Павел Нагаев
КТК-Р
pavel.nagaev@exchangerus.ru
http://www.exchangerus.ru
- Главная
- Разное
- Дизайн
- Бизнес и предпринимательство
- Аналитика
- Образование
- Развлечения
- Красота и здоровье
- Финансы
- Государство
- Путешествия
- Спорт
- Недвижимость
- Армия
- Графика
- Культурология
- Еда и кулинария
- Лингвистика
- Английский язык
- Астрономия
- Алгебра
- Биология
- География
- Детские презентации
- Информатика
- История
- Литература
- Маркетинг
- Математика
- Медицина
- Менеджмент
- Музыка
- МХК
- Немецкий язык
- ОБЖ
- Обществознание
- Окружающий мир
- Педагогика
- Русский язык
- Технология
- Физика
- Философия
- Химия
- Шаблоны, картинки для презентаций
- Экология
- Экономика
- Юриспруденция
Теория и практика борьбы со спамом и вредоносным кодом с помощью технологий Microsoft Павел Нагаев КТК-Р pavel.nagaev@exchangerus.ru презентация
Содержание
- 2. Теория и практика борьбы со спамом и
- 3. Содержание доклада Спам — зло, и это
- 4. Спам — зло и это факт! Почему
- 5. Современные подходы борьбы со спамом Логическое представление
- 6. Периметр Современные подходы борьбы со
- 7. Современные подходы борьбы со спамом Уровень Интернета
- 8. Современные подходы борьбы со спамом Уровень сервера
- 9. Современные подходы борьбы со спамом Уровень клиента
- 10. Пример сеанса SMTP c:\telnet smtp.exchangerus.ru
- 11. Базовая защита от спама Список фильтров в Exchange Server 2007
- 12. Порядок применения фильтров Базовая защита от
- 13. Базовая защита от спама Транспортные агенты в Exchange Server 2007
- 14. Фильтрация на уровне соединения Схема Проверяем список
- 15. Фильтрация на уровне соединения Плюсы и
- 16. Фильтрация на уровне протокола Схема фильтрации отправителей
- 17. Фильтрация отправителей Плюсы и минусы Плюсы Можно
- 18. Фильтрация на уровне протокола Схема фильтрации
- 19. Фильтрация получателей Плюсы и минусы Плюсы Запрет
- 20. Фильтрация на уровне протокола Схема фильтрации
- 21. Фильтрация на уровне протокола Схема фильтрации
- 22. Фильтрация по коду отправителя Плюсы и минусы
- 23. Фильтрация содержимого Схема Фильтрация по коду
- 24. Фильтрация содержимого Плюсы и минусы Плюсы Блокировка
- 25. Фильтрация вложений Схема Фильтруем вложения Фильтрация содержимого
- 26. Фильтрация вложений Плюсы и минусы Плюсы Самая
- 27. Расширенная защита от спама Forefront Server
- 28. Microsoft Forefront Server Security объединяет мощь
- 29. Преимущества многоядерной защиты Быстрый ответ на новые
- 30. Распределенная защита Сервер SMTP Exchange Server Интернет
- 31. Расширенная защита от спама Обновления антиспама
- 32. Расширенная защита от спама Обновления антиспама
- 33. Расширенная защита от спама Обновления антиспама http://catalog.update.microsoft.com/v7/site/Rss.aspx?q=exchange+server+2007+anti-spam&lang=en
- 34. Рекомендации по борьбе со спамом Правильная настройка
- 35. Выводы Спам победить нельзя, но с ним
- 36. Полезные ссылки Microsoft Exchange server 2007 http://www.microsoft.com/exchange/
- 37. Заполните анкету: http://platforma2009.ru/Eval.aspx Терминалы - холлы конференции
- 38. Запись доклада на www.platforma2009.ru
Теория и практика борьбы со спамом и вредоносным кодом с помощью технологий Microsoft Павел Нагаев КТК-Р pavel.nagaev@exchangerus.ru http://www.exchangerus.ru
Слайд 2Теория и практика борьбы со спамом и вредоносным кодом с помощью
технологий Microsoft
Слайд 3Содержание доклада
Спам — зло, и это факт!
Современные подходы к защите от
спама
Базовая защита от спама в Microsoft Exchange 2007 SP1
Расширенная защита от спама и вирусов. Microsoft Forefront Server Security for Exchange Server
Общие рекомендации
Выводы
Базовая защита от спама в Microsoft Exchange 2007 SP1
Расширенная защита от спама и вирусов. Microsoft Forefront Server Security for Exchange Server
Общие рекомендации
Выводы
Слайд 4Спам — зло и это факт!
Почему нельзя победить спам?
Что такое спам?
Анонимная, незапрошенная, массовая рассылка электронной почты
Спам — источник заработка
Спамера трудно поймать и наказать
Затраты на рассылку спама минимальны
Рассылать спам легко
И еще…
Спам — источник заработка
Спамера трудно поймать и наказать
Затраты на рассылку спама минимальны
Рассылать спам легко
И еще…
Слайд 5Современные подходы борьбы со спамом
Логическое представление
Уровень Интернета
Выделенный сервер
Размещенные услуги
Уровень
сервера
Microsoft Exchange
Уровень клиента
Microsoft Outlook
Уровень пользователя
Обучение
Слайд 6
Периметр
Современные подходы борьбы со спамом
Физическая схема
Интернет
СПАМ
Интернт
СПАМ
Чистая почта
Чистая почта
Microsoft©
Exchange Server 2007
Microsoft©
Exchange
Server 2007
Microsoft©
Exchange Hosted Filtering
Microsoft©
Office Outlook 2007
Чистая почта
Уровень Интернета
Уровень сервера
Уровень клиента
Microsoft©
Forefront
Security for Exchange Server
Edge Transport
role
Hub Transport
role
Слайд 7Современные подходы борьбы со спамом
Уровень Интернета
Выделенный server
MS Exchange Server 2007(Edge)+ MS
Forefront Server Security
Windows SMTP+фильтры сторонних производителей
*nix + MTA(postfix/sendmail)
«железные» решения
Размещенное решение(Hosted solution)
MS Exchange Hosted Filtering
Сторонние размещенные услуги
Плюсы и минусы
Windows SMTP+фильтры сторонних производителей
*nix + MTA(postfix/sendmail)
«железные» решения
Размещенное решение(Hosted solution)
MS Exchange Hosted Filtering
Сторонние размещенные услуги
Плюсы и минусы
Слайд 8Современные подходы борьбы со спамом
Уровень сервера
Базовая защита
MS Exchange server 2007
Роли
Edge и Hub Transport
Фильтры
Уровень соединения
Уровень протокола
Уровень содержимого
Расширенная защита
MS Forefront Server Security for Exchange
Защита от вирусов
Служба репутации IP-адресов Microsoft
Обновление сигнатур спама
Автоматическое обновление фильтра содержимого
Фильтры
Уровень соединения
Уровень протокола
Уровень содержимого
Расширенная защита
MS Forefront Server Security for Exchange
Защита от вирусов
Служба репутации IP-адресов Microsoft
Обновление сигнатур спама
Автоматическое обновление фильтра содержимого
Слайд 9Современные подходы борьбы со спамом
Уровень клиента Outlook и пользователя
Microsoft Outlook
Junk
e-mail
Фильтры сторонних производителей
Обучение пользователей
Инструкции по использованию электронной почты
Инструкции по безопасной работе в Интернете
Фильтры сторонних производителей
Обучение пользователей
Инструкции по использованию электронной почты
Инструкции по безопасной работе в Интернете
Слайд 10Пример сеанса SMTP
c:\telnet smtp.exchangerus.ru 25
01 220 smtp.exchangerus.ru Microsoft
ESMTP …
02 HELO smtp.windowspowershell.ru
03 250 smtp.exchangerus.ru Hello[81.11.11.11]
04 MAIL FROM:
05 250 2.1.0 Sender OK
06 RCPT TO:
07 250 2.1.5 Recipient OK
08 DATA
09 354 Start mail input;end with.
10 Subject: Test message
11 250 2.6.0 <3bc0ec82--8c@smtp.exchangerus.ru> Queued mail for delivery
12 QUIT
13 221 2.0.0 Service closing transmission channel
14 Connection to host lost.
02 HELO smtp.windowspowershell.ru
03 250 smtp.exchangerus.ru Hello[81.11.11.11]
04 MAIL FROM:
05 250 2.1.0 Sender OK
06 RCPT TO:
07 250 2.1.5 Recipient OK
08 DATA
09 354 Start mail input;end with
10 Subject: Test message
11 250 2.6.0 <3bc0ec82--8c@smtp.exchangerus.ru> Queued mail for delivery
12 QUIT
13 221 2.0.0 Service closing transmission channel
14 Connection to host lost.
Слайд 12Порядок применения фильтров
Базовая защита от спама
MS Exchange Server 2007
Входящие
Нежелательная
почта
Входящие сообщения
из Интернета
Microsoft©
Office Outlook 2007
1. Фильтрация соединения
2. Фильтрация отправителя
3. Фильтрация получателей
4. Фильтрация SenderID
5. Фильтрация содержимого
6. Фильтрация вложений
Слайд 14Фильтрация на уровне соединения
Схема
Проверяем список разрешенных IP адресов
Начало сеанса SMTP
Нет
Да
Проверяем список
запрещенных IP-адресов
IP-адрес в списке разрешенных IP адресов?
IP-адрес в списке запрещенных IP адресов?
2
Проверяем список поставщиков
разрешенных IP-адресов
Проверяем список поставщиков запрещенных IP-адресов
Фильтр отправителя
Нет
IP-адрес в «белом» списке поставщиков?
Нет
IP-адрес в «черном» списке поставщиков?
1
3
4
Разорвать соединение и не применять другие фильтры
Разорвать соединение и не применять другие фильтры
Да
Да
Да
Слайд 15Фильтрация на уровне соединения
Плюсы и минусы
Плюсы
Экономия на трафике(разрыв соединения на
уровне SMTP)
Блокировка конкретного спам-сервера или сбойного сервера
Комментарий и время жизни(EMS)
Минусы
Ручная настройка списков
Разрастание списков
Ошибочное попадание отправителей в блоклисты
Блокировка конкретного спам-сервера или сбойного сервера
Комментарий и время жизни(EMS)
Минусы
Ручная настройка списков
Разрастание списков
Ошибочное попадание отправителей в блоклисты
Слайд 16Фильтрация на уровне протокола
Схема фильтрации отправителей
Проверяем адрес отправителя
Фильтр соединения
Нет
Фильтрация получателей
Адрес в
списке запрещенных отправителей?
Разорвать соединение и не применять другие фильтры
Да
Слайд 17Фильтрация отправителей
Плюсы и минусы
Плюсы
Можно заблокировать рассылки или «настойчивых» пользователей
Минусы
Отправителя легко
подделать
Комментарий добавить нельзя
Ручное редактирование списка
Потеря производительности из-за проверки каждого сообщения
Ограничение – 100 записей
Комментарий добавить нельзя
Ручное редактирование списка
Потеря производительности из-за проверки каждого сообщения
Ограничение – 100 записей
Слайд 18Фильтрация на уровне протокола
Схема фильтрации получателей
Проверяем адрес получателя
Фильтрация отправителей
Проверяем адрес
получателя в Глобальном списке
Адрес в списке запрещенных получателей?
Разорвать соединение на уровне SMTP
(MAIL FROM)
Да
Адрес существует в Глобальном адресном списке?
Разорвать соединение на уровне SMTP
(MAIL FROM)
Да
Нет
Нет
Фильтрация Sender ID
Слайд 19Фильтрация получателей
Плюсы и минусы
Плюсы
Запрет приема сообщений для определенных пользователей
Принимать только «свои»
сообщения
Минусы
Подбор адресов электронной почты
Минусы
Подбор адресов электронной почты
Слайд 20Фильтрация на уровне протокола
Схема фильтрации по коду отправителя(Sender ID)
Интернет
Microsoft©
Exchange Server
2007
Microsoft©
Office Outlook 2007
Механизм Sender ID
DNS
Аутентификация
прошла
не прошла
Входящие
Нежелательная
почта
exchangerus.ru. IN TXT “v=spf1 ip4:85.111.10.40 +a:smtp.exchangerus.ru –all”
1
2
3
4
5
Слайд 21Фильтрация на уровне протокола
Схема фильтрации по коду отправителя
Получаем запись SPF
с DNS отправителя
Фильтрация получателей
Нет
Проверяем адрес отправителя
Сообщение с
заблокированного домена?
Адрес отправителя в списке запрещенных отправителей?
3
1
Разорвать соединение и не применять другие фильтры
Да
2
Да
Фильтр по Sender ID
разрешает метки?
Фильтровать сообщение по установкам Sender-ID и не применять другие фильтры
Нет
Поставить метку Sender ID Failed
Фильтрация содержимого
Да
Нет
Слайд 22Фильтрация по коду отправителя
Плюсы и минусы
Плюсы
Идентификация сервера отправителя
Не нужно проверять MX
!!!
Минусы
Пересылка почты на другой адрес (механизм forward)
Прием получателем почты через резервный почтовый сервер (backup MX)
Минусы
Пересылка почты на другой адрес (механизм forward)
Прием получателем почты через резервный почтовый сервер (backup MX)
Слайд 23Фильтрация содержимого
Схема
Фильтрация по коду отправителя
IP-адрес в списке разрешенных адресов
(фильтр соединений)
Все получатели в списке исключений (фильтр содержимого)
Параметр AntispamByPassEnabled равен True для почтового ящика
Отправитель в списке разрешенных отправителей Outlook (Safelist aggregation)
Отправитель в списке разрешенных отправителей (фильтр содержимого)
Все получатели в списке исключений (фильтр содержимого)
Параметр AntispamByPassEnabled равен True для почтового ящика
Отправитель в списке разрешенных отправителей Outlook (Safelist aggregation)
Отправитель в списке разрешенных отправителей (фильтр содержимого)
1
Да
SCL превышает
deletion threshold?
Фильтрация вложения
Применить фильтр содержимого
Назначить SCL
2
3
Послать сообщение в карантин
Разорвать соединение на SMTP уровне
удалить сообщение без уведомления
4
Нет
SCL превышает
rejection threshold?
SCL превышает
quarantine threshold?
Нет
Нет
Проверка на вирусы
Да
Да
Да
Нет
Слайд 24Фильтрация содержимого
Плюсы и минусы
Плюсы
Блокировка «сомнительных» фраз
Гибкая настройка SCL
Минусы
Ложные срабатывания
Сообщения размером
больше 11Мбайт не проверяются
Слайд 25Фильтрация вложений
Схема
Фильтруем вложения
Фильтрация содержимого
Является ли вложение блокированным файлом или типом содержимого?
1
Блокировать
сообщение и послать NDR отправителю
Удалить сообщение и не применять другие фильтры
Вырезать вложение из сообщения
Нет
Или
Да
Сканирование на вирусы
Или
Слайд 26Фильтрация вложений
Плюсы и минусы
Плюсы
Самая простая защита от вирусов
Запрет «мусора» - mp3,
avi, и т.д.
Минусы
Реально вирусы не удаляются
Конфигурирование через EMS
Минусы
Реально вирусы не удаляются
Конфигурирование через EMS
Слайд 27Расширенная защита от спама
Forefront Server Security for Exchange
Антивирусная защита
Обновления
Репутация
отправителя(SRL)
Анализ HELO/EHLO
Проверка Reverse DNS
Анализ SCL от определенного отправителя
Проверка открытых прокси
Анализ HELO/EHLO
Проверка Reverse DNS
Анализ SCL от определенного отправителя
Проверка открытых прокси
Слайд 28
Microsoft Forefront Server Security объединяет мощь антивирусных ядер от Microsoft и
антивирусных лабораторий
Каждый продукт Forefront Server Security может использовать до пяти антивирусных ядер при сканировании
Каждый продукт Forefront Server Security может использовать до пяти антивирусных ядер при сканировании
Расширенная защита от спама
Мощь многоядерной технологии
Слайд 29Преимущества многоядерной защиты
Быстрый ответ на новые угрозы
Безостановочная защита благодаря избыточности
Множество антивирусных
ядер и более высокий уровень эвристики
Время реакции (часов)
Многоядерное решение Microsoft
* Includes beta signatures
** 0.00 denotes proactive detection
1 Source: AV-Test.org 2007 (www.av-test.org)
Прочие одноядерные решения
Слайд 30Распределенная защита
Сервер SMTP
Exchange Server
Интернет
Exchange Server
Интернет
Сканирование по протоколу SMTP
Сканирование в реальном времени
(хранилище Exchange)
Слайд 31Расширенная защита от спама
Обновления антиспама
Обновление фильтра содержимого
Поддельные веб-сайты
Microsoft SmartScreen
Другие
IMF-обновления
Обновления для Microsoft IP Reputation service (Microsoft Block list)
Обновления меток спама
Обновления для Microsoft IP Reputation service (Microsoft Block list)
Обновления меток спама
Слайд 33Расширенная защита от спама
Обновления антиспама
http://catalog.update.microsoft.com/v7/site/Rss.aspx?q=exchange+server+2007+anti-spam&lang=en
Слайд 34Рекомендации по борьбе со спамом
Правильная настройка почтовых серверов в DNS (A,
PTR, MX, Sender ID)
Проверка получателей в Active Directory
Настройка интервала задержки(Tarpit)
Запрет приема почты от «своего» домена
Использование RBL/DNSBL
Использование «серых» списков
Схема работы спам-фильтров
Поиск заблокированных писем
Проверка получателей в Active Directory
Настройка интервала задержки(Tarpit)
Запрет приема почты от «своего» домена
Использование RBL/DNSBL
Использование «серых» списков
Схема работы спам-фильтров
Поиск заблокированных писем
Слайд 35Выводы
Спам победить нельзя, но с ним можно успешно бороться
Защита должна быть
многоуровневой
Изменение психологии работы с почтой
Борьба со спамом — соблюдение баланса
Эффективность или блокировка легитимных писем
Администратор или пользователь
“Универсальное средство борьбы со спамом – человек!”
Изменение психологии работы с почтой
Борьба со спамом — соблюдение баланса
Эффективность или блокировка легитимных писем
Администратор или пользователь
“Универсальное средство борьбы со спамом – человек!”
Слайд 36Полезные ссылки
Microsoft Exchange server 2007
http://www.microsoft.com/exchange/
http://technet.microsoft.com/en-us/library/bb124558.aspx
Microsoft Forefront Server Security for Exchange
http://www.microsoft.com/forefront/serversecurity/exchange
http://technet.microsoft.com/en-us/library/bb914001.aspx
Антиспам технологии
http://www.lexa.ru/articles/antispam.html
http://ru.wikipedia.org/wiki/Spam
Мой блог http://www.exchangerus.ru
http://ru.wikipedia.org/wiki/Spam
Мой блог http://www.exchangerus.ru
Слайд 37Заполните анкету: http://platforma2009.ru/Eval.aspx Терминалы - холлы конференции и интернет-кафе на 1
этаже
Чтобы участвовать в розыгрыше призов
Результаты – на сайте конференции и в голосовых объявлениях после розыгрышей в 14:30, 16:00, 17:30 и 19:00
Чтобы участвовать в розыгрыше призов
Результаты – на сайте конференции и в голосовых объявлениях после розыгрышей в 14:30, 16:00, 17:30 и 19:00
Не забывайте заполнять анкеты по докладам
Ваше мнение очень важно!
Подробная информация по заполнению анкет – на сайте конференции
