1/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoAnlisis e Implementacin
2/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoOverview
Overview
1
3/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoOverview
Introduccin al correo electrnico Introduccin al spam Anlisis de tcnicas anti-spam preventivas
Enmascaramiento, concienciacin, legalidad... Anlisis de tecnicas utlizadas por spammers Anlisis de tcnicas anti-spam correctivas
Filtros basados en contenido bsicos, heursticos, bayesianos
Filtros NO basados en contenido listas, esquemas autorizacin...
Conclusiones
Version 0.11 - 01/06/05
1
4/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoIntroduccin al correo electrnico
Introduccin al correo electrnico
2
5/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoSMTP (Simple Mail Transfer Protocol)
Protocolo estandar para enviar correos entre servidores.
Protocolo simple pero muy inseguro. Cabeceras spoofeables. SPAM.
Requiere de un servidor DNS que resuelva el host MX o A del destinatario.
Solo soporta caracteres ascii de 7 bits. ? La gran mayora de los MUA envan correo a
los MTA por medio de SMTP.
2
6/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoSMTP (Simple Mail Transfer Protocol)
Transaccin SMTP$ telnet irontec.com 25Trying 66.111.55.10...Connected to mai.irontec.com.Escape character is '^]'.220 mai.irontec.com ESMTP Postfixhelo aktornet.ath.cx 250 mai.irontec.commail from: [email protected] Okrcpt to: [email protected] Okdata354 End data with .Subject: asunto del correo
Cuerpo del mensajefin.
250 Ok: queued as B105B598063quit221 ByeConnection closed by foreign host.
2 Establecimiento y fin de la Conexin
Informacin generadapor el cliente telnet
Informacin del cliente SMTP
Informacin del servidor SMTP
7/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoDescripcion del contenido de un correo
Elementos que conforman un correo electrnicoReturn-Path: X-Original-To: [email protected]: [email protected]: from pool-71-112-82-75.sttlwa.dsl-w.verizon.net (pool-71-112-82-75.sttlwa.dsl-w.verizon.net [71.112.82.75])
by mai.irontec.com (Postfix) with SMTP id 0F7AEB31Efor ; Mon, 23 May 2005 18:16:35 +0200 (CEST)
Message-ID: From: Kendra L.Brown To: [email protected]: Adobe Creative Suite (5 CD) - wholesale priceDate: Mon, 23 May 2005 16:10:28 +0000MIME-Version: 1.0Content-Type: multipart/related; type="multipart/alternative"; boundary="----=_NextPart_000_0000_42C4668E.98ECC1BD"X-Priority: 3X-MSMail-Priority: NormalX-Mailer: Microsoft Outlook Express V6.00.2900.2180X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Get access to all the software imaginable for extremely low prices!Our software is 2-10 times cheaper than sold by our competitors.
Just a few examples:$79.95 Windows XP Professional (Including: Service Pack 2)$89.95 Microsoft Office 2003 Professional / $79.95 Office XP Professional$99.95 Adobe Photoshop 8.0/CS (Including: ImageReady CS)$79.95 Adobe Acrobat 6.0 Professional$69.95 Quark Xpress 6 Passport Multilanguage
All main products from Microsoft, Adobe, Macromedia, Corel, etc.And many more...
Regards,Kendra L. Brown
2Se aade una cabecera Received por cada MTA que pasa
Cab
ecer
asCuer
po
Linea
en B
lanco
Sep
arad
or Cabeceras
NO estandar
Cabecera aadidapor el MUA
Cabecera tipo MIME
8/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoIntroduccin al spam
Introduccin al spam
3
9/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoIntroduccin al spam
Que es el SPAM?
3
10/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoCrecimiento
20012004
2007
0,00%
10,00%
20,00%
30,00%
40,00%
50,00%
60,00%
70,00%
80,00%
90,00%
100,00%
Correo intercambiado a nivel mundial
HAMSPAM
3
11/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoCausas
Dilema del prisionero Cada uno elije:
Cooperar (ej: no contaminar) No cooperar (ej: contaminar)
Si todos cooperan, es bueno para todos (bien colectivo)
Si uno no coopera, esa persona obtiene beneficio a costa de los otros (bien individual) Compra/venta de listas de correo Open relays Ingenuidad en la contestacin a emails Publicacin de direcciones de email
3
12/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoPaises Exportadores
Estudio realizado por la empresa de seguridad Sophos (Abril 2005)
Resto
Alemania
Reino Unido
Brazil
Japon
Canada
Espaa
Francia
China
Corea del Sur
Estados Unidos
0 10 20 30 40 502004 (%)
2005 (%)
14,15
1,231,571,952,12,7
2,753,2
9,725
35,7
13,65
1,281,15
6,17
2,872,91
1,16
1,2411,62
15,4242,53
Origen del spam mundial
2004 (%)2005 (%)
3
13/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoTipos
SPAM por email SPAM a mquinas de busqueda SPAM por mensajera instantnea SPAM por SMS SPAM en las news SPAM en chats SPAM por telfono SPAM por correo postal
3
14/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoTcnicas anti-spam preventivas
Anlisis de las tcnicas anti-spam preventivas
4
15/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoTipo de Tcnicas
Tipos: Preventivas
Enmascaramiento / Spambots Etiquetas anti robots Concienciacin Legales
4
16/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoTipo de Tcnicas
Tipos: Correctivas
Legales Basados en contenido
Filtros Bsicos Filtros Heursticos Filtros Bayesianos
No basados en contenido Listas Filtros Distribuidos Esquemas de Autorizacin
4
17/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoTcnicas de Enmascaramiento / Spambots
Spambot: Aplicacin de software que se encarga de
rastrear Internet (sitios web, listas de news, salas de chat...) en busca de direcciones de correo.
Fciles de implementar (@) Evolucionan en base a las dificultades que les
plantean los usuarios (desgraciadamente en numerosas ocasiones son insuficientes)
4
18/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoTcnicas de Enmascaramiento / Spambots
Tcnicas de Enmascaramiento: Tcnica conocida como munging Consiste en modificar deliberadamente con la
finalidad de que no puedan ser capturadas por los spambots.
4
19/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoTcnicas de Enmascaramiento / Spambots
Tcnicas Enmascaramiento obsoletas Sustitucin:
@ at / en - . dot / punto As: [email protected] se representara mediante:
iker-at-irontec-dot-com iker en irontec punto com
Sustitucin Codificacin-URL Lo soportan la gran mayora de los navegadores Sustituir caracteres alfanumricos por % y 2 dgitos
hexadecimales. RFC 1738 @ %40 - . %2E As [email protected] se representara mediante:
iker%40irontec%2Ecom
4
20/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoTcnicas de Enmascaramiento / Spambots
Tcnicas Enmascaramiento obsoletas Sustitucin de caracteres HTML
Equivale a su valor correspondiente ASCII @ @ - . . As [email protected] se representara mediante:
[email protected] http://alicorna.com/obfuscator.html
4
21/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoTcnicas de Enmascaramiento / Spambots
Tcnicas Enmascaramiento obsoletas Insercin:
Insertar cadena de texto fcilmente reconocible como no vlida.
Requiere cierto conocimiento As: [email protected] se representara mediante:
4
22/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoTcnicas de Enmascaramiento / Spambots
Tcnicas Enmascaramiento Tablas HTML
Consiste en maquetar la direccin de correo de tal forma que sea ininteligible para un spambot.
As: [email protected] se representara mediante
4
23/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoTcnicas de Enmascaramiento / Spambots
Tcnicas Enmascaramiento Tablas HTML
Cdigo HTML
iker
Mi email de contacto: irontec.com
4
24/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoTcnicas de Enmascaramiento / Spambots
Tcnicas Enmascaramiento por imgenes Normal
Sustituir la cadena de texto por una imagen As: [email protected] se representara mediante:
http://www.hashemian.com/tools/email-encoder.php
4
25/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoTcnicas de Enmascaramiento / Spambots
Tcnicas Enmascaramiento por imgenes Mediante logo:
Utilizar el logotipo de la empresa o una imagen ms ofuscada
As: [email protected] se representara mediante:
4
26/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoTcnicas de Enmascaramiento / Spambots
Tcnicas Enmascaramiento por imgenes Captcha:
Es un test tipo prueba-desafo utilizado para diferenciar a mquinas y humanos
Utilizado comunmente por entidades que ofecen servicios gratuitos para evitar abusos (Yahoo, Hotmail...).
As: [email protected] se representara mediante:
4
27/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoTcnicas de Enmascaramiento / Spambots
Tcnicas Enmascaramiento por imgenes Problemas
Qu pasa con los estndares? W3C obliga a que las imgenes lleven un campo de
texto descriptivo alternativo. http://www.w3.org/TR/REC-
html40/struct/objects.html#edef-IMG Qu pasa con la accesibilidad?
El punto primero del nivel de prioridad 1 del checklist la WAI, obliga a que todos los elementos que no sean texto (imgenes...) lleven un texto alternativo.
4
28/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoTcnicas de Enmascaramiento / Spambots
Tcnicas Enmascaramiento por imgenes Problemas: ataques
Rodeo: Los spammers generan sitios web con un gran
nmero de visitas obligando a los visitantes que quieran acceder a sus servicios a introducir en texto de la imagen.
Adversarial Clutter: Mtodo desarrollado por la Univ. Berkeley 92% xito en EZ-Gimpy (captcha de 1 palabra) 33% xito en Gimpy (captcha de 3 palabras) No parece que an halla implementaciones
4
29/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoTcnicas de Enmascaramiento / Spambots
Tcnicas Enmascaramiento Conclusiones
No ofrecen solucin frente a ataques de diccionario o cuentas genricas (abuse, webmaster, info...).
Las tcnicas de enmascaramiento dificultan la labor de los spambots. Sin embargo no son suficientes.
4
30/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoTcnicas de Enmascaramiento / Spambots
Tcnicas Enmascaramiento formularios
ojo!!! formularios de dominio pblico pueden tener bugs!! puede ser peor el remedio que la enfermedad :-(
4
31/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoTcnicas de Concienciacin
Tcnicas Concienciacin no responder... alias para...
listas foros grupos de noticias
4
32/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoMedidas Legales
EEUU CAN-SPAM (01/01/04)
Bush firma la primera ley federal contra el spam unificando las leyes de los distintos estados
La Ley exige: Obtener permiso Honrar las desuscripciones Evitar el uso de casilleros pre-chequeados Un emisor y asunto claro (indicando publicidad)
Sanciones de hasta 500.000 dlares y un ao de prisin
Solo afecta a emisores de EEUU ?
4
33/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoMedidas Legales
Espaa LSSI-CE (11/07/02)
Queda prohibido el envo de comunicaciones publicitarias o promocionales por correo electrnico u otro medio de comunicacin electrnica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
Exige: Obtener permiso Honrar las desuscripciones Un emisor y asunto claro (indicando publicidad)
Sanciones entre 30.000 y 150.000 euros
4
34/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoTcnicas utilizadas por los spammers
Anlisis de las tcnicas avanzadas
utilizadas por spammers
5
35/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEvolucin de las Tcnicas
80 % del spam utiliza trucos de ofuscacin Escribir mal una palabra
viagra -> biagra
Sustituir una 'o' por un '0'buy now! -> buy n0w!
Tcnicas sofisticadas de HTMLenlarge your pennis
5
36/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoNuevas tcnicas utilizadas por spammers
Invisible Ink Consiste en introducir palabras inocentes en
un correo de forma invisible (color blanco sobre fondo blanco).
El filtro anti-spam las detecta pero el usuario no las lee.
5
37/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoNuevas tcnicas utilizadas por spammers
Invisible Ink Visin segn ojos humanos
5
38/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoNuevas tcnicas utilizadas por spammers
Invisible Ink Visin segn ojos humanos avispados
5
39/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoNuevas tcnicas utilizadas por spammers
Invisible Ink Visin segn ojos binarios
palabras de spam
palabras innocentes
# css compilant ;-)
palabras de spam
palabras innocentes
5
40/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoNuevas tcnicas utilizadas por spammers
Black Hole Consiste en dividir una palabra sospechosa
con espacios sin anchura. Los espacios sin anchura se escriben as:
5
41/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoNuevas tcnicas utilizadas por spammers
Black Hole Visin segn ojos humanos
5
42/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoNuevas tcnicas utilizadas por spammers
Black Hole Visin segn ojos binarios
Viagra.
# css compilant ;-)Viagra.
5
43/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoNuevas tcnicas utilizadas por spammers
Camouflage Es la evolucin a Invisible Ink, ya que la mayor
parte de los filtros antispam eran capaces de reconorcerlo.
Consiste en escoger dos colores muy similares, pero distintos, para que el filtro antispam no pueda detectarlo.
Los colores #113333 y #123939 son muy similares, pero yellow (amarillo) y #113333 son bastante distintos Amarillo #113333 #123939
5
44/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoNuevas tcnicas utilizadas por spammers
Camouflage Visin segn ojos humanos
5
45/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoNuevas tcnicas utilizadas por spammers
Camouflage Visin segn ojos humanos avispados
5
46/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoNuevas tcnicas utilizadas por spammers
Camouflage Visin segn ojos binarios
palabras inocentespalabras de spam
# css compilant ;-)
palabras inocentespalabras de spam
5
47/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoNuevas Tcnicas utilizadas por spammers
Honey, I shrunk the font Consiste en minimizar el tamao de las
palabras inocentes, de tal manera que a penas se aprecien.
La manera de minimizarlas es dndole tamao 1.
5
48/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoNuevas tcnicas utilizadas por spammers
Honey, I shrunk the font Visin segn ojos humanos
5
49/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoNuevas tcnicas utilizadas por spammers
Honey, I shrunk the font Visin segn ojos humanos avispados
5
50/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoNuevas tcnicas utilizadas por spammers
Honey, I shrunk the font Visin segn ojos binarios
palabras inocentes
palabras inocentes
5
51/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoNuevas tcnicas utilizadas por spammers
Microdot Consiste en una modificacin de la tcnica
anterior que consiste en introducir un nico caracter en el medio de una palabra.
El tamao es tan pequeo que parece un '.'
5
52/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoNuevas tcnicas utilizadas por spammers
Microdot Visin segn ojos humanos
5
53/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoNuevas tcnicas utilizadas por spammers
Microdot Visin segn ojos humanos avispados
5
54/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoNuevas tcnicas utilizadas por spammers
Microdot Visin segn ojos binarios
Vziagra
Vziagra
5
55/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoNuevas tcnicas utilizadas por spammers
Ascii Art (arte ascii)
5
56/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoTcnicas anti-spam correctivas
Anlisis de las tcnicas anti-spam correctivas
6
57/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoTipo de Tcnicas
Tipos: Preventivas
Enmascaramiento / Spambots Etiquetas anti robots Concienciacin Legales
6
58/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoTipo de Tcnicas
Tipos: Correctivas
Legales Basados en contenido
Filtros Bsicos Filtros Heursticos Filtros Bayesianos
No basados en contenido Listas Filtros Distribuidos Esquemas de Autorizacin de Envio
6
59/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoMedidas Legales
Sanciones Econmicas: EEUU
19/07/04 $50.000 Scott Richter Haba comprometido 500 ordenadores para enviar
millones de spams.
6
60/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoMedidas Legales
Sanciones Penales: EEUU
XX/11/04 9 aos de prisin Jeremy Jaynes, 30 aos Haba ganado 24 millones de dolares vendiendo
productos va spam. 10 millones de spam diarios (1 de 300.000 con xito)
6
61/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoMedidas Legales
Sanciones Econmicas: Espaa
04/05 4 sanciones Pequeas y medianas empresas 2 graves y 2 leves
6
62/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Bsicos
Transaccin SMTP y sintaxis de Postfix$ telnet irontec.com 25Trying 66.111.55.10...Connected to mai.irontec.com.Escape character is '^]'.220 mai.irontec.com ESMTP Postfixhelo aktornet.ath.cx 250 mai.irontec.commail from: [email protected] Okrcpt to: [email protected] Okdata354 End data with .Subject: asunto del correo
Cuerpo del mensajefin.
250 Ok: queued as B105B598063quit221 ByeConnection closed by foreign host.
6
smtpd_sender_restrictions
smtpd_recipient_restrictions
smtpd_helo_restrictions
smtpd_client_restrictions
header_checksbody_checks
63/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Bsicos
Elementos que conforman un correo electrnicoReturn-Path: X-Original-To: [email protected]: [email protected]: from pool-71-112-82-75.sttlwa.dsl-w.verizon.net (pool-71-112-82-75.sttlwa.dsl-w.verizon.net [71.112.82.75])
by mai.irontec.com (Postfix) with SMTP id 0F7AEB31Efor ; Mon, 23 May 2005 18:16:35 +0200 (CEST)
Message-ID: From: Kendra L.Brown To: [email protected]: Adobe Creative Suite (5 CD) - wholesale priceDate: Mon, 23 May 2005 16:10:28 +0000MIME-Version: 1.0Content-Type: multipart/related; type="multipart/alternative"; boundary="----=_NextPart_000_0000_42C4668E.98ECC1BD"X-Priority: 3X-MSMail-Priority: NormalX-Mailer: Microsoft Outlook Express V6.00.2900.2180X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Get access to all the software imaginable for extremely low prices!Our software is 2-10 times cheaper than sold by our competitors.
Just a few examples:$79.95 Windows XP Professional (Including: Service Pack 2)$89.95 Microsoft Office 2003 Professional / $79.95 Office XP Professional$99.95 Adobe Photoshop 8.0/CS (Including: ImageReady CS)$79.95 Adobe Acrobat 6.0 Professional$69.95 Quark Xpress 6 Passport Multilanguage
All main products from Microsoft, Adobe, Macromedia, Corel, etc.And many more...
Regards,Kendra L. Brown
6Se aade una cabecera Received por cada MTA que pasa
Cab
ecer
asCuer
po
Linea
en B
lanco
Sep
arad
or Cabeceras
NO estandar
Cabecera aadidapor el MUA
Cabecera tipo MIME
64/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Bsicos
Comprobaciones en el protocolo SMTP Main.cf (es necesario postmap)smtpd_client_restrictionssmtpd_helo_restrictionssmtpd_sender_restrictionssmtpd_recipient_restrictionscheck_client_access hash:/etc/postfix/client_checkscheck_helo_access hash:/etc/postfix/helo_checkscheck_sender_access hash:/etc/postfix/sender_checkscheck_recipient_access hash:/etc/postfix/recipt_checkssmtpd_delay_reject = no
Ejemplos de contenido de los archivos:irontec.com REJECT Tu no eres irontec.com66.111.50.10 REJECT Tu no eres 66.111.50.10
spammers.com 554 No nos gusta el spam, [email protected] OKspam.com REJECT
6
65/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Bsicos
Comprobaciones en las Cabeceras Main.cf (es necesario postmap)header_checks = regexp:/etc/postfix/regexp.headermime_header_checks = regexp:/etc/postfix/regexp.mimemessage_header_checks = regexp:/etc/postfix/regexp.msgnested_header_checks = regexp:/etc/postfix/regexp.nest
Ejemplos de contenido de los archivos:/^Subject: Enanito si, pero con que pedazo!$/ REJECT
/^From:.*hotmail\.com/ REJECT
/^Content-(Type|Disposition):.*(file)?name=.*\.(asd|bat|chm|cmd|com|dll|exe|hlp|hta|js|jse|lnk|ocx|pif|scr|shb|shm|shs|vb|vbe|vbs|vbx|vxd|wsf|wsh)/ REJECT Disculpa, no se aceptan archivos del tipo .${3}.
6
66/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Bsicos
Comprobaciones en el Cuerpo Main.cf (es necesario postmap)body_checks = regexp:/etc/postfix/regexp.body
Ejemplos de contenidos de archivos:/Palabras no deseadas/ REJECT
/\&\#109;\&\#97;\&\#105;\&\#108;\&\#116;\&\#111;\&\#58;/ REJECT
/Te mando este archivo para que me des tu punto de vista/ REJECT
6
67/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Bsicos
Repositorio NO oficial de filtros bsicos populares http://www.hispalinux.es/~data/postfix/
6
68/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Heursticos
Base Terica Los spammers suelen utilizar una serie de
patrones y comporamientos determinados. Cadenas Tpicas
Viagra Free Penis Enlargement Buy
Comportamientos Correos en formato HTML No cumplen RFC Maysculas
6
69/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Heursticos
Ejemplo heursticoFrom: Moneymaker To: [email protected]: 5 DVD's for 20 Bucks
The Netflix business model just went MLM.5 DVDs, only $20 a month.More movies, less money and an opportunity to refer your friends.
Take a look here:http://mygoldentertainment.com/TEH
This is not SPAM. You are receiving this email because you are signed up on an opt in list with us or one of our affiliates.+Since this is a one time email you do not need to unsubscribe. However, if you would like to, send an email to:[email protected] with REMOVE in the subject line. Thank you.
6
70/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Heursticos
Ejemplo heurstico
pts nombre de la regla descripcion--------------------------------------------------
0.0 EXCUSE_15 Decir que no es spam 0.7 EXCUSE_19 Te pide que mires o te registres 0.4 FORGED_YAHOO_RCVD From: @yahoo.com no coincide con la cabecera Received: 1.0 FROM_ENDS_IN_NUMS Acaba en nmeros 0.5 MAILTO_TO_SPAM_ADDR Incluye un link a email tipo spammer 2.1 MLM Marketing Multi Nivel 3.6 MSGID_FROM_MTA_SHORT Cabecera Message-Id aadida por un relay 2.4 ONE_TIME_MAILING One Time Email no significa que no sea spam 0.3 REMOVE_SUBJ Indica como no recibir ms spam 1.3 THIS_AINT_SPAM Esto no es spam
Content analysis details: (12.4 points, 5.0 required)
http://spamassassin.apache.org/tests_3_0_x.html Resultado
12,4 > 5.0 SPAM!!!!!
6
71/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Heursticos
Problemas Los patrones de bsqueda son pblicos Los mtodos empleados por los spammers
son cada vez ms sofisticados viagra vs V14gr4 Hay soluciones antispam que detectan
5.600.000 maneras de decir viagra Las soluciones antispam heursticas son
estticas Su implementacin prctica sobre
servidores consume una enorme cantidad de recursos (expresiones regulares muy complejas)
6
72/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Heursticos
Premisas para bsqueda de soluciones Es necesaria una nueva tcnica adaptativa Se debe adaptar a las necesidades
personales de cada usuario
6
73/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Heursticos
SpamAssassin Caractersticas
Premio al mejor producto anti-spam del 2005 (Damation)
Es un producto que ofrece ms servicios que nicamente filtro heurstico (listas blancas, listas negras, aprendizaje bayesiano...)
La configuracin por defecto proporciona alrededor de 750 reglas bastante eficientes Listado de reglas no oficiales
http://www.stearns.org/sa-blacklist/
6
74/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Heursticos
Spamassassin Implementacin# apt-get install amavisd-new spamassassin
Referencias http://www.irontec.com/~aktor/files/sistema_correo.pdf
6
75/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Heursticos
Clamav Caractersticas
Es un escaner de virus GPL y mantenido por la comunidad.
Deteccin de ms de 30.000 viruses, gusanos y troyanos.
El 80%* del spam mundial es generado por ordenadores zombies Windows infectados por algn tipo de malware
En cuestin de minutos, un Windows virgen es infectado al conectarse a Internet directamente. En 4 minutos el gusano Sasser En 11 minutos el gusano MS Blaster
* Sandvine, Junio 2004
6
76/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Heursticos
Clamav Tiempos de Respuesta (Mydoom MEW)ClamAV 16.02.2005 23:02 :: Worm.Mydoom.M-2Sophos 17.02.2005 00:02 :: W32/MyDoom-OTrendMicro 17.02.2005 01:11 :: WORM_MYDOOM.MF-Prot 17.02.2005 01:48 :: W32/Mydoom.AY@mmMcAfee 17.02.2005 01:53 :: W32/Mydoom.bb@MM!zipeTrust-Iris 17.02.2005 02:35 :: Win32/Mydoom.AU!WormSymantec 17.02.2005 03:30 :: W32.Mydoom.AX@mmeTrust-Vet 17.02.2005 06:35 :: Win32.Mydoom.AU!ZIPAntivir 17.02.2005 07:11 :: Worm/MyDoom.BBDrWeb 17.02.2005 08:10 :: Win32.HLLW.MyBotBitDefender 17.02.2005 08:54 :: Win32.Mydoom.AQ@mmPanda 17.02.2005 08:54 :: W32/Mydoom.AO.wormNorman 17.02.2005 09:25 :: MyDoom.AQ@mmAVG 17.02.2005 11:10 :: I-Worm/Mydoom.AP Fuente: Hispasec
6
77/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Heursticos
Clamav Tiempos de Respuesta (Sober.p)
ClamAV 02.05.2005 18:36 :: Worm.Sober.PKapersky 02.05.2005 18:39 :: Email-Worm.Win32.Sober.pF-Prot 02.05.2005 18:54 :: W32/Sober.O@mmGdata AVK 02.05.2005 18:56 :: Email-Worm.Win32.Sober.p (KAV)BitDefender 02.05.2005 19:19 :: Win32.Sober.O@mmSophos 02.05.2005 19:27 :: W32/MyDoom-OCommand 02.05.2005 20:07 :: W32/Sober.O@mmIkarus 02.05.2005 20:14 :: Email-Worm.Win32.Sober.PVirusbuster 02.05.2005 20:44 :: I-Worm.Sober.QPanda 02.05.2005 20:49 :: W32/Sober.V.wormeTrust-Iris 02.05.2005 21:54 :: Win32/Sober.53554!WormAntivir 02.05.2005 22:24 :: Worm/Sober.PNorman 02.05.2005 22:46 :: Sober.O@mmTrendMicro 02.05.2005 23:18 :: WORM_SOBER.SAVG 02.05.2005 23:27 :: I-Worm/Sober.PMcAfee 02.05.2005 23:38 :: W32/Sober.p@MMeTrust-Vet 03.05.2005 01:15 :: Win32.Sober.N (VET)Symantec 03.05.2005 03:38 :: W32.Sober.O@mmQuickHeal 03.05.2005 03:38 :: Sober.pDrWeb 03.05.2005 10:46 :: Win32.HLLM.Generic.345
Fuente: PCWelt
6
78/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Heursticos
Clamav Implementacin
Compresores / Descompresores# apt-get install lha arj unrar zoo nomarch lzop arc unzoo
Sistema antivirus# apt-get install clamav clamav-daemon clamav-freshclam
Referencias http://www.irontec.com/~aktor/files/sistema_correo.pdf
6
79/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Bayesianos
Base Terica: Se basa en el siguiente principio matemtico:
La mayora de los sucesos son dependientes y la probabilidad de que un suceso ocurra en el futuro puede ser deducida de las ocurrencias anteriores de dicho suceso.
Se utliza en mltiples campos (estudios epidemiolgicos, quinielas, buscadores de internet...)
6
80/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Bayesianos
Base Terica: Supongamos el siguiente caso:
Una persona padece vmitos, fiebre, diarrea.... Los sntomas detectados indican las que las enfermedades posibles pueden ser mltiples Por probabilidad pura ser una gastroenteritis. Pero si tenemos en cuenta que acaba de llegar de
Laos y no se ha vacunado por probabilidad bayesiana ser malaria.
6
81/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Bayesianos
Base Terica: En la prctica consiste en generar una
base de datos con palabras y tokens (direcciones IP, dominios, $..) recogidos de ejemplos de correo spam y legtimo (ham).
Se le asigna una probabilidad a cada palabra o token.
La probabilidad se calcula en base a la frecuencia con la que una palabra aparece en un correo spam frente a un correo legtimo (ham).
6
82/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Bayesianos
Base Terica:
6
83/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Bayesianos
Base Terica: La probabilidad de que una palabra o token
sea spam se rige por la siguiente expresin matemtica:
P= spamHits / totalSpamspamHits / totalSpaminnocentHits / totalInnocent
6
84/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Bayesianos
Base Terica: Ejemplo: calcular la probabilidad del termino
'microsoft' Supongamos que el termino 'microsoft' aparece en
400 de 3000 correos spam y en 5 de 300 correos legtimos
La probabilidad de spam de 'microsoft' sera
P= 400 /30005/300400/3000
=0.8889
6
85/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Bayesianos
Conclusiones: Es muy importante generar una base de
datos en base a nuestro correo, para evitar sobre todo falsos positivos. Imaginad que Bill Gates usase la base de datos
bayesiana de R. Stallman :-D Algunos softwares anti-spam (Outlook spam filter,
Internet Message Filter de Exchange Server), vienen con una base de datos prefabricada El correo ham es pblico y puede ser hackeado
hay hacks pblicos para Outlook 2003 y el filtro de spam del Exchage Server
Pueden generar un mayor nmero de falsos negativos
6
86/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Bayesianos
Conclusiones Ventajas
Se adapta a si mismo a lo largo del tiempo Es adaptable a cada usuario / grupo Multilinge e internacional Dificil de engaar Rpido aprendizaje Tiene en cuenta todo el mensaje y reconoce las
palabras que identifican spam y las que identifican ham.
Inconvenientes Requiere aprendizaje ( 2 semanas) Degradacin de la base de datos
6
87/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros basados en Contenido
Ningn mtodo de filtrado es 100% efectivo Falsos Negativos
Correo que es spam y no es detectado como tal por el filtro antispam
Son los errores ms habituales Falsos Positivos
Correo legtimo que es detectado como spam por el filtro antispam
Son los errores ms peligrosos
6
88/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros basados en Contenidos
Nunca hay que eliminar el correo considerado como spam. Es suficiente con marcarlo como tal.
El software antispam ideal es el que no no comete falsos positivos y posee un nmero muy bajo de falsos negativos
6
89/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Bayesianos
DSPAM Caractersticas
Filtro exclusivamente bayesiano GPL Alcanza ratios de hasta 99,95% (1 de 2000)
Ms informacin en: http://www.e-
ghost.net/docs/2005/conferencias/dspam_presentacion_SemanaEside2005.pdf
6
90/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Bayesianos
DSPAM Sistemas Operativos soportados
6
91/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Bayesianos
DSPAM Servidores de Correo soportados
6
92/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Bayesianos
DSPAM Backend de almacenamiento soportados:
6
93/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Bayesianos
DSPAM Para lograr un buen porcentaje de acierto
(99,9x%), es necesario entrenar previamente al filtro correspondiente a cada usuario Entre 1000 y 2500 mensajes inocentes Entre 100 y 200 mensajes spam Algunas de las funciones de DSPAM no se
activan hasta recibir al menos 2500 mensajes inocentes.
6
94/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Bayesianos
DSPAM Implementacin
Compilar a mano Aprender la sintaxis y funcionalidades Integrar con el MTA
Complicado construir paquetes para las distribuciones (opciones configure)
.deb: http://pkg-dspam.alioth.debian.org/ (en proyecto) .rpm: http://dag.wieers.com/packages/dspam/ (ver. 2.X) gentoo: http://www.gentoo-portage.com/mail-filter/dspam
6
95/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Bayesianos
DSPAM
6
96/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Bayesianos
DSPAM
6
97/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Bayesianos
DSPAM
6
98/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFiltros Bayesianos
Spamassassin Aprendizaje Bayesiano
Implementacin local.cf
use_bayes 1bayes_min_ham_num 50bayes_min_spam_num 50
6
99/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
SPF: Sender Policy Framework Caracteristicas
Permite a los servidores de correo identificar y/o bloquear envos falsificados haciendo una simple consulta al DNS sobre el registro TXT del dominio origen.
Implementado por ms de 1.000.000 de dominios en menos de 12 meses.
Desarrollado por Pobox
6
100/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
SPF: Protocolos que intervienen:
DNS Necesario para poner accesibles los dominios para los
cuales un MTA tiene autorizacin para enviar correos. Registro TXT. Permite que los servidores que reciben correos de mi
dominio puedan, si quieren, comprobar su validez. SMTP
El MTA ser en encargado de verificar que el servidor que hace entrega del correo tiene permiso para hacerlo en nombre de dicho dominio.
Necesita modificacin
6
101/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
SPF: Funcionamiento
El servidor de correo, cuando recibe un correo, realiza una consulta al DNS del dominio origen.
Si dispone de un registro SPF vlido, comprueba que el correo provenga de donde el DNS anuncia que debe provenir.
6
102/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
SPF: Funcionamiento
6
103/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
SPF: Evolucin de uso
6
104/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
SPF: Algunas entidades que lo implementan
6
105/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
SPF: Ejemplo DNS:$ host -t txt microsoft.com
microsoft.com text "v=spf1 ip4:213.199.128.139 ip4:213.199.128.145 ip4:207.46.50.72 ip4:207.46.50.82 ip4:131.107.3.116 ip4:131.107.3.117 ip4:131.107.3.100 ip4:131.107.3.108 a:delivery.pens.microsoft.com a:mh.microsoft.m0.net mx:microsoft.com ?all"
6Dominio
Versin delprotocolo
Resultadoen caso de fallo
106/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
SPF: Sintaxis de los parmetros DNSv=spf1 [[pre] type ] ... [mod]
Descripcin de los parmetros del DNS v (version) * pre type mod
6
107/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
SPF: Descripcin de los parmetros del DNS
pre Define el cdigo de respuesta devuelto cuando se
produce una coincidencia+ pass (permitido). Valor por defecto- fail (no permitido) ~ softfail (no concluyente)? neutral (no concluyente)
Ejemplos:v=spf1 +a mx -allv=spf1 a ?all
6
108/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
SPF: Descripcin de los parmetros del DNS
type Define el mecanismo de verificacin
ip4:ipv4 direcciones ipv4 para la verificacinip6:ipv6 direcciones ipv6 para la verificacina registro A para la verificacin mx registro MX para la verificacinptr registro PTR para la verificacinexists:domain comprueba la existencia del dominio
Ejemplos:elmundo.com text "v=spf1 ip4:200.75.73.106 mx mx:luna.elmundo.com -all"blyx.com text "v=spf1 ip4:212.163.0.0/26 -all"
6
109/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
SPF: Descripcin de los parmetros del DNS
type Tambin soporta elementos que afectan a la secuencia
de verificacininclude:domain incluye el registro asociado a otro dominioall finaliza el proceso de verificacin
Ejemplos:hotmail.com text "v=spf1 include:spf-a.hotmail.com include:spf-b.hotmail.com include:spf-c.hotmail.com include:spf-d.hotmail.com ~all"spf-a.hotmail.com text "v=spf1 ip4:209.240.192.0/19 ip4:65.52.0.0/14 ip4:131.107.0.0/16 ip4:157.54.0.0/15 ip4:157.56.0.0/14 ip4:157.60.0.0/16 ip4:167.220.0.0/16 ip4:204.79.135.0/24 ip4:204.79.188.0/24 ip4:204.79.252.0/24 ip4:207.46.0.0/16 ip4:199.2.137.0/24 ~all"
6
110/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
SPF: Descripcin de los parmetros del DNS
mod Modificadores finales (deben ir despus del all)
redirect=domain Similar a includeexp=txt-rr Indica registro TXT a devolver en caso de
error Ejemplos:
irontec.com text "v=spf1 a mx ~all exp=malote.irontec.com"malote.irontec.com text "El email enviado por %(s) a traves del servidor SMTP %(i) fue rechazado por %(c) (%(r)) a las %(t) debido a un fallo en la verificacion del dominio %(p). Pongase en contacto con [email protected] para mas informacion"
6
111/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
SPF: Asistente orientativo para determinar los
valores adecuados de los parmetros del DNS http://spf.pobox.com/wizard.html
6
112/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
SPF: Ejemplo de Cabecera:
X-Gmail-Received: 8acbceeba3a4e78bb82169f5e8fd14913a9e40e6Delivered-To: [email protected]: Received: from mai.irontec.com (mai.irontec.com [66.111.55.10]) by mx.gmail.com with ESMTP id 11si280525wrl.2005.05.22.17.58.14; Sun, 22 May 2005 17:58:14 -0700 (PDT)Received-SPF: pass (gmail.com: domain of [email protected] designates 66.111.55.10 as permitted sender)Received: from www.irontec.com (mai [127.0.0.1]) by mai.irontec.com (Postfix) with ESMTP id 4F850598063 for ; Mon, 23 May 2005 02:58:23 +0200 (CEST)Date: Mon, 23 May 2005 02:58:23 +0200 (CEST)Subject: probando SPF de gmailFrom: "Iker Sagasti Markina" To: [email protected]: [email protected]: 1.0Content-Type: text/plain;charset=iso-8859-1Content-Transfer-Encoding: 8bitX-Priority: 3 (Normal)Importance: Normal
6
113/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
SPF: Algunos MTA's que lo implementan
6
114/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
SPF: Algunos MTA's que lo implementan
Postfix: http://spf.pobox.com/postfix-policyd.txt Qmail: http://www.saout.de/misc/spf/ Exim: http://spf.pobox.com/exim4.spf.acl-2.09.txt Sendmail:
http://srs-socketmap.info/spf/sendmail-milter-spf.pl Courier:
http://search.cpan.org/search?query=Courier::Filter::Module::SPF
MsExchange: http://www.michaelbrumm.com/smtpspffilter.html
6
115/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
SPF: Problemas asociados:
Requiere que ambas partes lo soporten Sobrecarga del protocolo DNS El mtodo de autenticacin no permite validaciones
de redirecciones a travs de otros MTA (SRS). Los ISP necesitan implementar mecanismos de
autenticacin (modificar los MTA) Lo ideal sera la implementacin de un nuevo
registro DNS: SPF. De momento TXT. Es necesario un SMTP saliente para cada cuenta
de correo.
6
116/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
SPF: Implementacin en el DNS
irontec.com. IN TXT "v=spf1 a mx ~all"
6
117/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
SPF: Implementacin en el MTA
Libreras necesarias
# apt-get install libmail-spf-query-perl
Filtro que implementa SPF para integrarlo con Postfix
http://spf.pobox.com/postfix-policyd.txt
6
118/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
SPF: Implementacin en el MTA
Main.cfsmtpd_policy_service_endpoint = unix:private/policysmtpd_recipient_restrictions = permit_mynetworks reject_unauth_destination check_policy_service unix:private/policy
Master.cfpolicy unix - n n - - spawn user=nobody argv=/usr/bin/perl \ /usr/lib/postfix/smtpd-policy.pl
6
119/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
SPF: Implementacin en el MTA
Logspostfix/policy-spf[7361]: Attribute: client_address=66.111.55.10postfix/policy-spf[7361]: Attribute: client_name=mai.irontec.compostfix/policy-spf[7361]: Attribute: helo_name=mai.irontec.compostfix/policy-spf[7361]: Attribute: instance=1cbd.4290f1d7.0postfix/policy-spf[7361]: Attribute: protocol_name=ESMTPpostfix/policy-spf[7361]: Attribute: protocol_state=RCPTpostfix/policy-spf[7361]: Attribute: queue_id=postfix/policy-spf[7361]: Attribute: [email protected]/policy-spf[7361]: Attribute: request=smtpd_access_policypostfix/policy-spf[7361]: Attribute: sasl_method=postfix/policy-spf[7361]: Attribute: sasl_sender=postfix/policy-spf[7361]: Attribute: sasl_username=postfix/policy-spf[7361]: Attribute: [email protected]/policy-spf[7361]: Attribute: size=1136postfix/policy-spf[7361]: : testing: stripped [email protected], stripped [email protected]/policy-spf[7361]: handler testing: DUNNOpostfix/policy-spf[7361]: : SPF pass: irontec.com A 66.111.55.10, header_comment=AsteriX: domain of [email protected] designates 66.111.55.10 as permitted senderpostfix/policy-spf[7713]: handler sender_permitted_from: DUNNO postfix/policy-spf[7713]: decided action=DUNNO
6
120/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
SPF: Implementacin en el MTA
Cabecera Es necesario parchear Postfix. No oficial. http://www.ipnet6.org/postfix/spf/
6
121/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
SPF: Implementacin en el MTA
Ejemplo de rechazoaktor@ObeliX:~$ telnet irontec.com 25Trying 66.111.55.10...Connected to mai.irontec.com.Escape character is '^]'.220 mai.irontec.com ESMTP Postfixhelo elmundo.com250-mai.irontec.commail from: 250 Okrcpt to: 554 : Recipient address rejected: Please see http://spf.pobox.com/why.html?sender=aktor%40elmundo.com&ip=80.35.230.140&receiver=mai.irontec.comquit221 ByeConnection closed by foreign host.
6elmundo.com text "v=spf1 ip4:200.75.73.106mx mx:luna.elmundo.com-all"
122/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Sender-ID: Caractersticas
Es el resultado de la unin de los protocolos SPF (Pobox) y PRA (Microsoft). SPF se centra en el argumento MAIL FROM del
protocolo SMTP para realizar la verificacin PRA se centra en la cabecera From: del cuerpo del
mensaje 100% compatible con SPF Tambin conocido como v=spf2.0/pra
6
123/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Sender-ID: MAIL FROM:
Los MTA (servidores de correo) son los encargados de hacer las verificaciones del valor de este campo del protocolo SMTP.
MAIL FROM:From:
MAIL FROM:Sender:From:
6
124/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Sender-ID: PRA: Purported Responsible Address
Los MUA (clientes de correo) son los encargados de hacer la verificacin.
Prximamente soportado por:
6
125/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Sender-ID: Funcionamiento:
6
126/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Sender-ID: Algunas entidades que lo implementan
6
127/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Sender-ID: Ejemplo DNS:$ host -t txt aol.com
aol.com text "spf2.0/pra ip4:152.163.225.0/24 ip4:205.188.139.0/24 ip4:205.188.144.0/24 ip4:205.188.156.0/23 ip4:205.188.159.0/24 ip4:64.12.136.0/23 ip4:64.12.138.0/24 ptr:mx.aol.com ?all"
6Dominio
Identificativode Sender-ID
128/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Sender-ID: Problemas asociados
Microsoft es propietario de la licencia de patente gratuita de Sender-ID
Esto supone que Microsoft tiene una patente sobre un estandar de internet, que podra modificar cuando quisiera.
La licencia no es compatible con la GPL y es problemtica para implementaciones de software libre.
Grandes grupos de software libre no la apoyan (Debian GNU/Linux, Fundacin Apache, FSF, Postfix, Exim, Courier...)
6
129/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Sender-ID: Ejemplo DNS para NO dar soporte a Sender-ID:$ host -t txt anti.sender-id.com
anti.sender-id.com text "spf2.0/pra -all"
6
Vaco
130/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Domain-Keys: Caractersticas
Desarrollado por Yahoo! Borrador de estndar de Internet IETF Basado en Criptografa de clave pblica
PKI (512, 768, 1024, 1536, 2048) Transparente y compatible con la infraestructura de
correo existente. No requiere nueva infraestructura Se implementa independiente a los clientes No exige utilizar una Autoridad Certificadora Oficial
6
131/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Domain-Keys: Elementos que intervienen
DNS Necesario para poner accesible la clave pblica con la
que se firman los correos enviados por terceros. Registro TXT.
MTA El MTA ser en encargado de verificar y firmar
digitalmente los mensajes entrantes y salientes.
6
132/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Domain-Keys: Funcionamiento
Est basado en un par de claves pblica/privada Por cada correo saliente se calcula un hash A partir del hash se genera una firma con la Clave
Privada. La firma se aade a la cabecera del correo,
especificando donde encontrar la Clave Pblica. El receptor podr verificar la firma de la cabecera
utilizando la Clave Pblica encontrada en el DNS. Si coinciden el hash descifrado de la cabecera con
el hash calculado del cuerpo, el correo es vlido.
6
133/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Domain-Keys: Funcionamiento
6
134/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Domain-Keys: Resultados posibles:
La firma DomainKey es vlida: CORREO VLIDO
La firma DomainKey no existe o no es vlida para un dominio con el registro DNS: CORREO INVLIDO
Dominio sin registro DNS: CORREO INCIERTO
6
135/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Domain-Keys: Algunas entidades que lo implementan
6
136/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Domain-Keys: Ejemplo Cabecera:DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
s=clave; d=irontec.com; h=received:message-id:date:from:reply-to:to:subject:mime-version:content-type:content-transfer-encoding:content-disposition; b=p5iW1AkeDteYhLf81bPjxjfYHoGGWU+088ZE5ln8hFPSN2sTsIY3AGMmhA8cL0a9OPAsIkigappWZ533+wI2hF8OxMZ81Lvsb9Us2r0liEsQAZhxXLpJUXUAQqgughAmuXKzGFpvR1ljtbzPDi7/LXxdCiqoj9nhE/xZpnpAl5g=
6
137/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Domain-Keys: Descripcin de los parmetros de la Cabecera
a (algoritmo firma) * b (firma digital) * c (algoritmo de orden) * d (dominio) * h (listado de las cabeceras) q (consulta) * s (selector) *
6
138/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Domain-Keys: Descripcin de los parmetros de la Cabecera
Selector Son nombres arbitrarios bajo el espacio de nombre
_domainkey y su funcin es indicar el espacio de nombre al que hacer la consulta para obtener la clave pblica con la que ha sido generada la cabecera DK.
Permite trabajar simultneamente con varias claves Ejemplos:
clave._domainkey.irontec.com2005.05.internet._domainkey.irontec.com2005.05.sistemas._domainkey.irontec.com2005.06.internet._domainkey.irontec.com2005.06.sistemas._domainkey.irontec.com
6
139/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Domain-Keys: Ejemplo DNS:$ host -t txt beta._domainkey.gmail.com
beta._domainkey.gmail.com text "t=y\; k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC69TURXN3oNfz+G/m3g5rt4P6nsKmVgU1D6cw2X6BnxKJNlQKm10f8tMx6P6bN7juTR1BeD8ubaGqtzm2rWK4LiMJqhoQcwQziGbK1zp/MkdXZEWMCflLY6oUITrivK7JNOLXtZbdxJG2y/RAHGswKKyVhSP9niRsZF/IBr5p8uQIDAQAB"
6Selector DominioSelector
Modo Prueba
140/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Domain-Keys: Descripcin de los parmetros del DNS
g (granularidad) k (tipo de clave) n (notas) p (clave publica) * t (flag)
6
141/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Domain-Keys: Ejemplo consulta informacin DNS Interino:$ host -t txt _domainkey.yahoo.com
_domainkey.yahoo.com text "t=y\; o=~\; n=http://antispam.yahoo.com/domainkeys
6Espacio de Nombrereservado en el DNSpara implementar DK
142/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Domain-Keys: Descripcin de los parmetros del DNS
Interino n (notas) o (poltica de firmas salientes) r (email de aviso) t (flag)
6
143/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Domain-Keys: Algunos MTA's que lo implementan
6
144/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Domain-Keys: Problemas asociados:
Requiere que ambas partes lo soporten Sobrecarga del protocolo SMTP y DNS
Calcular algoritmos criptogrficos para cada correo Aumentan el nmero de consultas
Forwarding Se aaden nuevos elementos (cabeceras, pies...)
Seguridad DNS no es un protocolo intrnsecamente seguro
6
145/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Domain-Keys: Implementacin en el DNS
Generar el par de claves (pblica / privada) Clave Privada (para firmar los correos enviados)
$ openssl genrsa -out rsa.private 768 Clave Pblica (para que otros puedan verificar los
correos enviados por mi)$ openssl rsa -in rsa.private -out rsa.public -pubout -outform PEM
La clave pblica (rsa.public) se coloca en el DNSclave._domainkey.irontec.com. IN TXT "t=y\;k=rsa\;p=MHwwDQYJKoZIhvcNAQEBBQADawAwaAJhAKXQl2uA4vntjblGsnkCC9lVcQZXm722Y0brubUGo6KOVpfvNQ35/OeEJvGbOYTeFGGIta+re5zyzg+cU9CbDGlwj9tEyAb6VY4HUtJOAUheJCsIYg0iiBDlCKNoURtjsQIDAQAB"
6
146/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Domain-Keys: Implementacin en el MTA
Generar la firma del correo$ openssl dgst -sign rsa.private -sha1 < input.mail
aoiDeX42BB/gP4ScqTdIQJcpAObYr+54yvctqc4rSEFYby9+omKD3pJ/TVxATeTzmsybuW3WZiamb+mvn7f3rhmnozHJ0yORQbnn4qJQhPbbPbWEQKW09AMJbyz/0lsl
DomainKey-Signature: a=rsa-sha1 s=clave; d=irontec.com; c=nofws; q=dns; b=aoiDeX42BB/gP4ScqTdIQJcpAObYr+54yvctqc4rSEFYby9+omKD3pJ/TVxATeTzmsybuW3WZiamb+mvn7f3rhmnozHJ0yORQbnn4qJQhPbbPbWEQKW09AMJbyz/0lsl;
6
147/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Domain-Keys: Dkfilter (http://jason.long.name/dkfilter)
Requiere el mdulo de PERL Crypt::OpenSSL::RSA# apt-get install libcpanplus-perl libssl-dev# apt-get install bzip2 tar lynx wget ncftp ftp gpg# cpancpan> install Crypt::OpenSSL::RSA
Copiamos dkfilter en /usr/local/dkfilter Cambiamos permisos de /usr/local/dkfilter Preparamos un script de arranque y parada
6
148/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Domain-Keys: Dkfilter
Filtro de Entrada Para iniciarlo
# dkfilter.in 127.0.0.1:10025 127.0.0.1:10026
Master.cf# Recibe el correo desde Internet y lo inyecta al# filtro con pto. 10025smtp inet n - n - - smtpd -o smtpd_proxy_filter=127.0.0.1:10025 -o smtpd_client_connection_count_limit=10
6
149/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Domain-Keys: Dkfilter
Filtro de Entrada Master.cf
# Para recibir el correo desde el filtro de contenidos127.0.0.1:10026 inet n - n - - smtpd -o smtpd_authorized_xforward_hosts=127.0.0.0/8 -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions= -o mynetworks=127.0.0.0/8 -o receive_override_options=no_unknown_recipient_checks
6
150/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Domain-Keys: Dkfilter
Filtro de Salida Para iniciarlo
# dkfilter.out --keyfile=/usr/local/dkfilter/private.key --selector=clave --domain=irontec.com--method=nofws 127.0.0.1:10027 127.0.0.1:10028
Master.cf# Instancia para el cliente DK encargado de firmardksign unix - - n - 10 smtp -o smtp_send_xforward_command=yes
6
151/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Domain-Keys: Dkfilter
Filtro de Salida Master.cf
# Servicio para aceptar correos del cliente DK127.0.0.1:10028 inet n - n - 10 smtpd -o content_filter= -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks -o smtpd_helo_restrictions= -o smtpd_client_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o mynetworks=127.0.0.0/8 -o smtpd_authorized_xforward_hosts=127.0.0.0/8
6
152/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Domain-Keys: Dkfilter
Filtro de Salida Master.cf
# Definimos un filtro de contenidos para los correos# enviados a travs de este MTA.# Solo para usarios locales y autenticados por SASLsubmission inet n - n - - smtpd -o smtpd_etrn_restrictions=reject -o smtpd_sasl_auth_enable=yes -o content_filter=dksign:127.0.0.1:10027 -o receive_override_options=no_address_mappings -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
6
153/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Domain-Keys: Dkfilter
Ejemplo cabecera de correo vlidoAuthentication-Results: AsteriX [email protected]; domainkey=passDomainKey-Signature: a=rsa-sha1; b=T3l1MLH6fZyI+GrS+4tzUG2X8pBVbDgrKUf9h9UFg2nsNJ2HwdYNp9XPLEsqr4Mq5LrxULTsfJm3ll65ZrKHrBgz7S7MSZ3u9+Jm/8zPLBIDJs/vOVjM1hVOGnjRzAW7YTlnekjju5lcJNAo3VvzBtbL+5gUnaPbfwxHKKivPEw=; c=nofws; d=irontec.com; q=dns; s=clave
6
154/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Domain-Keys: Dkfilter
Ejemplo cabecera de correo invlidoAuthentication-Results: AsteriX [email protected]; domainkey=neutral (signature invalid; key testing)DomainKey-Signature: a=rsa-sha1; b=ChzGakHHdR7KsaBbdRqIb+dyJ3ua5oDXfYZMMRpHDNFYMcZVzK9sTlipQ1eu8t2317tNbyW93SVBHFYEqLkun7zyrvnHYiJ5VXYYPYe0iUPA5RlfDurJOZHcQdsf/QZevzVsP7KDzZgdOZRIUwGF2EP6vYNs5HKE6p6socVvVDo=; c=nofws; d=irontec.com; q=dns; s=clave
6
155/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio
Domain-Keys: Dkfilter
Ejemplo cabecera de correo entrante sin firmarAuthentication-Results: AsteriX [email protected]; domainkey=neutral (no signature; domain testing)
6
156/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoFin del SPAM?
Existe el SPAM porque es un negocio rentable (tiene un costo y un beneficio asociado)
Si una parte de los usuarios utiliza filtros que tienen un 90% efectividad Ej: 20% de usuarios usan filtros
18% del spam se pierde Los spammers pierden un 18% de su negocio
Ej: 50% de usuarios usan filtros 45% del spam se pierde Los spammers pierden un 45% de su negocio Quizs ya no sea un negocio!
7
157/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoReferencias
Referencias
158/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoReferencias
Wikipedia Project Honey Pot Sophos Cmara de Gipuzkoa Portaley Pobox Domainkeys MsExchange Blyx
159/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoAgradecimientos
Agradecimientos
160/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoAgradecimientos
Enpresa Digitala Toni dlF. Diaz Vosotros ;-)
161/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoLicencia Copyleft
Copyright
162/162Iker Sagasti [email protected]
Tcnicas anti-spam: Presente y FuturoLicencia Copyleft
Este documento est protegido bajo la licencia Reconocimiento-CompartirIgual 2.1 Espaa de Creative Commons (http://creativecommons.org/licenses/by-sa/2.1/es/)
Copyright 2005 Iker Sagasti Markina
Se permite la copia, modificacin, distribucin, usocomercial y realizacin de la obra, siempre y cuando sereconozca la autora de la misma y se cite al autor original, a no sea ser que se obtenga permiso expreso del autor.
Esta nota no es la licencia completa de la obra, sinouna nota orientativa de la licencia original completa (jurdicamente vlida).
Top Related