Embed Size (px)
Citation preview
1
Universidad de Oviedo, 20 de Noviembre de 2007
Grupo de Correo Electrónico
IRIS-MAIL/27
2
Temas IRIS-MAIL
Políticas de correo de Hotmail Jaime Esteban Saez, (Microsoft)
Nolisting. Introducción y datosJorge Revuelta (EHU.ES)
Propuesta Servicio AntiSpam para Comunidad RedIRIS
Jesús Sanz de las Heras (RedIRIS)
RACE: Calidad en el Servicio de Correo Electrónico
Jesús Sanz de las Heras (RedIRIS)
3
Servicio anti-spam para la Comunidad
RedIRIS
Propuesta de
4
INTRODUCCION
Modelo de servicio para Comunidad RedIRIS
5
Evolución del spam
Spam1.0 Spam2.0 Spam3.0
Qué se distribuye Distribución molesta de publicidad, similar al correo postal
•Distribución masiva de productos: Viagra ,prestamos, sexo etc.
•Aparición gusanos/virus
• Distribución masiva++. Converge con el fraude económico.• Aparición de spam en imágenes, pdf etc.• Convergencia virus-gusanos-spam
Direcciones email Recolección rudimentaria de direcciones
Recolección masiva de direcciones vía web
•Ataques de diccionario en los relays•Intercambio, compra/venta
Cómo Open-relay (fallo del protocolo)
Uso de vulnerabilidades en web: cgi, php, open-proxies, sockets
Open-proxies BOTNETs
Soluciones • Filtros de contenidos rudimentarios
• DNSbl: open-relay
• Filtros de contenidos bayesianos, multilingües
• DNSbl: basadas en denuncias,
zombies•Adaptación de Filtros de contenidos• Evolución de DNSbl: zombies/bots• Redes de bots v.s. redes de spamtraps
6
Reducción del spam
Magnitud de los zombies
Algunos datos de zombies (botnets) *
Nuevos bots por día 500.00
Nº de bots en un momento cualquiera 6-8 millones
Tiempo de vida medio de bots 2-3 horas
Nº bots actuando en un acción 10.000-200.000
Nº mensajes enviados por una botnet 80 millones/hora
85% del spam es enviado desde zombies* Datos: “Email Threats Trend Report” Octubre 2007. Commtouch
Bloqueo SMTP zombies
Avisos IP zombies
Zombies son la principal causa del spam
Identificación de zombies
7
Posibles modelos de Servicio
Modelo de servicio para Comunidad RedIRIS
Reputación vs contenidos
8
Posibles Modelos : Reputación vs contenidos
RedIRIS
Universidad
DNS
Modelo indirecto: ZonasDNSModelo indirecto: ZonasDNSModelo directo: MXcentralModelo directo: MXcentral
consulta
Reputación IP
Contenidos
Antispam
Antivirus
respuesta
Co
ne
xió
n S
MT
PConexión SMTP
Conexión S
MTP
univ.es
univ.es MX 10 mx.rediris.es univ.es MX 10 mx.univ.es
Reputación IP
Filtros contenidos + reputación Sólo reputación DNS
RedRed
9
Reputación vs contenidosReputación origen Filtros de contenidos
Fuentes Basado en la IP origen Basado en el contenido
Transacción SMTP Bloqueo transacción SMTP * Transacción SMTP completa
Código de error Devuelve un código de error No devuelve código de error o quarentena
Destinatario El mensaje no llega al destinatario El mensaje siempre llega al destinatario
Seguridad Correo malicioso no entra en la red Correo malicioso entra en la red
Recursos sistema Reduce los recursos anti-spam de los sistemas
Aumento continuo de los recursos anti-spam de los sistemas
Recursos red Reduce el ancho de banda No reduce el ancho de banda
Adaptación Datos de IP en tiempo real Los contenidos se tienen que adaptar: imágenes, pdfs, urls
Falsos positivos El emisor recibe instrucciones El emisor no recibe nadaEl mensaje se almacena en cuarentena
* Interrupción es la acción recomendada.
10
Servicio anti-spam para Comunidad RedIRIS
Propuesta de
SARA: Servicio Anti-spam para Red Académica
11
CriteriosObjetivos del modelo Descripción
Efectividad Debe ayudar a reducir el spam 70-90%
Falsos positivos Ninguno y en caso de existir rápidos de solucionar
Escalable Fácil de ajustar al crecimiento
Sencillo Fácil de utilizar y configurar por parte de clientes
Respetuoso con políticas de clientes
El cliente es quien decide lo que es spam y lo que se hace con él
Robusto a fallos En caso de disrupción del servicio no debe afectar el correo en los clientes
Soporte: nivel medio Tecnología conocida. Enfocado a responsables del servicio no a usuarios finales
Abierto Debe complementarse con Proyectos RedIRIS (spamtraps, ListaBlanca..)
Reporting de incidentes Detección y aviso de IPs comprometidas
Coste 24x7 Costes para un Servicio 24x7
12
Posibles Modelos : MX central vs ZonasDNS
RedRed
RedIRIS
Universidad
DNS
consulta
Reputación IP
Contenidos
Antispam
Antivirus
resp
uest
a
Co
ne
xió
n S
MT
PConexión SMTP
Conex
ión
SMTP
Univ.es
Necesario modificar MX RR No es necesario modificar MX RR
Reputación IP
univ.es MX 10 mx.rediris.es univ.es MX 10 mx.univ.es
Modelo directo: MXcentralModelo directo: MXcentral Modelo indirecto: ZonasDNSModelo indirecto: ZonasDNS
13
Evaluación criterioOpción A: MxCentral Opción B: ZonasDNS ***
Contenidos * Reputación **
Efectividad Falsos positivos Escalable Sencillez clientes Robusto a fallos Soporte: de nivel medio Abierto Reporting de incidentes Resolución de problemas Coste 24x7
* Appliance tipo Optenet, F-Secure etc.
* * Appliance IRONPORT
*** Software RKS (Simplicita/Sandvine). Probado
14
Zonas DNS de Reputación
Propuesta de
SARA: Servicio Anti-spam para Red Académica
Modelo de servicio para Comunidad RedIRIS
15
Objetivo
Generar una bbdd de IPs con buena y mala reputación (blancas y negras)
Disponer de fuentes de datos para crearla Agregar diferentes fuentes de datos para
generar esta bbdd Reflejar esta bbdd en diferentes zonas DNS
con reputación de IP Zonas DNS gestionadas desde RedIRIS
Creación de Zonas DNS
IP
IP
IP
IP
IP
IP
IP
IP
IP
IP
IP
IP
IP
IP
IP
IP
DNS
softsoftmediummediumhardhard
SARA:Servicio AntiSpam Red Académica
IP
IP
IPIP
IP
IP
IP
IP
IP
IP
IP
IP
IPIP IP
IP
IPIP
Disponer de fuentes de datos de IP
Agregar diferentes fuentes de datos
Generar una bbdd de IPs
con buena y mala reputación
Reflejar bbdd en diferentes
zonas DNS con reputación de IP
IP
IP
IPIP
IP
IPIP
IP
17
SARAServicio AntiSpam
Red Académica
….
Servicio de Reputación de IPs (RKS)
Fuentes de Información
Fuentes de Información
Tabla de Reputación
Tabla de Reputación
Tabla de Reputación
Tabla de Reputación
[port 53]
DNSbl server
Fuentes de Información
Fuentes de Información
Tabla de Reputación
InterfacePort 8888
Mo
del
o g
ener
al R
KS
DN
S
softsoft
medium
medium
hardhard
18
Servicio ListaBlanca
RedIRIS
Mecanismo funcionamiento
SMTP zombie
DNS
softsoftmediummediumhardhardSMTP
SARAServicio AntiSpam Red Académica
Envía spam a
direcciones de
Universidad
Universidad
Envía spam a
direcciones de
spamtraps
Red de spamtraps RedIRIS
IP
Consulta DNS
¿Esta la IP en
la zona?
tiempo real
exclusiones
inclusiones
Fuentes de datos externas
Spamhaus…
rsync
19
Fuentes de información: TIPOS (1)
Externas Reactivas
IPs demostradamente infectadas por virus de distribución de spam (mass mailing virus) eg: CBL, XBL.spamhaus
IPs demostradamente emisoras de spam eg: SpamCop,NJABL, SBL.spamhaus
Acceso: Comerciales y gratuitas Proactivas
Rangos de IPs que no debería enviar correo sin autenticar a otros relays excepto los proporcionados específicamente por el ISP del cliente eg: DUL.sorbs, PBL.spamhaus
Acceso: Comerciales y gratuitas
PropiasSpamtraps. Recogida de IPs a través de direcciones no existentesRecolector de denuncias. Recogida de IPs a través del spam
recibido por usuariosFicheros de Logs
20
Criterios de selección de fuentes de datos Políticas conocidas y alineadas con objetivos Sin falsos positivos Prestigio en los círculos técnicos
Fuentes de Datos comerciales + efectivas , + seguras, +reconocidas
Fuentes de información: CRITERIOS (2)
Comerciales Gratuitas
Spamhaus * CBL
Spamcop * DSBL
Sophos SORBS
Habeas Spamcop *
TrendMicro NJABL
* Acceso DNS gratuito
21
Fuentes de información: EFECTIVIDAD (y 3)
Periodo: 1-10 Noviembre
IPs de DNSbls localizadas en RedIRIS spamtraps
22
Reporting
Alertas
AgregaciónNormalizaciónIndexaciónPublicación
DTS
DNSbl server
ListaBlanca Spamtraps
Eventos de reputación
Ficheros de Log
Modelo de operación RKS
127.0.0.2 127.0.0.3127.0.0.4 127.0.0.5
127.0.0.6
.dnsbl.rediris.es
DNS
softsoftmediummediumhardhard
Servicio AntiSpam Red
Académica
SA
RA
Excepciones
23
Spamtraps
Ficheros de Log
DNSbls externas
Universidad A
Universidad B
Institución
Esquema del modelo de Servicio
ListaBlanca
Tiempo Real DNS
softsoft mediummedium hardhard
SARAServicio AntiSpam Red Académica
24
Modelo de Servicio Varias modelos en función de Fuentes de datos (FD):
Selección Combinación
Con las actuales FD internas de RedIRIS (spamtraps) la efectividad sería muy baja
Es necesario reforzar con FD externas para alcanzar los niveles deseados
Modelo Fuentes de datos
Modelo máximo Spamhaus + Habeas + Sophos + TrendMicro
Efectividad: Muy alta +
Modelo intermedio Spamhaus Efectividad: 80-90%
Modelo mínimo CBL+DUL+spamcop +… Efectividad: 75-80%
25
Fuentes de datos: Gratuitas Combinación: CBL + DUL + spamtraps – ListaBlanca – excepciones Zonas:
zonaSOFT: CBL+spamtraps-listablanca-excepcioneszonaHARD: zonaSOFT+DUL
FD Reactivas: CBL. Exclusivamente dedicada a IP infectados por virus de distribución de
spam (mass mailing virus, open-proxy,trojan…) CBL no incluye open-relays ni IP que simplemente envian spam.
FD Proactivas DUL. Rangos de IPs dinámicas asignadas a usuarios. Entradas son añadidas
por SORBS e ISPs FD Internas
Spamtraps. IPs recogidas por RedIRIS Excepciones. IP excluidas procedentes de posibles f.p. ListaBlanca. IPs de confianza bajo política del Foro ABUSES
Modelo 1
26
Reporting
Alertas
AgregaciónNormalizaciónIndexaciónPublicación
DTS
DNSbl server
ListaBlancaSpamtraps
Eventos de reputación
Modelo 1: Fuentes de datos grtuitas
127.0.0.1
.dnsbl.rediris.es
DNS
softsofthardhard
Servicio AntiSpam Red
Académica
SA
RA
Excepciones
27
Fuentes de datos: Gratuitas + licenciadas Combinación: XBL + SBL + PBL + spamtraps – ListaBlanca –
excepciones Zonas:
zonaSOFT: xbl+spamtraps-listablanca-excepcioneszonaMEDIUM: zonaSOFT+SBLzonaHARD: zonaMEDIUM+PBL
FD Reactivas: XBL: XBL: Exclusivamente dedicada a IP infectados (=CBL gratuita) SBL: IPs demostradamente emisoras de spam
FD Proactivas PBL: Rangos de IPs dinámicas asignadas a usuarios
FD Internas Spamtraps. IPs recogidas por RedIRIS Excepciones. IP excluidas procedentes de posibles f.p. ListaBlanca. IPs de confianza bajo política del Foro ABUSES
Modelo 2: Fuentes de datos comerciales
28
Reporting
Alertas
AgregaciónNormalizaciónIndexaciónPublicación
DTS
DNSbl server
Eventos de reputación
Modelo 2: Fuentes de datos comerciales
.dnsbl.rediris.es
DNS
softsoftmediummediumhardhard
Servicio AntiSpam Red
Académica
SA
RA
ListaBlancaSpamtraps
Excepciones
29
Zonas DNS de Reputación
Propuesta de
Comparativa de DNSbl como Fuentes de Datos
Encuesta RedIRIS
Modelo de servicio para Comunidad RedIRIS
30
Modelo 1. Datos Bloqueo y almacén
Almacenadas: Nº y % De direcciones IP en la bbdd
Localizadas: Nº y % de Ips localizadas (bloqueadas) en la zona
Consultas: Nº de consultas de IP = Nº de conexiones SMTP (200 queries/min)
Datos con tráfico real: UBU,IAC y RedIRIS
Periodo: 1-7 Noviembre
31
Modelo 1: Datos de uso
Datos comparativos UNIZAR
Modo detección Detectados % spam detectado
% spam no detectado
Spamcop 145196 63,96% 34,73%
soft.rediris 151094 66,56% 32,13%
Spamhaus 157528 69,39% 28,3%
hard.rediris 186178 82,01% 16,8%
Bogofilter * 224033 98,69%
* Sistema de filtros de contenidos
32
Mas comparativas…
DNSbl % spam detectado % ham detectado
Zen.spamhaus 93% 0%
Spamcop 74% 0%
Psbl.Surriel 47% 1%
APEWS 91% 18%
21 días 218668 spams 2303 hams
Datos extraídos de stats.DNSBL.com
Fecha: 16 Noviembre 2007
33
http://stats.dnsbl.com/
spamhaus: 94% CBL: 82%
spamcop: 80%
DSBL:7%
34
Encuesta RedIRIS sobre
modelo Objetivo…conocer en las Instituciones:
El nivel de uso de las DNSbl Cuales DNSbls están utilizan Qué acciones son las mas habituales Interés en utilizar un Servicio anti-spam basado en Interés en utilizar un Servicio anti-spam basado en
reputación de RedIRISreputación de RedIRIS Otros datos colaterales:
Uso de SPFUso del Servicio de Listas Blancas de RedIRIS
35
36
Resultados Encuesta
Muestra: 65 Instituciones74% usa RBLs
80% bloquean
82% usaría Servicio RedIRIS
84 usa ListaBlanca
78 tiene registro SPF
37
Zonas DNS de Reputación
Propuesta de
Conclusiones
Modelo de servicio para Comunidad RedIRIS
38
Modelo de Servicio RedIRIS
Servicio bajo demanda Ofrecería
Varias zonas DNS de reputación Reducción 75-85% del spam (80-90% Spamhaus) Reporting e incidencias de IPs comprometidas Gestión en RedIRIS de posibles falsos positivos
A través del report de error con url y mailA través de Página web para eliminación
Perspectivas de servicio: 3 años
39
1. Contribuirá a reducir el spam en > 75-85% Usando Spamhaus/comercial … 85-90% Es un porcentaje similar utilizándolo vía DNS ¿Qué aporta?
2. Gestionado directamente desde RedIRIS3. Reducir el número de consultas DNS
una única consulta DNS permitiría disponer de datos de diferentes RBLs, spamtraps RedIRIS y de la ListaBlanca de RedIRIS
4. Reducción del tiempo de consulta DNS5. Incluye las IPs de ListaBlanca de RedIRIS
Universidades, centro de investigación Proveedores nacionales
Ventajas del Servicio (1)
40
6. Facilita la rápida resolución de posibles falsos positivos
Generación de reports con mail y urls El propio cliente podría darla de baja de forma
inmediata (5-10min)7. Respetuoso con políticas y configuraciones
Reforzará las medidas anti-spam de la instituciones8. Tecnología conocida que genera confianza9. Sencillo de utilizar, configurar e integrar
Ventajas del Servicio (2)
41
10. Robusto a fallos. En caso de problema puntual, el tráfico de correo de
la institución no se interrumpiría11. Abierto a otros proyectos
Extracción de IPs: Proyecto Spamtoso (spamtraps) Ficheros de logs de estafetas Almacén de denuncias
12. Detección aviso y alertas de IPs comprometidas13. Reforzar las políticas anti-spam de las
instituciones
Ventajas del Servicio (y3)
42
Notas sobre reputación
Panda: “Elegimos la solución anti-spam de Commtouch porque nuestro servicio TrustLayer Mail garantiza ratios de detección de spam por encima del 98%, y Commtouch nos puede ayudar a conseguirlo”, comenta Jose Antonio López, Director de Soluciones Corporativas de Panda Security.
IronPort: “IronPort Reputation Filters™ provide the outer layer of spam protection for your email infrastructure. As the first line of defense on the IronPort email security appliances, Reputation Filters dispose of up to 80% of incoming spam at the connection level—saving bandwidth, conserving system resources and yielding the highest levels of security for critical messaging systems”
TrendMicro: “Como primera línea de defensa, Trend Micro™ Email Reputation Services detiene hasta el 80% del spam en su origen, lo que impide que inunde la red, sobrecargue la seguridad de la puerta de enlace de correo y merme los recursos del sistema”
Commtouch: “Commtouch’s IP Reputation Service fights spam and email-borne malware at the perimeter, reducing up to 80% of incoming messages at the entry-point, before these messages enter the network, and with no false positives.”
43
Notas sobre reputación
Symantec. The Symantec Mail Security 8100 Series stops spam before it enters the network—reducing total email volume by up to 50 percent while ensuring the continuous flow of legitimate email. By shaping email traffic at the TCP protocol level, this unique security appliance prohibits spammers from forcing unwanted email into your network.
4444
Edificio Bronce
Plaza Manuel Gómez Moreno s/n
28020 Madrid. España
Tel.: 91 212 76 20 / 25
Fax: 91 212 76 35
www.red.es – www.rediris.es
45
Red Avanzada de Calidad en el correo Electrónico
(RACEv2)
46
Objetivos: 1.Definir buenas prácticas y recomendaciones
técnicas para instalar y configurar un Servicio de correo electrónico
2.Recopilar la experiencia acumulada de IRIS-MAIL
3.Servir de guía a futuros gestores del servicio
4.Definir indicadores de calidad para el servicio de correo electrónico
RACEv2: Red Academica de Correo Electróncio
47
RACEv2: Red Academica de Correo Electróncio
5. Estructurar de forma organizada la evolución del servicio.
6. Evaluar nuevas tecnologías.
7. Crear un sistema de evaluación para la instituciones RedIRIS
8. Su fin último: una red de académica de correo electrónico de la mas alta calidad.
48
RACEv2: Red Académica de Correo
Electrónico
¿Qué entendemos por criterios de calidad? Son líneas maestras para obtener un servicio
actualizado, seguro y fiable. No son implementaciones concretas, si no
que dejan libertad para que se elija la solución idónea para cada institución, sin soluciones “prefabricadas”.
En resumen: son indicadores para un servicio bueno y eficiente.
49
Documento
Anexo movilidad
Red Confianza
Evaluador automático
Certificados SCS
Certificados postales
Criterios Calidad
RACEv2 Red Avanzada Calidad Correo Electrónico
Evaluación manual
Relay SMTPInfraestructuras
ServiciosAutenticación
Cifrado
50
Agrupación criterios RACEv2
Criterios Descripción
Encaminamiento SMTP
Afectan al encaminador de correo: Relay o MTA
Infraestructuras Recursos necesarios para dar soporte a un Servicio de Correo Electrónico de calidad.
Autenticación y cifrado
Mecanismos de seguridad necesarios para garantizar la integridad y privacidad de los datos de correo electrónico
Servicios Servicios básicos y de valor añadido.
Otros Otro tipo de criterios que no encajan en las clases anteriores
51
Criterios de encaminamiento SMTP
Criterios de encaminamiento SMTP
Reglas anti-relayPolítica de logs (trazas)
Resolución inversa de MTAs Tamaño máximo de mensaje
Control de acceso al puerto 25 en entrada/salida
Definición /chequeo registros SPF
Uso de Lista Blanca de RedIRIS
Número máximo de destinatarios
Control de destinatarios Control de flujo SMTP
52
Criterios de infraestructuras
Criterios de infraestructuras
Sincronización NTPAlta disponibilidad
53
Criterio de Autenticacion y cifrado
Criterios Autenticación y cifrado
Cifrado MTAi-MTAi
Autenticación centralizada
Acceso externo cifradoCifrado MTA-
MTA
Servicio SUBMISSION
54
Servicios de valor añadido
Servicios valor añadido
Documento del Servicio (DOCE)
abuse@ y postmaster@
Servicio de antivirus
Acceso remoto (Webmail, etc)
Política de backup de buzones
Cambio de contraseña
Antispam MTA
Antispam personalizado
Servicio de respuesta automáticaServicio de respuesta automáticaRedirección de cuentasRedirección de cuentas
Servicio de listas de distribución
56
Sistema de evaluación
RACEv2
57
Evaluación RACEv2
Objetivos Intentar que el máximo de instituciones se evalúen
para certificado de calidad RACEv2 Flexibilizar la consecución de criterios en función del
tamaño de la institución
Metodología Evaluaciones personalizadas Informe final con resultados y recomendaciones de
cada uno de los criterios Baremación cuantitativa según puntuación de
criterios Todas las instituciones evaluadas obtendrán
certificado con la puntuación obtenida
58
Evaluación RACEv2
Mecanismo La institución evaluada se compromete a evaluar a
otras instituciones
59
Movilidad en el correo
RACEv2
60
Movilidad de Correo Electrónico: RACE2
“Ningún servicio no seguro de nuestra institución debería pasar por redes que no son gestionadas por nosotros”
En especial los de correo electrónico:POP IMAP SMTP y HTTP (webmail)
61
Movilidad de Correo Electrónico: RACEv2
Habilitar en los router la entrada/salida hacia/desde los puertos seguros
Recomendaciones para la movilidad del correo en RedIRIS
Deshabilitar en el router el accesos desde el exterior hacia los puertos no seguros:
• POP (110) e IMAP (143)
Protocolo Puerto
POP3s 995
IMAPs 993
Submission 597
HTTPs 443
62
Otras recomendaciones: Servicios de VPNs, túneles ssh etc
Otras tendencias y soluciones para el acceso al correo desde: Terminales móviles: PDAs, móvil etc
Movilidad de Correo Electrónico: RACEv2
6363
Edificio Bronce
Plaza Manuel Gómez Moreno s/n
28020 Madrid. España
Tel.: 91 212 76 20 / 25
Fax: 91 212 76 35
www.red.es – www.rediris.es
