Nov nov pouvan metody boje proti SPAMu Miloslav
Nové (nově používané) metody boje proti SPAMu Miloslav Cahlík AEC, spol. s r. o. - Invex, 11. 10. 2006 -
Obecně… Spam je zpravidla nevyžádaná nabídka přicházející elektronickou poštou. Motivy Spammerů: K zasílání spamu motivují také nízké náklady na oslovení relativně velkého počtu osob a finanční zisk plynoucí z nákupu nabízeného zboží či služby.
Je spam zdroj příjmů? ANO ANO ANO Otázka ankety: Využili jste někdy nevyžádané nabídky, která Vám přišla emailem? Zdroj: www. bsa. org
220 SMTP SERVER READY helo tom. aec. cz 250 gw. aec. cz greets tom. aec. cz mail from: Security 2006 <invex. 2006@aec. cz> 250 OK rcpt to: Miloslav Cahlik <miloslav. cahlik@aec. cz> 250 OK data 354 Data input Subject: Obsah prezentace Prezentace je zaměřená na metody boje proti spamu a jejich využití v praxi. Dále pak trochu teorie o spamu. . 250 OK quit 251 Close
Vývoj antispamové ochrany Ochrana na GW Ochrana na groupware Ochrana na stanicích
Antispamové technologie na SMTP • • • black/white listy Technologie postavená na principu chování SMTP serverů graylisting Sender Policy Framework Caller ID Domain. Keys Ochrana na základě specifických DNS záznamů
Anti. Spam – vložený server MX záznamy 65. 160. 41. 21 SMTP mail server 192. 168. 4. 1 SMTP out 65. 160. 41. 22 SMTP Anti. Spam 192. 168. 1. 2
SMTP gateway s antispam funkcí MX záznamy 65. 160. 41. 21 SMTP mail server 192. 168. 4. 1 SMTP Anti. Spam 192. 168. 1. 2
Proč antispam na GW? • Snižuje / může snižovat zatížení WAN, LAN, Group. Ware serverů. • Jediný server => snadná administrace • Možnost nasazení nových technologií (SPF, Caller ID, Grey…) • Oddělení stávajícího emailového serveru z přímé komunikace s internetem (kdo tak ještě neučinil). • Větší možnost v nasazení SMTP serveru vyžadující různá ověření odesílatele.
Ochrana na SMTP Testování přítomnosti DNS záznamu pro doménu 220 SMTP SERVER READY helo tom. aec. cz 250 aec. sk greets tom nslookup aec. cz … 62. 168. 42. 24 mail from: a@aec. cz 250 OK rcpt to: a@aec. sk ? Musí být DNS záznam?
Ochrana na SMTP Testování přítomnosti MX záznamu pro danou odesílací doménu Příjem pošty z: 62. 168. 42. 22 220 SMTP SERVER READY helo tom. aec. cz nslookup -querytype=mx aec. cz … 62. 168. 42. 21 250 aec. sk greets tom mail from: a@aec. cz 250 OK rcpt to: a@aec. sk ? 62. 168. 42. 22 × 62. 168. 42. 21
Ochrana na SMTP Testování přítomnosti DNS záznamu pro doménu „helo, ehlo“ 220 SMTP SERVER READY helo tom. aec. cz 250 aec. sk greets tom mail from: a@aec. cz 521 aec. sk does not accept mail nslookup -querytype=a tom. aec. cz … unknown
Ochrana na SMTP Testování možnosti zaslání emailu na odesílatele 220 SMTP SERVER READY helo tom. aec. sk 250 aec. cz greets tom mail from: a@aec. sk 250 OK rcpt to: a@aec. cz 220 SMTP SERVER READY EHLO tom. aec. cz 250 aec. sk greets tom 250 SIZE 0 mail from: mailboxtester@aec. cz 250 OK rcpt to: a@aec. sk 250 OK RSET 250 OK quit 251 Close
Ochrana na SMTP - Greylisting 220 SMTP SERVER READY helo tom. aec. com 250 aec. cz greets tom mail from: a@aec. com 250 OK rcpt to: a@aec. cz 250 OK data 451 Greylisted quit 251 Close 220 SMTP SERVER READY helo tom. aec. com 250 aec. cz greets tom mail from: a@aec. com 250 OK rcpt to: a@aec. cz 250 OK data 354 Data input subject: nazev emailu text emailu. 250 OK quit 251 Close
SPF a podobné techniky • SPF využívá kontroly oprávnění pomocí SFP záznamů DNS. SFP nyní používají např. : AOL. com Google. com Perl. org SAP. com Spamhaus. org w 3. org Příklad zápisu SPF v DNS: google. com text = "v=spf 1 ptr ? all„ sap. com text = "v=spf 1 mx -all„
Statistický průzkum záznamů v. CZ doméně SPF, Caller ID a Domain Key v CZ doméně test AEC ze dne 16. 5. 2005: z 22 655 otestovaných domén (9, 09% z celkového počtu CZ domén 249 124) mělo: pouze 227 mělo SPF záznam v DNS což je pouze 1, 0019 % pouze 30 Caller ID záznam v DNS což je pouze 0, 1324 % 0 domain key - 0%
Statistický průzkum v. COM a. NET doméně SPF v. COM a. NET doméně test AEC ze dne 1. a 17. 6. 2006: . COM z 232 077 domén jich 18 165 mělo SPF záznam v DNS (což je pouze 7, 8271 %). NET z 158 883 domén jich 10 547 mělo SPF záznam v DNS (což je pouze 6, 6382 %)
Detekce spamu na základě podobnosti obrázků Detekce podobnosti obrázku => s určitou mírou pravděpodobností se jedná o stejný typ obrázkového spamu
Detekce spamu na základě podobnosti textu • Jedná se o podobný mechanismus detekce • Využívají se matematické algoritmy Bayese a Gausse, Gaborových frekvenčních filtrů atd. (stejně jako detekce podobných obrázků)
Děkuji za pozornost www. aec. cz www. phoenixrebel. cz
- Slides: 20