Netzwerksicherheit. Teil 8: Schutz vor Spam. Martin Mauve, Björn Scheuermann und Philipp Hagemeister

Transkript

1 Netzwerksicherheit Teil 8: Schutz vor Spam Martin Mauve, Björn Scheuermann und Philipp Hagemeister Sommersemester 2016 Heinrich-Heine-Universität Düsseldorf Netzwerksicherheit Schutz vor Spam 1

2 -Grundlagen ist einer der ältesten Dienste, die im Internet angeboten werden Zentrale Komponente: SMTP für das Übertragen von s an einen Mailserver aktuelle Spezifikation: RFC 5321 (fast) keine Berücksichtigung von Sicherheitsaspekten Einige Begriffe: MTA (Message Transfer Agent): Mailserver MUA (Message User Agent): Mail Reader Mail-Objekt: Envelope + Content Envelope: der von SMTP verwendete Teil einer (z. B. RCPT-TO:) Content: die eigentliche Mail, also Header (z. B. To:) + Body Netzwerksicherheit Schutz vor Spam 2

3 Was ist Spam? Als Spam bezeichnet man s die man bekommt, ohne dafür (implizit oder explizit) seine Zustimmung gegeben zu haben Etymologie des Wortes Spam : Netzwerksicherheit Schutz vor Spam 3

4 Motivation von Spam-Versendern Warum gibt es Spam? Netzwerksicherheit Schutz vor Spam 4

5 Motivation von Spam-Versendern Warum gibt es Spam? Weil man damit Geld verdienen kann: Werbung (meistens für minderwertige/gefälschte Produkte) Phishing Welche Eigenschaften machen Spam für den Versender attraktiv? Netzwerksicherheit Schutz vor Spam 4

6 Motivation von Spam-Versendern Warum gibt es Spam? Weil man damit Geld verdienen kann: Werbung (meistens für minderwertige/gefälschte Produkte) Phishing Welche Eigenschaften machen Spam für den Versender attraktiv? Billig: notwendige Ressourcen pro sehr gering! Schnell: Eine Spam-Aktion rentiert sich innerhalb weniger Stunden! Netzwerksicherheit Schutz vor Spam 4

7 Möglichkeiten, um sich vor Spam zu schützen Inhaltsbasiertes Filtern Annahme von s gezielt ablehnen oder verzögern Aufwand für das Versenden von s erhöhen z. B. HashCash (schon bekannt!) Komplementär: Absender authentifizieren Netzwerksicherheit Schutz vor Spam 5

8 Inhaltsbasiertes Filtern Gegeben eine , wie würden Sie bestimmen, ob sie Spam ist? Netzwerksicherheit Schutz vor Spam 6

9 Inhaltsbasiertes Filtern Gegeben eine , wie würden Sie bestimmen, ob sie Spam ist? Voraussetzung: wurde empfangen Ort: zentral (MTA) oder dezentral (MUA) Prinzipielles Vorgehen: suche nach besonderen Eigenschaften (Schlüsselwörter, Absender, etc.) versehe diese Besonderheiten mit Gewichten summiere diese Gewichte wenn die Summe über einem Schwellwert liegt: Spam! Beispiel: SpamAssassin ( Netzwerksicherheit Schutz vor Spam 6

10 Inhaltsbasiertes Filtern Statische Tests Einige Beispiele für Eigenschaften, die getestet werden können: Subject enthält den Namen eines Medikaments Subject ist komplett in Großbuchstaben Body beginnt mit Dear Friend Body enthält verschleierte Schlüsselworte (z. B. V1agra) Reply-To ist ungewöhnlich (enthält zu viele Zahlen) und vieles mehr Was halten Sie davon? Was würden Sie als Spam-Versender machen? Netzwerksicherheit Schutz vor Spam 7

11 Inhaltsbasiertes Filtern Bayes-Filter Prinzipielles Problem: Textklassifikation (altes Problem) Idee: lernfähige Filter bauen! Vorbereitungen: untersuche welche Worte/Phrasen häufig in Spam-Mails vorkommen untersuche, welche Worte/Phrasen häufig in erwünschten s vorkommen bei gegebener bestimme anhand der in der vorkommenden Worte, mit welcher Wahrscheinlichkeit diese Spam ist Ein mögliches Werkzeug dafür sind Bayes-Filter Netzwerksicherheit Schutz vor Spam 8

12 Naive Bayes Filter für Spam-Erkennung Vereinfachende Annahmen (daher naive ): Wörter kommen unabhängig voneinander in s vor Spam und erwünschte s sind gleich häufig Sei Pr(W S) die Wahrscheinlichkeit dafür, dass ein Wort W in einer Spam vorkommt Sei Pr(W H) (H=Ham) die Wahrscheinlichkeit dafür, dass ein Wort W in einer erwünschten vorkommt Dann ist die Wahrscheinlichkeit, dass eine , welche das Wort W enthält, Spam ist: Pr(S W ) = Pr(W S) Pr(W S) + Pr(W H) Netzwerksicherheit Schutz vor Spam 9

13 Naive Bayes Filter für Spam-Erkennung (2) Natürlich möchte man bei der Entscheidung nicht nur ein Wort verwenden! Sei k die Anzahl der Wörter in einer p n = Pr(S W n ) mit n [1,k] Dann ist die Wahrscheinlichkeit, dass eine , welche die Wörter W 1,...,W k enthält, Spam ist: p = p 1 p 2 p k p 1 p 2 p k + (1 p 1 )(1 p 2 ) (1 p k ) Ab einem gewissen Schwellwert (z. B. 0.9) wird die dann als Spam klassifiziert Sehen Sie Probleme bei dieser Vorgehensweise? Netzwerksicherheit Schutz vor Spam 10

14 Naive Bayes Filter Verbesserungen Verwenden von einer maximalen Anzahl von Wörtern wähle die X relevantesten Wörter (möglichst weit von 0.5 entfernt) hilft gegen Spam mit vielen harmlosen Wörtern Einbeziehen von Header-Feldern Kein Stemming Reduktion der Wörter auf ihre Grundform, häufig bei Textklassifikation verwendet schlecht bei Spam, da z. B. häufig der Imperativ verwendet wird Mehr dazu: Netzwerksicherheit Schutz vor Spam 11

15 Verzögern oder Ablehnen der Annahme von Spam Problem der inhaltsbasierten Analyse: kostet erhebliche Ressourcen! Idee: Filter auf der Ebene von SMTP und/oder IP Häufig verwendete Alternativen: Whitelisting Blacklisting Greylisting Netzwerksicherheit Schutz vor Spam 12

16 Whitelisting Eine Whitelist wird verwendet, um festzulegen, welche s auf jeden Fall angenommen werden sollen auf Basis von -Adressen auf Basis von IP-Adressen des sendenden MTAs Heute häufig vorgeschaltet vor: Blacklisting/Greylisting inhaltsbasierte Analyse Es gab (recht erfolglose) Ansätze, die nur mit Whitelists gearbeitet haben: jeder, der nicht auf der Whitelist stand, bekam eine automatisierte Antwortmail, die ihn aufforderte geeignet zu reagieren damit sollte sichergestellt werden, dass die Antwortmail von einem Menschen bearbeitet wurde bei richtiger Reaktion: auf die Whitelist setzen und ursprüngliche ausliefern Netzwerksicherheit Schutz vor Spam 13

17 Blacklisting Grundlegende Idee: erstelle Listen von IP-Adressen, von denen aus Spam versendet wird bevor ein Mailserver eine annimmt, überprüft er eine solche Liste (oder mehrere) steht der sendende Mail-Server auf dieser Liste, wird die Annahme abgelehnt Heute häufig realisiert als DNS-Blacklist: Kommunikation mit der Blacklist per DNS Beispiel-Anfrage bezüglich der IP-Adresse beim DNSBL-Provider dnsbl.example.net DNS-Typ-A-Query für dnsbl.example.net wenn nicht gelistet (alles OK): NXDOMAIN sonst: Spammer zusätzlich Typ-TXT-Query, um den Grund für den Eintrag zu erfahren Beispiel NiX Spam von Heise: Netzwerksicherheit Schutz vor Spam 14

18 Greylisting Problem bei Blacklisting: False Positives: Es können s gefiltert werden, die man bekommen möchte bis ein Blacklist-Eintrag vorliegt, kann bereits sehr viel Spam ausgeliefert worden sein Gesucht: ein Verfahren ohne False Positives, welches sofort Spam unterbindet! Eine besondere Eigenschaft von SMTP: SMTP erlaubt den Abbruch einer SMTP-Verbindung durch den Empfänger der Sender muss sich die s dann merken und es später wieder probieren Wie kann uns das helfen? Netzwerksicherheit Schutz vor Spam 15

19 Greylisting Funktionsweise Vorgehen: Für jedes neue (Sender, Sender-IP, Empfänger)-Tupel: lehne die mit einem temporären Fehler ab merke den Auslieferversuch Bei wiederholtem Zustellversuch: prüfe, ob eine sinnvolle Mindestzeit vergangen ist (einige Minuten, halbe Stunde, Stunde) wenn ja: nehme die an wenn nein: lehne die wieder ab Bei bekannten (Sender, Sender-IP, Empfänger)-Tupeln: nimm die an Was halten Sie davon? Netzwerksicherheit Schutz vor Spam 16

20 Greylisting Diskussion Wann und warum bringt Greylisting etwas? wenn der Spammer einen MTA verwendet, der keine Übertragungswiederholungen durchführt (häufig!) wenn der Spammer dadurch zusätzliche Ressourcen verwenden muss (z. B. weil der Spam oder wenigstens die Zustellversuche zwischengespeichert werden müssen) in Verbindung mit Blacklisting: Wenn der Spammer eine Stunde bis zum zweiten Versuch warten muss, dann steht er meistens schon auf einer vertrauenswürdigen Blacklist Welche Probleme gibt es bei Greylisting? zentrales Problem: lange Verzögerung legitimer ! fehlerhafte oder falsch konfigurierte Mailserver wiederholen manchmal die Übertragung nicht! Spammer passen sich an Greylisting an und verbessern ihre MTAs Netzwerksicherheit Schutz vor Spam 17

21 Aktuelle Forschung: Verbindungsanalyse Greylisting nutzt die Eigenschaft, dass Spammer s anders behandeln als legitime Sender von Könnte schon auf der Transportschicht zu erkennen sein: Spam: große Mengen von s gesendet von Botnetzen deren Mitglieder über DSL angeschlossen sind Ham: geringere Mengen von s gesendet von dediziertem MTA die häufig breitbandig an das Internet angeschlossen sind Mögliche Unterscheidungskriterien: Latenz, Verlustrate, Verhalten bei Übertragungswiederholungen, etc. Noch nicht im praktischen Einsatz, aber erste Veröffentlichungen [Beverly, Sollins: Exploiting Transport-Level Characteristics of Spam, CEAS 2008] Netzwerksicherheit Schutz vor Spam 18

22 Komplementäre Aktivitäten Es ist sehr einfach, die die Absenderadresse einer zu fälschen SMTP überprüft diese einfach nicht! Warum ist das ein Problem? Spam wird mit gefälschten Absenderadressen verschickt das ist ein ganz übler DoS-Angriff auf diese Adresse...gegen den man derzeit nicht viel unternehmen kann Phishing- s werden mit gefälschten vertrauenerweckenden Absenderadressen verschickt Was tun? Netzwerksicherheit Schutz vor Spam 19

23 Komplementäre Aktivitäten: Absenderauthentifikation Authentifikation auf Basis einzelner Personen (z. B. über PGP) ist nicht realistisch flächendeckend machbar Zwei Ansätze, um das zu verbessern: Sender Policy Framework (SPF, RFC 4408) Weit verbreitet DomainKeys Identified Mail (DKIM, RFC 4871) Von einigen Mail-Providern unterstützt Netzwerksicherheit Schutz vor Spam 20

24 Sender Policy Framework Ein DNS-basierter Ansatz: TXT-Eintrag für die Sender-Domain Bildet Domains auf IP Adressen von MTAs ab, die für diese Domain s verschicken dürfen Beispiel für einen SPF-TXT-Record $ dig -t TXT gmx.de... ;; QUESTION SECTION: ;gmx.de. IN TXT ;; ANSWER SECTION: gmx.de. 300 IN TXT "v=spf1 ip4: /23 ip4: /26 -all" Vor Annahme einer überprüfen und gegebenenfalls die Mail ablehnen! Sehen Sie Kritikpunkte? Netzwerksicherheit Schutz vor Spam 21

25 DomainKeys Identified Messages (DKIM) Grundlegende Idee: s werden signiert Public Key Signatur, häufig vom MTA des Senders (andere MTAs oder der MUA des Senders können das jedoch auch) Als Headerzeile der Beispiel für eine DKIM-Headerzeile DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:received:received :reply-to:date:message-id:subject:from:to:content-type; bh=cfqcr5noypcdu0sylt+xazsenpltyy7qktonmkykvdy=; b=mrr6m9b6aggklp1hetqxrekfhpugwq5njp5s6oedz+5rxtnszqoe7zidpqy na+ft62vq7fzowoldwxhuzhkgkxxk4/eqm+qklxbylxt8ugubrpamw0hc0j7z ULvKd/STe9fQI8sA73ew6CauMQXTcwdWJFbRcS70lrXhrArSaWs= Netzwerksicherheit Schutz vor Spam 22

26 DomainKeys Identified Messages (DKIM) Der Empfänger-MTA fragt nach einem speziellen DNS-Record mit dem passenden öffentlichen Schlüssel Format: selector.s._domainkey.example.com selector konstant oder Servername oder Benutzername Damit überprüft er, ob die Signatur stimmt Wenn ja: annehmen Wenn nein: ablehnen oder markieren oder annehmen oder... Beispiel für eine DKIM-DNS-Anfrage ;; QUESTION SECTION: ;gamma._domainkey.gmail.com. IN TXT ;; ANSWER SECTION: gamma._domainkey.gmail.com. 300 IN TXT "k=rsa\; t=y\; p=migfma0gcsqgsib3dqebaquaa4gnadcbiqkbgqdihyr3oitoy22z OaBrIVe9m/iME3RqOJeasANSpg2YTHTYV+Xtp4xwf5gTjCmHQEMOs0 qyu0fyinqpqogj2t0mfx9znu06rfrbdjiiu9tpx2t+nglwz8qhbilo 5By8apJavLyqTLavyPSrvsx0B3YzC63T4Age2CDqZYA+OwSMWQIDAQAB" Netzwerksicherheit Schutz vor Spam 23

27 Spam vermeiden Zusammenfassung Viele verschiedene Ansätze, um Spam zu reduzieren inhaltsbasiertes Filtern White-/Black-/Greylisting Proof-of-Work-Systeme Absenderauthentifizierung Aber: Problem nicht grundsätzlich gelöst Wettrennen zwischen Spammern und Schutz vor Spam Bisher: keine fundamentale Lösung Netzwerksicherheit Schutz vor Spam 24