E-Mail, IPv6 & Spam-Abwehr 74. DFN-Betriebstagung Mittwoch, 24. März 2021
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Patrick Ben Koetter | p@sys4.de | sys4 AG E-Mail, IPv6 & Spam-Abwehr 74. DFN-Betriebstagung Mittwoch, 24. März 2021
Auf IPv6 haben alle gewartet
Warum haben wir den ganzen Sch… eigentlich?
„Gute Nacht,
Elisabeth!“
„Gute Nacht,
John Boy!““Basically, the default was
to trust everyone else”
(Grant Blank)IPv6 ist ein bisschen wie die Stunde Null
„Stunde Null“ (Zero Hour) implies "an absolute break with the past and a radical new beginning" or a "sweeping away of old traditions and customs".
_
Was an Anti-Spam in IPv4-E-Mail gut war
Was an Anti-Spam in IPv4-E-Mail schlecht war
● Langer Lernprozess ● Evolutionäres Verständnis von Anti-Spam ● „Hopp oder Top“-Policies ● Kein common sense einer baseline-Policy ● Viele, kleine und verteilte Landschaften
Anwender mögen E-Mail nicht ● Sie sind auf E-Mail angewiesen ● E-Mail ist kompliziert ● Mobiles E-Mail ist anders und deshalb auch kompliziert ● E-Mail ist nicht in Prozesse integriert ● Und dann noch Spam! SPAM! SPAM!!!
Wenn wir jetzt also IPv6 einführen…
Verbesserungspotential ● E-Mail-Einrichtung vereinfachen (→ automx.org) ● IMAP ist Voraussetzung für mobile E-Mail ● Groupware und Groupware-Clients einsetzen ● Reputationsbasierte Policies einführen
„Die Blocklisten waren doch gut!“
Ein bisschen Schwarz-Weiß Malerei, oder?
Differenzierte Wahrnehmung geht anders, oder?
Das Ziel lautet: Kommunikation
Freie Kommunikation bedeutet maximal permissive Mailsysteme
Nicht gleich draufhauen, sondern Warten und Abwägen.
Lasst Euer Anti-Spam-System lernen!
Wieso lernen?
Das Problem mit IPv6 und Blocklists
Blocklists und IPv6
● Bei IPv6 erhält jeder Host immer gleich ein ganzes Subnetz zugeteilt, also viele
Adressen.
– Das ist je nach Provider ein /56 oder ein /64er Netz.
– Also sehr viele Adressen.
● Spammer können für jede SpamMail eine neue IPAdresse verwenden.
● Wie groß ist denn das Subnetz eines Hosts?
– Es ist unklar, welcher Netzbereich komplett auf RBLs wandern darf!
– Block zu klein: Spammer hat genug saubere IPs.
– Block zu groß: Unschuldige werden geblacklisted.
Credits: Peer Heinlein2128 IP-Adressen
Sender müssen sich in IPv6 eine gute Reputation verdienen!
Wie geht Reputation in E-Mail?
Reputation ● Gib Dich zu erkennen ● Sei vorhersagbar ● Verhalte Dich ordentlich ● Sei verbindlich
Was setzt Reputation voraus?
Identity! Identity!
Identity!Reputationsmethoden
● Host-Identität
● SPF
Ankündigung der Route
● DKIM
Identität Sender*in/Senderdomain
● DMARC
Senderseitige Policy/Monitoring der PolicyHost-Identität DNS $ dig +short AAAA mail.sys4.de 2001:1578:400:111::7 $ dig +short -x 2001:1578:400:111::7 mail.sys4.de. HELO Name $ postconf smtp_helo_name smtp_helo_name = $myhostname $ postconf myhostname myhostname = mail.sys4.de
SPF
● Nennung der Systeme, welche für eine Domain senden
dürfen, im DNS
● Ja, SPF ist „br0ken by design“
● Nein, man muss es nicht wegwerfen
– Einhaltung ist ein Plus
– Verletzung ist neutralBeispiel einer SPF-Policy bund.de. 600 IN TXT "v=spf1 include:_spf1.bund.de ~all" _spf1.bund.de. 600 IN TXT "v=spf1 ip4:77.87.228.72/29 ip4:77.87.224.104/29 ip4:77.87.224.128/28 ip4:77.87.228.112/28 include:_spf1.bfinv.de -all"
SPF-Rollout ● Mit softfail anfangen ● Mit DMARC rua-Reports monitoren ● Verstöße recherchieren ● Auf hardfail gehen
DKIM
● Kryptographisches Signaturverfahren, um Identität von
Sender*innen/einer Senderdomain zu etablieren
● Prüfsummen über Header und Body einer E-Mail
● SHA1 ist böse, SHA256 ist gut
● RSA ist alt, ED25519 ist neu
● Beide Algos einsetzen!Beispiel: DKIM-Signatur
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=google.com; s=20161025;
h=mime-version:date:tls-report-domain:tls-report-submitter:message-id
:subject:from:to;
bh=azC3UVmLGUVvFQ+Fh07XhWeptWipRI5oX3VmNs7yy7E=;
b=YCYqzlGio2eIN1ovvZme/umNyee9o+H3rHyvmDeS/c3+TXBQeaBWnWLJC1m6iOAsyv
zJ2DsWeI98smDYZjRdqq+pHBRn3XN3MjAwiDBf4KWX7QRHHAVkPy5FIvui0vFbHS9v3A
nQyuqPD4kTePtKc+8g6dkMMdRNHD6Bn/oRVSGDkkApug+n9KF9phb5t6xr7ckOvoXnpK
8gjdFOW1sWwp4tqiGQMem8h2NcMGrAi0O1e+SQft+ncRlOs1bxBwtddl3UjPIDLKQMTs
XpTiM/WFbApBgRNPVCj4y19JFyh/EkCZ0FmD1dTaac81uAPc3nDgz84BjDFfPPI0XUdU
kDGQ==Beispiel: DKIM-Key abfragen $ dig +short TXT 20161025._domainkey.google.com "k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwXNZF1j8sJPDle Rjf9SPBNem0ik58kF1ilC1nUgKAttl9v7FX9hXJXPmLNhVtSKVZ8yruaeOZL eIxtgtk1s81zzIE5Mj0AiGn2wlFt4kYfqlDfYe95YLQHjynu4i7vj1Tj" "ksf62btcCbL+3XhbK+oD5PlqYhXHWuzoKoEp5L4lCihgkONvU/oy7NNeE6q uqfF/y0YSLwF2WVA2Kd8L6R0Ar2dYT/ 3wZCFknI7xhvPqh9HNcIWBELGPwtXcsHbX1wvBlCgNQAUcdJrf2YWzAwqmZ5 64/1ipL1IMk1nafPJk75ktumVNz6ORuIn3jbZWp9rRpnaeI9cu/ 8KfSKH2EY9QIDAQAB"
DMARC
● Erweitert SPF und DKIM um Policy- und Reporting-
Fähigkeiten
● Finger weg von Forensic Reports!
● Macht klassisches Forwarding kaputt
● Mailinglisten-Betreiber hassen es
● Wird um ARC erweitert und dann geht es wiederBeispiel: DMARC-Policy abfragen $ dig +short TXT _dmarc.bund.de "v=DMARC1; p=none; rua=mailto:ht5gl0zz@ag.eu.dmarcian.com;" $ dig +short TXT _dmarc.bfdi.bund.de "v=DMARC1; p=reject; rua=mailto:ht5gl0zz@ag.eu.dmarcian.com;"
Host (DNS & Helo Name),
Route (Mailplattform)
und
Identität (Senderdomains)
sind damit bekanntJetzt könnt ihr Reputation aufbauen
Einen Moment noch…
DMARC-Ökosystem
Wo ist der Reporter?
Das Ökosystem lebt von Reports.
Werdet Reporter!SPF, DKIM und DMARC-Adopter 2021 ● 1&1 ● T-Online ● Vodafone ● bund.de ● gmail.com ● yahoo.com ● microsoft.com ● comcast.net
SPF, DKIM und DMARC-Entwicklung
● IETF schließt Standardisierung ab
● ARC ist auch auf dem Weg
● BSI wird SPF, DKIM und DMARC in die TR3108
aufnehmen
● EU-Mitgliedsstaaten fordern es im EU-Verkehr einMailinglisten ● Bitte macht Eure Mailinglisten DMARC-konform ● Steigt um auf Mailman 3 ● Aktiviert ARC-Signing in Mailman 3
Bonusrunde!!!
DNSSEC works!
61048 1 %
55119 1 %
No Problem
DNS-Problem
DNSSEC-Problem
9847258 99 %Top 10 Tranco Ranking Domain Rank adidasnmds.com 23586 adidasoutletonline.com 26819 gb.com 58500 aru.ac.th 66661 gexperiments3.com 69196 nikefree-run.fr 74611 christian-louboutins.fr 76379 airjordanretro.fr 76665 ubu.ac.th 83489 saclongchamp-pascher.fr 90425 https://tranco-list.eu/
Owner sind Domain Reseller
6000
5000
4000
3000
2000
1000
0
o l t e t l e t l l t u l
om nf om om om om r.n ne om .s ne .n .s ne .n .n ne .e .n m
l . c n. i . c . c . c . c de h. . c l e s . ns ro w. da x c e.
rar i nd
l . co
ro io re g rs y vi ov d a dn d ne e ra a m st tf w
nt at f la rk
in
rve ans ro ope or-s ix fb bi gcr ost rna gi f irs so
o i c d a e r p l f w n e e n
nc er
if ou p r-s
g
pe
n
ev
e n- ki n yo
u r d
ai l v cl do ra o d ai p ar w
i e m
do
m a s st un do ne
em gi re
reFür Euch getestet…
● DNSSEC-Implementierung in systemd-resolved ist
unvollständig
– Er validiert
– Er unterdrückt Fehler nicht!
● Nutzt unbound!Danke!
Sie können auch lesen
