• Home

  • Documents

  • EHLO - IT-SECX · • Domaincheck policy (adkim, aspf; default relaxed) •relaxed: organisational...
21
November 2014 Wolfgang Breyha EHLO IT-SeCX 2014

EHLO - IT-SECX · • Domaincheck policy (adkim, aspf; default relaxed) •relaxed: organisational domain match •strict: FQDN match. November 2014 Wolfgang Breyha DMARC - Nutzen

  • Upload
    others

  • View
    6

  • Download
    0

Embed Size (px)

Citation preview

Page 1: EHLO - IT-SECX · • Domaincheck policy (adkim, aspf; default relaxed) •relaxed: organisational domain match •strict: FQDN match. November 2014 Wolfgang Breyha DMARC - Nutzen

November 2014 Wolfgang Breyha

EHLOIT-SeCX 2014

Page 2: EHLO - IT-SECX · • Domaincheck policy (adkim, aspf; default relaxed) •relaxed: organisational domain match •strict: FQDN match. November 2014 Wolfgang Breyha DMARC - Nutzen

November 2014 Wolfgang Breyha

Vorstellung

Wolfgang Breyha

Beruflicher Werdegang• 1997: Netway Communications

• 2001: UTA

• 2004: Tele2

• 2005: ZID Universität Wien

root am ZID der Universität Wien

Verantwortlich für Entwicklung und Betrieb des Linux Mailsystems

Page 3: EHLO - IT-SECX · • Domaincheck policy (adkim, aspf; default relaxed) •relaxed: organisational domain match •strict: FQDN match. November 2014 Wolfgang Breyha DMARC - Nutzen

November 2014 Wolfgang Breyha

Mailsystem der Universität Wien

• auf Open Source basierende Eigenentwicklung abgestimmt auf die Bedürfnisse der Uni Wien

• ~ 100.000 IMAP Mailboxen• ~ 25 TB• ~ 170 Mio. E-Mails

• Spamfilter für Institutsmailserver

• ~ 400.000 - 600.000 Connections/Tag

• ~ 125.000 (extern) + 250.000 (intern) Mails/Tag

• 21 virtuelle Maschinen

• IPv6 seit 2006

Page 4: EHLO - IT-SECX · • Domaincheck policy (adkim, aspf; default relaxed) •relaxed: organisational domain match •strict: FQDN match. November 2014 Wolfgang Breyha DMARC - Nutzen

November 2014 Wolfgang Breyha

Agenda

• SPF/DKIM/DMARC

• TLS - best practices

• Phishing

Page 5: EHLO - IT-SECX · • Domaincheck policy (adkim, aspf; default relaxed) •relaxed: organisational domain match •strict: FQDN match. November 2014 Wolfgang Breyha DMARC - Nutzen

November 2014 Wolfgang Breyha

SPF - RFC 7208 (ehem. 4408)

• DNS TXT Records definieren legitimierte Mailrelays für fragliche Domain

• $ host -t txt sproing.comsproing.com descriptive text "v=spf1 a mx ~all"

• $ host -t txt utanet.atutanet.at descriptive text "v=spf1 ip4:213.90.36.0/25 ... ?all"

• Nutzen von SPF leider gering

• Aufwand durch SRS erheblich erhöht

• RFC 7208 streicht SPF RR. Nur noch TXT RR

Page 6: EHLO - IT-SECX · • Domaincheck policy (adkim, aspf; default relaxed) •relaxed: organisational domain match •strict: FQDN match. November 2014 Wolfgang Breyha DMARC - Nutzen

November 2014 Wolfgang Breyha

DKIMDomainKeys Identified Mail

• http://www.dkim.org/

• gmane.ietf.dkim

• Erweiterte Kombination aus• Yahoo! DomainKeys• CISCO Identified Mail

• Erster Baustein im Mai 2007 => RFC 4871

• Author Domain Signing Practices (ADSP)

seit August 2009 => RFC 5617 => deprecated

• neueste Version RFC 6376

http://www.dkim.org/
Page 7: EHLO - IT-SECX · • Domaincheck policy (adkim, aspf; default relaxed) •relaxed: organisational domain match •strict: FQDN match. November 2014 Wolfgang Breyha DMARC - Nutzen

November 2014 Wolfgang Breyha

DKIMtechnisches

• signiert Teile des Headers und den Body

• Signatur im MailheaderDKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;

d=univie.ac.at; s=rev1; h=Message-ID:Date:From:MIME-Version:To:Subject:Content-Type:Content-Transfer-Encoding; bh=CHKp57xvG+TkLtX7hfa7jYenETIpLWpRR7c1cM4GJ3E=; b=bxs//cYqDJTBuZ93e2rmpZyyVmpHP....

• PublicKey als DNS TXT# host -t txt rev1._domainkey.univie.ac.atrev1._domainkey.univie.ac.at descriptive text "v=DKIM1\; k=rsa\; g=*\; s=email\; t=y\; p=MIGfMA.....“

• signiert bzw. verifiziert wird durch border MTAs.

Page 8: EHLO - IT-SECX · • Domaincheck policy (adkim, aspf; default relaxed) •relaxed: organisational domain match •strict: FQDN match. November 2014 Wolfgang Breyha DMARC - Nutzen

November 2014 Wolfgang Breyha

Derzeitiger Nutzen von DKIM

• Uni Wien signiert seit Jänner 2008 ausgehende Mails

• eingehende Mails mit univie.ac.at Domain werden teils auf gültige Signaturen geprüft um Phishing zu unterbinden. zB.: [email protected]

• gezielte Deaktivierung von Spamfiltern für große Bulksender mit DKIM Signaturen

• SpamAssassin ruleset

• http://www.dkim-reputation.org/

[email protected] verifiziert eingehende Mail und signiert die Antwort

mailto:[email protected]
http://www.dkim-reputation.org/
mailto:[email protected]
Page 9: EHLO - IT-SECX · • Domaincheck policy (adkim, aspf; default relaxed) •relaxed: organisational domain match •strict: FQDN match. November 2014 Wolfgang Breyha DMARC - Nutzen

November 2014 Wolfgang Breyha

DMARC

• http://www.dmarc.org/

• Im Grunde eine Kombination von DKIM und SPF

• Wird von Google, Facebook, Yahoo & Co getrieben

• IETF Draft

• policy in TXT RR _dmarc.domain.tld$ dig +short _dmarc.univie.ac.at TXT"v=DMARC1\; p=none\; rua=mailto:[email protected]"

• automatische XML reports an in der policy definierte Adressen

http://www.dmarc.org/
Page 10: EHLO - IT-SECX · • Domaincheck policy (adkim, aspf; default relaxed) •relaxed: organisational domain match •strict: FQDN match. November 2014 Wolfgang Breyha DMARC - Nutzen

November 2014 Wolfgang Breyha

DMARC - Verifzierungsschritte

• RFC 5322 From: Domain

• DMARC TXT RR? nein => no policy, sonst...

• DKIM-Signaturen werden geprüft

• SPF check

• Wenn eine verifizierte DKIM-Signatur (d=) zu DMARC Domain passt => pass

• Wenn die SPF Domain (envelope from) zu DMARC passt und der SPF check “pass” ergeben hat => pass

• Domaincheck policy (adkim, aspf; default relaxed)• relaxed: organisational domain match• strict: FQDN match

Page 11: EHLO - IT-SECX · • Domaincheck policy (adkim, aspf; default relaxed) •relaxed: organisational domain match •strict: FQDN match. November 2014 Wolfgang Breyha DMARC - Nutzen

November 2014 Wolfgang Breyha

DMARC - Nutzen

• Aggregation Reports ermöglichen Einsicht wie die eigene Domain bei Empfängern gesehen wird

• Auswertungen mit Hilfe von Tools von libopendmarc

• Auswertungen mittels externen Websites:• https://dmarcian.com/• http://www.dmarcanalyzer.com/• http://dmarc.postmarkapp.com/

• Teilnahme am DMARC Projekt der Fakultät für Informatik der Uni Wien

https://dmarcian.com/
http://www.dmarcanalyzer.com/
Page 12: EHLO - IT-SECX · • Domaincheck policy (adkim, aspf; default relaxed) •relaxed: organisational domain match •strict: FQDN match. November 2014 Wolfgang Breyha DMARC - Nutzen

November 2014 Wolfgang Breyha

DMARC - Probleme

• p=reject vs. Mailinglisten

• für alte Domains mit Endkunden nur p=none sinnvoll

• kann Missbrauch von Marken-Domains verhindern, nicht jedoch das “kreative” faken ala “paypa1.com”

• Somit kaum wirksam gegen Phishing

Page 13: EHLO - IT-SECX · • Domaincheck policy (adkim, aspf; default relaxed) •relaxed: organisational domain match •strict: FQDN match. November 2014 Wolfgang Breyha DMARC - Nutzen

November 2014 Wolfgang Breyha

STARTTLS - RFC 3207

• trotz end2end crypto mittels PGP oder S/MIME liegen die Metadaten/Header und das Envelope offen.

• opportunistic TLS einfach umzusetzen• ausgehend: nur MTA support notwendig• eingehend: SSL Zertifikat + Konfiguration

• mit geringem Mehraufwand weiteres Tuning möglich

• auf unterschiedliche Rollen eines Mailservers achten• MSA – Submission Agent• MTA – Transfer Agent eingehend MTA->MTA• Client – ausgehend MTA->MTA

• Empfehlungen auf https://www.bettercrypto.org/

https://www.bettercrypto.org/
Page 14: EHLO - IT-SECX · • Domaincheck policy (adkim, aspf; default relaxed) •relaxed: organisational domain match •strict: FQDN match. November 2014 Wolfgang Breyha DMARC - Nutzen

November 2014 Wolfgang Breyha

Ausblick DANE

• opportunistic TLS ist leicht angreifbar• forged MX RR• MITM ... downgrade to no encryption

– CISCO smtp fixups?• keine sinnvolle Verifikation der Zertifikate möglich

• Lösung: DANE for SMTP• MX und A RRs durch DNSSEC abgesichert• DANE fordert zwingend TLS

• Support in Postfix

• Exim 4.85 wird DANE unterstützen

• ....stay tuned;-)

Page 15: EHLO - IT-SECX · • Domaincheck policy (adkim, aspf; default relaxed) •relaxed: organisational domain match •strict: FQDN match. November 2014 Wolfgang Breyha DMARC - Nutzen

November 2014 Wolfgang Breyha

Phishing - Beispiele

der Klassiker:der Klassiker:

Dear user

your email has exceeded 2 GB, which is created by Webmaster now at 2.30GB, you cannot Send or receive new messages until you check your account. Complete the form to verify your account.

Please complete the details below to confirm your account

(1) E-mail:(2) Name:(3) Password:(4) Confirm Password:

thank yousystem administrator

Page 16: EHLO - IT-SECX · • Domaincheck policy (adkim, aspf; default relaxed) •relaxed: organisational domain match •strict: FQDN match. November 2014 Wolfgang Breyha DMARC - Nutzen

November 2014 Wolfgang Breyha

Google-Translate macht es möglich:Google-Translate macht es möglich:

Sehr geehrter Nutzer

Ihre E-Mail hat 2 GB, die durch Webmaster erstellt wird jetzt bei 2.30GB, kann man nicht senden oder neue Mitteilungen empfangen, bis Sie Ihr Konto zu überprüfen überschritten. Füllen Sie das Formular, um Ihr Konto zu überprüfen.

Bitte füllen Sie die Details unten, um Ihr Konto zu bestätigen

(1) E-mail:(2) Name:(3) Passwort:(4) Passwort bestätigen:

dankeSystemadministrator

Page 17: EHLO - IT-SECX · • Domaincheck policy (adkim, aspf; default relaxed) •relaxed: organisational domain match •strict: FQDN match. November 2014 Wolfgang Breyha DMARC - Nutzen

November 2014 Wolfgang Breyha

Sehr geehrter Nutzer,

Wir haben zu 4 GB aufgerüstet Raumfahrt Bitte loggen Sie sich in Ihr Konto, um zu überprüfen, e-space. Ihr Konto ist noch offen für Sie und senden Sie sie an E-Mails empfangen. HIER KLICKEN zur Bestätigung der Angaben und Aktualisierung. Hinweis dass die Nichteinhaltung dieser Mitteilung zu aktualisieren würde zur Entlassung führen Ihres Benutzerkontos.

Mit freundlichen Grüßen,Mail-Account Service Team Management.Vielen Dank für Ihre Mitarbeit.Copyright © 2013 Helpdesk Center Internet alle Rechte vorbehalten.

Page 18: EHLO - IT-SECX · • Domaincheck policy (adkim, aspf; default relaxed) •relaxed: organisational domain match •strict: FQDN match. November 2014 Wolfgang Breyha DMARC - Nutzen

November 2014 Wolfgang Breyha

From: "Univie.Ac.At Online Services." <[email protected]>To: undisclosed-recipients:;Subject: Attn: univie.ac.at userReply-To: <[email protected]>

We are pleased to inform you that our univie.ac.at Admin Centeris closing all unused accounts because of the congestion in our mail server.To confirm your account active, you are required to complete your detailsbelow and send it to us. This information would be required to verify youraccount to avoid being closed. Please click on the reply button;

Full name:User Name:Email:Password:ReconfirmPassword:

Thank you for your understanding.(c) Copyright univie.ac.atWeb Admin 2013 All Rights Reserved.

------------------------------------------------Powered by BigRock.comPowered by BigRock.com

Page 19: EHLO - IT-SECX · • Domaincheck policy (adkim, aspf; default relaxed) •relaxed: organisational domain match •strict: FQDN match. November 2014 Wolfgang Breyha DMARC - Nutzen

November 2014 Wolfgang Breyha

Uni Wien vs. Phishing

• seit 2010 starke Zunahme von Phishing und Accountmißbrauch.

• gestohlene Accounts werden für ausgehende Spamwellen und Phishingattacken genutzt.

• Teilweise werden Mailboxen komplett entleert.

• Auffällige Verhaltensmuster müssen erkannt werden und automatisiert Schutzmaßnahmen auslösen.

• Andernfalls ist jegliche gute Reputation binnen einer Nacht zerstört.

Page 20: EHLO - IT-SECX · • Domaincheck policy (adkim, aspf; default relaxed) •relaxed: organisational domain match •strict: FQDN match. November 2014 Wolfgang Breyha DMARC - Nutzen

November 2014 Wolfgang Breyha

Antimeasures am ZID

• laufendes, jedoch nicht protokollierendes Monitoring bekannter Muster

• Anzahl Mails pro Absender in 30 Minuten• Anzahl Absenderadressen pro IP in 30 Min.• Aus welchen Ländern wird eine UserID

innerhalb von 5 Minuten erfolgreich verwendet

• Bei Überschreitung des eingestellten Thresholds werden Admins verständigt und automatisiert Schutzmaßnahmen eingeleitet.

Page 21: EHLO - IT-SECX · • Domaincheck policy (adkim, aspf; default relaxed) •relaxed: organisational domain match •strict: FQDN match. November 2014 Wolfgang Breyha DMARC - Nutzen

November 2014 Wolfgang Breyha

LinksDMARC Auswertungen:

https://dmarcian.com/

http://www.dmarcanalyzer.com/

http://dmarc.postmarkapp.com/

Bettercrypto

https://www.bettercrypto.org/

https://dmarcian.com/
http://www.dmarcanalyzer.com/

Duschkombinationen Mix & Match - sanicomfort€¦ · Duschkombinationen Mix & Match Die neue Dimension des Duschens Sie möchten Ihr Bad neu gestalten? Sie möchten Ihre Wünsche

Duschkombinationen Mix & Match - sanicomfort€¦ · Duschkombinationen Mix & Match Die neue Dimension des Duschens Sie möchten Ihr Bad neu gestalten? Sie möchten Ihre Wünsche

Documents
MATCH (05.04.2014)

MATCH (05.04.2014)

Documents
MATCH (29.11.2014)

MATCH (29.11.2014)

Documents
RELAXED LUXURY CRUISING - Motive Travel€¦ · Helloworld Travel have some amazing deals with Avalon Waterways. Offering a relaxed luxury experience ... Offers valid until 02 Jul

RELAXED LUXURY CRUISING - Motive Travel€¦ · Helloworld Travel have some amazing deals with Avalon Waterways. Offering a relaxed luxury experience ... Offers valid until 02 Jul

Documents
MATCH (09.02.2014)

MATCH (09.02.2014)

Documents
Bedienungsleitfaden QUICK COLOR MATCH€¦ · Bedienungsleitfaden QUICK COLOR MATCH Los geht’s! Kalibrierungssensor Für eine noch präzisere Farbabstimmung Die Farbmanagement-Software

Bedienungsleitfaden QUICK COLOR MATCH€¦ · Bedienungsleitfaden QUICK COLOR MATCH Los geht’s! Kalibrierungssensor Für eine noch präzisere Farbabstimmung Die Farbmanagement-Software

Documents
KONE MonoSpace Aufzug Mix & Match Komponentenkatalog

KONE MonoSpace Aufzug Mix & Match Komponentenkatalog

Documents
MATCH (19.02.2014)

MATCH (19.02.2014)

Documents
KONE Mix&Match Komponentenkatalog - Ausstattungen für Aufzugskabinen

KONE Mix&Match Komponentenkatalog - Ausstattungen für Aufzugskabinen

Documents
Test Bavaria 35 Match · 72 YACHT 14/2004 FOTO: ED HOLT Test Bavaria 35 Match Die Bavaria 35 Match im Race-Modus mit Kevlar-Segeln und Spinnaker. Regatta-Ergebnisse liegen noch nicht

Test Bavaria 35 Match · 72 YACHT 14/2004 FOTO: ED HOLT Test Bavaria 35 Match Die Bavaria 35 Match im Race-Modus mit Kevlar-Segeln und Spinnaker. Regatta-Ergebnisse liegen noch nicht

Documents
MATCH FINAL (09.-23.04.2015)

MATCH FINAL (09.-23.04.2015)

Documents
MATCH (25.10.2014)

MATCH (25.10.2014)

Documents
es sions Pitch Aussteller Hochschulcasting ...¼re-Summit-20… · Pitch Aussteller Match Making Match Making Rundgänge Innovation Innovation Information Netzwerk Kompetenznetzwerk

es sions Pitch Aussteller Hochschulcasting ...¼re-Summit-20… · Pitch Aussteller Match Making Match Making Rundgänge Innovation Innovation Information Netzwerk Kompetenznetzwerk

Documents
MATCH (21.12.2013)

MATCH (21.12.2013)

Documents
Small Bore Rifle Model 2600 Super Match - sportec.se · Kleinkaliber Modell 2600 Super-Match – Schaft Small Bore Rifle Model 2600 Super-Match – Stock. Stand: März 1988/95 (08)

Small Bore Rifle Model 2600 Super Match - sportec.se · Kleinkaliber Modell 2600 Super-Match – Schaft Small Bore Rifle Model 2600 Super-Match – Stock. Stand: März 1988/95 (08)

Documents
18. Beeskower Shooters Cup SLG Beeskower Shooters · 07.-09.09.2018 Ort: Beeskow - Germany 18. Beeskower Shooters Cup 2018 C.9.4 Open Match PPC 2.2.1 Gesamt # Team Match 1+2 Match

18. Beeskower Shooters Cup SLG Beeskower Shooters · 07.-09.09.2018 Ort: Beeskow - Germany 18. Beeskower Shooters Cup 2018 C.9.4 Open Match PPC 2.2.1 Gesamt # Team Match 1+2 Match

Documents
Die Sondermodelle Match - Händlersuchepartner.volkswagen.de/content/medialib/vwd4/de/dialog/pdf/match... · Braucht keinen Anlauf, um zu überzeugen. Der Golf Plus Match. Ansprüche

Die Sondermodelle Match - Händlersuchepartner.volkswagen.de/content/medialib/vwd4/de/dialog/pdf/match... · Braucht keinen Anlauf, um zu überzeugen. Der Golf Plus Match. Ansprüche

Documents
MATCH (25.01.2014)

MATCH (25.01.2014)

Documents
Match-Heft FCSt. Margrethen 4/12

Match-Heft FCSt. Margrethen 4/12

Documents
Match-Magazin TONIGHT

Match-Magazin TONIGHT

Documents
MATCH (08.01.2014)

MATCH (08.01.2014)

Documents
autumn - kerzenanke.de · / Mix and Match Duftwachsglas-Podeste & -Aufsätze Stellen Sie sich Ihre Kombination aus zwei Mix and Match Accessoires beliebig zusammen

autumn - kerzenanke.de · / Mix and Match Duftwachsglas-Podeste & -Aufsätze Stellen Sie sich Ihre Kombination aus zwei Mix and Match Accessoires beliebig zusammen

Documents
MATCH (05.03.2014)

MATCH (05.03.2014)

Documents
MATCH (03.12.2014)

MATCH (03.12.2014)

Documents
MATCH PROGRAM - 2015 CEV DenizBank Volleyball Champions League

MATCH PROGRAM - 2015 CEV DenizBank Volleyball Champions League

Documents
FC St.Margrethen Match-Heft 5/12

FC St.Margrethen Match-Heft 5/12

Documents
Match von Sedus

Match von Sedus

Documents
MATCH (22.03.2014)

MATCH (22.03.2014)

Documents
MATCH (08.02.2014)

MATCH (08.02.2014)

Documents
MATCH (20.12.2014)

MATCH (20.12.2014)

Documents