Lab Exchange 2007

Exchange 2007 là một sản phẩm Mail Server với tính năng Anti Spam được xây dựng sẵn khá mạnh mẽ, Exchange 2007 sử dụng các bộ lọc Mail (Filtering Agent) được tính hợp sẵn trên Edge Transport Server để kiểm tra tính hợp lệ của một E-Mail trước khi đưa vào Mailbox Server một cách chặt chẽ. Ngoài những bộ lọc thông dụng như IP Block/Allow List, IP Block/Allow List Provider, Sender Filtering, Content Filtering ...
Nội dung trích xuất từ tài liệu:
Lab Exchange 2007Lab Exchange 2007 Lab #5 ANTI SPAMI. GIỚI THIỆU:Exchange 2007 là một sản phẩm Mail Server với tính năng Anti Spam được xây dựng sẵn khá mạnhmẽ, Exchange 2007 sử dụng các bộ lọc Mail (Filtering Agent) được tính hợp sẵn trên EdgeTransport Server để kiểm tra tính hợp lệ của một E-Mail trước khi đưa vào Mailbox Server mộtcách chặt chẽ. Ngoài những bộ lọc thông dụng như IP Block/Allow List, IP Block/Allow ListProvider, Sender Filtering, Content Filtering ... là những bộ lọc tương đối thông dụng và được trìnhbày khá nhiều trong các chương trình học, sách vở và các diễn đàn tin học, Sender Reputation làmột chức năng mới của Exchange 2007 nhằm ngăn chặn việc nhận các Spam E-Mail được gửi bằngcác hình thức không chính qui, những hình thức này thường được Spammer sử dụng như thông quaHTTP Proxy, SOCK hay HTTP POST..., Sender Reputation thật sự hữu hiệu để ngăn chặn các E-Mail nặc danh, giả mạo hay lặp đi lặp lại nhiều lầnTrong bài biết này, tôi sẽ trình bày sơ lược về nguyên tắc hoạt động của Sender Reputation và minhhọa cách tấn công bằng Spam Mail cũng như cách phòng chống bằng cách cấu hình SenderReputationII. NGUYÊN TẮC HOẠT ĐỘNG:Đầu tiên, tôi xin giải thích khái niệm SCL (Spam Confidence Level), có thể tạm hiểu SCL là 1 consố mô tả mức độ Spam của 1 E-Mail. Khi Edge Transport Server nhận được 1 E-Mail và chức năngContent Filtering được Enable, Exchange sẽ gán cho E-Mail này 1 số SCL (số này có giá trị từ 0đến 9), nếu SLC là 0 có nghĩa rằng E-Mail hoàn toàn hợp lệ, nếu SCL=9 có nghĩa E-Mail này làSpam E-Mail. Nếu SCL mang giá trị khác 0 và 9 thì tùy mức độ lớn nhỏ của SCL để Exchange xác LiveClub Hoa Sen www.liveclubhoasen.netLab Exchange 2007 Lab #5định mức độ Spam của E-Mail. Exchange 2007 thường xuyên cập nhật thông tin (sử dụngAntiSpam Update Service) từ hàng triệu Spam E-Mail mà Hotmail đã nhận, qua đó gán SCL cho E-Mail tùy thuộc vào nội dung của E-Mail này. Tóm lại, nếu SCL càng cao thì mức độ Spam của E-Mail càng cao và ngược lạiBây giờ tôi xin giải thích nguyên lý hoạt động của Sender Reputation (tạm dịch là “Danh tiếng củangười gửi”). Đây là 1 chức năng mặc định được Enable trên Edge Transport Server, chức năng nàysẽ chặn E-Mail dựa trên đặc thù của người gửi bằng cách gán cho người gửi 1 thông số gọi làSender Reputation Leval Block Threshold (SRL). Việc gán SRL cho người gửi được thực hiện theothứ tự gồm 4 bước như sau:Bước 1: Phân tích câu lệnh HELO/EHLO của người gửi:Sender Reputation Agent phân tích các lệnh HELO và EHLO mà người gửi thiết lập tới EdgeTransport Server và xác định người gửi này có đáng tin tưởng hay không. Một Spammer tiêu biểuthường có các câu lệnh HELO và EHLO khác nhau trong cùng 1 thời điểm và thường xuyên cungcấp những IP khác với IP thật của họ. Hơn nữa Spammer cũng hay dùng Domain name của chínhngười nhận để gửi Mail.Bước 2: Phân giải ngược IP của người gửi:Sender Reputation sẽ thực hiện việc phân giải ngược địa chỉ IP của người gửi, nếu việc phân giải trảvề tên Domain thật thì có nghĩa là người gửi này đáng tin tưởng, ngược lại thì khôngBước 3: Phân tích SCL của các E-Mail mà người gửi này đã gửi trước đây. Tùy thuộc vào SLC caohay thấp, Sender Reputation sẽ oánh giá mức độ đáng tin cây của người gửiBước 4: Sender Reputation Agent sẽ thực hiện kiểm tra IP người gửi bằng 1 Open Proxy. Nếu kếtnối được trả về cho Edge Transport Server là 1 Open Proxy Port hay Protocol (SOCKS 4 and LiveClub Hoa Sen www.liveclubhoasen.netLab Exchange 2007 Lab #55,Wingate,Telnet, Cisco, HTTP CONNECT, and HTTP POST) thì Server gửi coi như là 1 OpenProxy và nó là 1 hiểm họa tiềm tàng và số Sender Reputation Leval Block Threshold (SRL) củangười gửi sẽ được chỉnh cho hợp lý. Quá trình test proxy dùng các port 1080, 1081, 23, 6588, 3128và 80. Tùy thuộc vào kết quả kiểm tra, Sender Reputation sẽ gán cho người gửi 1 số SRL cũng nằmtừ 0-9 (cũng giống như việc gán số SCL). Nếu người gửi nào được gán số 9 thì đó chắc chắn làSpammer. Và nếu vượt ngưỡng (do ta qui định) thì IP của người gửi này sẽ tự động được đưa vàoIP Block List trong vòng 24 giờ (ta có thể tùy ý qui định thời gian này). Sau 24 giờ thì SenderReputation sẽ xóa IP người gửi ra khỏi danh sách IP Block List.Bạn cần lưu ý rằng 1 người gửi mà Sender Reputation chưa từng phân tích thì số SRL sẽ là 0, khingười gửi này đã gửi và Server từ 20 E-Mail trở lên thì Sender Reputation mới bắt đầu thực hiệnviệc phân tích và gán số SRL cho người gửi.Do đó khi cấu hình ...