Bologna, 24 novembre 2000 Unsolicited Bulk Email (UBE) (spamming) Francesco Gennai IAT - CNR...

Bologna, 24 novembre 2000

Unsolicited Bulk Email (UBE)(spamming)

Francesco Gennai

IAT - CNR

[email protected]

Unsolicited Bulk Email(Spamming)

UA = User AgentOriginator = nodo che immette il messaggio in reteRelay = nodo di transito da Internet a InternetDelivery = nodo che consegna il messaggio all’utente finaleMS = Message Store (contiene le mailbox)MTA = Message Transfer Agent

UA = User AgentOriginator = nodo che immette il messaggio in reteRelay = nodo di transito da Internet a InternetDelivery = nodo che consegna il messaggio all’utente finaleMS = Message Store (contiene le mailbox)MTA = Message Transfer Agent

MHS = Message Handling SystemMHS = Message Handling System

UAUAUAUA UAUAUAUAMSMSMSMS

Submission Relay Delivery Access

RelayRelayRelayRelay DeliveryDeliveryDeliveryDeliveryOriginatorOriginatorOriginatorOriginator

Relay

MTA MTA MTA

Unsolicited Bulk Email(UBE)

• Meccanismi per controllare “UBE”tre categorie:

• Filtri

• Legali

• Economici

Filtri

• Euristici– controllo su origine messaggi

– controllo su contenuto messaggio

• Cooperativi– etichettatura del messaggio

– registro dei destinatari

Filtri Euristicicontrollo su origine messaggi

• Rifiuto connessioni IP da sorgenti “UBE” (UBE originator)

• Rifiuto sessioni TCP da sorgenti “UBE” (UBE originator) a livello di server SMTP

• Rifiuto messaggi SMTP da sorgenti “UBE” (UBE originator) in base al contenuto del comando “MAIL FROM”

• Rifiuto messaggi SMTP da sorgenti il cui dominio non corrisponde al proprio indirizzo IP

Rifiuto connessioni IP da sorgenti “UBE” (UBE originator)

Informazionefiltrata

Indirizzo IP della connessione

Effetto contro UBEonesti

Alto dopo la spedizione del primo UBE.Difficoltà nel cambio IP address.

Effetto contro UBEdisonesti

Basso. E' semplice utilizzare serverSMTP di terze oarti come relay.

Informazione che deveessere distribuita

Lista degli indirizzi IP degli hostsorgenti di UBE.

Rischi di perdita diinformazione

Viene negato l'accesso alla rete deldestinatario ad utenti provenienti dalnodo sorgente UBE

Impatto sul destinatario Gli utenti non possono comunicare conil nodo "filtrato".

Rifiuto sessioni TCP da sorgenti “UBE” (UBE originator) a livello di server SMTP


Indirizzo IP della connessione odominio risultante dalla query inversadell'indirizzo IP.


Alto dopo la spedizione del primo UBE.Difficoltà nel cambio IP address.


Basso. E' semplice utilizzare serverSMTP di terze oarti come relay,utilizzando IP e domini legittimi.


Lista degli indirizzi IP degli hostsorgenti di UBE.


Viene negato l'accesso alla rete deldestinatario ad utenti provenienti dalnodo sorgente UBE.

Impatto sul destinatario Gli utenti possono solo spedire msg alnodo "filtrato". Non possono riceverne.

Rifiuto messaggi SMTP da sorgenti “UBE” (UBE originator) in base al contenuto del comando “MAIL

FROM”


Nome del dominio contenuto nel MAILFROM


Alto dopo la spedizione del primo UBE.Difficoltà nel cambio del nome dominio.


Basso. E' semplice falsificare il contentodel campo MAIL FROM o utilizzareSMTP server di terze parti per relay.


Lista dei domini di sorgenti UBE.


Nessun messaggio dal sorgente puòessere ricevuto.


Rifiuto messaggi SMTP da sorgenti il cui dominio non corrisponde al proprio indirizzo IP


Controllo se indirizzo IP del dominio inMAIL FROM corrisponde all'indirizzoIP sorgente della connessione.


Nessuna. Tutti gli UBE onesti passano ilcontrollo.


Basso. E' semplice falsificare il contentodel campo MAIL FROM e utilizzareSMTP server di terze parti per relay.


Nessuna.


Nessun messaggio dal sorgente puòessere ricevuto. (Filtra anche SMTPserver malconfigurati).


Filtri euristici controllo su contenuto messaggio

• A livello di message store (prima che l’utente abbia scaricato i messaggi)

• A livello di mail client

A livello di message store


Nome domini, formato di particolariheaders, parole chiave all'inizio delmessaggio, message id, etc..


Nuovi UBE possono non essereintercettati.


Basso. E' semplice cambiarecontinuamente gli elementi chiave sucui i filtri tenetano il riconoscimento.


Headers, contenuto degli UBEriconosciuti.


Messaggio legittimo rimossi perchèriconosciuti come UBE. Il filtropotrebbe tenere traccia degli headers deimessaggi rimossi.

Impatto sul destinatario Messaggio legittimo rimosso. Ritardinella consegna.

A livello di mail client


Nome domini, formato di particolariheaders, parole chiave all'inizio delmessaggio, message id, etc..


Nuovi UBE possono non essereintercettati.


Basso. E' semplice cambiarecontinuamente gli elementi chiave sucui i filtri tenetano il riconoscimento.


Headers, contenuto degli UBEriconosciuti. (Notare che è più difficiledistribuire questa informazione versoclient che verso i message store.


Messaggio legittimo rimossi perchèriconosciuti come UBE. Il filtropotrebbe tenere traccia degli headers deimessaggi rimossi.

Impatto sul destinatario Messaggio legittimo rimosso. Ritardinella consegna.

A livello di mail client(su precedente accettazione messaggi dallo stesso mittente)


Indirizzo mittente confrontato condatabase locale di indirizziprecedentemente accettati.


Dipende dalla "sfida" lanciata e daeventuali risponditori automatici.


Dipende dalla "sfida" lanciata e daeventuali risponditori automatici.


Nessuna. Basato su database creato alivello di client.


Molto alto. Un mittente legittimopotrebbe non essere in grado dirispondere. Inoltre il "messaggio sfida"potrebbe essere perso prima diraggiungere la destinazione.

Impatto sul destinatario Possibilità di perdita messaggi. Possibilemeno interesse da parte di alcuni acomunicare con tale destinatario.

Legali

• Legge– Controllo su mittente/destinatario

– Controllo su “relay”

• Contratti– accordi tra provider ed utente

Economici

• Aumento dei costi di spedizione dei messaggi…..

Introdurrebbe probabili limitazioni al servizio e-mail di Internet contrastando con alcuni dei modelli fondamentali

che hanno consentito (e consentono) la diffusione di Internet

Identificazione

• Del messaggio– problemi nella scelta etichetta (Es. “Commercial”: è classificabile

come “commerciale” un messaggio che ti invita a visitare un sito web ?)

– associata con filtri attivi sul client di destinazione

• Del canale– porta diversa dalla 25 (SMTP) per traffico UBE

– i provider potrebbere scegliere se offrire “UBE” ai propri clienti

– tariffazione

Registrazione dei destinatari

• Registrazione presso le potenziali sorgenti di UBE– originatori di UBE poco onesti…..

– troppe per pensare che un utente debba contattarle….

• Registrazione in liste utilizzate da sorgenti di UBE– originatori di UBE poco onesti….

– stesso problema legato al numero elevato delle possibili liste presso cui doversi registrare

Utilizzo firma digitale

• Auteticazione End-to-End– permette il riconosimento immediato del mittente

– difficilmente attuabile su larghissima scala

• Identificazione “first-hop”– autenticazione del MTA che ha accettato il messaggio da un

proprio client

– il provider ha il compito di garantire sull’identità del mittente (autenticazione SMTP)

Cosa fare quando si riceve UBE

• Si cancella e si continua a vivere tranquilli

• Si risponde al mittente (SCONSIGLIATO)

• Si riporta il problema ai nostri amministratori locali o direttamente ai siti che seguono questo tipo di problemi

http://www.abuse.net

• Se il problema persiste si possono attivare filtri.(anche a livello server)

• SIEVE è un linguaggio per creare filtri in fase di standardizzazione IETF

Un cenno sul blocco relay

• Prevenire l’uso non autorizzato del proprio server di posta– differenziare sistemi “locali” da sistemi “remoti”

• semplice mediante controllo indirizzo IP

– Messaggi provenienti da sistemi locali potranno essere indirizzati verso qualsiasi dominio Internet

– Messaggi provenienti da sistemi remoti saranno accettati solo se destinati a domini gestiti dal server stesso o per i quali il server compare nella lista degli MX record.

Un cenno sul blocco relay(autenticazione SMTP)

From: [email protected]: [email protected]


Firewall

Emailserver

Internet

Terminalserver

Pc1 Pc2 Pcn

qualcosa.itacme.it


From: [email protected]: [email protected] From: [email protected]

To: [email protected]

Controllo via MAPS o ORBS

• Il server controlla se l’indirizzo IP da cui proviene la connessione è listato in uno dei domini “MAPS” o “ORBS”. (Esempio: connessione da 147.48.67.98, il server SMTP fa una query a: 98.67.48.147.rbl.maps.com)

• Se la query ha successo:– rifiuta il messaggio

– aggiunge un linea all’header (esempio: X-MAPS: messaggio sospetto ) e fa proseguire il messaggio verso la sua destinazione

Controllo via MAPS o ORBS

Internet

iat.cnr.it MX 10 mail.iat.cnr.it MX 20 mail.xx.cnr.it

mail.iat.cnr.it

mail.xx.cnr.it

fw.qualcosa.edu

= supporta controllo ORBS

= NON supporta controllo ORBS

Spammers utilizzano direttamente mail.xx.cnr.it !

Standard di base

Posta elettronica InternetPosta elettronica Internet

SMTP POP o IMAPFile I/OSMTP

Messaggio:RFC822MIME

UAUAUAUA UAUAUAUAMSMSMSMS

. . .

RelayRelay DeliveryDeliveryOriginatorOriginator

SMTP

UAUAUAUA

SMTP

OriginatorOriginatorOriginatorOriginator

MTA

Personal computer:Indirizzo IPNome a dominio

RFC822From:To:CC:BCC:Subject:

Mail From:Rcpt To:

Server:Indirizzo IPNome a dominio

RelayRelayRelayRelay

MTA

A livello comunicazione SMTP:Nessun controllo su validità dell’indirizzo “From”L’indirizzo “To” deve essere il “valido” indirizzo didestinazioneGli indirizzi IP sono validi per necessità di comunicazionetra i nodi di rete

Bologna, 24 novembre 2000 Unsolicited Bulk Email (UBE) (spamming) Francesco Gennai IAT - CNR...

Documents

Transcript of Bologna, 24 novembre 2000 Unsolicited Bulk Email (UBE) (spamming) Francesco Gennai IAT - CNR...