защита корпоративной почты

1. Целью многих хакеров – независимо от применяемого ими способа запуска атаки –
является кража данных, чтобы получить прибыль либо за счет использования самих
данных, либо путем продажи их третьей стороне. Объекты краж очень разнообразны,
начиная с учетных данных, которые позволяют проводить банковские операции, до
интеллектуальной собственности и сведений о состоянии здоровья пациентов.
Кроме того, большие объемы данных, которые компании в настоящее время создают,
хранят и собирают, содержат в себе огромное количество очень ценных сведений. Хакеры
тайно собирают эти сведения в течение достаточно длительного времени, применяя
вредоносное ПО и целенаправленные атаки, причем последнее – во все возрастающей
степени.
За последние годы очень часто сообщения электронной почты подделываются с целью
вымогательства пароля, получение конфиденциальных данных. Ежедневно к
пользователям пытаются пробиться тысячи спамерских, фишинговых и мошеннических
писем, которые злоумышленники маскируют под сообщения от известных сервисов, либо
совершают подмену адреса.
Такие письма причиняют ущерб компаниям, материальный, подпорченная репутация, а
также эпидемия вируса, которая может привести к неработоспособности сервисов.
Большинство проблем, с которыми сталкиваются пользователи электронной почты (спам,
вирусы, разнообразные атаки на конфиденциальность писем и т. д.), связано с
недостаточной защитой современных почтовых систем.
С этими проблемами приходится иметь дело и пользователям общедоступных публичных
систем, и организациям. Практика показывает, спамеры, хакеры, создатели и
распространители вирусов и уровень защиты электронной почты, вполне
удовлетворительный вчера, сегодня может оказаться недостаточным. Для того чтобы
защита электронной почты была на максимально возможном уровне, а достижение этого
уровня на сегодняшний день требует не мало усилий и затрат, необходим
систематический и комплексный, с учетом всех угроз, подход к решению данной
проблемы.

2. Борьба с вирусами
Итак, что же такое антивирус? Сразу же развеем одну часто возникающую иллюзию.
Почему-то многие считают, что антивирус может обнаружить любой вирус, то есть,
запустив антивирусную программу или монитор, можно быть абсолютно уверенным в их
надежности. Такая точка зрения не совсем верна. Дело в том, что антивирус - это тоже
программа, конечно, написанная профессионалом. Но эти программы способны
распознавать и уничтожать только известные вирусы. То есть антивирус против
конкретного вируса может быть написан только в том случае, когда у программиста есть в
наличии хотя бы один экземпляр этого вируса. Вот и идет эта бесконечная война между
авторами вирусов и антивирусов, правда, первых почему-то всегда больше, чем вторых.
Но и у создателей антивирусов есть преимущество! Дело в том, что существует большое
количество вирусов, алгоритм которых практически скопирован с алгоритма других
вирусов. Как правило, такие вариации создают непрофессиональные программисты,
которые по каким-то причинам решили написать вирус. Для борьбы с такими "копиями"
придумано новое оружие - эвристические анализаторы. С их помощью антивирус
способен находить подобные аналоги известных вирусов, сообщая пользователю, что у
него, похоже, завелся вирус. Естественно, надежность эвристического анализатора не
100%, но все же его коэффициент полезного действия больше 0,5. Таким образом, в этой
информационной войне, как, впрочем, и в любой другой, остаются сильнейшие. Вирусы,
которые не распознаются антивирусными детекторами, способны написать только
наиболее опытные и квалифицированные программисты. Таким образом, на 100%
защититься от вирусов практически невозможно, но как я говорил в предыдущей
статье минимизировать такие риски необходимо.

3. Борьба со спамом
Для начало немного справки о спаме. Существуют два основных метода защиты
почтового сервера от спама: защита от поступления спама на этапе получения почтовым
сервером и «отделение спама» от остальной почты уже после получения почтовым
сервером. Среди первого метода наиболее популярны такие способы как
использование DNS Black List (DNSBL), Greylisting и различные задержки при отправке
почты; использование различных технических средств, таких как проверка существования
пользователя на отправляющей стороне (callback), проверка «правильности»
отправляющего сервера такими методами как наличие записи в реверсной зоне DNS,
легальности имени при установке SMTP-сессии (helo), проверка SPF записи (для работы
этого в DNS записи о хосте используется соответствующая запись о легальных серверах
отправителей). Проверка DKIM, проверка DMARC.
Итак, рассмотрим более подробно данные методы фильтрации электронной почты.
Черные списки или DNSBL (DNS Black Lists)
В черные списки заносятся адреса, с которых производится рассылка спама. Широко
используются такие списки, как «открытые ретрансляторы» и «открытые прокси», и
различные списки динамических адресов, которые выделяются провайдерами для
конечных пользователей. Благодаря простоте реализации использование этих черных
списков производится через службу DNS.
DNS BlackList или DNS Blocking List. Список адресов блокируемых хостов,
предоставляемый посредством сервиса DNS. Прародитель всех сервисов xBL.
Realtime BlackList DNS или Realtime Blocking List DNS. Список адресов блокируемых
хостов, изменяющийся (адаптирующийся) в реальном масштабе времени (не реже 1-го
раза в сутки) и предоставляемый посредством сервиса DNS. Отличается от DNSBL более
высокой скоростью реакции на изменения.
Realtime Reputation BlackList или Realtime Reputation Blocking List. Список адресов хостов
с сомнительной (не проверенной) репутацией, изменяющийся (адаптирующийся) в
реальном масштабе времени (не реже 1-го раза в 2-4 часа) и предоставляемый
посредством сервиса DNS (DNSBL).
DNSBL, RBLDNS и RRBL — три очень похожих между собой сервиса. Ключевое
различие только — в способе формирования и частоте обновления списков блокируемых
IP адресов, как следствие, скорости реакции на происходящие изменений в сети Интернет.
Основное назначение сервисов RBLDNS,DNSBL и RRBL — ведение базы IP адресов, с
которых не рекомендуется прием электронной корреспонденции. Доступ к этой базе
предоставлен посредством протокола DNS.
Серые списки или грейлистинг (Greylisting)
Принцип действия серых списков (Greylisting) основан на тактике рассылки спама. Как
правило, спам рассылается в очень короткое время в большом количестве с какого-либо
сервера. Работа серого списка заключается в намеренной задержке получения писем на
некоторое время. При этом адрес и время пересылки заносится в базу данных серого
списка. Если удалённый компьютер является настоящим почтовым сервером, то он
должен сохранить письмо в очереди и повторять пересылку в течение пяти дней. Спам-
боты, как правило, писем в очереди не сохраняют, поэтому спустя непродолжительное
время, прекращают попытки переслать письмо. Экспериментальным путём установлено,
что в среднем время рассылки спама составляет чуть больше часа. При повторной
пересылке письма с этого же адреса, если с момента первой попытки прошло
необходимое количество времени письмо принимается и адрес заносится в локальный
белый список на достаточно длительный срок.
Sender Policy Framework, SPF

4. Запись SPF предотвращает рассылку распространителями спама сообщений с
поддельными адресами отправителей, относящимися к определенному домену.
Получатель может проверить запись SPF, чтобы определить, было ли сообщение,
предположительно отправленное из вашего домена, отосланным авторизованным
почтовым сервером. Проверка SPF дает некоторую вероятность того, что адрес
отправителя не был подделан, которую затем можно учесть в правиле антиспамового
фильтра. Это способно усложнить жизнь спамеру, особенно на фоне ужесточения
законодательства по отношению к спаму. К тому же сегодня львиная доля спама уходит с
взломанных компьютеров и с поддельными обратными адресами, а SPF как раз и нацелена
на идентификацию подобной почты.
Технология DomainKeys Identified Mail (DKIM)
Domain Keys Identified Mail (DKIM) — это технология электронной подписи и
шифрования сообщений, предназначенная для борьбы с подделкой электронных писем (в
том числе и писем с поддельным почтовым адресом отправителя). Поскольку в
нежелательных сообщениях, как правило, используются поддельные адреса отправителя,
эти технологии одновременно являются и средством защиты от спама. Кроме того,
функциональность DKIM дает возможность проконтролировать целостность входящих
сообщений. Иначе говоря, сервер-получатель может убедиться, что сообщение:
1) отправлено именно тем сервером, который указан в письме;
2) получено именно в том виде, в котором оно было отправлено.
Принцип работы DKIM основывается на стандартном асинхронном шифровании.
Проверка DKIM-подписи происходит автоматически на стороне получателя, основывается
она на данных из DKIM-заголовка и публичного ключа шифрования, полученного с DNS
домена отправителя. Если указанный домен не был авторизован для рассылки
полученного сообщения, то письмо может быть помечено подозрительным на спам или
фишинг, в зависимости от политики получателя. К письмам, успешно прошедшим DKIM-
проверку, почтовые клиенты относятся более лояльно, чем к, тем, которые ее не прошли.
В то же время, электронные сообщения, не содержавшие DKIM-заголовков как таковых,
обрабатываются в стандартном режиме.
Domain-based Message Authentication, Reporting and Conformance (DMARC)
Эта техническая спецификация предназначена для борьбы со спамом и "фишерскими"
сообщениями, способными скрывать свое истинное происхождение путем подделки
заголовков From: Технология DMARC позволит владельцам доменов использовать
Систему доменных имен (Domain Name System) для информирования серверов
получателя о собственных политиках DMARC, в которых прописаны правила обработки
корреспонденции, которая выдает себя за почту с вашего домена, в действительности не
являясь таковой. Политика, которую сервер-получатель извлекает посредством DNS-
запроса во время обработки входящего сообщения, может требовать отклонения
сообщений, не прошедших проверку или их отправки в карантин. Одним из вариантов
может являться и отсутствие каких-либо принимаемых мер (сообщение будет
обрабатываться в обычном режиме). В дополнение к политике в DNS-записи DMARC
конкретного домена может содержаться запрос к серверу на отправку на указанный адрес
отчетов DMARC. В отчетах может указываться количество входящих сообщений,
выдающих себя за почту с вашего домена, сведения о проваленных и пройденных
попытках авторизации и подробная информация о любых обнаруженных отказах.
Благодаря отчетам DMARC вы можете, к примеру, оценить эффективность используемых
в организации процедур авторизации электронной почты или узнать, как часто имена
ваших доменов используются в фальшивых письмах.

5. Анализ эффективности
Черные списки DNSBL, RBLDNS и RRBL!
Важно понимать, что эффективность DNSBL, RBLDNS и RRBL по ловле спама и
количество ложных срабатываний связаны непосредственно. Чем эффективнее ловим
спам, тем "эффективнее" ловим нормальную почту. Использование любых блок листов на
почтовом сервере для непосредственно блокировки спама — это дилетантство и признак
непрофессионализма системного администратора. И ведёт это только к тому, что
администратор однажды будет виноват в том, что было неполученное какое-нибудь очень
важное письмо.
Greylisting.
Плюсы грейлистинга
Как показывает практика, значительную долю нежелательной почты действительно
удаётся отсечь с помощью грейлистинга. При этом почтовый трафик может ощутимо
снизиться, поскольку в отличие от различных статистических и сигнатурных анализаторов
предварительный приём спамерского сообщения не осуществляется. В то же время
грейлистинг практически полностью исключает ложные срабатывания, когда
добропорядочное письмо блокируется фильтром и не попадает к адресату. Исключение
может составить разве что случай, когда почтовый сервер отправителя по тем или иным
причинам не вполне следует установленным стандартам. Но это, как говорится, не наши
проблемы.
Минусы грейлистинга.
Прежде всего эта технология относится к «невежливым», поскольку вынуждает сервер
отправителя тратить свои ресурсы на дополнительное обслуживание искусственно
создаваемой очереди. Только представьте себе, что произойдет с сервером, если каждое
исходящее сообщение он будет вынужден ставить в очередь и отсылать повторно? Далее
отправитель, получив временную ошибку, скорее всего попытается отправить сообщение
на резервный сервер для вашего домена. Если Backup-сервер (т.е. хост с менее
приоритетной MX-записью) у вас есть, и он не включён в ваш «белый» список, то львиная
доля нагрузки по обслуживанию очереди будет переложена на его плечи (в смысле на
дисковую подсистему). И кстати говоря, ваш Backup-сервер наверняка будет скрупулёзно
придерживаться протокола, так что любой спамер, додумавшийся использовать
резервную MX-запись, может быть уверен, что его сообщение будет доставлено.
Теперь вы, наверное, представили себе ситуации со срочными письмами и жалобы от
компаний отправителей?))
Sender Policy Framework, SPF
Хочу обратить ваше внимание на важную, на мой взгляд, проблему, которой
пренебрегают даже самые крупные и инновационные компании мира. Проблема
заключается в отсутствии, либо неправильной настройки у большинства доменов SPF-
записи, которая защищает домен от его несанкционированного использования в
электронной почте. Я провел некоторый анализ самых известных крупных компаний в
Азербайджане по состоянию SPF записи и не только. Я не буду афишировать названия
этих компаний, но скажу так, 8 из 10-ти компаний не имеют, либо неправильно настроена
запись SPF.
Что мы получим если для нашего домена не будет настроена запись SPF? Важно
понимать, что SPF запись представляет из себя текстовую запись в TXT-записи DNS
домена. Запись содержит информацию о списке серверов, которые имеют право
отправлять письма от имени этого домена и механизм обработки писем, отправленных от
других серверов. Представьте себе ситуацию, когда от вашего домена будут посылать
письма вашим партнерам по бизнесу с требованием дать какую-то важную информацию?

6. Не важно то, что на стороне получателя будет включена политика проверки записи SPF,
если у вас ее не будет или неправильно будет она настроена, важно понимать, что письмо
дойдет до адресата!
Например, SPF-запись «test.az. TXT «v=spf1 +a +mx -all»» говорит о том, что отправлять
письма от имени домена «test.az» могут сервера, указанные в A и MX-записях этого
домена, а письма, отправленные от других серверов должны быть удалены (Fail).
Итак, из каких параметров состоит SPF запись? Что за что отвечает?
Пример записи SPF: test.az. IN TXT "v=spf1 mx a ip4:1.2.3.4 -all"
1. "v=spf1" - используемая версия SPF.
2. "+" - принимать корреспонденцию (Pass). Этот параметр установлен по
умолчанию. Тоесть, если никаких параметров не установлено, то это "Pass";
3. "-" - Отклонить (Fail);
4. "~" - "мягкое" отклонение (SoftFail). Письмо будет принято, но будет помечено
как СПАМ;
5. "?" - нейтральное отношение;
6. "mx" - включает в себя все адреса серверов, указанные в MX-записях домена;
7. "ip4" - опция позволяет указать конкретный IP-адрес или сеть адресов;
8. "a" - указываем поведение в случае получения письма от конкретного домена;
9. "include" - включает в себя хосты, разрешенные SPF-записью указанного домена;
10. "all" - все остальные сервера, не перечисленные в SPF-записи.
Обратите внимание на важный параметр “all”. Мониторинг который я провел в
Азербайджане, показал, что большинство, компаний используют SPF запись с
параметром “~all”, “+all” либо с параметром “?all”. Использование этих параметров —
это большая ошибка, так как, эти параметры позволяют принимать сообщения от вашего
домена, то есть позволяют совершать подмену адреса вашего домена!
Я очень часто встречаю такие слова от админов как, "работает не трогай", к сожалению,
это признак дилетантства. Важно понимать, что если вы отвечаете за работоспособность
какого-либо сервиса, то на вас лежит ответственность не просто за работоспособность, за
грамотную его настройку, но и за безопасность в том числе. Итак, если вы еще не
настроили запись SPF, или настроили неправильно, то я вам настоятельно рекомендую
сделать это сейчас!
Для грамотной настройки записи SPF я рекомендую использовать этот сайт.
Важно понимать, что SPF запись — это не средство борьбы со спамом, а средство борьбы
с подменой адреса вашего домена.
Хотя я призываю всех сконфигурировать записи SPF для своих почтовых доменов, эта
технология все же имеет свои ограничения. Самое важное из них — недостаточно
эффективное подавление фишинга, обусловленное проверкой адреса отправителя
(envelope return address), а не адреса, указанного в поле “from”, который пользователи
видят в окне своего почтового клиента. Таким образом, при фишинге спамер сможет
легко обойти SPF, используя корректный адрес в поле “from” и корректный исходящий
сервер e-mail, обманув при этом пользователя ложными контентами и адресами “from”,
отображаемыми в окне почтового клиента.
Технология DomainKeys Identified Mail (DKIM)
Чтобы пресечь спам и фишинг, принимающие серверы e-mail способны создавать
политики, запрещающие передачу сообщений от поставщиков почтовых услуг, заведомо
поддерживающих технологию DKIM, без заголовков DKIM. Если принимается лишенное
заголовка DKIM сообщение e-mail, адрес “from” которого указывает на вашу компанию,
использующую технологию DKIM, то это сообщение можно совершенно безболезненно
сбросить или удалить.
Основным недостатком технологии DKIM является то, что она требует использования
поддерживающих ее серверов как для исходящей, так и для входящей почты. Эта
технология изначально устраняет проблему переадресации сообщений, присущую

7. технологиям SPF и Sender ID и позволяющую спамерам продолжать распространять
нежелательные сообщения. Однако спамер может послать одно сообщение через сервер
DKIM, а затем переадресовать его или повторно передать другим пользователям. И хотя
это сообщение будет, по всей видимости, иметь подлинную подпись, прибудет-то оно с
сомнительного сервера-источника, а это обуславливает необходимость дальнейшего
усовершенствования входящих почтовых серверов с целью более надежного выявления
подделок такого рода.
Кроме того, технология DKIM требует дополнительных накладных расходов на обработку
почтовых сообщений, более частых просмотров записей DNS и снижает число почтовых
сообщений, которые способны обработать серверы, вследствие потребления
вычислительных ресурсов последних на проверку подлинности цифровых подписей.
Domain-based Message Authentication, Reporting and Conformance (DMARC)
Итак, вы подумаете, что как бороться с этим, если SPF или DKIM можно обойти?
Вот ответ DMARC
DMARC это совокупность записей SPF и DKIM. Что это значит? Я приведу схему работы,
что бы вы понимали, как это работает.

8. Суть технологии проста: вы как владелец домена, с которого ведутся рассылки,
можете прописать в DNS своего домена политику, определяющую, что делать с
письмами, которые признаны поддельными. Для работы этой технологии
требуется настроить SPF для вашего домена и подписывать каждое письмо
DKIM-подписью. При этом домен DKIM должен совпадать с доменом в
заголовке From. При получении письма наш сервер проверит валидность SPF и
DKIM. В случае, если проверка и DKIM, и SPF не пройдена, к письму будет
применена DMARC-политика вашего домена. В случае использования DMARC
сообщение может не пройти, даже если получит подтверждение SPF или DKIM,
но не пройдёт проверку соответствия. Помимо выше сказанного, вы получаете
отчеты виде xml файлов, о том, кто пытается посылать письма от имени вашего
домена! Круто да?
Пример отчета,
<?xml version="1.0" standalone="true"?>
<feedback><report_metadata><date_range><begin>1451779200</begin><end>1451
865599</end></date_range><email>dmarc_support@corp.mail.ru</email><extra_co
ntact_info>http://corp.mail.ru/en</extra_contact_info><org_name>Mail.Ru</org_na
me><report_id>1451779200911455</report_id></report_metadata><policy_publishe
d><adkim>r</adkim><aspf>r</aspf><domain>test.az</domain>
<p>reject</p>
<pct>100</pct><sp>none</sp></policy_published><record><auth_results><dkim><
domain>test.az</domain><result>pass</result><selector>010101</selector></dkim>
<spf><domain>test.az</domain><result>pass</result><scope>mfrom</scope></spf>
</auth_results><identifiers><header_from>test.az</header_from></identifiers><row
><count>2</count><policy_evaluated><disposition>none</disposition><dkim>pass
</dkim><spf>pass</spf></policy_evaluated><source_ip>1.2.3.4</source_ip></row>
</record></feedback>
Существует множество готовых средств, делающих обработку этих отчетов
удобнее. Найти их можно на сайте DMARC и тут.
Тут можно ознакомится, как можно настроить DMARC, а этот сайт вам
поможет создать запись DMARC.
Хочу так же отметить, что на сегодняшний день ни одна компания в
Азербайджане, кроме одной)), не используют технологию DMARC и на мой
взгляд это очень печально!
В этой статье я рассказал вам, как можно защититься от подмены адреса вашего
домена.
Надеюсь эта статья поможет вам, в ваших настройках, и не позволит отправлять
письма с ваших доменов кроме вас.))
В следующей статье я расскажу, о том, как бороться со спамом и с вирусами, и
какими средствами. Вы получите рекомендации, которые вам помогут в
построении той или иной защиты вашей корпоративной почты.

9. Помните друзья, идеальной защиты не существует, то, что создал человек
можно взломать!
Следите за обновлениями, продолжение следует.
Автор: Namik Heydarov