In een vorige blog heb ik al eens stil gestaan bij TMG, Exchange 2010 en FPE 2010. Toen heb ik vooral gekeken naar de TMG als SMTP gateway. Ik wil in deze blog eens dieper op de techniek zelf ingaan.

Helo mail.server.here

Op het moment dat de sender op SEND drukt gaat zijn mail naar zijn eigen mailserver. Deze zal dan contact zoeken met de mail server, in ons verhaal is dat dus de TMG, Exchange 2010 en FPE 2010. Als eerste gaat de Source Analysis Layer kijken waar de mail vandaan komt. Als tweede gaat de protocol Analysis Layer het SMTP verkeer analyseren en als laatste kijkt de Content Analysis Layer naar de inhoud van de mail.

Source Analysis Layer

De Source Analysis Layer kijkt van welke server de afzender is (Source) om te bepalen of het een spam server is of niet. Hierbij kijkt hij naar drie onderdelen in de volgende volgorde:

• - IP Allow/Block
• - DNSBL
• - SenderID.

Daarna wordt het mailtje doorgegeven naar de volgende laag.

IP Allow/Block

Dit is de oudste en minst efficiënte manier. Aan de hand van een vast aantal IP nummers worden connecties gedropt. Deze optie is voornamelijk interessant als er een aanval plaatsvindt op je SMTP server. Dan kun je snel en efficiënt al het verkeer vanaf dat nummer blokken.

DNS Block List (DNSBL)

DNSBL is een techniek die in het verleden al zijn sporen heeft verdiend. Door gebruik te maken van een centrale DNSBL database kun je als organisatie snel kijken welke mail server bekend staan als spam server. Deze informatie haalt FPE op bij FOPE. FOPE heeft zijn eigen interne Block List, maar maakt ook gebruik van Spamhause SBL en XBL lijsten.

Sender ID Framework

Het Sender ID Framework is een “nieuwe” manier waarop gekeken wordt of de afzender legitiem is. Dit gebeurt aan de hand van een SPF record. FPE kijkt of er een SPF record aanwezig is. Er kunnen dan drie dingen gebeuren:

• - No SPF record, als er geen SPF record is dan zal dit in de header van de mail mee gegeven worden, maar de mail wordt altijd doorgestuurd naar de volgende fase. Dit wordt ook wel een Soft Fail genoemd.
• - A SPF record, als er een SPF record is wordt er gekeken of de versturende SMTP server er in staat. Is dit het geval dan gaat de mail door.
• - A SPF Record, als de versturende server er niet in staat zal het mailtje default niet geaccepteerd worden. Dit heet een Hard Fail.

Protocol Analysis Layer

Nadat het mailtje door de Source Analysis Layer is gegaan komt het aan bij de Protocol Analysis Layer. De protocol analysis layer kijkt hoe de SMTP communicatie verloopt om zijn eventuele beslissing te nemen. Hierbij maakt hij gebruik van de volgende technieken in de volgende volgorde:

• - SMTP Tarpitting,
• - Limiting Submission Rate,
• - Safelists Enforcements,
• - Sender Filtering,
• - Recipient Filtering,
• - Backscatter Filtering.

SMTP Tarpitting

Bij SMTP tarpitting wordt er voornamelijk gekeken hoeveel en hoe snel een versturende server SMTP connectie maakt. Zijn dit er teveel dan zal de server steeds langzamer gaan reageren. Hierdoor duurt het steeds langer voor de versturende host om een volgende mail af te leveren. Deze techniek zorgt er voor dat een dictionary attack veel langer duurt.

Limiting Submission Rate

Standaard mag één IP nummer maximaal 600 mails per minuut afleveren. Dit is de Submission Rate. Als je onder een Spam aanval staat kun je dit met het volgende commando verlagen:

Set-ReceiveConnector - Identity SPAMMER\Default SPAMMER” - MessageRateLimit 10

De Identity waarde kun je achterhalen met get-receiveconnector |FL

Safelists Enforcements

Safelist Enforcements is de spam integratie met Outlook. Als een gebruiker in Outlook aangeeft dat iemand op zijn safe of block list thuis hoort, wordt deze informatie opgeslagen in de AD. FPE leest deze informatie uit om eventueel email als goede mail te identificeren. De mail wordt dan niet verder op spam gecontroleerd.

Sender Filtering en Recipient Filtering

Bij Sender Filtering en Recipient filtering kun je een filter leggen over de inkomende mail. Je kunt dan bepalen dat alleen mail op de Sender lijst binnen mag komen of juist niet. Daarnaast kun je kijken of de mail op de Recipient lijst staat. Deze laatste kun je ook laten vullen door de GAL.

Backscatter Filtering.

Als laatste vindt de Backscatter Filtering plaats. Elke mail dat via de Exchange omgeving naar buiten gaat krijgt een stempel mee. Als er op de mail een replay komt wordt er gekeken of deze stempel er in zit. Zo niet dan wordt de mail niet doorgestuurd.

Content Analysis Layer

Als laatste gaat het mailtje naar de Content Filter. De content filter bestaat uit één externe Anti-spam engine van Cloudmark. Cloudmark houdt, op internet, een centrale database bij van alle spam mails. Elke spam mail krijgt een “vingerafdruk”. Deze “vingerafdruk” wordt door de lokale Cloudmark gedownload en vergeleken met de “vingerafdruk” elke binnenkomend email. Komt de “vingerafdruk” overeen dan is het spam en krijgt het een SCL 9, bij twijfel ergens tussen de 1-8 en als hij het zeker weet maakt hij er een SCL -1 van.

De praktijk

Thuis draai ik al een paar weken de TMG + Exchange 2010 en FPE. Ik moet zeggen dat het aantal spam mailtjes sindsdien drastisch is afgenomen. Toch wel even leuk om te kijken hoeveel procent er is tegen gehouden. Eerst wat data:

Ik heb twee domains,

• - 1 Prive (mbco.nl)
• - 1 voor het bedrijf van mijn vrouw (krachtigwerk.nl).

Mijn prive domain heeft drie actieve mailboxen en die van mijn vrouw 2.

Ik heb deze week 598 mails ontvangen. Hierbij zijn er in totaal 532 tegen gehouden door FPE (+/- 89% redelijk standaard). Hierbij kun je de volgende onderverdeling maken:

• - Blocked by DNSBL: 427 (+/- 80,26% van de totale spam)
• - Blocked bij sender filtering: 4 (+/- 0,75% van de totale spam)
• - Blocked bij SenderID Filtering: 21 (+/- 3,95% van de totale spam)
• - Quarantined by content filtering: 78 (14,66% van de totale spam)
• - Blocked by backscatter agent: 2 (0,38% van de totale spam)

Het is hierbij belangrijk om op te merken dat 14,66% in quarantaine komt. De rest (85,34%) komt nooit de mail server binnen. Dit is mail dat aan de rand er al afvalt. Dit is dus ook mail dat je nooit meer ergens terug kan halen. Op zichzelf niks mis mee en op deze manier wordt je mail server goed ontlast.

Conclusie

Volgens Microsofts eigen onderzoek houdt FPE 99% van alle spam tegen (ik moet de doorgekomen spam mail maar eens gaan tellen). Als ik kijk naar mijn eigen cijfers dan blijft een hoop spam mail buiten de deur. Waar ik verbaast over was dat 85% zelfs nooit geaccepteerd werd door mijn TMG en dus niet de Content filtering in ging. Dit is aan de ene kant best eng, want je zou belangrijke mail kunnen missen. Als je een studie gemaakt heb over de achterliggende technieken dan zie je dat deze angst ongegrond is. Ik hoop daarom dat deze blog je wat meer inzicht heeft gegeven in de technieken die FPE gebruikt voor zijn anti spam maatregelen.

Martijn Bellaard