E-Mail, IPv6 & Spam-Abwehr 74. DFN-Betriebstagung Mittwoch, 24. März 2021
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Patrick Ben Koetter | p@sys4.de | sys4 AG E-Mail, IPv6 & Spam-Abwehr 74. DFN-Betriebstagung Mittwoch, 24. März 2021
“Basically, the default was to trust everyone else” (Grant Blank)
IPv6 ist ein bisschen wie die Stunde Null
„Stunde Null“ (Zero Hour) implies "an absolute break with the past and a radical new beginning" or a "sweeping away of old traditions and customs".
_
Was an Anti-Spam in IPv4-E-Mail gut war
Was an Anti-Spam in IPv4-E-Mail schlecht war
● Langer Lernprozess ● Evolutionäres Verständnis von Anti-Spam ● „Hopp oder Top“-Policies ● Kein common sense einer baseline-Policy ● Viele, kleine und verteilte Landschaften
Anwender mögen E-Mail nicht ● Sie sind auf E-Mail angewiesen ● E-Mail ist kompliziert ● Mobiles E-Mail ist anders und deshalb auch kompliziert ● E-Mail ist nicht in Prozesse integriert ● Und dann noch Spam! SPAM! SPAM!!!
Wenn wir jetzt also IPv6 einführen…
Verbesserungspotential ● E-Mail-Einrichtung vereinfachen (→ automx.org) ● IMAP ist Voraussetzung für mobile E-Mail ● Groupware und Groupware-Clients einsetzen ● Reputationsbasierte Policies einführen
„Die Blocklisten waren doch gut!“
Ein bisschen Schwarz-Weiß Malerei, oder?
Differenzierte Wahrnehmung geht anders, oder?
Das Ziel lautet: Kommunikation
Freie Kommunikation bedeutet maximal permissive Mailsysteme
Nicht gleich draufhauen, sondern Warten und Abwägen.
Lasst Euer Anti-Spam-System lernen!
Wieso lernen?
Das Problem mit IPv6 und Blocklists
Blocklists und IPv6 ● Bei IPv6 erhält jeder Host immer gleich ein ganzes Subnetz zugeteilt, also viele Adressen. – Das ist je nach Provider ein /56 oder ein /64er Netz. – Also sehr viele Adressen. ● Spammer können für jede SpamMail eine neue IPAdresse verwenden. ● Wie groß ist denn das Subnetz eines Hosts? – Es ist unklar, welcher Netzbereich komplett auf RBLs wandern darf! – Block zu klein: Spammer hat genug saubere IPs. – Block zu groß: Unschuldige werden geblacklisted. Credits: Peer Heinlein
2128 IP-Adressen
Sender müssen sich in IPv6 eine gute Reputation verdienen!
Wie geht Reputation in E-Mail?
Reputation ● Gib Dich zu erkennen ● Sei vorhersagbar ● Verhalte Dich ordentlich ● Sei verbindlich
Was setzt Reputation voraus?
Identity! Identity! Identity!
Reputationsmethoden ● Host-Identität ● SPF Ankündigung der Route ● DKIM Identität Sender*in/Senderdomain ● DMARC Senderseitige Policy/Monitoring der Policy
Host-Identität DNS $ dig +short AAAA mail.sys4.de 2001:1578:400:111::7 $ dig +short -x 2001:1578:400:111::7 mail.sys4.de. HELO Name $ postconf smtp_helo_name smtp_helo_name = $myhostname $ postconf myhostname myhostname = mail.sys4.de
SPF ● Nennung der Systeme, welche für eine Domain senden dürfen, im DNS ● Ja, SPF ist „br0ken by design“ ● Nein, man muss es nicht wegwerfen – Einhaltung ist ein Plus – Verletzung ist neutral
Beispiel einer SPF-Policy bund.de. 600 IN TXT "v=spf1 include:_spf1.bund.de ~all" _spf1.bund.de. 600 IN TXT "v=spf1 ip4:77.87.228.72/29 ip4:77.87.224.104/29 ip4:77.87.224.128/28 ip4:77.87.228.112/28 include:_spf1.bfinv.de -all"
SPF-Rollout ● Mit softfail anfangen ● Mit DMARC rua-Reports monitoren ● Verstöße recherchieren ● Auf hardfail gehen
DKIM ● Kryptographisches Signaturverfahren, um Identität von Sender*innen/einer Senderdomain zu etablieren ● Prüfsummen über Header und Body einer E-Mail ● SHA1 ist böse, SHA256 ist gut ● RSA ist alt, ED25519 ist neu ● Beide Algos einsetzen!
Beispiel: DKIM-Signatur DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=20161025; h=mime-version:date:tls-report-domain:tls-report-submitter:message-id :subject:from:to; bh=azC3UVmLGUVvFQ+Fh07XhWeptWipRI5oX3VmNs7yy7E=; b=YCYqzlGio2eIN1ovvZme/umNyee9o+H3rHyvmDeS/c3+TXBQeaBWnWLJC1m6iOAsyv zJ2DsWeI98smDYZjRdqq+pHBRn3XN3MjAwiDBf4KWX7QRHHAVkPy5FIvui0vFbHS9v3A nQyuqPD4kTePtKc+8g6dkMMdRNHD6Bn/oRVSGDkkApug+n9KF9phb5t6xr7ckOvoXnpK 8gjdFOW1sWwp4tqiGQMem8h2NcMGrAi0O1e+SQft+ncRlOs1bxBwtddl3UjPIDLKQMTs XpTiM/WFbApBgRNPVCj4y19JFyh/EkCZ0FmD1dTaac81uAPc3nDgz84BjDFfPPI0XUdU kDGQ==
Beispiel: DKIM-Key abfragen $ dig +short TXT 20161025._domainkey.google.com "k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwXNZF1j8sJPDle Rjf9SPBNem0ik58kF1ilC1nUgKAttl9v7FX9hXJXPmLNhVtSKVZ8yruaeOZL eIxtgtk1s81zzIE5Mj0AiGn2wlFt4kYfqlDfYe95YLQHjynu4i7vj1Tj" "ksf62btcCbL+3XhbK+oD5PlqYhXHWuzoKoEp5L4lCihgkONvU/oy7NNeE6q uqfF/y0YSLwF2WVA2Kd8L6R0Ar2dYT/ 3wZCFknI7xhvPqh9HNcIWBELGPwtXcsHbX1wvBlCgNQAUcdJrf2YWzAwqmZ5 64/1ipL1IMk1nafPJk75ktumVNz6ORuIn3jbZWp9rRpnaeI9cu/ 8KfSKH2EY9QIDAQAB"
DMARC ● Erweitert SPF und DKIM um Policy- und Reporting- Fähigkeiten ● Finger weg von Forensic Reports! ● Macht klassisches Forwarding kaputt ● Mailinglisten-Betreiber hassen es ● Wird um ARC erweitert und dann geht es wieder
Beispiel: DMARC-Policy abfragen $ dig +short TXT _dmarc.bund.de "v=DMARC1; p=none; rua=mailto:ht5gl0zz@ag.eu.dmarcian.com;" $ dig +short TXT _dmarc.bfdi.bund.de "v=DMARC1; p=reject; rua=mailto:ht5gl0zz@ag.eu.dmarcian.com;"
Host (DNS & Helo Name), Route (Mailplattform) und Identität (Senderdomains) sind damit bekannt
Jetzt könnt ihr Reputation aufbauen
Einen Moment noch…
DMARC-Ökosystem
Wo ist der Reporter?
Das Ökosystem lebt von Reports. Werdet Reporter!
SPF, DKIM und DMARC-Adopter 2021 ● 1&1 ● T-Online ● Vodafone ● bund.de ● gmail.com ● yahoo.com ● microsoft.com ● comcast.net
SPF, DKIM und DMARC-Entwicklung ● IETF schließt Standardisierung ab ● ARC ist auch auf dem Weg ● BSI wird SPF, DKIM und DMARC in die TR3108 aufnehmen ● EU-Mitgliedsstaaten fordern es im EU-Verkehr ein
Mailinglisten ● Bitte macht Eure Mailinglisten DMARC-konform ● Steigt um auf Mailman 3 ● Aktiviert ARC-Signing in Mailman 3
Bonusrunde!!!
DNSSEC works! 61048 1 % 55119 1 % No Problem DNS-Problem DNSSEC-Problem 9847258 99 %
Top 10 Tranco Ranking Domain Rank adidasnmds.com 23586 adidasoutletonline.com 26819 gb.com 58500 aru.ac.th 66661 gexperiments3.com 69196 nikefree-run.fr 74611 christian-louboutins.fr 76379 airjordanretro.fr 76665 ubu.ac.th 83489 saclongchamp-pascher.fr 90425 https://tranco-list.eu/
Owner sind Domain Reseller 6000 5000 4000 3000 2000 1000 0 o l t e t l e t l l t u l om nf om om om om r.n ne om .s ne .n .s ne .n .n ne .e .n m l . c n. i . c . c . c . c de h. . c l e s . ns ro w. da x c e. rar i nd l . co ro io re g rs y vi ov d a dn d ne e ra a m st tf w nt at f la rk in rve ans ro ope or-s ix fb bi gcr ost rna gi f irs so o i c d a e r p l f w n e e n nc er if ou p r-s g pe n ev e n- ki n yo u r d ai l v cl do ra o d ai p ar w i e m do m a s st un do ne em gi re re
Für Euch getestet… ● DNSSEC-Implementierung in systemd-resolved ist unvollständig – Er validiert – Er unterdrückt Fehler nicht! ● Nutzt unbound!
Danke!
Sie können auch lesen