Zlepšete si antispam – 3. díl

Zlepšete si antispam – 3. díl

 

Pro dnešní běžné filtry elektronické pošty (antispam engine) je k dispozici řada rozšiřujících funkcí, které významným způsobem přispívají k úspěšnosti antispamových filtrů. Několik z nich si představíme, a to i z hlediska reálné praxe, která se od teorie velmi často liší.

Všechny tyto funkcionality jsou k dispozici jak v komerčních placených řešeních, tak i ve světě open-source. Dnešní díl se věnuje funkci: SPF.

1. Greylisting
2. BATV – Watermarking
3. SPF a DKIM
4. Sekundární MX server a nastavení DNS
5. Ověření reverzního záznamu a RBL
6. Email harvesting
7. Externí konfigurace DNS

SPF – Sender Policy Framework

Jedná se o standard RFC 7208 od IETF (Internet Engineering Task Force). Velký problém emailové komunikace spočívá v tom, že od prvopočátku nepočítala s žádnou antispamovou ochranou. Například do odesílatele emailu si může každý uživatel napsat jakoukoli adresu, například moji oblíbenou bill.gates@microsoft.com a nikdo v tom nikomu nezabrání. Představte si svět, kde by každý mohl jméno a příjmení na občanském průkazu libovolně měnit – asi by to bylo zajímavé. Bohužel přesně takto funguje emailová komunikace.

SPF je

jakési ověření toho občanského průkazu. S technologií SPF si sice odesílatel stále může nastavit libovolnou emailovou adresu, nicméně cílový SMTP server může ověřit, zda byl email odeslán oprávněným odesílatelem.

Co nám SPF přináší?

Pokud tuto technologie použijete ve Vašem antispam software, určitě odhalíte více spamu. Nicméně pokud si u Vaší domény sami
nastavíte SPF záznam, Vaše emailová doména bude i méně zneužívána, protože se stane méně atraktivní pro spamery, kteří vědí, že díky SPF záznamu je zde větší pravděpodobnost zadržení emailu antispamovým filtrem, pokud použijí Vaši doménu jako odesílací.

SPF však může i potrápit, konrétně v okamžiku, kdy uživatel použije přeposílání nových zpráv na jiný email. Přeposílání je totiž v podstatě odeslání stejné zprávy z jiného (Vašeho) SMTP serveru. Pokud původní odesílací doména používá ochranu pomocí SPF, nebude Váš SMTP server moci zprávu přeposlat dalšímu SMTP serveru (samozřejmě pokud nejste v seznamu povolených) a navíc uživateli většinou přijde upozornění o nedoručení zprávy (DSN) od cílového SMTP serveru, což může být pro uživatele dost matoucí.

K definici SPF se používá záznam v DNS, konkrétně TXT záznam Vaší domény.

Příklad: awinit.cz. IN TXT „v=spf1 +ip4:195.10.10.0/24 ip4:195.10.10.100 +a mx -all“


Parametry:

v – udává verzi SPF

ip4, ipv6, a – definuje IP adresy, sítě nebo A záznamy naší domény, které jsou oprávněny odesílat emaily za naši doménu.
V případě použití A záznamu nemusíte do budoucna řešit co se stane, pokud někdo změní IP adresu.
mx
 – říká, že všechny naše MX servery jsou oprávněny odesílat poštu z naší domény
all
 – definuje defaultní výstup

 

Akce:

– (FAIL) odmínutí emailů z uvedených zdrojů (většinou použito ve spojení – all tzn. defaultně nikdo není oprávněn posílat emaily
za naši doménu)
+ (PASS) povolení zasílání emailů z těchto zdrojů (znaménko + není povinné, takže „+mx“ a „mx“ znamená to samé)
~(SOFTFAIL)– běžný antispam takovou zprávu označí, ale nazahodí
? (NEUTRAL) – neutrální, v podstatě stejný výsledek jako bez nastavení SPF

V praxi je technologie SPF velmi rozšířena a používá ji většina velkých "freemailů" jako gmail nebo seznam.

DKIM (DomainKeys Identified Mail)

je další práce z dílen IETF (Internet Engineering Task Force). DKIM je jednoduchým ověřením odesílatele domény. Stejně jako SPF Vám pomůže zjistit, zda uživatel byl oprávněn poslat email z dané domény. Akčkoli je teoreticky možné implementovat DKIM i na pracovní stanici, v praxi se spíše používá implementace na centrálním SMTP serveru. Na první pohled dělá SPF a DKIM to stejné, jak ale zjistíme, technicky se jedná o dvě zcela odlišné technologie.

DKIM využívá technologie digitálního podpisu, tedy asymetrického šifrování. Do emailové zprávy se jednoduše vloží podpis, který je na druhé straně ověřen. Vytvoření podpisu probíhá na SMTP bráně pomocí privátního klíče, a je tedy jistota, že pouze naše brána může tento podpis vyrobit. Na druhé straně je pro ověření podpisu (které opět zpravídla probíhá na SMTP bráně) nejprve získána veřejná část podpisu, a to opět (podobně jako u SPF) z DNS, konkrétně TXT záznamu naší domény. Dle úspěšnosti ověření okamžitě zjistíme, zda se jedná o podržený email či nikoliv.

Výraznou výhodou DKIM oproti SPF je možnost přeposílání zprávy, nevýhodou pak stále menší rozšíření této technologie, kterou umocňuje složitější prvotní nastavení DKIM. DKIM je připravenou na více druhů použití a implementací než je zde zmíněno v praxi, ale zatím mají jen nevýznamné použití, proto se zde o nich pro jednoduchost nebudeme zmiňovat. Technologie sama je určitě velmi důležitá a výrazně doporučuji zvážit její nasazení – tedy samozřejmě pokud ji již nepoužíváte.