Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
11
Niechciane wiadomoNiechciane wiadomośści ci ––
obrona przedobrona przed spamemspamem przy pomocy przy pomocy
Exchange 2007 i MSExchange 2007 i MS Forefront SecurityForefront Security
PoznaPoznańń, , 1919..1111.2008.2008
dr Maciejdr Maciej MiMiłłostanostan
ZespZespóółł BezpieczeBezpieczeńństwa PCSSstwa PCSS
22
Agenda (1)AgendaAgenda (1)(1)
11:00 – Rozpoczęcie, powitanie uczestników, informacje
organizacyjne
11:05 – Poznajmy się: czym jest PCSS i MIC?
11:15 – Niechciane wiadomości (cz. 1) - obrona przed spamem:
architektura systemu pocztowego a role serwerów Microsoft
Exchange 2007
12:00 – Przerwa
12:10 – Niechciane wiadomości (cz. 2) – obrona przed spamem:
mechanizmy filtracji a Microsoft Forefront Security 2007
12:50 – Podsumowanie, dyskusja, zaproszenie na kolejne szkolenia
13:00 – Zakończenie
11:00 11:00 –– RozpoczRozpoczęęcie, powitanie uczestnikcie, powitanie uczestnikóów, informacje w, informacje
organizacyjneorganizacyjne
11:05 11:05 –– Poznajmy siPoznajmy sięę: czym jest PCSS i MIC?: czym jest PCSS i MIC?
11:15 11:15 –– Niechciane wiadomoNiechciane wiadomośści (cz. 1) ci (cz. 1) -- obrona przedobrona przed spamemspamem: :
architektura systemu pocztowego a role serwerarchitektura systemu pocztowego a role serweróów Microsoft w Microsoft
Exchange 2007Exchange 2007
12:00 12:00 –– PrzerwaPrzerwa
12:10 12:10 –– NNiechciane wiadomoiechciane wiadomośści (cz. 2) ci (cz. 2) –– obrona przedobrona przed spamemspamem: :
mechanizmy filtracji a Microsoftmechanizmy filtracji a Microsoft Forefront SecurityForefront Security 20072007
12:50 12:50 –– Podsumowanie, dyskusja, zaproszenie na kolejne szkoleniaPodsumowanie, dyskusja, zaproszenie na kolejne szkolenia
13:00 13:00 –– ZakoZakońńczenieczenie
33
Informacje organizacyjneInformacje organizacyjneInformacje organizacyjne
Ankieta
Krótka i anonimowa
Pomoc na przyszłość
Lista obecności
Proszę zaznaczyć, czy chcecie Państwo otrzymywaćinformacje o kolejnych szkoleniach
Prezentacja – dostępna na stronach WWW
http://mic.psnc.pl
http://szkolenia.man.poznan.pl
http://security.psnc.pl
Webcast
Wyjątkowo brak – jesteście Państwo wybrani ;)
AnkietaAnkieta
KrKróótka i anonimowatka i anonimowa
Pomoc na przyszPomoc na przyszłłoośćść
Lista obecnoLista obecnośścici
ProszProszęę zaznaczyzaznaczyćć, czy chcecie Pa, czy chcecie Pańństwo otrzymywastwo otrzymywaććinformacje o kolejnych szkoleniachinformacje o kolejnych szkoleniach
Prezentacja Prezentacja –– dostdostęępna na stronach WWWpna na stronach WWW
http://http://micmic..psncpsnc..plpl
http://szkolenia.http://szkolenia.manman..poznanpoznan..plpl
http://http://securitysecurity..psncpsnc..plpl
WebcastWebcast
WyjWyjąątkowo brak tkowo brak –– jestejesteśście Pacie Pańństwo wybrani ;)stwo wybrani ;)
44
Kim jesteśmy i co robimy?KimKim jestejesteśśmymy i coi co robimyrobimy??
55
PCSSPCSSPCSSPoznańskie Centrum Superkomputerowo-Sieciowe: 15 lat
Operator sieci PIONIER oraz POZMAN
Uczestnik projektów naukowo-badawczych
Główne obszary zainteresowań
Gridy, sieci nowej generacji, portale
Bezpieczeństwo sieci i systemów
http://www.pcss.pl
PoznaPoznańńskie Centrum skie Centrum SuperkomputerowoSuperkomputerowo--Sieciowe: Sieciowe: 15 lat15 lat
Operator sieci PIONIER oraz Operator sieci PIONIER oraz POZMANPOZMAN
Uczestnik projektUczestnik projektóów w naukowonaukowo--badawczychbadawczych
GGłłóówne obszary wne obszary zainteresowazainteresowańń
GridyGridy, sieci nowej , sieci nowej generacji, portalegeneracji, portale
BezpieczeBezpieczeńństwo sieci i stwo sieci i systemsystemóóww
http://http://wwwwww..pcsspcss..plpl
66
Zespół Bezpieczeństwa PCSSZespZespóółł BezpieczeBezpieczeńństwa PCSSstwa PCSS
Dedykowany zespDedykowany zespóółł istnieje od 1996r.istnieje od 1996r.
Podstawowy zakres prac ZespoPodstawowy zakres prac Zespołłuu
Zabezpieczanie infrastruktury PCSSZabezpieczanie infrastruktury PCSS
Zadania bezpieczeZadania bezpieczeńństwa w projektach naukowo stwa w projektach naukowo –– badawczychbadawczych
Szkolenia i transfer wiedzySzkolenia i transfer wiedzy
Badania wBadania włłasneasne
AudytyAudyty i doradztwo w zakresie bezpieczei doradztwo w zakresie bezpieczeńństwa ITstwa IT
NiektNiektóóre badania z ostatnich latre badania z ostatnich lat
Raport o bezpieczeRaport o bezpieczeńństwie bankowostwie bankowośści elektronicznej (2006)ci elektronicznej (2006)
BezpieczeBezpieczeńństwo serwerstwo serweróów WWWw WWW ApacheApache i MS IIS (2007)i MS IIS (2007)
BezpieczeBezpieczeńństwo sklepstwo sklepóów internetowych (2008)w internetowych (2008)
http://http://securitysecurity..psncpsnc..plpl
77
Centrum Innowacji MicrosoftCentrum Innowacji MicrosoftCentrum Innowacji Microsoft
Otwarcie: Otwarcie: 1.06.2006r.1.06.2006r.
Pierwsze w Polsce MICPierwsze w Polsce MIC„„Centrum bezpieczeCentrum bezpieczeńństwa stwa i usi usłługug outsourcingowychoutsourcingowych””
PartnerzyPartnerzyMicrosoft CorporationMicrosoft Corporation
PoznaPoznańńskie Centrum skie Centrum SuperkomputerowoSuperkomputerowo--SiecioweSieciowe
Politechnika PoznaPolitechnika Poznańńskaska
http://http://micmic..psncpsnc..plpl
88
Cele i zadania MICCele i zadania MICCele i zadania MICWybrane cele MICWybrane cele MIC
Edukacja poprzez zdalne udostEdukacja poprzez zdalne udostęępnianie aplikacji MSpnianie aplikacji MS
Szybszy rozwSzybszy rozwóój lokalnych firm (Mj lokalnych firm (MŚŚP) poprzez doradztwo w zakresie P) poprzez doradztwo w zakresie podnoszenia poziomu bezpieczepodnoszenia poziomu bezpieczeńństwa teleinformatycznego,stwa teleinformatycznego, audytyaudytyoraz szkoleniaoraz szkolenia
Poprawa dostPoprawa dostęępu i jakopu i jakośści usci usłług medycznych w Wielkopolsce ug medycznych w Wielkopolsce
ŁŁatwy i bezpieczny dostatwy i bezpieczny dostęęp do ep do e--ususłług w urzug w urzęędachdach
GGłłóówne zadania MIC w roku 2008wne zadania MIC w roku 2008
UsUsłługiugi hostingowehostingowe dla edukacji, instytucji charytatywnych i dla edukacji, instytucji charytatywnych i uużżytkownikytkownikóów indywidualnychw indywidualnych
Szkolenia w zakresie bezpieczeSzkolenia w zakresie bezpieczeńństwa ITstwa IT
RozwRozwóój systemuj systemu telekonsultacjitelekonsultacji medycznych medycznych „„TelesforTelesfor””
Badania nad technologiBadania nad technologiąą SilverlightSilverlight 2.02.0
99
Szkolenia bezpieczeństwa MICSzkolenia bezpieczeSzkolenia bezpieczeńństwa MICstwa MIC4 szkolenia rocznie4 szkolenia rocznie
http://http://micmic..psncpsnc..plpl//taskstasks//lectlect..htmlhtml
http://szkolenia.http://szkolenia.manman..poznanpoznan..plpl//kdmkdm
Tematy szkoleTematy szkoleńń w roku 2008w roku 2008
10.04.08: Format10.04.08: Format OpenXMLOpenXML
24.06.08: Bezpiecze24.06.08: Bezpieczeńństwo w firmachstwo w firmach
19.11.08: Niechciane wiadomo19.11.08: Niechciane wiadomośścici
16(18).12.08: Omijanie16(18).12.08: Omijanie firewallifirewalliw systemach Windowsw systemach Windows
ZachZachęęcamy do zgcamy do zgłłaszania aszania w ankietachw ankietachpropozycji tematpropozycji tematóów na rok 2009!w na rok 2009!
10
Niechciane wiadomości –
obrona przed spamem przy pomocy
Exchange 2007 i MS Forefront Security
Niechciane wiadomoNiechciane wiadomośści ci ––
obrona przedobrona przed spamemspamem przy pomocy przy pomocy
Exchange 2007 i MSExchange 2007 i MS Forefront SecurityForefront Security
11
Skrzynka wiadomości, czytamy i „SPAM, SPAM, SPAM…” niczym w skeczu Monty Pythona
Skrzynka wiadomości, czytamy i „SPAM, SPAM, SPAM…” niczym w skeczu Monty Pythona
SPAM a rzeczywistośćSPAM a rzeczywistość
http://www.spam.com
12
Dostrzec to co ważneDostrzec to co ważne
13
Walka z wiatrakami?Walka z wiatrakami?
14
Przepływ poczty Przepływ poczty Zapytanie DNS:smtp.istniejacadomena.pl
Serwer poczty wychodz ącej:smtp.istniej ącadomena.pl
Odpowied ź DNS: 10.0.0.100
From: Herr Flick<[email protected]>To: [email protected]:Wa ŜneMisie w drodze. Ptaszki musz ąodlecie ć do ciepłych krajów .
15
Przepływ poczty Przepływ poczty Nawiązanie połączenia:10.0.0.100
Uwierzytelnienie: uŜytkownik+hasło Zapytanie DNS:
mxman.poznan.pl
Odpowiedz DNS: 150.254.173.3
16
Przepływ poczty Przepływ poczty
Łączenie z 150.254.173.3
Sprawdzanie poczty
17
Przepływ poczty Przepływ poczty
Pobieranie pocztySprawdzanie poczty
19
Przepływ poczty Przepływ poczty
Pobieranie poczty (pop,imap, protokoły microsoft*)DNS
Wysyłanie poczty(smtp) DNS
SMTP
* http://msdn.microsoft.com/en-us/library/cc425499. aspx
20
Typowa sesja SMTP a filtracja Typowa sesja SMTP a filtracja >telnet 207.46.197.32 25Trying 127.0.0.1...220 CPMSFTWBC10.phx.gbl Microsoft ESMTP MAIL Service, Version: 6.0.3790.1830 ready at….
helo anemone.man.poznan.pl250 CPMSFTWBC10.phx.gbl Hello [150.254.149.195]
mail from: [email protected] 2.1.0 [email protected] OK.
rcpt to: [email protected] 2.1.5 [email protected] Ok
DATA354 End data with <CR><LF>.<CR><LF>Subject: Test SMTPTo: Ktos <[email protected]>Witaj,Pozdrawiam.
.250 2.0.0 OkquitConnection closed by foreign host .
Źródłowy adres IP
Nazwa komputera
Adres e-mailnadawcy
Adres e-mailodbiorcy
Zawarto ść: Temat, Odbiorca i nadawca w tre ści itp.
Dane uzyskane w trakcie sesji SMTP
+DANE Z DNS
21
Źródłowy adres IP:Czarne listy (black lists, rbls)
Białe listy (white lists)
Rekordy odwrotne dns
Rekord mx w dns dla nazwy domeny uzyskanej w wyniku odwrotnego zapytania DNS
Nazwa komputera z EHLO/HELO:zgodność z nazwą uzyskaną z zapytania DNS
liczba nazw dla jednego adresu IP (wymaga bazy adresów )
czarne listy, białe listy
Źródłowy adres IP:Czarne listy (black lists, rbls)
Białe listy (white lists)
Rekordy odwrotne dns
Rekord mx w dns dla nazwy domeny uzyskanej w wyniku odwrotnego zapytania DNS
Nazwa komputera z EHLO/HELO:zgodność z nazwą uzyskaną z zapytania DNS
liczba nazw dla jednego adresu IP (wymaga bazy adresów )
czarne listy, białe listy
Dane z sesji a metody antyspamoweDane z sesji a metody antyspamowe
22
Adres e-mail nadawcyczy FQDN
Rekordy mx
Rekordy A
Adres e-mail odbiorcyczy lokalny
jeśli nie lokalny, to czy nadawca lokalny i użytkownik lub hostautoryzowany do wysyłania e-maila z takim adresem
Adres e-mail nadawcyczy FQDN
Rekordy mx
Rekordy A
Adres e-mail odbiorcyczy lokalny
jeśli nie lokalny, to czy nadawca lokalny i użytkownik lub hostautoryzowany do wysyłania e-maila z takim adresem
Dane z sesji a metody antyspamowe (1)Dane z sesji a metody antyspamowe (1)>printf '\0username\0password'|
mimencode
AHVzZXJuYW1lAHBhc3N3b3Jk
>telnet server.example.com 25
. . .
220 server.example.com
EHLO client.example.com
250-AUTH DIGEST-MD5 PLAIN CRAM-MD5
250 8BITMIME
AUTH PLAIN AHVzZXJuYW1lAHBhc3N3b3Jk
235 Authentication successful
>printf '\0username\0password'|
mimencode
AHVzZXJuYW1lAHBhc3N3b3Jk
>telnet server.example.com 25
. . .
220 server.example.com
EHLO client.example.com
250-AUTH DIGEST-MD5 PLAIN CRAM-MD5
250 8BITMIME
AUTH PLAIN AHVzZXJuYW1lAHBhc3N3b3Jk
235 Authentication successful
23
Zawartość (mail content, mail body):Nagłówki,
Temat,
Słowa kluczowe
Załączniki:Typy plików
Zawartość plików (wirusy, konie trojańskie, skrypty itp.)
Zawartość (mail content, mail body):Nagłówki,
Temat,
Słowa kluczowe
Załączniki:Typy plików
Zawartość plików (wirusy, konie trojańskie, skrypty itp.)
Dane z sesji a metody antyspamowe (1)Dane z sesji a metody antyspamowe (1)
24
W trakcie sesji SMTP (z ang. before queue)
Po odebraniu całej wiadomości i przesłaniu jej do „kolejki” w celu dalszego przetwarzania(z ang. after queue)
W trakcie sesji SMTP (z ang. before queue)
Po odebraniu całej wiadomości i przesłaniu jej do „kolejki” w celu dalszego przetwarzania(z ang. after queue)
Kiedy filtrowaćKiedy filtrować
25
Kiedy filtrowaćKiedy filtrować
W trakcie sesji SMTP (z ang. before queue)Mail sprawdzony zanim trafi do kolejki (+)
Redukcja problemów z „odbitymi i podwójnie odbitymi wiadomościami” (ang. bounce i double-bounce) (+)
Wydłużenie czasu obsługi klientów (-)
Konieczność uruchamiania większej liczby procesów żeby obsłużyć żądania klientów (-)
Możliwość szybkiego przerwania sesji bez konieczności odbioru zawartości wiadomości (+)
W trakcie sesji SMTP (z ang. before queue)Mail sprawdzony zanim trafi do kolejki (+)
Redukcja problemów z „odbitymi i podwójnie odbitymi wiadomościami” (ang. bounce i double-bounce) (+)
Wydłużenie czasu obsługi klientów (-)
Konieczność uruchamiania większej liczby procesów żeby obsłużyć żądania klientów (-)
Możliwość szybkiego przerwania sesji bez konieczności odbioru zawartości wiadomości (+)
25
26
Kiedy filtrowaćKiedy filtrować
Po odebraniu całej wiadomości i przesłaniu jej do „kolejki” w celu dalszego przetwarzania(z ang. after queue)
Możliwość przeprowadzenia czasochłonnej analizy zawartości np. wyszukiwanie wzorców, metody uczenia maszynowego (+)
Dekompresja dużych załączników (+)
Analiza antywirusowa (+)
Może wystąpić problem bounce-ów i double-bounce-ów (-)
Po odebraniu całej wiadomości i przesłaniu jej do „kolejki” w celu dalszego przetwarzania(z ang. after queue)
Możliwość przeprowadzenia czasochłonnej analizy zawartości np. wyszukiwanie wzorców, metody uczenia maszynowego (+)
Dekompresja dużych załączników (+)
Analiza antywirusowa (+)
Może wystąpić problem bounce-ów i double-bounce-ów (-)
26
27
Należy filtrować zarówno w trakcie sesji (lekkie analizy, sprawdzanie rekordów DNS-owych) jak i po odebraniu całej wiadomości.
Należy filtrować zarówno w trakcie sesji (lekkie analizy, sprawdzanie rekordów DNS-owych) jak i po odebraniu całej wiadomości.
Kiedy filtrowaćKiedy filtrować
28
Inne możliwościInne możliwości
SMTP callback verification/callout verificationHELO <local host name>
MAIL FROM:<>
RCPT TO:<the address to be tested>
QUIT
Celowe opóźnienie w odpowiedziach na komendy SMTP (Greet delays, tarpitting)
Greylisting (szare listy)
SMTP callback verification/callout verificationHELO <local host name>
MAIL FROM:<>
RCPT TO:<the address to be tested>
QUIT
Celowe opóźnienie w odpowiedziach na komendy SMTP (Greet delays, tarpitting)
Greylisting (szare listy)
28
29
GreylistingGreylisting1. Czy wysyłający nadawca/host/sieć jest na białej
liście?
2. Czy adres e-mail odbiorcy (lub domena) jest na białej liście, jeśli tak to przepuść e-maila
3. Sprawdź czy widzieliśmy już taką trójkę wcześniej (IP/nadawca/odbiorca):
1. Jeśli nie to wygeneruj tymczasowy błąd (np. 4.5.0) doMTA i utwórz rekord w bazie
2. Jeśli widzieliśmy, ale czasowa blokada nie minęła, to wygeneruj tymczasowy błąd
3. Jeśli czas blokady dla danej trójki minął, to przepuść
1. Czy wysyłający nadawca/host/sieć jest na białej liście?
2. Czy adres e-mail odbiorcy (lub domena) jest na białej liście, jeśli tak to przepuść e-maila
3. Sprawdź czy widzieliśmy już taką trójkę wcześniej (IP/nadawca/odbiorca):
1. Jeśli nie to wygeneruj tymczasowy błąd (np. 4.5.0) doMTA i utwórz rekord w bazie
2. Jeśli widzieliśmy, ale czasowa blokada nie minęła, to wygeneruj tymczasowy błąd
3. Jeśli czas blokady dla danej trójki minął, to przepuść29
30
GreylistingGreylisting
4. Jeśli wiadomość została przepuszczona i doręczona z sukcesem to:
Inkrementujemy licznik prawidłowych doręczeń
Resetujemy czas życia rekordu
Jeśli nie została doręczona to: Inkrementujemy licznik błędów dla danego rekordu
Jeśli nadawca jest specjalnym przypadkiem (np. null sender) nie zwracaj błędu po RCPT, tylko poczekaj do końca fazy DATA
4. Jeśli wiadomość została przepuszczona i doręczona z sukcesem to:
Inkrementujemy licznik prawidłowych doręczeń
Resetujemy czas życia rekordu
Jeśli nie została doręczona to: Inkrementujemy licznik błędów dla danego rekordu
Jeśli nadawca jest specjalnym przypadkiem (np. null sender) nie zwracaj błędu po RCPT, tylko poczekaj do końca fazy DATA
30
31
Ruch międzyserwerowy vs. ruch klienckiRuch międzyserwerowy vs. ruch kliencki
SMTP SMTP
Port 25Port 25
Port 587
RFC 5068 http://www.ietf.org/rfc/rfc5068.txt definiuje MSA (Mail Submission Agent)
MTA (Mail Transfer Agent)
MSA (MailSubmission Agent)
MUA (MailUser Agent)
32
Brak separacji - wielokrotne skanowanie tej samej poczty, bezpośredni wpływ ruchu zewnętrznego na wydajność komunikacji wewnętrznej
Separacja – stabilna komunikacja wewnątrz korporacji, efektywniejsze wykorzystanie zasobów
Jak dokonać separacji i w którym miejscu?
Brak separacji - wielokrotne skanowanie tej samej poczty, bezpośredni wpływ ruchu zewnętrznego na wydajność komunikacji wewnętrznej
Separacja – stabilna komunikacja wewnątrz korporacji, efektywniejsze wykorzystanie zasobów
Jak dokonać separacji i w którym miejscu?
Ruch wewnątrz firmowy vs. komunikacja ze światem zewnętrznymRuch wewnątrz firmowy vs. komunikacja ze światem zewnętrznym
33
Model systemu pocztowegoModel systemu pocztowegoSerwer brzegowy (port 25):Routing, filtracja, dns
Dostęp kliencki(port 587, message submission; 143, IMAP; 110 POP; +TLS)
Skrzynki pocztowe
Węzełpocztowy
DNS
Inte
rne
t
MUA (MailUser Agent)
MTA (Mail Transfer Agent)
MSA (MailSubmission Agent)
34
Świat przed Exchange Server 2007 (do MSE 2003)Świat przed Exchange Server 2007 (do MSE 2003)
`
9. User Safe /Blocked Sender Lists andStore Threshold
Internet
1. Connection FilteringAllow/Deny IP listsReal time block lists
Internet Mail Gateway Server
2. Sender Filtering
3. Recipient Lookup
4. Recipient Filtering
5. Sender ID Lookup
6. Intelligent Message Filter
Routing HubServer
8. Virus Scanning
7. Attachment Stripping
For example :.dll, .exe, .cmd, .com,
.js, .wsf, and .vbs
Mailbox Server
13. Antivirus SoftwareReal -time scanning
Outlook 2003Client
12. Attachment and Web Beacon Blocking
Inbox Junk E -mail
11. Client-Side Spam Filtering
10. Outlook Client Version Control
`
9. User Safe /Blocked Sender Lists andStore Threshold
Internet
1. Connection FilteringAllow/Deny IP listsReal time block lists
Internet Mail Gateway Server
2. Sender Filtering
3. Recipient Lookup
4. Recipient Filtering
5. Sender ID Lookup
6. Intelligent Message Filter
Routing HubServer
8. Virus Scanning
7. Attachment Stripping
For example :.dll, .exe, .cmd, .com,
.js, .wsf, and .vbs
Mailbox Server
13. Antivirus SoftwareReal -time scanning
Outlook 2003Client
12. Attachment and Web Beacon Blocking
Inbox Junk E -mail
11. Client-Side Spam Filtering
10. Outlook Client Version Control
35
Technologia SmartScreen oparta na uczeniu maszynowym opracowana i opatentowana przez Microsoft Research
Klasyfikator nauczony na próbkach wiadomości ważnych/pożądanych, oraz niepożądanych (UCE - unsolicited commercial e-mail , SPAM)
Technologia SmartScreen oparta na uczeniu maszynowym opracowana i opatentowana przez Microsoft Research
Klasyfikator nauczony na próbkach wiadomości ważnych/pożądanych, oraz niepożądanych (UCE - unsolicited commercial e-mail , SPAM)
Intelligent Message FilterIntelligent Message Filter
36
MS Exchange 2003 z IMFMS Exchange 2003 z IMF
37
Architektura zbieżna z przedstawionym modelem sytemu pocztowego
W stosunku do Exchange 2003 nowe role serwerów
Nowe wbudowane funkcje antyspamowe i antywirusowe
Nowa rodzina produktów rozszerzających możliwości antywirusowe i antyspamowe
Model administracji oparty na rolach. Jeden serwer może pełnić kilka ról lub funkcjonalność może byćrozdzielona pomiędzy serwery
Architektura zbieżna z przedstawionym modelem sytemu pocztowego
W stosunku do Exchange 2003 nowe role serwerów
Nowe wbudowane funkcje antyspamowe i antywirusowe
Nowa rodzina produktów rozszerzających możliwości antywirusowe i antyspamowe
Model administracji oparty na rolach. Jeden serwer może pełnić kilka ról lub funkcjonalność może byćrozdzielona pomiędzy serwery
Microsoft Exchange 2007Microsoft Exchange 2007
38
Nowości w wersji 2007Nowości w wersji 2007
39
Hub Transport
Edge Transport
Dostęp kliencki
Zarządzanie skrzynkami (Mailbox Server)
Unified Messaging
Hub Transport
Edge Transport
Dostęp kliencki
Zarządzanie skrzynkami (Mailbox Server)
Unified Messaging
Role serwerów ExchangeRole serwerów Exchange
40
Architektury serwerów i środowiska (Elastyczna i skalowalna infrastruktura )Architektury serwerów i środowiska (Elastyczna i skalowalna infrastruktura )
Internet
Data tierMiddle tierUser tier
Hub Transport
Office Outlook Web Access
Exchange ActiveSyncOutlook Anywhere
Unified Messaging
Telephone
Edge Transport
Client Access
Mailbox
Mailbox
Mailbox
SMTP host
MS
Exc
hang
e 20
07D
esig
n an
d A
rchi
tect
ure
w M
icro
soft
41
Edge TransportEdge Transport
42
Edge Transport – wymagania konfiguracyjneEdge Transport – wymagania konfiguracyjne
Musi być zainstalowany na komputerze wolnostojącym,
Musi mieć ustaloną nazwę DNS (FQDN),
Powinien być umieszczony w sieci DMZ,
Wymagana jest odpowiednia konfiguracja zapory sieciowej,
Nie jest członkiem domeny, lecz wykorzystujeActive Directory Application Mode (ADAM)
Musi być zainstalowany na komputerze wolnostojącym,
Musi mieć ustaloną nazwę DNS (FQDN),
Powinien być umieszczony w sieci DMZ,
Wymagana jest odpowiednia konfiguracja zapory sieciowej,
Nie jest członkiem domeny, lecz wykorzystujeActive Directory Application Mode (ADAM)
42
43
Edge Transport – wymagania konfiguracyjneEdge Transport – wymagania konfiguracyjne
Jeśli Edge transport dostarcza pocztębezpośrednio do Internetu, to musi miećmożliwość rozwiązywania nazw zewnętrznych domen pocztowych,
Publiczna domena DNS musi posiadać rekord MX wskazujący na serwer Edge Transport.
Jeśli Edge transport dostarcza pocztębezpośrednio do Internetu, to musi miećmożliwość rozwiązywania nazw zewnętrznych domen pocztowych,
Publiczna domena DNS musi posiadać rekord MX wskazujący na serwer Edge Transport.
43
44
Edge transport – porty na firewalluEdge transport – porty na firewalluZapora sieciowa Reguła Opis
Zewnętrzna Port 25 dostepny ze wszystkichzewnetrznych adresów IP
Wymagany dla dostarczania poczty z Internetu
Zewnętrzna Port 25 dostepny z EdgeTransport do wszystkichzewnetrznych adresów IP
Wymagany do wysyłania poczty nazewnatrz organizacji
Zewnętrzna Port 53 z Edge Transport do wszystkich zewnetrznych IP
Konieczny dorozwiazywania nazw DNS
Wewnętrzna Port 25 dostepny z Edge Transport do serwerów Hub Transport
Przesłanie poczty przychodzacej do serwerów Hub Transport
Wewnętrzna Port 25 dostepny z serwerów Hub T. do serwera Egde T.
Przesłanie poczty wychodzacej doInternetu
Wewnętrzna Port 50636 z serwerów Hub Transport do serwera Egde
LDAPS dla EdgeSync
Wewnętrzna 3389 z sieci wew. do serwera EdgeTransport
Zdalna administracja (RDP) 44
45
46
Exchange Server 2007 – funkcje ochronyExchange Server 2007 – funkcje ochrony
`
15. User Safe /Blocked Sender
Lists andStore Threshold
Internet
1. Connection Filtering
Edge TransportServer
2. Sender Filtering
3. Recipient Lookup
4. Recipient Filtering
5. Sender ID Lookup
Hub TransportServer
14. Virus Scanning
Mailbox Server
19. Antivirus SoftwareReal -time scanning
Outlook 2007Client
18. Attachment and Web Beacon Blocking
Inbox Junk E -mail
17. Client-Side Spam Filtering
16. Outlook Client Version Control
6. Protocol Analysis
8. Rule Processing
9. Content Filtering
10. Attachment Filtering
11. Virus Scanning
7. Header Filtering
13. Message Journaling
12. Rules Processing
E-Mail Postmarks
Active Directory
Safe Recipients Lists , Safe Senders Lists , and
External Contacts
SafelistAggregation
Exchange ADAM
Hashed Recipient and Safe Senders Information
EdgeSync
`
15. User Safe /Blocked Sender
Lists andStore Threshold
Internet
1. Connection Filtering
Edge TransportServer
2. Sender Filtering
3. Recipient Lookup
4. Recipient Filtering
5. Sender ID Lookup
Hub TransportServer
14. Virus Scanning
Mailbox Server
19. Antivirus SoftwareReal -time scanning
Outlook 2007Client
18. Attachment and Web Beacon Blocking
Inbox Junk E -mail
17. Client-Side Spam Filtering
16. Outlook Client Version Control
6. Protocol Analysis
8. Rule Processing
9. Content Filtering
10. Attachment Filtering
11. Virus Scanning
7. Header Filtering
13. Message Journaling
12. Rules Processing
E-Mail Postmarks
Active Directory
Safe Recipients Lists , Safe Senders Lists , and
External Contacts
SafelistAggregation
Exchange ADAM
Hashed Recipient and Safe Senders Information
EdgeSync
47
48
Prosta organizacja (z pojedynczym serwerem)Prosta organizacja (z pojedynczym serwerem)
Brak moŜliwo ści skorzystania z dobrodziejstw roli EdgeTransport
49
Rozwiązania antyspamowe oferowane przez firmę MicrosoftRozwiązania antyspamowe oferowane przez firmę Microsoft
Sender ID/SPFramework
Sender Reputation
IP Reputation
Content filter
MicrosoftSmartScreen/Intelligent Message Filter v2
Sender ID/SPFramework
Sender Reputation
IP Reputation
Content filter
MicrosoftSmartScreen/Intelligent Message Filter v2
Tarpitting
Antivirus stamping
Office Outlook 2007 E-Mail Postmark
Greylisting nie jest w standardzie, ale sąpierwsze jaskółki (np. Greylisting Sample Agent )
Tarpitting
Antivirus stamping
Office Outlook 2007 E-Mail Postmark
Greylisting nie jest w standardzie, ale sąpierwsze jaskółki (np. Greylisting Sample Agent )
http://www.microsoft.com/mscorp/safety/technologies /antispam/default.mspx
50
Uruchomieni domyślnie agenci Uruchomieni domyślnie agenci
51
Maszynowe uczenie Klasyfikator probabilistyczny
Próbka kilku milionów e-mail pozyskanych od klientów i partnerów Microsoft
Technologia opatentowana przez MicrosoftResearch
Nie wiele danych dot. samego algorytmu
Intensywnie wdrażane w produktach MS od 2003 roku jako remedium na problem spamu
Maszynowe uczenie Klasyfikator probabilistyczny
Próbka kilku milionów e-mail pozyskanych od klientów i partnerów Microsoft
Technologia opatentowana przez MicrosoftResearch
Nie wiele danych dot. samego algorytmu
Intensywnie wdrażane w produktach MS od 2003 roku jako remedium na problem spamu
Microsoft SmartScreenMicrosoft SmartScreen
52
Bill Gates o SmartScreenBill Gates o SmartScreen
"We are making progress with new software derived from advanced work in the field of machine learning -- the design of systems that learn from data and grow smarter over time. The software learns from a vast and continually growing archive of e-mail provided by nearly 200,000 of our e-mail customers who have volunteered to classify millions of messages as legitimate or not. This feedback enables us to identify spam with unprecedented precision based on key words, message structure, even the time it was sent -- more than 500,000 characteristics in all. Early reports have indicated that this Microsoft SmartScreen technology is blocking as much as 95 percent of spam, and we expect it to get even smarter as it learns from a continuing flow of feedback.
Washington Post, 24 Listopad 2003r
"We are making progress with new software derived from advanced work in the field of machine learning -- the design of systems that learn from data and grow smarter over time. The software learns from a vast and continually growing archive of e-mail provided by nearly 200,000 of our e-mail customers who have volunteered to classify millions of messages as legitimate or not. This feedback enables us to identify spam with unprecedented precision based on key words, message structure, even the time it was sent -- more than 500,000 characteristics in all. Early reports have indicated that this Microsoft SmartScreen technology is blocking as much as 95 percent of spam, and we expect it to get even smarter as it learns from a continuing flow of feedback.
Washington Post, 24 Listopad 2003r 52
53
Próba kontroli fałszowanych e-maili
Daje możliwość specyfikowania legitymowanych źródeł poczty
Implementowany jako rekordy DNS-owe
Protokół opracowany przez grupę ochotników
Rozwijany od 2003 roku
Sender ID Framework SPF Record Wizard
RFC 4408
Sender ID Business Value White Paper
Próba kontroli fałszowanych e-maili
Daje możliwość specyfikowania legitymowanych źródeł poczty
Implementowany jako rekordy DNS-owe
Protokół opracowany przez grupę ochotników
Rozwijany od 2003 roku
Sender ID Framework SPF Record Wizard
RFC 4408
Sender ID Business Value White Paper
Sender Policy Framework Sender Policy Framework
54
Sender Policy Framewrok (SPF)Sender Policy Framewrok (SPF)
54
C:\Documents and Settings\Maciek>nslookup(...)> set type=TXT> microsoft.com(...)microsoft.com text =
"v=spf1 mx include:_spf-a.microsoft.com include:_spf-b.microsoft.com include:_spf-c.microsoft.com include:_spf-ssg-a.microsoft.com ~all"
55
Sender Policy Framework (SPF)Sender Policy Framework (SPF)
Mechanizmy SPF
all | ip4 | ip6 | a | mx | ptr | exists | include
Modyfikatory (modifiers)
redirect | exp
Kwalifikatory
"+"Pass
"-"Fail
"~"SoftFail
"?"Neutral
Mechanizmy SPF
all | ip4 | ip6 | a | mx | ptr | exists | include
Modyfikatory (modifiers)
redirect | exp
Kwalifikatory
"+"Pass
"-"Fail
"~"SoftFail
"?"Neutral
56
Zaawansowany przykładZaawansowany przykład
> gmail.com
gmail.com text =
"v=spf1 redirect=_spf.google.com”
>_spf.google.com
_spf.google.com text =
"v=spf1 ip4:216.239.32.0/19 ip4:64.233.160.0/19 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:209.85.128.0/17 ip4:66.102.0.0/20 ip4:74.125.0.0/16 ?all"
> gmail.com
gmail.com text =
"v=spf1 redirect=_spf.google.com”
>_spf.google.com
_spf.google.com text =
"v=spf1 ip4:216.239.32.0/19 ip4:64.233.160.0/19 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:209.85.128.0/17 ip4:66.102.0.0/20 ip4:74.125.0.0/16 ?all"
57
Ewaluacja rekordów SPFEwaluacja rekordów SPF
57
58
Problemy i ograniczeniaProblemy i ograniczenia
Weryfikuje tylko „poprawność domeny”, nie dostarcza wiedzy o użytkownikach
Sprawdza “ostatni krok” a nie pełną ścieżkę
Istnieją domeny spamerskie
Przydatne w budowaniu „reputacji domeny”
Weryfikuje tylko „poprawność domeny”, nie dostarcza wiedzy o użytkownikach
Sprawdza “ostatni krok” a nie pełną ścieżkę
Istnieją domeny spamerskie
Przydatne w budowaniu „reputacji domeny”
59
Sender IDSender ID
60
The Content Filter agent is one of several anti-spam agents. When you configure anti-spam agents on a computer that has the Edge Transport server role installed, the agents act on messages cumulatively to reduce the amount of spam that enters the organization. For moreinformation about how to plan and deploy anti-spam agents, see Anti-Spam and Antivirus Functionality.
The Content Filter agent assigns a spam confidence level (SCL) rating to each message. The SCL rating is a number between 0 and 9. A higher SCL rating indicates that a message is more likely to be spam.
You can configure the Content Filter agent to take the following actions on messages according to their SCL rating:
Delete message
Reject message
Quarantine message
The Content Filter agent is one of several anti-spam agents. When you configure anti-spam agents on a computer that has the Edge Transport server role installed, the agents act on messages cumulatively to reduce the amount of spam that enters the organization. For moreinformation about how to plan and deploy anti-spam agents, see Anti-Spam and Antivirus Functionality.
The Content Filter agent assigns a spam confidence level (SCL) rating to each message. The SCL rating is a number between 0 and 9. A higher SCL rating indicates that a message is more likely to be spam.
You can configure the Content Filter agent to take the following actions on messages according to their SCL rating:
Delete message
Reject message
Quarantine message
Content Filter agentContent Filter agent
61
Zabezpieczenie anty-spamowe aktywowane na serwerze Microsoft Exchange Server 2007 pełniącego rolę Edge Transport
Blokuje wiadomości w oparciu o cechy charakterystyczne dla nadawcy
Używa miary SRL (Sender Reputation Level)określającej poziom zaufania nadawcy
Proces odpowiedzialny za wyliczanie miary SRL zbiera dane statystyczne
Zabezpieczenie anty-spamowe aktywowane na serwerze Microsoft Exchange Server 2007 pełniącego rolę Edge Transport
Blokuje wiadomości w oparciu o cechy charakterystyczne dla nadawcy
Używa miary SRL (Sender Reputation Level)określającej poziom zaufania nadawcy
Proces odpowiedzialny za wyliczanie miary SRL zbiera dane statystyczne
Reputacja nadawcy (Sender reputation)Reputacja nadawcy (Sender reputation)
62
Miara Sender Reputation LevelMiara Sender Reputation Levelwyliczana na podstawie następujących statystyk:
analiza HELO/EHLO (adres IP podawany=IP inicjatora połączenia; liczba różnych domen z danego adresu IP powinna być relatywnie mała; wiele różnych nazw w krótkim czasie=spammer)
Analiza zapytań odwrotnych do DNS (Reverse DNS lookup)
Analiza ocen SCL (spam confidence level) – dostarczanych przez Content Filter Agent (następca IMF)
Sender open proxy test
SRL – liczba od 0-9 wyliczona na podstawie ważonych wyników powyższych statystyk
Sender filter agent – Akcje: Reject, Delete and archive,Accept and mark as a blocked sender
wyliczana na podstawie następujących statystyk:
analiza HELO/EHLO (adres IP podawany=IP inicjatora połączenia; liczba różnych domen z danego adresu IP powinna być relatywnie mała; wiele różnych nazw w krótkim czasie=spammer)
Analiza zapytań odwrotnych do DNS (Reverse DNS lookup)
Analiza ocen SCL (spam confidence level) – dostarczanych przez Content Filter Agent (następca IMF)
Sender open proxy test
SRL – liczba od 0-9 wyliczona na podstawie ważonych wyników powyższych statystyk
Sender filter agent – Akcje: Reject, Delete and archive,Accept and mark as a blocked sender 62
63
W momencie wydania polecenia SMTP: MAIL FROM
Sender reputation acts on a message only if the message was blocked or otherwise acted on by the Connection Filter agent, Sender Filter agent, Recipient Filter agent, or Sender ID agent. In this case, sender reputation retrieves the sender's current SRL rating from the sender profile that is persisted about that sender in the Edge Transport database. After this rating is retrieved and evaluated, the Edge Transport server configuration dictates the behavior that occurs at a particular connection according to the block threshold.
Po komendzie "end of data" protokołu SMTP
The end of data transfer (_EOD) SMTP command is given when all the actual message data is sent. At this point in the SMTP session, many of the anti-spam agents have processed the message. As a by-product of anti-spam processing, the statistics that sender reputation relies on are updated. Therefore, sender reputation has the data to calculate or recalculate an SRL rating for the sender.
W momencie wydania polecenia SMTP: MAIL FROM
Sender reputation acts on a message only if the message was blocked or otherwise acted on by the Connection Filter agent, Sender Filter agent, Recipient Filter agent, or Sender ID agent. In this case, sender reputation retrieves the sender's current SRL rating from the sender profile that is persisted about that sender in the Edge Transport database. After this rating is retrieved and evaluated, the Edge Transport server configuration dictates the behavior that occurs at a particular connection according to the block threshold.
Po komendzie "end of data" protokołu SMTP
The end of data transfer (_EOD) SMTP command is given when all the actual message data is sent. At this point in the SMTP session, many of the anti-spam agents have processed the message. As a by-product of anti-spam processing, the statistics that sender reputation relies on are updated. Therefore, sender reputation has the data to calculate or recalculate an SRL rating for the sender.
Kiedy wykorzystać/obliczyć SRL? Kiedy wykorzystać/obliczyć SRL?
64
„Microsoft IP Reputation Service is an IP Block list service that is offered exclusively to Exchange 2007 customers”
„Microsoft IP Reputation Service is an IP Block list service that is offered exclusively to Exchange 2007 customers”
IP Reputation ServiceIP Reputation Service
65
Znacznik obliczany przez Outlook-a w trakcie wysyłania poczty na podstawie unikalnych elementów wiadomości tj. czasu wysłania i listy odbiorców
Celem jest spowolnienie mass-mailingu
Wiadomości w obrębie organizacji tj. do adresatów zawartych w Microsoft Exchange Global Address List (GAL) nie są znakowane
Po stronie odbiorcy znaczniki mogą być użyte przez oprogramowanie anytspamowe
Znacznik obliczany przez Outlook-a w trakcie wysyłania poczty na podstawie unikalnych elementów wiadomości tj. czasu wysłania i listy odbiorców
Celem jest spowolnienie mass-mailingu
Wiadomości w obrębie organizacji tj. do adresatów zawartych w Microsoft Exchange Global Address List (GAL) nie są znakowane
Po stronie odbiorcy znaczniki mogą być użyte przez oprogramowanie anytspamowe
Microsoft Office Outlook 2007 E-mail PostmarkMicrosoft Office Outlook 2007 E-mail Postmark
66
Antivirus stampAntivirus stampOgraniczenie wielokrotnego skanowania tej samej poczty w obrębie jednej organizacji
Jest dodawany gdy zachodzą warunki:Wiadomość została przeskanowana przez Forefront Security for Exchange Server z co najmniej jednym silnikiem antywirusowym(Antivirus stamp nie może być wykorzystywany w środowiskach mieszanych opartych o produkty zewnętrznych dostawców oprogramowania antywirusowego niezintegrowanych z Forefront Security for Exchange Server, ze względu na zasadę ograniczonego zaufania)
wirus nie został znaleziony lub wirus został usunięty a zmodyfikowana wiadomość ponownie zapisana przez Exchange-a
Ograniczenie wielokrotnego skanowania tej samej poczty w obrębie jednej organizacji
Jest dodawany gdy zachodzą warunki:Wiadomość została przeskanowana przez Forefront Security for Exchange Server z co najmniej jednym silnikiem antywirusowym(Antivirus stamp nie może być wykorzystywany w środowiskach mieszanych opartych o produkty zewnętrznych dostawców oprogramowania antywirusowego niezintegrowanych z Forefront Security for Exchange Server, ze względu na zasadę ograniczonego zaufania)
wirus nie został znaleziony lub wirus został usunięty a zmodyfikowana wiadomość ponownie zapisana przez Exchange-a
66
67
KOMPLEKSOWA OCHRONA ANTYWIRUSOWAKOMPLEKSOWA OCHRONA ANTYWIRUSOWA
Forefront security dla Exchange 2007Forefront security dla Exchange 2007
67
68
Microsoft Forefront Security dla ExchangeInformacje ogólneMicrosoft Forefront Security dla ExchangeInformacje ogólne
Dawniej produkt znany pod nazwą Antigen for Exchange(Sybari Software przejęte w 2005r.)
Forefront Security for Exchange Server jest dedykowany do Exchange 2007!!!
Exchange 2000/2003 jest wspierany przez Antigen dlaExchangeLicencja Forefront daje prawo do używania wcześniejszych wersji oprogramowania Antigen (i vice versa)
Wersja produkcyjna jest 64-bit Wsparcie dla ról Exchange Edge Transport, Hub Transport i Mailbox/Public Folder
Auto-detekcja roli serwera Exchange
Dawniej produkt znany pod nazwą Antigen for Exchange(Sybari Software przejęte w 2005r.)
Forefront Security for Exchange Server jest dedykowany do Exchange 2007!!!
Exchange 2000/2003 jest wspierany przez Antigen dlaExchangeLicencja Forefront daje prawo do używania wcześniejszych wersji oprogramowania Antigen (i vice versa)
Wersja produkcyjna jest 64-bit Wsparcie dla ról Exchange Edge Transport, Hub Transport i Mailbox/Public Folder
Auto-detekcja roli serwera Exchange
69
Microsoft Forefront Security dla ExchangeInformacje ogólneMicrosoft Forefront Security dla ExchangeInformacje ogólne
Zawiera:Wiele silników antywirusowych (aktualnie 8), z których użytkownik wybiera 5
Filtracje plikówW serwerach transportowych (Edge/Hub Transport)
W serwerach obsługujących skrzynki (Mailstore)
Filtracja wg słów kluczowychTylko transport
Filtracja po temacie i domenie nadawcyTylko serwer skrzynek
Powiadomienia
Zawiera:Wiele silników antywirusowych (aktualnie 8), z których użytkownik wybiera 5
Filtracje plikówW serwerach transportowych (Edge/Hub Transport)
W serwerach obsługujących skrzynki (Mailstore)
Filtracja wg słów kluczowychTylko transport
Filtracja po temacie i domenie nadawcyTylko serwer skrzynek
Powiadomienia69
70
Microsoft Forefront Security dla ExchangeInformacje ogólneMicrosoft Forefront Security dla ExchangeInformacje ogólne
Nie zawiera:Mechanizmów antyspamowych
Filtracji wg tematu i nadawcy/domeny na serwerze transportowym
Powyższe funkcje zapewnia MS Exchange 2007
Nie zawiera:Mechanizmów antyspamowych
Filtracji wg tematu i nadawcy/domeny na serwerze transportowym
Powyższe funkcje zapewnia MS Exchange 2007
70
71
Programy antywirusowe w Forefront SecurityProgramy antywirusowe w Forefront Security
71
Wiodący dostawcy
72
Automatyzacja aktualizacji sygnaturAutomatyzacja aktualizacji sygnatur
Internet Internet
ForefrontEngineAdaptor
73
Liczba używanych antywirusów a wydajnośćLiczba używanych antywirusów a wydajność
Max Certainty: u Ŝywa wszystkich (100%)Favor Certainty: u Ŝywa wszystkich dost ępnych silnikówNeutral: u Ŝywa około 50% dost ępnych silnikówFavor Performance: u Ŝywa 25% dost ępnych silnikówMax Performance: u Ŝywa jednego silnika do ka Ŝdego skanu
Nie zawsze u Ŝywane s ą te same silniki , gdy Ŝstosuje si ę alokacj ędynamiczn ą z puli dost ępnych antywirusów
D
A C
DB
74
Liczba używanych antywirusów a wydajnośćLiczba używanych antywirusów a wydajność Nie zawsze u Ŝywane s ą te
same silniki , gdy Ŝstosuje si ę alokacj ędynamiczn ą z puli dost ępnych antywirusów
Max Certainty: u Ŝywa wszystkich (100%) Favor Certainty: u Ŝywa wszystkich dost ępnych silników
Neutral: u Ŝywa około 50% dost ępnych silnikówFavor Performance: u Ŝywa 25% dost ępnych silnikówMax Performance: u Ŝywa jednego silnika do ka Ŝdego skanu
D
A C
DB
75
Antivirus stamping – ruch wychodzącyAntivirus stamping – ruch wychodzący
76
Antivirus stamping – ruch przychodzącyAntivirus stamping – ruch przychodzący
76
77
Antivirus stamping – ruch wewnętrznyAntivirus stamping – ruch wewnętrzny
77
78
Antivirus StampSzczegóły techniczneAntivirus StampSzczegóły techniczne
Nagłówek X-header
Producenci AV znakują wyniki skanowania
Znaczniki są analizowane przez kolejne AV i wykorzystane do podjęcia decyzji o skanowaniu lub pominięciu skanowania (jeśli pierwszy antywirus wykryje wirusa, to zwykle nie ma potrzeby dalej skanować)
Forefront zawsze ustawia numer wersji na 1
Przykład:
X-MS-Exchange-Organization-AVStamp-Mailbox: MSFTFF;1;0;info
MSFTFF: nazwa producenta AV (8 znaków); MSFTFF = Microsoft
1: numer wersji prducenta (32-bit unsigned integer); 1 = Microsoft
0 (VIRSCAN_NO_VIRUS): status (32-bit unsigned integer)
Info: opcjonalne informacje o wirusie (128 byte string)
Nagłówek X-header
Producenci AV znakują wyniki skanowania
Znaczniki są analizowane przez kolejne AV i wykorzystane do podjęcia decyzji o skanowaniu lub pominięciu skanowania (jeśli pierwszy antywirus wykryje wirusa, to zwykle nie ma potrzeby dalej skanować)
Forefront zawsze ustawia numer wersji na 1
Przykład:
X-MS-Exchange-Organization-AVStamp-Mailbox: MSFTFF;1;0;info
MSFTFF: nazwa producenta AV (8 znaków); MSFTFF = Microsoft
1: numer wersji prducenta (32-bit unsigned integer); 1 = Microsoft
0 (VIRSCAN_NO_VIRUS): status (32-bit unsigned integer)
Info: opcjonalne informacje o wirusie (128 byte string)
79
Antivirus StampSzczegóły techniczneAntivirus StampSzczegóły techniczne
Przy zapisie do skrzynek znacznik antywirusowy (ang.antivirus stamp) jest dodawany do pól MAPI i utrzymywany
Przy zapisie do skrzynek znacznik antywirusowy (ang.antivirus stamp) jest dodawany do pól MAPI i utrzymywany
80
Antivirus StampBezpieczeństwo - szczegółyAntivirus StampBezpieczeństwo - szczegóły
A co jeśli ktoś będzie próbował sfałszowaćznacznik (AV stamp) w celu uniknięcia skanowania?
� Serwer Exchange Edge lub Hub usuwa wszystkie istniejące znaczniki z emaili pochodzących z zewnątrz
� Serwer Edge lub Hub usuwa znaczniki z poczty wychodzącej
� Nie ma powodu, żeby znacznik z jednej organizacji funkcjonował w innej
� Znacznik zawsze musi pochodzić z zaufanego serweraExchange w obrębie danej organizacji
A co jeśli ktoś będzie próbował sfałszowaćznacznik (AV stamp) w celu uniknięcia skanowania?
� Serwer Exchange Edge lub Hub usuwa wszystkie istniejące znaczniki z emaili pochodzących z zewnątrz
� Serwer Edge lub Hub usuwa znaczniki z poczty wychodzącej
� Nie ma powodu, żeby znacznik z jednej organizacji funkcjonował w innej
� Znacznik zawsze musi pochodzić z zaufanego serweraExchange w obrębie danej organizacji
81
Skanowanie skrzynek (Mailbox Server)Skanowanie skrzynek (Mailbox Server)
Trzy tryby:Podstawowy (default)
Zagrożenie infekcją (outbreak)
Maksymalne bezpieczeństwo (ultimate security)
Dwa podstawowe mechanizmy skanowania:Skanowanie w momencie odczytu wiadomości
Inkrementalne skanowanie w tle
Skanowanie na żądanie
Trzy tryby:Podstawowy (default)
Zagrożenie infekcją (outbreak)
Maksymalne bezpieczeństwo (ultimate security)
Dwa podstawowe mechanizmy skanowania:Skanowanie w momencie odczytu wiadomości
Inkrementalne skanowanie w tle
Skanowanie na żądanie81
82
Tryb podstawowy (default mode)Tryb podstawowy (default mode)Nie są skanowane wiadomości zapisywane do skrzynki
Wiadomości są skanowane przy odczycie tylko jeśli nie były skanowane wcześniej (np. na serwerze Edge)
W praktyce skanowane są maile w folderze wiadomości wysłanych (Sent), pliki w folderach publicznych (Public Folders), oraz w skrzynce wiadomości wychodzących (Outbox)
Skanowanie periodyczne, codziennie, e-maili spełniających określone kryteria np. otrzymane w ciągu x godzin, starsze niż x dni, zawierające załączniki itp.
Nie są skanowane wiadomości zapisywane do skrzynki
Wiadomości są skanowane przy odczycie tylko jeśli nie były skanowane wcześniej (np. na serwerze Edge)
W praktyce skanowane są maile w folderze wiadomości wysłanych (Sent), pliki w folderach publicznych (Public Folders), oraz w skrzynce wiadomości wychodzących (Outbox)
Skanowanie periodyczne, codziennie, e-maili spełniających określone kryteria np. otrzymane w ciągu x godzin, starsze niż x dni, zawierające załączniki itp.
82
83
Tryb zagrożenia infekcjąTryb zagrożenia infekcją
Przy zapisie do skrzynkiWiadomości nie są skanowane
Przy pierwszym dostępieWiadomości są skanowane
Przy kolejnych dostępachWiadomości są skanowane jeśli chociaż jedna baza wirusów uległa zmianie (Włączona opcja Scan on Scanner Update)
Skanowanie w tleSkanowane są wszystkie wiadomości w zależności od parametrów
Jeden raz dziennie
Przy zapisie do skrzynkiWiadomości nie są skanowane
Przy pierwszym dostępieWiadomości są skanowane
Przy kolejnych dostępachWiadomości są skanowane jeśli chociaż jedna baza wirusów uległa zmianie (Włączona opcja Scan on Scanner Update)
Skanowanie w tleSkanowane są wszystkie wiadomości w zależności od parametrów
Jeden raz dziennie83
84
Tryb maksymalnego bezpieczeństwaTryb maksymalnego bezpieczeństwa
84
Przy zapisie do skrzynkiWiadomości są zawsze skanowane
Przy pierwszym dostępieWiadomości są skanowane jeśli silniki antywirusowe zostały zaktualizowane w międzyczasie
Przy kolejnych dostępachWiadomości są skanowane jeśli chociaż jedna baza wirusów uległa zmianie (Włączona opcja Scan on Scanner Update) od momentu poprzedniego skanowania
Skanowanie w tleSkanowane są wszystkie wiadomości w zależności od parametrów
Restartowane przy każdej aktualizacji skanerów
Przy zapisie do skrzynkiWiadomości są zawsze skanowane
Przy pierwszym dostępieWiadomości są skanowane jeśli silniki antywirusowe zostały zaktualizowane w międzyczasie
Przy kolejnych dostępachWiadomości są skanowane jeśli chociaż jedna baza wirusów uległa zmianie (Włączona opcja Scan on Scanner Update) od momentu poprzedniego skanowania
Skanowanie w tleSkanowane są wszystkie wiadomości w zależności od parametrów
Restartowane przy każdej aktualizacji skanerów
85
Forefront Security - podsumowanieForefront Security - podsumowanie
Kompleksowa ochrona antywirusowa
Bazy wielu producentów dostępne w jednym produkcie
Spójne wsparcie zarówno dla serwerów pełniących role transportowe jak i role składowania danych
Elastyczne możliwości konfiguracji
Kompleksowa ochrona antywirusowa
Bazy wielu producentów dostępne w jednym produkcie
Spójne wsparcie zarówno dla serwerów pełniących role transportowe jak i role składowania danych
Elastyczne możliwości konfiguracji
85
86
RFC 2821 http://www.ietf.org/rfc/rfc2821.txt
RFC 2822 http://www.ietf.org/rfc/rfc2822.txt
RFC 3848 http://www.ietf.org/rfc/rfc3848.txt
RFC 4405 http://www.ietf.org/rfc/rfc4405.txt
RFC 4406 http://www.ietf.org/rfc/rfc4406.txt
RFC 4407 http://www.ietf.org/rfc/rfc4407.txt
RFC 4408 http://www.ietf.org/rfc/rfc4408.txtdefiniuje SPF (Sender Policy Framework)
RFC 5068 http://www.ietf.org/rfc/rfc5068.txt
definiuje MSA (Mail Submission Agent)
RFC 2821 http://www.ietf.org/rfc/rfc2821.txt
RFC 2822 http://www.ietf.org/rfc/rfc2822.txt
RFC 3848 http://www.ietf.org/rfc/rfc3848.txt
RFC 4405 http://www.ietf.org/rfc/rfc4405.txt
RFC 4406 http://www.ietf.org/rfc/rfc4406.txt
RFC 4407 http://www.ietf.org/rfc/rfc4407.txt
RFC 4408 http://www.ietf.org/rfc/rfc4408.txtdefiniuje SPF (Sender Policy Framework)
RFC 5068 http://www.ietf.org/rfc/rfc5068.txt
definiuje MSA (Mail Submission Agent)
Wybrane dokumenty RFCWybrane dokumenty RFC
87
Krótka prezentacja multimedialna o Forefront Security dla Exchange Serwera
http://www.microsoft.com/forefront/serversecurity/exchange/en/us/demos.aspx
Protokoły w Exchange Serverhttp://msdn.microsoft.com/en-us/library/cc425499.aspx
Dostęp do wirtualnych laboratoriów poświęconych MS Exchange
TechNet Virtual Labs: Exchange Serverhttp://technet.microsoft.com/en-us/bb499043.aspx
Krótka prezentacja multimedialna o Forefront Security dla Exchange Serwera
http://www.microsoft.com/forefront/serversecurity/exchange/en/us/demos.aspx
Protokoły w Exchange Serverhttp://msdn.microsoft.com/en-us/library/cc425499.aspx
Dostęp do wirtualnych laboratoriów poświęconych MS Exchange
TechNet Virtual Labs: Exchange Serverhttp://technet.microsoft.com/en-us/bb499043.aspx
Informacje dodatkoweInformacje dodatkowe
88
PodsumowaniePodsumowanieMicrosoft Exchange 2007
Nowoczesna, skalowalna architektura
Szeroki wachlarz metod antyspamowych
Wspiera większość powszechnie stosowanych podejść do ochrony antyspamowej
Microsoft Forefront Security for Exchange 2007
Całościowa ochrona infrastruktury Exchange-a przed wirusami i złośliwym oprogramowaniem
Zoptymalizowana wydajność
Uproszczone zarządzanie
Microsoft Exchange 2007Nowoczesna, skalowalna architektura
Szeroki wachlarz metod antyspamowych
Wspiera większość powszechnie stosowanych podejść do ochrony antyspamowej
Microsoft Forefront Security for Exchange 2007
Całościowa ochrona infrastruktury Exchange-a przed wirusami i złośliwym oprogramowaniem
Zoptymalizowana wydajność
Uproszczone zarządzanie 88
8989
Informacje kontaktowe Informacje kontaktowe Informacje kontaktowe Autor prezentacji
Centrum Innowacji Microsofthttp://mic.psnc.pl
PCSShttp://www.pcss.pl
Zespół Bezpieczeństwa PCSShttp://security.psnc.pl
Autor prezentacjiAutor prezentacjimilosmilos@@manman..poznanpoznan..plpl
Centrum Innowacji MicrosoftCentrum Innowacji Microsofthttp://http://micmic..psncpsnc..plpl
micmic@@manman..poznanpoznan..plpl
PCSSPCSShttp://http://wwwwww..pcsspcss..plpl
ZespZespóółł BezpieczeBezpieczeńństwa PCSSstwa PCSShttp://http://securitysecurity..psncpsnc..plpl
securitysecurity@@manman..poznanpoznan..plpl
9090
Pytania i dyskusjaPytania i dyskusjaPytania i dyskusja
Dziękuję za uwagę!DziDzięękujkujęę za uwagza uwagęę!!