Qualidade no email Gustavo Neves - FCCN
Agenda Motivação Histórico Iniciativas dentro da TERENA SURFmailfilter EDUwhitelist RACE
Motivação SPAM constitui cerca de 38% dos incidentes de segurança tratados pelo CERT.PT em 2009 Spam now accounts for 90.4 percent of all e-mail, according to a report released Monday from security vendor Symantec. This means that 1 out of every 1.1 e-mails is junk. The report also notes that spam shot up 5.1 percent just from April to May. In http://news.cnet.com, 26 de Maio de 2009
Objectivos CURTO PRAZO: Avaliar interesse em prosseguir para futuras realizações conjuntas (sessão exploratória em próximas jornadas?) LONGO PRAZO: Melhorar a qualidade dos serviços de email na RCTS
Histórico Campanha em início de 2005 para promover a utilização de records SPF nos domínios da RCTS Trabalho a nível do ISP-Forum para troca de boas práticas a nível de serviços de email Throttling SPF Autenticação (...)
SPF na RCTS (há 4 anos) Domínio Feedback a 18-04-2005 String Usada Resultado 2-2-2006 Fc.up.pt softfail SPF string used: v=spf1 mx ip4:193.136.24.2 Softfail +exists:%{i}._.%{h}._.%{s}._.%{r}.spflog.fc.up.pt ~all. Up.pt -- SPF string used: v=spf1 mx ip4:193.137.55.20 Softfail ip4:193.137.55.21 +exists:%{i}._.%{h}._.%{s}._.%{r}.spftracker.up.pt ~all. Fe.up.pt -- SPF string used: v=spf1 mx ip4:193.136.28.34 Neutral ip4:193.136.28.33 +exists:%{i}._.%{h}._.%{s}._.%{r}.spftracker.fe.up.pt?all. Ipleiria.pt -- SPF string used: v=spf1 ip4:193.137.239.0/24 Neutral?all. Fc.ul.pt -- SPF string used: v=spf1 mx?all. Neutral Univab.pt Softfail SPF string used: v=spf1 mx a:193.136.111.4 Softfail a:193.136.111.7 a:193.136.111.8 a:193.136.111.9 a:193.136.111.11 a:193.136.111.15 a:193.136.111.19 a:193.136.111.30 ~all. Utad.pt -- SPF string used: v=spf1 mx?all. Neutral Uc.pt -- SPF string used: v=spf1 mx a:193.136.200.57 Neutral a:193.136.200.62?all. Uevora.pt Neutral SPF string used: v=spf1 ip4:193.136.216.0/22 Neutral ip4:193.137.216.0/22 ip4:193.137.176.0/21 ptr?all. Lnec.pt -- SPF string used: v=spf1 ip4:193.136.104.0/24 Neutral ~all. Iscte.pt -- SPF string used: v=spf1 ip4:193.136.188.3 mx Neutral?all. Ipb.pt Softfail SPF string used: v=spf1 ip4:193.136.195.220 Softfail ip4:193.136.195.224 +exists:%{i}._.%{h}._.%{s}._.%{r}.spflog.ip b.pt ~all. Ua.pt -- SPF string used: v=spf1 exists:%{r}.r.spf.ua.pt exists:%{ir}.i.spf.ua.pt exists:%{s}.s.spf.ua.pt exists:%{p}.p.spf.ua.pt exists:%{h}.h.spf.ua.pt mx ~all. Softfail Domínio String usada Resultado 2-2- 2006 Cert.pt hardfail Fccn.pt SPF string used: v=spf1 ip4:193.136.2.194 +exists:%{i}._.%{h}._.%{s}._.%{r}.spflo g.cert.pt -all. SPF string used: v=spf1 ip4:193.136.7.1 ip4:193.136.7.107 ip4:193.136.192.40 ip4:193.136.2.228 ip4:193.136.2.235 ip4:193.136.104.27 ip4:193.136.3.153 ip4:194.210.62.16 ip4:193.136.192.43 ip4:193.136.192.44 ip6:2001:690:a80:40 01::301 ip6:2001:690:1fff:30 0:260:8ff:fe55:8f92 +exists:%{i}._.%{h}._.%{s}._.%{r}.spflo g.fccn.pt -all. hardfail "v=spf1 ip4:194.210.0.0/16?all em 7,400 sub-domínios de rcts.pt
Iniciativas Internacionais A TERENA tem vindo a promover mais activamente a troca de conhecimentos no campo das boas práticas nos serviços de correio electrónico Realizada workshop subordinada ao tema improving the quality of email em Dezembro de 2009
Conclusões da workshop Perseguir o desenvolvimento de políticas comuns, boas práticas e standards Aquisição conjunta de um sistema comercial de filtragem de email TERENA membro do MAAWG (Messaging Anti-Abuse Working Group) em representação da sua comunidade Organização de outro encontro em 2010 para aprofundamento da discussão
SURFmailfilter Iniciativa da Surfnet CanIt da Roaring Penguin - http://www.roaringpenguin.com
SURFmailfilter SURFnet fornece configurações iniciais Tagging, scoring, thresholds, message-sizes, Administradores nas instituições podem fazer customizações por domínio, endereço, utilizador (Template/filter based.) Todas as instituições são um caso Universidades técnicas / não-técnicas utilizadores com diferentes níveis de expertise diferentes plataformas de email... Possível dar controle aos utilizadores finais, se assim for desejado
SURFmailfilter
SURFmailfilter
SURFmailfilter Mais informações: http://www.terena.org/activities/tfmsp/meetings/20091209-equal/equalsurfmailfilter02.pdf http://www.surfnet.nl/en/diensten/beveiliging/pag es/mailfilter.aspx
Whitelist para redes académicas Iniciativa UvA / SURFCert Objectivos primários: Reduzir o impacto negativo do anti-spam Permitir que o e-mail se mantenha viável na comunidade académica Objectivos secundários: Integração em iniciativas fora das redes académicas Provar eficácia em comunidades alargadas EDUwhitelist
Base de funcionamento V0.3, written in 2006 (!) Dá algumas garantias Não é um cheque em branco NREN/CSIRT Actualizações Respostas adequadas Tomar medidas quando necessárias Instituições Seguir a política
EDUwhitelist Mais informações http://www.terena.org/activities/tf- msp/meetings/20091209-equal/20090925-tf- Equal-JPV-EDUwhitelist.ppt.odp.pdf http://test.eduwhitelist.net/
RACE Iniciativa da RedIris para uniformizar boas práticas em serviços de e-mail na rede académica espanhola Conjunto de orientações independentes da implementação
RACE O RACE tem vários aspectos: É um guia dinâmico de boas prácticas actuais É uma metodologia de avaliação É uma estratégia uniformizada para uma comunidade utilizadora de email É uma linha orientadora para uma evolução conjunta E tem um pouco de jogo à mistura
Critérios RACE é composto de um conjunto de critérios técnicos Cada item tem um determinado peso, a que corresponde um certo valor em pontos Os critérios são revistos e actualizados periodicamente Os critérios não definem o modo de implementação Existem critérios obrigatórios Anti-relay Política de logs Record de reverse DNS Mailbox abuse e postmaster Controle de destinatários
Tipos de Critério Critério Encaminhamento SMTP Infraestrutura Segurança e autenticação Serviços Gerais Descrição Critérios relacionados com SMTP inbound Recursos necessários ao suporte de um serviço de email de qualidade Critérios de segurança para garantir integridade de autenticação e privacidade nos dados de mail Serviços básicos e de valor acrescentado Outros critérios
Critérios de Encaminhamento SMTP 55 Controle da porta 25 in/outbound SPF DNS record e verif. SPF Nº máx e mín. de destinatários Regras Anti-relay Políticas de Mail Log Encaminhamento SMTP 95 80 Controlo de user desc. Controlos de SMTP mail flow Reverse DNS records Limit. Tam. mensagem Whitelist
Critérios para Servidores SMTP Alta disponibilidade Load Balancing Sincronização NTP Servidores SMTP
Critérios de Segurança e Autenticação 60 60 Transacções int. Seguras (MTA) Transacções ext. Seguras (MTA) POPs, IMAPs seguros Segurança e Autenticação Autenticação central Serviço de submissão (587)
Critérios de Serviços Forwarding (-) -40 Atendimento automático 40 AUP de serviço de Mail Backup de mailboxes AntiVirus MTA Serviços Abuse,postmaster@ mailbox Acesso remoto seguro (Webmail, vpn, ssh tunnels) Mudança de password online AntiSpam MTA 85 Antispam à medida Serviço de Mailing list
Níveis de pontuação 2700 pontos Nível Avançado Nível Intermédio 1600 pontos 800 pontos Nível Básico 500 pontos Obrigatório
RACE Mais informações: http://www.terena.org/activities/tfmsp/meetings/20091209-equal/raceamst.ppt http://www.rediris.es/race/
Perguntas? Obrigado!