Spam
Spam e e Scam Scam
Adriano Mauro Cansian
Estudo de caso:
Implementando um Servidor de Correio Eletrônico com Filtros contra Vírus e Spam
Roteiro
• Introdução.
• O sistema proposto.
• A implementação
• A implementação.
• Políticas adotadas.
• Testes realizados.
• Resultados obtidos
• Resultados obtidos.
Vírus, Worms e Trojans (1)
• Vírus
programas capazes de multiplicar se mediante a – programas capazes de multiplicar-se mediante a
infecção de outros programas maiores
• Worms
• Worms
– não necessitam infectar outros arquivos para se
multiplicar Se espalham usando recursos da rede O multiplicar. Se espalham usando recursos da rede. O e-mail é um dos seus principais canais de distribuição
T j
• Trojans
– não têm capacidade de se auto-reproduzir ou infectar
t Sã t di t ib íd
outros programas. São comumente distribuídos em
Vírus, Worms e Trojans (2)
• Atravessam os firewalls quando enviados
f d il
na forma de e-mail.
• Causam prejuízos a empresas e pessoas. p j p p
• Há pouca conscientização entre os
usuários
usuários.
– Anexos perigosos são abertos com freqüência. – Atualizações de segurança e anti-vírus não são
atualizados adequadamente.
Spam (1)
• Spam: envio abusivo de correio eletrônico
não solicitado em grande quantidade
não solicitado em grande quantidade
– Mensagens comerciais não solicitadas
C t
– Correntes.
– Hoaxes (boatos)
• Scam: é o spam criminoso
– Enviados por estelionatários com o objetivo de obter p j números de cartão de crédito, senhas de banco e informações privilegiadas das vítimas
– Banco do Brasil, Receita Federal, BBB, SERASA,…
Spam (2)
• Difícil de calcular os prejuízos
– Banda utilizada desnecessariamente.
– Tempo desperdiçado pelos usuários para excluir o lixo eletrônico e perda de produtividade.
– Usuários deixam de receber mensagens úteis quando sua caixa de entrada é “entupida” por spam.
• Só não há prejuízos para quem envia. p j p q
i f bi i h d i j 30 i
Location of zombie computers in Europe that sent spam during just a 30-minute period. Click to view an expanded graphic.
http://www.sophos.com/pressoffice/news/articles/2007/07/dirtydozjul07.html
Spam (3)
• Mais de 50% de cada e-mail que trafega na Internet é
Spam
Spam
– O aumento sofrido pelo spam ano a ano poderá inviabilizar o uso de correio eletrônico num futuro não muito distante
co e o e e ô co u u u o ão u o d s a e
– http://www.sophos.com/pressoffice/news/articles/2007/07/dirtydozjul07. html
– Spim: spam por instant messenger
• A história do spam
– http://www.templetons.com/brad/spamterm.html
Spam (4)
from British Telecom Promo 15262477@users.siol.net
date Mon, Sep 14, 2009 at 11:27 PM / subject: 2009 Sweepstakes Program
The Sum Of £1,000,000.00 Pounds has been won by your EMAIL Address in our 2009 sweepstakes program. Do get back to this office with your claims requirement 2009 sweepstakes program. Do get back to this office with your claims requirement such as
1.Name in full 2 Address 2.Address 3.Nationality 4.Age
5.Sex
6.Occupation 7 Phone/Fax 7.Phone/Fax
8.Present Country
Reply to this confidential Email Address: bttelecom01@gmail.com
Spam (5)
Date: 09/11/2009 02:02 AM / Subject: Oi, Bom Dia !!!!!!!!!!!! Oi, Bom Dia !!!!!!!!!!!!
Meu nome é Miss.Adima, eu vi o seu endereço de e-mail hoje, e tornar-se
interessado em fazer contato com você, eu gosto de você para me enviar um e- mail para o meu endereço para que eu possa dar-lhe as minhas fotos para que mail para o meu endereço para que eu possa dar lhe as minhas fotos para que você sabe quem eu sou.
Eu acreditava que podemos passar por aqui? Lembre se de cor ou distância não Eu acreditava que podemos passar por aqui? Lembre-se de cor ou distância não
importa, mas AMOR questões allot na vida). Responder-me com o meu endereço de email esperança de ouvir de você em breve
yours Miss Adima yours Miss.Adima
========================================
Hi,Good Day!!!!!!!!!!!!
Os protocolos
• SMTP: Simple Mail Transfer Protocol
– Definido nos RFCs 821 e 2821 – RFC 1425: Extend SMTP
– RFC 2142 e caixas abuse (/dev/null)RFC 2142 e caixas abuse (/dev/null) – RFC 2505: recomendações anti-spam
• POP: Post Office Protocol
– Definido no RFC 1939
• IMAP: Internet Mail Access Protocol
– IMAP 4 revisão 1: RFC 2060
– RFCs 2061 e 2062 tratam de compatibilidade com versões anteriores
Case / Motivação
• Usuários do campus descontentes
recebendo vírus e spams.
• Máquinas infectadas propagando worms
• Máquinas infectadas propagando worms.
• Um servidor de correio para cada
departamento dificultando políticas
unificadas de segurança. g ç
• Dificuldade em fazer atualizações de
segurança nos servidores
segurança nos servidores.
O sistema E-bilce
• Servidor unificado de e-mail para o
campus.
• Acesso a Webmail POP IMAP
• Acesso a Webmail, POP, IMAP.
• Filtros de spam e vírus.
• Regras de filtragem personalizadas para
cada usuário
cada usuário.
• Versões seguras dos protocolos de correio
l t ô i
eletrônico.
Protocolos Seguros
• Utilizam SSL ou TLS para o envio de
dados:
dados:
– SMTP+TLS+SASL – POPSPOPS
– IMAPS
– HPPTS (Webmail) – HPPTS (Webmail)
– SASL desativado, mas operacional.
N t i bi t é
• Nota: o envio e recebimento é seguro
apenas entre MTA local e o MUA dos
usuários do sistema.
Configurações do servidor
• Máquina Compaq Alpha DS-20
– Processamento RISC – 1 GB de RAM
– Raid Array com capacidade atual de 260 GB
• Debian GNU/Linux Debian GNU/Linux
– Stable/Unstable
Distribuição voltada para servidores e segurança – Distribuição voltada para servidores e segurança – Security Updates via Apt-get
O Servidor SMTP
• Postfix
– Seguro – Rápido – Flexível
– Configurações enxutasg ç – Implementa TLS
– Utiliza o Procmail como MDA
Softwares utilizados (2)
• Qpopper
– Simples implementação – Compatível com SSL
• Uw-imapd-ssl
Servidor IMAP voltado para a segurança – Servidor IMAP voltado para a segurança – Compatível com SSL
Antivírus
• Clamav
– 100% OpenSource.
– Identifica corretamente a maioria dos malwares. – Verifica arquivos compactados.
– Atualizações automáticas da base de vírus utilizando ç o daemon Freshclam.
Anti-spam
Spamassassin
• Amplo espectro de testes (filtro bayesiano, SPF, RBL, etc).
• Baixo índice de falsos positivos e falsos negativos.
• Flexível
• Flexível.
• Não tão rápido.
• Procura padrões presentes em mensagens de spam.Procura padrões presentes em mensagens de spam. A cada padrão encontrado uma pontuação é
atribuída a mensagem.
• Quando a pontuação atinge um limite, a mensagem é marcada como spam.
Cabeçalhos do Spamassassin
X-Virus-Scanned: by amavisd-new-20070616-p10 at acmesecurity.org X-Spam-Status: Yes, hits=11.2 tagged above=-999.0 required=4.0 X Spam Status: Yes, hits 11.2 tagged above 999.0 required 4.0
tests=BigEvilList_2520, FORGED_RCVD_HELO, FRONTPAGE, HTML_FONT_BIG, HTML_MESSAGE, MIME_HTML_ONLY,
MSGID_FROM_MTA_ID,
C O O CO O S S S
RCVD FAKE HELO DOTCOM, URIBL OB SURBL, URIBL WS SURBL, WLS_URI_OPT_497
X-Spam-Level: *********** X-Spam-Flag: YESSpa ag: S
Amavis (1)
Amavis
• Amavis
– Desencapsula e descompacta os anexos para a d í
procura de vírus. – Altamente adaptável.
P d d di t ib i t
– Pode ser usado para distribuir a carga entre máquinas diferentes.
Oferece bloqueio de anexos – Oferece bloqueio de anexos.
Amavis (2)
MTA
INBOX 25 Postfix
MTA
Remoto Procmail
SPAM 25
10024 10025 Amavis
10024 10025
Clamav Spamassassin Clamav
Políticas de uso do E-bilce
• Relay externo apenas para as redes do
IBILCE.
– Relay interno: destinatário da mensagem é local.y g – Relay externo: destinatário é remoto portanto a
mensagem será transferida para outro servidor
• Acesso a POP e IMAP no campus.
A W b il t
• Acesso a Webmail externo.
mensagens (1)
mensagens (1)
• Mensagens com cabeçalhos ruins ou que não
cumpram o RFC 821 são bloqueadas
cumpram o RFC 821 são bloqueadas
– A conexão TCP é encerrada no momento do envio. Remetente é informado sobre o erro pelo MTA de origemp g
– Não existem falsos positivos: apenas software spammer apresenta esta característica.
• Mensagens com anexos suspeitos serão
bloqueadas
– O sistem envia uma mensagem de aviso ao remetente.
mensagens (2)
mensagens (2)
• Mensagens com vírus serão bloqueadas.
– O sistema envia uma mensagem de erro ao remetente. – Caso não se trate de um vírus que falsifique o remetente.
• Mensagens com padrões de spam são movidas
para uma caixa especial (caixa de spam / junk).
– Usuários POP podem desabilitar esta regra.
• Nota: mensagens legítimas nunca são perdidas. Caso
t i t t é
aconteça um erro no envio, o remetente é sempre informado
Detecção de SPAM
• Diversas técnicas existentes.
• Testes locais (no próprio servidor).
Testes remotos
• Testes remotos.
• Análise de cabeçalhos ç
• SPF.
R d DNS
• Reverso de DNS.
• Etc...
Checagens feitas no MTA
• Helo/Ehlo requerido
• Rejeita remetentes inválidos (mail from).
• Rejeita remetentes com dominíos inválidos.
• Checagens nos cabeçalhos
– Bloqueia alguns vírus mais conhecidos (Hi, Thanks, ...) – Não é necessário repassar a mensagem ao clamav – Bloqueia algumas redes que enviam spam
• Tentativas de envio para usuários inválidos são
• Tentativas de envio para usuários inválidos são bloqueadas
– Evita o problema de ter um grande número de mensagens na filaEvita o problema de ter um grande número de mensagens na fila
Checagens no Spamassassin (1)
• Regras de pontuação: expressões contidas no
corpo e no cabeçalho são pontuadas
– Palavras chaves freqüentemente contidas em spams: “Order now” “Low prices” “Unsubscribe” “Viagra” “Nigeria”
now , Low prices , Unsubscribe , Viagra , Nigeria – Uso do formato HTML.
– Links para outras páginas.Links para outras páginas.
– Mensagens sem nenhum texto e apenas uma figura. – Cabeçalhos suspeitos, Etc…
– Muito efetivo.
• AWL (Auto WhiteList)
• AWL (Auto WhiteList)
– Faz uma média na pontuação das últimas N mensagens de um remetente ao classificar uma mensagem.g
– Dessa forma a pontuação de mensagens de remetentes com
“bons antecedentes” é diminuída e de spammers é aumentada.
• Listas de permissão e bloqueio
– Também conhecidas como blacklists e whitelists.
R t t d t d li t d i ã b
– Remetentes cadastrados na lista de permissão recebem pontuação zero.
– Remetentes cadastrados na lista de bloqueio recebem pontuaçãoRemetentes cadastrados na lista de bloqueio recebem pontuação infinita.
– Ajudam a diminuir o número de falsos positivos e falsos negativos
• SPF: Sender Policy Framework
C d d í i di l id t i d
– Cada domínio divulga seus servidores autorizados a fazer relay externo.
O MTA verifica se o IP do remetente é um IP – O MTA verifica se o IP do remetente é um IP
autorizado no domínio.
– Usado apenas para pontuaçãoUsado apenas para pontuação.
Novas checagens (2)
• SPF – continuação
– Não é específico para o combate ao spam e sim para evitar remetentes forjados.
• Contudo, dificulta muito a vida dos spammers – Ampla adoção de grandes instituições nacionais e
internacionais (locaweb, uol, gmail, hotmail, yahoo,
…)
Novas checagens (3)
• URL/DNS/RBL: Role Black Lists para
URLs
– Em spams comerciais é comum links para páginas de p p p g vendedores.
– Existe um lista mantida pela Spamhaus que contém as páginas mais referenciadas em spams.
– Mensagens referenciando estas páginas recebem um pontuação alta.
– Mais informações em www.spamhaus.org
Greylist (1)
– É baseado no funcionamento correto de um servidor – Combina 3 informações:
• Endereço IP do MTA de origem;
• Endereços: remetente e destinatário;
– “Se a tripla nunca foi vista, então recuse a
t d t ti
mensagem e todas as outras que contiverem a
mesma tripla, dentro de um determinado período de tempo com um erro temporário”
tempo, com um erro temporário .
Greylist (2)
Filtro Bayesiano
• Permite ao usuário indicar ao sistema quais
( )
mensagens são spams e quais não são (ham)
– Auto índice de acertos. – AutoLearn.
– Facilmente implementado em servidores onde os usuários tem acesso e intimidade com o shell.
acesso e intimidade com o shell.
– Não implementado no servidor E-bilce
– Possíveis soluções: reporte de spam e ham, mudanças no horde para executar algum script de shell a partir do php
Outras técnicas
• Outras técnicas utilizadas no combate ao
spam
– RBLs: Role Black Lists
Algumas listam os blocos 200/8 e 201/8 – Greylistings: bastante efetivo.
– DNS reverso (gera falsos positivos)
– Domains Keys (Yahoo) e Sender ID (Microsoft)y ( ) ( ) Uso de chave pública e privada
– Existem mais…
Gerência da porta 25 (1)
• Conjunto de medidas para separar o
tráfego de e-mail residêncial do tráfego
entre servidores smtp.
e t e se do es s tp
– Bloquear a saída para porta 25/TCP de todos os hosts, exceto MTAs autorizados,
– Clientes devem utilizar SMTP autenticado na porta 587/TCP
– Não interferir no tráfego da porta 587/TCP
Gerência da porta 25 (2)
Considerações sobre as checagens
– Habilitar todas as técnicas de checagem disponível causaria um grande overhead no servidor
causaria um grande overhead no servidor.
– Muitas técnicas podem ser implementadas no MTA ou no filtro de spam É melhor usar o filtro para
ou no filtro de spam. É melhor usar o filtro para técnicas que causam falsos positivos.
– Não utilizar muitas checagens remotasNão utilizar muitas checagens remotas.
– Limitar o tempo máximo que para uma mensagem ser filtrada (1s, 2s).t ada ( s, s)
– O Spamassassin não é recomendado para servidores de grande porte (no máximo 3000 usuários).g p ( )
Desempenho
• Testes realizados
– Sem filtros: mais de 500 mensagens por minuto sem atraso
– Com antivírus: 250 mensagens por minuto sem atraso
– Com antivírus e anti-spam: 100 mensagens por minuto com um atraso máximo de entrega de 1 minuto
minuto.
– Utilização do software Postal para benchmark de servidores SMTP e o software Mailgraph para a servidores SMTP e o software Mailgraph para a
A fase de testes
• Cerca de 20 usuários entre os usuários do
polo e voluntários de outros
departamentos
depa ta e tos
• Usuários com o índice de erros em torno
5%
5%
• Houve casos em que a taxa de erro foi q
menor do que 1%
Dados sobre a Detecção
• Dados da primeira quinzena de testes
Volume médio de mensagens recebidas por dia: 2300 – Volume médio de mensagens recebidas por dia: 2300 – Mensagens entregues na caixa de entrada: 42%
Mensagens entregues na pasta spam: 21% – Mensagens entregues na pasta spam: 21% – Mensagens com vírus: 5%
M d j it d 32%
– Mensagens de spam rejeitadas: 32%
– Cerca de 10 tentativas de relay não autorizadas por dia e 250 mensagens para usuários inválidos
dia e 250 mensagens para usuários inválidos – Esses dados indicam que cerca de 42% das
mensagens recebidas são legitimas enquando que mensagens recebidas são legitimas enquando que
Informações sobre o tráfego (1)
antispam.br (1)
• Site brasileiro, mantido pelo Comitê
Gestor da Internet no Brasil (CGI.br)
• Fonte de referência sobre spam:
• Fonte de referência sobre spam:
– Imparcial
Alto embasamento técnico – Alto embasamento técnico
• Função principal:
– Orientar usuários e administradores sobre o spam, suas implicações, formas de proteção e combate
antispam.br (2)
Conclusão
– Os filtros apresentaram um índice bom de acerto (100% para vírus e 95% para spam) no período de testes.
• Os usuários que desejarem aumentar o índice de
t d li t d bl i
acertos devem usar as listas de bloqueio e permissão.
E ú d á i i f t d
– Espare-se que o número de máquinas infectadas por vírus e worms no campus caia
O sistema é 100% OpenSource Não há nenhum tipo – O sistema é 100% OpenSource. Não há nenhum tipo
de custo relativo a software