Adriano Mauro Cansian. Estudo de caso: Implementando um Servidor de Correio Eletrônico com Filtros contra Vírus e Spam

Transcrição

1 Spam e Scam Adriano Mauro Cansian Estudo de caso: Implementando um Servidor de Correio Eletrônico com Filtros contra Vírus e Spam 1

2 Introdução. Roteiro O sistema proposto. A implementação. Políticas adotadas. Testes realizados. Resultados obtidos. 2

3 Vírus Vírus, Worms e Trojans (1) programas capazes de multiplicar-se mediante a infecção de outros programas maiores Worms não necessitam infectar outros arquivos para se multiplicar. Se espalham usando recursos da rede. O é um dos seus principais canais de distribuição Trojans não têm capacidade de se auto-reproduzir ou infectar outros programas. São comumente distribuídos ib em scams 3

4 Vírus, Worms e Trojans (2) Atravessam os firewalls quando enviados na forma de . Causam prejuízos a empresas e pessoas. Há pouca conscientização entre os usuários. Anexos perigosos são abertos com freqüência. Atualizações de segurança e anti-vírus não são atualizados adequadamente. 4

5 Spam (1) Spam: envio abusivo de correio eletrônico não solicitado em grande quantidade Mensagens comerciais não solicitadas Correntes. Hoaxes (boatos) Scam: é o spam criminoso Enviados por estelionatários com o objetivo de obter números de cartão de crédito, senhas de banco e informações privilegiadas das vítimas Banco do Brasil, Receita Federal, BBB, SERASA, 5

6 Spam (2) Difícil de calcular os prejuízos Banda utilizada desnecessariamente. Tempo desperdiçado pelos usuários para excluir o lixo eletrônico e perda de produtividade. Usuários deixam de receber mensagens úteis quando sua caixa de entrada é entupida por spam. Só não há prejuízos para quem envia. 6

7 Location of zombie computers in Europe that sent spam during just a 30-minute period. Click to view an expanded graphic. 7

8 Spam (3) Mais de 50% de cada que trafega na Internet é Spam O aumento sofrido pelo spam ano a ano poderá inviabilizar o uso de correio eoee eletrônico num futuro uuonão muito odsa distante html Spim: spam por instant messenger A história do spam 8

9 from date Spam (4) British Telecom Promo Mon, Sep 14, 2009 at 11:27 PM / subject: 2009 Sweepstakes Program The Sum Of 1,000, Pounds has been won by your Address in our 2009 sweepstakes program. Do get back to this office with your claims requirement such as 1.Name in full 2.Address 3.Nationality 4.Age 5.Sex 6.Occupation 7.Phone/Fax 8.Present Country Reply to this confidential Address: bttelecom01@gmail.com Best Regards Mrs. Cindy Howard. 9

10 Spam (5) Date: 09/11/ :02 AM / Subject: Oi, Bom Dia!!!!!!!!!!!! Oi, Bom Dia!!!!!!!!!!!! Meu nome à Miss.Adima, eu vi o seu endereã o de hoje, e tornar-se interessado em fazer contato com vocãª, eu gosto de voc㪠para me enviar um e- mail para o meu endereã o para que eu possa dar-lhe as minhas fotos para que voc㪠sabe quem eu sou. Eu acreditava que podemos passar por aqui? Lembre-se de cor ou distã ncia nã o importa, mas AMOR questãµes allot na vida). Responder-me com o meu endereã o de esperanã a de ouvir de voc㪠em breve yours Miss.Adima ======================================== Hi,Good Day!!!!!!!!!!!!... 10

11 Os protocolos SMTP: Simple Mail Transfer Protocol Definido nos RFCs 821 e 2821 RFC 1425: Extend SMTP RFC 2142 e caixas abuse (/dev/null) RFC 2505: recomendações anti-spam POP: Post Office Protocol Definido no RFC 1939 IMAP: Internet Mail Access Protocol IMAP 4 revisão 1: RFC 2060 RFCs 2061 e 2062 tratam de compatibilidade com versões anteriores 11

12 Case / Motivação Usuários do campus descontentes recebendo vírus e spams. Máquinas infectadas propagando worms. Um servidor de correio para cada departamento dificultando políticas unificadas de segurança. Dificuldade em fazer atualizações de segurança nos servidores. 12

13 O sistema E-bilce Servidor unificado de para o campus. Acesso a Webmail, POP, IMAP. Filtros de spam e vírus. Regras de filtragem personalizadas para cada usuário. Versões seguras dos protocolos de correio eletrônico. 13

14 Protocolos Seguros Utilizam SSL ou TLS para o envio de dados: SMTP+TLS+SASL POPS IMAPS HPPTS (Webmail) SASL desativado, mas operacional. Nota: o envio e recebimento é seguro apenas entre MTA local e o MUA dos usuários do sistema. 14

15 Configurações do servidor Máquina Compaq Alpha DS-20 Processamento RISC 1 GB de RAM Raid Array com capacidade atual de 260 GB Debian GNU/Linux Stable/Unstable Distribuição voltada para servidores e segurança Security Updates via Apt-get 15

16 Postfix O Servidor SMTP Seguro Rápido Flexível Configurações enxutas Implementa TLS Utiliza o Procmail como MDA 16

17 Qpopper Softwares utilizados (2) Simples implementação Compatível com SSL Uw-imapd-ssl Servidor IMAP voltado para a segurança Compatível com SSL 17

18 Clamav Antivírus 100% OpenSource. Identifica corretamente a maioria dos malwares. Verifica arquivos compactados. Atualizações automáticas da base de vírus utilizando o daemon Freshclam. 18

19 Anti-spam Spamassassin Amplo espectro de testes (filtro bayesiano, SPF, RBL, etc). Baixo índice de falsos positivos e falsos negativos. Flexível. Não tão rápido. Procura padrões presentes em mensagens de spam. A cada padrão encontrado uma pontuação é atribuída a mensagem. Quando a pontuação atinge um limite, a mensagem é marcada como spam. 19

20 Cabeçalhos do Spamassassin X-Virus-Scanned: by amavisd-new p10 at acmesecurity.org X-Spam-Status: Status: Yes, hits=11.2 tagged above= required=4.0 tests=bigevillist_2520, FORGED_RCVD_HELO, FRONTPAGE, HTML_FONT_BIG, HTML_MESSAGE, MIME_HTML_ONLY, MSGID_FROM_MTA_ID, RCVD FAKE HELO DOTCOM, URIBL OB SURBL, URIBL WS SURBL, WLS_URI_OPT_497 X-Spam-Level: *********** X-Spam-Flag: ag: YES 20

21 Amavis (1) Amavis Desencapsula e descompacta os anexos para a procura de vírus. Altamente adaptável. Pode ser usado para distribuir ib i a carga entre máquinas diferentes. Oferece bloqueio de anexos. 21

22 Amavis (2) MTA Remoto 25 Postfix Procmail INBOX SPAM Amavis Clamav Spamassassin 22

23 Políticas de uso do E-bilce Relay externo apenas para as redes do IBILCE. Relay interno: destinatário da mensagem é local. Relay externo: destinatário é remoto portanto a mensagem será transferida para outro servidor Acesso a POP e IMAP no campus. Acesso a Webmail externo. 23

24 Políticas para verificação de mensagens (1) Mensagens com cabeçalhos ruins ou que não cumpram o RFC 821 são bloqueadas A conexão TCP é encerrada no momento do envio. Remetente é informado sobre o erro pelo MTA de origem Não existem falsos positivos: apenas software spammer apresenta esta característica. Mensagens com anexos suspeitos serão bloqueadas O sistem envia uma mensagem de aviso ao remetente. 24

25 Políticas para verificação de mensagens (2) Mensagens com vírus serão bloqueadas. O sistema envia uma mensagem de erro ao remetente. Caso não se trate de um vírus que falsifique o remetente. Mensagens com padrões de spam são movidas para uma caixa especial (caixa de spam / junk). Usuários POP podem desabilitar esta regra. Nota: mensagens legítimas nunca são perdidas. Caso aconteça um erro no envio, o remetente t é sempre informado 25

26 Detecção de SPAM Diversas técnicas existentes. Testes locais (no próprio servidor). Testes remotos. Análise de cabeçalhos SPF. Reverso de DNS. Etc... 26

27 Checagens feitas no MTA Helo/Ehlo requerido Rejeita remetentes inválidos (mail from). Rejeita remetentes com dominíos inválidos. Checagens nos cabeçalhos Bloqueia alguns vírus mais conhecidos (Hi, Thanks,...) Não é necessário repassar a mensagem ao clamav Bloqueia algumas redes que enviam spam Tentativas de envio para usuários inválidos são bloqueadas Evita o problema de ter um grande número de mensagens na fila 27

28 Checagens no Spamassassin (1) Regras de pontuação: expressões contidas no corpo e no cabeçalho são pontuadas Palavras chaves freqüentemente contidas em spams: Order now, Low prices, Unsubscribe, Viagra, Nigeria Uso do formato HTML. Links para outras páginas. Mensagens sem nenhum texto e apenas uma figura. Cabeçalhos suspeitos, Etc Muito efetivo. 28

29 Checagens no Spamassassin (2) AWL (Auto WhiteList) Faz uma média na pontuação das últimas N mensagens de um remetente ao classificar uma mensagem. Dessa forma a pontuação de mensagens de remetentes com bons antecedentes é diminuída e de spammers é aumentada. Listas de permissão e bloqueio Também conhecidas como blacklists e whitelists. Remetentes t cadastrados d na lista de permissão recebem pontuação zero. Remetentes cadastrados na lista de bloqueio recebem pontuação infinita. Ajudam a diminuir o número de falsos positivos e falsos negativos 29

30 Novas checagens (1) SPF: Sender Policy Framework Cada domínio divulga seus servidores autorizados a fazer relay externo. O MTA verifica se o IP do remetente é um IP autorizado no domínio. Usado apenas para pontuação. 30

31 Novas checagens (2) SPF continuação Não é específico para o combate ao spam e sim para evitar remetentes forjados. Contudo, dificulta muito a vida dos spammers Ampla adoção de grandes instituições nacionais e internacionais (locaweb, uol, gmail, hotmail, yahoo, ) 31

32 Novas checagens (3) URL/DNS/RBL: Role Black Lists para URLs Em spams comerciais é comum links para páginas de vendedores. Existe um lista mantida pela Spamhaus que contém as páginas mais referenciadas em spams. Mensagens referenciando estas páginas recebem um pontuação alta. Mais informações em 32

33 Greylist (1) É baseado no funcionamento correto de um servidor Combina 3 informações: Endereço IP do MTA de origem; Endereços: remetente e destinatário; Se a tripla nunca foi vista, então recuse a mensagem e todas as outras que contiverem a mesma tripla, dentro de um determinado período de tempo, com um erro temporário. 33

34 Greylist (2) 34

35 Filtro Bayesiano Permite ao usuário indicar ao sistema quais mensagens são spams e quais não são (ham) Auto índice de acertos. AutoLearn. Facilmente implementado em servidores onde os usuários tem acesso e intimidade com o shell. Não implementado no servidor E-bilce Possíveis soluções: reporte de spam e ham, mudanças no horde para executar algum script de shell a partir do php 35

36 Outras técnicas Outras técnicas utilizadas no combate ao spam RBLs: Role Black Lists Algumas listam os blocos 200/8 e 201/8 Greylistings: bastante efetivo. DNS reverso (gera falsos positivos) Domains Keys (Yahoo) e Sender ID (Microsoft) Uso de chave pública e privada Existem mais 36

37 Gerência da porta 25 (1) Conjunto de medidas para separar o tráfego de residêncial do tráfego entre e servidores es smtp. Bloquear a saída para porta 25/TCP de todos os hosts, exceto MTAs autorizados Clientes devem utilizar SMTP autenticado na porta 587/TCP Não interferir no tráfego da porta 587/TCP 37

38 Gerência da porta 25 (2) 38

39 Considerações sobre as checagens Habilitar todas as técnicas de checagem disponível causaria um grande overhead no servidor. Muitas técnicas podem ser implementadas no MTA ou no filtro de spam. É melhor usar o filtro para técnicas que causam falsos positivos. Não utilizar muitas checagens remotas. Limitar o tempo máximo que para uma mensagem ser filtrada (1s, 2s). O Spamassassin não é recomendado para servidores de grande porte (no máximo 3000 usuários). 39

40 Testes realizados Desempenho Sem filtros: mais de 500 mensagens por minuto sem atraso Com antivírus: 250 mensagens por minuto sem atraso Com antivírus e anti-spam: 100 mensagens por minuto com um atraso máximo de entrega de 1 minuto. Utilização do software Postal para benchmark de servidores SMTP e o software Mailgraph para a geração dos gráficos 40

41 A fase de testes Cerca de 20 usuários entre os usuários do polo e voluntários de outros departamentos e tos Usuários com o índice de erros em torno 5% Houve casos em que a taxa de erro foi menor do que 1% 41

42 Dados sobre a Detecção Dados da primeira quinzena de testes Volume médio de mensagens recebidas por dia: 2300 Mensagens entregues na caixa de entrada: 42% Mensagens entregues na pasta spam: 21% Mensagens com vírus: 5% Mensagens de spam rejeitadas: 32% Cerca de 10 tentativas de relay não autorizadas por dia e 250 mensagens para usuários inválidos Esses dados indicam que cerca de 42% das mensagens recebidas são legitimas enquando que 58% tratam-se de vírus e spam. 42

43 Informações sobre o tráfego (1) 43

44 antispam.br (1) Site brasileiro, mantido pelo Comitê Gestor da Internet no Brasil (CGI.br) Fonte de referência sobre spam: Imparcial Alto embasamento técnico Função principal: Orientar usuários e administradores sobre o spam, suas implicações, formas de proteção e combate 44

45 antispam.br (2) 45

46 Conclusão Os filtros apresentaram um índice bom de acerto (100% para vírus e 95% para spam) no período de testes. Os usuários que desejarem aumentar o índice de acertos devem usar as listas de bloqueio e permissão. Espare-se que o número de máquinas infectadas por vírus e worms no campus caia O sistema é 100% OpenSource. Não há nenhum tipo de custo relativo a software 46