MỤC LỤC
I.Giới thiệu về SPAM . 3
1.SPAM là gì? . 3
2.Các loại SPAM . 3
3.Tác hại của SPAM . 4
II.Cơ chế hoạt động của spam . 5
1.Thu thập địa chỉ email . 5
2.Gửi SPAM . 6
III.Các biện pháp phòng chống spam . 7
1.Internet mail và spam:. 7
2.Các phương pháp phòng chống spam . 10
3.Cost – based . 11
4.Filter . 14
5.Phòng chống spam dựa trên phương pháp nhận dạng . 17
a.Nhận dạng dựa trên đường đi của mail . 17
b.Xác thực địa chỉ IP dựa vào đường đi . 19
c.Xác thực domain dựa vào đường đi . 19
d.Chứng thực mã hóa mail . 22
6.Ngăn chặn spam sử dụng blacklist . 25
a.Sender blacklist . 25
b.Domain blacklist . 26
7.Lọc mail dựa vào White-list, các dịch vụ danh tiếng và dịch vụ đã được ủy quyền . 27
a.Lọc mail dựa vào Whitelist . 27
b.Dịch vụ tin cậy (Reputation Service - RS) . 28
c.Dịch vụ ủy quyền (Accreditation Service - AS) . 28
8.Một số công nghệ mới: . 30
IV.Kết luận . 31
31 trang |
Chia sẻ: maiphuongdc | Lượt xem: 3660 | Lượt tải: 2
Bạn đang xem trước 20 trang tài liệu Đồ án Mail Spam cơ chế và các biện pháp phòng chống, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
theo trường xác thực trong thông điệp.
RA là một thực thể chính trong SeARP. Nó dễ thấy tại mail agent của người gởi
và người nhận. Tuy nhiên, người gởi và người nhận có thể chấp nhận (hoặc không) cho
sự phán xét của RA (nội dung nhãn l có phù hợp với thông điệp m hay thông điệp là
spam?).
Giao thức SeARP chạy giữa 3 thực thể: agent gởi mail, agent nhận mail, và RA.
Để đơn giản, ta giả sử chỉ có 2 agent, là Mail Submission Agents (MSA) của Alice duyệt
thông điệp, và Mail Delivery Agents (MDAs) phân phát thông điệp cho Bob, và giả sử
agent gởi mail biết agent nhận hỗ trợ SeARP.
Mỗi SeARP agent tương tác với nhau bằng cách trao đổi thông điệp, và tương tác
giữa người gởi, người nhận và người phân tích – resolver (giả sử ta gọi là Ros). Ros sẽ
thực hiện dịch vụ giải quyết cuối cùng cho RA.
Ba người (Alice, Bob, Ros) sẽ chịu trách nhiệm cho việc ánh xạ từ thông điệp
sang nhãn: Alice cung cấp nhãn của thông điệp, Bob lẫn Ros xét nhãn nếu nó đúng. Một
lưu ý rằng, khi đề cập đến thực thể “human”, để hiểu đơn giản hơn, trong thực tế chúng
có thể là các module phần mềm và phần cứng giữa các agent và bất kỳ một người thật
nào. Đúng ra RA và người nhận sẽ sử dụng kỹ thuật lọc nội dung để thực hiện ước lượng
ban đầu.
Hoạt động của SeARP:
Hình: mô tả hoạt động của SeARP.
Đồ án môn học An ninh mạng
Mail Spam cơ chế và các biện pháp phòng chống 14
Hình trên là một ngữ cảnh đơn giản, SeARP được sử dụng để điều khiển spam từ
Alice và Bob, đi qua mail agent có SeARP, một là của Alice và một của Bob, và sử dụng
một agent phân tích do Ros điều khiển.
Trong hình trên có 3 agent là MSA của Alice, MDA của Bob, RA của Ros; và 3
người kết nối đến từng agent: Alice (người gởi), Bob (người nhận), và Ros (người phân
tích). Hoạt động của giao thức SeARP thực hiện theo từng bước sau:
Bước 1: Khởi tạo, Bob chỉ định rõ thiết lập tập “nhãn chấp nhận” L, MDA của
Bob sẽ chỉ phân phát đến Bob các nhãn l thuộc tập L.
Bước 2: Alice gởi thông điệp m với nhãn l đến MSA của Alice.
Bước 3: MSA của Alice gởi m, l, σ đến MDA của Bob, với σ = SignA(m, l, T,
,
Bob) là chữ ký của MSA phía Alice ghi trên thông điệp m, nhãn l, cùng với thời hạn cho
thông điệp là T, cộng thêm thông tin α cho phép MSA của Alice để phục hồi lại chi tiết
lần gởi thông điệp đó. Và cuối cùng là nhận dạng của Bob.
Bước 4: MDA của Bob xác định thông điệp vẫn còn giá trị (so sánh thời gian T
với hiện tại), và l có thuộc tập L. Nếu hợp lệ, nó phân phát m, l cho Bob.
Bước 5: Bob đưa cho MDA của mình nhãn “thật” của thông điệp, l’. Nếu l’ = l,
thông điệp sẽ được dán nhãn hợp lý, nếu không thì thông điệp đó là spam.
Bước 6: Nếu Bob khẳng định đó là spam (l
l’), MDA của Bob gởi một
σ’=SignB(σ, l’) cho RA, là khóa ký hiệu của nó.
Bước 7: RA forward m, l, l’ đến cho người phân tích Ros.
Bước 8: Ros tính toán m, l, l’ và gởi kết quả r cho RA. Kết quả quyết định hình
phạt dành cho spam hoặc do Bob đã kết tội cho Alice gởi spam, làm hao tốn tài nguyên
người phân tích.
Bước 9: RA gởi phân tích SignR(σ’, r) cho MSA của Alice và MDA của Bob. Nếu
RA cũng là nhà cung cấp dịch vụ Payment cho Alice và Bob, nó sẽ cập nhật cho phù hợp
với điều khoản đặt trước của Alice và Bob.
Bước 10: Nếu phân tích cho thấy thông điệp là spam (l không phải là nhãn của
m), MSA của Alice gởi kết quả cho Alice. Nhờ sử dụng α, có thể giúp MSA xác định
được người gởi là Alice. Từ đó MSA của Alice có thể hạn chế số lượng thông điệp gởi
trong ngày.
4. Filter
Ý tưởng của biện pháp này là đánh giá nội dung của email, sau đó quyết định loại
bỏ nó nếu nó là một spam. Biện pháp này có hiệu quả với các mail virus. Tuy nhiên nó
vẫn còn hạn chế vì có một số mail hợp pháp bị loại bỏ, ví dụ như mail xác thực đặt vé
máy bay, mail tin tức hay các mail quảng cáo bán hàng đã lựa chọn…
Phương pháp filter có 4 hướng tiếp cận:
- ISP: việc ngăn chặn spam đầu tiên được thực hiện tại nhà cung cấp dịch vụ. Bạn
có thể đăng ký các dịch vụ phòng chống spam cho mình. Trên cơ bản các dịch vụ có thể
Đồ án môn học An ninh mạng
Mail Spam cơ chế và các biện pháp phòng chống 15
nhận dạng ra hầu hết spam và giữ họ lại mail server, email sẽ được kiểm tra trước khi gởi
đến hộp thư của bạn.
- Commercial (dịch vụ thương mại): là các dịch vụ cho phép bạn tùy chọn ngăn
chặn spam, ví dụ như dịch vụ peer-to-peer của tại Cloudmark.com.
- Mã hóa: áp dụng tương đối ít, TMDA ( Tagged Message Delivery Agent) ngăn
chặn spam bằng phương pháp mã hóa để xác nhận tính hợp lệ của các người gởi không rõ
danh tánh.
- Và cuối cùng là các ứng dụng lọc spam riêng của mỗi người, được xây dựng kết
hợp với email.
Các biện pháp filter thường được sử dụng:
- Bayesian:Bộ lọc Bayesian hoạt động dựa trên định lý Bayes để tính toán xác
suất xảy ra một sự kiện dựa vào những sự kiện xảy ra trước đó. Kỹ thuật tương tự như
vậy được sử dụng để phân loại spam. Nếu một số phần văn bản xuất hiện thường xuyên
trong các spam nhưng thường không xuất hiện trong các email thông thường, thì có thể
kết luận rằng email đó là spam
Trước khi có thể lọc email bằng bộ lọc Bayesian, người dùng cần tạo ra cơ sở dữ
liệu từ khóa và dấu hiệu (như là ký hiệu $, địa chỉ IP và các miền...) sưu tầm từ các spam
và các email không hợp lệ khác.
Mỗi từ hoặc mỗi dấu hiệu sẽ được cho một giá trị xác suất xuất hiện, giá trị này
dựa trên việc tính toán có bao nhiêu từ thường hay sử dụng trong spam, mà trong các
email hợp lệ thường không sử dụng. Việc tính toán này được thực hiện bằng cách phân
tích những email gửi đi của người dùng và phân tích các kiểu spam đã biết.
Để bộ lọc Bayesian hoạt động chính xác và có hiệu quả cao, cần phải tạo ra cơ sở
dữ liệu về các email thông thường và spam phù hợp với đặc thù kinh doanh của từng
công ty. Cơ sở dữ liệu này được hình thành khi bộ lọc trải qua giai đoạn “huấn luyện”.
Người quản trị phải cung cấp khoảng 1000 email thông thường và 1000 spam để bộ lọc
phân tích tạo ra cơ sở dữ liệu cho riêng nó.
- Heuristic: tìm kiếm các dạng mẫu biết trước của một vài các thông điệp spam
thường gặp, ví dụ, một vài từ (XXX, FREE…) hoặc file chứa virus. Các mẫu được chọn
lọc qua sử dụng heuristic và các tiến trình thông thường. Cách lọc các mẫu có sẵn thế này
khá yếu, spammer có thể tránh được các mẫu thông điệp được cài đặt mặc định bằng cách
chèn thêm các ký tự khoảng cách (từ spam thành s*p*a*m) hoặc viết sai chính tả của từ
(sppam). Cách này phân tích hành vi của trang web, kiểm tra kỹ thuật mà kẻ làm giả
thường thực hiện.
- Adapter: lọc các tập hợp thống kê từ tập hợp email và hành động của người
dùng khi nhận thông điệp, nó sẽ tự động phân loại và nhận dạng ra spam. Hiện nay, các
thống kê lọc khá hiệu quả, được đánh giá chỉ có 0.03% là nhầm lẫn (giữa email hợp pháp
và spam), 0.5% là không phát hiện được spam.
Tuy nhiên, đến khi các thống kê lọc này trở nên khá phổ biến, spammer có thể
dần dần điều chỉnh bằng cách tránh hoặc làm sai lệch bất kỳ chuỗi gần giống chuỗi bị lọc.
Đồ án môn học An ninh mạng
Mail Spam cơ chế và các biện pháp phòng chống 16
Hơn nữa, spammer có thể dùng thuật toán học giống nhau để kiểm tra thông điệp
của họ và sửa đổi chúng nếu cần thiết để tránh bị phát hiện, nhất là cách nhận dạng và
thêm vào các từ hoặc đoạn trích mà chúng thường thấy trong thông điệp bình thường.
Spammer có thể phá hỏng cách lọc adapter này bằng cách cố tình cộng thêm các từ hoặc
cụm từ của các mail hợp pháp cho spam, bằng cách đó chúng sẽ làm tăng dần đánh giá
tính “xác thực sai” của phương pháp đến mức không chấp nhận được. Xa hơn thế nữa, có
thể nghiên cứu để xác nhận lại về sự đánh giá của phương pháp này, việc đánh giá đó dù
thế nào đi nữa thì spammer cũng đã thích ứng và tránh bị phát hiện đồng thời cũng làm
tăng đánh giá về tính xác thực sai của phương pháp.
- Collaborative: hoạt động bằng cách cộng tác nhiều người dùng, họ nhận dạng
spam bằng đánh giá tay nội dung của thông điệp. Tin cậy vào khả năng nhận dạng spam
của mọi người. Phương pháp này đơn giản chia sẻ việc lọc spam (thường là trong các
mail nhận được) giữa mọi người. Ví dụ, khi bạn nhận dạng và đánh dấu lên spam trong
hộp thư của bạn, thì MUA (Mail User Agent) sẽ tự động cảnh báo cho các người dùng
khác (sử dụng mỗi MUA hoặc một dịch vụ nào đó trong cùng mail server). Phương pháp
này rất hữu dụng như là bổ sung của phương pháp lọc adapter, nó cập nhật đúng lúc để
ngăn chặn các biến thể của spam.
- Honeypots: đây là hệ thống được xây dựng với mục đích giả dạng Mail server,
Web server… để đánh lừa các đối tượng là các lưu lượng bất thường, trực tiếp tương tác
với chúng (hay các phần mềm tấn công). Lưu lượng được xem là bất thường và được
phân loại dựa vào việc lấy mẫu trên từng phiên và tập hợp chúng lại. Có 2 loại Honeypot:
loại tương tác cao (high interaction) thiết lập các dịch vụ giống như dịch vụ cung cấp thật
sự với mục đích thu thập tất cả những dữ liệu liên quan đến việc sử dụng dịch vụ này. Kỹ
thuật này trên nguyên tắc ghi nhận tất cả các cuộc tấn công vào hệ thống và như vậy cung
cấp các dữ kiện quan trọng trong việc điều tra. Vì khả năng tương tác nhiều với hệ thống
cho nên bản thân dễ có sơ hở và dễ bị hư hại . Do đó, loại này thường được cài đặt trên
các máy ảo kiểu như Vmware để tiện điều khiển và khôi phục trong trường hợp bị hư hại
do tấn công. Kiểu honeypot thứ hai là loại tương tác yếu (low interaction). Đó là hệ thống
giả lập dịch vụ. Nó được xây dựng chủ yếu để đáp ứng các âm mưu tấn công xác định hệ
thống (fingerprinting) hay dò tìm dịch vụ chạy trên hệ thống (scanning). Ví dụ về hệ
thống này là phần mềm mở honeyd. Lợi điểm của hệ thống này là an toàn hơn hệ thống
honeypot tương tác mạnh. Tuy nhiên, bất lợi chính là hệ thống này dễ bị phát hiện. Kẻ
tấn công có thể phát hiện các dấu hiệu và hành vi bất thường của hệ thống giả lập và
không có cơ chế cảnh báo khi phát hiện hệ thống bị xâm nhập hay gặp nguy hiểm.
Kết quả của việc lọc nội dung là cuộc chiến giữa spammer và người lọc, spammer
thiết kế thông điệp làm sao để qua mặt bộ lọc, kiểm tra chúng và chống lại chúng. Một
vài công nghệ mà các spammer đã khai thác để tránh lọc nội dung như là gởi các thông
điệp thật ngắn, hầu hết là chứa lời hướng dẫn đến trang web, “ẩn” đi thông điệp…
Ví dụ cách lọc mail đơn giản trong Yahoo! Mail:
Mở yahoo mailbox.
Click Mail Option.
Click Filters.
Đồ án môn học An ninh mạng
Mail Spam cơ chế và các biện pháp phòng chống 17
Click Add Filter.
Tại dòng trên cùng, nhãn có tên là “From header”: xác định chắn chắc nội dung
được chọn trong menu. Có 4 loại:
o Contain: lọc mail có chứa từ mà bạn muốn.
o Does not contain: lọc mail chứa những từ không muốn.
o Begin with: lọc mail chứa bắt đầu với từ bạn muốn.
o End with: lọc mail kết thúc với từ bạn muốn.
Tương tự cho “To/Cc header”, “Subject”, “Body”.
Dưới cùng, “Move the Message To”: chọn nơi mà bạn sẽ cất mail được lọc trên.
Có thể tạo một forder riêng để xem lại chúng.
Click vào nút Add Filter lần nữa.
Ngoài ra trong Yahoo! Mail còn có mục Spam Protection, tùy chọn cất spam vào
Bulk (tự delete sau một tháng) hoặc là không cất vào Bulk mà delete ngay.
5. Phòng chống spam dựa trên phương pháp nhận dạng
Phương pháp này được áp dụng cho các thành phần liên quan đến mail gửi đi như
máy nguồn gửi mail, các MTA biên cho luồng thư ra hoặc các agent trung gian. Việc
nhận dạng được thực hiện theo 2 cơ chế là Identication (nhận dạng) và Au
–
nhận thư từ một đối tượng nào đó hay không
Môi trường Internet đã làm nảy sinh các vấn đề cho các cơ chế nhận dạng mail
như sau:
- Địa chỉ mail của người gửi là không tin cậy(không liên quan hoặc không thuộc về
domain gửi)
- Do phải qua nhiều agent trước khi đến đích nên các trường nhận dạng trong
header của dữ liệu ban đầu có thể bị thay đổi, chẳng hạn các trường FROM,
SENDER, MAIL FROM, RESENT FROM.
- Các MTA được phép thêm hoặc chỉnh sửa nội dung tiêu đề, thậm chí cả nội dung
của mail.
- Các server MTA nhận mail sẵn sàng chấp nhận các mail từ một domain bất kỳ
4 phương pháp nhận dạng đầu tiên là cơ chế nhận dạng các thực thể liên quan đến
mail nhận được, những cơ chế này giúp tránh nhận thư từ các domain hoặc user gửi spam
và chống lại các tấn công sử dụng địa chỉ người gửi giả, tấn công phishing… Phần còn lại
đề cập đến các cơ chế lọc giúp xử lý luồng mail từ một đối tượng xác định (phân phối
hay loại bỏ).
a. Nhận dạng dựa trên đường đi của mail
Đồ án môn học An ninh mạng
Mail Spam cơ chế và các biện pháp phòng chống 18
Thông tin giúp nhận dạng người gửi thường chỉ là địa chỉ email có được trong
trường FROM của header, tuy nhiên địa chỉ mà các spammer sử dụng thường là giả hoặc
gây nhầm lẫn cho người nhận. Do đó, có một số cơ chế xử lý spam thường xác thực
người gửi bằng địa chỉ email. Các cơ chế này thường dựa trên việc xác thực mã hóa:
Nhận dạng bằng địa chỉ của mail người gửi:
Cơ chế nhận dạng này chủ yếu dựa vào trường FROM hoặc SENDER trong mail
header. Spammer có thể sử dụng địa chỉ giả, do đó cơ chế này chỉ hoạt động hiệu quả khi
Spammer không chắc biết hoặc chỉ đoán địa chỉ mail gửi đi. Chẳng hạn, một hệ thống có
thể chỉ cho phép nhận luồng mail mà địa chỉ người gửi có trong sổ địa chỉ của user, với hi
vọng spammer không sử dụng những địa chỉ này. Điều này dẫn đến việc bảo mật đường
đi của mail để cho spammer không thể xem được thông điệp gửi đi hay nhận vào ở user,
tuy nhiên spammer có thể lấy địa chỉ này từ những mail spam gửi đến cho user.
Mức bảo mật cho những cơ chế này là không cao. Khi spammer xâm nhập được
vào một máy tính, nó có thể sử dụng sổ địa chỉ và đọc thông tin trong các mail ở những
máy này. Để ngăn ngừa việc bị phát hiện, spammer thường gửi mail bằng các địa chỉ
trong mail mà nó đọc được chứ ít khi sử dụng địa chỉ mail của máy bị xâm nhập.
Challenge – response validation:
Trong cơ chế này, đối với những mail “đáng nghi”, phía nhận sẽ gửi trở lại cho
nguồn kèm với một thông điệp yêu cầu nguồn gửi lại mail này với những hướng dẫn rõ
ràng. Khi nhận được phúc đáp, phía thu sẽ xác định xem đây có phải là một phúc đáp hợp
lệ không để tiến hành phân phối mail (bằng cách kèm theo địa chỉ email đặc biệt hoặc
một số nhận dạng ngẫu nhiên). Một số hệ thống sử dụng cơ chế Challenge – Response
chỉ cho quá trình khởi tạo kết nối, sau đó dựa vào nhận dạng sử dụng địa chỉ mail phía
gửi hoặc địa chỉ mail duy nhất của phía nhận.
Mục đích của cơ chế Challenge – response là chứng thực rằng một lá mail được
gửi từ một account xác định, các account này có khả năng nhận và gửi được các thông
điệp Bounce.
.
ững spammer
sử dụng bounces và địa chỉ nguồn giả sẽ không thể phúc đáp thông điệp Challenge được.
Tuy nhiên phương pháp này không có tác dụng nếu spammer sử dụng một địa chỉ
có thật trong trường hợp spammer xâm nhập được vào một máy tính và sử dụng địa chỉ
của máy này và gửi spam. Ngoài ra, còn có thể gây phiền toái cho
người gửi trong trường hợp gửi lại mail mà không thành công và làm tăng thời gian trì
hoãn cũng như lượng overhead.
Để giấu các spammer không biết được địa chỉ của mình, một user sẽ chỉ cho các
đối tác tin cậy biết địa chỉ mail của mình mà thôi. User này thường sử dụng một địa chỉ
mail phụ trong các forum. Tuy nhiên cách thức này là không an toàn, spammer có thể lấy
Đồ án môn học An ninh mạng
Mail Spam cơ chế và các biện pháp phòng chống 19
được địa chỉ bằng cách scan các mail server liên quan theo phương pháp Dictionary
attack.
b. Xác thực địa chỉ IP dựa vào đường đi
Mail được gửi đi trong môi trường Internet theo giao thức SMTP, agent gửi mail
phải phúc đáp một cách đầy đủ cho agent phía nhận để có thể truyền dữ liệu thành công.
Hơn nữa, SMTP là một giao thức có kết nối, truyền thông điệp trên kết nối TCP (TCP có
giai đoạn thiết lập kết nối, đòi hỏi phía gửi phải gửi phúc đáp cho gói tin từ phía nhận).
TCP truyền gói đi theo giao thức IP, sử dụng trường địa chỉ trong mỗi gói tin để định
tuyến đến đích. Do đó ta có thể nhận dạng agent gửi mail qua địa chỉ IP của nó theo hai
cách:
- Trực tiếp tại agent nhận mail
- Sử dụng thông tin tracking có trong header, thông tin sẽ bao gồm địa chỉ của các
agent tham gia vào việc chuyển mail đi
Phương pháp này không an toàn với tấn công MITM, tuy nhiên trong trường hợp
spammer không chặn được gói tin thì phương pháp này hoạt động rất hiệu quả, bởi địa
chỉ IP của người gửi không liên quan đến địa chỉ mail được thể hiện trong mail header.
c. Xác thực domain dựa vào đường đi
Mô hình Internet cho
1,
MTA B có thể chấp nhận luồng mail từ MTA A (vd: Alice@ex.net), những mail này là
hợp lệ nếu Alice có một tài khoản tại domain ex.net. Do đó mà Alice sẽ sử dụng địa chỉ
Alice@ex.net làm địa chỉ mail chính của mình.
Tuy nhiên có khi domain ex.net không muốn các domain khác sử dụng địa chỉ
người gửi và địa chỉ bounce trong domain này. Bằng việc ngăn ngừa sử dụng
Alice@ex.net như một địa chỉ bounce, domain sẽ tránh được việc nhận thông
bounce . Tương tự như vậy, một ngân hàng sẽ không
muốn những domain khác có thể chuyển đi các “phishing mail”, chỉ định mà không có
xác thực mail người gửi thuộc domain của ngân hàng, vd: Support@bank.com
Trong phần này, ta bàn đến các cơ chế cho phép nhà quản trị của một domain chỉ
định một chính sách cấp phép (Email authorization policy), chính sách này chỉ rõ MTA
biên ngõ ra nào được cho phép gửi mail có địa chỉ nguồn và địa chỉ bounce thuộc domain
này. Nhờ đó có thể chống giả mạo địa chỉ bằng cách thiết lập một mail server cho phép
gửi đi các mail của các sender thuộc về domain nguồn được chỉ định. Cơ chế thường
được sử dụng là cơ chế cấp phép dựa trên đường đi (Path based email authorization),
MTA ngõ ra được xác định bởi địa chỉ IP của nó, gây khó khăn cho các spammer khi gửi
địa chỉ IP giả. Cơ chế này dễ thực thi, đòi hỏi ít tính toán và lượng overhead truyền
thông.
Thành phần chính của cơ chế này là bản ghi chính sách mail (Email policy
record). Bản ghi chính sách cho một domain bao gồm danh sách các địa chỉ IP được cho
phép gửi các mail có địa chỉ thuộc domain này. Các bản ghi này được phân tán như một
Đồ án môn học An ninh mạng
Mail Spam cơ chế và các biện pháp phòng chống 20
bản ghi trong hệ thống tên miền DNS, được lựa chọn như một chính sách phân tán tiện
lợi và hiệu quả. Tuy nhiên, hiện tại DNS không bảo mật trước tấn công MITM khi kẻ tấn
công làm sai lệch thông điệp reply. Chính vì vậy cơ chế cấp phép này có thể gây ra lỗi âm
và lỗi dương.
Ở cuối mỗi bản ghi chính sách, domain có kèm thêm những thông tin gồm tất cả
các địa chỉ IP được cho phép gửi mail đến domain này. Những tùy chọn chính bao gồm:
- all: Danh sách địa chỉ IP này đã hoàn chỉnh, chỉ có những server có tên trong
danh sách mới được phép gửi mail từ domain này
all: danh sách gần hoàn chỉnh nhưng không chắc chắn hoàn toàn. Có thể chỉ có
vài server được cho phép gửi mail từ domain này, những server này có địa chỉ IP bị quên
và không được liệt kê trong danh sách
+ all: danh sách là chưa hoàn chỉnh, chỉ có rất ít server được cho phép gửi mail từ
domain, những server này ko được liệt kê trong danh sách.
Hiện tại có 2 cơ chế nhận dạng dựa vào đường đi phổ biến được đề xuất bởi
Microsoft là SPF (Sender Policy Framework) và Sender ID. Sự khác nhau chủ yếu ở hai
cơ chế này là việc nhận dạng domain chịu trách nhiệm về một mail và cách thức xử lý
những mail không thuộc về domain (chuyển tiếp và Mailing list)
Việc nhận dạng domain rất phức tạp, do đó cần đến một số trường liên quan đến
mail trong header để nhận dạng người gửi và những thành phần liên quan trong quá trình
truyền thông. Các trường bao gồm:
- FROM: cho biết nguồn xuất phát mail
- SENDER: cho biết agent nào đại diện cho nguồn giử mail đi(nếu không trùng với
nguồn)
- MAIL FROM: cho biết địa chỉ
- HELO/EHLO: đây là nội dung của câu lệnh SMTP HELO hoặc EHLO, chứa
những đặc tả chuẩn để là tên miền của một SMTP agent phía gửi (SMTP client).
Chú ý rằng trường này có thể khác với domain của người gửi, ví dụ như khi ISP
a.com đang chuyển mail của Alice@ex.net
Cả SPF và Sender ID đều cho phép nhận dạng và cấp phép sử dụng địa chỉ trong
trường MAIL FROM, nhận dạng địa chỉ bounce . Quá trình diễn ra như sau: Giả sử
MTA biên ngõ vào giả sử như MTA B nhận mail thuộc một domain khác từ MTA A, có
địa chỉ trong trường MAIL FROM là Alice@ex.net. MTA B sẽ dò tìm bản ghi chính sách
mail của domain ex.net bằng cách sử dụng một truy vấn DNS thích hợp. Nếu như bản ghi
này tồn tại, MTA B sẽ xem trong danh sách này có địa chỉ IP của MTA A được cho phép
gửi mail cho ex.net hay không. Nếu không có địa chỉ này, bản ghi chính sách kết thúc với
tùy chọn –all và mail bị từ chối, MTA B sẽ hiểu là mail có trường MAIL FROM không
hợp lệ này không có mối liên quan gì đến Alice@ex.net, có thể là virus hoặc spammer đã
sử dụng trái phép địa chỉ này. Nếu MTA B vẫn chuyển mail này đi và
, Alice@ex.net sẽ nhận được một cho một mail
chưa từng gửi. Việc phát đi một bản ghi chính sách như vậy cho phép domain ex.net
tránh nhận phải những thông điệp bounce không đúng.
Đồ án môn học An ninh mạng
Mail Spam cơ chế và các biện pháp phòng chống 21
Phương pháp này rất hiệu quả đối với những mail hợp lệ được gửi trực tiếp từ
domain gửi đến domain nhận. Tuy nhiên không phải khi nào trường hợp này cũng xảy ra,
mail có thể đi qua một hoặc nhiều domain trung gian trước khi đến được đích, cụ thể là:
- Mail được gửi bởi Alice@ex.net
- Mail được chuyển tiếp, chẳng hạn từ Bob@c.com đến account hiện tại là
Bobs.com
- Mail được phân phối bởi một danh sách mail (Mailing list)
Trong hầu hết các trường hợp, ngoại trừ một vài danh sách mail, các mail agent
trung gian thường không thay đổi địa chỉ trong trường MAIL FROM. Điều này có thể
dẫn đến việc mail bị MTA B từ chối. Các đặc tả của Sender-ID quy định rằng các domain
trung gian nên thay đổi trường MAIL FROM thành một địa chỉ dưới sự điều khiển của
nó, địa chỉ này sẽ nhận một thông điệp bounce, sau đó thông điệp này sẽ được chuyển
đến cho địa chỉ ban đầu trong trường MAIL FROM. Địa chỉ được thay đổi này nên từ
chối nhận bất kỳ một thông điệp nào ngoại trừ thông điệp bounce của mail gốc.
Cơ chế Sender ID cũng cho phép nhận dạng và cấp phép sử dụng địa chỉ danh
tiếng (Purported Responsible Address - PRA). PRA không phải là một trường trong
header, nó là kết quả của một thuật toán đơn giản áp dụng vào header, mục đích của thuật
toán này là nhận dạng thực thể chịu trách nhiệm về mail, đó là người gửi, hoặc một mail
agent nào đó.
Tuy nhiên, hầu hết các mail client hiện tại chỉ hiển thị thông tin của trường
FROM hoặc SENDER, những thông tin này là không có giá trị đối với Sender ID (hoặc
SPF). Sender ID quy định rằng mail client nên hiển thị PRA và xem Microsoft là đề xuất
chính của Sender ID, nó có thể sẽ được thực thi trên mail client của Microsoft trong
tương lai.
Ngay cả khi khả năng xấu nhất xảy ra là một vài Mail client có thể sẽ hiển thị
những mail được công nhận là đã xác thực của Sender ID, chỉ với giá trị của trường
FROM trong header, ngay cả khi PRA là khác nhau có thể làm cho kẻ tấn công giả mạo
địa chỉ người gửi (tấn công phishing)
Giống như việc xác thực trường MAIL FROM, xác thực PRA cũng rất hiệu quả
khi các mail hợp lệ chuyển trực tiếp từ domain gửi đến domain nhận, tuy nhiên độ khó sẽ
tăng lên khi mail phải đi qua một domain trung gian. Sender ID quy định rằng các trạm
trung gian này phải thêm thông tin vào trường RESENT – FROM hoặc SENDER trong
header, cho phép thuật toán PRA hoạt động. Tuy nhiên không phải trạm trung gian nào
cũng thực thi đặc tả này.
SPF cho phép ngoài MAIL FROM còn sử dụng những đặc tả về domain trong câu
lệnh SMTP HELO hoặc EHLO, đây là những câu lệnh đầu tiên được gửi từ SMTP client
đến SMTP server. Theo chuẩn SMTP, những đặc tả về domain chính là domain phía gửi,
mặc dù không phải tất cả trường hợp SMTP đều thực thi nó. Tuy nhiên, khi việc thực thi
hoàn tất, đây luôn là nhận dạng của domain chuyển mail đi, có thể là domain trung gian
hay domain gốc. Những thông tin nhận dạng này sẽ không bao giờ được hiển thị cho
người nhận.
Đồ án môn học An ninh mạng
Mail Spam cơ chế và các biện pháp phòng chống 22
Việc tồn tại của một bản ghi chính sách cho bất kỳ một thông tin nhận dạng của
SPF hay sender ID(MAIL FROM, PRA, HELO/EHLO) và cả việc thêm địa chỉ IP của
MTA gửi vào bản ghi cũng không thể mang lại sự đảm bảo là mail nhận được có an toàn
hay không. Spammer có thể thiết lập một bản ghi chính sách cho chính domain của mình.
Hơn nữa, việc thiết lập một domain mới có thể dễ dàng thay đổi địa chỉ IP.
Tuy nhiên trong thực tế thì các domain không nhằm mục đích spam thường sử
dụng tên miền trong một thời gian dài. Do đó mà tên domain cũng thường được chứng
thực sử dụng một bản ghi chính sách ngược với địa chỉ IP của n
Các file đính kèm theo tài liệu này:
- mail_spam.pdf