Sicurezza di Exchange 2003
Agenda Comparazione tra Spam e Virus Il problema dello Spam: SMTP Tecnologie/iniziative antispam Mezzi per contrastare lo Spam con uninfrastruttura basata su Microsoft –Exchange 2003 –IMF – Intelligent message filter –Outlook 2003 Visione futura..
Comparazione tra Spam e Virus Effetti Distruttivo Spam Exploits Specifica vulnerabilità (e.g. buffer overruns) Apertura dellSMTP (anonymous) Virus Fastidio Motivo dellazione Ludico, vendetta, $$ Identificazione Signature, deterministicoNon sempre determinabile Costo Perdita dei dati Perdita della produttività Helpdesk Administrazione Dischi, CPU Banda Perdita della produttività Helpdesk Administrazione Dischi, CPU Banda SoluzioneExchange Exchange 2003 (blocco degli allegati OWA ) 3 rd Anti-Virus Exchange 2003 features 3 rd Anti-Spam
Il problema dello spam: SMTP SMTP è descritto in due documenti IETF –RFC 821: il modello di comunicazione, i comandi SMTP, i codici derrore –RFC 822: Il formato dei messaggi, il formato degli indirizzi, il formato delle date MIME è descritto da cinque documenti IETF: RFC 2045, 2046, 2047, 2048, 2049 ESMTP è descritto da vari documenti IETF: RFC 1869: un meccanismo generale di estensione di SMTP RFC 1652, 1870, 1830, 2197, 1891, 1985, 2034, 2487: varie estensioni del protocollo SMTP SMTP è stato aggiornato nell'aprile 2001: –RFC 2821 e 2822 aggiornano rispettivamente le RFC 821 e RFC 822
SMTP Teniamo sempre in mente che: SMTP è un protocollo basato su testo, per lo scambio di messaggi di posta e la verifica dei destinatari dei messaggi.
I limiti del protocollo SMTP I limiti fondamentali di SMTP: –La lunghezza massima del messaggio è di 1 Mb –I caratteri accettati sono solo ASCII a 7 bit –Ogni messaggio deve contenere una sequenza CRLF ogni 1000 caratteri o meno. Questi limiti impediscono la trasmissione di documenti binari: Un file binario usa tutti i 256 tipi di byte Un file binario può facilmente essere più lungo di 1 Mb In un file binario la sequenza CRLF è una sequenza come tutte le altre, e può esserci o mancare senza vincoli. MIME permette di superare questi limiti del protocollo SMTP
La sicurezza del protocollo SMTP Impersonificazione Il meccanismo di trasporto di SMTP è insicuro. Derivando da ARPA si dava per scontato la sicurezza intrinseca della rete. E facilissimo realizzare messaggi che sembrino, per l'utente inesperto ed esperto, provenire da altri mittenti (spoofing) L'unica soluzione è implementare la crittografia e la firma digitale
Tecnologie/iniziative antispam Spf Storico = Sender Policy Framework Caller ID + Spf = The Sender ID Framework RMX = Reverse MX DMP = Designated Mailer Protocol
The Sender ID Framework Contromisura allo Spam Cosè il Sender ID Framework (SIDF) –I componenti del Sender ID Come funziona Sender ID –Il formato SPF –Come funziona il PRA - Purported Responsible Address
Sender ID Framework E il merge di due tecnologie –SPF (Sender Policy Framework) –Microsoft Caller ID Inizia ad essere adottato da: –AOL, Bell Canada, Cisco, Cloudmark, Comcast, IBM, Interland, IronPort, Port25, Sendmail, Symantec, Tumbleweed, VeriSign…. – Service Provider Coalition, Opengroup, TRUSTe….
Cosè il Sender ID Framework Sender ID Framework MailSenders MTA Vendors & Receiving ReceivingNetworks Sender ID Record (SPF V2) SPF V1 Record Purported Responsible Address (PRA) Check Submitter SMTP Optimization MAIL FROM Check
Come funziona Sender ID 1.Chi vuole inviare posta SMTP pubblica i suoi IP di outbound sui DNS tramite i record SPF 2.Chi riceve determina su quale dominio effettuare il check a)Purported responsible domain derivato dal message body (RFC 2822 headers) b)Envelope From domain (RFC 2821 Mail From) 3.Chi riceve effettua una query sul DNS e verifica tramite un test se il messaggio è di spoofing
SPF Records test.com TXT v=spf1 -all –Questo dominio non invierà mai messaggi SMTP test.com TXT v=spf1 mx -all –I server in inbound sono identici agli outbound test.com TXT v=spf1 ip4: /24 –all –Range di IP test.com TXT v=spf1 mx include:myesp.com –all –Dominio SMTP in outsourcing
Direct Delivery Pubblicare gli outbound server nel DNS usando il formato SPF Opzionale: Transmettere il parametro SUBMITTER sul comando MAIL
S: 220 studenti.ugimex.eduESMTP server ready C: EHLO ugimex.org S: 250-studenti.ugimex.edu S: 250-DSN S: 250-AUTH S: 250-SUBMITTER S: 250 SIZE C: MAIL FROM: S: 250 sender ok C: RCPT TO: S: 250 recipient ok C: DATA S: 354 okay, send message C: From: C: (message body goes here) C:. S: 250 message accepted C: QUIT S: 221 goodbye Direct Delivery SUBMITTER extension advertised in EHLO response
Creazione del record SPF Esiste un Wizard ma ad oggi è in beta
Limiti di Sender ID Limiti –Authentica i domini non gli utenti –Valida lultimo hop non è end-to-end –Gli Spammers possono registrare i loro domini La tecnologia Sender ID sarà disponibile con il service pack 2 di Exchange 2003
Mezzi per contrastare lo Spam In uninfrastruttura AD/Exchange, possiamo operare a livello di: Exchange 2003 IMF – Intelligent message filter Outlook 2003
Exchange 2003: Connection Filtering Liste globali Allow / Deny –Specifici IP o subnet –Deny by design Supporto ad abbonamento a servizi esterni real-time block list (RBL) –Es: Mail from bad.bl.org –Supporto per diversi fornitori RBL (3 o 4 ideale) –NDR personalizzabile per ogni fornitore –Possibilità di sovrascittura del filtro (exception by address)
Exchange 2003: Connection Filtering Un elenco degli RBL si trova:
Address Filtering Sender filtering –Filtro di messaggi spediti da un indirizzo o dominio smtp –Filtro di messaggi senza mittente Recipient filtering –Filtro di messaggi spediti a destinatari non esistenti (senza NDR) –Filtro di messaggi spediti a specifici indirizzi –Solo utenti autenticati inviano a Distribution List –In aggiunta allAddress Filtering sul client – Safe/Block list
Address Filtering
New: SMTP Internet Protocol Restriction and Accept/Deny List Scaricabile da nei tools É uno script vbs: Ipsec.vbs
New: SMTP Internet Protocol Restriction and Accept/Deny List Ipsec.vbs - Manipulate Exchange Ip Security Settings -s server name (default: local machine's name) -i instance id (default = 1) -o operations: e Enumerate a security setting a Add an IP address or domain d Delete an IP address or domain c Clear the current IP list or domain list s Set grant or deny by default -r [connection|relay|accept|deny] -t [ip|domain] Specify whether the value that you are adding is an IP address or a domain name. The default value is IP address (not used in -o s and -o e). -g [grant|deny] (only for -o s) -v value (ip or domain) to add or remove (required for -o a and -o d) -m subnet mask (optional) -d domain controller (required)
Gateway Server Transport Exchange Server 2003 Mailbox Server Store Junk Mail Folder Junk Mail Folder Inbox Exchange 2003 OWA Outlook 2003 SCL = Spam Confidence Level Antispam – senza IMF spam ? User Trusted & Junk Senders 3 rd Party Plug-Ins Allow/Deny Lists Real-Time Block Lists Recipient & Sender Filtering Message + SCL spam ? User Trusted & Junk Senders Inbox User Trusted & Junk Senders SMTP Message
Microsoft Exchange Intelligent Message Filter Basato sulla tecnologia SmartScreen –presente in Outlook2003 –utilizzata da Hotmail dal 24 Febbraio 2004 –integrata con linfrastruttura SCL ( Spam Confidence Level ) E unestensione di Exchange 2003 Server, da installare sui Bridgeheads Coesistenza con le soluzioni di 3° parti
Microsoft Exchange Intelligent Message Filter Supporta il message tagging Si amministra con unestensione di Exchange System Manager Console Saranno disponibili Filter Updates
IMF in italiano Il filtro è stato aggiornato tramite la KB
Antispam – con IMF
IMF Registy da configurare (opzionale) HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange\ContentFilter ArchiveDir ArchiveSCL CheckAuthSessions HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\ ParametersSystem Max Extended Rule Size
Configurazione consigliata Antispam oggi Combinazione di –RBL in DMZ –Internal filtering Opzioni in DMZ –Exchange in una forest separata :-) –Server SMTP Internal –Exchange IMF Content Filtering Internal NetworkDMZ Internet External Firewall Internal Firewall RBL/Filter Exchange Relay Server Inbound SMTP
Argomenti dei prossimi eventi –ExBPA: Exchange Server Best Pratices Analyzer Tool 1.1 Aggiornato il 9/2/2005 ExBPAUpdate.EXE –Exchange Server 2003 Security Hardening Guide Aggiornato a Dicembre 2004 –....