Dobře filtrovaná pošta ušetří spoustu času i peněz

Ve filmu Oh Mr. Porter z třicátých let se vyskytuje následující dialog: Pošťák: "Ztrácíte čas." Porter: "Hm, a co ...


Ve filmu Oh Mr. Porter z třicátých let se vyskytuje následující dialog: Pošťák:
"Ztrácíte čas." Porter: "Hm, a co děláte vy?" Pošťák: "Koukám se, jak ztrácíte
čas." Na následujících řádcích se pokusíme z pošťáka ve firemní síti udělat
někoho, kdo nestojí a nekouká, jak uživatelé tráví čas čtením a mazáním spamů,
odstraňováním virů a podobnými kratochvílemi, které se obecně dají považovat za
ztrátu času.
Pro uživatele je e-mail naprosto transparentní systém srovnatelný s obyčejnou
poštou: vhodí pohled do schránky a adresátovi jej donese pošťák. Co se děje s
pohlednicí cestou, většinou nikoho nezajímá, důležité je, že ji adresát ve své
schránce najde. Nikdo také nemá zájem dostávat dopisové bomby jako evropští
poslanci a téměř nikdo nemá radost z toho, že má obden nacpanou schránku s
výhodnými nabídkami nákupu kilogramu zeleniny za pouhých něco devadesát.
Vzhledem k tomu, že e-mail je digitální analogií obyčejné pošty, došlo
samozřejmě i zde k rozšíření obdobných negativních jevů. Výhodná nabídka
hypermarketu se v digitálním světě jmenuje spam a dopisová bomba virus.
Vzhledem ke snadnosti jejich implementace a použití dnes představují tyto
vymoženosti až dvě třetiny poštovního provozu.

Ke kořenům
V době kdy Jon Postel vytvářel RFC821, které popisuje implementaci poštovní
výměny v rámci sítě Arpanet (SMTP, Simple Mail Transfer Protocol), určitě
nepředpokládal, že bude o dvacet let později téměř noční můrou některých
uživatelů. SMTP je společně s DNS a několika dalšími protokoly základem
dnešního internetu.
Z hlediska složitosti implementace se jedná o poměrně triviální záležitost,
protokol je znakově orientovaný a zajišťuje přepravu pošty z jednoho místa na
druhé, případně předání pošty blíže ke konečnému cíli.

Spam a viry
Dnes, jak již bylo řečeno, tvoří ovšem přibližně 60 % e-mailového provozu spam
a viry. Ačkoliv se může zdát, že jde o dva odlišné problémy, dochází k jejich
propojování a spolupráci v současné době jsou již vytvářeny viry, které
rozesílají spamy, a nevyužívají tak síťové prostředí pouze ke svému šíření.
Podle dostupných odhadů stojí nevyžádaná pošta americké uživatele přibližně 10
miliard dolarů ročně, Evropa následuje s přibližně 3miliardovými výdaji. Škody
způsobené viry přesáhly v loňském roce 2 miliardy amerických dolarů.
V současné době je ve většině případů primárním zdrojem infekce elektronická
pošta, IRC a P2P. Jakmile dojde k infekci uvnitř organizace, je zvládnutí
situace mnohem obtížnější, protože virus je schopen využít i další mechanismy
přenosu, které jsou většinou nepoužitelné k průniku do vnitřní sítě. Většinou
se jedná o využití chyb v rozšířených komunikačních protokolech, které jsou
používány v chráněných prostředích. Zde se jedná zejména o různé implementace
sdílení souborů.

Infrastruktura
Infrastruktura, která zabezpečí vnitřní síť před virovou a spamovou hrozbou, by
měla být víceúrovňová. Žádný antivirový systém nemusí být neomylný a je vhodné
mít pro případ selhání další linie obrany.
Jak již bylo uvedeno výše, základním vstupním vektorem pro virový kód je
elektronická pošta. Logicky se nabízí vybudovat první linii obrany proti virům
a nevyžádané poště na externím e-mailovém serveru. Tento server by měl být
rozhodně umístěn v demilitarizované zóně.

E-mailový server
Základním kamenem úspěchu je nestat se šiřitelem spamů. V současné době to
znamená především nemít server zkonfigurován jako open relay tedy server,
kterému je úplně jedno, od koho a komu je poštovní zpráva určena.
Dnes existuje několik organizací, které shromažďují informace o poštovních
serverech, které se chovají jako open relay. Poštu bychom měli přijímat pouze
pro své domény a pouze z těchto domén by pošta měla odcházet.
Dalším krokem je ověřování, zda odesílající server není open relay. Tím, že
nebudeme zpracovávat příchozí e-maily z open relay serverů, zlikvidujeme
většinu spamů a virů. Tato kontrola se většinou odehrává přes DNS
prostřednictvím DNSBL (DNS Blocking Lists).
Dále je vhodné kontrolovat, zda existuje doména, ze které e-mail přichází.
Pokud doména neexistuje, tak stejně nebude kam poslat případnou odpověď, takže
takový e-mail můžeme rovněž zahodit. Poněkud drsnější administrátoři vyžadují,
aby e-mail přišel z e-mailového serveru dané domény, tedy aby existoval
takzvaný MX záznam pro odesílající server.
Právě kvůli kontrolám založeným na reverzním vyhledávání klienta posílajícího
poštu je třeba, aby externí server byl opravdu "první na ráně" pokud nebude
server přijímat poštu přímo z internetu, ztrácí většina kontrol přes DNS smysl.
Tyto kontroly jsou též nepoužitelné, jestliže pro nás poštu přijímá
poskytovatel připojení k internetu a přeposílá ji na náš poštovní server.
Další možností obrany je kontrola obsahu zpráv vyhledávání různých řetězců v
obsahu a případné zahození zprávy. Například zpráva, jejíž předmět obsahuje
více než pět vykřičníků, určitě není objednávkou od obchodního partnera. Stejně
tak asi neočekáváte, že vám někdo pošle spořič obrazovky. Při kontrole obsahu
zprávy již musíme postupovat opatrně a vzít v úvahu zaměření a komunikační
strukturu firmy distributor léčiv svému správci poštovního serveru asi
nepoděkuje za to, že server zahazuje každý e-mail obsahující slovo Viagra.
Pokud je server nastaven podle výše uvedených doporučení, měli bychom
zaregistrovat zhruba dvoutřetinový pokles v dodávkách virů a nevyžádané pošty.
To je výsledek, ke kterému je možno dospět bez použití specializovaného
antivirového nebo antispamového softwaru. Další dobrou zprávou je, že toto
řešení nás nestálo nic víc, než hardware a čas na práci, protože takové řešení
lze postavit na nekomerčních Unixech typu Linux nebo FreeBSD s použitím opět
nekomerčních MTA (Message Transfer Agent), jako je například postfix či qmail
(i když lze doporučit spíše postfix).

Antivirový software
Existuje velké množství různých antivirových produktů, které jsou vhodné pro
různá prostředí. My se nyní zaměříme na ty, které se hodí pro náš vyladěný
mailserver, případně http proxy.
Prakticky všichni výrobci antivirových programů jsou schopni nabídnout svůj
antivirový engine obalený jednoduchým SMTP serverem. Takovému produktu se říká
antivirová brána, nicméně je navýsost vhodné tuto bránu postavit až za poštovní
server.
Hlavní výhodou nasazení antivirové brány je to, že si nepustíme virus do
vnitřní sítě. Co všechno by ale antivirová brána měla umět?
Detekci, popřípadě odstranění viru z přenášených dat.
Upozornění administrátora a příjemce e-mailu na nalezený virus.
Automatický update virové báze a detekčního enginu.
Možnost integrace s dalšími produkty (e-mailovými servery, firewally, produkty
pro správu apod.).
Podporu pro dekompresi různých archivů gZIP, tar, bzip2, zip a další.
Některé antiviry umožňují přiložit k e-mailu patičku, která oznamuje, že byl
zkontrolován. Tato patička ovšem slouží spíše k uchlácholení uživatelů, protože
logické místo pro takovou informaci je v hlavičce zprávy, kde může být
jednoduše strojově zpracována.
Diskutabilní je možnost upozornění odesílatele na zavirovanou zprávu. Její
použití sice dodává administrátorovi pocit, že bojuje za dobrou věc a ještě
nedávno to tak fungovalo, ale objevily se viry, které z těchto notifikací
udělaly nástroj obtěžování. Například virus MyDoom po napadení počítače
pokračuje v šíření tak, že vezme adresy z adresáře napadeného stroje a pošle na
ně kopii sama sebe. Potud žádný problém není. Navíc ale použije jako
odesílatele libovolnou adresu z téhož adresáře.
Uživatel A tak má infikovaný počítač a adresář s kontakty na uživatele B a C.
Virus z jeho počítače pošle svoji kopii uživateli B s podvrženou adresou
odesílatele, kde uvede C. Chudák C pak dostává od všech antivirových systémů
vynadáno, co že to zase poslal.
Důležitá vlastnost je upozornění administrátora na nalezený virus. Některé
produkty umožňují varovat administrátora až v případě většího množství
incidentů (tzv. outbreak alert), tedy například ve chvíli, kdy do hodiny dorazí
deset zavirovaných e-mailů. Administrátor potom dopředu ví, že během dvou dnů
virus přinese někdo do firmy například na disketě z domova a může se na to
připravit.
Zajímavou alternativou komerčních řešení může být open source software Clam
AntiVirus nebo některý ze souborových komerčních skenerů ve spojení s balíkem
AMaViS, což je produkt, který umí vytvořit můstek mezi poštovním serverem a
standardním antivirovým programem, který se neumí chovat jako e-mailová brána.
Finanční výhody použití levného desktopového antiviru na místo drahé brány
mohou být značné, ale je nutno upozornit na to, že ne každé prostředí je pro
takovou implementaci vhodné.
Implementací antivirového řešení na poštovní server jsme zlikvidovali přísun
virů, a zbývá tedy zamezit přísunu nevyžádané pošty.

Obrana proti spamu
O nevyžádané poště již zmínka padla. Už jsme také nabídli řešení, které je
schopno efektivně odstranit přibližně dvě třetiny spamu. Nyní se podíváme na
zoubek té zbývající třetině.
V současné době většina řešení pro filtrování nevyžádané pošty používá
kombinaci několika přístupů k filtrování:
content scoring
bayesian filter
on-line ověření
Content scoring je statická metoda, kdy kontrolujeme obsah zprávy a sledujeme
její různé charakteristiky a přiřazujeme skóre. Po zkontrolování zprávy
provedeme vyhodnocení a měli bychom být schopni říci, zda se jedná o spam, nebo
o legitimní e-mail.
Výhodou statického hodnocení spamu je jeho snadná implementace, nevýhodou je
ovšem relativně nízká schopnost detekce a přizpůsobení se změnám ve struktuře
nevyžádané pošty.
Metodou, která tento problém částečně řeší, je filtr založený na statistické
klasifikaci jednotlivých e-mailů. Vtip spočívá v tom, že bayesiánský filtr si
buduje vlastní seznam testů, který je dynamický a reaguje na změny.
Řekněme, že na začátku máme 1 000 spamů a 1 000 e-mailů, které jsou legitimní.
Filtr prohlédne obě skupiny a vytvoří si seznam klasifikací, které dále
používá. Tento dynamický seznam se upravuje s každým e-mailem, který filtrem
projde, a umožňuje tak dosáhnout velmi slušných výsledků při klasifikaci.
Vzhledem k tomu, že téměř každý antispamový filtr používá bayesiánskou
klasifikaci, je vhodné mu poskytnout zpětnou vazbu a umožnit uživatelům
přeposlat nevyžádanou poštu, kterou filtr nebyl schopen klasifikovat správně, a
tak jej naučit, že se jedná o spam. Vytvoříme například interní adresu
spam@nejaka-firma.cz a požádáme uživatele, aby na ní přeposílali spamy.
Veškerým obsahem této schránky budeme "krmit" bayesiánskou databázi.
Třetí metodou je kontrola proti on-line katalogu. Potřebujete agenta, který
provede ověření na základě signatur, které si vymění s on-line databází.
Takovou databází je například Vipul´s Razor.
Velmi známým softwarem pro kontrolu pošty je SpamAssassin. Tento software
kombinuje všechny tři výše uvedené postupy a při vhodné konfiguraci s ním
můžete zahodit okolo 98 % nevyžádané pošty.

Pošta vyřešena
Implementací výše popsaných řešení jsme schopni vybudovat poštovní server,
který bude schopen nevpustit do firmy infikovanou a nevyžádanou poštu.
Potřebujeme k tomu server s Unixem, postfix nebo jiný vhodný MTA, antivirový
software a filtr pro kontrolu nevyžádané pošty. Celá struktura se dá
implementovat na jednom zařízení, ale nemusí to být vždy vhodné.
Výše popsaný postup vyžaduje jisté znalosti a množství práce. Někteří výrobci
proto vrhli na trh zařízení, která jsou "hotová" stačí je jen zapojit. Obyčejně
obsahují minimálně jeden antivirový software a filtr nevyžádané pošty
kombinující statické hodnocení a bayesiánskou klasifikaci. Většina těchto
filtrů byla učena na několika milionech spamů, takže bude od počátku dosahovat
velmi dobrých výsledků při filtraci nevyžádané pošty. Tato zařízení jsou ovšem
dosti drahá a v některých situacích by se jednalo o kladivo na vrabce.

Kontrola http a ftp
Další nezanedbatelnou cestou virů do vnitřní sítě je protokol http. Zaměstnanci
si neustále stahují něco z webu pracovní dokumenty z extranetů partnerů,
vtípky, čtou si noviny.
Drtivá většina firemních extranetů obsahuje dokumenty v nativních formátech
produktové rodiny Microsoft Office. Vzhledem k tomu, že tento formát je jednou
z nejlepších platforem pro transport makrovirů, měli bychom věnovat určitou
pozornost i kontrole http provozu.
Antivirová řešení kontrolující http a ftp provoz se většinou chovají jako proxy
servery. Stejně jako v případě pošty se většinou jedná o antivirový engine
obalený jednoduchou proxy. Je vhodné v takovém případě použít vlastní proxy
server, a to zejména ve chvíli, kdy potřebujeme využít některé další vlastnosti
a finesy proxy serverů, které jednoduché proxy obalující antivirový engine
neumějí.
Další problém, se kterým se setkáme, jsou Java Applety a ActiveX controls,
které rovněž mohou dělat neplechu. Vzhledem k tomu, že technologie ActiveX
neobsahuje prakticky žádné bezpečnostní mechanismy, je vhodné její používání
regulovat. Toho se dá dosáhnou buď absoultním zákazem, nebo implementací
některého z komerčních řešení pro kontrolu Java a ActiveX apletů.

Spolupráce s firewally
Existuje ještě jedna cesta, kterou je možno využít, a to je integrace
antivirového řešení s firewallem. Mnoho výrobců firewallů má definované API,
které slouží k integraci různých produktů s jejich řešením. Výrobci
antivirových systémů tato API využívají, a k dostání jsou tedy různé antivirové
produkty, které jsou schopny s firewallem přímo komunikovat.
Firewall, který propustí http spojení, se zeptá serveru, který provádí kontrolu
obsahu dat, zda jsou data v pořádku. K tomu využije API publikované výrobcem
firewallu. Antivirový systém data zkontroluje a vyřkne verdikt, podle kterého
firewall dále postupuje. Tento postup samozřejmě není omezen pouze na http, dá
se použít i pro kontrolu pošty či ftp.
Tento systém má velkou výhodu v tom, že je pro uživatele naprosto transparentní
není třeba žádná konfigurace proxy serverů ve všech prohlížečích. To je
bezesporu velmi významná výhoda pro velkou firmu s mnoha počítači, která proxy
nepoužívala a najednou by kvůli antivirové ochraně měla překonfigurovat stovky
zařízení.
Nevýhody u kontroly poštovního provozu jsou zřejmé: absence kontrol založených
na DNS a nutnost konfigurovat základní chování poštovního serveru na firewallu.
Navíc je nutno poznamenat, že rozhraní některých firewallů jsou relativně
špatně škálovatelná a mají problémy při vyšší zátěži.
Obecně lze říci, že pro kontrolu pošty jsou tato řešení nevhodná, nicméně v
některých situacích, kdy je třeba řešit kontrolu http a ftp protokolů, se mohou
docela dobře hodit.

Další okrajová řešení
Neměli bychom zapomenout, že existují zařízení, která sice nelze označit za
antiviry, ale přesto jsou schopna nám ve velké míře pomoci při detekci nebo
odstraňování následků virové pohromy. Jedná se zejména o IPS systémy, které
jsou schopny detekovat některé červy a uzavřít infikované segmenty sítě.
Existuje velké množství integrovaných zařízení učených pro menší firmy či malé
pobočky velkých firem, která v sobě integrují firewall, antivirus a IDS. V
případě kontroly http provozu je vhodné pomyslet i na takzvaný URL screening
tedy kontrolu toho, kde uživatelé brouzdají.
Nikdy nesmíme zapomenout na to, že žádné řešení není úplně stoprocentní, a měli
bychom budovat další obrané valy v případě virů je vhodné se zaměřit na cíl,
tedy na osobní počítače koncových uživatelů. Pravidelně záplatované PC s
aktuální verzí antivirového softwaru nám pravděpodobně v budoucnosti ušetří
spoustu práce.
Autor je konzultantem společnosti Actinet Informační systémy.

Slovník pojmů
Bayesiánský filtr metoda filtrování spamů na základě pružných klasifikačních
metod, které jsou schopny se přizpůsobit postupným změnám ve struktuře spamů.
Content scoring metoda klasifikace e-mailů založená na pravidlech, která
přidělují trestné body za některé vlastnosti zprávy. Při nasbírání dostatečného
množství bodů je zpráva označena jako spam.
DNSBL (DNS Blocking List) systém, který na základě DNS dotazu poskytne dostatek
informací k určení, zda máme co do činění s open relay.
MX záznam (Mail Exchanger record) ukazuje na server, kam je možno poslat poštu
pro danou doménu.
MTA (Message Transfer Agent) označení poštovního serveru. Nejde přitom pouze o
SMTP řešení, ale i o ostatní poštovní technologie, například X.400.
Open relay poštovní server, který přijme a pokusí se doručit jakoukoliv poštu.
Dříve se open relay servery používaly pro doručování mezi různými nestále
propojenými sítěmi. Dnes slouží k šíření spamu.
UCE (Unsolicited Commercial E-mail) nevyžádaná pošta neboli spam.

Užitečné odkazy

RFC821 Simple Mail Transfer Protocol ftp.rfc-editor.org/in-notes/rfc821.txt
Postfix SMTP MTA www.postfix.org
Open Relay Database DNSBL ordb.org
Blitzed Open Proxy Monitor DNSBL opm.blitzed.org
Spamhaus SBL/XBL DNSBL www.spamhaus.org
Composite Blocking List DNSBL cbl.abuseat.org
Clam AntiVirus GPL antivirus www.clamav.net n AMaViS rozhraní mezi MTA a
souborovými antiviry www.amavis.org/howto
Vipul´s Razor on-line katalog pro kontrolu spamu razor.sourceforge.net
Spamassassin filtr nevyžádané pošty www.spamassassin.org
CRM114 filtr nevyžádané pošty crm114.sourceforge.net
DSPAM filtr nevyžádané pošty www.nuclearelephant.com/projects/dspam/ index.html









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.