DNS et lutte anti-spam



Documents pareils
Le spam introduction. Sommaire

Réseaux. 1 Généralités. E. Jeandel

DNS et Mail. LDN 15 octobre DNS et Mail. Benjamin Bayart, Fédération FDN. DNS - fichier de zone. DNS - configuration

Installation Serveur DNS Bind9 Ubuntu LTS

Domain Name System. Schéma hiérarchique. Relation

Installation d un Serveur de Messagerie

Transport Layer Security (TLS) Guide de mise en œuvre. Version: 1.0

Gérer son DNS. Matthieu Herrb. tetaneutral.net. Atelier Tetaneutral.net, 10 février

Configuration avancée de Postfix

Domain Name System. F. Nolot

CREER UN ENREGISTREMENT DANS LA ZONE DNS DU DOMAINE

Domain Name System ot ol F. N 1

Dr.Web Les Fonctionnalités

FTP & SMTP. Deux applications fondamentales pour le réseau Internet.

Administration Système & Réseau. Domain Name System Historique & Concepts Fonctionnalités & Hiérarchie Requêtes & Base de donnée DNS

Domaine Name Service ( DNS )

Messagerie. Dominique MARANT CRI Lille 1. Octobre 2006

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

L auto-hébergement. Sébastien Dufromentel, Clément Février ALDIL, Conférence jeudi du libre. 7 février 2013

DNS. Olivier Aubert 1/27

Guide d installation et de configuration du serveur de messagerie MDaemon

OpenBSD Spamd. Nicolas Greneche. Mathrice Rouen MAPMO Projet SDS

18 TCP Les protocoles de domaines d applications

Cisco Certified Network Associate

TrustedBird, un client de messagerie de confiance

Sendmail v8 Kit Jussieu. Pierre David

Devoir Surveillé de Sécurité des Réseaux

Configuration de tous les systèmes d exploitations

108. Services système de base

DNS : Domaine Name System

CASE-LINUX MAIL. Introduction. CHARLES ARNAUD Linux MAIL

Livre blanc. Comment internaliser votre routage ?

Session N : 5 Relais de messagerie sécurisé et libre

Couche application. La couche application est la plus élevée du modèle de référence.

Sécurité et Firewall

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

MailCube MC 2. 2,5 jours / homme / an. 33 milliards de kwh. 17 millions de. 3,1 millions de. nouvelle génération. Le spam en quelques chiffres :

Mise en place d un Webmail

Gestion des domaines

LINK Configuration. Sommaire

PORTAIL INTERNET DECLARATIF. Configuration du client Mail de MICROSOFT VISTA

M Architecture des réseaux

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

Description : Les candidats doivent être capables de conserver l'heure système et synchroniser l'horloge via le protocole NTP

Quelques protocoles et outils réseaux

CAS IT-Interceptor. Formation «Certificate of Advanced Studies»

L3 informatique Réseaux : Configuration d une interface réseau

Installation de GFI MailEssentials

Serveur de messagerie sous Debian 5.0

Outils de l Internet

Guide de démarrage rapide

Internet Le service de noms - DNS

Dossier d analyse et de comparaison 2012

Voix sur IP Étude d approfondissement Réseaux

Introduction. Adresses

Portails d'entreprise sous GNU/Linux

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

Domain Name Service (DNS)

Réseaux. DNS (Domaine Name System) Master Miage 1 Université de Nice - Sophia Antipolis. (second semestre )

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

Interopérabilité avec outils de mass mailing (mailchimp, sarbacane (upe13), mandrill, z (medef 93 94))

Le Tunneling DNS. P.Bienaimé X.Delot P.Mazon K.Tagourti A.Yahi A.Zerrouki. Université de Rouen - M2SSI. 24 février 2011

Chapitre : Les Protocoles

Hébergement de site web Damien Nouvel

1 - EXCHANGE Installation

Installation du DNS (Bind9)

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

FTP & SMTP. File Transfert Protocol. Deux applications fondamentales pour le réseau Internet. Un protocole d échange de fichier «au dessus» de TCP :

Nouvelle version de Zonecheck, la 3.0, avec tests DNSSEC

Mettre en place un accès sécurisé à travers Internet

L3 informatique TP n o 2 : Les applications réseau

Le phénomène du SPAM en 2003!!!

Divers éléments. Protocoles d'applications. Un agent Utilisateur. MUA - Agents Utilisateurs de Courriel. Simple Mail Transfer Protocol

IUT Charlemagne, NANCY. Serveur Mail Sécurisé. CROUVEZIER Thibaut, FOLTZ Guillaume, HENRIOT François, VOISINET Florian

Plan. Programmation Internet Cours 3. Organismes de standardisation

Internet Group Management Protocol (IGMP) Multicast Listener Discovery ( MLD ) RFC 2710 (MLD version 1) RFC 3810 (MLD version 2)

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Tutoriel Postfix

Serveur mail sécurisé

Fonctionnement Kiwi Syslog + WhatsUP Gold

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

Les serveurs. UE 103b. Guillaume Burel.

Guide d installation et d utilisation

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Installer un serveur de messagerie sous Linux

SOMMAIRE ÉTAPES OBLIGATOIRES. Récupérer le connecteur... 3

sommaire ÉTAPES OBLIGATOIRES Récupérer le connecteur... 3

Réseaux - Cours 4. Traduction d adresse (NAT/PAT) et Service de Nom de Domaine (DNS) Cyril Pain-Barre. IUT Informatique Aix-en-Provence

INTERNET & RESEAUX. Dino LOPEZ PACHECO lopezpac@i3s.unice.fr

Programmation Réseau. ! UFR Informatique ! Jean-Baptiste.Yunes@univ-paris-diderot.fr

Présentation des services de transport. 1. Principe de fonctionnement des services de transport Exchange

Master d'informatique 1ère année Réseaux et protocoles

Installation d un serveur HTTP (Hypertext Transfer Protocol) sous Débian 6

Domain Name Service (DNS)

Sécurité des réseaux IPSec

Demain, encore plus de tifinaghes sur Internet

PROCÉDURE D AIDE AU PARAMÉTRAGE

Déployer des services en IPv6

Guide administrateur AMSP

Transcription:

DNS et lutte anti-spam Pierre-Yves Bonnetain B&A Consultants py.bonnetain@ba-cst.com B&A Consultants - infos@ba-cst.com - +33 (0) 563.277.241

Préambule Cette présentation est inspirée de celle de M. Stéphane Bortzmeyer, du NIC France (bortzmeyer@nic.fr), avec son autorisation. Version originelle : http://www.genericnic.net/formation/lmap/transparents.pdf B&A Consultants - infos@ba-cst.com - +33 (0) 563.277.241 ReSIST 29/11/2004 2

Quelques rappels Le courrier électronique se transmet de MTA en MTA : SMTP, où T = Transfert. Généralement aucune authentification. SMTP est aussi utilisé comme protocole de soumission de messages : MUA vers MTA. La RFC 2476 vise à «réserver» SMTP pour la communication MTA/MTA, en créant un MSA (Message Submission Agent). B&A Consultants - infos@ba-cst.com - +33 (0) 563.277.241 ReSIST 29/11/2004 3

LMAP Lightweight MTA Authentication Protocol Principe de base : insérer dans le DNS des enregistrements identifiant les serveurs autorisés à émettre pour un certain domaine. Le MX de réception fait le contrôle. DomainKeys repose sur la même idée (signature numérique, clé publique dans le DNS). B&A Consultants - infos@ba-cst.com - +33 (0) 563.277.241 ReSIST 29/11/2004 4

Authentification émetteur On peut envisager des techniques de bout en bout : OpenPGP (RFC 2440) ou DomainKeys. Canal par canal : de type LMAP Les techniques de bout en bout sont plus efficaces, mais coûteuses et complexes (certificats, etc.). B&A Consultants - infos@ba-cst.com - +33 (0) 563.277.241 ReSIST 29/11/2004 5

De bout en bout ou par canal B&A Consultants - infos@ba-cst.com - +33 (0) 563.277.241 ReSIST 29/11/2004 6

Les antécédents Paul Vixie, ops.ietf.org/lists/namedroppers/ namedroppers.2002/msg00658.html Reverse MX, www.danisch.de/work/ security/antispam.html (qui ne repose plus sur le DNS). B&A Consultants - infos@ba-cst.com - +33 (0) 563.277.241 ReSIST 29/11/2004 7

Cinématique des échanges Le MTA récepteur interroge le DNS En fonction des données reçues, il traite ou rejette le message. B&A Consultants - infos@ba-cst.com - +33 (0) 563.277.241 ReSIST 29/11/2004 8

Qui est l émetteur? LMAP authentifie un domaine (@domaine) et non pas une adresse (untel@domaine). Plusieurs manières de «lire» l émetteur. Enveloppe (RFC 2821) MAIL FROM En-têtes (RFC 2822) PRA (Purported Responsible Address), entêtes 2822 Resent-From, Sender, From B&A Consultants - infos@ba-cst.com - +33 (0) 563.277.241 ReSIST 29/11/2004 9

Une session typique MTA/MTA Response: 220 YSmtp mta317.mail.scd.yahoo.com ESMTP service ready Command: EHLO relais.ba-cst.com Response: 250-mta317.mail.scd.yahoo.com Command: MAIL FROM:<py.bonnetain@ba-cst.com> Response: 250 sender <py.bonnetain@ba-cst.com> ok Response: 250 recipient <sargastic@yahoo.fr> ok Response: 354 go ahead Message Body Message Body Response: 250 ok dirdel Response: 221 mta317.mail.scd.yahoo.com B&A Consultants - infos@ba-cst.com - +33 (0) 563.277.241 ReSIST 29/11/2004 10

Les possibilités Comment identifier : RFC2821-MAIL FROM, RFC2822-From:, PRA? Comment établir les autorisations : langage structuré, XML? Comment transporter et obtenir les autorisations : nouveaux enregistrements DNS, TXT, sous-domaine spécial, autre protocole que DNS? B&A Consultants - infos@ba-cst.com - +33 (0) 563.277.241 ReSIST 29/11/2004 11

Caller-ID : Microsoft Identification via PRA (et un brevet). Utilise XML, le DNS, et l enregistrement TXT. Utilise un sous-domaine _ep $ dig +short TXT _ep.hotmail.com "<ep xmlns='http://ms.net/1' testing='true'><out><m> <indirect>list1._ep.hotmail.com </indirect> <indirect>list2._ep.hotmail.com </indirect> <indirect>list3._ep.hotmail.com </indirect></m></out></ep>" B&A Consultants - infos@ba-cst.com - +33 (0) 563.277.241 ReSIST 29/11/2004 12

Sender Policy Framework (SPF) Créé et maintenu par Pobox, spf.pobox.com Identification via MAIL FROM RFC 2821 Utilise le DNS, enregistrement TXT, et une syntaxe simple. Associé au domaine directement. $ dig +short TXT ba-cst.com "v=spf1 a:a.mx.ba-cst.com ~all" $ dig +short TXT univ-tlse1.fr "v=spf1 mx ip4:193.49.48.253 ~all" B&A Consultants - infos@ba-cst.com - +33 (0) 563.277.241 ReSIST 29/11/2004 13

Mise en oeuvre de SPF Très facile si on peut éditer son propre fichier de zone. Pour les «interfaces conviviales», c est moins évident... Attention aux sous-domaines : Ne pas les oublier s ils émettent des messages. Bien les «bloquer» sinon (www.domaine.com) B&A Consultants - infos@ba-cst.com - +33 (0) 563.277.241 ReSIST 29/11/2004 14

SPF, DNS et TXT RR Taille des enregistrements, et taille maximale des paquets UDP. Délai de propagation d une modification. Données «relativement» statiques. Révèle l architecture du relayage de la messagerie. B&A Consultants - infos@ba-cst.com - +33 (0) 563.277.241 ReSIST 29/11/2004 15

SPF et le forwarding Problème : le forwarding ne change pas le MAIL FROM. SRS (Sender Rewriting scheme) peut être utilisé : http://spf.pobox.com/srspng.html B&A Consultants - infos@ba-cst.com - +33 (0) 563.277.241 ReSIST 29/11/2004 16

Discussion sur le forwarding Stuart D. Gathman sur http://archives.listbox.com/spfdiscuss@v2.listbox.com/200410/0488.html En résumé : si A utilise un forwarder (adr1@domaine1 vers adr2@domaine2)...... il doit le signaler au gestionnaire de domaine2...... qui doit adapter sa configuration. B&A Consultants - infos@ba-cst.com - +33 (0) 563.277.241 ReSIST 29/11/2004 17

Syntaxe SPF v=spf1 mécanisme[:valeur]... Mécanismes usuels : a : adresses IP du domaine mx : enregistrements MX ip4 ou ip6 : adresses IPv4 ou IPv6 all : Internet $ dig +short TXT freebsd.org "v=spf1 ip4:216.136.204.119 ~all" spf.pobox.com/mechanisms.html B&A Consultants - infos@ba-cst.com - +33 (0) 563.277.241 ReSIST 29/11/2004 18

Syntaxe SPF Préfixes supplémentaires : + : ajouter cette adresse à la liste (défaut). - : retirer cette adresse à la liste.? : je ne sais pas. ~ : probablement pas. Les deux derniers peuvent correspondre à un système de «points» de type SpamAssassin. B&A Consultants - infos@ba-cst.com - +33 (0) 563.277.241 ReSIST 29/11/2004 19

Exemples $ dig +short TXT nordnet.fr "v=spf1 mx ptr ip4:194.51.85.0/24 ip4:194.206.126.0/24 ~all" Peuvent alors envoyer des messages : mx : tous les mx de nordnet.fr, ptr : toutes les machines dont le nom se termine par nordnet.fr. ip4: les deux réseaux 194.51.85.0/24 et 194.206.126.0/24 ~all : pour le reste, c est plus douteux. B&A Consultants - infos@ba-cst.com - +33 (0) 563.277.241 ReSIST 29/11/2004 20

Vérification de la configuration Générateur d enregistrements TXT sur spf.pobox.com/wizard.html. Adresse spfenabled@pobox.com (question : quel retour quand SPF correct ou non, ou pour un message illégitime?). spftools.infinitepenguins.net/check.php B&A Consultants - infos@ba-cst.com - +33 (0) 563.277.241 ReSIST 29/11/2004 21

Utilisation de SPF en réception Mises en uvre pour les principaux MTA Plusieurs bibliothèques libres. Une bibliothèque Perl, Mail::SPF::Query. Pour Postfix Postfix Policyd 1.06 spf.pobox.com/postfix-policyd.txt (programme Perl) Pour sendmail Milter-SPF 1.41 spf.pobox.com/sendmail-milter-spf-1.41.pl spf.pobox.com/downloads.html B&A Consultants - infos@ba-cst.com - +33 (0) 563.277.241 ReSIST 29/11/2004 22

Configuration Postfix Fichier master.cf : spf-policy unix... spawn user=nobody argv=/etc/postfix/spf.pl Fichier main.cf smtpd_recipient_restrictions =... check_policy_service unix:private/spf-policy B&A Consultants - infos@ba-cst.com - +33 (0) 563.277.241 ReSIST 29/11/2004 23

Le bilan 1527 messages reçus, dont 1280 SPF none : pas d enregistrement SPF 1 SPF unknown : erreur 216 SPF pass : émetteur validé. 7 SPF fail : émetteur rejeté. 8 SPF neutral : le domaine émetteur veut que l on ignore son enregistrement SPF 15 SPF softfail : émetteur non validé, mais?all 16% des messages «couverts» par SPF. B&A Consultants - infos@ba-cst.com - +33 (0) 563.277.241 ReSIST 29/11/2004 24

Conclusions Intéressant pour éviter la mascarade d émetteur. Facile à activer (DNS) et à utiliser (MTA). Les spammeurs peuvent disposer de leurs propres domaines jetables, avec des bons enregistrements SPF. Pour la lutte anti-spam, ne suffit pas. Une corde supplémentaire, pas un outil terminal. B&A Consultants - infos@ba-cst.com - +33 (0) 563.277.241 ReSIST 29/11/2004 25

Et demain? SenderID (= SPF + Caller-ID) a été rejeté, notamment du fait des brevets et licences Microsoft. DomainKeys commence à peine son déploiement. RFC expérimentale pour «Classic SPF» «Unified SPF», pour appliquer SPF à autre chose que RFC2821-MAIL FROM (notamment au PRA). B&A Consultants - infos@ba-cst.com - +33 (0) 563.277.241 ReSIST 29/11/2004 26