KULSYSMN [SPAM?] Products that can improve your life!
14 december 2006 Dirk Janssens LUDIT - KULeuvenNet 1
Overzicht Email setup K.U.Leuven Inkomende spam Centraal niveau Gebruiker niveau
Uitgaande spam Problematiek Oplossingen?
2
Email setup K.U.Leuven KULeuven KULeuven
smtps
SMTP CAVUIT CAVIN
CAV Internet Internet
SMTP
Ontvangst van KULeuven Doorsturen naar CAVUIT SMTPS server KULeuven disclaimer
CAVIN
Ontvangst van Internet Doorsturen naar CAVUIT
CAVUIT
Antivirus Spam classificatie Doorsturen naar KULeuven en Internet 3
Binnenkomende spam Geen perfecte oplossing
Gebruikers willen alles kunnen Streng beleid
Beste oplossing: combinatie centrale filter persoonlijke filter
4
Binnenkomende spam: centraal Cavin
Elementaire checks RBL check Greylisting Recipient Verification
Cavuit
Anti-virus controle Spam classificatie 5
Binnenkomende spam: centraal Elementaire checks FQDN check
RBL check (Realtime Blackhole List)
Lijst van gekende ip adressen die spam versturen http://www.mail-abuse.org (Trend Micro RBL-plus lijst)
Recipient Verification
Probleem: Mails naar niet bestaande accounts… Cavin weet enkel domeinnamen. Niet eenvoudig mogelijk om 1 lijst met alle individuele gebruikers op te stellen Oplossing: Cavin connecteert bij een binnenkomende mail naar de correcte achterliggende mailserver om te kijken of de account daar bestaat. Resultaat: Mails naar niet bestaande accounts worden volledig van het netwerk geweerd. (Op dit moment enkel voor centraal beheerde domeinen) 6
Binnenkomende spam: centraal Greylisting principe
Feit: Deftige mailservers werken met mailqueue’s en proberen na een tijdelijke foutmelding opnieuw te versturen Veronderstelling: Spammers negeren foutmeldingen en proberen niet opnieuw Actie: Geef een tijdelijke foutmelding indien er geprobeerd wordt een ‘nieuwe email’ af te leveren aan de K.U.Leuven 7
Binnenkomende spam: centraal Greylisting praktisch Nieuwe email?
• IP adres contacterende mailserver • Envelope email afzender • Envelope email ontvanger
Tijdelijke fout?
• Indien het mail-triplet nog niet voorkomt in de database – Voeg triplet toe in de database met tijdsstempel van 1ste poging – Geef een tijdelijke foutmelding
• Indien het mail-triplet voorkomt in de database – <60 seconden sinds 1ste poging: tijdelijke foutmelding – In alle andere gevallen: accepteer 8
Binnenkomende spam: centraal Greylisting problemen
Eenmalige emails hebben een vertraging • V.b. registratie emails
Detectie van email clusters • Analyse van de database entries
Niet mogelijk om na te gaan of er ook reguliere mails geweigerd worden • User feedback
Hoelang triplets bijhouden? 9
Binnenkomende spam: centraal Greylisting oplossingen Email clusters
• Manuele whitelisting (telenet, gmail, skynet,...) • Klasse C netwerkadres i.p.v. IP adres van contacterende mailserver – Veronderstelling dat clusters binnen zelfde netwerk zitten – Bijv: 123.124.125.126 -> 123.124.125.X
Triplets
• 1 poging: na 3 dagen wissen • Meerdere pogingen: na 21 inactieve dagen wissen 10
Binnenkomende spam: centraal Anti-virus controle
McAfee Virusscan Updates elk uur met beta .dat file. Gekoppeld met auto-blokkeer systeem
Spam classificatie SpamAssassin Score systeem
• 1000den testen met elk bepaalde score • Eindscore is som van alle testen
Pas subject van mail aan vanaf eindscore 5.0 Interne mail wordt nooit gemarkeerd als spam 11
Binnenkomende spam: gebruiker Verantwoord gebruik van email adres
Oude emailadressen afsluiten (bijv .ac.be adressen) Tijdelijke emailadressen • Email alias gebruiken (v.b. conferenties) • Gratis service (b.v. http://www.mailinator.com)
Persoonlijke spamfilter Zelflerend systeem
• Ingebouwd in mailclient (bijv. Thunderbird, Eudora, Outlook) • Als extern programma
Nuttige informatie: Ludit website
• https://ludit.kuleuven.be/info/spam/
Belgische portaalsite in strijd tegen spam • http://www.spamsquad.be
12
Uitgaande spam: problematiek Spammers op zoek naar zombie pc’s Misbruiken van zwakheden • • • •
‘Klik hier voor gratis films!!!’ Virussen/Wormen Niet onderhouden webscripts (forums, gastboeken…) …
Historiek
Emailvirus periode
• Heden: emailclients tonen niet direct meer alles
Netwerk virus/worm periode
• Heden: Firewalls en antivirus produkten zijn gemeengoed
Web misbruik periode • Heden: in opmars
Rest van presentatie gaat over webservers 13
Uitgaande spam: problematiek Misbruik webscripts
Laatste maanden zeer sterk in opmars Zorgt ervoor dat K.U.Leuven mailservers op RBL lijsten komen • Problemen bij reguliere uitgaande K.U.Leuven emails
Praktijk webservers
Vaak verkeerde inschatting van risico • ‘Niemand weet mijn pagina staan’ • ‘Wie zou dat nu kunnen misbruiken?’ • ‘De mensen het script geschreven hebben weten wat ze doen’
Correcter:
• Als een pagina bereikbaar is, wordt ze gevonden (v.b. google) • Indien er een bug is, zal die vroeg of laat uitgebuit worden (v.b. bots) • Mensen maken fouten 14
Uitgaande spam: oplossingen Doel: proactief werken Ideale oplossingen
• Niet haalbaar op korte termijn • Vereist soms veel extra werk van gebruiker of systeembeheerder – Herschrijven van applicaties
Praktische oplossingen
• Haalbaar op korte termijn • Bieden geen perfecte pro-actieve bescherming • Lijken vaak beperkend in mogelijkheden
Geen enkele individuele oplossing dekt alle scenario’s 15
Uitgaande spam: oplossingen Voorbeelden praktische oplossingen Uitgaande mail quota per ip adres • Verschillende instellingen – Gebruiker ip – Webserver ip
• Quota mogelijkheden – X aantal connecties per tijdsinterval – X aantal afleverpogingen per tijdsinterval – X aantal ontvangers per tijdsinsterval
Beperkte bestemmelingen voor webservers • Enkel mail mogelijk naar maildomeinen die door K.U.Leuven worden afgehandeld • Externe mail enkel indien er speciale header in mail voorkomt 16
Uitgaande spam: heden Huidige maatregelen Op centrale webserver
• Levert maar beperkt aantal mails af per tijdseenheid
Analyse van CAV logfiles
• Waarschuwing indien een ip adres veel mails stuurt waarop veel bounces terugkomen – Sinds gisteren automatische blokkering op kotnet
Reactie op meldingen van spam • AOL Client TOS notification
Nood aan meer proactieve maatregelen 17
Uitgaande spam: toekomst Problemen gaan enkel toenemen
Invloed op lokale systeembeheerders, gebruikers Heel wat mogelijk op centraal niveau
Veel mogelijke oplossingen… Welke zijn haalbaar? Wat is het meest effectieve? Welke problemen zijn er?
Bedoeling van dit uitgaande spam stukje is om gezamelijke discussie en zoektocht naar werkbare oplossingen te starten 18
The End http://ludit.kuleuven.be/info/spam/
Meer info:
[email protected] 19
