E-Mail, IPv6 & Spam-Abwehr 74. DFN-Betriebstagung Mittwoch, 24. März 2021

Die Seite wird erstellt Stefan-Louis Wunderlich
 
WEITER LESEN
E-Mail, IPv6 & Spam-Abwehr 74. DFN-Betriebstagung Mittwoch, 24. März 2021
Patrick Ben Koetter | p@sys4.de | sys4 AG

E-Mail, IPv6 & Spam-Abwehr
74. DFN-Betriebstagung
Mittwoch, 24. März 2021
E-Mail, IPv6 & Spam-Abwehr 74. DFN-Betriebstagung Mittwoch, 24. März 2021
Auf IPv6 haben alle gewartet
E-Mail, IPv6 & Spam-Abwehr 74. DFN-Betriebstagung Mittwoch, 24. März 2021
E-Mail, IPv6 & Spam-Abwehr 74. DFN-Betriebstagung Mittwoch, 24. März 2021
Warum haben wir den ganzen Sch… eigentlich?
E-Mail, IPv6 & Spam-Abwehr 74. DFN-Betriebstagung Mittwoch, 24. März 2021
E-Mail, IPv6 & Spam-Abwehr 74. DFN-Betriebstagung Mittwoch, 24. März 2021
E-Mail, IPv6 & Spam-Abwehr 74. DFN-Betriebstagung Mittwoch, 24. März 2021
„Gute Nacht,
Elisabeth!“

               „Gute Nacht,
               John Boy!“
“Basically, the default was
  to trust everyone else”
      (Grant Blank)
IPv6 ist ein bisschen wie die Stunde Null
„Stunde Null“ (Zero Hour) implies "an absolute break
with the past and a radical new beginning" or a
"sweeping away of old traditions and customs".
_
Was an Anti-Spam in IPv4-E-Mail gut war
Was an Anti-Spam in IPv4-E-Mail schlecht war
●   Langer Lernprozess
●   Evolutionäres Verständnis von Anti-Spam
●   „Hopp oder Top“-Policies
●   Kein common sense einer baseline-Policy
●   Viele, kleine und verteilte Landschaften
Anwender mögen E-Mail nicht
●   Sie sind auf E-Mail angewiesen
●   E-Mail ist kompliziert
●   Mobiles E-Mail ist anders und deshalb auch kompliziert
●   E-Mail ist nicht in Prozesse integriert
●   Und dann noch Spam! SPAM! SPAM!!!
Wenn wir jetzt also IPv6 einführen…
Verbesserungspotential
●   E-Mail-Einrichtung vereinfachen (→ automx.org)
●   IMAP ist Voraussetzung für mobile E-Mail
●   Groupware und Groupware-Clients einsetzen
●   Reputationsbasierte Policies einführen
„Die Blocklisten waren doch gut!“
Ein bisschen Schwarz-Weiß Malerei, oder?
Differenzierte Wahrnehmung geht anders, oder?
Das Ziel lautet: Kommunikation
Freie Kommunikation bedeutet
maximal permissive Mailsysteme
Nicht gleich draufhauen,
sondern Warten und Abwägen.
Lasst Euer Anti-Spam-System lernen!
Wieso lernen?
Das Problem mit IPv6 und Blocklists
Blocklists und IPv6
●   Bei IPv6 erhält jeder Host immer gleich ein ganzes Subnetz zugeteilt, also viele
    Adressen.
    –   Das ist je nach Provider ein /56 oder ein /64er Netz.
    –   Also sehr viele Adressen.
●   Spammer können für jede Spam­Mail eine neue IPAdresse verwenden.
●   Wie groß ist denn das Subnetz eines Hosts?
    –   Es ist unklar, welcher Netzbereich komplett auf RBLs wandern darf!
    –   Block zu klein: Spammer hat genug saubere IPs.
    –   Block zu groß: Unschuldige werden geblacklisted.

Credits: Peer Heinlein
2128 IP­-Adressen
Sender müssen sich in IPv6
eine gute Reputation verdienen!
Wie geht Reputation in E-Mail?
Reputation
●   Gib Dich zu erkennen
●   Sei vorhersagbar
●   Verhalte Dich ordentlich
●   Sei verbindlich
Was setzt Reputation voraus?
Identity! Identity!
    Identity!
Reputationsmethoden
●   Host-Identität
●   SPF
    Ankündigung der Route
●   DKIM
    Identität Sender*in/Senderdomain
●   DMARC
    Senderseitige Policy/Monitoring der Policy
Host-Identität
DNS
$ dig +short AAAA mail.sys4.de
2001:1578:400:111::7
$ dig +short -x 2001:1578:400:111::7
mail.sys4.de.

HELO Name
$ postconf smtp_helo_name
smtp_helo_name = $myhostname
$ postconf myhostname
myhostname = mail.sys4.de
SPF
●   Nennung der Systeme, welche für eine Domain senden
    dürfen, im DNS
●   Ja, SPF ist „br0ken by design“
●   Nein, man muss es nicht wegwerfen
    –   Einhaltung ist ein Plus
    –   Verletzung ist neutral
Beispiel einer SPF-Policy
bund.de. 600   IN TXT   "v=spf1 include:_spf1.bund.de ~all"

_spf1.bund.de. 600   IN TXT

  "v=spf1
  ip4:77.87.228.72/29
  ip4:77.87.224.104/29
  ip4:77.87.224.128/28
  ip4:77.87.228.112/28
  include:_spf1.bfinv.de
  -all"
SPF-Rollout
●   Mit softfail anfangen
●   Mit DMARC rua-Reports monitoren
●   Verstöße recherchieren
●   Auf hardfail gehen
DKIM
●   Kryptographisches Signaturverfahren, um Identität von
    Sender*innen/einer Senderdomain zu etablieren
●   Prüfsummen über Header und Body einer E-Mail
●   SHA1 ist böse, SHA256 ist gut
●   RSA ist alt, ED25519 ist neu
●   Beide Algos einsetzen!
Beispiel: DKIM-Signatur
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=google.com; s=20161025;
        h=mime-version:date:tls-report-domain:tls-report-submitter:message-id
        :subject:from:to;
        bh=azC3UVmLGUVvFQ+Fh07XhWeptWipRI5oX3VmNs7yy7E=;
        b=YCYqzlGio2eIN1ovvZme/umNyee9o+H3rHyvmDeS/c3+TXBQeaBWnWLJC1m6iOAsyv
        zJ2DsWeI98smDYZjRdqq+pHBRn3XN3MjAwiDBf4KWX7QRHHAVkPy5FIvui0vFbHS9v3A
        nQyuqPD4kTePtKc+8g6dkMMdRNHD6Bn/oRVSGDkkApug+n9KF9phb5t6xr7ckOvoXnpK
        8gjdFOW1sWwp4tqiGQMem8h2NcMGrAi0O1e+SQft+ncRlOs1bxBwtddl3UjPIDLKQMTs
        XpTiM/WFbApBgRNPVCj4y19JFyh/EkCZ0FmD1dTaac81uAPc3nDgz84BjDFfPPI0XUdU
        kDGQ==
Beispiel: DKIM-Key abfragen
$ dig +short TXT 20161025._domainkey.google.com
"k=rsa;
p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwXNZF1j8sJPDle
Rjf9SPBNem0ik58kF1ilC1nUgKAttl9v7FX9hXJXPmLNhVtSKVZ8yruaeOZL
eIxtgtk1s81zzIE5Mj0AiGn2wlFt4kYfqlDfYe95YLQHjynu4i7vj1Tj"
"ksf62btcCbL+3XhbK+oD5PlqYhXHWuzoKoEp5L4lCihgkONvU/oy7NNeE6q
uqfF/y0YSLwF2WVA2Kd8L6R0Ar2dYT/
3wZCFknI7xhvPqh9HNcIWBELGPwtXcsHbX1wvBlCgNQAUcdJrf2YWzAwqmZ5
64/1ipL1IMk1nafPJk75ktumVNz6ORuIn3jbZWp9rRpnaeI9cu/
8KfSKH2EY9QIDAQAB"
DMARC
●   Erweitert SPF und DKIM um Policy- und Reporting-
    Fähigkeiten
●   Finger weg von Forensic Reports!
●   Macht klassisches Forwarding kaputt
●   Mailinglisten-Betreiber hassen es
●   Wird um ARC erweitert und dann geht es wieder
Beispiel: DMARC-Policy abfragen
$ dig +short TXT _dmarc.bund.de
"v=DMARC1; p=none; rua=mailto:ht5gl0zz@ag.eu.dmarcian.com;"

$ dig +short TXT _dmarc.bfdi.bund.de
"v=DMARC1; p=reject;
rua=mailto:ht5gl0zz@ag.eu.dmarcian.com;"
Host (DNS & Helo Name),
  Route (Mailplattform)
            und
Identität (Senderdomains)
   sind damit bekannt
Jetzt könnt ihr Reputation aufbauen
Einen Moment noch…
DMARC-Ökosystem
Wo ist der Reporter?
Das Ökosystem lebt von Reports.
       Werdet Reporter!
SPF, DKIM und DMARC-Adopter 2021
●   1&1
●   T-Online
●   Vodafone
●   bund.de
●   gmail.com
●   yahoo.com
●   microsoft.com
●   comcast.net
SPF, DKIM und DMARC-Entwicklung
●   IETF schließt Standardisierung ab
●   ARC ist auch auf dem Weg
●   BSI wird SPF, DKIM und DMARC in die TR3108
    aufnehmen
●   EU-Mitgliedsstaaten fordern es im EU-Verkehr ein
Mailinglisten
●   Bitte macht Eure Mailinglisten DMARC-konform
●   Steigt um auf Mailman 3
●   Aktiviert ARC-Signing in Mailman 3
Bonusrunde!!!
DNSSEC works!
                           61048 1 %
                              55119 1 %

                                          No Problem
                                          DNS-Problem
                                          DNSSEC-Problem

            9847258 99 %
Top 10 Tranco Ranking
Domain                    Rank
adidasnmds.com            23586
adidasoutletonline.com    26819
gb.com                    58500
aru.ac.th                 66661
gexperiments3.com         69196
nikefree-run.fr           74611
christian-louboutins.fr   76379
airjordanretro.fr         76665
ubu.ac.th                 83489
saclongchamp-pascher.fr   90425
https://tranco-list.eu/
Owner sind Domain Reseller
     6000

     5000

     4000

     3000

     2000

     1000

            0
                                            o                                                                   l         t                             e            t         l            e          t           l           l          t            u                l
                       om                nf              om             om            om           om        r.n        ne             om            .s            ne        .n          .s          ne          .n          .n         ne           .e               .n           m
                 l . c              n. i             . c            . c           . c          . c         de        h.            . c            l e          s .        ns          ro          w.           da        x c         e.
                                                                                                                                                                                                                                                  rar             i nd
                                                                                                                                                                                                                                                                             l . co
              ro                  io              re              g            rs            y          vi        ov              d              a           dn          d          ne           e           ra         a           m          st              tf           w
           nt                  at             f la           rk
                                                                in
                                                                            rve          ans          ro                      ope           or-s          ix           fb        bi           gcr        ost                     rna        gi           f irs            so
          o                i c               d             a               e            r            p                      l             f              w                                   n         e                                   e                             n
       nc             er
                        if               ou               p            r-s
                                                                                       g
                                                                                                  pe
                                                                                                    n
                                                                                                                       ev
                                                                                                                          e             n-                                                ki          n                    yo
                                                                                                                                                                                                                               u          r                            d
    ai           l v                 cl                do           ra                         o                     d               ai                                               p ar                               w
                i                                    e                                                                            m
 do
   m           a                                   s             st                                               un            do                                                                                     ne
          em                                                  gi                                                                                                                                                     re
                                                            re
Für Euch getestet…
●   DNSSEC-Implementierung in systemd-resolved ist
    unvollständig
    –   Er validiert
    –   Er unterdrückt Fehler nicht!
●   Nutzt unbound!
Danke!
Sie können auch lesen