Unsolicited Bulk Email (UBE) - (spamming) Francesco Gennai IAT - CNR
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Unsolicited Bulk Email (UBE)
(spamming)
Francesco Gennai
IAT - CNR
Francesco.Gennai@iat.cnr.it
Bologna, 24 novembre 2000Unsolicited Bulk Email
(Spamming)
UA = User Agent
Originator = nodo che immette il messaggio
in rete
Relay = nodo di transito da Internet a Internet
MHS = Message Handling System Delivery = nodo che consegna il messaggio
all’utente finale
MS = Message Store (contiene le mailbox)
MTA = Message Transfer Agent
Submission Relay Relay Delivery Access
UA
UA Originator
Originator Relay
Relay Delivery
Delivery MS
MS UA
UA
MTA MTA MTAUnsolicited Bulk Email
(UBE)
• Meccanismi per controllare “UBE”
tre categorie:
• Filtri
• Legali
• EconomiciFiltri • Euristici – controllo su origine messaggi – controllo su contenuto messaggio • Cooperativi – etichettatura del messaggio – registro dei destinatari
Filtri Euristici
controllo su origine messaggi
• Rifiuto connessioni IP da sorgenti “UBE” (UBE
originator)
• Rifiuto sessioni TCP da sorgenti “UBE” (UBE originator)
a livello di server SMTP
• Rifiuto messaggi SMTP da sorgenti “UBE” (UBE
originator) in base al contenuto del comando “MAIL
FROM”
• Rifiuto messaggi SMTP da sorgenti il cui dominio non
corrisponde al proprio indirizzo IPRifiuto connessioni IP da sorgenti “UBE” (UBE
originator)
Informazione Indirizzo IP della connessione
filtrata
Effetto contro UBE Alto dopo la spedizione del primo UBE.
onesti Difficoltà nel cambio IP address.
Effetto contro UBE Basso. E' semplice utilizzare server
disonesti SMTP di terze oarti come relay.
Informazione che deve Lista degli indirizzi IP degli host
essere distribuita sorgenti di UBE.
Rischi di perdita di Viene negato l'accesso alla rete del
informazione destinatario ad utenti provenienti dal
nodo sorgente UBE
Impatto sul destinatario Gli utenti non possono comunicare con
il nodo "filtrato".Rifiuto sessioni TCP da sorgenti “UBE” (UBE
originator) a livello di server SMTP
Informazione Indirizzo IP della connessione o
filtrata dominio risultante dalla query inversa
dell'indirizzo IP.
Effetto contro UBE Alto dopo la spedizione del primo UBE.
onesti Difficoltà nel cambio IP address.
Effetto contro UBE Basso. E' semplice utilizzare server
disonesti SMTP di terze oarti come relay,
utilizzando IP e domini legittimi.
Informazione che deve Lista degli indirizzi IP degli host
essere distribuita sorgenti di UBE.
Rischi di perdita di Viene negato l'accesso alla rete del
informazione destinatario ad utenti provenienti dal
nodo sorgente UBE.
Impatto sul destinatario Gli utenti possono solo spedire msg al
nodo "filtrato". Non possono riceverne.Rifiuto messaggi SMTP da sorgenti “UBE” (UBE
originator) in base al contenuto del comando “MAIL
FROM”
Informazione Nome del dominio contenuto nel MAIL
filtrata FROM
Effetto contro UBE Alto dopo la spedizione del primo UBE.
onesti Difficoltà nel cambio del nome dominio.
Effetto contro UBE Basso. E' semplice falsificare il contento
disonesti del campo MAIL FROM o utilizzare
SMTP server di terze parti per relay.
Informazione che deve Lista dei domini di sorgenti UBE.
essere distribuita
Rischi di perdita di Nessun messaggio dal sorgente può
informazione essere ricevuto.
Impatto sul destinatario Gli utenti possono solo spedire msg al
nodo "filtrato". Non possono riceverne.Rifiuto messaggi SMTP da sorgenti il cui dominio
non corrisponde al proprio indirizzo IP
Informazione Controllo se indirizzo IP del dominio in
filtrata MAIL FROM corrisponde all'indirizzo
IP sorgente della connessione.
Effetto contro UBE Nessuna. Tutti gli UBE onesti passano il
onesti controllo.
Effetto contro UBE Basso. E' semplice falsificare il contento
disonesti del campo MAIL FROM e utilizzare
SMTP server di terze parti per relay.
Informazione che deve Nessuna.
essere distribuita
Rischi di perdita di Nessun messaggio dal sorgente può
informazione essere ricevuto. (Filtra anche SMTP
server malconfigurati).
Impatto sul destinatario Gli utenti possono solo spedire msg al
nodo "filtrato". Non possono riceverne.Filtri euristici
controllo su contenuto messaggio
• A livello di message store (prima che l’utente abbia
scaricato i messaggi)
• A livello di mail clientA livello di message store
Informazione Nome domini, formato di particolari
filtrata headers, parole chiave all'inizio del
messaggio, message id, etc..
Effetto contro UBE Nuovi UBE possono non essere
onesti intercettati.
Effetto contro UBE Basso. E' semplice cambiare
disonesti continuamente gli elementi chiave su
cui i filtri tenetano il riconoscimento.
Informazione che deve Headers, contenuto degli UBE
essere distribuita riconosciuti.
Rischi di perdita di Messaggio legittimo rimossi perchè
informazione riconosciuti come UBE. Il filtro
potrebbe tenere traccia degli headers dei
messaggi rimossi.
Impatto sul destinatario Messaggio legittimo rimosso. Ritardi
nella consegna.A livello di mail client
Informazione Nome domini, formato di particolari
filtrata headers, parole chiave all'inizio del
messaggio, message id, etc..
Effetto contro UBE Nuovi UBE possono non essere
onesti intercettati.
Effetto contro UBE Basso. E' semplice cambiare
disonesti continuamente gli elementi chiave su
cui i filtri tenetano il riconoscimento.
Informazione che deve Headers, contenuto degli UBE
essere distribuita riconosciuti. (Notare che è più difficile
distribuire questa informazione verso
client che verso i message store.
Rischi di perdita di Messaggio legittimo rimossi perchè
informazione riconosciuti come UBE. Il filtro
potrebbe tenere traccia degli headers dei
messaggi rimossi.
Impatto sul destinatario Messaggio legittimo rimosso. Ritardi
nella consegna.A livello di mail client
(su precedente accettazione messaggi dallo stesso mittente)
Informazione Indirizzo mittente confrontato con
filtrata database locale di indirizzi
precedentemente accettati.
Effetto contro UBE Dipende dalla "sfida" lanciata e da
onesti eventuali risponditori automatici.
Effetto contro UBE Dipende dalla "sfida" lanciata e da
disonesti eventuali risponditori automatici.
Informazione che deve Nessuna. Basato su database creato a
essere distribuita livello di client.
Rischi di perdita di Molto alto. Un mittente legittimo
informazione potrebbe non essere in grado di
rispondere. Inoltre il "messaggio sfida"
potrebbe essere perso prima di
raggiungere la destinazione.
Impatto sul destinatario Possibilità di perdita messaggi. Possibile
meno interesse da parte di alcuni a
comunicare con tale destinatario.Legali • Legge – Controllo su mittente/destinatario – Controllo su “relay” • Contratti – accordi tra provider ed utente
Economici
• Aumento dei costi di spedizione dei messaggi…..
Introdurrebbe probabili limitazioni al servizio e-mail di
Internet contrastando con alcuni dei modelli fondamentali
che hanno consentito (e consentono) la diffusione di
InternetIdentificazione
• Del messaggio
– problemi nella scelta etichetta (Es. “Commercial”: è classificabile
come “commerciale” un messaggio che ti invita a visitare un sito
web ?)
– associata con filtri attivi sul client di destinazione
• Del canale
– porta diversa dalla 25 (SMTP) per traffico UBE
– i provider potrebbere scegliere se offrire “UBE” ai propri clienti
– tariffazioneRegistrazione dei destinatari
• Registrazione presso le potenziali sorgenti di UBE
– originatori di UBE poco onesti…..
– troppe per pensare che un utente debba contattarle….
• Registrazione in liste utilizzate da sorgenti di UBE
– originatori di UBE poco onesti….
– stesso problema legato al numero elevato delle possibili liste
presso cui doversi registrareUtilizzo firma digitale
• Auteticazione End-to-End
– permette il riconosimento immediato del mittente
– difficilmente attuabile su larghissima scala
• Identificazione “first-hop”
– autenticazione del MTA che ha accettato il messaggio da un
proprio client
– il provider ha il compito di garantire sull’identità del mittente
(autenticazione SMTP)Cosa fare quando si riceve UBE
• Si cancella e si continua a vivere tranquilli
• Si risponde al mittente (SCONSIGLIATO)
• Si riporta il problema ai nostri amministratori locali o
direttamente ai siti che seguono questo tipo di problemi
http://www.abuse.net
• Se il problema persiste si possono attivare filtri.
(anche a livello server)
• SIEVE è un linguaggio per creare filtri in fase di
standardizzazione IETFUn cenno sul blocco relay
• Prevenire l’uso non autorizzato del proprio server di posta
– differenziare sistemi “locali” da sistemi “remoti”
• semplice mediante controllo indirizzo IP
– Messaggi provenienti da sistemi locali potranno essere indirizzati
verso qualsiasi dominio Internet
– Messaggi provenienti da sistemi remoti saranno accettati solo se
destinati a domini gestiti dal server stesso o per i quali il server
compare nella lista degli MX record.Un cenno sul blocco relay
(autenticazione SMTP)
From: S.Sting@fnal.gov
To: Luca.Bianchi@qualcosa.it From: Marco.Verdi@qualcosa.it
To: K.Newman@fnal.gov
Internet
From: Luca.Bianchi@qualcosa.it
Terminal To: S.Sting@fnal.gov
Firewall server
Email Pc1 Pc2 Pcn
server
qualcosa.it From: Mario.Rossi@qualcosa.it
acme.it To: J.Smith@cuny.eduControllo via MAPS o ORBS
• Il server controlla se l’indirizzo IP da cui proviene la
connessione è listato in uno dei domini “MAPS” o
“ORBS”. (Esempio: connessione da 147.48.67.98, il
server SMTP fa una query a: 98.67.48.147.rbl.maps.com)
• Se la query ha successo:
– rifiuta il messaggio
– aggiunge un linea all’header (esempio:
X-MAPS: messaggio sospetto )
e fa proseguire il messaggio verso la sua destinazioneControllo via MAPS o ORBS
mail.iat.cnr.it
iat.cnr.it MX 10 mail.iat.cnr.it
Internet MX 20 mail.xx.cnr.it
mail.xx.cnr.it
fw.qualcosa.edu
= NON supporta controllo ORBS
= supporta controllo ORBS
Spammers utilizzano direttamente mail.xx.cnr.it !Standard di base
Posta elettronica Internet
SMTP SMTP SMTP File I/O POP o IMAP
UA
UA Originator Relay Delivery MS
MS UA
UA
Messaggio:
RFC822 . . .
MIMEA livello comunicazione SMTP:
Nessun controllo su validità dell’indirizzo “From”
L’indirizzo “To” deve essere il “valido” indirizzo di
destinazione
Gli indirizzi IP sono validi per necessità
SMTP
di comunicazione
tra i nodi di rete
UA
UA Originator
Originator Relay
Relay
Mail From:
MTA MTA
Rcpt To:
RFC822
From:
To: Server:
Personal computer:
CC: Indirizzo IP
Indirizzo IP
BCC: Nome a dominio
Nome a dominio Subject:Puoi anche leggere
