November 2014 Wolfgang Breyha
EHLOIT-SeCX 2014
November 2014 Wolfgang Breyha
Vorstellung
Wolfgang Breyha
Beruflicher Werdegang• 1997: Netway Communications
• 2001: UTA
• 2004: Tele2
• 2005: ZID Universität Wien
root am ZID der Universität Wien
Verantwortlich für Entwicklung und Betrieb des Linux Mailsystems
November 2014 Wolfgang Breyha
Mailsystem der Universität Wien
• auf Open Source basierende Eigenentwicklung abgestimmt auf die Bedürfnisse der Uni Wien
• ~ 100.000 IMAP Mailboxen• ~ 25 TB• ~ 170 Mio. E-Mails
• Spamfilter für Institutsmailserver
• ~ 400.000 - 600.000 Connections/Tag
• ~ 125.000 (extern) + 250.000 (intern) Mails/Tag
• 21 virtuelle Maschinen
• IPv6 seit 2006
November 2014 Wolfgang Breyha
Agenda
• SPF/DKIM/DMARC
• TLS - best practices
• Phishing
November 2014 Wolfgang Breyha
SPF - RFC 7208 (ehem. 4408)
• DNS TXT Records definieren legitimierte Mailrelays für fragliche Domain
• $ host -t txt sproing.comsproing.com descriptive text "v=spf1 a mx ~all"
• $ host -t txt utanet.atutanet.at descriptive text "v=spf1 ip4:213.90.36.0/25 ... ?all"
• Nutzen von SPF leider gering
• Aufwand durch SRS erheblich erhöht
• RFC 7208 streicht SPF RR. Nur noch TXT RR
November 2014 Wolfgang Breyha
DKIMDomainKeys Identified Mail
• http://www.dkim.org/
• gmane.ietf.dkim
• Erweiterte Kombination aus• Yahoo! DomainKeys• CISCO Identified Mail
• Erster Baustein im Mai 2007 => RFC 4871
• Author Domain Signing Practices (ADSP)
seit August 2009 => RFC 5617 => deprecated
• neueste Version RFC 6376
November 2014 Wolfgang Breyha
DKIMtechnisches
• signiert Teile des Headers und den Body
• Signatur im MailheaderDKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=univie.ac.at; s=rev1; h=Message-ID:Date:From:MIME-Version:To:Subject:Content-Type:Content-Transfer-Encoding; bh=CHKp57xvG+TkLtX7hfa7jYenETIpLWpRR7c1cM4GJ3E=; b=bxs//cYqDJTBuZ93e2rmpZyyVmpHP....
• PublicKey als DNS TXT# host -t txt rev1._domainkey.univie.ac.atrev1._domainkey.univie.ac.at descriptive text "v=DKIM1\; k=rsa\; g=*\; s=email\; t=y\; p=MIGfMA.....“
• signiert bzw. verifiziert wird durch border MTAs.
November 2014 Wolfgang Breyha
Derzeitiger Nutzen von DKIM
• Uni Wien signiert seit Jänner 2008 ausgehende Mails
• eingehende Mails mit univie.ac.at Domain werden teils auf gültige Signaturen geprüft um Phishing zu unterbinden. zB.: [email protected]
• gezielte Deaktivierung von Spamfiltern für große Bulksender mit DKIM Signaturen
• SpamAssassin ruleset
• http://www.dkim-reputation.org/
• [email protected] verifiziert eingehende Mail und signiert die Antwort
November 2014 Wolfgang Breyha
DMARC
• http://www.dmarc.org/
• Im Grunde eine Kombination von DKIM und SPF
• Wird von Google, Facebook, Yahoo & Co getrieben
• IETF Draft
• policy in TXT RR _dmarc.domain.tld$ dig +short _dmarc.univie.ac.at TXT"v=DMARC1\; p=none\; rua=mailto:[email protected]"
• automatische XML reports an in der policy definierte Adressen
November 2014 Wolfgang Breyha
DMARC - Verifzierungsschritte
• RFC 5322 From: Domain
• DMARC TXT RR? nein => no policy, sonst...
• DKIM-Signaturen werden geprüft
• SPF check
• Wenn eine verifizierte DKIM-Signatur (d=) zu DMARC Domain passt => pass
• Wenn die SPF Domain (envelope from) zu DMARC passt und der SPF check “pass” ergeben hat => pass
• Domaincheck policy (adkim, aspf; default relaxed)• relaxed: organisational domain match• strict: FQDN match
November 2014 Wolfgang Breyha
DMARC - Nutzen
• Aggregation Reports ermöglichen Einsicht wie die eigene Domain bei Empfängern gesehen wird
• Auswertungen mit Hilfe von Tools von libopendmarc
• Auswertungen mittels externen Websites:• https://dmarcian.com/• http://www.dmarcanalyzer.com/• http://dmarc.postmarkapp.com/
• Teilnahme am DMARC Projekt der Fakultät für Informatik der Uni Wien
November 2014 Wolfgang Breyha
DMARC - Probleme
• p=reject vs. Mailinglisten
• für alte Domains mit Endkunden nur p=none sinnvoll
• kann Missbrauch von Marken-Domains verhindern, nicht jedoch das “kreative” faken ala “paypa1.com”
• Somit kaum wirksam gegen Phishing
November 2014 Wolfgang Breyha
STARTTLS - RFC 3207
• trotz end2end crypto mittels PGP oder S/MIME liegen die Metadaten/Header und das Envelope offen.
• opportunistic TLS einfach umzusetzen• ausgehend: nur MTA support notwendig• eingehend: SSL Zertifikat + Konfiguration
• mit geringem Mehraufwand weiteres Tuning möglich
• auf unterschiedliche Rollen eines Mailservers achten• MSA – Submission Agent• MTA – Transfer Agent eingehend MTA->MTA• Client – ausgehend MTA->MTA
• Empfehlungen auf https://www.bettercrypto.org/
November 2014 Wolfgang Breyha
Ausblick DANE
• opportunistic TLS ist leicht angreifbar• forged MX RR• MITM ... downgrade to no encryption
– CISCO smtp fixups?• keine sinnvolle Verifikation der Zertifikate möglich
• Lösung: DANE for SMTP• MX und A RRs durch DNSSEC abgesichert• DANE fordert zwingend TLS
• Support in Postfix
• Exim 4.85 wird DANE unterstützen
• ....stay tuned;-)
November 2014 Wolfgang Breyha
Phishing - Beispiele
der Klassiker:der Klassiker:
Dear user
your email has exceeded 2 GB, which is created by Webmaster now at 2.30GB, you cannot Send or receive new messages until you check your account. Complete the form to verify your account.
Please complete the details below to confirm your account
(1) E-mail:(2) Name:(3) Password:(4) Confirm Password:
thank yousystem administrator
November 2014 Wolfgang Breyha
Google-Translate macht es möglich:Google-Translate macht es möglich:
Sehr geehrter Nutzer
Ihre E-Mail hat 2 GB, die durch Webmaster erstellt wird jetzt bei 2.30GB, kann man nicht senden oder neue Mitteilungen empfangen, bis Sie Ihr Konto zu überprüfen überschritten. Füllen Sie das Formular, um Ihr Konto zu überprüfen.
Bitte füllen Sie die Details unten, um Ihr Konto zu bestätigen
(1) E-mail:(2) Name:(3) Passwort:(4) Passwort bestätigen:
dankeSystemadministrator
November 2014 Wolfgang Breyha
Sehr geehrter Nutzer,
Wir haben zu 4 GB aufgerüstet Raumfahrt Bitte loggen Sie sich in Ihr Konto, um zu überprüfen, e-space. Ihr Konto ist noch offen für Sie und senden Sie sie an E-Mails empfangen. HIER KLICKEN zur Bestätigung der Angaben und Aktualisierung. Hinweis dass die Nichteinhaltung dieser Mitteilung zu aktualisieren würde zur Entlassung führen Ihres Benutzerkontos.
Mit freundlichen Grüßen,Mail-Account Service Team Management.Vielen Dank für Ihre Mitarbeit.Copyright © 2013 Helpdesk Center Internet alle Rechte vorbehalten.
November 2014 Wolfgang Breyha
From: "Univie.Ac.At Online Services." <[email protected]>To: undisclosed-recipients:;Subject: Attn: univie.ac.at userReply-To: <[email protected]>
We are pleased to inform you that our univie.ac.at Admin Centeris closing all unused accounts because of the congestion in our mail server.To confirm your account active, you are required to complete your detailsbelow and send it to us. This information would be required to verify youraccount to avoid being closed. Please click on the reply button;
Full name:User Name:Email:Password:ReconfirmPassword:
Thank you for your understanding.(c) Copyright univie.ac.atWeb Admin 2013 All Rights Reserved.
------------------------------------------------Powered by BigRock.comPowered by BigRock.com
November 2014 Wolfgang Breyha
Uni Wien vs. Phishing
• seit 2010 starke Zunahme von Phishing und Accountmißbrauch.
• gestohlene Accounts werden für ausgehende Spamwellen und Phishingattacken genutzt.
• Teilweise werden Mailboxen komplett entleert.
• Auffällige Verhaltensmuster müssen erkannt werden und automatisiert Schutzmaßnahmen auslösen.
• Andernfalls ist jegliche gute Reputation binnen einer Nacht zerstört.
November 2014 Wolfgang Breyha
Antimeasures am ZID
• laufendes, jedoch nicht protokollierendes Monitoring bekannter Muster
• Anzahl Mails pro Absender in 30 Minuten• Anzahl Absenderadressen pro IP in 30 Min.• Aus welchen Ländern wird eine UserID
innerhalb von 5 Minuten erfolgreich verwendet
• Bei Überschreitung des eingestellten Thresholds werden Admins verständigt und automatisiert Schutzmaßnahmen eingeleitet.
November 2014 Wolfgang Breyha
LinksDMARC Auswertungen:
https://dmarcian.com/
http://www.dmarcanalyzer.com/
http://dmarc.postmarkapp.com/
Bettercrypto
https://www.bettercrypto.org/