Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoIolanda Fontana Modificato 9 anni fa
1
Forefront contro lo SPAM Emanuele Bianchi Security Technology Specialist
2
Forefront Antispam Forefront Online Protection for Exchange Forefront Protection for Exchange Connection filtering Protocol filtering Content filtering Cloudmark Risorse Agenda
3
Forefront Antispam
4
Soluzione antispam multilivello Offre un’insieme di soluzione ai clienti per implementare e gestire la loro infrastruttura di posta Offre una soluzione completa multi-strato combinando software e servizi esternalizzati Offre software e servizi che si integrano la piattaforma Microsoft Exchange Authentication and Authorization Perimetro Esterno Corporate Network External Firewall ISA Server Internal Firewall DMZ Perimetro Interno Exchange Hub Forefront Protection for Exchange FOPE Gateway Forefront Protection for Exchange Forefront Online Protection for Exchange Internet Outlook IMF
5
Forefront Online Protection for Exchange
6
Architettura FOPE INTERNET FOPE Online Service Customer Mail server Spam quarantine Internet Cloud
7
Infrastruttura affidabile 7 datacenter Alta affidabilità SLA puntuali (100% virus, >98% spam, 99,999% up time, etc.) Singapore Texas Virginia Washington California Ireland
8
Forefront Protection for Exchange
9
Difesa Antispam Forefront Protection for Exchange consente tramite diverse tecnologie di valutare l'identità dei mittenti, la reputazione, e la fedeltà di ogni transazione SMTP IP Allow/Block DNSBL SenderID SMTP Tarpitting Submission Rate (IP) Safelists Enforcement Hybrid Model Filtering Cloudmark Filter Fingerprinting
10
Source Analysis Primo agente ad essere invocato nel livello di Source Analysis Definizione di black list o white list anche per periodi temporali definiti Rimedio immediato in casi particolari IP Allow/Block list
11
Source Analysis Blocco dinamico delle richieste di connessione in ingresso Nessuna attività di configurazione o manutenzione Agente DNSBL interroga la blocklist gestita da Microsoft (richiesta crittografata) Il servizio MS-DNSBL include i feed provenienti da diversi fornitori terze parti DNSBL IP Allow/Block list
12
Source Analysis Sender ID DNSBL IP Allow/Block list SenderID autentica il messaggio in entrata e ne convalida la sorgente Verifica che l'IP mittente può legittimamente inviare mail per il dominio in cui si fa riferimento l'indirizzo del mittente Ulteriore livello di difesa contro i messaggi di spoofing con contenuto maligno, soprattutto durante la attacchi zero-day
13
Protocol Analysis Non è solo un problema di spam, ma un grave problema di sicurezza (può trasportare payload maligno) Filtro anti-Backscatter aggiunge un token BATV a tutti i messaggi in uscita e ne verificia la validità in ingresso. Backscatter Filtering
14
Protocol Analysis Sender/Recipient Filtering Backscatter Filtering Filtraggio dei messaggi inviati a destinatari inesistenti Forefront proteggere le organizzazioni da attacchi di directory harvesting
15
Protocol Analysis Safelists Enforcements Sender/Recipient Filtering Backscatter Filtering Le black/white list definite dagli utenti con Outlook vengono propagate al perimetro Filtraggio più accurato dello spam “soggettivo”
16
Protocol Analysis Limiting Submission Rate Safelists Enforcements Sender/Recipient Filtering Backscatter Filtering Di default i ruoli Edge Exchange sono impostati per accettare 600 messaggi da un unico IP al minuto. Tuttavia, sotto attacco spam, è consigliabile limitare il tasso di sottomissione a un numero inferiore. Limitando il numero di messaggi permette di implementare una risposta immediata a un attacco spam in corso.
17
Protocol Analysis SMTP Tarpitting Limiting Submission Rate Safelists Enforcements Sender/Recipient Filtering Backscatter Filtering SMTP tarpitting funzionalità utile per proteggere le organizzazioni da attacchi di Directory Harvesting Per contrastare attaccchi a livello di protocollo SMTP, il server ricevente può rallentare le sue risposte al client
18
Cloudmark
19
Cloudmark Authority engine Il motore Cloudmark è integrato nell’architettura antispam Forefront tramite il framework ad agenti Viene eseguito nella pipeline SMTP di ricezione Scans MIME stream only – body + headers of the message Il motore è basato su Fingerprint Mantiene compatibilità con il punteggio SCL di Exchange Permette di inviar einformazioni statistiche a CloudmarkEnables statistical data feedback to 3 rd party Microupdate ogni 45 sec. per filtraggio accurato
20
Fingerprinting Algoritmo applicato alle parti rilevanti del messaggio Messaggio viene ridotto ad un insieme di fingerprint anonimi Fingerprint comparati con il database local In caso di assenza di firma viene applicata un’analisi euristica Spam Legit. FSE-protected Exchange recipient Fingerprint Cache Reject
21
Processo di classificazione di Cloudmark continuo aggiornamento delle firme digitali, senza intervento manuale Lookup veloce sfruttando cache in memoria Fingerprint computazionalmente efficenti Rilevamento dello spam in tempo reale con il 98% + precisione Risposta rapida alle nuove campagne spam Spam Legitimate Phishing Newsletters Graymail Preprocessing Steps Decoded Message Parts Engine Preprocessor Content Decoding—deQP Content Decoding— deBase64 Content Decoding—HTML Image Decoding Image Noise Reduction Unzip Message Analysis Confidence, Category & Metadata Engine Fingerprinting URL/Domain Information Entropy Redirectors Pattern Hash Pattern Dictionary Dynamic Patterns Longest Common String Antivirus Image Framework Fingerprint Cache Known Fingerprinting Fingerprints Classifications Categories Confidences Global Exception List
22
Risorse
23
Risorse Antispam Resource Center http://www.microsoft.com/forefront/antispam/ Forefront Online Protection for Exchange http://www.microsoft.com/online/exchange-hosted-services/filtering.mspx Forefront Protection 2010 for Exchange http://www.microsoft.com/forefront/protection-for-exchange/en/us/default.aspx Risorse tecniche http://technet.microsoft.com/en-us/library/dd639368.aspx Whitepaper http://www.microsoft.com/forefront/protection-for-exchange/en/us/white-papers.aspx
24
© 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.