técnicas de detección de spam jacobo crespo responsable para españa
TRANSCRIPT
![Page 1: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/1.jpg)
Técnicas de detección de SPAM
Jacobo Crespo Responsable para España
![Page 2: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/2.jpg)
AGENDA
1.- Presentación
2.- Herramientas de Filtrado de Contenido
3.- Filtros AntiSpam en MS Exchange Server 2003
4.- Intelligent Message Filter en Exchange 2003 - Demo
5.- Advance Spam Manager – Tecnología SpamCure – Demo
![Page 3: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/3.jpg)
¿Quienes Somos?
1.- Fabricante de Seguridad orientado a Mensajería:
a.- Correo Electrónico (Exchange)b.- Portales para publicación de documentos (Sharepoint Portal Server)c.- Servidores de Mensajería Instantánea (Live Communication Server)
2.- Que ofrece:
a.- Hasta 8 motores de AV Simultáneosb.- Control del contenido enviado en el correo (palabras, adjuntos, tamaño,…)
c.- Soluciones Antispam (borrado, etiquetado,….)
d.- Auditoria sobre la utilización del email (Productividad, almacenamiento, ancho de banda)
3.- En US desde el año 1994 y en España desde el año 2000 con mas de 600 clientes
![Page 4: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/4.jpg)
Referencias
![Page 5: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/5.jpg)
¿Por qué Antispam?1.- Circulan al día 2.3 billones de mensajes SPAM
2.- Un buzón de correo normal recibe al día 75 correos de los cuales el 52% es SPAM
3.- Se ha cuantificado que el coste por año por empleado del SPAM es de 300€
4.- Los costes directos del SPAM son:
a.- Transmitir esos mensajes – Reduce el ancho de bandab.- Almacenar esos mensajes – Aumenta el coste de almacenamientoc.- Borrar o leer esos mensajes – Reduce la productividad del empleado
5.- ROIProtección Antispam por dos años para 50 empleados = 1.200€ 300€ x 50 empleados = 15.000€ de coste de Spam anual x2 = 30.000€
_____________________________________________________________________ Protección Antispam por dos años para 1.000 empleados = 20.250€ 300€ x 1.000 empleados = 300.000€ de coste de Spam anual x2 =
600.000€
![Page 6: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/6.jpg)
Filtrado de Contenido
• Evita que cierto tipo de palabras y tópicos sean enviados hacia o desde los usuarios
• Sin embargo, es ineficiente para controlar el SPAM– Requiere una atención continua del Administrador (horas por
día)– Algunos simples trucos lo hacen vulnerable
• Ejemplos: $ave, V*i*a*gr*a, Chëὰρ– Existen 105 variantes solo para la letra A!
– Genera muchos falsos positivos• Imposible de utilizar en ciertas industrias
![Page 7: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/7.jpg)
Filtrado de Contenido
V I @ G R A , [email protected], \./iagra, Viiagra, V?agr?, V--i--a--g--r-a, V!agra, V1agra, VI.A.G.R.A, vi@gra, vIagr.a, via-gra, Via.gra, Vriagra, Viag*ra, vi-agra, Vi-ag.ra, v-iagra, Viagr-a, V^I^A^G^G^A, V'i'a'g'r'a', V*I*A,G,R.A, VI.A.G.R.A..., Viag\ra!, Vj@GRA, V-i:ag:ra, V'i'a'g'r'a, V/i;a:g:r:a, V i a g r @, V+i\a\g\r\a, Viag[ra, V?agra, V;I;A*G-R-A, V-i-a-g-r-a, V*I*A*G*R*A , V-i-@-g-r-a, VI@AGRA, Vi@gr@, \/^i^ag-ra, VlAGRA, V\i\a.g.r.a, V1@GRA, v_r_i_a_g_r_a, V\i\a:g:r:a, V^i^a^g^r^a, V-i-@-g-r-@, Viag(ra.
![Page 8: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/8.jpg)
RBLs (Real Time Black Holes)
• Las RBLs son listas de supuestos spammers y sus dominios/direcciones IP– Ejemplos: SpamCop, MAPS, SPEWS, Dorkslayers
• Generalmente es manejado por voluntarios, por lo cual no existe una auditoría, y a menudo bloquean mas de la cuenta– Algunos ISPs son agregados, aún cuando envían correos
legítimos– Borrarse de estas listas puede llevar desde días a meses
• Requiere la utilización de muchas listas blancas para no generar falsos positivos
![Page 9: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/9.jpg)
Análisis Heurístico
• Utiliza una técnica que busca miles de características y/o palabras para identificar SPAM y asignar una calificación– El nivel de SPAM debe ser ajustado periódicamente
• Es utilizado en muchos productos antispam
• Muy conocido por los spammers– Sitios Web de spammers permiten verificar el spam contra
motores heurísticos
• Aumentar el nivel de detección = Aumentar los falsos +
![Page 10: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/10.jpg)
Filtros Bayesianos
• Sistema de aprendizaje basado en en análisis estadísticos de vocabulario– Listas de palabras “buenas” y “malas”
• Necesita intervención del usuario para que sea efectiva
• Puede ser muy efectiva para usuarios individuales
• Es atacado deliberadamente por los spammers– Incluyendo palabras “buenas” – Generalmente con palabras escondidas dentro de código
HTML
![Page 11: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/11.jpg)
Ejemplo de palabras aleatorias para evitar filtros Bayesianos
Filtros Bayesianos
![Page 12: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/12.jpg)
Checksums
• Crea un “fingerprint” de ejemplos de spam conocido
• La Base de Datos se actualiza periódicamente
• Es reactivo– Por definición, el “fingerprint” es creado tras identificar el
correo como spam
• Es posible evitarlo con una técnica llamada “hash busting” – agregando diferentes caracteres dentro del mensaje
![Page 13: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/13.jpg)
Ejemplo de hash busting para evitar la técnica de checksums
Ejemplo de Hash busting
![Page 14: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/14.jpg)
Curiosidades
• Los Spammers están continuamente creando trucos y técnicas para evitar las diferentes tecnologías de detección…
• Algunos Ejemplos…..
![Page 15: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/15.jpg)
Filtros AntiSpam en MS Exchange Server 2003
![Page 16: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/16.jpg)
Problemática• Plataforma Relay de correo:
– El ataque se produce cuando un usuario malicioso vulnera la seguridad de la plataforma para enviar correo masivo a través de nuestro servidor.
• Receptor de Correo Spam:
– Se reciben correos que cargan el rendimiento, reducen la productividad de los empleados y generan gastos directos (sistemas de backup, conexiones GPRS, ancho de banda, soporte...)
![Page 17: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/17.jpg)
Problemática Técnica Relay
Pasarela SMTP
Exchange Front-End
Relay
Buzones
Exchange Back-End
No Relay
![Page 18: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/18.jpg)
Soluciones Exchange Server 2003
• Opciones de Seguridad para no admitir Relay y, por tanto, no ser plataforma de correo “Spam”.
– Bloqueo de Relay por defecto para todos los clientes no autenticados.
– Bloqueo por dominios.– Bloqueo por usuarios.– Bloqueo por máquinas.
![Page 19: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/19.jpg)
Soluciones Exchange Server 2003
• Opciones para detener el correo Spam recibido:
– Filtro de Remitente.– Filtro de Destinatario. Nuevo.– Filtro de Conexión en tiempo real. Nuevo. – Filtros de Junk e-mail. Nuevo.– Listas Autenticadas. Nuevo.– IMF. Nuevo.
![Page 20: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/20.jpg)
Soluciones Exchange Server 2003
• Filtro de Remitente. (Filtro Estático)
– Bloquea los mensajes que proceden de determinados usuarios.
• Filtro de Destinatario (Filtro Estático)
– Bloquea los mensajes que van dirigidos a determinados destinatarios.
![Page 21: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/21.jpg)
Soluciones Exchange 2003• Listas Autenticadas
– Se discrimina solo a usuarios autenticados para enviar mensajes a listas de correo.
![Page 22: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/22.jpg)
Soluciones Exchange 2003• Filtros de Conexión
– Exchange Server 2003 comprueba en tiempo real si un servidor que está enviando correo está almacenado en una base de datos de servidores nocivos.
• Implantación de Filtros de Conexión– Implantamos en un servidor DNS una zona de consulta para
almacenar los servidores bloqueados. Ej.[bloqueados.midominio.com ]
– Añadimos registros del tipo
– Configuramos un filtro para que se consulte la zona anterior cada vez que se recibe una conexión de servidor
13.12.11.10 Host 127.0.0.1
![Page 23: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/23.jpg)
Se recibe una conexión desde un servidor de correo
El servidor DNS contesta si existe o no ese registro.
Se deniega la conexión
El servidor FrontEnd consulta la zona DNS de bloqueo.
Filtro de Conexión
Se envian los mensajes al servidor de BackEnd
Servidor BackEnd
Servidor FrontEnd
Servidor DNS
![Page 24: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/24.jpg)
Soluciones Exchange 2003
• Filtros Junk e-mail en Cliente
– Opciones de Outlook 2003
– El cliente tiene la opción de configurar los correos nocivos
– El Servidor y SW de terceros (Antigen) catalogan los mensajes para entrar en la carpeta de Junk-email
– En conexiones de pago por transferencia permite ahorrar costes
![Page 25: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/25.jpg)
Intelligent Message Filter & Advance Spam Manager
![Page 26: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/26.jpg)
Dos Motores
• Microsoft IMF– Utiliza la tecnología SmartScreen™ – Conjunto detallado de reglas que son comparadas con
el correo entrante
• Sybari/Antigen ASM– Integra el motor de detección de spam SpamCure™– Utiliza una combinación de “Bullet Signatures” y el
motor STAR
![Page 27: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/27.jpg)
Tecnología SmartScreen™• IMF distingue entre los mensajes de correo
legítimos y el correo comercial no solicitado u otro tipo de correo electrónico no deseado
• Hace un seguimiento de más de 500.000 características de correo electrónico basadas en datos de cientos de miles de suscriptores del servicio MSN® Hotmail® que participaron voluntariamente en la clasificación de millones de mensajes de correo electrónico
• Ayuda a filtrar el correo no deseado antes de que llegue a la bandeja de entrada del usuario
![Page 28: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/28.jpg)
• Base de datos utilizada para almacenar las características de los correos catalogados como Spam se actualiza con nueva información de patrones del origen de la muestra, lo que hace que el filtro sea más eficaz y actual
• Permite llevar a cabo una evaluación más precisa de la legitimidad de un mensaje de correo electrónico entrante
Tecnología SmartScreen™
![Page 29: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/29.jpg)
• IMF evalúa el contenido de los mensajes en busca de modelos reconocibles y les asigna una clasificación basada en la probabilidad de que el mensaje sea correo comercial no solicitado o correo no deseado
• La clasificación se almacena en una base de datos con el mensaje como una propiedad llamada nivel de confianza de correo no deseado (SCL)
• Los administradores configuran dos umbrales que determinan la forma en que IMF controla los mensajes de correo electrónico con diferentes niveles de SCL
SCL – Nivel de Confianza del correo no deseado
![Page 30: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/30.jpg)
Demo: Intelligent Message Filter (IMF)
![Page 31: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/31.jpg)
ASMAntigen Advanced Spam
Manager
![Page 32: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/32.jpg)
Bullet Signatures
• BD “Bullet signatures” es creada y revisada por un grupo de expertos
• Los “Bullet signatures” son una combinación de atributos únicos de un spammer en particular
– Un conjunto de datos extraídos de la cabecera, del campo asunto y del cuerpo del mensaje
– Funciona tanto para spam actual como futuro– Creados para conseguir características únicas del mensaje
que no puedan estar presentes en correos legítimos– No puede ser falseado por técnicas como el “Hash Busting”
![Page 33: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/33.jpg)
STAR Engine
• El motor STAR busca trucos y técnicas específicas de los spammers– Spammer Tricks Analysis and Response
• Utiliza los “Bullet Signatures” para buscar métodos específicos de spamming
• Se actualiza automáticamente cuando se lanza una nueva versión del motor
• Desde el comienzo está diseñado para soportar cualquier idioma, incluso los de doble byte.
![Page 34: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/34.jpg)
Uno + Uno = TRES• Supongamos que recibimos 10.000 correos de SPAM • Si el IMF analiza primero, el total de correos de SPAM se
reduciría a un total de 1500 (85% de detección)• A partir de ahí, SpamCure™ escanea el correo restante y
detectaría el 95% de los 1500• Lo que reduce a 75 los correos de SPAM que recibiríamos
![Page 35: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/35.jpg)
Combinando Tecnologías
• El motor IMF analiza los correos en primer lugar• Se aplica una clasificación SCL a cada correo• Después pasa por ASM, que también analiza el
mensaje• ASM nunca reducirá la clasificación de IMF
![Page 36: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/36.jpg)
Resumen
• Dos sistemas de detección de spam para lograr una mayor efectividad
• Mínima intervención humana• Fácil de instalar y configurar• Integración entre cliente y servidor• Ratio de detección del 99%, mucho mayor
que la que pueda ofrecer cualquier tecnología por sí misma
![Page 37: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/37.jpg)
Demo: Advance Spam Manager. Tecnología
SpamCure
![Page 39: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/39.jpg)
¿ Preguntas ?
![Page 40: Técnicas de detección de SPAM Jacobo Crespo Responsable para España](https://reader036.vdocuments.site/reader036/viewer/2022070304/54e2b94a4a7959ea5c8b5106/html5/thumbnails/40.jpg)
Referencias• LSSI :
– http://www.lssi.es
• MS ISA Server 2004:– http://www.microsoft.com/spain/servidores/isaserver
• Exchange Server 2003– http://www.microsoft.com/spain/exchange
• Message Screener:– http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/
smtpfilter.mspx
• Technet:– http://www.microsoft.com/spain/technet
• Sybari:– http://www.sybari.com
• Informática 64– http://www.informatica64.com