Отбить на дальних подступах
3 сентября 2018
Мы часто возвращаемся к теме антиспама, в том числе и в рамках продуктов Dr.Web. Напомним, что этот модуль принимает письмо и сравнивает его содержимое с определенными правилами, заложенными в его базе данных.
Модуль может использоваться для фильтрации спама и на рабочих станциях и на серверах, но если на ПК он обычно является единственным средством защиты от спама, то на серверах администраторы могут воспользоваться дополнительными технологиями.
Самое простое – базы DNSBL, аналог баз Родительского контроля. Это перечень ресурсов, запятнавших себя, скажем, рассылкой спама. Используется достаточно часто, но имеет крупный недостаток: в него легко попасть, но вот удаление оттуда зачастую платное, и пока вы не заплатите, все, кто используют эту базу DNSBL, ваши письма будут считать спамом. Подробнее можно почитать в нашем выпуске «Борьба с ”борцами” со спамом».
Не золотая пуля.
Еще одна технология – SPF. Фишеры стараются подменять домен отправителя, чтобы письмо выглядело пришедшим от доверенного человека. Идея технологии SPF достаточно проста: в служебной информации домена его владелец записывает список серверов, которые имеют право отправлять письма от имени этого домена, и механизм обработки писем, отправленных от других серверов. Соответственно, принимающий сервер может проверить эту информацию и выявить, что письмо, отправленное от имени Microsoft, отправлено совсем с другого IP-адреса.
dig work.ua TXT | grep spf
work.ua. 57416 IN TXT "v=spf1 a mx ip4:89.184.80.167 ip4:89.184.66.189 ip4:89.184.66.22 ip4:89.184.66.23 ip4:89.184.80.160/28 -all"
В данном примере:
- v=spf1 — версия используемой SPF-записи;
- a — принимать почту с сервера, IP-адрес которого стоит в A-записи домена (проще говоря, с сервера, где размещен сайт);
- mx — принимать почту с серверов, указаных в MX-записях домена;
- ip4:89.184.80.167 ip4:89.184.66.189 ip4:89.184.66.22 ip4:89.184.66.23 — принимать почту с серверов, которым соответствуют перечисленные IP-адреса;
- ip4:89.184.80.160/28 — принимать почту с серверов, IP-адреса которых находятся в указанной подсети (диапазоне);
- -all — письмо с сервера, который не входит в вышеперечисленный список, отвергается.
https://letsclearitup.com.ua/exim/chto-takoe-spf-sender-policy-framework.html
Для проверки наличия/корректности SPF-записи существуют специальные сервисы – например, Kitterman.
Проблема этой технологии в том, что для ее реализации все серверы, принимающие и отправляющие электронную почту, должны использовать SPF. Но это априори нереально. Письма крайне редко идут напрямую от сервера к серверу – гораздо чаще они проходят несколько транзитных серверов. Один из них может не использовать SPF, и, если политика получающего сервера заключается в том, чтобы принимать корреспонденцию только с серверов, использующих SPF, письмо может быть отвергнуто как спам.
Не золотая пуля.
Следующая технология – DKIM (Domain Keys Identified Mail – идентификация письма по ключу домена).
Если в SPF каждому имени домена соответствует список доверенных серверов, то в случае DKIM:
…для идентификации законного отправителя используется цифровая подпись, которая связана с его доменным именем отправителя (DomainKeys).
Для того, чтобы настроить DKIM-подпись, необходимо сформировать пару ключей шифрования – публичный и приватный.
Для проверки подписей используется так называемая ассиметричная система шифрования: своим приватным ключом вы, как отправитель, создаёте подпись. А проверить её подлинность сервер-получатель может с помощью публичного ключа. Этот публичный ключ вы, как рассыльщик, публикуете на своём DNS-сервере или делегируете рассылочному серверу.
Для проверки DKIM можно воспользоваться dkimcore.org.
Проблемы? Спамеры могут настроить для своего сервера DKIM (как, кстати, и SPF). Ничто им не мешает это сделать. И если атака того стоит, они это сделают.
Еще одна проблема связана с целостностью письма. Почтовые серверы меняют содержимое при пересылке – например, структуру MIME-частей или разбивку на строки, что может приводить к нарушению DKIM-подписи.
А если взять и объединить SPF и DKIM? Это будет уже DMARC:
DMARC устанавливает стандарт для идентификации электронных сообщений принимающими узлами с использованием механизмов Sender Policy Framework (структуры политики отправителя, SPF) и DomainKeys Identified Mail (почты, идентифицируемой при помощи доменных ключей, DKIM).
Проблемы? Поскольку DMARC использует DKIM, то проблемы аналогичны. В этой статье весьма подробно описаны сложности, с которыми могут столкнуться пользователи.
Естественно, это не все технологии – их предлагалось гораздо больше: OMF, Sender-ID, ADSP... Но Sender ID (RFC 4406) использует патенты Microsoft и «не взлетел», ADSP тоже «не взлетел» и в 2013 году был переведен в статус Historic.
Интересно, что все эти технологии упрощают деанонимизацию отправителя. Что логично, так как сервер отправителя теперь должен идентифицироваться однозначно.
#спам #технологии #фишингАнтивирусная правДА! рекомендует
Что показывает этот грустный список? А показывает он, что если исходный протокол передачи почтовых сообщений (SMTP) безопасности не обеспечивает (а он и создавался для тех, кто не мог реализовать безопасный протокол X25), то остается проявлять внимательность и еще раз внимательность при получении писем.
И конечно, использовать антиспам для фильтрации почты — не только на рабочих станциях, но и на дальних подступах к ним — на почтовом сервере. Как правильно организовать такую фильтрацию, рассказывает наш обучающий курс Основные принципы защиты почтового трафика.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Sasha50
08:20:37 2019-01-29
Неуёмный Обыватель
23:01:22 2018-09-04
С медведем на лесной тропе встречался только один раз, да и то я был не один, а с бабушкой. Вдвоём мы смогли создать достаточно шума, чтобы попросить его пропустить нас. Мы прошли. Но потом я весь день оглядывался на каждый шорох и даже на подозрительную тишину.
Насчет правильного медведя в Туве недавно выразился Песков: "Медведь — не дурак. Если он Путина увидит, он будет себя вести прилично, конечно" :)
Любитель пляжного футбола
22:49:42 2018-09-04
Меня родители стращали, что меня обязательно должен съесть мишка. Но, как видите, не слопал. :) Впрочем, у него будет такая возможность в следующем году, когда я буду бродить по более глухим местам. На всякий случай, как рекомендуется, купил фальшфейер. Но он мне не пригодился, чему я совершенно не расстраиваюсь. :) Мне не очень-то было бы комфортно встречаться с хозяином, ведь я не знаю, как Маугли, как будет по-медвежьи: "Мы с тобой одной крови, ты и я". :)
Кстати, чтобы мишка во время сна не побеспокоил, пищевые отходы следует закапывать поглубже в землю, так запах не привлечёт хищника. В принципе, во время подготовки к путешествию вы и сами почитаете, как вести себя в лесу, где водятся медведи.
На Кавказе, наверное, здорово! Я, подумать только, лет тридцать не был на юге. Надо будет и куда-нибудь на юг спланировать путешествие.
zsergey
19:55:18 2018-09-04
Ruslan
09:04:39 2018-09-04
Неуёмный Обыватель
02:54:57 2018-09-04
Lia00
01:12:58 2018-09-04
Неуёмный Обыватель
00:36:53 2018-09-04
Одиночный поход достаточно рискованное мероприятие для меня. В первую очередь настораживает возможность встречи с дикими животными. Особенно, во время сна )))
Были планы на это лето перейти через часть Северного Кавказа к Черному морю (тридцатка или что-то подобное), но так и не воплотились.
Любитель пляжного футбола
00:13:14 2018-09-04
Готовьтесь, а мы пока запасёмся терпением. :) А без подготовки действительно никуда. Вот во время подготовки к моей поездке на Байкал я старался просчитывать буквально каждую мелочь, чтобы не было непредвиденных моментов, конечно, до конца всё просчитать невозможно, но это сильно помогает, как ещё говорил Суворов, тяжело в учении - легко в бою. :) Если не подготовиться как следует, то легко попасть в неприятную ситуацию. Всё-таки это не обжитая европейская часть России, а дикая природа, тайга. В принципе, моя поездка на Байкал была самой экстремальной из всех, что я когда-либо предпринимал, экстремальной можно назвать с натяжкой, но мест, где легко можно было свернуть шею, было предостаточно. А тут Камчатка, это вообще круто! Там вообще есть немало мест, куда ещё не ступала нога человека. Кстати, турфирмы организуют многодневные походы по всяким диким красивым местам, когда туда поеду, схожу в один такой поход; если на Байкале я в следующем году собираюсь предпринять пятидневный одиночный поход, то на Камчатке на такое дело в одиночку бы не решился, там и заблудиться недолго.
Пара советов (больше я и не знаю): если будете на берегу океана, то при прогулке по берегу не заходите далеко в воду в зоне прибоя, мне родственники рассказывали, что берега там обрывисты, могут оказаться ямы под песком, и дальше может просто унести в океан. У подножья домашних вулканов стоит быть осторожным, в некоторых местах возможны выбросы вулканических газов из фумарол, можно легко отравиться. Короче, нужна тщательная подготовка, и действительно нужно учесть много нюансов.
Кстати, вспомнился один случай, касательно того что не всегда и самая тщательная подготовка помогает. Ездил я в прошлом году в Новгородскую губернию, побывал на Валдае, так вот в Яндекс-картах я разработал свой маршрут передвижения по городу, приезжаю на автобусе в Валдай, доезжаю до конечной, до автостанции ... и не узнаю местность, хотя специально просматривал в Яндекс-панорамах. Оказалось, что ещё 2 года назад поменялось месторасположении автостанции, новое здание было километров в 2-3 от старого, а в Яндекс-картах всё оставалось по-старому. Вот такой облом. :))) Не очень люблю такие моменты, когда что-то идёт не по плану, хотя и стараешься предусмотреть запасные варианты. Но такое было просто невозможно предусмотреть. Или почти невозможно. Жизнь полна неожиданностей! :)
Неуёмный Обыватель
23:52:41 2018-09-03
tigra
23:46:43 2018-09-03
Александр
23:41:50 2018-09-03
Неуёмный Обыватель
23:18:52 2018-09-03
Неуёмный Обыватель
22:41:51 2018-09-03
Подробности будут, но постфактум :) Пока не известно когда еще. Это такое дело, в которое нельзя сорваться в любую минуту наобум. Как уже было написано в новости, нужно учесть массу нюансов : https://news.drweb.ru/show?i=12805&lng=ru
Будем готовиться :)
tigra
22:34:05 2018-09-03
tigra
22:31:07 2018-09-03
Любитель пляжного футбола
22:05:11 2018-09-03
razgen
22:01:00 2018-09-03
Не расстраивайтесь:). Сегодня только первый день нового учебного года. Выход на новый уровень образования впереди. А главное читайте выпуски "Антивирусной ПравДЫ" и всё у вас получится.
I23
21:53:55 2018-09-03
I46
21:51:07 2018-09-03
В...а
21:46:28 2018-09-03
Dvakota
21:43:18 2018-09-03
vla_va
21:34:31 2018-09-03
Любитель пляжного футбола
21:23:55 2018-09-03
orw_mikle
21:16:18 2018-09-03
Lenba
21:15:10 2018-09-03
Vlad X
21:13:14 2018-09-03
желаю отличного путешествия!Край удивительный.
kva-kva
20:38:46 2018-09-03
mk.insta
20:10:03 2018-09-03
Сергей
20:06:37 2018-09-03
anatol
20:01:59 2018-09-03
robot
20:00:01 2018-09-03
anavdoni
19:21:44 2018-09-03
Шалтай Александр Болтай
19:01:22 2018-09-03
Шалтай Александр Болтай
18:57:25 2018-09-03
Andromeda
18:50:47 2018-09-03
Геральт
18:39:18 2018-09-03
Дмитрий
17:47:01 2018-09-03
Татьяна
17:04:29 2018-09-03
La folle
17:00:14 2018-09-03
Альфа
16:53:43 2018-09-03
posadkovSKB
16:29:21 2018-09-03
Damir
16:24:38 2018-09-03
Toma
16:20:59 2018-09-03
Неуёмный Обыватель
15:14:53 2018-09-03
Чтоб взрывом ценное не грохнуть,
От плевел зерна отделить
И самородок не прихлопнуть,
Сквозь сито будем письма лить.
marisha-san
14:51:00 2018-09-03
Zserg
14:18:50 2018-09-03
Biggurza
14:18:31 2018-09-03
Вооруженный сверх зубов.
Смотрю, во тьме крадутся двое,
У каждого по сто мешков!
Зевнул, шмальнул, потом уснул:
Не жалко обормотов –
На дальних подступах шмальнул
Врагов гранатометом.
Не стану даже я смотреть,
Ведь, знаю, кто был там…
Там был, тот самый (очуметь)
Назойливый зануда-спам!
Неуёмный Обыватель
14:07:30 2018-09-03
Признаюсь, было нелегко выполнить условия конкурса.
Спасибо создателям и вдохновителям конкурса за то, что обратили внимание на прекрасные уголки нашей Родины. Благодаря выпускам новостей, за время этого этапа я узнал столько интересного о Камчатке, сколько не знал за всю жизнь до этого.
Желаю всем сил, упорства, изобретательности и терпения. И когда вы всё это приложите, ваша мечта обязательно исполнится!
vinnetou
13:40:32 2018-09-03