Publicado el 18 de Mayo del 2019
479 visualizaciones desde el 18 de Mayo del 2019
818,4 KB
40 paginas
Creado hace 14a (01/05/2010)
Análisis de Mecanismos AntiSPAM sobre IPv6
LACNIC XIII, Cura¸cao, Mayo de 2010
1Universidad Tecnológica Nacional, Facultad Regional Bahía Blanca
2CONICET, CCT Bahía Blanca
Santiago Aggio
LACNIC XIII, Cura¸cao, Mayo de 2010
Análisis de Mecanismos AntiSPAM sobre IPv6
Contenido I
1
Introducción
Acerca de SPAM
SPAM sobre IPv6
Migración del Servidor de Email
MTA’s con soporte IPv6
SMTP en ambientes dual-stack IPv4/IPv6
RIPE Labs
LACNIC XIII, Cura¸cao, Mayo de 2010
Análisis de Mecanismos AntiSPAM sobre IPv6
Contenido II
2 Mecanismos AntiSPAM
Descripción de Mecanismos AntiSPAM
RBL
SPF
Greylisting
Resolución del nombre/IP del cliente
Sender Address Verification SAV
Recipient Address Verification RAV
Reglas Empíricas
LACNIC XIII, Cura¸cao, Mayo de 2010
Análisis de Mecanismos AntiSPAM sobre IPv6
Contenido III
3 Experiencias
Conectividad IPv6
Registros DNS
Registros MX
SPF
Greylist
4 Conclusiones
5 Trabajo a Futuro
6 FIN
LACNIC XIII, Cura¸cao, Mayo de 2010
Análisis de Mecanismos AntiSPAM sobre IPv6
Introducción
Acerca de SPAM
SPAM sobre IPv6
Migración del Servidor de Email
MTA’s con soporte IPv6
SMTP en ambientes dual-stack IPv4/IPv6
RIPE Labs
Acerca de SPAM
De cada 4 mensajes recibidos por lo menos 3 son SPAM
Implementar políticas AntiSPAM generan un alto costo de
infraestructura de red y de recursos humanos en un ISP
Las políticas antispam no satisfacen lo requerimientos a nivel
de capa 8 !!!
El usuario se queja porque recibe SPAM.
¿No están haciendo nada?
El usuario se queja porque recibe sólo 5 mensajes por día.
Antes recibía más de 20 !!!!. ¿Están filtrando demasiado?
El usuario no habilita su firewall, no actualiza su antivirus y no
advierte las actualizaciones de seguridad de su SO
LACNIC XIII, Cura¸cao, Mayo de 2010
Análisis de Mecanismos AntiSPAM sobre IPv6
Introducción
Acerca de SPAM
SPAM sobre IPv6
Migración del Servidor de Email
MTA’s con soporte IPv6
SMTP en ambientes dual-stack IPv4/IPv6
RIPE Labs
SPAM sobre IPv6
¿Los mecanismos AntiSPAM que se utilizan en IPv4 funcionan
igual bajo IPv6?
LACNIC XIII, Cura¸cao, Mayo de 2010
Análisis de Mecanismos AntiSPAM sobre IPv6
Introducción
Acerca de SPAM
SPAM sobre IPv6
Migración del Servidor de Email
MTA’s con soporte IPv6
SMTP en ambientes dual-stack IPv4/IPv6
RIPE Labs
Migración de Servidor de Email
Cambio de hardware
Cambio de Sistema Operativo
Cambio de MTA
Filtros AntiSPAM
Soporte IPv4 e IPv6
LACNIC XIII, Cura¸cao, Mayo de 2010
Análisis de Mecanismos AntiSPAM sobre IPv6
Introducción
Acerca de SPAM
SPAM sobre IPv6
Migración del Servidor de Email
MTA’s con soporte IPv6
SMTP en ambientes dual-stack IPv4/IPv6
RIPE Labs
MTA’s con soporte IPv6
Las últimas versiones de los MTA’s de código abierto más
utilizados soportan IPv6
Sendmail
Postfix
Exim
Qmail
LACNIC XIII, Cura¸cao, Mayo de 2010
Análisis de Mecanismos AntiSPAM sobre IPv6
Introducción
Acerca de SPAM
SPAM sobre IPv6
Migración del Servidor de Email
MTA’s con soporte IPv6
SMTP en ambientes dual-stack IPv4/IPv6
RIPE Labs
SMTP en ambientes dual-stack IPv4/IPv6
RFC 3974 (Enero 2005)
Un mensaje puede atravesar varios relays antes de llegar a
destino.
La entrega de mensajes es más complejo que otros servicios
de internet que utilizan una comunicación directa IP
Se requiere de configuración en los registros MX del DNS para
una correcta operación IPv4/IPv6 dual-stack
Se plantea un algoritmo de 9 pasos para el emisor SMTP en
ambientes dual-stack
Para un MX, los registros AAAA podrían tomar preferencia
por sobre los A
LACNIC XIII, Cura¸cao, Mayo de 2010
Análisis de Mecanismos AntiSPAM sobre IPv6
Introducción
Acerca de SPAM
SPAM sobre IPv6
Migración del Servidor de Email
MTA’s con soporte IPv6
SMTP en ambientes dual-stack IPv4/IPv6
RIPE Labs
RIPE Labs
Es el primer RIR que se involucra en el tema (30/03/2010)
http://labs.ripe.net/content/spam-over-ipv6
Mediciones de tráfico SPAM sobre IPv6
Las mediciones excluyen los mensajes rechazados por blacklist
y greylist
LACNIC XIII, Cura¸cao, Mayo de 2010
Análisis de Mecanismos AntiSPAM sobre IPv6
Introducción
Acerca de SPAM
SPAM sobre IPv6
Migración del Servidor de Email
MTA’s con soporte IPv6
SMTP en ambientes dual-stack IPv4/IPv6
RIPE Labs
RIPE Labs
Figura: Número de mensajes SPAM recibidos en una semana.
LACNIC XIII, Cura¸cao, Mayo de 2010
Análisis de Mecanismos AntiSPAM sobre IPv6
Mecanismos AntiSPAM
Descripción de Mecanismos AntiSPAM
RBL
SPF
Greylisting
Resolución del nombre/IP del cliente
Sender Address Verification SAV
Recipient Address Verification RAV
Reglas Empíricas
Descripción de Mecanismos AntiSPAM
Real-Time Blackhole List (RBL) / DNS BlackList
Sender Policy Framework (SPF)
Resolución del nombre/IP del cliente
Greylisting
Sender Address Verification (SAV)
Recipient Address Verification (RAV)
Clasificación usando Reglas Empíricas
LACNIC XIII, Cura¸cao, Mayo de 2010
Análisis de Mecanismos AntiSPAM sobre IPv6
Mecanismos AntiSPAM
Descripción de Mecanismos AntiSPAM
RBL
SPF
Greylisting
Resolución del nombre/IP del cliente
Sender Address Verification SAV
Recipient Address Verification RAV
Reglas Empíricas
RBL
Esta basado en la reputación de la dirección IP del emisor
Se configura en el MTA
Es el primer mecanismo en actuar al abrirse la conexión
Requiere de una consulta por DNS a la respectiva Zona para
verificar que la IP no se encuentra bloqueada
Se pueden consultar múltiples RBL de forma secuencial
Tiene una eficacia del 50 % al 60 %
Permite ahorrar recursos
Requiere la intervención del administrador para remover la
dirección IP bloqueada
LACNIC XIII, Cura¸cao, Mayo de 2010
Análisis de Mecanismos AntiSPAM sobre IPv6
Mecanismos AntiSPAM
Descripción de Mecanismos AntiSPAM
RBL
SPF
Greylisting
Resolución del nombre/IP del cliente
Sender Address Verification SAV
Recipient Address Verification RAV
Reglas Empíricas
RBL
SpamHaus (libre, con límite en el número de consultas,
comercial)
SpamCop (libre)
SORBS (libre, con costo para ser removido de la BL)
uceprotect.net
NJABL: Not Just Another Bogus List, AHBL: Abusive Hosts
Blocking List, VIRBL: Virus Blackhole List
Comerciales: IronPort, Barracuda, etc
Proyectos discontinuados: Distributed Sender Blackhole List
(DSBL), SPEWS
LACNIC XIII, Cura¸cao, Mayo de 2010
Análisis de Mecanismos AntiSPAM sobre IPv6
Mecanismos AntiSPAM
Descripción de Mecanismos AntiSPAM
RBL
SPF
Greylisting
Resolución del nombre/IP del cliente
Sender Address Verification SAV
Recipient Address Verification RAV
Reglas Empíricas
RBL
Múltiples zonas disponibles para consulta
Cada zona referencia diferentes fuentes de SPAM
No existe un único criterio en los códigos retornados del rango
127/8
LACNIC XIII, Cura¸cao, Mayo de 2010
Análisis de Mecanismos AntiSPAM sobre IPv6
Mecanismos AntiSPAM
Descripción de Mecanismos AntiSPAM
RBL
SPF
Greylisting
Resolución del nombre/IP del cliente
Sender Address Verification SAV
Recipient Address Verification RAV
Reglas Empíricas
Códigos de respuestas de RBL (Fuente: SORBS)
127.0.0.2 - Open HTTP Proxy Server (http.dnsbl.sorbs.net)
127.0.0.3 - Open SOCKS Proxy Server (socks.dnsbl.sorbs.net)
127.0.0.4 - Open Proxy Server not listed in the SOCKS or
HTTP lists. (misc.dnsbl.sorbs.net)
127.0.0.5 - Open SMTP relay server (smtp.dnsbl.sorbs.net)
127.0.0.6 - Hosts sending spam/UCE/UBE to SORBS, netblocks
of spam supporting service providers
(list.spam.dnsbl.sorbs.net)
127.0.0.7 - Web servers email vulnerabilities (e.g. FormMail scripts)
(web.dnsbl.sorbs.net)
127.0.0.8 - Hosts demanding not to be tested by SORBS (block.dnsbl.sorbs.net)
127.0.0.9 - Networks hijacked from original owners (zombie.dnsbl.sorbs.net)
127.0.0.10 - Dynamic IP Address ranges (dul.dnsbl.sorbs.net)
127.0.0.11 - Domain names with bad A or MX RRs (badconf.rhsbl.sorbs.net)
127.0.0.12 - Domain names with no emai originating (nomail.rhsbl.sorbs.net)
LACNIC XIII, Cura¸cao, Mayo de 2010
Análisis de Mecanismos AntiSPAM sobre IPv6
Mecanismos AntiSPAM
Descripción de Mecanismos AntiSPAM
RBL
SPF
Greylisting
Resolución del nombre/IP del cliente
Sender Address Verification SAV
Recipient Address Verification RAV
Reglas Empíricas
RBL sobre IPv6 en Postifx
Algunas limitaciones de Postfix para hacer uso de IPv6 y de RBL
(ver http://www.postfix.org/IPV6 README.html)
The order of IPv6/IPv4 outgoing connection
attempts is not yet configurable. Currently, IPv6
is tried before IPv4
Postfix currently does not support DNSBL
(real-time blackhole list) lookups for IPv6
client IP addresses; currently there are no
blacklists that cover the IPv6 address space
LACNIC XIII, Cura¸cao, Mayo de 2010
Análisis de Mecanismos AntiSPAM sobre IPv6
Mecanismos AntiSPAM
Descripción de Mecanismos AntiSPAM
RBL
SPF
Greylisting
Resolución del nombre/IP del cliente
Sender Address Verification SAV
Recipient Address Verification RAV
Reglas Empíricas
Virbl: RBL con soporte IPv6
Virbl http://virbl.bit.nl es un proyecto que nació en la reunión
RIPE-48 (Mayo 2004)
Obtienen informes de servidores de email que envían virus
Incluye la dirección IP reportada desde donde se enviaron virus
en una lista negra.
Es el primer servicio que soporta consultas IPv6 (desde
15-01-2010)
List an entire /64 when we see five IPv6 hosts in the
same /64
La lista negra es accesible para los formatos bind, rbldnsd y
texto
LACNIC XIII, Cura¸cao, Mayo de 2010
Análisis de Mecanismos AntiSPAM sobre IPv6
Mecanismos AntiSPAM
Descripción de Mecanismos AntiSPAM
RBL
SPF
Greylisting
Resolución del nombre/IP del cliente
Sender Address Verification SAV
Recipient Address Verification RAV
Reglas Empíricas
RFC 5782
RFC 5782 DNS Blacklist and Whitelist (Feb 2010)
Anti-Spam Research Group (ASRG) IRTF
Define la estructura para las DNSBLs y las DNSWLs
LACNIC XIII, Cura¸cao, Mayo de 2010
Análisis de Mecanismos AntiSPAM sobre IPv6
Mecanismos AntiSPAM
Descripción de Mecanismos AntiSPAM
RBL
SPF
Greylisting
Resolución del
Crear cuenta
Comentarios de: Análisis de Mecanismos AntiSPAM sobre IPv6 (0)
No hay comentarios