ové reputační systémy

Podobné dokumenty
ové reputační systémy

ové služby a IPv6

y s garantovaným odesílatelem a obsahem v praxi s využitím DKIM. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Bezpečnější pošta aneb DANE for SMTP

Šifrování pro úplné začátečníky

spolupráce více systémů. . Pro zajištění služby je používáno více aplikačních protokolů, např.: DNS SMTP.

Bezpečnější pošta díky DANE

Bezpečnější bezpečnější díky DANE

Antispamové technologie

DNSSEC na vlastní doméně snadno a rychle

Falšování DNS s RPZ i bez

Správa linuxového serveru: Úvod do poštovního serveru

ové služby na IPv6-only

Schéma e-pošty. UA (User Agent) rozhraní pro uživatele MTA (Message Transfer Agent) zajišťuje dopravu dopisů. disk. odesilatel. fronta dopisů SMTP

Elektronická pošta. elementární služba, výchozí pro některé další jedna z prvních síťových služeb vůbec. základní principy popisují

Počítačové sítě Internetový systém elektronické pošty

Opensource antispamová ochrana

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů DNSSEC. Jiří Smítka.

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

Inovace a zkvalitnění výuky prostřednictvím ICT Počítačové sítě

Ing. Jitka Dařbujanová. , SSL, News, elektronické konference

Jemný úvod do Postfixu

Analýza podvodných ových zpráv

PRAVIDLA PROVOZU ELEKTRONICKÉ POŠTY V BIOFYZIKÁLNÍM ÚSTAVU AV ČR

Ochrana soukromí v DNS

Stránka, doména, URL, adresa

DoS útoky v síti CESNET2

Linux jako mail server

Jemný úvod do Postfixu

Ondřej Caletka. 13. března 2014

Administrace Unixu (Mailování)

Pojďme šifrovat! aneb ACME, továrna na certifikáty. Ondřej Caletka. 11. října 2015

Ondřej Caletka. 23. května 2014

Co musíte vědět o šifrování

Co musíte vědět o šifrování

Digitální podepisování pomocí asymetrické kryptografie

Elektronická pošta, datové schránky a webová epodatelna. co je elektronická pošta?

Cisco IronPort ESA Case Study

Demo: Multipath TCP. 5. října 2013

DATA a Datové schránky

Identifikátor materiálu: ICT-3-03

NAS 269 Seznámení s Mail Serverem A S U S T O R C O L L E G E

Ondřej Caletka. 27. března 2014

DNSSEC v praxi. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý ondrej.sury@nic.cz

3.8 Elektronická pošta

Elektronická pošta... 3 Historie... 3 Technické principy... 3 Komunikační protokoly... 3 MBOX... 4 Maildir... 4 Jak funguje POP3...

DNSSEC Pavel Tuček

Změna algoritmu podepisování zóny.cz. Zdeněk Brůna

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Jak se měří Internet

Jak nastavit 2SMS a SMS2 na bráně 2N VoiceBlue Next

Dokumentace k nevizuálnímu rozhraní aplikace DopisOnline

pomocí S/MIME ezprava.net s.r.o. 21. ledna 2015

Triky s OpenSSH. 4. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Ondřej Caletka. 2. března 2014

Novinky v DNS. Ondřej Caletka. 11. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

1. DATOVÉ SCHRÁNKY OBECNÝ PŘÍSTUP K DATOVÉ SCHRÁNCE DATOVÉ ZPRÁVY... 3

Elektronická komunikace s CSÚIS. Jak to řeší Fenix

Jak se měří Internet

BCOP aneb jak správně nasazovat

Nastavení telefonu Motorola V300

StartSSL: certifikáty zdarma

Jak nastavit 2SMS a SMS2 na 2N StarGate - nové CPU 2013

Andrew Kozlík KA MFF UK

DNSSEC: implementace a přechod na algoritmus ECDSA

SMTPServer - Příručka

OpenSSL a certifikáty

Anonymní komunikace praktické příklady

Sdílení zdravotnické dokumentace v souladu s GDPR

Datum vytvoření. Vytvořeno 18. října Očekávaný výstup. Žák chápe pojmy URL, IP, umí vyjmenovat běžné protokoly a ví, k čemu slouží

Útoky na DNS. Ondřej Caletka. 9. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

DNSSEC na vlastní doméně snadno a rychle

ŠIFROVÁNÍ, EL. PODPIS. Kryptografie Elektronický podpis Datové schránky

Inovace bakalářského studijního oboru Aplikovaná chemie

Jak funguje SH Síť. Ondřej Caletka

Provozní manuál DNSSec pro registr.cz a e164.arpa

Dokumentace ke službě SMS Connect.

Václav Bartoš, Martin Žádník. Schůze partnerů SABU

Bezpečnostní problémy VoIP a jejich řešení

SSL Secure Sockets Layer

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča

PA159 - Bezpečnostní aspekty

Elektronická pošta (e mail)

Robert Hernady, Regional Solution Architect, Microsoft

Dokumentace. k modulu. podnikový informační systém (ERP) Datové schránky

SCHRÁNKA DŮVĚRY. příručka pro použití schránky důvěry

VYHLÁŠKA ze dne 23. června 2009 o stanovení podrobností užívání a provozování informačního systému datových schránek

Nastavení skenování do u Technický průvodce

Doručitelnost ů

Co znamená IPv6 pro podnikovou informatiku.

Michal Vávra FI MUNI

Rodina protokolů TCP/IP, verze 2.6. Část 9: Elektronická pošta

KAPITOLA 1 Instalace Exchange Server

Ondřej Caletka. 5. listopadu 2013

Digitální podepisování pomocí asymetrické kryptografie

Radek Hulán F-ART AGENCY s.r.o.

II. Elektronická pošta

Návrh funkcí webových služeb (WS) pro komunikaci mezi Informačním systémem datových schránek (ISDS) a spisovými službami (SS)

Ondřej Caletka. 21. října 2015

Transkript:

E-mailové reputační systémy Ondřej Caletka 17. května 2017 Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko. Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 1 / 28

O sdružení CESNET Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 2 / 28

Obsah 1 Stručně o elektronické poště 2 Sender Policy Framework 3 DomainKey Identified Mail 4 Author Domain Signing Practices 5 Domain-based Message Authentication, Reporting, and Conformance Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 3 / 28

Stručně o elektronické poště koncepčně vychází z klasické pošty jednoduché textové zprávy podle RFC 822/2822/5322 hlavička jako soubor polí Klíč: Hodnota tělo zprávy za prázdným řádkem omezení na 7bit znaky, 78 na řádek (max. 998) rozšíření MIME pro vícedílné zprávy Povinné hlavičky From: Date: Message-ID: Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 4 / 28

Přenos pošty pomocí SMTP metoda ulož a přepošli jednoduchý textový protokol podle RFC 821/2821/5321 vytváří obálku pro zprávy s novou dvojicí adres odkud - kam obálková adresa odkud slouží k hlášení problémů (nebo i úspěchu) s doručováním obálková adresa kam určuje, komu bude zpráva doručena předávání zpráv je zaznamenáváno na začátek hlavičky zprávy Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 5 / 28

220 SMTP server ready EHLO local.machine.example 250 server.example.net MAIL FROM:<jdoe@machine.example> 250 2.1.0 Ok RCPT TO:<mary@example.net> 250 2.1.5 Ok DATA 354 End data with <CR><LF>.<CR><LF> From: John Doe <jdoe@machine.example> To: Mary Smith <mary@example.net> Subject: Saying Hello Date: Fri, 21 Nov 1997 09:55:06-0600 Message-ID: <1234@local.machine.example> This is a message just to say hello.. 250 2.0.0 Ok: queued as C5D1822AF6 QUIT 221 2.0.0 Bye Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 6 / 28

Sender Policy Framework původně Sender Permitted From nasazeno před standardizací váže identitu odesílatele s DNS záznamem cílem je zabránit falšování identity odesílatele majitel domény specifikuje, které servery jsou oprávněny jeho jménem posílat poštu Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 7 / 28

Příklad SPF politiky example.com. IN TXT "v=spf1 ip4:192.0.2.0/24 -all" Přehled kvalifikátorů + pass vyhovuje výchozí? neutral neznámý - fail nevyhovuje softfail spíše nevyhovuje Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 8 / 28

Validace při příjmu server validuje v průběhu SMTP komunikace IP adresu serveru nejprve s doménou příkazu HELO/EHLO poté s doménou z MAIL FROM: podle výsledku analýzy se nejspíš něco stane: pass zpráva je propuštěna neutral zpráva je přezkoumána antispamem fail zpráva je odmítnuta při SMTP komunikaci softfail zpráva je podrobena důkladnějšímu zkoumání/přesunuta do karantény SPF nechává volnost ve využití výsledků analýzy Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 9 / 28

Typ DNS záznamu původně vyvinuto se záznamem typu TXT zneužití generického typu později standardizován záznam typu SPF obtížný přechod, validátory musely načítat oba typy RFC 7208 použití záznamu typu SPF rezervuje pro budoucí verze SPF Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 10 / 28

Problém s přeposíláním pošty Problematické chování A publikuje SPF ve stylu ip4: -all B umožňuje přeposílání došlé pošty C validuje SPF a při fail zprávy odmítá A posílá poštu do B, ta je následně přeposlána do C C vidí poštu od A doručenou z IP adresy serveru B Možná řešení A použije softfail B přepíše zpáteční adresu C vyhodnotí fail stejně jako softfail Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 11 / 28

Přepisování zpáteční adresy na prázdnou adresu <> odesílatel se nedozví případné problémy s doručením přeposlané zprávy na adresu administrátora problémy se dozví administrátor na speciální adresu, která je přeposílaná na původní většinou nejlepší řešení nesmíme při tom vytvořit open relay Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 12 / 28

Sender Rewriting Scheme standard přepisování obálkových adres při přeposílání přeposílání funguje pouze omezenou dobu nelze předem spočítat přepis na libovolnou adresu použitím databáze použitím hashovací funkce Příklady přepsaných adres SRS0=KKKKKKKK@B.org SRS0=HHH=TT=A.org=user@B.org SRS1=KKK=B.org==HHH=TT=A.org=user@B2.org Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 13 / 28

Shrnutí SPF nejstarší pokus o autentizaci odesílatele řeší jen obálkové adresy nedefinuje chování příjemce zprávy přeposílání broken by design Pokud máte rádi své uživatele nepoužívejte hard fail politiku neodmítejte poštu s výsledkem hard fail implementujte SRS, zvláště pokud přeposíláte Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 14 / 28

DomainKey Identified Mail zvýšení autenticity elektronických zpráv použití elektronického podpisu (resp. značky) podepisování na serveru podpis jako přídavná hlavička veřejný klíč uložený v DNS kdokoli může podepisovat i validovat zprávy s nevalidním podpisem nemají být diskriminovány proti zprávám bez podpisu Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 15 / 28

Příklad DKIM podpisu DKIM-Signature: v=1; a=rsa-sha256; d=example.com; bh=3yz h2=; c=relaxed/relaxed; s=dep1; h=date:from:to:subject:from; b=wo/qoyff M0yBh5UqQ= v= verze DKIM a= algoritmus podpisu d= doména podpisu bh= hash těla zprávy c= kanonizace hlaviček/těla s= DNS selektor h= seznam podepsaných hlaviček b= vlastní podpis Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 16 / 28

Uložení veřejného klíče Příklad DKIM klíče dep1._domainkey.example.com. IN TXT "v=dkim1; k=rsa; p=miibijanbgkqhkig9w0baqe "" U9W" TXT záznam v subdoméně _domainkey veřejný klíč v Base64 uvozen selektorem libovolný řetězec plynulá výměna klíčů různé klíče pro různá oddělení limit 255 znaků na jeden label v TXT záznamu problém s velkými RSA klíči stačí složit záznam z více kratších labelů Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 17 / 28

Kanonizace předúprava zpráv před podepisováním cílem je nezkazit podpis, pokud někdo po cestě trochu pokazí zprávu změna velikosti písmen v hlavičkách přeformátování bílých mezer v těle zprávy nastavení simple úpravu neprovádí nastavení relaxed je imunní vůči nevýznamným úpravám Příklad DKIM podpisu DKIM-Signature: v=1; a=rsa-sha256; d=example.com; bh=3yz h2=; c=relaxed/relaxed; s=dep1; h=date:from:to:subject:from; b=wo/qoyff M0yBh5UqQ= Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 18 / 28

Podepisování hlaviček podepsány jsou jen ty, které jsou vyjmenovány v podpisu + samotný podpis vícenásobný výskyt v podpisové hlavičce znamená vícenásobný počet hlaviček důležité hlavičky je možné přepodepsat (oversign) Příklad DKIM podpisu DKIM-Signature: v=1; a=rsa-sha256; d=example.com; bh=3yz h2=; c=relaxed/relaxed; s=dep1; h=date:from:to:subject:from; b=wo/qoyff M0yBh5UqQ= Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 19 / 28

Author Domain Signing Practices snaha deklarovat, že daná doména podepisuje své zprávy možnost zahazovat prokazatelně zfalšované zprávy (např. PayPal) jednoduchá deklarace pomocí TXT záznamu v subdoméně _adsp._domainkey Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 20 / 28

Příklad ADSP deklarace _adsp._domainkey.example.com IN TXT "dkim=all" Možné politiky unknown neexistující (výchozí) all všechny zprávy by měly být podepsány discardable nesprávně podepsané zprávy mají být zahozeny (není určeno pro lidi) Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 21 / 28

Problém s e-mailovými konferencemi konference často upravují zprávy odstraňují nevhodné přílohy přidávají tagy do předmětu přidávají patičky přitom je žádoucí zachovat identitu původního odesílatele konference by měla přepodepisovat konference by neměla přijímat respondenty s ADSP discardable konference může měnit adresu From: jediné funkční řešení znemožňuje automatické ověření PGP a S/MIME podpisů Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 22 / 28

Domain-based Message Authentication, Reporting, and Conformance systém ověření identity odesílatele (hlavičky From:) používá výsledky analýzy SPF a DKIM přesně definované nakládání se zprávou, která nevyhoví automatizované hlášení problematických zpráv možnost postupného nasazení Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 23 / 28

Příklad DMARC záznamu _dmarc.example.com IN TXT "v=dmarc1; p=none" Význam voleb v= verze p= politika (none, quarantine, reject) pct= procento zpráv, které bude kontrolováno adkim= asociace DKIM k odesílatelově doméně aspf= asociace SPF k odesílatelově doméně rua= reportování agregovaných statistik ruf= reportování zpráv, kde selhalo ověření Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 24 / 28

Hlášení o problémech agregované statistiky jednou za den a okamžité reporty nevyhovujících zpráv většina provozovatelů podporuje jen agregované statistiky doručení e-mailem v zazipovaném XML souboru limit na velikost zprávy reportování do cizích domén nutno autorizovat v DNS Příklad reportování z A.org do B.org IN TXT " rua=mailto:dmarc-rua@b.org!10m" A.org._report._dmarc.B.org. IN TXT "v=dmarc1" Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 25 / 28

Problém s e-mailovými konferencemi stačí aby vyhověl SPF nebo DKIM přeposílání zpráv zachovává DKIM konference ničí DKIM a činí SPF nepoužitelným sice je validní, ale bez vztahu k doméně odesílatele konference tedy musí měnit adresu From: přinejmenším pro respondenty s DMARC politikou původní adresu přispěvatele je možné přesunout do Reply-To: případně je možné zprávy obalit jako MIME Digest o jedné zprávě problematická podpora MUA Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 26 / 28

Shrnutí dobrým začátkem je hygiena správného užívání e-mailových schránek příjem pošty protokoly IMAP/TLS, případně IMAPS předávání pošty k odeslání autentizovaným protokolem Submission/TLS, případně SMTPS žádné přeposílání přes open relay místního ISP SPF je dobré pro pozitivní určení správného serveru pro ostatní nanejvýš softfail pokud nabízíme přeposílání, chce to SRS DKIM nikdy neublíží, někdy pomůže není důvod ho nemít ADSP má smysl jen v režimu discardable DMARC má budoucnost velcí hráči už ho mají my ostatní se musíme přizpůsobit Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 27 / 28

Děkuji za pozornost Ondřej Caletka Ondrej.Caletka@cesnet.cz https://ondřej.caletka.cz Ondřej Caletka (CESNET, z. s. p. o.) E-mailové reputační systémy 17. května 2017 28 / 28

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář