6. Tagung der DFN-Nutzergruppe Hochschulverwaltung E-Mail-Organisation: Viren und SPAM-Abwehr Jürgen Weiß Universität Oldenburg Hochschulrechenzentrum juergen.weiss@uni-oldenburg.de

Security is a process, not a product Sicherheit Security is a process, not a product Bruce Schneier Siehe http://www.counterpane.com

Virus -Wall E-Mail hat die Diskette als Hauptübertragungsweg von Computer- schädlingen aller Art ( Viren, Würmern und Trojanischen Pferden) längst abgelöst. Zur Zeit sind ca. 80000 Viren bekannt; die Anzahl nimmt ständig zu. Betroffen sind vorwiegend Windows-basierte Rechner. Die verschiedenen Typen von Viren reichen von harmlos bis extrem bösartig. 5 Exemplare verursachen 95% aller Infektionen An der Universität Oldenburg gehen im Monat ca. 1200 infizierte Mails ein Eine absolute Sicherheit wird auch durch die Anwendung von Viren- Suchprogrammen nicht erreicht !

Viren, Würmer, Trojaner und Hoaxes Viren reproduzieren sich, indem sie den eigenen Programmcode in ein Wirtsprogramm einfügen. Das infizierte Programm übernimmt dann die Verbreitung des Virus. Würmer sind eigenständig ablaufende Programme, die sich über die Infra- struktur des Netzes ausbreiten. Sie infizieren keine Wirtsprogramme, können aber durchaus andere Programme benutzen. Trojanische Pferde sind Programme, die gewisse Funktionen vorgeben, gleichzeitig aber unerwünschte Nebenwirkungen haben. Im Gegensatz zu Viren und Würmern existiert keine Vermehrungsfunktion. Sie sind auf manuelle Weitergabe durch den Anwender angewiesen oder werden von Crackern auf einen System installiert. Warnung vor Viren, die keine sind - sogenannte Hoaxes. Diese Warnung stellt den eigentlichen Virus dar. Sie verunsichert Anwender, fordert auf, harmlose Dateien zu löschen oder initiiert Kettenbriefe.

Begriffe MUA - Mail User Agent dient dem Anwender zur Erstellung der Mail. Ähnlich Papier und Stift. ( Outlook Express, Netscape, Pine, Pmail ) MTA - Mail Transport Agent ist für die Bearbeitung und Weiterleitung der Mails verantwortlich. Ähnlich einem Postamt. ( sendmail, postmail, exim ). LDA - Local Delivery Agent ist für die Ablage der E-Mail auf dem lokalen System zuständig. Relaying - Weiterleiten von Mails zwischen den Mail-Servern MUA MTA MTA MTA LDA Relaying

Mail Auslieferung im Detail Der Anwender konfiguriert seinen MUA ( Outlook Express, Netscape, usw ). Dabei trägt er einen Server (SMTP-Gateway) für ausgehende Mails, und eine IMAP/ POP-Server für eingehende Mails ein. Der Anwender erstellt eine Nachricht für meier@uni-oldenburg.de und betätigt den "Senden" - Button Der MUA baut eine TCP-Verbindung auf Port 25 zum SMTP-Gateway auf. Auf dem SMTP-Gateway horcht ein MTA auf Port 25 und beantwortet den Verbindungsaufbau. Es werden Empfängeradresse und Message-Header sowie Message-Body übertragen. Der Client baut die Verbindung ab und informiert über mögliche Fehler.

Mail Auslieferung im Detail Der MTA speichert die Mail zwischen . Hier wartet sie auf ihre weitere Verarbeitung. Zur Weiterverabeitung wird der Domainteil von der EMAIL-Addrese separiert. Der MTA führt eine DNS-MX Anfrage für uni-oldenburg.de an den Name-Server durch, der für diese Domaine authorisiert ist und erhält den Servernamen, z.B. mailsrv1.uni-oldenburg.de und die entsprechende IP-Adresse 134.106.87.10 zurück. Der MTA baut eine Verbindung zum Port 25 auf 134.106.87.10 auf. An den dort laufenden MTA werden Empfängeradresse und Message-Header sowie Message-Body übertragen.

Mail Auslieferung im Detail Der MTA auf mailsrv1.uni-oldenburg.de überprüft, ob er für die Domaine uni-oldenburg.de lokaler Server ist und sucht die Benutzerkennung meier ( /etc/passwd, NIS,LDAP). Der LDA auf mailsrv1.uni-oldenburg.de hängt die Mail an die persönliche Mailbox des Benutzers meier an ( /var/mail/meier). Der Auslieferungsvorgang ist damit abgeschlossen. Wie die Mail auf den Rechner des einzelnen Benutzers kommt, ist nicht Aufgabe des MTA.

Simple Mail Transfer Protokoll – SMTP Versenden von Mail an Port 25 # telnet mailsrv1.hrz.uni-oldenburg.de 25 Trying 134.106.87.10... Connected to mailsrv1.hrz.uni-oldenburg.de (134.106.87.10). Escape character is '^]'. 220 mailsrv1.hrz.uni-oldenburg.de ESMTP Sendmail 8.12.8/8.12.8; Mon, 5 May 2003 11:22:17 +0200 HELO test 250 mailsrv1.hrz.uni-oldenburg.de Hello alibaba.hrz.uni-oldenburg.de [134.106.68.247], pleased to meet you MAIL FROM: bill.gates@microsoft.com 250 2.1.0 bill.gates@microsoft.com... Sender ok RCPT TO: 12345678@uni-oldenburg.de 250 2.1.5 12345678@uni-oldenburg.de... Recipient ok DATA 354 Enter mail, end with "." on a line by itself from: george.bush@whitehouse.gov to: tony-blair@prime-minister.co.uk subject: Big Deal Hi Tony lets make a big deal ! . 250 2.0.0 h459MHXC014811 Message accepted for delivery quit 221 2.0.0 mailsrv1.hrz.uni-oldenburg.de closing connection Connection closed by foreign host.

Ablage der Mail auf dem Server From bill.gates@microsoft.com Mon May 5 11:32:14 2003 Return-Path: <bill.gates@microsoft.com> Received: from test (alibaba.hrz.uni-oldenburg.de [134.106.68.247]) by mailsrv1.hrz.uni-oldenburg.de (8.12.8/8.12.8) with SMTP id h459MHXC014811 for 12345678@uni-oldenburg.de; Mon, 5 May 2003 11:23:54 +0200 Date: Mon, 5 May 2003 11:22:17 +0200 Message-Id: <200305050923.h459MHXC014811@mailsrv1.hrz.uni-oldenburg.de> from: george.bush@whitehouse.gov to: tony-blair@prime-minister.co.uk subject: Big Deal Hi Tony lets make a big deal !

Mail aus Sicht des Anwenders

Virenprüfung im Detail Wo können wir bei der Prüfung ansetzen ? MUA -Der Benutzer installiert auf seinem Rechner einen Virenscanner. LDA - Das Programm auf dem Mail-Server, das für die lokale Ablage zuständig ist wird gegen einen Virenscanner ausgetauscht oder damit kombiniert. MTA - Dem MTA wird ein SMTP-Gateway vorgeschaltet, der an seiner Stelle auf Port 25 horcht, auf Viren scannt und dann an dem originären MTA weiterleitet.

MUA - Prüfung auf dem lokalen Rechner Realisierung: Es existieren eine Vielzahl von käuflichen und freien Virenscannern ( McAfee, Trend Micro, H+BEDV, Sophos uvm. ) Vorteile: Es werden alle Dateien - nicht nur Mails - überprüft Nachteile: Nicht alle Anwender installieren Virenscanner Unterlassene Updates der Virendatenbank wiegen den Anwender in scheinbarer Sicherheit Lizenzkosten

LDA - Prüfung der lokalen Mail Realisierung: Es steht eine größere Anzahl von Programmen zur Verfügung. Bespielhaft seien Amavis (A Mail Virus Scanner ) und virge zu nennen Vorteile: Überprüfung der Mails an einer zentralen Stelle Update der Virendatenbank an zentraler Stelle Nachteile: Erhöhter Konfigurationsaufwand. Erfordert detaillierte Kenntnisse über das Zusammenspiel zwischen MTA und LDA. Es werden nur lokale Mails geprüft. Bei Relaying unterbleibt eine Prüfung. Performance Probleme Lizenzkosten ( 2 EUR pro Mailbox - ca. 30 000 EUR )

LDA Performance VirenDB Klassische Arbeitsweise Der Scanner lädt einmalig dieVirenDB Es werden viele Dateien geprüft. Scanner Für jede zu analysierende Mail wird der Scanner gestartet und die Datenbank erneut geladen Die Scanner werden häufig unter Nutzung von Script-Sprachen (Perl) eingebunden VirenDB VirenDB VirenDB Scanner Scanner Scanner

MTA - SMTP Gateway Realisierung: Vorteile: Nachteile: Kommerzielle Lösungen von Sophos, Trend Micro Vorteile: Überprüfung der Mails an einer zentralen Stelle Update der Virendatenbank an zentraler Stelle Einfache Installation Nachteile: Kann in der Default-Konfiguration als Open-Mail-Relay genutzt werden Lizenzkosten

MTA - SMTP Gateway MTA 25 Auf dem Server wird der MTA ersetzt durch das SMTP-Gateway, das den Vorgang des Virenscannens übernimmt. Die Virendatenbank wird einmal beim Startup durch das SMTP-Gateway geladen. SMTP Gateway MTA 25 925

Die obige Konfiguration ist an der Universität Oldenburg realisiert. MTA - SMTP Gateway MTA SMTP Gateway MTA 25 25 925 Ein SMTP-Gateway besitzt selten die volle Funktionalität eines MTAs. Um diese auf dem lokalen Server zu gewährleisten, ist es ratsam, den ausgetauschten MTA nachzuschalten. Um den Mißbrauch als Open-Mail-Relay zu verhindern, ist es zwingend erforderlich einen MTA vorzuschalten, der eine komplexe Zugriffslisten- verwaltung erlaubt. Es ist notwending die Virusdatenbank täglich zu aktualisieren ! Die obige Konfiguration ist an der Universität Oldenburg realisiert.

MTA - SMTP Gateway in Oldenburg 25 25 925 mailgate.uni-oldenburg.de smtpsrv1.uni-oldenburg.de Mailgate ( Linux RedHat 8.0) MTA sendmail konfiguriert als nullclient Smtpsrv1 (Linux RedHat 8.0) SMTP-Gateway mmsmtpd Version 1.2.2 der Firma Sophos MTA sendmail Vorteil: Da über die Universität Braunschweig eine Landeslizenz mit der Firma Sophos ausgehandelt wurde entstehen nahezu keine Zusatzkosten.

Funktionalitätsprüfung Testvirus: eicar.com ( http://www.eicar.org ) Völlig ungefährliche ASCII Datei, deren Fingerprint von jedem Scanner erkannt wird. X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Was passiert bei einer Infektion ? Wird eine infizierte Mail gefunden, so werden folgende Aktionen durchgeführt Der Absender erhält eine Mail, dass sein System infiziert ist Information, um welchen Virus es sich handelt Der Empfänger erhält eine Mail, dass ihm eine infizierte Mail zugestellt werden sollte. Es wird häufig zur Diskussion gestellt, ob dies notwendig ist ! Information, um welchen Virus es sich handelt Das Subject der Mail Wer der Absender der Mail war Auf dem SMTP-Gateway-Server werden Log-Dateien abgelegt Information, um welchen Virus es sich handelt Zeitpunkt des Empfangs und des Servers, von dem die Mail kam Der Absender und der Empfänger Die infizierte Mail wird in Quarantäne genommen Optional werden postmaster des sendenden und empfangenden Servers informiert

Log - Datei <log logname="action" tid="34851" time="Fri Feb 22 13:35:01 2002" > Message quarantined<P/> Refer to /var/log/mmsmtp/quarantine/qrt.XX6CslZW<P/> Job description: Client: mailgate.uni-oldenburg.de [134.106.87.6] Server: smtpsrv1.hrz.uni-oldenburg.de [134.106.87.8]:925 Sender: <3demons_fire@mail.ru> Recipients: <Alina.Wolska@uni-oldenburg.de> Email data: MessageID: <E16eEug-000Iku-00@mx1.mail.ru> From: 3demons_fire <3demons_fire@mail.ru> To: Alina.Wolska@uni-oldenburg.de Cc: Subject: Please try again Scanning part [] Virus identity found: W32/Klez-G </log>

Viren Bemerkung Eine infizierte Mail enthält für gewöhnlich keine für den Empfänger relevante Information. Die Infektion erfolgt durch ungeprüfte Ausführung von Mail-Anhängen (attachments).

SPAM Mail Belästigung durch unverlangt zugeschickte Mails Spam, eine Kurzform für "Spiced Pork and Ham", bezeichnet eigentlich ein rechteckiges und in Dosen gepreßtes Frühstücksfleisch. Seine unrühmliche Karriere als Metapher für Massenversand jeder Art verdankt die Speise einem Sketch der britischen Komiker Monty Pyton. Darin müssen Besucher eines Restaurants einsehen, daß es vor SPAM kein Entrinnen gibt. Adressen stammen aus einschlägigen News-Groups, die aus ihrer Affinität zu bestimmten Themen keinen Hehl machen. Daher fällt eine Zuordnung (Motorradfahrer, Vegetarier, Linux-Anwender) nicht schwer. Es werden Datenbanken mit 500000 eMail-Adressen aufgelistet nach Themen inklusive Software angeboten. Laut Gerichtsurteil gelten in Newsgruppen publizierte eMail-Adressen als Allgemeingut der Internet-Benutzer.

SPAM Source-Filter Mails von gefälschten, nicht existierenden Domainen ablehnen Blacklists enthalten Domainen von denen SPAM-Mails verschickt wurden Nutzen Anwender diesen Server, so wird auch deren Mail nicht zugestellt Blacklists sind leicht zu umgehen Der Eintrag in eine Blacklist ist nicht immer kontrolliert Die Austragung aus einer Blacklist ist schwierig Open Relay-Blacklists enthalten Mail-Server die von überall Mails entgegen nehmen. Die Unzahl von Blacklists, die verwirrende Vielfalt und die zunehmende Zahl von Unschuldigen die geblockt werden, führen zu dem Schluß, daß allein damit kein sicherer SPAM-Schutz möglich ist.

SPAM Content-Filter Suche nach Auffälligkeiten im Message-Header und Message-Body Money, rich, big deal Teens, Young, Viagra Kein Betreff, grosse Fonts, Betreff enthält mehrere Ausrufezeichen Es wird der gesamte Inhalt einer Mail überprüft. Der Datenschutzbeauftragte ist im Vorfeld zu informieren.

SPAM-Filter im Detail Wo können wir bei der Prüfung ansetzen ? MUA -Der Benutzer abonniert mehrere Blacklists. LDA - Das Programm auf dem Mail-Server, das für die lokale Ablage zuständig ist wird mit dem SPAM-Filter kombiniert. MTA - Der MTA wird mit einem SPAM-Filter kombiniert.

MUA -Der Benutzer übernimmt die Filterung Realisierung: Es existiert eine Vielzahl von freien und kommerziellen Blacklists ( http://spamcop.net/bl.shtml, http://info.webtv.net/spam) Vorteile: Schnell zu realisieren Nachteile: Welche Liste erbringt die erwünschte Leistung Blacklists sind relativ leicht zu umgehen Es werden unter Umständen Unschuldige geblockt

LDA - Filterung der lokalen Mail Realisierung: Einsatz des OpenSource Programms SpamAssassin http://www.spamassassin.org Vorteile: Selektive Filterung für einzelne Anwender möglich Einverständniserklärung des Empfängers möglich Filter werden zentral zur Verfügung gestellt Entscheidungshilfe für Anwender Nachteile: Erhöhter Konfigurationsaufwand. Es werden nur lokale Mails geprüft. Bei Relaying unterbleibt die Filterung. Performance Probleme

MDA – zentrale Filterung Mail Realisierung: Einbinden des SPAM-Filters in die MDA-Konfiguration Für sendmail geschieht dies durch milter Vorteile: Filterung aller Mails Nachteile: Erhöhter Konfigurationsaufwand oder Programmieraufwand. Keine selektive Filterung für einzelne Anwender möglich. Keine Einverständniserklärung des einzelnen Empfängers möglich Datenschutzrechtlich umstritten

SpamAssassin – Arbeitsweise 1 Führt mittels vieler Module Tests an einer Mail durch und bewertet jeden Test nach einem Punktesysteme. Je mehr Punkte eine Mail erhält, um so grösser ist die Wahrscheinlichkeit, dass es sich um SPAM handelt. Die Liste der Tests ist für jeden offen einsehbar unter http://www.spamassassin.org/tests.html Über eigene Blacklists können Domainen automatisch abgewiesen werden Whitelists ermöglichen die Zustellung aus SPAM-Domainen

SpamAssassin Filter From moneyekmitdwv@cameronhosting.com Sun May 4 13:34:46 2003 Return-Path: <moneyekmitdwv@cameronhosting.com> Received: from smtpsrv1.hrz.uni-oldenburg.de (smtpsrv1.hrz.uni-oldenburg.de [134.106.87.8]) by mailsrv1.hrz.uni-oldenburg.de (8.12.8/8.12.8) with ESMTP id h44BYkXC001254 for <weiss@uni-oldenburg.de>; Sun, 4 May 2003 13:34:46 +0200 Received: from smtpsrv1.hrz.uni-oldenburg.de (localhost.localdomain [127.0.0.1]) by smtpsrv1.hrz.uni-oldenburg.de (8.12.8/8.12.8) with ESMTP id h44BZSVa000455 for <weiss@uni-oldenburg.de>; Sun, 4 May 2003 13:35:28 +0200 Received: from mailgate.uni-oldenburg.de ([134.106.87.6]) by smtpsrv1.hrz.uni-oldenburg.de (MailMonitor for SMTP v1.2.2 ) ; Sun, 4 May 2003 13:35:28 +0200 (CEST) Received: from mail146.yankeweb.org ([198.79.131.146]) by mailgate.uni-oldenburg.de (8.12.8/8.12.8) with SMTP id h44BZ6gb002961 for <weiss@uni-oldenburg.de>; Sun, 4 May 2003 13:35:06 +0200 To: weiss@uni-oldenburg.de Date: Sun, 4 May 2003 08:49:59 -0500 Message-ID: <1052052599.4264@mail146.yankeweb.org> X-Mailer: Mulberry/2.0.6b4 (Linux/x86) From: moneyjwbqfoiq@cameronhosting.com Subject: [SPAM] Make Extra Money filling out surveys!!! isoxgofh X-Spam-Status: Yes, hits=12.8 required=5.0 tests=PLING_PLING,NO_REAL_NAME,PLING,YOUR_INCOME, RCVD_IN_OSIRUSOFT_COM,X_OSIRU_SPAMWARE_SITE version=2.31

Subject: [SPAM] Make Extra Money filling out surveys!!! isoxgofh X-Spam-Status: Yes, hits=12.8 required=5.0 tests=PLING_PLING,NO_REAL_NAME,PLING,YOUR_INCOME, RCVD_IN_OSIRUSOFT_COM,X_OSIRU_SPAMWARE_SITE version=2.31 X-Spam-Flag: YES X-Spam-Level: ************ X-Spam-Checker-Version: SpamAssassin 2.31 (devel $Id: SpamAssassin.pm,v 1.94.2.2 2002/06/20 17:20:29 hughescr Exp $) SPAM: ------------- Start der SpamAssassin Auswertung --------------- SPAM: SPAM: Diese Mail ist wahrscheinlich Spam. Die Orginal-Nachricht wurde SPAM: geaendert, so das Sie aehnliche Mails in der Zukunft besser SPAM: erkennen und blockieren koennen. SPAM: Weitere Detals finden Sie unter der URL http://spamassassin.org/tag/. SPAM: Details der Inhaltsanalyse: (12.8 Punkte, 5 benoetigt) SPAM: PLING_PLING (0.8 points) Subject: enthaelt mehrere Ausrufezeichen SPAM: NO_REAL_NAME (0.5 points) From: enthaelt keinen echten Namen SPAM: PLING (0.1 points) Subject: enthaelt ein Ausrufezeichen SPAM: YOUR_INCOME (4.4 points) BODY: Doing something with my income SPAM: RCVD_IN_OSIRUSOFT_COM (2.0 points) RBL: Empfangen von einem Relais in der relays.osirusoft.com Liste SPAM: [RBL check: found 146.131.79.198.relays.osirusoft.com., type: 127.0.0.6] SPAM: X_OSIRU_SPAMWARE_SITE (5.0 points) RBL: DNSBL: Sender ist eine Spamware-Site oder -Hersteller SPAM: ---------------- Ende der SpamAssassin Auswertung ----------------- How would you like to earn $50 for completing a short survey? What about $100 for an hour of your time participating in a focus group? http://www.getspacenow.com/opps55/

SpamAssassin spamd spamc Der Daemon spamd wird einmal gestartet Der Daemon lädt die SPAM-Tests procmail Das Kommando spamc prüft die Mail procmail ruft bei jeder Mailzustellung spamc auf. Für jede zu analysierende Mail wird das Kommando gestartet Wahlweise kann eine als SPAM identifizierte Mail in ein gesonderten Ordner abgelegt werden

Eingabe durch Anwender

Eingabe durch Anwender

Warum Open Source ? Keine Lizenzkosten Source Audit Da die Programme als Quelle vorliegen, können Sie die Funktionalität exakt überprüfen Source Modification Sie können Teile der Quelle modifizieren, falls bestimmte Funktionen nicht ihren Vorgaben entsprechen Validation Da die Programme als Quelle vorliegen, können Sie genau definieren, was ein Programm kann oder nicht kann. Open Source System sind zu "härten" - gegen Eindringlinge zu schützen.

Zusätzliche Sicherheitsaspekte Sicherung auf der Nachrichtenebene durch Verschlüsselung Benutzung von PGP (Pretty Good Privacy ) oder S/MIME - wichtig ! Erhöhung der Vertraulichkeit im Authentifizierungsprozeß durch imaps Sicherung des Datenverkehrs von Server zu Server Kommunikation über TLS-Kanäle ( Transport Layer Security ) Erhöhung der Vertraulichkeit im Authentifizierungsprozeß durch imaps Über MX Records die Mailserver in Ihrer Domaine zwingen physik.uni-oldenburg.de IN MX mailgate.uni-oldeburg.de Selektives Sperren von Port 25 auf dem Zugang zum Internet ( Firewall )

Danke für die Geduld Fragen ???