14 Октябрь 2016

Автоматическая ротация ключей DKIM


Использование механизма DKIM в системе оборота электронной почты в последние годы получило широкое распространение.

Вкратце, суть его состоит в использовании цифровой подписи (пара открытый и закрытый ключи) к набору заголовков и тексту сообщения, которая позволяет подтвердить легитимность его происхождения. Благодаря этому DKIM в связке с механизмом SPF в надстройке в виде политик DMARC, в настоящее время являются одними из популярных способов борьбы с несанкционированными рассылками (спамом).

Как и во всякой другой системе, которая базируется на цифровой подписи, хорошим тоном считается периодическая ротация ключей в целях поддержания высокого уровня безопасности и защиты информации. Однако, небольшое исследование, которое провёл автор "в живой природе" показало, что большинство администраторов почтовых систем не уделяют этому моменту никакого внимания — единожды созданные пары ключей годами остаются неизменными повышая, тем самым, риск компрометации системы со стороны злоумышленников, которые вполне могут либо путём хищения закрытого ключа, либо его создания эквивалентного через bruteforce по открытому (особенно если при их создании использовался SHA1), создавать поддельные письма для данного домена и использовать их в своих целях.

В этой связи, актуальным становится вопрос ротации ключей DKIM и автоматизации её процесса.

Читать далее

27 Сентябрь 2016

Использование анализа MIME средствами Exim 4.88


SMTP-сервер Exim снискал большую популярность благодаря гибкости и поддержке современных технологий. Он занимает в настоящее время доминирующее положение в области средств доставки электронной почты в сети Интернет.

Несмотря на то, что последним опубликованным релизом на момент публикации этой статьи является версия 4.87, анализ грядущих в ближайшем будущемизменений и, возможно, необходимая последующая адаптация конфигурации Exim к этим переменам, несомненно, будет не только не лишней, но и полезной.

Просматривая changelog грядущего релиза 4.88 я обратил внимание на следующий абзац в списке изменений.

JH/02 The obsolete acl condition "demime" is removed (finally, after ten years of being deprecated). The replacements are the ACLs acl_smtp_mime and acl_not_smtp_mime.

Читать далее

6 Сентябрь 2016

Использование статистики Spamassassin в конфигурации Exim


В предыдущей статье "Подсистема оценки репутации антиспам пакета Spamassassin", помимо отражённых в заголовке, были затронуты вопросы того, как антиспам пакет Spamassassin накапливает и хранит данные об отправителях сообщений.

Если внимательно посмотреть на набор хранимых данных, то становится очевидным, что их можно применить и при конфигурировании начальных стадий процесса приёма сообщений SMTP-сервера. Учёт данных о репутации, к примеру, IP-адреса можно использовать для ограничения частоты рассылки спама с данного адреса. Это позволит, как уменьшить объёмы нежелательной почты, так и существенно сэкономить ресурсы почтового сервера. Кроме того, в данном случае будет отсутствовать необходимость в отдельной реализации специального механизма чёрных список вместе с сопутствующим ему программным кодом и базами данных.

Итак, рассмотрим пример использования данного подхода на базе использования его при конфигурировании Exim.

Читать далее

27 Август 2016

Использование нескольких SSL сертификатов на одном IP адресе


Вопрос защиты информации в сети Интернет с каждым годом не только не теряет, но и приобретает всё большую актуальность.

Одним из проявлений этого процесса является массовое внедрение использования шифрования передваемых данных посредством технологии SSL / TLS сертификатов (далее для краткости - просто SSL).

Помимо проблем безопасности, к началу повсеместного применения данной технологии стимулируют и новые системы ранжирования поисковой выдачи, которые учитывают наличие шифрованного соединения для сайтов, а также возможность получения бесплатных SSL сертификатов, которую предоставляет ряд ведущих провайдеров данных услуг, в частности Let's Encrypt.

Однако, несмотря на очевидную пользу, шифрование данных посредством SSL/TLS имеет и ряд ограничений, вызванных особенностями используемых протоколов.

Читать далее

29 Июль 2016

Использование fail2ban через TCP wrappers


Возможно, да и наверняка, кому-то будет полезный мой опыт настройки защиты против всевозможных bruteforce'ров и spam'еров посредством использования популярного fail2ban отличным от использования firewall путём - через TCP wrappers.

Подробнее о TCP wrappers я писать не буду, ибо желающие могут прочитать о них, например, в FreeBSD handbook. Хочу лишь сказать о причинах, побудивших меня использовать именно этот механизм ограничения доступа к интернет-сервисам.

Читать далее

2 Июль 2016

Особенности вызова и обучения Spamassassin


В этой небольшой заметке хотелось бы уделить внимание особенностям вызова антиспам системы Spamassassin для обработки входящей корреспонденции и взаимосвязанного с этим процесса обучения bayes-фильтров, которым, на мой взгляд, уделено недостаточное внимание в многочисленных how-to посвещённых этому замечательному программному комплексу.

Начнём, пожалуй с главной особенности процесса использования Spamassassin, а именно возможности учитывать при оценке входящей почты на её принадлежность (или наоборот) к спаму посредством вышеупомянутых статистических bayes-фильтров. Их формирование может происходить как в ручном режиме посредством т.н. "обучения" системы путём передачи на вход письма, которое вами классифицируется как очевидный спам, так и в автоматическом режиме на основании критериев настройки автообучения.

Читать далее