 Anti-Virus Protection In Exchange Server 2003 è presente una API specifica per la gestione dei Virus (Virus Scanning API 2.5) In Exchange Server 2003 è presente una API specifica per la gestione dei Virus (Virus Scanning API 2.5) Previene la possibilità che i virus arrivino in Outlook Previene la possibilità che i virus arrivino in Outlook Come per lo SPAM a maggior ragione per i virus il blocco deve essere il più possibile lato server Come per lo SPAM a maggior ragione per i virus il blocco deve essere il più possibile lato server Blocca allegati potenzialmente pericolosi Blocca allegati potenzialmente pericolosi Gateway scanning (non-mailbox server) Gateway scanning (non-mailbox server) Cancella messaggi infettati Cancella messaggi infettati

36 How to Fight Viruses VSAPI 2.5 exposed at the Exchange transport level (gateway) VSAPI 2.5 exposed at the Exchange transport level (gateway) Inbound message arrives at gateway using SMTP Inbound message arrives at gateway using SMTP Transport event sink hands message to VSAPI queue Transport event sink hands message to VSAPI queue VSAPI removes message from queue and passes to scanner VSAPI removes message from queue and passes to scanner Additional message properties are exposed to the scanner Additional message properties are exposed to the scanner For example, sender and recipient addresses can be used in notifications For example, sender and recipient addresses can be used in notifications Message deletion is possible Message deletion is possible Allows an antivirus solution to implement message purge feature Allows an antivirus solution to implement message purge feature

37 Exchange Server 2003 Antivirus Features VSAPI 2.5 VSAPI 2.5 Backward compatible with VSAPI 2.0 Backward compatible with VSAPI 2.0 Optional infected message deletion Optional infected message deletion Additional message properties Additional message properties Sender address Sender address Recipient addresses (To: and Cc:) Recipient addresses (To: and Cc:) Additional MAPI error codes Additional MAPI error codes Virus present Virus present Virus present, message deleted Virus present, message deleted

38 Exchange Server 2003 Service Pack 2 news

39 Exchange Server 2003 SP2 Anti- Spam Features Updated SmartScreen Technology Updated SmartScreen Technology Anti Phishing Technology Anti Phishing Technology Sender ID Framework (SIDF) Support Sender ID Framework (SIDF) Support

40 Updated SmartScreen Technology Integrated Intelligent Message Filter Integrated Intelligent Message Filter Latest Filter Updates Latest Filter Updates User Interface updates to Exchange System Manager – Junk Filtering User Interface updates to Exchange System Manager – Junk Filtering Added Anti Phishing Technology Added Anti Phishing Technology

41 Anti Phishing Technology Integrated into SmartScreen Technology Integrated into SmartScreen Technology Transparent to administrators and end- users Transparent to administrators and end- users Phishing Confidence Level (PCL) Phishing Confidence Level (PCL) Weighted 1-8 (higher = more likely bad) Weighted 1-8 (higher = more likely bad)

42 Sender ID Framework (SIDF) Industry standard created to counter domain spoofing Industry standard created to counter domain spoofing SIDF has been reviewed and submitted to the Internet Engineering Task Force for final review SIDF has been reviewed and submitted to the Internet Engineering Task Force for final review Combines Sender Policy Framework and Microsoft Caller ID for Combines Sender Policy Framework and Microsoft Caller ID for domain authentication framework that uses Sender Policy Framework (SPF) records in DNS as an authentication mechanism domain authentication framework that uses Sender Policy Framework (SPF) records in DNS as an authentication mechanism

43 Message Microsoft

44 Anti-Spam Antivirus and Attachments Mailbox servers Clients Message Hygiene at Microsoft Gateway Server Transport SCL=GatewayThreshold? Exchange IMF Sender/RecipientFiltering Filter Action Connection Filtering RBLs No Yes Gateway Server Transport Attachment Stripping Virus Scanning SCL Mailbox Server Store SCL Store Threshold User Safe/ BlockedSenders Spam? Junkmail Inbox YesNo SCL Outlook 2003 & Outlook Web Access Desktop Anti-Virus Attachment blocking User Safe/Blocked Senders Spam? JunkmailInbox Internet

45 Message Hygiene at Microsoft Outlook 2003 and Outlook Web Access junk Connection filtering Sender and recipient filtering Intelligent Message Filter Blocks of all incoming SMTP connections Blocks of remaining messages

46 Best Practice

47 Best Practice - 1 Connection Filtering Connection Filtering Abilitare Accept/Deny IP al gateway (e se possibile anche RBL) Abilitare Accept/Deny IP al gateway (e se possibile anche RBL) le liste IP restrictions possono essere modificate da codice ( KB ) le liste IP restrictions possono essere modificate da codice ( KB ) Recipient Filtering Recipient Filtering Recipient Lookup al Gateway Recipient Lookup al Gateway Abilitare ricerca in AD Abilitare ricerca in AD Restricted DL Restricted DL solo quando tutti i membri sono interni solo quando tutti i membri sono interni attenzione alluso da parte di applicazioni (autenticazione o no) attenzione alluso da parte di applicazioni (autenticazione o no)

48 Best Practice – 2 (IMF) In realtà Multi-Forest In realtà Multi-Forest abilitare lautenticazione (cross-forest) sui connettori SMTP abilitare lautenticazione (cross-forest) sui connettori SMTP in questo modo vengono mantenute le info su SCL Tagging & c. in questo modo vengono mantenute le info su SCL Tagging & c. non abilitabile su Exchange 2003 Cluster (è un tipico servizio di Front-End) non abilitabile su Exchange 2003 Cluster (è un tipico servizio di Front-End) iniziare laschi per evitare falsi positivi iniziare laschi per evitare falsi positivi Configurare Outlook 2003 Trusted Senders (& Junk setting) via CIW Configurare Outlook 2003 Trusted Senders (& Junk setting) via CIW

49 Best Practice – 3 (IMF) Reject vs Archive Reject vs Archive controllare la cartella controllare la cartella location modificabile (registry) location modificabile (registry) può contenere anche SCL (registry) può contenere anche SCL (registry) controllabile con Performance Monitor controllabile con Performance Monitor Total Messages Scanned for UCE Total Messages Scanned for UCE Messages Scanned for UCE/sec Messages Scanned for UCE/sec % UCE out of Total Messages Scanned % UCE out of Total Messages Scanned Total Messages Assigned an SCL Rating of X Total Messages Assigned an SCL Rating of X Microsoft Exchange Intelligent Message Filter Deployment Guide Microsoft Exchange Intelligent Message Filter Deployment Guide

50 IMF Archive Manager IMF Archive Manager

51 IMF Archive Manager Demo Edit this slide by selecting Properties in the Live Meeting Presentation menu. Live Meeting Sharing Slide Changes directly made to this slide will not be displayed in Live Meeting. Edit this slide by selecting Properties in the Live Meeting Presentation menu.

52 Riferimenti e risorse IMF Archive Manager (C# tool released with source on GotDotNet) IMF Archive Manager (C# tool released with source on GotDotNet) Microsoft Safety Microsoft Safety Technology and Strategy Security Resources Security Resources Sender ID:

53 Riferimenti e risorse (Exchange) Exchange Home Exchange Italy Home Exchange Server TechCenter Exchange Server 2003 Technical Documentation Library Exchange Developer Documentation on MSDN Exchange Server 2003 Errors and Events Web Site e=Exchange%20Server%202003&ProdName=Microsoft%20Exchange&MajorMinor= 6.5 e=Exchange%20Server%202003&ProdName=Microsoft%20Exchange&MajorMinor= 6.5 e=Exchange%20Server%202003&ProdName=Microsoft%20Exchange&MajorMinor= 6.5 Exchange Support Center Exchange Downloads Exchange Server Community Center

54 Domande?

55 Feedback https://msevents- eu.microsoft.com/cui/WelcomePage.aspx?EventID = &culture=it-IT Live Meeting Web Changes directly made to this slide will not be displayed in Live Meeting. Edit this slide by selecting Properties in the Live Meeting Presentation menu.

56 © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.


Scaricare ppt "Come combattere lo SPAM in un ambiente Exchange Server 2003: tecniche e metodi 11 novembre 2005 - 10:30 Alessandro Appiani MCT MCSE (2000 NT 4.0 NT 3.5)"

Presentazioni simili


Annunci Google