SPF, DKIM, DMARC usw

Ähnliche Dokumente
Spam und SPIT. Moritz Mertinkat mmertinkat AT rapidsoft DOT de. Aktuelle Schutzmöglichkeiten und Gegenmaßnahmen

-Hygiene SPAM und Viren in den Briefkästen

CNAME-Record Verknüpfung einer Subdomain mit einer anderen Subdomain. Ein Alias für einen Domainnamen.

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Man liest sich: POP3/IMAP

12. Kieler OpenSource und Linux Tage. Wie funktioniert eigentlich Mail? , Frank Agerholm, Linux User Group Flensburg e.v.

Sichere für Rechtsanwälte & Notare

Aktivieren des Anti-SPAM Filters

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

melin B2B Marke2ng Basics, Blacklist, Whitelist, MX, SPF und das drumherum 4. Mai

MSXFORUM - Exchange Server 2003 > Konfiguration Sender ID (Absendererkennu...

Ein Hinweis vorab: Mailkonfiguration am Beispiel von Thunderbird

Ist das so mit HTTPS wirklich eine gute Lösung?

OutLook 2003 Konfiguration

FL1 Hosting Technische Informationen

Enigmail Konfiguration

Anleitung. Schritt für Schritt: iphone und ipad. Richten Sie Ihr -Konto mit Ihrem iphone oder ipad Schritt für Schritt ein.

Konfiguration von Exchange 2000 zum versenden und empfangen von Mails & Lösung des SEND after POP Problems

Kontoname ist Mailanschrift Maximale Mailboxgrösse: Maximale Nachrichtengrösse: Haltezeit der Nachrichten:

Import des persönlichen Zertifikats in Outlook 2003

Dieses HowTo darf nicht vervielfältigt oder veröffentlich werden ohne Einverständnis des Erstellers. Alle Angaben ohne Gewähr.

Was ist sigmail.de? Sigmail ist der -Server auf www. signaturportal.de. Eine Adresse auf signaturportal.de lautet

" -Adresse": Geben Sie hier bitte die vorher eingerichtete Adresse ein.

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von s Teil D2:

WINLINK 2000 SPAM-KONTROLLE UND NACHRICHTEN PRIORITÄTEN Aktualisiert 27. März 2012

Spamfilter Einrichtung

Adressen und Kontaktinformationen

Protokolle. Konrad Rosenbaum, 2006/7 protected under the GNU GPL & FDL

Import des persönlichen Zertifikats in Outlook2007

Einrichtung eines -konto mit Thunderbird

Abwesenheitsnotiz im Exchange Server 2010

Anwendungsbeispiele Sign Live! Secure Mail Gateway

Import des persönlichen Zertifikats in Outlook Express

Anleitung Grundsetup C3 Mail & SMS Gateway V


Eine Anleitung, wie Sie Mozilla Thunderbird 2 installieren und konfigurieren können. Installation Erstkonfiguration... 4

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

en - jetzt aber richtig

E Mail Versand mit der Schild NRW Formularverwaltung

Schritt 1: Auswahl Schritt 3 Extras > Konten Schritt 2: Konto erstellen Konto hinzufügen klicken

Einrichtung eines neuen -Kontos für s unter in Ihrem programm

Dokumentation. Black- und Whitelists. Absenderadressen auf eine Blacklist oder eine Whitelist setzen. Zugriff per Webbrowser

Nutzen Einrichten Verwalten

Konfiguration von Outlook 2007

FL1 Hosting FAQ. FL1 Hosting FAQ. V1.0 (ersetzt alle früheren Versionen) Gültig ab: 18. Oktober Telecom Liechtenstein AG

VERWALTUNG. Postfächer, Autoresponder, Weiterleitungen, Aliases. Bachstraße 47, 3580 Mödring

-Verschlüsselung

DFBnet Postfachsystem Signatur, Automatische Antwort, Weiterleitung

Die Konfiguration des Mozilla Thunderbird Mail-Clients an der UniBwM

A. Ersetzung einer veralteten Govello-ID ( Absenderadresse )

Lieber SPAMRobin -Kunde!

Electronic Systems GmbH & Co. KG

Erstellen einer digitalen Signatur für Adobe-Formulare

-Konten für Studierende und Zugriffswege auf die Mail-Systeme der Hochschule Rhein-Waal

Outlook 2013

SMTP Sieve-Interpreter

Bitte beachten Sie. Nur für Kabelmodem! - 1 -

Kurzanleitung SEPPmail

Das -Postfach für Studierende. Informationen und Anleitung zur Nutzung

Konfigurieren mit Outlook Express (Windows XP) oder Windows Mail (Windows Vista / Windows 7)

AXIGEN Mail Server. s per Smarthost versenden s per Pop3 empfangen. Produkt Version: Dokument Version: 1.2

Externe Abfrage von für Benutzer der HSA über Mozilla-Thunderbird

eco Richtlinie für zulässiges -Marketing

Registrierung am Elterninformationssysytem: ClaXss Infoline

Copy to sender: Duplikat der Rechnung an -Referenzadresse senden

Schritt 1: Auswahl Schritt 3 Extras > Konten Schritt 2: Konto erstellen Konto hinzufügen klicken

Anleitung über den Umgang mit Schildern

.procmailrc HOWTO. zur Mailfilterung und Verteilung. Stand:

RWTH DFN Zertifizierungsdienst. Antrag, Einrichtung und Verwendung mit Firefox und Thunderbird

Neue Kennwortfunktionalität. Kurzanleitung GM Academy. v1.0

Steganos Secure Schritt für Schritt-Anleitung für den Gastzugang SCHRITT 1: AKTIVIERUNG IHRES GASTZUGANGS

1. Loggen Sie sich mit Ihrem Benutzernamen in den Hosting-Manager (Confixx) auf Ihrer entsprechenden AREA ein.

Leitfaden für den -Dienst

So richten Sie Outlook Express ein. Einrichten von Outlook Express (hier am Beispiel von Outlook Express 6) für den Empfang meiner s

Einrichten eines IMAP Kontos unter Outlook Express

IMAP Backup. Das Programm zum Sichern, Synchronisieren, Rücksichern und ansehen von gesicherten Mails. Hersteller: malu-soft

Deswegen bekomme ich folgende Fehlermeldung: Ich will aber nicht aufgeben, deswegen mache ich es erneut, aber mit einen anderen Seite - networkpro.

DELFI. Benutzeranleitung Dateiversand für unsere Kunden. Grontmij GmbH. Postfach Bremen. Friedrich-Mißler-Straße Bremen

So richten Sie Ihr Postfach im Mail-Programm Apple Mail ein:

Sie können diesen Service verwenden, um fast beliebig große Dateien auch über 2 GB zu versenden.

Mail Protokolle. ESMTP: Extented SMTP Server gibt Infos über seine Fähigkeiten aus, zb für Verschlüsselung verwendet

Leichte-Sprache-Bilder

- Einstellungen. Microsoft Outlook Express. 2. Geben Sie hier die -Adresse ein.

FrogSure Installation und Konfiguration

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

Schritt 2: Konto erstellen

1 Einleitung. Lernziele. automatische Antworten bei Abwesenheit senden. Einstellungen für automatische Antworten Lerndauer. 4 Minuten.

Gesetzliche Aufbewahrungspflicht für s

Möglichkeiten der verschlüsselten -Kommunikation mit der AUDI AG Stand: 11/2015

S Sparkasse Hohenlohekreis. Leitfaden zu Secure

Erstellen einer in OWA (Outlook Web App)

STRATO Mail Einrichtung Mozilla Thunderbird

Konfigurieren mit Mozilla Thunderbird

Was ist sigmail.de? Sigmail ist der -Server auf www. signaturportal.de. Eine Adresse auf signaturportal.de lautet

MAILADMIN. Verwaltung Ihrer konten mit dem Online-Tool: INHALT. 1. Anmeldung. 2. Das MAILADMIN Menü. 3. Die Domain Einstellungen

Konfiguration eines DNS-Servers

Anleitungen zum KMG- -Konto

-Zertifikatsverwaltung

Transkript:

SPF, DKIM, DMARC usw Neue Herausforderungen bei E-Mail und Spam Kurt Jaeger, pi@opsec.eu https://cccs.de Stuttgart, 9. Juli 2015

Übersicht Vorwissen notwendig: Mail, IP, DNS, SMTP Mailheader Verarbeitung Verfahren Probleme Lösungsskizze

Vorwissen Mail: Austausch von langen Textnachrichten, Absender/Empfangsadressen Beispiel: test@dom.ain IP: Internet Protokoll Austausch von Datenpaketen, Quell/Zieladressen Beispiel: 212.71.205.21 DNS: Domain Name System Verteilter, hierarchischer Key/Type/Value Speicher Beispiel: Key = opsec.eu, Type = MX, Value = 10 home.opsec.eu. SMTP: Simple Mail Transfer Protokoll Übertragung von Mails zwischen zwei Rechnern It s not simple anymore

Was ist Spam? unerwünschte Mails Werbung: Attention Economy Ausforschen persönlicher Daten Vorspielung einer persönlichen Mail Click-Baits Phishing (Angriff auf den Rechner) Spionage Warum? Geld verdienen, whatever works

Wie dagegen vorgehen? Spam filtern Spambekämpfung: Gegen den Verursacher vorgehen Nicht Teil dieses Vortrags! E-Mail-Adressen stringent verwalten Für jeden Lieferant/jeden Vertrag/jede Kennung eine Mailadresse Beispiel: juniper@einkauf.nepustil.net Falls zuviel Spam kommt: Adresse kann deaktiviert werden

Wer verteidigt sich? Mailserver Mailclients (teilweise), nicht Thema

Wie funktioniert Mail? Mailclient (Mail User Agent, MUA), nicht Teil des Vortrags Mailserver Mailübertragung (Mail Transfer Agent, MTA) Versand Empfang Wer einen Mailserver betreiben möchte, bekommt hier Hinweise Envelop-From Absender laut Umschlag

From absender@opsec.eu Wed Jul 08 21:25:17 2015 Return path: <absender@opsec.eu> Envelope to: empfaenger@opsec.eu Delivery date: Wed, 08 Jul 2015 21:25:17 +0200 Received: from home.opsec.eu ([193.105.105.1] ident=spamd) by home.opsec.eu with spam scanned (Exim 4.85 (FreeBSD)) (envelope from <absender@opsec.eu>) id 1ZCuy5 0006jy M9 for empfaenger@opsec.eu; Wed, 08 Jul 2015 21:25:17 +0200 X Spam Checker Version: SpamAssassin 3.4.1 (2015 04 28) on home.opsec.eu X Spam Level: X Spam Status: No, score= 0.0 required=5.0 tests=no_relays autolearn=ham autolearn_force=no version=3.4.1 Received: from pi by home.opsec.eu with local (Exim 4.85 (FreeBSD)) (envelope from <absender@opsec.eu>) id 1ZCuy5 0006js K9 for empfaenger@opsec.eu; Wed, 08 Jul 2015 21:25:17 +0200 Date: Wed, 8 Jul 2015 21:25:17 +0200 From: Kurt Jaeger <absender@opsec.eu> To: empfaenger@opsec.eu Subject: Einfache Mail Message ID: <20150708192517.GA25903@home.opsec.eu> MIME Version: 1.0 Content Type: text/plain; charset=us ascii Content Disposition: inline Content Length: 90 Lines: 4 Und? pi@opsec.eu +49 171 3101372 5 years to go!

Einfache Checks einfache DNS/Domain Checks Blacklist-Lookup Greylisting SpamAssassin (u.a. Content-Rating) Sender-Verify (-Callouts) https://en.wikipedia.org/wiki/callback verification SMTP-Auth (User/Passwort)

Komplexe Verteidungsverfahren SPF SRS DKIM DMARC DANE Ratelimiting

SPF: Sender Policy Framework RFCs 7208 und 7372 Realisierung: DNS Eintrag Beispiel: v=spf1 mx ip4:212.71.205.21 ip6:2001:14f8:1:1::15 -all Sagt grob: Nimm Mail von dieser Absender-Domain von MXen und diesen IPs an, alle anderen Server dürfen nicht exim Prüfung bei eingehender Mail per ACL Details siehe https://github.com/exim/exim/wiki/spf

SPF: Probleme Mailverteiler und Weiterleitungen tun nicht mehr Subdomains müssen beachtet werden Webserver und Webformulare Spammer fügen SPF-Records für ihre Domains hinzu

SRS: Sender Rewriting Scheme SPF Problem: user1@dom1 sendet an 2@dom2, dort Weiterleitung an 3@dom3 Reject, weil dom2 keine Mails von @dom1 versenden darf Lösung: Absender umschreiben auf SRS0=HHH=TT=dom1=user1@dom2 Hash, Zeitstempel in Datenbank merken Antwort Mails nur weiterleiten, wenn Vorgang bekannt Problem: alle weiterleitenden Mailserver müssen SRS implementieren Details siehe https://github.com/exim/exim/wiki/srs

DKIM: DomainKeys Identified Mail RFC 6376 Public-Key-Cryptographie Absender-Domain veröffentlicht Public Key im DNS Signiert alle ausgehende Mail mit dem Private Key Signatur im Mailheader Empfänger-Mailserver überprueft und verwirft, falls unpassend

DKIM: Beispiel DNS-Eintrag domainkey.mail.complx.org. IN TXT r=hostmaster@complx.org; s=nn nn. domainkey.mail.complx.org. IN TXT v=dkim1; k=rsa; p=miibijanbg[...] p=miibijanbgkqhkig9w0baqefaaocaq8amiibcg KCAQEArtSlKw258tcYisMb/4yX4MjyI710fnavudVOvSCm J4cwFy3RRcluKm5wtEjs0XjsN3DS8gpJ+MwbaNH8CUDH40 lvdy+ur+mflmjrvkjv/ypahtcpfdcr3nskldvrwmq4dofz qplcttjktlcbuay5ryudyrrvz5xavjxuhxisdrrr1oaarh LDnd03EiIVmZF+CSv1UsPg2g/5i4+LhlysLT/ioA3K9hyY ib3hxs7qy9sw6q0yjhmal7s8oej0o5o2wamqqbn5dtnvw6 +HIyA4P/3yznc3xI+CcFfZr8G2iLeBpPvIJYi8kMeGFGyk dwtbyyjzq2jxytac1cuoafkgsqidaqab

DKIM: Erzeugen der Keys und DNS Einträge openssl genrsa -out dkim.key 2048 openssl rsa -in dkim.key -out dkim.pub -pubout -outform PEM Script, um daraus einen DNS RR zu machen: https://opsec.eu/src/dkim/pub2rr

DKIM: exim config (1) Router dnslookup_dkim: driver = dnslookup condition = ${perl{senderdomhasdkim}{ exists }} domains =! +local_domains transport = remote_smtp_dkim no_more

DKIM: exim config (2) Transport remote_smtp_dkim: debug_print = "T: remote_smtp_dkim for $local_part@$domain" driver = smtp dkim_domain = $sender_address_domain dkim_selector = nn dkim_private_key = /var/mbx/$sender_address_domain/conf/dkim.key dkim_canon = relaxed dkim_strict = false #dkim_sign_headers = DKIM_SIGN_HEADERS

DKIM: Probleme Mailverteiler und Weiterleitungen tun nicht mehr Subdomains müssen beachtet werden Webserver und Webformulare Spammer fügen DKIM-Records für ihre Domains hinzu Key-Management Mail-Formate sind komplex

DMARC Domain-based Message Authentication, Reporting, and Conformance RFC 7489 Absender definiert, wie ein Empfaenger mit Mail umgeht, falls SPF/DKIM/... scheitert Ebenfalls in einem DNS Eintrag Beispiel: v=dmarc1;p=reject;pct=100;rua=mailto:postmaster@complx Dienstleister, die die Ergebnisse auswerten https://dmarcian.com/dmarc-status/ Config siehe https://github.com/exim/exim/blob/master/doc/doctxt/experimental-spec.txt

DANE: DNS-Based Authentication of Named Entities RFC 6698 Public-Key-Cryptographie, Verwendung von TLS Zertifikaten TLS == Transport Layer Security (alter Name: SSL) Absender-Domain veröffentlicht Zertifikat im DNS Authentizität sollte dann aber DNSSEC gesichert sein Empfänger: Fragt DNS nach Zertifikat bzw. Unterschrift einer Certification Authority (CA) DANE-TA(2), Trust Anchor, daher: Traue dieser CA DANE-EE(3), End Entity, letztlich: self-signed Certificate Nur bei Übereinstimmung ist Absender-Server OK Config siehe https://github.com/exim/exim/blob/master/doc/doctxt/experimental-spec.txt

Ratelimiting Eigentlich wichtig für ausgehende Mail... wenn der Server missbraucht wird Problem: Missbraucher senden nur noch wenige Mails und wechseln dann den Server Implementierung: Komplex, wenn individuell zu konfigurieren

Probleme False Positives Das Reihenfolgeproblem Auslieferungsproblem-Problem (Failed Mail) Das Mehrempfaenger-Problem Das Key-Management Problem Das Mailinglisten-Problem Das Mailforwarding Problem Backscatter Silent Discard: Zulassen oder nicht? Juristische Probleme

False Positives Wenn eine Mail als Spam erkannt wurde......obwohl sie erwünscht war? Lösung: Spam-Quarantäne

Das Reihenfolgeproblem Mailserver bedienen mehrere Domains und mehrere Postfächer Regeln werden nacheinander abgearbeitet Server-weite Regeln Domain-weite Regeln Postfach-spezifische Regeln Was tun, wenn sich einzelne Regeln wiedersprechen? Ansatz: Scoring Regel-Liste Problem: Ergebnis für User nicht einfach nachvollziehbar Beispiel: SpamAssassin Sieve: An Email Filtering Language, RFC 5228

Das Auslieferungsproblem-Problem Wenn eine Mail vom Empfänger zurückgewiesen wurde, wird eine failed mail erzeugt Der Absender dieser failed mail ist envelop-from: <> Die Fehlermeldung: Leider: Freies Format Korrelation versendete Mail mit Failed Mail? Sonst: Offen für Spam

Das Mehrempfänger-Problem In einer SMTP-Transaktion kann eine Mail an mehrere Empfänger eingeliefert werden. Wie teilt SMTP dem Absender mit, wenn einer der Empfänger die Nachricht nicht will, der andere aber explizit? Per-Recipient Data Response Wurde nie ein offizieller Standard http://www.ietf.org/mail-archive/web/ietfsmtp/current/msg07655.html

Das Key-Management-Problem Bei vielen Verfahren werden Crypto-Verfahren verwendet Diese Verfahren verwenden öffentliche und private Schlüssel Sicher erzeugen, verwalten, speichern und übertragen

Das Backscatter-Problem Spammer versendet viele gefälschte Mails Aber leider mit einem gefälschten Absender meiner Domain? Und die Empfängeradressen sind ungültig Viele Failed Mail Oder empörte Empfänger In der Praxis selten eskaliert (Spammer wollen nicht auffallen)

Das Silent Discard-Problem Eingehende Mail wird als Spam erkannt Löschen, ohne sie dem Absender zurückzuschicken? Wegspeichern in Spampostfach/Quarantäne? Wie lange? Open Source Software, die diese Funktion bereitstellt?

Juristische Probleme Einige Juristen sagen, dass eine Aufbewahrungspflicht für Geschaeftskommunikation besteht. Laufzeit: 10-11 Jahre Auch fuer Spam? Muss man daher alle Spam annehmen? Hört sich etwas abseitig an Aber: Wo kein Kläger, da kein Richter

Das Markt-Problem Mailserver-Betrieb wird so komplex, dass sich der Markt auf Grossanbieter konzentriert. Der Markt regelt alles, nur nicht immer im Interesse Aller Verbraucherschutz

Lösungsskizze: Spam-Polizei Staatliche Stelle Missbrauchsreports sammeln (freiwillig!) automatische Verfahren (Open Source usw) Nach Häufigkeit ordnen Die grössten Verstösse...... zur Quelle verfolgen offen, nicht verdeckt Im Inland: abstellen International: kooperieren Die Marktlösung ist volkswirtschaftlich teurer

Zum Nachlesen https://www.heise.de/artikelarchiv/ix/2015/07/110 Mailwehr Vielen Dank für Ihre Aufmerksamkeit

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback