6. Tagung der DFN-Nutzergruppe Hochschulverwaltung

E-Mail-Organisation: Viren und SPAM-Abwehr

Jürgen WeißUniversität Oldenburg

Hochschulrechenzentrum

[email protected]

6. Tagung der DFN-Nutzergruppe Hochschulverwaltung

Sicherheit

Security is a process, not a product

Bruce Schneier

Siehe http://www.counterpane.com

Virus -Wall● E-Mail hat die Diskette als Hauptübertragungsweg von Computer-schädlingen aller Art ( Viren, Würmern und Trojanischen Pferden) längst abgelöst.

● Zur Zeit sind ca. 80000 Viren bekannt; die Anzahl nimmt ständig zu.Betroffen sind vorwiegend Windows-basierte Rechner. Die verschiedenenTypen von Viren reichen von harmlos bis extrem bösartig.

● 5 Exemplare verursachen 95% aller Infektionen

● Eine absolute Sicherheit wird auch durch die Anwendung von Viren-Suchprogrammen nicht erreicht !

● An der Universität Oldenburg gehen im Monat ca. 1200 infizierte Mails ein

Viren, Würmer, Trojaner und Hoaxes●Viren reproduzieren sich, indem sie den eigenen Programmcode in einWirtsprogramm einfügen. Das infizierte Programm übernimmt dann dieVerbreitung des Virus.

●Würmer sind eigenständig ablaufende Programme, die sich über die Infra-struktur des Netzes ausbreiten. Sie infizieren keine Wirtsprogramme, können aber durchaus andere Programme benutzen.● Trojanische Pferde sind Programme, die gewisse Funktionen vorgeben,gleichzeitig aber unerwünschte Nebenwirkungen haben. Im Gegensatz zuViren und Würmern existiert keine Vermehrungsfunktion. Sie sind auf manuelle Weitergabe durch den Anwender angewiesen oder werden von Crackern auf einen System installiert.

●Warnung vor Viren, die keine sind - sogenannte Hoaxes. Diese Warnungstellt den eigentlichen Virus dar. Sie verunsichert Anwender, fordertauf, harmlose Dateien zu löschen oder initiiert Kettenbriefe.

Begriffe

●MTA - Mail Transport Agent ist für die Bearbeitung und Weiterleitung derMails verantwortlich. Ähnlich einem Postamt. ( sendmail, postmail, exim ).

●MUA - Mail User Agent dient dem Anwender zur Erstellung der Mail. Ähnlich Papier und Stift. ( Outlook Express, Netscape, Pine, Pmail )

● LDA - Local Delivery Agent ist für die Ablage der E-Mail auf dem lokalen System zuständig.

MUA MTA MTA LDAMTA

● Relaying - Weiterleiten von Mails zwischen den Mail-Servern

Relaying

Mail Auslieferung im Detail

●Der Anwender konfiguriert seinen MUA ( Outlook Express, Netscape, usw ). Dabei trägt er einen Server (SMTP-Gateway) für ausgehende Mails, und eine IMAP/ POP-Server für eingehende Mails ein.

●Der Anwender erstellt eine Nachricht für [email protected] und betätigt den "Senden" - Button

●Der MUA baut eine TCP-Verbindung auf Port 25 zum SMTP-Gateway auf. Auf dem SMTP-Gateway horcht ein MTA auf Port 25 und beantwortet den Verbindungsaufbau. Es werden Empfängeradresse und Message-Header sowie Message-Body übertragen. Der Client baut die Verbindung ab und informiert über mögliche Fehler.


●Der MTA speichert die Mail zwischen . Hier wartet sie auf ihre weitere Verarbeitung.

●Zur Weiterverabeitung wird der Domainteil von der EMAIL-Addrese separiert. Der MTA führt eine DNS-MX Anfrage für uni-oldenburg.de an den Name-Server durch, der für diese Domaine authorisiert ist und erhält den Servernamen, z.B. mailsrv1.uni-oldenburg.de und die entsprechende IP-Adresse 134.106.87.10 zurück.

●Der MTA baut eine Verbindung zum Port 25 auf 134.106.87.10 auf. An den dort laufenden MTA werden Empfängeradresse und Message-Header sowie Message-Body übertragen.


●Der MTA auf mailsrv1.uni-oldenburg.de überprüft, ob er für die Domaine uni-oldenburg.de lokaler Server ist und sucht die Benutzerkennung meier ( /etc/passwd, NIS,LDAP).

●Der LDA auf mailsrv1.uni-oldenburg.de hängt die Mail an die persönliche Mailbox des Benutzers meier an ( /var/mail/meier).

●Der Auslieferungsvorgang ist damit abgeschlossen. Wie die Mail auf den Rechner des einzelnen Benutzers kommt, ist nicht

Aufgabe des MTA.

Simple Mail Transfer Protokoll – SMTP

# telnet mailsrv1.hrz.uni-oldenburg.de 25Trying 134.106.87.10...Connected to mailsrv1.hrz.uni-oldenburg.de (134.106.87.10).Escape character is '^]'.220 mailsrv1.hrz.uni-oldenburg.de ESMTP Sendmail 8.12.8/8.12.8; Mon, 5 May 200311:22:17 +0200HELO test250 mailsrv1.hrz.uni-oldenburg.de Hello alibaba.hrz.uni-oldenburg.de [134.106.68.247], pleased to meet youMAIL FROM: [email protected] 2.1.0 [email protected]... Sender okRCPT TO: [email protected] 2.1.5 [email protected]... Recipient okDATA354 Enter mail, end with "." on a line by itselffrom: [email protected]: [email protected]: Big Deal

Hi Tonylets make a big deal !.250 2.0.0 h459MHXC014811 Message accepted for deliveryquit221 2.0.0 mailsrv1.hrz.uni-oldenburg.de closing connectionConnection closed by foreign host.

Versenden von Mail an Port 25

Ablage der Mail auf dem Server

From [email protected] Mon May 5 11:32:14 2003Return-Path: <[email protected]>Received: from test (alibaba.hrz.uni-oldenburg.de [134.106.68.247])by mailsrv1.hrz.uni-oldenburg.de (8.12.8/8.12.8) with SMTP id h459MHXC014811for [email protected]; Mon, 5 May 2003 11:23:54 +0200Date: Mon, 5 May 2003 11:22:17 +0200Message-Id: <[email protected]>from: [email protected]: [email protected]: Big Deal

Hi Tonylets make a big deal !

Mail aus Sicht des Anwenders

Virenprüfung im Detail

Wo können wir bei der Prüfung ansetzen ?

● MUA -Der Benutzer installiert auf seinem Rechner einen Virenscanner.

●LDA - Das Programm auf dem Mail-Server, das für die lokale Ablage zuständig ist wird gegen einen Virenscanner ausgetauscht oder damitkombiniert.

●MTA - Dem MTA wird ein SMTP-Gateway vorgeschaltet, der an seiner Stelle auf Port 25 horcht, auf Viren scannt und dann an dem originären MTA weiterleitet.

MUA - Prüfung auf dem lokalen Rechner

●Es existieren eine Vielzahl von käuflichen und freien Virenscannern ( McAfee, Trend Micro, H+BEDV, Sophos uvm. )

● Es werden alle Dateien - nicht nur Mails - überprüft

●Nicht alle Anwender installieren Virenscanner●Unterlassene Updates der Virendatenbank wiegen den Anwenderin scheinbarer Sicherheit●Lizenzkosten

Realisierung:

Vorteile:

Nachteile:

LDA - Prüfung der lokalen Mail

●Es steht eine größere Anzahl von Programmen zur Verfügung.Bespielhaft seien Amavis (A Mail Virus Scanner ) und virge zu nennen

● Überprüfung der Mails an einer zentralen Stelle● Update der Virendatenbank an zentraler Stelle

●Erhöhter Konfigurationsaufwand. Erfordert detaillierte Kenntnisse überdas Zusammenspiel zwischen MTA und LDA.●Es werden nur lokale Mails geprüft. Bei Relaying unterbleibt eine Prüfung.●Performance Probleme●Lizenzkosten ( 2 EUR pro Mailbox - ca. 30 000 EUR )

Realisierung:

Vorteile:

Nachteile:

LDA Performance

Scanner

VirenDB

Scanner

VirenDB

Klassische Arbeitsweise●Der Scanner lädt einmalig dieVirenDB●Es werden viele Dateien geprüft.

Scanner

VirenDB

Scanner

VirenDB

● Für jede zu analysierende Mail wird der Scanner gestartet und dieDatenbank erneut geladen●Die Scanner werden häufig unter Nutzung von Script-Sprachen (Perl)eingebunden

MTA - SMTP Gateway

● Kommerzielle Lösungen von Sophos, Trend Micro

● Überprüfung der Mails an einer zentralen Stelle● Update der Virendatenbank an zentraler Stelle● Einfache Installation

● Kann in der Default-Konfiguration als Open-Mail-Relay genutzt werden● Lizenzkosten

Realisierung:

Vorteile:

Nachteile:

MTA - SMTP Gateway

MTA925SMTPGateway25

MTA25

Auf dem Server wird der MTA ersetzt durch das SMTP-Gateway, das den Vorgang des Virenscannens übernimmt. Die Virendatenbankwird einmal beim Startup durch das SMTP-Gateway geladen.

MTA - SMTP Gateway

MTA925SMTPGateway25MTA25

Ein SMTP-Gateway besitzt selten die volle Funktionalität eines MTAs. Um diese auf dem lokalen Server zu gewährleisten, ist es ratsam, den ausgetauschten MTA nachzuschalten.

Um den Mißbrauch als Open-Mail-Relay zu verhindern, ist es zwingend erforderlich einen MTA vorzuschalten, der eine komplexe Zugriffslisten-verwaltung erlaubt.

Die obige Konfiguration ist an der Universität Oldenburg realisiert.

Es ist notwending die Virusdatenbank täglich zu aktualisieren !

MTA - SMTP Gateway in Oldenburg

MTA925SMTPGateway25MTA25

mailgate.uni-oldenburg.de smtpsrv1.uni-oldenburg.de

Mailgate ( Linux RedHat 8.0)●MTA sendmail konfiguriert als nullclient

Smtpsrv1 (Linux RedHat 8.0)●SMTP-Gateway mmsmtpd Version 1.2.2 der Firma Sophos●MTA sendmail

Vorteil: Da über die Universität Braunschweig eine Landeslizenz mit der Firma Sophos ausgehandelt wurde entstehen nahezu keine Zusatzkosten.

Funktionalitätsprüfung

Testvirus: eicar.com ( http://www.eicar.org )

Völlig ungefährliche ASCII Datei, deren Fingerprint von jedem Scannererkannt wird.

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Was passiert bei einer Infektion ?

Der Absender erhält eine Mail, dass sein System infiziert ist●Information, um welchen Virus es sich handelt

Wird eine infizierte Mail gefunden, so werden folgende Aktionen durchgeführt

Der Empfänger erhält eine Mail, dass ihm eine infizierte Mail zugestellt werden sollte. Es wird häufig zur Diskussion gestellt, ob dies notwendig ist !

●Information, um welchen Virus es sich handelt●Das Subject der Mail●Wer der Absender der Mail warAuf dem SMTP-Gateway-Server werden Log-Dateien abgelegt

●Information, um welchen Virus es sich handelt●Zeitpunkt des Empfangs und des Servers, von dem die Mail kam●Der Absender und der Empfänger●Die infizierte Mail wird in Quarantäne genommen

Optional werden postmaster des sendenden und empfangenden Servers informiert

Log - Datei<log logname="action" tid="34851" time="Fri Feb 22 13:35:01 2002" >Message quarantined<P/>Refer to /var/log/mmsmtp/quarantine/qrt.XX6CslZW<P/>Job description:Client: mailgate.uni-oldenburg.de [134.106.87.6]Server: smtpsrv1.hrz.uni-oldenburg.de [134.106.87.8]:925Sender: <[email protected]>Recipients: <[email protected]>Email data:MessageID: <[email protected]>From: 3demons_fire <[email protected]>To: [email protected]: Subject: Please try againScanning part []

Scanning part []Virus identity found: W32/Klez-G

</log>

Viren Bemerkung

Eine infizierte Mail enthält für gewöhnlich keine für den Empfängerrelevante Information.

Die Infektion erfolgt durch ungeprüfte Ausführung von Mail-Anhängen(attachments).

SPAM MailBelästigung durch unverlangt zugeschickte Mails

Spam, eine Kurzform für "Spiced Pork and Ham", bezeichnet eigentlich einrechteckiges und in Dosen gepreßtes Frühstücksfleisch. Seine unrühmlicheKarriere als Metapher für Massenversand jeder Art verdankt die Speise einemSketch der britischen Komiker Monty Pyton. Darin müssen Besucher eines Restaurants einsehen, daß es vor SPAM kein Entrinnen gibt.

Adressen stammen aus einschlägigen News-Groups, die aus ihrer Affinitätzu bestimmten Themen keinen Hehl machen. Daher fällt eine Zuordnung(Motorradfahrer, Vegetarier, Linux-Anwender) nicht schwer.

Laut Gerichtsurteil gelten in Newsgruppen publizierte eMail-Adressen alsAllgemeingut der Internet-Benutzer.

Es werden Datenbanken mit 500000 eMail-Adressen aufgelistet nach Themen inklusive Software angeboten.

SPAM Source-Filter

Open Relay-Blacklists enthalten Mail-Server die von überall Mailsentgegen nehmen.

Die Unzahl von Blacklists, die verwirrende Vielfalt und die zunehmende Zahl

von Unschuldigen die geblockt werden, führen zu dem Schluß, daß allein damit

kein sicherer SPAM-Schutz möglich ist.

Mails von gefälschten, nicht existierenden Domainen ablehnen

Blacklists enthalten Domainen von denen SPAM-Mails verschickt wurden●Nutzen Anwender diesen Server, so wird auch deren Mail nicht zugestellt●Blacklists sind leicht zu umgehen●Der Eintrag in eine Blacklist ist nicht immer kontrolliert●Die Austragung aus einer Blacklist ist schwierig

SPAM Content-Filter

Suche nach Auffälligkeiten im Message-Header und Message-Body

● Money, rich, big deal● Teens, Young, Viagra● Kein Betreff, grosse Fonts, Betreff enthält mehrere Ausrufezeichen

Es wird der gesamte Inhalt einer Mail überprüft.

Der Datenschutzbeauftragte ist im Vorfeld zu informieren.

SPAM-Filter im Detail

Wo können wir bei der Prüfung ansetzen ?

● MUA -Der Benutzer abonniert mehrere Blacklists.

●LDA - Das Programm auf dem Mail-Server, das für die lokale Ablage zuständig ist wird mit dem SPAM-Filter kombiniert.

●MTA - Der MTA wird mit einem SPAM-Filter kombiniert.

MUA -Der Benutzer übernimmt die Filterung

● Es existiert eine Vielzahl von freien und kommerziellen Blacklists ( http://spamcop.net/bl.shtml, http://info.webtv.net/spam)

● Schnell zu realisieren

● Welche Liste erbringt die erwünschte Leistung● Blacklists sind relativ leicht zu umgehen● Es werden unter Umständen Unschuldige geblockt

Realisierung:

Vorteile:

Nachteile:

LDA - Filterung der lokalen Mail

●Einsatz des OpenSource Programms SpamAssassinhttp://www.spamassassin.org

●Selektive Filterung für einzelne Anwender möglich●Einverständniserklärung des Empfängers möglich●Filter werden zentral zur Verfügung gestellt●Entscheidungshilfe für Anwender

●Erhöhter Konfigurationsaufwand. ●Es werden nur lokale Mails geprüft. Bei Relaying unterbleibt die Filterung.●Performance Probleme

Realisierung:

Vorteile:

Nachteile:

MDA – zentrale Filterung Mail

●Einbinden des SPAM-Filters in die MDA-KonfigurationFür sendmail geschieht dies durch milter

● Filterung aller Mails

●Erhöhter Konfigurationsaufwand oder Programmieraufwand. ●Keine selektive Filterung für einzelne Anwender möglich.●Keine Einverständniserklärung des einzelnen Empfängers möglich●Datenschutzrechtlich umstritten

Realisierung:

Vorteile:

Nachteile:

SpamAssassin – Arbeitsweise 1

Führt mittels vieler Module Tests an einer Mail durch und bewertet jedenTest nach einem Punktesysteme. Je mehr Punkte eine Mail erhält, um sogrösser ist die Wahrscheinlichkeit, dass es sich um SPAM handelt.

Die Liste der Tests ist für jeden offen einsehbar unterhttp://www.spamassassin.org/tests.html

Über eigene Blacklists können Domainen automatisch abgewiesen werden

Whitelists ermöglichen die Zustellung aus SPAM-Domainen

SpamAssassin FilterFrom [email protected] Sun May 4 13:34:46 2003Return-Path: <[email protected]>Received: from smtpsrv1.hrz.uni-oldenburg.de (smtpsrv1.hrz.uni-oldenburg.de [134.106.87.8])by mailsrv1.hrz.uni-oldenburg.de (8.12.8/8.12.8) with ESMTP id h44BYkXC001254for <[email protected]>; Sun, 4 May 2003 13:34:46 +0200Received: from smtpsrv1.hrz.uni-oldenburg.de (localhost.localdomain [127.0.0.1])by smtpsrv1.hrz.uni-oldenburg.de (8.12.8/8.12.8) with ESMTP id h44BZSVa000455for <[email protected]>; Sun, 4 May 2003 13:35:28 +0200Received: from mailgate.uni-oldenburg.de ([134.106.87.6])by smtpsrv1.hrz.uni-oldenburg.de (MailMonitor for SMTP v1.2.2 ) ;Sun, 4 May 2003 13:35:28 +0200 (CEST)Received: from mail146.yankeweb.org ([198.79.131.146])by mailgate.uni-oldenburg.de (8.12.8/8.12.8) with SMTP id h44BZ6gb002961for <[email protected]>; Sun, 4 May 2003 13:35:06 +0200To: [email protected]: Sun, 4 May 2003 08:49:59 -0500Message-ID: <[email protected]>X-Mailer: Mulberry/2.0.6b4 (Linux/x86)From: [email protected]: [SPAM] Make Extra Money filling out surveys!!! isoxgofhX-Spam-Status: Yes, hits=12.8 required=5.0tests=PLING_PLING,NO_REAL_NAME,PLING,YOUR_INCOME, RCVD_IN_OSIRUSOFT_COM,X_OSIRU_SPAMWARE_SITEversion=2.31

Subject: [SPAM] Make Extra Money filling out surveys!!! isoxgofhX-Spam-Status: Yes, hits=12.8 required=5.0tests=PLING_PLING,NO_REAL_NAME,PLING,YOUR_INCOME, RCVD_IN_OSIRUSOFT_COM,X_OSIRU_SPAMWARE_SITEversion=2.31X-Spam-Flag: YESX-Spam-Level: ************X-Spam-Checker-Version: SpamAssassin 2.31 (devel $Id: SpamAssassin.pm,v 1.94.2.2 2002/06/20 17:20:29 hughescr

Exp $)

SPAM: ------------- Start der SpamAssassin Auswertung ---------------SPAM: SPAM: Diese Mail ist wahrscheinlich Spam. Die Orginal-Nachricht wurdeSPAM: geaendert, so das Sie aehnliche Mails in der Zukunft besserSPAM: erkennen und blockieren koennen.SPAM: Weitere Detals finden Sie unter der URL http://spamassassin.org/tag/.SPAM: SPAM: Details der Inhaltsanalyse: (12.8 Punkte, 5 benoetigt)SPAM: PLING_PLING (0.8 points) Subject: enthaelt mehrere AusrufezeichenSPAM: NO_REAL_NAME (0.5 points) From: enthaelt keinen echten NamenSPAM: PLING (0.1 points) Subject: enthaelt ein AusrufezeichenSPAM: YOUR_INCOME (4.4 points) BODY: Doing something with my incomeSPAM: RCVD_IN_OSIRUSOFT_COM (2.0 points) RBL: Empfangen von einem Relais in der relays.osirusoft.com

ListeSPAM: [RBL check: found 146.131.79.198.relays.osirusoft.com., type: 127.0.0.6]SPAM: X_OSIRU_SPAMWARE_SITE (5.0 points) RBL: DNSBL: Sender ist eine Spamware-Site oder -HerstellerSPAM: SPAM: ---------------- Ende der SpamAssassin Auswertung -----------------

How would you like to earn $50 for completing a short survey?

What about $100 for an hour of your time participating in a focus group?

http://www.getspacenow.com/opps55/

SpamAssassin

procmail

spamc Der Daemon spamd wird einmal gestartet●Der Daemon lädt die SPAM-Tests

● Für jede zu analysierende Mail wird das Kommando gestartet ● Wahlweise kann eine als SPAM identifizierte Mail in ein gesonderten Ordner abgelegt werden

spamd

Das Kommando spamc prüft die Mail● procmail ruft bei jeder Mailzustellung spamc auf.

Eingabe durch Anwender

Warum Open Source ?

Keine Lizenzkosten

Source Audit●Da die Programme als Quelle vorliegen, können Sie die Funktionalitätexakt überprüfen

Source Modification●Sie können Teile der Quelle modifizieren, falls bestimmte Funktionen nichtihren Vorgaben entsprechen

Validation●Da die Programme als Quelle vorliegen, können Sie genau definieren, wasein Programm kann oder nicht kann.

Open Source System sind zu "härten" - gegen Eindringlinge zu schützen.

Zusätzliche Sicherheitsaspekte

Selektives Sperren von Port 25 auf dem Zugang zum Internet ( Firewall )

Über MX Records die Mailserver in Ihrer Domaine zwingen●physik.uni-oldenburg.de IN MX mailgate.uni-oldeburg.de

Sicherung auf der Nachrichtenebene durch Verschlüsselung ●Benutzung von PGP (Pretty Good Privacy ) oder S/MIME - wichtig !●Erhöhung der Vertraulichkeit im Authentifizierungsprozeß durch imaps

Sicherung des Datenverkehrs von Server zu Server●Kommunikation über TLS-Kanäle ( Transport Layer Security )● Erhöhung der Vertraulichkeit im Authentifizierungsprozeß durch imaps

Danke für die Geduld

Fragen ???

6. Tagung der DFN-Nutzergruppe Hochschulverwaltung

Documents

Transcript of 6. Tagung der DFN-Nutzergruppe Hochschulverwaltung