Quản trị net diễn đàn chia sẻ thông tin các thủ thuật mạng, internet bảo mật thông tin dành cho giới IT VIệt hy vọng là nơi bổ ích cho cộng đồng

Quản trị net diễn đàn chia sẻ thông tin các thủ thuật mạng, internet bảo mật thông tin dành cho giới IT VIệt hy vọng là nơi bổ ích cho cộng đồng (http://quantrinet.com/forum/index.php)
-   Exchange Server 2003 - 2007 - 2010(284-236) (http://quantrinet.com/forum/forumdisplay.php?f=85)
-   -   Exchange 2007: Anti Spam with Sender Reputation (http://quantrinet.com/forum/showthread.php?t=3640)

hoctinhoc 23-09-2009 08:55 AM
Exchange 2007: Anti Spam with Sender Reputation
 

Exchange 2007: Anti Spam with Sender Reputation


I. GIỚI THIỆU:

Exchange 2007 là một sản phẩm Mail Server với tính năng Anti Spam được xây dựng sẵn khá mạnh mẽ, Exchange 2007 sử dụng các bộ lọc Mail (Filtering Agent) được tính hợp sẵn trên Edge Transport Server để kiểm tra tính hợp lệ của một E-Mail trước khi đưa vào Mailbox Server một cách chặt chẽ. Ngoài những bộ lọc thông dụng như IP Block/Allow List, IP Block/Allow List Provider, Sender Filtering, Content Filtering ... là những bộ lọc tương đối thông dụng và được trình bày khá nhiều trong các chương trình học, sách vở và các diễn đàn tin học, Sender Reputation là một chức năng mới của Exchange 2007 nhằm ngăn chặn việc nhận các Spam E-Mail được gửi bằng các hình thức không chính qui, những hình thức này thường được Spammer sử dụng như thông qua HTTP Proxy, SOCK hay HTTP POST..., Sender Reputation thật sự hữu hiệu để ngăn chặn các E-Mail nặc danh, giả mạo hay lặp đi lặp lại nhiều lần

Trong bài biết này, tôi sẽ trình bày sơ lược về nguyên tắc hoạt động của Sender Reputation và minh họa cách tấn công bằng Spam Mail cũng như cách phòng chống bằng cách cấu hình Sender Reputation

II. NGUYÊN TẮC HOẠT ĐỘNG:
Đầu tiên, tôi xin giải thích khái niệm SCL (Spam Confidence Level), có thể tạm hiểu SCL là 1 con số mô tả mức độ Spam của 1 E-Mail. Khi Edge Transport Server nhận được 1 E-Mail và chức năng Content Filtering được Enable, Exchange sẽ gán cho E-Mail này 1 số SCL (số này có giá trị từ 0 đến 9), nếu SLC là 0 có nghĩa rằng E-Mail hoàn toàn hợp lệ, nếu SCL=9 có nghĩa E-Mail này là Spam E-Mail. Nếu SCL mang giá trị khác 0 và 9 thì tùy mức độ lớn nhỏ của SCL để Exchange xác định mức độ Spam của E-Mail. Exchange 2007 thường xuyên cập nhật thông tin (sử dụng AntiSpam Update Service) từ hàng triệu Spam E-Mail mà Hotmail đã nhận, qua đó gán SCL cho E-Mail tùy thuộc vào nội dung của E-Mail này. Tóm lại, nếu SCL càng cao thì mức độ Spam của E-Mail càng cao và ngược lại

Bây giờ tôi xin giải thích nguyên lý hoạt động của Sender Reputation (tạm dịch là “Danh tiếng của người gửi”). Đây là 1 chức năng mặc định được Enable trên Edge Transport Server, chức năng này sẽ chặn E-Mail dựa trên đặc thù của người gửi bằng cách gán cho người gửi 1 thông số gọi là Sender Reputation Leval Block Threshold (SRL). Việc gán SRL cho người gửi được thực hiện theo thứ tự gồm 4 bước như sau:

Bước 1: Phân tích câu lệnh HELO/EHLO của người gửi:
Sender Reputation Agent phân tích các lệnh HELO và EHLO mà người gửi thiết lập tới Edge Transport Server và xác định người gửi này có đáng tin tưởng hay không. Một Spammer tiêu biểu thường có các câu lệnh HELO và EHLO khác nhau trong cùng 1 thời điểm và thường xuyên cung cấp những IP khác với IP thật của họ. Hơn nữa Spammer cũng hay dùng Domain name của chính người nhận để gửi Mail.

Bước 2: Phân giải ngược IP của người gửi:
Sender Reputation sẽ thực hiện việc phân giải ngược địa chỉ IP của người gửi, nếu việc phân giải trả về tên Domain thật thì có nghĩa là người gửi này đáng tin tưởng, ngược lại thì không

Bước 3: Phân tích SCL của các E-Mail mà người gửi này đã gửi trước đây. Tùy thuộc vào SLC cao hay thấp, Sender Reputation sẽ oánh giá mức độ đáng tin cây của người gửi

Bước 4: Sender Reputation Agent sẽ thực hiện kiểm tra IP người gửi bằng 1 Open Proxy. Nếu kết nối được trả về cho Edge Transport Server là 1 Open Proxy Port hay Protocol (SOCKS 4 and 5,Wingate,Telnet, Cisco, HTTP CONNECT, and HTTP POST) thì Server gửi coi như là 1 Open Proxy và nó là 1 hiểm họa tiềm tàng và số Sender Reputation Leval Block Threshold (SRL) của người gửi sẽ được chỉnh cho hợp lý. Quá trình test proxy dùng các port 1080, 1081, 23, 6588, 3128 và 80. Tùy thuộc vào kết quả kiểm tra, Sender Reputation sẽ gán cho người gửi 1 số SRL cũng nằm từ 0-9 (cũng giống như việc gán số SCL). Nếu người gửi nào được gán số 9 thì đó chắc chắn là Spammer. Và nếu vượt ngưỡng (do ta qui định) thì IP của người gửi này sẽ tự động được đưa vào IP Block List trong vòng 24 giờ (ta có thể tùy ý qui định thời gian này). Sau 24 giờ thì Sender Reputation sẽ xóa IP người gửi ra khỏi danh sách IP Block List.

Bạn cần lưu ý rằng 1 người gửi mà Sender Reputation chưa từng phân tích thì số SRL sẽ là 0, khi người gửi này đã gửi và Server từ 20 E-Mail trở lên thì Sender Reputation mới bắt đầu thực hiện việc phân tích và gán số SRL cho người gửi.

Do đó khi cấu hình Sender Reputation, bạn sẽ quyết định chặn thư của người gửi phụ thuộc vào SRL của họ. Nếu bạn qui định mức SRL quá cao, bạn sẽ có thể nhận nhiều Spam E-Mail và nếu qui định mức SRL quá thấp, bạn có thể vô tình chận Mail của “người tốt”

III. MINH HỌA TẤN CÔNG VÀ PHÒNG CHỐNG:
Bài Lab tôi dùng 2 máy tính:
- PC12: Exchange 2007 Server đảm nhận các vai trò: Hub Transport, Mailbox Server và Client access Server (IP 192.168.7.12)
- PC10: Sử dụng Hệ Điều hành Windows tùy ý (IP 192.168.7.10), Spam Email sẽ gửi từ máy này sang máy Exchange Server

Do Hub Transport không tích hợp sẵn chức năng Anti Spam, bạn cần cài đặt chức năng này

Chuyển vào thư mục chứa Script, Copy đường dẫn
http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 665x290http://nam.nhatnghe.vn/senderReputation/picture001.png
Dán đường dẫn đã Copy vào Exchange Management Shell và thực cài đặt
http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 668x511http://nam.nhatnghe.vn/senderReputation/picture002.png
Restart Service Microsoft Exchange Transport
http://nam.nhatnghe.vn/senderReputation/picture003.png

Từ máy Spam Mail, Copy đoạn Script sau đây vào 1 File Text và lưu với tên SPAMMAIL.VBS. Chạy File này, bạn sẽ gửi liên tục 10 lá Mail vào hộp thư của Administrator trên Exchange Server
http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 945x559http://nam.nhatnghe.vn/senderReputation/Script001.png
Trên Server, bạn có thể dùng lệnh Get-AgentLog để xem số SCL của các E-Mail vừa nhận
http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 668x403http://nam.nhatnghe.vn/senderReputation/picture004.png
Bạn kiểm tra Exchange Server đã nhận 10 lá Mail. Bây giờ tôi sẽ cấu hình Sender Reputation để chận thư
Kiểm tra trạng thái cập nhật IP người gửi
http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 668x235http://nam.nhatnghe.vn/senderReputation/picture005.png
Disable Anti Spam Update
http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 1024x742http://nam.nhatnghe.vn/senderReputation/picture006.png
Enable lại dịch vụ này với các thông số theo hình dưới:
http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 825x436http://nam.nhatnghe.vn/senderReputation/picture007.png
http://nam.nhatnghe.vn/senderReputation/picture008.png
http://nam.nhatnghe.vn/senderReputation/picture010.png
Kiểm tra lại trang thái IPReputationUpdatesEnable là True
http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 668x235http://nam.nhatnghe.vn/senderReputation/picture011.png
Restart 2 Service Exchange Transport
http://nam.nhatnghe.vn/senderReputation/picture012.png
http://nam.nhatnghe.vn/senderReputation/picture013.png
Cấu hình Sender Reputation, ví dụ này tôi sẽ chặn thư của những người gửi có SRL từ 2 trở lên và Block IP trong 1 giờ
http://nam.nhatnghe.vn/senderReputation/picture015.png

Từ máy Spam Mail, bạn thực hiện gửi khoảng 100 lá Mail vào Server
http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 1024x742http://nam.nhatnghe.vn/senderReputation/picture014.png

Gửi đến khi bạn nhận thông báo chặn thư từ Server
http://nam.nhatnghe.vn/senderReputation/Client.jpg

Trên Server, quan sát thấy IP người gửi đã tự động thêm vào danh sách IP Block List
http://nam.nhatnghe.vn/senderReputation/t1.png
http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 668x403http://nam.nhatnghe.vn/senderReputation/t2.png
Đánh lệnh Get-AgentLog, ta nhận thấy Exchange đã chận thư từ người gửi teo@bayba.com --> Hehehe thành công rồi http://nhatnghe.com/forum/images/smilies/07.gif
http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 668x403http://nam.nhatnghe.vn/senderReputation/t3.png

Cám ơn bạn đã xem
__________________
Đồng Phương Nam
Nhất Nghệ

:battay:


Bây giờ là 06:37 PM. Giờ GMT +7

Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.