Adriano Mauro Cansian. Estudo de caso: Implementando um Servidor de Correio Eletrônico com Filtros contra Vírus e Spam

Spam

Spam e e Scam Scam

Adriano Mauro Cansian

Estudo de caso:

Implementando um Servidor de Correio Eletrônico com Filtros contra Vírus e Spam

Roteiro

• Introdução.

• O sistema proposto.

• A implementação

• A implementação.

• Políticas adotadas.

• Testes realizados.

• Resultados obtidos

• Resultados obtidos.

Vírus, Worms e Trojans (1)

• Vírus

programas capazes de multiplicar se mediante a – programas capazes de multiplicar-se mediante a

infecção de outros programas maiores

• Worms

• Worms

– não necessitam infectar outros arquivos para se

multiplicar Se espalham usando recursos da rede O multiplicar. Se espalham usando recursos da rede. O e-mail é um dos seus principais canais de distribuição

T j

• Trojans

– não têm capacidade de se auto-reproduzir ou infectar

t Sã t di t ib íd

outros programas. São comumente distribuídos em

Vírus, Worms e Trojans (2)

• Atravessam os firewalls quando enviados

f d il

na forma de e-mail.

• Causam prejuízos a empresas e pessoas. p j p p

• Há pouca conscientização entre os

usuários

usuários.

– Anexos perigosos são abertos com freqüência. – Atualizações de segurança e anti-vírus não são

atualizados adequadamente.

Spam (1)

• Spam: envio abusivo de correio eletrônico

não solicitado em grande quantidade

não solicitado em grande quantidade

– Mensagens comerciais não solicitadas

C t

– Correntes.

– Hoaxes (boatos)

• Scam: é o spam criminoso

– Enviados por estelionatários com o objetivo de obter p j números de cartão de crédito, senhas de banco e informações privilegiadas das vítimas

– Banco do Brasil, Receita Federal, BBB, SERASA,…

Spam (2)

• Difícil de calcular os prejuízos

– Banda utilizada desnecessariamente.

– Tempo desperdiçado pelos usuários para excluir o lixo eletrônico e perda de produtividade.

– Usuários deixam de receber mensagens úteis quando sua caixa de entrada é “entupida” por spam.

• Só não há prejuízos para quem envia. p j p q

i f bi i h d i j 30 i

Location of zombie computers in Europe that sent spam during just a 30-minute period. Click to view an expanded graphic.

http://www.sophos.com/pressoffice/news/articles/2007/07/dirtydozjul07.html

Spam (3)

• Mais de 50% de cada e-mail que trafega na Internet é

Spam

Spam

– O aumento sofrido pelo spam ano a ano poderá inviabilizar o uso de correio eletrônico num futuro não muito distante

co e o e e ô co u u u o ão u o d s a e

– http://www.sophos.com/pressoffice/news/articles/2007/07/dirtydozjul07. html

– Spim: spam por instant messenger

• A história do spam

– http://www.templetons.com/brad/spamterm.html

Spam (4)

from British Telecom Promo 15262477@users.siol.net

date Mon, Sep 14, 2009 at 11:27 PM / subject: 2009 Sweepstakes Program

The Sum Of £1,000,000.00 Pounds has been won by your EMAIL Address in our 2009 sweepstakes program. Do get back to this office with your claims requirement 2009 sweepstakes program. Do get back to this office with your claims requirement such as

1.Name in full 2 Address 2.Address 3.Nationality 4.Age

5.Sex

6.Occupation 7 Phone/Fax 7.Phone/Fax

8.Present Country

Reply to this confidential Email Address: bttelecom01@gmail.com

Spam (5)

Date: 09/11/2009 02:02 AM / Subject: Oi, Bom Dia !!!!!!!!!!!! Oi, Bom Dia !!!!!!!!!!!!

Meu nome é Miss.Adima, eu vi o seu endereço de e-mail hoje, e tornar-se

interessado em fazer contato com você, eu gosto de você para me enviar um e- mail para o meu endereço para que eu possa dar-lhe as minhas fotos para que mail para o meu endereço para que eu possa dar lhe as minhas fotos para que você sabe quem eu sou.

Eu acreditava que podemos passar por aqui? Lembre se de cor ou distância não Eu acreditava que podemos passar por aqui? Lembre-se de cor ou distância não

importa, mas AMOR questões allot na vida). Responder-me com o meu endereço de email esperança de ouvir de você em breve

yours Miss Adima yours Miss.Adima

========================================

Hi,Good Day!!!!!!!!!!!!

Os protocolos

• SMTP: Simple Mail Transfer Protocol

– Definido nos RFCs 821 e 2821 – RFC 1425: Extend SMTP

– RFC 2142 e caixas abuse (/dev/null)RFC 2142 e caixas abuse (/dev/null) – RFC 2505: recomendações anti-spam

• POP: Post Office Protocol

– Definido no RFC 1939

• IMAP: Internet Mail Access Protocol

– IMAP 4 revisão 1: RFC 2060

– RFCs 2061 e 2062 tratam de compatibilidade com versões anteriores

Case / Motivação

• Usuários do campus descontentes

recebendo vírus e spams.

• Máquinas infectadas propagando worms

• Máquinas infectadas propagando worms.

• Um servidor de correio para cada

departamento dificultando políticas

unificadas de segurança. g ç

• Dificuldade em fazer atualizações de

segurança nos servidores

segurança nos servidores.

O sistema E-bilce

• Servidor unificado de e-mail para o

campus.

• Acesso a Webmail POP IMAP

• Acesso a Webmail, POP, IMAP.

• Filtros de spam e vírus.

• Regras de filtragem personalizadas para

cada usuário

cada usuário.

• Versões seguras dos protocolos de correio

l t ô i

eletrônico.

Protocolos Seguros

• Utilizam SSL ou TLS para o envio de

dados:

dados:

– SMTP+TLS+SASL – POPSPOPS

– IMAPS

– HPPTS (Webmail) – HPPTS (Webmail)

– SASL desativado, mas operacional.

N t i bi t é

• Nota: o envio e recebimento é seguro

apenas entre MTA local e o MUA dos

usuários do sistema.

Configurações do servidor

• Máquina Compaq Alpha DS-20

– Processamento RISC – 1 GB de RAM

– Raid Array com capacidade atual de 260 GB

• Debian GNU/Linux Debian GNU/Linux

– Stable/Unstable

Distribuição voltada para servidores e segurança – Distribuição voltada para servidores e segurança – Security Updates via Apt-get

O Servidor SMTP

• Postfix

– Seguro – Rápido – Flexível

– Configurações enxutasg ç – Implementa TLS

– Utiliza o Procmail como MDA

Softwares utilizados (2)

• Qpopper

– Simples implementação – Compatível com SSL

• Uw-imapd-ssl

Servidor IMAP voltado para a segurança – Servidor IMAP voltado para a segurança – Compatível com SSL

Antivírus

• Clamav

– 100% OpenSource.

– Identifica corretamente a maioria dos malwares. – Verifica arquivos compactados.

– Atualizações automáticas da base de vírus utilizando ç o daemon Freshclam.

Anti-spam

Spamassassin

• Amplo espectro de testes (filtro bayesiano, SPF, RBL, etc).

• Baixo índice de falsos positivos e falsos negativos.

• Flexível

• Flexível.

• Não tão rápido.

• Procura padrões presentes em mensagens de spam.Procura padrões presentes em mensagens de spam. A cada padrão encontrado uma pontuação é

atribuída a mensagem.

• Quando a pontuação atinge um limite, a mensagem é marcada como spam.

Cabeçalhos do Spamassassin

X-Virus-Scanned: by amavisd-new-20070616-p10 at acmesecurity.org X-Spam-Status: Yes, hits=11.2 tagged above=-999.0 required=4.0 X Spam Status: Yes, hits 11.2 tagged above 999.0 required 4.0

tests=BigEvilList_2520, FORGED_RCVD_HELO, FRONTPAGE, HTML_FONT_BIG, HTML_MESSAGE, MIME_HTML_ONLY,

MSGID_FROM_MTA_ID,

C O O CO O S S S

RCVD FAKE HELO DOTCOM, URIBL OB SURBL, URIBL WS SURBL, WLS_URI_OPT_497

X-Spam-Level: *********** X-Spam-Flag: YESSpa ag: S

Amavis (1)

Amavis

• Amavis

– Desencapsula e descompacta os anexos para a d í

procura de vírus. – Altamente adaptável.

P d d di t ib i t

– Pode ser usado para distribuir a carga entre máquinas diferentes.

Oferece bloqueio de anexos – Oferece bloqueio de anexos.

Amavis (2)

MTA

INBOX 25 Postfix

MTA

Remoto ^Procmail

SPAM 25

10024 10025 Amavis

10024 10025

Clamav Spamassassin Clamav

Políticas de uso do E-bilce

• Relay externo apenas para as redes do

IBILCE.

– Relay interno: destinatário da mensagem é local.y g – Relay externo: destinatário é remoto portanto a

mensagem será transferida para outro servidor

• Acesso a POP e IMAP no campus.

A W b il t

• Acesso a Webmail externo.

mensagens (1)

mensagens (1)

• Mensagens com cabeçalhos ruins ou que não

cumpram o RFC 821 são bloqueadas

cumpram o RFC 821 são bloqueadas

– A conexão TCP é encerrada no momento do envio. Remetente é informado sobre o erro pelo MTA de origemp g

– Não existem falsos positivos: apenas software spammer apresenta esta característica.

• Mensagens com anexos suspeitos serão

bloqueadas

– O sistem envia uma mensagem de aviso ao remetente.

mensagens (2)

mensagens (2)

• Mensagens com vírus serão bloqueadas.

– O sistema envia uma mensagem de erro ao remetente. – Caso não se trate de um vírus que falsifique o remetente.

• Mensagens com padrões de spam são movidas

para uma caixa especial (caixa de spam / junk).

– Usuários POP podem desabilitar esta regra.

• Nota: mensagens legítimas nunca são perdidas. Caso

t i t t é

aconteça um erro no envio, o remetente é sempre informado

Detecção de SPAM

• Diversas técnicas existentes.

• Testes locais (no próprio servidor).

Testes remotos

• Testes remotos.

• Análise de cabeçalhos ç

• SPF.

R d DNS

• Reverso de DNS.

• Etc...

Checagens feitas no MTA

• Helo/Ehlo requerido

• Rejeita remetentes inválidos (mail from).

• Rejeita remetentes com dominíos inválidos.

• Checagens nos cabeçalhos

– Bloqueia alguns vírus mais conhecidos (Hi, Thanks, ...) – Não é necessário repassar a mensagem ao clamav – Bloqueia algumas redes que enviam spam

• Tentativas de envio para usuários inválidos são

• Tentativas de envio para usuários inválidos são bloqueadas

– Evita o problema de ter um grande número de mensagens na filaEvita o problema de ter um grande número de mensagens na fila

Checagens no Spamassassin (1)

• Regras de pontuação: expressões contidas no

corpo e no cabeçalho são pontuadas

– Palavras chaves freqüentemente contidas em spams: “Order now” “Low prices” “Unsubscribe” “Viagra” “Nigeria”

now , Low prices , Unsubscribe , Viagra , Nigeria – Uso do formato HTML.

– Links para outras páginas.Links para outras páginas.

– Mensagens sem nenhum texto e apenas uma figura. – Cabeçalhos suspeitos, Etc…

– Muito efetivo.

• AWL (Auto WhiteList)

• AWL (Auto WhiteList)

– Faz uma média na pontuação das últimas N mensagens de um remetente ao classificar uma mensagem.g

– Dessa forma a pontuação de mensagens de remetentes com

“bons antecedentes” é diminuída e de spammers é aumentada.

• Listas de permissão e bloqueio

– Também conhecidas como blacklists e whitelists.

R t t d t d li t d i ã b

– Remetentes cadastrados na lista de permissão recebem pontuação zero.

– Remetentes cadastrados na lista de bloqueio recebem pontuaçãoRemetentes cadastrados na lista de bloqueio recebem pontuação infinita.

– Ajudam a diminuir o número de falsos positivos e falsos negativos

• SPF: Sender Policy Framework

C d d í i di l id t i d

– Cada domínio divulga seus servidores autorizados a fazer relay externo.

O MTA verifica se o IP do remetente é um IP – O MTA verifica se o IP do remetente é um IP

autorizado no domínio.

– Usado apenas para pontuaçãoUsado apenas para pontuação.

Novas checagens (2)

• SPF – continuação

– Não é específico para o combate ao spam e sim para evitar remetentes forjados.

• Contudo, dificulta muito a vida dos spammers – Ampla adoção de grandes instituições nacionais e

internacionais (locaweb, uol, gmail, hotmail, yahoo,

…)

Novas checagens (3)

• URL/DNS/RBL: Role Black Lists para

URLs

– Em spams comerciais é comum links para páginas de p p p g vendedores.

– Existe um lista mantida pela Spamhaus que contém as páginas mais referenciadas em spams.

– Mensagens referenciando estas páginas recebem um pontuação alta.

– Mais informações em www.spamhaus.org

Greylist (1)

– É baseado no funcionamento correto de um servidor – Combina 3 informações:

• Endereço IP do MTA de origem;

• Endereços: remetente e destinatário;

– “Se a tripla nunca foi vista, então recuse a

t d t ti

mensagem e todas as outras que contiverem a

mesma tripla, dentro de um determinado período de tempo com um erro temporário”

tempo, com um erro temporário .

Greylist (2)

Filtro Bayesiano

• Permite ao usuário indicar ao sistema quais

( )

mensagens são spams e quais não são (ham)

– Auto índice de acertos. – AutoLearn.

– Facilmente implementado em servidores onde os usuários tem acesso e intimidade com o shell.

acesso e intimidade com o shell.

– Não implementado no servidor E-bilce

– Possíveis soluções: reporte de spam e ham, mudanças no horde para executar algum script de shell a partir do php

Outras técnicas

• Outras técnicas utilizadas no combate ao

spam

– RBLs: Role Black Lists

Algumas listam os blocos 200/8 e 201/8 – Greylistings: bastante efetivo.

– DNS reverso (gera falsos positivos)

– Domains Keys (Yahoo) e Sender ID (Microsoft)y ( ) ( ) Uso de chave pública e privada

– Existem mais…

Gerência da porta 25 (1)

• Conjunto de medidas para separar o

tráfego de e-mail residêncial do tráfego

entre servidores smtp.

e t e se do es s tp

– Bloquear a saída para porta 25/TCP de todos os hosts, exceto MTAs autorizados,

– Clientes devem utilizar SMTP autenticado na porta 587/TCP

– Não interferir no tráfego da porta 587/TCP

Gerência da porta 25 (2)

Considerações sobre as checagens

– Habilitar todas as técnicas de checagem disponível causaria um grande overhead no servidor

causaria um grande overhead no servidor.

– Muitas técnicas podem ser implementadas no MTA ou no filtro de spam É melhor usar o filtro para

ou no filtro de spam. É melhor usar o filtro para técnicas que causam falsos positivos.

– Não utilizar muitas checagens remotasNão utilizar muitas checagens remotas.

– Limitar o tempo máximo que para uma mensagem ser filtrada (1s, 2s).t ada ( s, s)

– O Spamassassin não é recomendado para servidores de grande porte (no máximo 3000 usuários).g p ( )

Desempenho

• Testes realizados

– Sem filtros: mais de 500 mensagens por minuto sem atraso

– Com antivírus: 250 mensagens por minuto sem atraso

– Com antivírus e anti-spam: 100 mensagens por minuto com um atraso máximo de entrega de 1 minuto

minuto.

– Utilização do software Postal para benchmark de servidores SMTP e o software Mailgraph para a servidores SMTP e o software Mailgraph para a

A fase de testes

• Cerca de 20 usuários entre os usuários do

polo e voluntários de outros

departamentos

depa ta e tos

• Usuários com o índice de erros em torno

5%

5%

• Houve casos em que a taxa de erro foi q

menor do que 1%

Dados sobre a Detecção

• Dados da primeira quinzena de testes

Volume médio de mensagens recebidas por dia: 2300 – Volume médio de mensagens recebidas por dia: 2300 – Mensagens entregues na caixa de entrada: 42%

Mensagens entregues na pasta spam: 21% – Mensagens entregues na pasta spam: 21% – Mensagens com vírus: 5%

M d j it d 32%

– Mensagens de spam rejeitadas: 32%

– Cerca de 10 tentativas de relay não autorizadas por dia e 250 mensagens para usuários inválidos

dia e 250 mensagens para usuários inválidos – Esses dados indicam que cerca de 42% das

mensagens recebidas são legitimas enquando que mensagens recebidas são legitimas enquando que

Informações sobre o tráfego (1)

antispam.br (1)

• Site brasileiro, mantido pelo Comitê

Gestor da Internet no Brasil (CGI.br)

• Fonte de referência sobre spam:

• Fonte de referência sobre spam:

– Imparcial

Alto embasamento técnico – Alto embasamento técnico

• Função principal:

– Orientar usuários e administradores sobre o spam, suas implicações, formas de proteção e combate

antispam.br (2)

Conclusão

– Os filtros apresentaram um índice bom de acerto (100% para vírus e 95% para spam) no período de testes.

• Os usuários que desejarem aumentar o índice de

t d li t d bl i

acertos devem usar as listas de bloqueio e permissão.

E ú d á i i f t d

– Espare-se que o número de máquinas infectadas por vírus e worms no campus caia

O sistema é 100% OpenSource Não há nenhum tipo – O sistema é 100% OpenSource. Não há nenhum tipo

de custo relativo a software