Блокировка спама и фишинга с помощью записей SPF

Система доменных имен (DNS) является критически важным и основополагающим сервисом для всех форм современных сетевых вычислений, включая Интернет. DNS реализована как иерархическая распределенная база данных на серверах, называемых DNS-серверами или серверами имен. Эта база данных содержит сопоставления доменных имен DNS с различными типами данных, такими как IP-адреса хостов и других узлов в сети.

Поскольку правильное функционирование DNS очень важно для работы вашей сети, отказ или неправильная настройка DNS могут привести к серьезным проблемам. Поэтому DNS является основной целью для многих типов сетевых атак, и, в частности, спамеры и фишеры часто пытаются использовать его для атаки на службы обмена сообщениями организации. Поэтому для магазинов, использующих Microsoft Exchange или Office 365 в качестве платформ обмена сообщениями, важно правильно настроить DNS-серверы для блокировки спама и фишинговых атак против вашей организации.

Одним из важных способов борьбы со спамом и фишингом в средах Exchange/Office 365 является использование записей Sender Policy Framework (SPF), которые представляют собой специальный тип записи DNS, определяющий, каким почтовым серверам разрешено отправлять электронную почту от имени вашей компании. домен. Чтобы помочь нам лучше понять эту тему, я попросил Эндрю Перчалука, старшего системного администратора Университета Манитобы в Виннипеге, Канада, поделиться с нами некоторыми соображениями и советами, основанными на его собственном опыте управления средами Active Directory. Эндрю — муж, отец и любитель собак, который работает в сфере информационных технологий почти 20 лет и любит делиться своим опытом с другими профессионалами в области ИТ. Для получения дополнительной информации об Эндрю см. его профиль LinkedIn. Вы также можете подписаться на него в Twitter. Давайте теперь послушаем, что Андрей должен сказать по этой теме.

Общие сведения о записях SPF

Независимо от того, отвечаете ли вы за электронную почту своей компании на уровне ИТ-директора, директора, менеджера или системного администратора, вы, вероятно, участвовали или слышали об изменениях, которые были внесены в ваши системы гигиены сообщений для борьбы со спамом и фишинговыми электронными письмами через Интернет. годы. Еще пара вещей, которые вы можете сделать для дальнейшего подавления:

• Настройте запись SPF в DNS вашей компании и убедитесь, что она действительна.
• Настройте входящую проверку SPF вашим продуктом гигиены сообщений

Запись SPF — это тип записи службы доменных имен (DNS), которая определяет, каким почтовым серверам разрешено отправлять электронную почту от имени вашего домена. Запись SPF предназначена для предотвращения спамеров, которые пытаются отправлять сообщения с поддельными адресами в вашем домене (это называется спуфингом). Клиенты предпочитают, чтобы электронные письма от поставщиков отображались как исходящие с адресов электронной почты @umanitoba.ca, а не с адреса электронной почты поставщиков.

Ваша запись SPF действительна?

У многих компаний запись SPF не ведется, при написании этой статьи я обнаружил ряд компаний, у которых были ошибки в их записях SPF. Ошибки обычно заключаются в том, что запись слишком велика или имеет слишком много поисков.

Согласно RFC 7208 запись SPF может иметь только 10 поисковых запросов. Также вы найдете некоторые материалы, в которых говорится, что запись SPF может содержать только 255 символов, это действительно ограничение записи TXT, однако есть обходной путь. В RFC 4408 3.1.3 говорится, что одна текстовая DNS-запись (типа TXT или SPF RR) может состоять из более чем одной строки.

Подтвердить это

Если вы не знаете, как определить, правильно ли настроена имеющаяся у вас запись SPF, сначала проверьте ее! Синтаксис SPF может быть немного сложным для понимания, поэтому взгляните на эту ссылку для подробного объяснения доступного синтаксиса http://www.openspf.org/SPF_Record_Syntax.

После того, как у вас есть запись SPF, есть много инструментов, которые вы можете использовать для проверки пары, которая мне нравится:

• Программа просмотра Dmarcian SPF — https://dmarcian.com/spf-survey
• Инструменты тестирования SPF-записи — http://www.kitterman.com/spf/validate.html
• Мудрые инструменты — http://tools.wordtothewise.com/authentication

Я намеренно установил недопустимую запись SPF (v=spf1 include:surveymonkey.com a:cal1psmtp.desire2learn.com ?all ) на perchaluk.ca и провел для нее опрос домена SPF Dmarcian. Я получил следующий отзыв:

Предупреждение присутствует!

• Механизмы PTR НЕ ДОЛЖНЫ использоваться и не могут быть разрешены с помощью этого диагностического инструмента. Больше информации на https://space.dmarcian.com/ptr-mechanisms-in-spf-records/.

Ошибка присутствует!

Получатели не могут использовать эту запись SPF для определения подлинности:

• Слишком много механизмов DNS-запросов (count=30).
• Для разрешения записи требуется 30 механизмов/модификаторов DNS-запросов (допускается не более 10).
• 143 авторизованных сетевых блока (727 700 авторизованных индивидуальных IPv4-адресов). Авторизованные сетевые блоки выдают результаты SPF «пройдено» (в отличие от «нейтральных», «неудачных» или «мягких отказов»).

Поскольку поиск SPF также будет выполнять поиск внешних компаний, которые вы включили в свою запись, и это будет учитываться в ваших 10 поисках, вы должны быть осторожны. Это причина вышеуказанных ошибок, хотя кажется, что моя запись SPF должна выполнить только пару поисков, но когда поиск проверяет и расширяет запись SPF Surveymonkey.com

Преимущество этого инструмента в том, что он показывает разбивку вашей записи SPF и включает внешние DNS-запросы. На первом снимке экрана ниже показаны выходные данные инструмента просмотра SPF на dmarcian.com, он позволяет вам расширить все комбинированные поиски в вашей записи SPF (включая внешние компании). Это очень полезно при устранении ошибки «Слишком много DNS-запросов». Затем вы можете увидеть, какие компании, которые вы включили в свой SPF, могут вызывать у вас проблемы.

Сведение записи

Другая приятная особенность заключается в том, что этот инструмент дает некоторые рекомендации о том, как вы можете преобразовать свою запись SPF в запись с допустимым форматом, поэтому в случае с моей недействительной записью для perchaluk.ca он взял ее и изменил с использованием PTR и MX в записи на основе IP. Он также разделил записи на 5 отдельных строк, что удерживает вещи в пределах 10 запросов DNS и ограничения в 255 символов. На следующем снимке экрана показаны результаты работы инструмента выравнивания записей на сайте dmarcian.com. Он удалит недопустимую запись SPF и преобразует ее в несколько записей TXT на основе IP4. Он удаляет повторяющиеся сетевые блоки, сворачивает перекрывающиеся сетевые блоки и предоставляет вам действительную запись SPF. В моем случае мне пришлось создать 6 перечисленных записей TXT, чтобы изменить запись SPF для perchaluk.ca на действительную запись, совместимую с RFC.

Затем, после обновления записей DNS для perchaluk.ca и создания 6 записей SPF, перечисленных выше, у меня остается действующая и пригодная для использования запись SPF. Выполнение последующего запроса теперь получает проходной балл следующим образом:

Нет предупреждений или ошибок

• Для разрешения записи требуется 5 механизмов/модификаторов DNS-запросов (допускается не более 10).
• 130 авторизованных сетевых блоков (727 693 авторизованных индивидуальных IPv4-адреса). Авторизованные сетевые блоки выдают результаты SPF «пройдено» (в отличие от «нейтральных», «неудачных» или «мягких отказов»).

Настроить входящую проверку SPF

Теперь, когда у вас есть действующая запись SPF, вы можете настроить свою почтовую систему для выполнения проверки SPF. Для Office 365 вам просто нужно включить запись SPF в дополнительных параметрах. На следующем снимке экрана показано, как включить проверку SPF для Office 365. Изображение взято с портала администрирования Office 365, перейдите в Центр администрирования Exchange | Защита | Спам-фильтр, затем измените политику по умолчанию или другую политику. Затем перейдите в раздел «Дополнительные параметры», единственный вариант — «жесткий сбой», поэтому вам действительно нужно убедиться, что ваша запись SPF верна и фиксирует всех необходимых отправителей для вашего клиента O365.

Начните только с ведения журнала или тега

Если вы используете продукт для защиты электронной почты, такой как Cisco IronPorts или защиту электронной почты Barracuda, у вас есть еще лучшие возможности. В настоящее время я использую Cisco IronPorts для нашей гигиены сообщений, поэтому здесь я объясню некоторые параметры.

Если вы являетесь компанией, у которой осталось несколько старых доменов электронной почты, вы, возможно, заметили, что эти старые домены могут быть крупным источником спама и фишинга. Я начал с включения проверки SPF для входящей почты, но для начала только для пары старых почтовых доменов, например адресов @oldmail1.perchaluk.ca и @oldmail2.perchaluk.ca, я обнаружил, что было много входящего спама и спуфинг с этих адресов.

Для этого мы сделали бы следующее на IronPorts

1. Включите проверку SPF для политик потока почты HAT с именами THROTTLED и ACCEPTED (при необходимости ее можно включить для других).
2. Это будет оценивать SPF при приеме почты.
3. Затем создайте 4 фильтра входящего контента (по два на каждый почтовый домен, два на @oldmail1.perchaluk.ca, два на @oldmail2.perchaluk.ca), которые будут выполнять проверку SPF и применять соответствующую политику входящей почты.

Фильтры контента будут выглядеть так

• Состояние: сбой SPF
• И условие: «Другой заголовок», «От:» «заканчивается на @oldmail1.perchaluk.ca
• Обязательно выберите «Применить правило» «только если все условия совпадают».
• Действие: журнал
• Примечание: нам нужен CF для @oldmail1.perchaluk.ca и отдельный для @oldmail2.perchaluk.ca, потому что в CF нельзя использовать операторы AND + OR.
• Затем создайте еще один фильтр контента для @oldmail1.perchaluk.ca, выполнив шаги, описанные выше.
• За исключением использования условия «Отправитель конверта» вместо другого заголовка

На следующем снимке экрана показано устройство безопасности Cisco Enterprise (IronPorts). Вы можете создать необходимые фильтры содержимого в разделе Mail Policies | Фильтры входящего контента | Добавить фильтр. Этот проверит поле From в заголовках для указанного почтового домена. Всегда рекомендуется начинать только с регистрации проверок SPF, если это возможно.

Следующий снимок экрана также относится к устройству безопасности Cisco Enterprise (IronPorts). Вы можете создать необходимые фильтры содержимого в разделе Mail Policies | Фильтры входящего контента | Добавить фильтр. Этот будет проверять отправителя конверта для указанного почтового домена. Всегда рекомендуется начинать только с регистрации проверок SPF, если это возможно.

Переключиться на карантин или блокировку

После того, как вы потратите некоторое время на мониторинг журналов и освоитесь с фильтрами содержимого, вы измените действие с журнала на карантин. На Barracuda переход от маркировки к блокировке. Этот последний снимок экрана сделан с устройства безопасности Cisco Enterprise (IronPorts), вы можете создать необходимые фильтры контента в разделе Mail Policies | Фильтры входящего контента | Добавить фильтр. После того, как вы просмотрели журналы и устранили все проблемы, которые могли возникнуть, измените действия для ранее созданных фильтров отправки с ведения журнала на карантин.

Если с этими первыми двумя почтовыми доменами все пойдет хорошо, вы можете рассмотреть возможность добавления дополнительных CF для других почтовых доменов, которыми вы владеете в будущем (например, @perchaluk.ca и т. д.).

Остались вопросы об Office 365?

Если у вас есть какие-либо вопросы по администрированию Microsoft Office 365, лучше всего задать их на форуме Office 2016 и Office 365 Pro Plus на TechNet. Если вы не получите необходимой помощи, вы можете попробовать отправить свой вопрос по адресу [email protected], чтобы мы могли опубликовать его в разделе «Спросите наших читателей » нашего информационного бюллетеня и узнать, есть ли у кого-либо из почти 100 000 ИТ-специалистов, подписавшихся на нашу рассылку. информационный бюллетень есть какие-либо предложения по вашей проблеме.