DMARC, DKIM и все-все-все

Разборнов Дмитрий
dima@razbornov.ru
MVP
fromreallife.wordpress.com
Обзор
1. Проблемы

2. Как работает DMARC и что такое DKIM?

3. Плюсы технологии DMARC

4. Неожиданности DMARC

5. Кейс

6. Заключение
Обзор
1. Проблемы

2. Как работаетDMARC и что такое DKIM ?

3. Плюсы технологии DMARC

4. Неочевидное поведение DMARC

5. Кейсы

6. Заключение
Познакомьтесь: “Том”

Zinko
AI RLI NES
Почему фишинг трудно обнаружить?
Однажды, Том получает письмо
с прогнозом погоды.

Zinko Air Weather

Alerts
Weather Alert for Sept 25, 2014
Thu 9/25, 5:30 am

Zinko
To: tzink@zinkoairlines.com

AI RLI NES
Your daily weather alert is
below:
Login to view your customized
weather report

Zinko Airlines
Oceanic | Privacy
Airlines | |
| Privacy
Terms of Use | Unsubscribe
Почему фишинг трудно обнаружить?
Он открывает ссылку, и вводит
свои учетные данные, но

Zinko
получает сбой проверки
Zinko Air Weather подлинности. Тогда он кликает
на логотип компании, его
AI RLI NES
Alerts
Corporate
Weather Alert for sign
Sept 25,in
2014
Thu 9/25, 5:30 am
перенаправляют на сайт снова и
user@zinkoairlines.com
tzink@zinkoairlines.com
успешно входит в систему.
Zinko
To: tzink@zinkoairlines.com

Password

AI RLI NES
Sign in Поддельный Он только что стал жертвой
Your daily weather alert is
below: URL ! успешной фишинговой атаки.
Login to view your customized
weather report

Zinko Airlines
Oceanic | Privacy
Airlines | |
| Privacy
Terms
© 2014ofZinko
Use Airlines
| Unsubscribe

zinkoairlines.phpforms.net/q1xfr4
Почему фишинг трудно обнаружить?
1. Выглядит, как настоящее

2. Пользователю трудно распознать, что что-то “не так”

3. Традиционные анти спам решения не работают

Почему фишинг трудно обнаружить?
1. Выглядит, как настоящее

2. Пользователю трудно распознать, что что-то “не так”

3. Традиционные анти спам решения не работают

Решения обычно отбирают фильтрами спам из потока «нормальных» писем;
однако, фишинговые письма имеют следующие характеристики:

a) Отсылаются с IP адресов и(или) доменов, у которых прежде не было негативной

репутации
b) Домены могут пройти проверку SPF или DKIM, но пользователь может не увидеть
этого
c) Даже заголовок 5322.From может быть скрыт от пользователя, в зависимости от
используемого клиента
Почему фишинг трудно обнаружить?
1. Выглядит, как настоящее

2. Пользователю трудно распознать, что что-то “не так”

3. Традиционные анти спам решения не работают

Cyber thieves stole $215 million from businesses using hacked email addresses.
Как они это делают?
Вот сценарий кошмара: Вы работаете в бухгалтерии, и получаете письмо от
финансового директора, который просит, чтобы Вы срочно перевели одному
из зарубежных поставщиков компании пятизначную сумму, которая была
каким-то образом пропущена. Вы делаете платеж, и уведомляете об этом
босса, получив от него по электронной почте ответное письмо «Чего? КАКОЙ
ПЛАТЕЖ?»
Еще один пример…
Еще один пример… (продолжение)

Authentication-results: protection.outlook.com; spf=pass

(sender IP is xx.xx.xx.xx)
smtp.mailfrom=phish@phishing.com
dkim=none (message not signed) header.d=none;
dmarc=fail
action=quarantine header.from=woodgrovebank.com;
Обзор
1. Проблемы

2. Как работает DMARC и что такое DKIM?

3. Плюсы технологии DMARC

4. Неочевидное поведение DMARC

5. Кейсы

6. Заключение
Как DMARC предотвращает фишинг

Zinko Air Weather From: Zinko Air Weather Alerts <alerts@alerts.zinkoair.com>

Alerts
Weather Alert for Sept 25, 2014

У адреса alerts.zinkoair.com есть политика DMARC ? Да.

Thu 9/25, 5:30 am

Zinko
To: tzink@zinkoairlines.com

AI RLI NES Письмо прошло проверку подлинности? Да.

Your daily weather alert is
below:

Прошедший проверку домен соответствует тому, что

Login to view your customized
weather report

Zinko Airlines
Oceanic | Privacy
Airlines | |
| Privacy
Terms of Use | Unsubscribe видит пользователь?
Если Нет, сообщение не проходит проверку
DMARC и получающая сторона решает, что будет
дальше делать с сообщением.
DKIM: DomainKeys Identified Mail
DKIM: DomainKeys Identified Mail

Authentication-Results: mxfront5j.mail.yandex.net;
spf=pass (mxfront5j.mail.yandex.net: domain of
outlook.com designates 65.55.34.215 as permitted sender)
smtp.mail=razbornov@outlook.com; dkim=pass
header.i=@hh.ru X-Yandex-Spam
DKIM: в мире сказок Linux
DKIM в Linux: рабочий конфиг 

aptitude install opendkim opendkim-tools

mkdir /etc/opendkim/ opendkim-genkey -D /etc/opendkim/ -d $(hostname
-d) -s $(hostname)
echo $(hostname -f | sed s/\\./._domainkey./) $(hostname -d):$(hostname):$
(ls /etc/opendkim/*.private) | tee -a /etc/opendkim/keytable
echo $(hostname -d) $(hostname -f | sed s/\\./._domainkey./) | tee -a
/etc/opendkim/signingtable
DKIM: dkim-Exchange
DKIM: dkim-Exchange
DKIM: dkim-Exchange
DKIM: dkim-Exchange
DKIM: dkim-Exchange
DKIM: Пример записи ТХТ с DMARC
DMARC
DMARC = Domain-based Message Authentication, Reporting, and Conformance

• Authentication – опирается на существующие технологии (DKIM and SPF)

• Reporting – дает хорошее визуальное представление в виде отчетов:

о сбоях, прогнозах, динамике (XML)

• Conformance – использование стандартных идентификаторов

обеспечивает гибкость политики
DMARC в цифрах. Историческая справка
• Использовался как прототип между Paypal и Yahoo – с
2007

• Вендоры выступили с предложениями на рынок – с

2009

• Первая опубликованная запись DMARC – Февр ’11

• Черновик спецификации – Янв 30е 2012, пересмотрен

Апр ’12

• В это время внесены значительные изменения

• В 2014 оформлен IETF WG как официальный стандарт

DMARC в цифрах
• Приблизительно 2 миллиона почтовых адресов по
всему миру защищены

• Более чем 80% обычных пользователей,

использующих сервисы электронной почты защищены
– Microsoft: Hotmail/Outlook/Live/Office 365
– AOL
– Gmail
– Yahoo
– Mail.ru
– Яндекс.ру

• Более 80,000 активных доменов имеют записи DMARC

DMARC в цифрах
Paypal:
Более чем 25 миллионов поддельных писем были
отклонены в течение новогодних распродаж 2013 .

Twitter:
В течение первых 45 дней начатого мониторинга,
было замечено около 2.5 биллионов поддельных
писем
До DMARC: ~110 миллионов сообщений/в день
После DMARC: 1,000/в день после публикации
политики "reject"
Издательство Clearing House сообщило, что они
использовали DMARC для блокировки более 100,000
не прошедших проверку писем за 90 дневный период
2014.
DMARC: обзор спецификации
Aligned Email Unaligned Email

example.com DMARC record lookup

DNS Server

Inbound MTAs

X 1. Check SPF & DKIM

The Internet 2. DMARC Identifier Alignment Mail Storage
X
3. Act on unaligned mail

example.com
Report Forensic reports Aggregate log data
Consumer

Aggregate
Aggregate reports Report
Generator
DMARC: обзор спецификации
• TXT запись в DNS
• _dmarc.example.com

• Проверка точного соответствия заголовка 5322.From

• Если запись не найдена, выполняется проверка
домена организации используя 5322.From

• Возможные варианты политики:

• “none” – просто оцениваем работу и собираем
статистику
• “quarantine” – отбираем явно подозрительные
письма для более тщательной проверки
• “reject” – отклоняем письма, не прошедшие проверку
DMARC
DMARC: Примеры записей политик

Первая запись DMARC каждого:

v=DMARC1; p=none; rua=mailto:aggregate@example.com;

DMARC: Примеры записей политик
Начинаем немного закручивать гайки. . .

v=DMARC1; p=quarantine; pct=10;

rua=mailto:agg@example.com;

или, с прогнозируемыми отчетами:

v=DMARC1; p=quarantine; pct=10;

rua=mailto:agg@example.com;
ruf=mailto:fail@example.com;
DMARC: Примеры записей политик

Правильно настроенные серверы могут отклонять100%

писем, не прошедших проверку соответствия
Nslookup –q=TXT _dmarc.facebookmail.com

v=DMARC1; p=reject; pct=100;

rua=mailto:postmaster@facebook.com,mailto:d@rua.agari.com;
ruf=mailto:d@ruf.agari.com;
Обзор
1. Проблемы

2. Как работает DMARC?

3. Плюсы технологии DMARC

4. Неожиданности DMARC

5. Кейсы

6. Заключение
Баланс между безопасностью и
функциональностью

Не потерять важное
Избавиться от письмо
поддельных писем
Обратная связь
1. Собираем feedback
2. Обнаруживаем неверно
настроенные серверы
3. Проверяем сторонних
поставщиков рассылок
4. Все письма проходят проверку
подлинности!
Обнаружение атаки
1. Спамер из Интернета
Отправляет поддельное письмо
cvetochek88@mail.ru 2. Письмо не проходит проверку
DKIM или SPF, и DMARC ,
Помечает письмо как спам

Почтовый
сервер
3 .Отправляет уведомление
На dmarc_failures@example.com
4. Администратор домена:
.
Хммм, нехороший спамер!
,
Обнаружение неверных конфигураций
1. joe@linux.org .отправляет
Сообщение с новых серверов
2.Сообщение не проходит проверку
DKIM или SPF, и DMARC

Почтовый сервер

3.Отправляет уведомление
На dmarc _ failures@ example.com
4. Упс, я забыл добавить этот
IP в мою SPF запись
И не включил для него DKIM
Проверяем поставщиков рассылок
1. Поставщик рассылок отсылает MAIL
FROM alerts@3 rdParty.com, From:
alerts@ example.com 2. Письмо проходит SPF и DKIM ,
Но RFC 5321MailFrom не
cсоответствует

почтовый сервер поставщика

Почтовый сервер

3.Отсылается уведомление
О сбое dmarc_ failures@ example.com
4. Упс, , Я забыл делегировать под домен
Для этого поставщика рассылок
Обзор
1. Проблема

2. Как работаетDMARC?

3. Плюсы технологии DMARC

4. Неожиданности DMARC

5. Кейсы

6. Заключение
Image
Image taken
taken from
from Flickr
Flickr Creative
Creative Commons:
Commons: https://www.flickr.com/photos/dlkinney/357134468/
https://www.flickr.com/photos/dlkinney/357134468/
Разрывая цепочку Case 1: SPF
сработает только
тогда, если письмо
отправлено отсюда

…и немного
изменено здесь,
DMARC может не
Case 2: Если письмо сработать
отправлено отсюда…
Разрывая цепочку Case 1: SPF
сработает тогда,
Происходит если письмо
Происходит все
все время
время сс легитимными
легитимными группами
группами
рассылки,на отправлено отсюда
рассылки,на стадии
стадии доработки
доработки рабочей
рабочей группой
группой
DMARC.
DMARC.

…и немного
изменено здесь,
DMARC может не
Case 2: Если письмо сработать
отправлено отсюда…
Обзор
1. Проблема

2. Как работает DMARC ?

3. Плюсы технологииDMARC

4. Неожиданности DMARC

5. Кейс

6. Заключение
Case DMARC: Microsoft Corporation
Заключение
1. DMARC решает некоторые проблемы фишинга

2. DMARC позволяет сделать домены более безопасными

3. Но, DMARC все еще есть, куда стремиться

Ссылки на ресурсы
1. DKIM: RFC 6376 и dkim.org.
2. DMARC RFC 7489 и dmarc.org
3. Создаем цифровую подпись Dkim в Exchange 2013
4. https://www.port25.com/support/domainkeysdkim-wizard/
5. http://www.mail-tester.com/
Как включить поддержку в Office 365:
6. http://blogs.msdn.com/b/tzink/archive/2015/10/08/manually-hooking-up-dkim-
7. http://www.msexchange.org/articles-tutorials/office-365/exchange-online/dkim-
© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and
Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.