PDF de programación - Análisis de Mecanismos AntiSPAM sobre IPv6

Análisis de Mecanismos AntiSPAM sobre IPv6

LACNIC XIII, Cura¸cao, Mayo de 2010

1Universidad Tecnológica Nacional, Facultad Regional Bahía Blanca

2CONICET, CCT Bahía Blanca

Santiago Aggio

LACNIC XIII, Cura¸cao, Mayo de 2010

Análisis de Mecanismos AntiSPAM sobre IPv6

Contenido I

1

Introducción

Acerca de SPAM
SPAM sobre IPv6
Migración del Servidor de Email
MTA’s con soporte IPv6
SMTP en ambientes dual-stack IPv4/IPv6
RIPE Labs

LACNIC XIII, Cura¸cao, Mayo de 2010

Análisis de Mecanismos AntiSPAM sobre IPv6

Contenido II

2 Mecanismos AntiSPAM

Descripción de Mecanismos AntiSPAM
RBL
SPF
Greylisting
Resolución del nombre/IP del cliente
Sender Address Verification SAV
Recipient Address Verification RAV
Reglas Empíricas

LACNIC XIII, Cura¸cao, Mayo de 2010

Análisis de Mecanismos AntiSPAM sobre IPv6

Contenido III

3 Experiencias

Conectividad IPv6
Registros DNS
Registros MX
SPF
Greylist

4 Conclusiones

5 Trabajo a Futuro

6 FIN

LACNIC XIII, Cura¸cao, Mayo de 2010

Análisis de Mecanismos AntiSPAM sobre IPv6

Introducción

Acerca de SPAM
SPAM sobre IPv6
Migración del Servidor de Email
MTA’s con soporte IPv6
SMTP en ambientes dual-stack IPv4/IPv6
RIPE Labs

Acerca de SPAM

De cada 4 mensajes recibidos por lo menos 3 son SPAM

Implementar políticas AntiSPAM generan un alto costo de
infraestructura de red y de recursos humanos en un ISP

Las políticas antispam no satisfacen lo requerimientos a nivel
de capa 8 !!!
El usuario se queja porque recibe SPAM.
¿No están haciendo nada?

El usuario se queja porque recibe sólo 5 mensajes por día.
Antes recibía más de 20 !!!!. ¿Están filtrando demasiado?

El usuario no habilita su firewall, no actualiza su antivirus y no
advierte las actualizaciones de seguridad de su SO

LACNIC XIII, Cura¸cao, Mayo de 2010

Análisis de Mecanismos AntiSPAM sobre IPv6

Introducción

Acerca de SPAM
SPAM sobre IPv6
Migración del Servidor de Email
MTA’s con soporte IPv6
SMTP en ambientes dual-stack IPv4/IPv6
RIPE Labs

SPAM sobre IPv6

¿Los mecanismos AntiSPAM que se utilizan en IPv4 funcionan
igual bajo IPv6?

LACNIC XIII, Cura¸cao, Mayo de 2010

Análisis de Mecanismos AntiSPAM sobre IPv6

Introducción

Acerca de SPAM
SPAM sobre IPv6
Migración del Servidor de Email
MTA’s con soporte IPv6
SMTP en ambientes dual-stack IPv4/IPv6
RIPE Labs

Migración de Servidor de Email

Cambio de hardware

Cambio de Sistema Operativo

Cambio de MTA

Filtros AntiSPAM

Soporte IPv4 e IPv6

LACNIC XIII, Cura¸cao, Mayo de 2010

Análisis de Mecanismos AntiSPAM sobre IPv6

Introducción

Acerca de SPAM
SPAM sobre IPv6
Migración del Servidor de Email
MTA’s con soporte IPv6
SMTP en ambientes dual-stack IPv4/IPv6
RIPE Labs

MTA’s con soporte IPv6

Las últimas versiones de los MTA’s de código abierto más
utilizados soportan IPv6

Sendmail

Postfix

Exim

Qmail

LACNIC XIII, Cura¸cao, Mayo de 2010

Análisis de Mecanismos AntiSPAM sobre IPv6

Introducción

Acerca de SPAM
SPAM sobre IPv6
Migración del Servidor de Email
MTA’s con soporte IPv6
SMTP en ambientes dual-stack IPv4/IPv6
RIPE Labs

SMTP en ambientes dual-stack IPv4/IPv6

RFC 3974 (Enero 2005)

Un mensaje puede atravesar varios relays antes de llegar a
destino.

La entrega de mensajes es más complejo que otros servicios
de internet que utilizan una comunicación directa IP

Se requiere de configuración en los registros MX del DNS para
una correcta operación IPv4/IPv6 dual-stack

Se plantea un algoritmo de 9 pasos para el emisor SMTP en
ambientes dual-stack

Para un MX, los registros AAAA podrían tomar preferencia
por sobre los A

LACNIC XIII, Cura¸cao, Mayo de 2010

Análisis de Mecanismos AntiSPAM sobre IPv6

Introducción

Acerca de SPAM
SPAM sobre IPv6
Migración del Servidor de Email
MTA’s con soporte IPv6
SMTP en ambientes dual-stack IPv4/IPv6
RIPE Labs

RIPE Labs

Es el primer RIR que se involucra en el tema (30/03/2010)

http://labs.ripe.net/content/spam-over-ipv6

Mediciones de tráfico SPAM sobre IPv6

Las mediciones excluyen los mensajes rechazados por blacklist
y greylist

LACNIC XIII, Cura¸cao, Mayo de 2010

Análisis de Mecanismos AntiSPAM sobre IPv6

Introducción

Acerca de SPAM
SPAM sobre IPv6
Migración del Servidor de Email
MTA’s con soporte IPv6
SMTP en ambientes dual-stack IPv4/IPv6
RIPE Labs

RIPE Labs

Figura: Número de mensajes SPAM recibidos en una semana.

LACNIC XIII, Cura¸cao, Mayo de 2010

Análisis de Mecanismos AntiSPAM sobre IPv6

Mecanismos AntiSPAM

Descripción de Mecanismos AntiSPAM
RBL
SPF
Greylisting
Resolución del nombre/IP del cliente
Sender Address Verification SAV
Recipient Address Verification RAV
Reglas Empíricas

Descripción de Mecanismos AntiSPAM

Real-Time Blackhole List (RBL) / DNS BlackList

Sender Policy Framework (SPF)

Resolución del nombre/IP del cliente

Greylisting

Sender Address Verification (SAV)

Recipient Address Verification (RAV)

Clasificación usando Reglas Empíricas

LACNIC XIII, Cura¸cao, Mayo de 2010

Análisis de Mecanismos AntiSPAM sobre IPv6

Mecanismos AntiSPAM

Descripción de Mecanismos AntiSPAM
RBL
SPF
Greylisting
Resolución del nombre/IP del cliente
Sender Address Verification SAV
Recipient Address Verification RAV
Reglas Empíricas

RBL

Esta basado en la reputación de la dirección IP del emisor

Se configura en el MTA

Es el primer mecanismo en actuar al abrirse la conexión

Requiere de una consulta por DNS a la respectiva Zona para
verificar que la IP no se encuentra bloqueada

Se pueden consultar múltiples RBL de forma secuencial

Tiene una eficacia del 50 % al 60 %

Permite ahorrar recursos

Requiere la intervención del administrador para remover la
dirección IP bloqueada

LACNIC XIII, Cura¸cao, Mayo de 2010

Análisis de Mecanismos AntiSPAM sobre IPv6

Mecanismos AntiSPAM

Descripción de Mecanismos AntiSPAM
RBL
SPF
Greylisting
Resolución del nombre/IP del cliente
Sender Address Verification SAV
Recipient Address Verification RAV
Reglas Empíricas

RBL

SpamHaus (libre, con límite en el número de consultas,
comercial)

SpamCop (libre)

SORBS (libre, con costo para ser removido de la BL)

uceprotect.net

NJABL: Not Just Another Bogus List, AHBL: Abusive Hosts
Blocking List, VIRBL: Virus Blackhole List

Comerciales: IronPort, Barracuda, etc

Proyectos discontinuados: Distributed Sender Blackhole List
(DSBL), SPEWS

LACNIC XIII, Cura¸cao, Mayo de 2010

Análisis de Mecanismos AntiSPAM sobre IPv6

Mecanismos AntiSPAM

Descripción de Mecanismos AntiSPAM
RBL
SPF
Greylisting
Resolución del nombre/IP del cliente
Sender Address Verification SAV
Recipient Address Verification RAV
Reglas Empíricas

RBL

Múltiples zonas disponibles para consulta

Cada zona referencia diferentes fuentes de SPAM

No existe un único criterio en los códigos retornados del rango
127/8

LACNIC XIII, Cura¸cao, Mayo de 2010

Análisis de Mecanismos AntiSPAM sobre IPv6

Mecanismos AntiSPAM

Descripción de Mecanismos AntiSPAM
RBL
SPF
Greylisting
Resolución del nombre/IP del cliente
Sender Address Verification SAV
Recipient Address Verification RAV
Reglas Empíricas

Códigos de respuestas de RBL (Fuente: SORBS)

127.0.0.2 - Open HTTP Proxy Server (http.dnsbl.sorbs.net)
127.0.0.3 - Open SOCKS Proxy Server (socks.dnsbl.sorbs.net)
127.0.0.4 - Open Proxy Server not listed in the SOCKS or

HTTP lists. (misc.dnsbl.sorbs.net)

127.0.0.5 - Open SMTP relay server (smtp.dnsbl.sorbs.net)
127.0.0.6 - Hosts sending spam/UCE/UBE to SORBS, netblocks

of spam supporting service providers
(list.spam.dnsbl.sorbs.net)

127.0.0.7 - Web servers email vulnerabilities (e.g. FormMail scripts)

(web.dnsbl.sorbs.net)

127.0.0.8 - Hosts demanding not to be tested by SORBS (block.dnsbl.sorbs.net)
127.0.0.9 - Networks hijacked from original owners (zombie.dnsbl.sorbs.net)
127.0.0.10 - Dynamic IP Address ranges (dul.dnsbl.sorbs.net)
127.0.0.11 - Domain names with bad A or MX RRs (badconf.rhsbl.sorbs.net)
127.0.0.12 - Domain names with no emai originating (nomail.rhsbl.sorbs.net)

LACNIC XIII, Cura¸cao, Mayo de 2010

Análisis de Mecanismos AntiSPAM sobre IPv6

Mecanismos AntiSPAM

Descripción de Mecanismos AntiSPAM
RBL
SPF
Greylisting
Resolución del nombre/IP del cliente
Sender Address Verification SAV
Recipient Address Verification RAV
Reglas Empíricas

RBL sobre IPv6 en Postifx

Algunas limitaciones de Postfix para hacer uso de IPv6 y de RBL
(ver http://www.postfix.org/IPV6 README.html)

The order of IPv6/IPv4 outgoing connection
attempts is not yet configurable. Currently, IPv6
is tried before IPv4
Postfix currently does not support DNSBL
(real-time blackhole list) lookups for IPv6
client IP addresses; currently there are no
blacklists that cover the IPv6 address space

LACNIC XIII, Cura¸cao, Mayo de 2010

Análisis de Mecanismos AntiSPAM sobre IPv6

Mecanismos AntiSPAM

Descripción de Mecanismos AntiSPAM
RBL
SPF
Greylisting
Resolución del nombre/IP del cliente
Sender Address Verification SAV
Recipient Address Verification RAV
Reglas Empíricas

Virbl: RBL con soporte IPv6

Virbl http://virbl.bit.nl es un proyecto que nació en la reunión
RIPE-48 (Mayo 2004)

Obtienen informes de servidores de email que envían virus

Incluye la dirección IP reportada desde donde se enviaron virus
en una lista negra.

Es el primer servicio que soporta consultas IPv6 (desde
15-01-2010)
List an entire /64 when we see five IPv6 hosts in the
same /64
La lista negra es accesible para los formatos bind, rbldnsd y
texto

LACNIC XIII, Cura¸cao, Mayo de 2010

Análisis de Mecanismos AntiSPAM sobre IPv6

Mecanismos AntiSPAM

Descripción de Mecanismos AntiSPAM
RBL
SPF
Greylisting
Resolución del nombre/IP del cliente
Sender Address Verification SAV
Recipient Address Verification RAV
Reglas Empíricas

RFC 5782

RFC 5782 DNS Blacklist and Whitelist (Feb 2010)

Anti-Spam Research Group (ASRG) IRTF

Define la estructura para las DNSBLs y las DNSWLs

LACNIC XIII, Cura¸cao, Mayo de 2010

Análisis de Mecanismos AntiSPAM sobre IPv6

Mecanismos AntiSPAM

Descripción de Mecanismos AntiSPAM
RBL
SPF
Greylisting
Resolución del