técnicas antispam.pdf

1/162Iker Sagasti [email protected]

Tcnicas anti-spam: Presente y FuturoAnlisis e Implementacin


Tcnicas anti-spam: Presente y FuturoOverview

Overview

1


Tcnicas anti-spam: Presente y FuturoOverview

Introduccin al correo electrnico Introduccin al spam Anlisis de tcnicas anti-spam preventivas

Enmascaramiento, concienciacin, legalidad... Anlisis de tecnicas utlizadas por spammers Anlisis de tcnicas anti-spam correctivas

Filtros basados en contenido bsicos, heursticos, bayesianos

Filtros NO basados en contenido listas, esquemas autorizacin...

Conclusiones

Version 0.11 - 01/06/05

1


Tcnicas anti-spam: Presente y FuturoIntroduccin al correo electrnico

Introduccin al correo electrnico

2


Tcnicas anti-spam: Presente y FuturoSMTP (Simple Mail Transfer Protocol)

Protocolo estandar para enviar correos entre servidores.

Protocolo simple pero muy inseguro. Cabeceras spoofeables. SPAM.

Requiere de un servidor DNS que resuelva el host MX o A del destinatario.

Solo soporta caracteres ascii de 7 bits. ? La gran mayora de los MUA envan correo a

los MTA por medio de SMTP.

2


Tcnicas anti-spam: Presente y FuturoSMTP (Simple Mail Transfer Protocol)

Transaccin SMTP$ telnet irontec.com 25Trying 66.111.55.10...Connected to mai.irontec.com.Escape character is '^]'.220 mai.irontec.com ESMTP Postfixhelo aktornet.ath.cx 250 mai.irontec.commail from: [email protected] Okrcpt to: [email protected] Okdata354 End data with .Subject: asunto del correo

Cuerpo del mensajefin.

250 Ok: queued as B105B598063quit221 ByeConnection closed by foreign host.

2 Establecimiento y fin de la Conexin

Informacin generadapor el cliente telnet

Informacin del cliente SMTP

Informacin del servidor SMTP


Tcnicas anti-spam: Presente y FuturoDescripcion del contenido de un correo

Elementos que conforman un correo electrnicoReturn-Path: X-Original-To: [email protected]: [email protected]: from pool-71-112-82-75.sttlwa.dsl-w.verizon.net (pool-71-112-82-75.sttlwa.dsl-w.verizon.net [71.112.82.75])

by mai.irontec.com (Postfix) with SMTP id 0F7AEB31Efor ; Mon, 23 May 2005 18:16:35 +0200 (CEST)

Message-ID: From: Kendra L.Brown To: [email protected]: Adobe Creative Suite (5 CD) - wholesale priceDate: Mon, 23 May 2005 16:10:28 +0000MIME-Version: 1.0Content-Type: multipart/related; type="multipart/alternative"; boundary="----=_NextPart_000_0000_42C4668E.98ECC1BD"X-Priority: 3X-MSMail-Priority: NormalX-Mailer: Microsoft Outlook Express V6.00.2900.2180X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180

Get access to all the software imaginable for extremely low prices!Our software is 2-10 times cheaper than sold by our competitors.

Just a few examples:$79.95 Windows XP Professional (Including: Service Pack 2)$89.95 Microsoft Office 2003 Professional / $79.95 Office XP Professional$99.95 Adobe Photoshop 8.0/CS (Including: ImageReady CS)$79.95 Adobe Acrobat 6.0 Professional$69.95 Quark Xpress 6 Passport Multilanguage

All main products from Microsoft, Adobe, Macromedia, Corel, etc.And many more...

Regards,Kendra L. Brown

2Se aade una cabecera Received por cada MTA que pasa

Cab

ecer

asCuer

po

Linea

en B

lanco

Sep

arad

or Cabeceras

NO estandar

Cabecera aadidapor el MUA

Cabecera tipo MIME


Tcnicas anti-spam: Presente y FuturoIntroduccin al spam

Introduccin al spam

3


Tcnicas anti-spam: Presente y FuturoIntroduccin al spam

Que es el SPAM?

3


Tcnicas anti-spam: Presente y FuturoCrecimiento

20012004

2007

0,00%

10,00%

20,00%

30,00%

40,00%

50,00%

60,00%

70,00%

80,00%

90,00%

100,00%

Correo intercambiado a nivel mundial

HAMSPAM

3


Tcnicas anti-spam: Presente y FuturoCausas

Dilema del prisionero Cada uno elije:

Cooperar (ej: no contaminar) No cooperar (ej: contaminar)

Si todos cooperan, es bueno para todos (bien colectivo)

Si uno no coopera, esa persona obtiene beneficio a costa de los otros (bien individual) Compra/venta de listas de correo Open relays Ingenuidad en la contestacin a emails Publicacin de direcciones de email

3


Tcnicas anti-spam: Presente y FuturoPaises Exportadores

Estudio realizado por la empresa de seguridad Sophos (Abril 2005)

Resto

Alemania

Reino Unido

Brazil

Japon

Canada

Espaa

Francia

China

Corea del Sur

Estados Unidos

0 10 20 30 40 502004 (%)

2005 (%)

14,15

1,231,571,952,12,7

2,753,2

9,725

35,7

13,65

1,281,15

6,17

2,872,91

1,16

1,2411,62

15,4242,53

Origen del spam mundial

2004 (%)2005 (%)

3


Tcnicas anti-spam: Presente y FuturoTipos

SPAM por email SPAM a mquinas de busqueda SPAM por mensajera instantnea SPAM por SMS SPAM en las news SPAM en chats SPAM por telfono SPAM por correo postal

3


Tcnicas anti-spam: Presente y FuturoTcnicas anti-spam preventivas

Anlisis de las tcnicas anti-spam preventivas

4


Tcnicas anti-spam: Presente y FuturoTipo de Tcnicas

Tipos: Preventivas

Enmascaramiento / Spambots Etiquetas anti robots Concienciacin Legales

4



Tipos: Correctivas

Legales Basados en contenido

Filtros Bsicos Filtros Heursticos Filtros Bayesianos

No basados en contenido Listas Filtros Distribuidos Esquemas de Autorizacin

4


Tcnicas anti-spam: Presente y FuturoTcnicas de Enmascaramiento / Spambots

Spambot: Aplicacin de software que se encarga de

rastrear Internet (sitios web, listas de news, salas de chat...) en busca de direcciones de correo.

Fciles de implementar (@) Evolucionan en base a las dificultades que les

plantean los usuarios (desgraciadamente en numerosas ocasiones son insuficientes)

4



Tcnicas de Enmascaramiento: Tcnica conocida como munging Consiste en modificar deliberadamente con la

finalidad de que no puedan ser capturadas por los spambots.

4



Tcnicas Enmascaramiento obsoletas Sustitucin:

@ at / en - . dot / punto As: [email protected] se representara mediante:

iker-at-irontec-dot-com iker en irontec punto com

Sustitucin Codificacin-URL Lo soportan la gran mayora de los navegadores Sustituir caracteres alfanumricos por % y 2 dgitos

hexadecimales. RFC 1738 @ %40 - . %2E As [email protected] se representara mediante:

iker%40irontec%2Ecom

4



Tcnicas Enmascaramiento obsoletas Sustitucin de caracteres HTML

Equivale a su valor correspondiente ASCII @ @ - . . As [email protected] se representara mediante:

[email protected] http://alicorna.com/obfuscator.html

4



Tcnicas Enmascaramiento obsoletas Insercin:

Insertar cadena de texto fcilmente reconocible como no vlida.

Requiere cierto conocimiento As: [email protected] se representara mediante:

[email protected]

4



Tcnicas Enmascaramiento Tablas HTML

Consiste en maquetar la direccin de correo de tal forma que sea ininteligible para un spambot.

As: [email protected] se representara mediante

4



Tcnicas Enmascaramiento Tablas HTML

Cdigo HTML

iker

Mi email de contacto: irontec.com

4



Tcnicas Enmascaramiento por imgenes Normal

Sustituir la cadena de texto por una imagen As: [email protected] se representara mediante:

http://www.hashemian.com/tools/email-encoder.php

4



Tcnicas Enmascaramiento por imgenes Mediante logo:

Utilizar el logotipo de la empresa o una imagen ms ofuscada

As: [email protected] se representara mediante:

4



Tcnicas Enmascaramiento por imgenes Captcha:

Es un test tipo prueba-desafo utilizado para diferenciar a mquinas y humanos

Utilizado comunmente por entidades que ofecen servicios gratuitos para evitar abusos (Yahoo, Hotmail...).

As: [email protected] se representara mediante:

4



Tcnicas Enmascaramiento por imgenes Problemas

Qu pasa con los estndares? W3C obliga a que las imgenes lleven un campo de

texto descriptivo alternativo. http://www.w3.org/TR/REC-

html40/struct/objects.html#edef-IMG Qu pasa con la accesibilidad?

El punto primero del nivel de prioridad 1 del checklist la WAI, obliga a que todos los elementos que no sean texto (imgenes...) lleven un texto alternativo.

4



Tcnicas Enmascaramiento por imgenes Problemas: ataques

Rodeo: Los spammers generan sitios web con un gran

nmero de visitas obligando a los visitantes que quieran acceder a sus servicios a introducir en texto de la imagen.

Adversarial Clutter: Mtodo desarrollado por la Univ. Berkeley 92% xito en EZ-Gimpy (captcha de 1 palabra) 33% xito en Gimpy (captcha de 3 palabras) No parece que an halla implementaciones

4



Tcnicas Enmascaramiento Conclusiones

No ofrecen solucin frente a ataques de diccionario o cuentas genricas (abuse, webmaster, info...).

Las tcnicas de enmascaramiento dificultan la labor de los spambots. Sin embargo no son suficientes.

4



Tcnicas Enmascaramiento formularios

ojo!!! formularios de dominio pblico pueden tener bugs!! puede ser peor el remedio que la enfermedad :-(

4


Tcnicas anti-spam: Presente y FuturoTcnicas de Concienciacin

Tcnicas Concienciacin no responder... alias para...

listas foros grupos de noticias

4


Tcnicas anti-spam: Presente y FuturoMedidas Legales

EEUU CAN-SPAM (01/01/04)

Bush firma la primera ley federal contra el spam unificando las leyes de los distintos estados

La Ley exige: Obtener permiso Honrar las desuscripciones Evitar el uso de casilleros pre-chequeados Un emisor y asunto claro (indicando publicidad)

Sanciones de hasta 500.000 dlares y un ao de prisin

Solo afecta a emisores de EEUU ?

4



Espaa LSSI-CE (11/07/02)

Queda prohibido el envo de comunicaciones publicitarias o promocionales por correo electrnico u otro medio de comunicacin electrnica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

Exige: Obtener permiso Honrar las desuscripciones Un emisor y asunto claro (indicando publicidad)

Sanciones entre 30.000 y 150.000 euros

4


Tcnicas anti-spam: Presente y FuturoTcnicas utilizadas por los spammers

Anlisis de las tcnicas avanzadas

utilizadas por spammers

5


Tcnicas anti-spam: Presente y FuturoEvolucin de las Tcnicas

80 % del spam utiliza trucos de ofuscacin Escribir mal una palabra

viagra -> biagra

Sustituir una 'o' por un '0'buy now! -> buy n0w!

Tcnicas sofisticadas de HTMLenlarge your pennis

5


Tcnicas anti-spam: Presente y FuturoNuevas tcnicas utilizadas por spammers

Invisible Ink Consiste en introducir palabras inocentes en

un correo de forma invisible (color blanco sobre fondo blanco).

El filtro anti-spam las detecta pero el usuario no las lee.

5



Invisible Ink Visin segn ojos humanos

5



Invisible Ink Visin segn ojos humanos avispados

5



Invisible Ink Visin segn ojos binarios

palabras de spam

palabras innocentes

# css compilant ;-)

palabras de spam

palabras innocentes

5



Black Hole Consiste en dividir una palabra sospechosa

con espacios sin anchura. Los espacios sin anchura se escriben as:

5



Black Hole Visin segn ojos humanos

5



Black Hole Visin segn ojos binarios

Viagra.

# css compilant ;-)Viagra.

5



Camouflage Es la evolucin a Invisible Ink, ya que la mayor

parte de los filtros antispam eran capaces de reconorcerlo.

Consiste en escoger dos colores muy similares, pero distintos, para que el filtro antispam no pueda detectarlo.

Los colores #113333 y #123939 son muy similares, pero yellow (amarillo) y #113333 son bastante distintos Amarillo #113333 #123939

5



Camouflage Visin segn ojos humanos

5



Camouflage Visin segn ojos humanos avispados

5



Camouflage Visin segn ojos binarios

palabras inocentespalabras de spam

# css compilant ;-)

palabras inocentespalabras de spam

5


Tcnicas anti-spam: Presente y FuturoNuevas Tcnicas utilizadas por spammers

Honey, I shrunk the font Consiste en minimizar el tamao de las

palabras inocentes, de tal manera que a penas se aprecien.

La manera de minimizarlas es dndole tamao 1.

5



Honey, I shrunk the font Visin segn ojos humanos

5



Honey, I shrunk the font Visin segn ojos humanos avispados

5



Honey, I shrunk the font Visin segn ojos binarios

palabras inocentes

palabras inocentes

5



Microdot Consiste en una modificacin de la tcnica

anterior que consiste en introducir un nico caracter en el medio de una palabra.

El tamao es tan pequeo que parece un '.'

5



Microdot Visin segn ojos humanos

5



Microdot Visin segn ojos humanos avispados

5



Microdot Visin segn ojos binarios

Vziagra

Vziagra

5



Ascii Art (arte ascii)

5


Tcnicas anti-spam: Presente y FuturoTcnicas anti-spam correctivas

Anlisis de las tcnicas anti-spam correctivas

6



Tipos: Preventivas

Enmascaramiento / Spambots Etiquetas anti robots Concienciacin Legales

6



Tipos: Correctivas

Legales Basados en contenido

Filtros Bsicos Filtros Heursticos Filtros Bayesianos

No basados en contenido Listas Filtros Distribuidos Esquemas de Autorizacin de Envio

6



Sanciones Econmicas: EEUU

19/07/04 $50.000 Scott Richter Haba comprometido 500 ordenadores para enviar

millones de spams.

6



Sanciones Penales: EEUU

XX/11/04 9 aos de prisin Jeremy Jaynes, 30 aos Haba ganado 24 millones de dolares vendiendo

productos va spam. 10 millones de spam diarios (1 de 300.000 con xito)

6



Sanciones Econmicas: Espaa

04/05 4 sanciones Pequeas y medianas empresas 2 graves y 2 leves

6


Tcnicas anti-spam: Presente y FuturoFiltros Bsicos

Transaccin SMTP y sintaxis de Postfix$ telnet irontec.com 25Trying 66.111.55.10...Connected to mai.irontec.com.Escape character is '^]'.220 mai.irontec.com ESMTP Postfixhelo aktornet.ath.cx 250 mai.irontec.commail from: [email protected] Okrcpt to: [email protected] Okdata354 End data with .Subject: asunto del correo

Cuerpo del mensajefin.

250 Ok: queued as B105B598063quit221 ByeConnection closed by foreign host.

6

smtpd_sender_restrictions

smtpd_recipient_restrictions

smtpd_helo_restrictions

smtpd_client_restrictions

header_checksbody_checks



Elementos que conforman un correo electrnicoReturn-Path: X-Original-To: [email protected]: [email protected]: from pool-71-112-82-75.sttlwa.dsl-w.verizon.net (pool-71-112-82-75.sttlwa.dsl-w.verizon.net [71.112.82.75])

by mai.irontec.com (Postfix) with SMTP id 0F7AEB31Efor ; Mon, 23 May 2005 18:16:35 +0200 (CEST)

Message-ID: From: Kendra L.Brown To: [email protected]: Adobe Creative Suite (5 CD) - wholesale priceDate: Mon, 23 May 2005 16:10:28 +0000MIME-Version: 1.0Content-Type: multipart/related; type="multipart/alternative"; boundary="----=_NextPart_000_0000_42C4668E.98ECC1BD"X-Priority: 3X-MSMail-Priority: NormalX-Mailer: Microsoft Outlook Express V6.00.2900.2180X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180

Get access to all the software imaginable for extremely low prices!Our software is 2-10 times cheaper than sold by our competitors.

Just a few examples:$79.95 Windows XP Professional (Including: Service Pack 2)$89.95 Microsoft Office 2003 Professional / $79.95 Office XP Professional$99.95 Adobe Photoshop 8.0/CS (Including: ImageReady CS)$79.95 Adobe Acrobat 6.0 Professional$69.95 Quark Xpress 6 Passport Multilanguage

All main products from Microsoft, Adobe, Macromedia, Corel, etc.And many more...

Regards,Kendra L. Brown

6Se aade una cabecera Received por cada MTA que pasa

Cab

ecer

asCuer

po

Linea

en B

lanco

Sep

arad

or Cabeceras

NO estandar

Cabecera aadidapor el MUA

Cabecera tipo MIME



Comprobaciones en el protocolo SMTP Main.cf (es necesario postmap)smtpd_client_restrictionssmtpd_helo_restrictionssmtpd_sender_restrictionssmtpd_recipient_restrictionscheck_client_access hash:/etc/postfix/client_checkscheck_helo_access hash:/etc/postfix/helo_checkscheck_sender_access hash:/etc/postfix/sender_checkscheck_recipient_access hash:/etc/postfix/recipt_checkssmtpd_delay_reject = no

Ejemplos de contenido de los archivos:irontec.com REJECT Tu no eres irontec.com66.111.50.10 REJECT Tu no eres 66.111.50.10

spammers.com 554 No nos gusta el spam, [email protected] OKspam.com REJECT

6



Comprobaciones en las Cabeceras Main.cf (es necesario postmap)header_checks = regexp:/etc/postfix/regexp.headermime_header_checks = regexp:/etc/postfix/regexp.mimemessage_header_checks = regexp:/etc/postfix/regexp.msgnested_header_checks = regexp:/etc/postfix/regexp.nest

Ejemplos de contenido de los archivos:/^Subject: Enanito si, pero con que pedazo!$/ REJECT

/^From:.*hotmail\.com/ REJECT

/^Content-(Type|Disposition):.*(file)?name=.*\.(asd|bat|chm|cmd|com|dll|exe|hlp|hta|js|jse|lnk|ocx|pif|scr|shb|shm|shs|vb|vbe|vbs|vbx|vxd|wsf|wsh)/ REJECT Disculpa, no se aceptan archivos del tipo .${3}.

6



Comprobaciones en el Cuerpo Main.cf (es necesario postmap)body_checks = regexp:/etc/postfix/regexp.body

Ejemplos de contenidos de archivos:/Palabras no deseadas/ REJECT

/\&\#109;\&\#97;\&\#105;\&\#108;\&\#116;\&\#111;\&\#58;/ REJECT

/Te mando este archivo para que me des tu punto de vista/ REJECT

6



Repositorio NO oficial de filtros bsicos populares http://www.hispalinux.es/~data/postfix/

6


Tcnicas anti-spam: Presente y FuturoFiltros Heursticos

Base Terica Los spammers suelen utilizar una serie de

patrones y comporamientos determinados. Cadenas Tpicas

Viagra Free Penis Enlargement Buy

Comportamientos Correos en formato HTML No cumplen RFC Maysculas

6



Ejemplo heursticoFrom: Moneymaker To: [email protected]: 5 DVD's for 20 Bucks

The Netflix business model just went MLM.5 DVDs, only $20 a month.More movies, less money and an opportunity to refer your friends.

Take a look here:http://mygoldentertainment.com/TEH

This is not SPAM. You are receiving this email because you are signed up on an opt in list with us or one of our affiliates.+Since this is a one time email you do not need to unsubscribe. However, if you would like to, send an email to:[email protected] with REMOVE in the subject line. Thank you.

6



Ejemplo heurstico

pts nombre de la regla descripcion--------------------------------------------------

0.0 EXCUSE_15 Decir que no es spam 0.7 EXCUSE_19 Te pide que mires o te registres 0.4 FORGED_YAHOO_RCVD From: @yahoo.com no coincide con la cabecera Received: 1.0 FROM_ENDS_IN_NUMS Acaba en nmeros 0.5 MAILTO_TO_SPAM_ADDR Incluye un link a email tipo spammer 2.1 MLM Marketing Multi Nivel 3.6 MSGID_FROM_MTA_SHORT Cabecera Message-Id aadida por un relay 2.4 ONE_TIME_MAILING One Time Email no significa que no sea spam 0.3 REMOVE_SUBJ Indica como no recibir ms spam 1.3 THIS_AINT_SPAM Esto no es spam

Content analysis details: (12.4 points, 5.0 required)

http://spamassassin.apache.org/tests_3_0_x.html Resultado

12,4 > 5.0 SPAM!!!!!

6



Problemas Los patrones de bsqueda son pblicos Los mtodos empleados por los spammers

son cada vez ms sofisticados viagra vs V14gr4 Hay soluciones antispam que detectan

5.600.000 maneras de decir viagra Las soluciones antispam heursticas son

estticas Su implementacin prctica sobre

servidores consume una enorme cantidad de recursos (expresiones regulares muy complejas)

6



Premisas para bsqueda de soluciones Es necesaria una nueva tcnica adaptativa Se debe adaptar a las necesidades

personales de cada usuario

6



SpamAssassin Caractersticas

Premio al mejor producto anti-spam del 2005 (Damation)

Es un producto que ofrece ms servicios que nicamente filtro heurstico (listas blancas, listas negras, aprendizaje bayesiano...)

La configuracin por defecto proporciona alrededor de 750 reglas bastante eficientes Listado de reglas no oficiales

http://www.stearns.org/sa-blacklist/

6



Spamassassin Implementacin# apt-get install amavisd-new spamassassin

Referencias http://www.irontec.com/~aktor/files/sistema_correo.pdf

6



Clamav Caractersticas

Es un escaner de virus GPL y mantenido por la comunidad.

Deteccin de ms de 30.000 viruses, gusanos y troyanos.

El 80%* del spam mundial es generado por ordenadores zombies Windows infectados por algn tipo de malware

En cuestin de minutos, un Windows virgen es infectado al conectarse a Internet directamente. En 4 minutos el gusano Sasser En 11 minutos el gusano MS Blaster

* Sandvine, Junio 2004

6



Clamav Tiempos de Respuesta (Mydoom MEW)ClamAV 16.02.2005 23:02 :: Worm.Mydoom.M-2Sophos 17.02.2005 00:02 :: W32/MyDoom-OTrendMicro 17.02.2005 01:11 :: WORM_MYDOOM.MF-Prot 17.02.2005 01:48 :: W32/Mydoom.AY@mmMcAfee 17.02.2005 01:53 :: W32/Mydoom.bb@MM!zipeTrust-Iris 17.02.2005 02:35 :: Win32/Mydoom.AU!WormSymantec 17.02.2005 03:30 :: W32.Mydoom.AX@mmeTrust-Vet 17.02.2005 06:35 :: Win32.Mydoom.AU!ZIPAntivir 17.02.2005 07:11 :: Worm/MyDoom.BBDrWeb 17.02.2005 08:10 :: Win32.HLLW.MyBotBitDefender 17.02.2005 08:54 :: Win32.Mydoom.AQ@mmPanda 17.02.2005 08:54 :: W32/Mydoom.AO.wormNorman 17.02.2005 09:25 :: MyDoom.AQ@mmAVG 17.02.2005 11:10 :: I-Worm/Mydoom.AP Fuente: Hispasec

6



Clamav Tiempos de Respuesta (Sober.p)

ClamAV 02.05.2005 18:36 :: Worm.Sober.PKapersky 02.05.2005 18:39 :: Email-Worm.Win32.Sober.pF-Prot 02.05.2005 18:54 :: W32/Sober.O@mmGdata AVK 02.05.2005 18:56 :: Email-Worm.Win32.Sober.p (KAV)BitDefender 02.05.2005 19:19 :: Win32.Sober.O@mmSophos 02.05.2005 19:27 :: W32/MyDoom-OCommand 02.05.2005 20:07 :: W32/Sober.O@mmIkarus 02.05.2005 20:14 :: Email-Worm.Win32.Sober.PVirusbuster 02.05.2005 20:44 :: I-Worm.Sober.QPanda 02.05.2005 20:49 :: W32/Sober.V.wormeTrust-Iris 02.05.2005 21:54 :: Win32/Sober.53554!WormAntivir 02.05.2005 22:24 :: Worm/Sober.PNorman 02.05.2005 22:46 :: Sober.O@mmTrendMicro 02.05.2005 23:18 :: WORM_SOBER.SAVG 02.05.2005 23:27 :: I-Worm/Sober.PMcAfee 02.05.2005 23:38 :: W32/Sober.p@MMeTrust-Vet 03.05.2005 01:15 :: Win32.Sober.N (VET)Symantec 03.05.2005 03:38 :: W32.Sober.O@mmQuickHeal 03.05.2005 03:38 :: Sober.pDrWeb 03.05.2005 10:46 :: Win32.HLLM.Generic.345

Fuente: PCWelt

6



Clamav Implementacin

Compresores / Descompresores# apt-get install lha arj unrar zoo nomarch lzop arc unzoo

Sistema antivirus# apt-get install clamav clamav-daemon clamav-freshclam

Referencias http://www.irontec.com/~aktor/files/sistema_correo.pdf

6


Tcnicas anti-spam: Presente y FuturoFiltros Bayesianos

Base Terica: Se basa en el siguiente principio matemtico:

La mayora de los sucesos son dependientes y la probabilidad de que un suceso ocurra en el futuro puede ser deducida de las ocurrencias anteriores de dicho suceso.

Se utliza en mltiples campos (estudios epidemiolgicos, quinielas, buscadores de internet...)

6



Base Terica: Supongamos el siguiente caso:

Una persona padece vmitos, fiebre, diarrea.... Los sntomas detectados indican las que las enfermedades posibles pueden ser mltiples Por probabilidad pura ser una gastroenteritis. Pero si tenemos en cuenta que acaba de llegar de

Laos y no se ha vacunado por probabilidad bayesiana ser malaria.

6



Base Terica: En la prctica consiste en generar una

base de datos con palabras y tokens (direcciones IP, dominios, $..) recogidos de ejemplos de correo spam y legtimo (ham).

Se le asigna una probabilidad a cada palabra o token.

La probabilidad se calcula en base a la frecuencia con la que una palabra aparece en un correo spam frente a un correo legtimo (ham).

6



Base Terica:

6



Base Terica: La probabilidad de que una palabra o token

sea spam se rige por la siguiente expresin matemtica:

P= spamHits / totalSpamspamHits / totalSpaminnocentHits / totalInnocent

6



Base Terica: Ejemplo: calcular la probabilidad del termino

'microsoft' Supongamos que el termino 'microsoft' aparece en

400 de 3000 correos spam y en 5 de 300 correos legtimos

La probabilidad de spam de 'microsoft' sera

P= 400 /30005/300400/3000

=0.8889

6



Conclusiones: Es muy importante generar una base de

datos en base a nuestro correo, para evitar sobre todo falsos positivos. Imaginad que Bill Gates usase la base de datos

bayesiana de R. Stallman :-D Algunos softwares anti-spam (Outlook spam filter,

Internet Message Filter de Exchange Server), vienen con una base de datos prefabricada El correo ham es pblico y puede ser hackeado

hay hacks pblicos para Outlook 2003 y el filtro de spam del Exchage Server

Pueden generar un mayor nmero de falsos negativos

6



Conclusiones Ventajas

Se adapta a si mismo a lo largo del tiempo Es adaptable a cada usuario / grupo Multilinge e internacional Dificil de engaar Rpido aprendizaje Tiene en cuenta todo el mensaje y reconoce las

palabras que identifican spam y las que identifican ham.

Inconvenientes Requiere aprendizaje ( 2 semanas) Degradacin de la base de datos

6


Tcnicas anti-spam: Presente y FuturoFiltros basados en Contenido

Ningn mtodo de filtrado es 100% efectivo Falsos Negativos

Correo que es spam y no es detectado como tal por el filtro antispam

Son los errores ms habituales Falsos Positivos

Correo legtimo que es detectado como spam por el filtro antispam

Son los errores ms peligrosos

6


Tcnicas anti-spam: Presente y FuturoFiltros basados en Contenidos

Nunca hay que eliminar el correo considerado como spam. Es suficiente con marcarlo como tal.

El software antispam ideal es el que no no comete falsos positivos y posee un nmero muy bajo de falsos negativos

6



DSPAM Caractersticas

Filtro exclusivamente bayesiano GPL Alcanza ratios de hasta 99,95% (1 de 2000)

Ms informacin en: http://www.e-

ghost.net/docs/2005/conferencias/dspam_presentacion_SemanaEside2005.pdf

6



DSPAM Sistemas Operativos soportados

6



DSPAM Servidores de Correo soportados

6



DSPAM Backend de almacenamiento soportados:

6



DSPAM Para lograr un buen porcentaje de acierto

(99,9x%), es necesario entrenar previamente al filtro correspondiente a cada usuario Entre 1000 y 2500 mensajes inocentes Entre 100 y 200 mensajes spam Algunas de las funciones de DSPAM no se

activan hasta recibir al menos 2500 mensajes inocentes.

6



DSPAM Implementacin

Compilar a mano Aprender la sintaxis y funcionalidades Integrar con el MTA

Complicado construir paquetes para las distribuciones (opciones configure)

.deb: http://pkg-dspam.alioth.debian.org/ (en proyecto) .rpm: http://dag.wieers.com/packages/dspam/ (ver. 2.X) gentoo: http://www.gentoo-portage.com/mail-filter/dspam

6



DSPAM

6



Spamassassin Aprendizaje Bayesiano

Implementacin local.cf

use_bayes 1bayes_min_ham_num 50bayes_min_spam_num 50

6


Tcnicas anti-spam: Presente y FuturoEsquemas de Autorizacin de Envio

SPF: Sender Policy Framework Caracteristicas

Permite a los servidores de correo identificar y/o bloquear envos falsificados haciendo una simple consulta al DNS sobre el registro TXT del dominio origen.

Implementado por ms de 1.000.000 de dominios en menos de 12 meses.

Desarrollado por Pobox

6



SPF: Protocolos que intervienen:

DNS Necesario para poner accesibles los dominios para los

cuales un MTA tiene autorizacin para enviar correos. Registro TXT. Permite que los servidores que reciben correos de mi

dominio puedan, si quieren, comprobar su validez. SMTP

El MTA ser en encargado de verificar que el servidor que hace entrega del correo tiene permiso para hacerlo en nombre de dicho dominio.

Necesita modificacin

6



SPF: Funcionamiento

El servidor de correo, cuando recibe un correo, realiza una consulta al DNS del dominio origen.

Si dispone de un registro SPF vlido, comprueba que el correo provenga de donde el DNS anuncia que debe provenir.

6



SPF: Funcionamiento

6



SPF: Evolucin de uso

6



SPF: Algunas entidades que lo implementan

6



SPF: Ejemplo DNS:$ host -t txt microsoft.com

microsoft.com text "v=spf1 ip4:213.199.128.139 ip4:213.199.128.145 ip4:207.46.50.72 ip4:207.46.50.82 ip4:131.107.3.116 ip4:131.107.3.117 ip4:131.107.3.100 ip4:131.107.3.108 a:delivery.pens.microsoft.com a:mh.microsoft.m0.net mx:microsoft.com ?all"

6Dominio

Versin delprotocolo

Resultadoen caso de fallo



SPF: Sintaxis de los parmetros DNSv=spf1 [[pre] type ] ... [mod]

Descripcin de los parmetros del DNS v (version) * pre type mod

6



SPF: Descripcin de los parmetros del DNS

pre Define el cdigo de respuesta devuelto cuando se

produce una coincidencia+ pass (permitido). Valor por defecto- fail (no permitido) ~ softfail (no concluyente)? neutral (no concluyente)

Ejemplos:v=spf1 +a mx -allv=spf1 a ?all

6




type Define el mecanismo de verificacin

ip4:ipv4 direcciones ipv4 para la verificacinip6:ipv6 direcciones ipv6 para la verificacina registro A para la verificacin mx registro MX para la verificacinptr registro PTR para la verificacinexists:domain comprueba la existencia del dominio

Ejemplos:elmundo.com text "v=spf1 ip4:200.75.73.106 mx mx:luna.elmundo.com -all"blyx.com text "v=spf1 ip4:212.163.0.0/26 -all"

6




type Tambin soporta elementos que afectan a la secuencia

de verificacininclude:domain incluye el registro asociado a otro dominioall finaliza el proceso de verificacin

Ejemplos:hotmail.com text "v=spf1 include:spf-a.hotmail.com include:spf-b.hotmail.com include:spf-c.hotmail.com include:spf-d.hotmail.com ~all"spf-a.hotmail.com text "v=spf1 ip4:209.240.192.0/19 ip4:65.52.0.0/14 ip4:131.107.0.0/16 ip4:157.54.0.0/15 ip4:157.56.0.0/14 ip4:157.60.0.0/16 ip4:167.220.0.0/16 ip4:204.79.135.0/24 ip4:204.79.188.0/24 ip4:204.79.252.0/24 ip4:207.46.0.0/16 ip4:199.2.137.0/24 ~all"

6




mod Modificadores finales (deben ir despus del all)

redirect=domain Similar a includeexp=txt-rr Indica registro TXT a devolver en caso de

error Ejemplos:

irontec.com text "v=spf1 a mx ~all exp=malote.irontec.com"malote.irontec.com text "El email enviado por %(s) a traves del servidor SMTP %(i) fue rechazado por %(c) (%(r)) a las %(t) debido a un fallo en la verificacion del dominio %(p). Pongase en contacto con [email protected] para mas informacion"

6



SPF: Asistente orientativo para determinar los

valores adecuados de los parmetros del DNS http://spf.pobox.com/wizard.html

6



SPF: Ejemplo de Cabecera:

X-Gmail-Received: 8acbceeba3a4e78bb82169f5e8fd14913a9e40e6Delivered-To: [email protected]: Received: from mai.irontec.com (mai.irontec.com [66.111.55.10]) by mx.gmail.com with ESMTP id 11si280525wrl.2005.05.22.17.58.14; Sun, 22 May 2005 17:58:14 -0700 (PDT)Received-SPF: pass (gmail.com: domain of [email protected] designates 66.111.55.10 as permitted sender)Received: from www.irontec.com (mai [127.0.0.1]) by mai.irontec.com (Postfix) with ESMTP id 4F850598063 for ; Mon, 23 May 2005 02:58:23 +0200 (CEST)Date: Mon, 23 May 2005 02:58:23 +0200 (CEST)Subject: probando SPF de gmailFrom: "Iker Sagasti Markina" To: [email protected]: [email protected]: 1.0Content-Type: text/plain;charset=iso-8859-1Content-Transfer-Encoding: 8bitX-Priority: 3 (Normal)Importance: Normal

6



SPF: Algunos MTA's que lo implementan

6



SPF: Algunos MTA's que lo implementan

Postfix: http://spf.pobox.com/postfix-policyd.txt Qmail: http://www.saout.de/misc/spf/ Exim: http://spf.pobox.com/exim4.spf.acl-2.09.txt Sendmail:

http://srs-socketmap.info/spf/sendmail-milter-spf.pl Courier:

http://search.cpan.org/search?query=Courier::Filter::Module::SPF

MsExchange: http://www.michaelbrumm.com/smtpspffilter.html

6



SPF: Problemas asociados:

Requiere que ambas partes lo soporten Sobrecarga del protocolo DNS El mtodo de autenticacin no permite validaciones

de redirecciones a travs de otros MTA (SRS). Los ISP necesitan implementar mecanismos de

autenticacin (modificar los MTA) Lo ideal sera la implementacin de un nuevo

registro DNS: SPF. De momento TXT. Es necesario un SMTP saliente para cada cuenta

de correo.

6



SPF: Implementacin en el DNS

irontec.com. IN TXT "v=spf1 a mx ~all"

6



SPF: Implementacin en el MTA

Libreras necesarias

# apt-get install libmail-spf-query-perl

Filtro que implementa SPF para integrarlo con Postfix

http://spf.pobox.com/postfix-policyd.txt

6




Main.cfsmtpd_policy_service_endpoint = unix:private/policysmtpd_recipient_restrictions = permit_mynetworks reject_unauth_destination check_policy_service unix:private/policy

Master.cfpolicy unix - n n - - spawn user=nobody argv=/usr/bin/perl \ /usr/lib/postfix/smtpd-policy.pl

6




Logspostfix/policy-spf[7361]: Attribute: client_address=66.111.55.10postfix/policy-spf[7361]: Attribute: client_name=mai.irontec.compostfix/policy-spf[7361]: Attribute: helo_name=mai.irontec.compostfix/policy-spf[7361]: Attribute: instance=1cbd.4290f1d7.0postfix/policy-spf[7361]: Attribute: protocol_name=ESMTPpostfix/policy-spf[7361]: Attribute: protocol_state=RCPTpostfix/policy-spf[7361]: Attribute: queue_id=postfix/policy-spf[7361]: Attribute: [email protected]/policy-spf[7361]: Attribute: request=smtpd_access_policypostfix/policy-spf[7361]: Attribute: sasl_method=postfix/policy-spf[7361]: Attribute: sasl_sender=postfix/policy-spf[7361]: Attribute: sasl_username=postfix/policy-spf[7361]: Attribute: [email protected]/policy-spf[7361]: Attribute: size=1136postfix/policy-spf[7361]: : testing: stripped [email protected], stripped [email protected]/policy-spf[7361]: handler testing: DUNNOpostfix/policy-spf[7361]: : SPF pass: irontec.com A 66.111.55.10, header_comment=AsteriX: domain of [email protected] designates 66.111.55.10 as permitted senderpostfix/policy-spf[7713]: handler sender_permitted_from: DUNNO postfix/policy-spf[7713]: decided action=DUNNO

6




Cabecera Es necesario parchear Postfix. No oficial. http://www.ipnet6.org/postfix/spf/

6




Ejemplo de rechazoaktor@ObeliX:~$ telnet irontec.com 25Trying 66.111.55.10...Connected to mai.irontec.com.Escape character is '^]'.220 mai.irontec.com ESMTP Postfixhelo elmundo.com250-mai.irontec.commail from: 250 Okrcpt to: 554 : Recipient address rejected: Please see http://spf.pobox.com/why.html?sender=aktor%40elmundo.com&ip=80.35.230.140&receiver=mai.irontec.comquit221 ByeConnection closed by foreign host.

6elmundo.com text "v=spf1 ip4:200.75.73.106mx mx:luna.elmundo.com-all"



Sender-ID: Caractersticas

Es el resultado de la unin de los protocolos SPF (Pobox) y PRA (Microsoft). SPF se centra en el argumento MAIL FROM del

protocolo SMTP para realizar la verificacin PRA se centra en la cabecera From: del cuerpo del

mensaje 100% compatible con SPF Tambin conocido como v=spf2.0/pra

6



Sender-ID: MAIL FROM:

Los MTA (servidores de correo) son los encargados de hacer las verificaciones del valor de este campo del protocolo SMTP.

MAIL FROM:From:

MAIL FROM:Sender:From:

6



Sender-ID: PRA: Purported Responsible Address

Los MUA (clientes de correo) son los encargados de hacer la verificacin.

Prximamente soportado por:

6



Sender-ID: Funcionamiento:

6



Sender-ID: Algunas entidades que lo implementan

6



Sender-ID: Ejemplo DNS:$ host -t txt aol.com

aol.com text "spf2.0/pra ip4:152.163.225.0/24 ip4:205.188.139.0/24 ip4:205.188.144.0/24 ip4:205.188.156.0/23 ip4:205.188.159.0/24 ip4:64.12.136.0/23 ip4:64.12.138.0/24 ptr:mx.aol.com ?all"

6Dominio

Identificativode Sender-ID



Sender-ID: Problemas asociados

Microsoft es propietario de la licencia de patente gratuita de Sender-ID

Esto supone que Microsoft tiene una patente sobre un estandar de internet, que podra modificar cuando quisiera.

La licencia no es compatible con la GPL y es problemtica para implementaciones de software libre.

Grandes grupos de software libre no la apoyan (Debian GNU/Linux, Fundacin Apache, FSF, Postfix, Exim, Courier...)

6



Sender-ID: Ejemplo DNS para NO dar soporte a Sender-ID:$ host -t txt anti.sender-id.com

anti.sender-id.com text "spf2.0/pra -all"

6

Vaco



Domain-Keys: Caractersticas

Desarrollado por Yahoo! Borrador de estndar de Internet IETF Basado en Criptografa de clave pblica

PKI (512, 768, 1024, 1536, 2048) Transparente y compatible con la infraestructura de

correo existente. No requiere nueva infraestructura Se implementa independiente a los clientes No exige utilizar una Autoridad Certificadora Oficial

6



Domain-Keys: Elementos que intervienen

DNS Necesario para poner accesible la clave pblica con la

que se firman los correos enviados por terceros. Registro TXT.

MTA El MTA ser en encargado de verificar y firmar

digitalmente los mensajes entrantes y salientes.

6



Domain-Keys: Funcionamiento

Est basado en un par de claves pblica/privada Por cada correo saliente se calcula un hash A partir del hash se genera una firma con la Clave

Privada. La firma se aade a la cabecera del correo,

especificando donde encontrar la Clave Pblica. El receptor podr verificar la firma de la cabecera

utilizando la Clave Pblica encontrada en el DNS. Si coinciden el hash descifrado de la cabecera con

el hash calculado del cuerpo, el correo es vlido.

6



Domain-Keys: Funcionamiento

6



Domain-Keys: Resultados posibles:

La firma DomainKey es vlida: CORREO VLIDO

La firma DomainKey no existe o no es vlida para un dominio con el registro DNS: CORREO INVLIDO

Dominio sin registro DNS: CORREO INCIERTO

6



Domain-Keys: Algunas entidades que lo implementan

6



Domain-Keys: Ejemplo Cabecera:DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;

s=clave; d=irontec.com; h=received:message-id:date:from:reply-to:to:subject:mime-version:content-type:content-transfer-encoding:content-disposition; b=p5iW1AkeDteYhLf81bPjxjfYHoGGWU+088ZE5ln8hFPSN2sTsIY3AGMmhA8cL0a9OPAsIkigappWZ533+wI2hF8OxMZ81Lvsb9Us2r0liEsQAZhxXLpJUXUAQqgughAmuXKzGFpvR1ljtbzPDi7/LXxdCiqoj9nhE/xZpnpAl5g=

6



Domain-Keys: Descripcin de los parmetros de la Cabecera

a (algoritmo firma) * b (firma digital) * c (algoritmo de orden) * d (dominio) * h (listado de las cabeceras) q (consulta) * s (selector) *

6



Domain-Keys: Descripcin de los parmetros de la Cabecera

Selector Son nombres arbitrarios bajo el espacio de nombre

_domainkey y su funcin es indicar el espacio de nombre al que hacer la consulta para obtener la clave pblica con la que ha sido generada la cabecera DK.

Permite trabajar simultneamente con varias claves Ejemplos:

clave._domainkey.irontec.com2005.05.internet._domainkey.irontec.com2005.05.sistemas._domainkey.irontec.com2005.06.internet._domainkey.irontec.com2005.06.sistemas._domainkey.irontec.com

6



Domain-Keys: Ejemplo DNS:$ host -t txt beta._domainkey.gmail.com

beta._domainkey.gmail.com text "t=y\; k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC69TURXN3oNfz+G/m3g5rt4P6nsKmVgU1D6cw2X6BnxKJNlQKm10f8tMx6P6bN7juTR1BeD8ubaGqtzm2rWK4LiMJqhoQcwQziGbK1zp/MkdXZEWMCflLY6oUITrivK7JNOLXtZbdxJG2y/RAHGswKKyVhSP9niRsZF/IBr5p8uQIDAQAB"

6Selector DominioSelector

Modo Prueba



Domain-Keys: Descripcin de los parmetros del DNS

g (granularidad) k (tipo de clave) n (notas) p (clave publica) * t (flag)

6



Domain-Keys: Ejemplo consulta informacin DNS Interino:$ host -t txt _domainkey.yahoo.com

_domainkey.yahoo.com text "t=y\; o=~\; n=http://antispam.yahoo.com/domainkeys

6Espacio de Nombrereservado en el DNSpara implementar DK



Domain-Keys: Descripcin de los parmetros del DNS

Interino n (notas) o (poltica de firmas salientes) r (email de aviso) t (flag)

6



Domain-Keys: Algunos MTA's que lo implementan

6



Domain-Keys: Problemas asociados:

Requiere que ambas partes lo soporten Sobrecarga del protocolo SMTP y DNS

Calcular algoritmos criptogrficos para cada correo Aumentan el nmero de consultas

Forwarding Se aaden nuevos elementos (cabeceras, pies...)

Seguridad DNS no es un protocolo intrnsecamente seguro

6



Domain-Keys: Implementacin en el DNS

Generar el par de claves (pblica / privada) Clave Privada (para firmar los correos enviados)

$ openssl genrsa -out rsa.private 768 Clave Pblica (para que otros puedan verificar los

correos enviados por mi)$ openssl rsa -in rsa.private -out rsa.public -pubout -outform PEM

La clave pblica (rsa.public) se coloca en el DNSclave._domainkey.irontec.com. IN TXT "t=y\;k=rsa\;p=MHwwDQYJKoZIhvcNAQEBBQADawAwaAJhAKXQl2uA4vntjblGsnkCC9lVcQZXm722Y0brubUGo6KOVpfvNQ35/OeEJvGbOYTeFGGIta+re5zyzg+cU9CbDGlwj9tEyAb6VY4HUtJOAUheJCsIYg0iiBDlCKNoURtjsQIDAQAB"

6



Domain-Keys: Implementacin en el MTA

Generar la firma del correo$ openssl dgst -sign rsa.private -sha1 < input.mail

aoiDeX42BB/gP4ScqTdIQJcpAObYr+54yvctqc4rSEFYby9+omKD3pJ/TVxATeTzmsybuW3WZiamb+mvn7f3rhmnozHJ0yORQbnn4qJQhPbbPbWEQKW09AMJbyz/0lsl

DomainKey-Signature: a=rsa-sha1 s=clave; d=irontec.com; c=nofws; q=dns; b=aoiDeX42BB/gP4ScqTdIQJcpAObYr+54yvctqc4rSEFYby9+omKD3pJ/TVxATeTzmsybuW3WZiamb+mvn7f3rhmnozHJ0yORQbnn4qJQhPbbPbWEQKW09AMJbyz/0lsl;

6



Domain-Keys: Dkfilter (http://jason.long.name/dkfilter)

Requiere el mdulo de PERL Crypt::OpenSSL::RSA# apt-get install libcpanplus-perl libssl-dev# apt-get install bzip2 tar lynx wget ncftp ftp gpg# cpancpan> install Crypt::OpenSSL::RSA

Copiamos dkfilter en /usr/local/dkfilter Cambiamos permisos de /usr/local/dkfilter Preparamos un script de arranque y parada

6



Domain-Keys: Dkfilter

Filtro de Entrada Para iniciarlo

# dkfilter.in 127.0.0.1:10025 127.0.0.1:10026

Master.cf# Recibe el correo desde Internet y lo inyecta al# filtro con pto. 10025smtp inet n - n - - smtpd -o smtpd_proxy_filter=127.0.0.1:10025 -o smtpd_client_connection_count_limit=10

6




Filtro de Entrada Master.cf

# Para recibir el correo desde el filtro de contenidos127.0.0.1:10026 inet n - n - - smtpd -o smtpd_authorized_xforward_hosts=127.0.0.0/8 -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions= -o mynetworks=127.0.0.0/8 -o receive_override_options=no_unknown_recipient_checks

6




Filtro de Salida Para iniciarlo

# dkfilter.out --keyfile=/usr/local/dkfilter/private.key --selector=clave --domain=irontec.com--method=nofws 127.0.0.1:10027 127.0.0.1:10028

Master.cf# Instancia para el cliente DK encargado de firmardksign unix - - n - 10 smtp -o smtp_send_xforward_command=yes

6




Filtro de Salida Master.cf

# Servicio para aceptar correos del cliente DK127.0.0.1:10028 inet n - n - 10 smtpd -o content_filter= -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks -o smtpd_helo_restrictions= -o smtpd_client_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o mynetworks=127.0.0.0/8 -o smtpd_authorized_xforward_hosts=127.0.0.0/8

6




Filtro de Salida Master.cf

# Definimos un filtro de contenidos para los correos# enviados a travs de este MTA.# Solo para usarios locales y autenticados por SASLsubmission inet n - n - - smtpd -o smtpd_etrn_restrictions=reject -o smtpd_sasl_auth_enable=yes -o content_filter=dksign:127.0.0.1:10027 -o receive_override_options=no_address_mappings -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject

6




Ejemplo cabecera de correo vlidoAuthentication-Results: AsteriX [email protected]; domainkey=passDomainKey-Signature: a=rsa-sha1; b=T3l1MLH6fZyI+GrS+4tzUG2X8pBVbDgrKUf9h9UFg2nsNJ2HwdYNp9XPLEsqr4Mq5LrxULTsfJm3ll65ZrKHrBgz7S7MSZ3u9+Jm/8zPLBIDJs/vOVjM1hVOGnjRzAW7YTlnekjju5lcJNAo3VvzBtbL+5gUnaPbfwxHKKivPEw=; c=nofws; d=irontec.com; q=dns; s=clave

6




Ejemplo cabecera de correo invlidoAuthentication-Results: AsteriX [email protected]; domainkey=neutral (signature invalid; key testing)DomainKey-Signature: a=rsa-sha1; b=ChzGakHHdR7KsaBbdRqIb+dyJ3ua5oDXfYZMMRpHDNFYMcZVzK9sTlipQ1eu8t2317tNbyW93SVBHFYEqLkun7zyrvnHYiJ5VXYYPYe0iUPA5RlfDurJOZHcQdsf/QZevzVsP7KDzZgdOZRIUwGF2EP6vYNs5HKE6p6socVvVDo=; c=nofws; d=irontec.com; q=dns; s=clave

6




Ejemplo cabecera de correo entrante sin firmarAuthentication-Results: AsteriX [email protected]; domainkey=neutral (no signature; domain testing)

6


Tcnicas anti-spam: Presente y FuturoFin del SPAM?

Existe el SPAM porque es un negocio rentable (tiene un costo y un beneficio asociado)

Si una parte de los usuarios utiliza filtros que tienen un 90% efectividad Ej: 20% de usuarios usan filtros

18% del spam se pierde Los spammers pierden un 18% de su negocio

Ej: 50% de usuarios usan filtros 45% del spam se pierde Los spammers pierden un 45% de su negocio Quizs ya no sea un negocio!

7


Tcnicas anti-spam: Presente y FuturoReferencias

Referencias


Tcnicas anti-spam: Presente y FuturoReferencias

Wikipedia Project Honey Pot Sophos Cmara de Gipuzkoa Portaley Pobox Domainkeys MsExchange Blyx


Tcnicas anti-spam: Presente y FuturoAgradecimientos

Agradecimientos


Tcnicas anti-spam: Presente y FuturoAgradecimientos

Enpresa Digitala Toni dlF. Diaz Vosotros ;-)


Tcnicas anti-spam: Presente y FuturoLicencia Copyleft

Copyright


Tcnicas anti-spam: Presente y FuturoLicencia Copyleft

Este documento est protegido bajo la licencia Reconocimiento-CompartirIgual 2.1 Espaa de Creative Commons (http://creativecommons.org/licenses/by-sa/2.1/es/)

Copyright 2005 Iker Sagasti Markina

Se permite la copia, modificacin, distribucin, usocomercial y realizacin de la obra, siempre y cuando sereconozca la autora de la misma y se cite al autor original, a no sea ser que se obtenga permiso expreso del autor.

Esta nota no es la licencia completa de la obra, sinouna nota orientativa de la licencia original completa (jurdicamente vlida).

técnicas antispam.pdf

Documents