KULSYSMN [SPAM?] Products that can improve your life! 14 december 2006 Dirk Janssens LUDIT - KULeuvenNet 1
Overzicht Email setup K.U.Leuven Inkomende spam ƒ Centraal niveau ƒ Gebruiker niveau Uitgaande spam ƒ Problematiek ƒ Oplossingen? 2
Email setup K.U.Leuven smtps CAV KULeuven SMTP CAVUIT CAVIN Internet SMTP ƒ Ontvangst van KULeuven ƒ Doorsturen naar CAVUIT ƒ SMTPS server ƒ KULeuven disclaimer CAVIN ƒ Ontvangst van Internet ƒ Doorsturen naar CAVUIT CAVUIT ƒ Antivirus ƒ Spam classificatie ƒ Doorsturen naar KULeuven en Internet 3
Binnenkomende spam Geen perfecte oplossing ƒ Gebruikers willen alles kunnen ƒ Streng beleid Beste oplossing: combinatie ƒ centrale filter ƒ persoonlijke filter 4
Binnenkomende spam: centraal Cavin ƒ Elementaire checks ƒ RBL check ƒ Greylisting ƒ Recipient Verification Cavuit ƒ Anti-virus controle ƒ Spam classificatie 5
Binnenkomende spam: centraal Elementaire checks ƒ FQDN check RBL check (Realtime Blackhole List) ƒ Lijst van gekende ip adressen die spam versturen ƒ http://www.mail-abuse.org (Trend Micro RBL-plus lijst) Recipient Verification ƒ Probleem: Mails naar niet bestaande accounts Cavin weet enkel domeinnamen. Niet eenvoudig mogelijk om 1 lijst met alle individuele gebruikers op te stellen ƒ Oplossing: Cavin connecteert bij een binnenkomende mail naar de correcte achterliggende mailserver om te kijken of de account daar bestaat. ƒ Resultaat: Mails naar niet bestaande accounts worden volledig van het netwerk geweerd. (Op dit moment enkel voor centraal beheerde domeinen) 6
Binnenkomende spam: centraal Greylisting principe ƒ Feit: Deftige mailservers werken met mailqueue s en proberen na een tijdelijke foutmelding opnieuw te versturen ƒ Veronderstelling: Spammers negeren foutmeldingen en proberen niet opnieuw ƒ Actie: Geef een tijdelijke foutmelding indien er geprobeerd wordt een nieuwe email af te leveren aan de K.U.Leuven 7
Binnenkomende spam: centraal Greylisting praktisch ƒ Nieuwe email? IP adres contacterende mailserver Envelope email afzender Envelope email ontvanger ƒ Tijdelijke fout? Indien het mail-triplet nog niet voorkomt in de database Voeg triplet toe in de database met tijdsstempel van 1ste poging Geef een tijdelijke foutmelding Indien het mail-triplet voorkomt in de database <60 seconden sinds 1ste poging: tijdelijke foutmelding In alle andere gevallen: accepteer 8
Binnenkomende spam: centraal Greylisting problemen ƒ Eenmalige emails hebben een vertraging V.b. registratie emails ƒ Detectie van email clusters Analyse van de database entries ƒ Niet mogelijk om na te gaan of er ook reguliere mails geweigerd worden User feedback ƒ Hoelang triplets bijhouden? 9
Binnenkomende spam: centraal Greylisting oplossingen ƒ Email clusters Manuele whitelisting (telenet, gmail, skynet,...) Klasse C netwerkadres i.p.v. IP adres van contacterende mailserver ƒ Triplets Veronderstelling dat clusters binnen zelfde netwerk zitten Bijv: 123.124.125.126 -> 123.124.125.X 1 poging: na 3 dagen wissen Meerdere pogingen: na 21 inactieve dagen wissen 10
Binnenkomende spam: centraal Anti-virus controle ƒ McAfee Virusscan ƒ Updates elk uur met beta.dat file. ƒ Gekoppeld met auto-blokkeer systeem Spam classificatie ƒ SpamAssassin ƒ Score systeem 1000den testen met elk bepaalde score Eindscore is som van alle testen ƒ Pas subject van mail aan vanaf eindscore 5.0 ƒ Interne mail wordt nooit gemarkeerd als spam 11
Binnenkomende spam: gebruiker Verantwoord gebruik van email adres ƒ Oude emailadressen afsluiten (bijv.ac.be adressen) ƒ Tijdelijke emailadressen Email alias gebruiken (v.b. conferenties) Gratis service (b.v. http://www.mailinator.com) Persoonlijke spamfilter ƒ Zelflerend systeem Ingebouwd in mailclient (bijv. Thunderbird, Eudora, Outlook) Als extern programma Nuttige informatie: ƒ Ludit website https://ludit.kuleuven.be/info/spam/ ƒ Belgische portaalsite in strijd tegen spam http://www.spamsquad.be 12
Uitgaande spam: problematiek Spammers op zoek naar zombie pc s ƒ Misbruiken van zwakheden Klik hier voor gratis films!!! Virussen/Wormen Niet onderhouden webscripts (forums, gastboeken ) Historiek ƒ Emailvirus periode Heden: emailclients tonen niet direct meer alles ƒ Netwerk virus/worm periode Heden: Firewalls en antivirus produkten zijn gemeengoed ƒ Web misbruik periode Heden: in opmars Rest van presentatie gaat over webservers 13
Uitgaande spam: problematiek Misbruik webscripts ƒ Laatste maanden zeer sterk in opmars ƒ Zorgt ervoor dat K.U.Leuven mailservers op RBL lijsten komen Problemen bij reguliere uitgaande K.U.Leuven emails Praktijk webservers ƒ Vaak verkeerde inschatting van risico Niemand weet mijn pagina staan Wie zou dat nu kunnen misbruiken? De mensen het script geschreven hebben weten wat ze doen ƒ Correcter: Als een pagina bereikbaar is, wordt ze gevonden (v.b. google) Indien er een bug is, zal die vroeg of laat uitgebuit worden (v.b. bots) Mensen maken fouten 14
Uitgaande spam: oplossingen Doel: proactief werken ƒ Ideale oplossingen Niet haalbaar op korte termijn Vereist soms veel extra werk van gebruiker of systeembeheerder Herschrijven van applicaties ƒ Praktische oplossingen Haalbaar op korte termijn Bieden geen perfecte pro-actieve bescherming Lijken vaak beperkend in mogelijkheden Geen enkele individuele oplossing dekt alle scenario s 15
Uitgaande spam: oplossingen Voorbeelden praktische oplossingen ƒ Uitgaande mail quota per ip adres Verschillende instellingen Gebruiker ip Webserver ip Quota mogelijkheden X aantal connecties per tijdsinterval X aantal afleverpogingen per tijdsinterval X aantal ontvangers per tijdsinsterval ƒ Beperkte bestemmelingen voor webservers Enkel mail mogelijk naar maildomeinen die door K.U.Leuven worden afgehandeld Externe mail enkel indien er speciale header in mail voorkomt 16
Uitgaande spam: heden Huidige maatregelen ƒ Op centrale webserver Levert maar beperkt aantal mails af per tijdseenheid ƒ Analyse van CAV logfiles Waarschuwing indien een ip adres veel mails stuurt waarop veel bounces terugkomen Sinds gisteren automatische blokkering op kotnet ƒ Reactie op meldingen van spam AOL Client TOS notification Nood aan meer proactieve maatregelen 17
Uitgaande spam: toekomst Problemen gaan enkel toenemen ƒ Invloed op lokale systeembeheerders, gebruikers ƒ Heel wat mogelijk op centraal niveau Veel mogelijke oplossingen ƒ Welke zijn haalbaar? ƒ Wat is het meest effectieve? ƒ Welke problemen zijn er? Bedoeling van dit uitgaande spam stukje is om gezamelijke discussie en zoektocht naar werkbare oplossingen te starten 18
The End http://ludit.kuleuven.be/info/spam/ Meer info: sst@kuleuven.net 19