Spam Protection with OpenBSD and PF (spamd)‏ Gökhan ALKAN

Spam Nedir ? Kullanıcının isteği dışında genellikle reklam amaçlı olarak gönderien maillere spam denilebilir.

Spam Maillerin Neden Olabileceği Sorunlar ve Tehlikeler Kullanıcı zamanının boşa harcanması, sunucu kaynaklarının tüketilmesi vs.. Phishing yöntemi ile kullanıcıya ait özel bilgilerin elde edilmeye çalışılması.

Phishing Yöntemi Nedir ? Daha çok Instant messaging ve Mail yolu ile yapılan kullanıcıya özel bilgilerin elde edilmesi. Bu yöntem ile daha çok ; 1. Kredi, Debit/ATM Kart Numaraları/CVV2 2. Şifreler ve Parolalar 3. Hesap Numaraları 4. İnternet Bankacılığı İçin Kullanılan Kullanıcı Kodu ve Şifreleri

Örnek Phishing Mail İçeriği Örnek: Sayin XXXX Bank Musterisi Hesabiniza 12/ekim/2007 tarihinde YYY ZZZ tarafindan ??? YTL. havale edilmistir. Yapilan havale ile ilgili ayrintilar asagidadir. Gonderen: YYY ZZZ Miktar: ??? YTL. Sube: CCC / Merkez Aciklama: - Havale onay ve/veya red islemi icin asagidaki linkden internet bankaciligini kullanabilirsiniz ve/veya hesabinizda gerekli incelemeleri yapabilirsiniz. Size havale gonderen kisinin bilgileri icinde asagidaki linki kullanabilirsiniz... Eger yukaridaki link calismiyorsa lutfen asagidaki linki kullaniniz.

Spamla Savaşma Yöntemleri Pasif ve aktif olmak üzere spamle savaşmak için 2 yol bulunmaktadır. 1 Pasif Yönte 1.1 İçerik Filtreleme 2. Aktif Yöntem 2.1 Kara Liste Uygulamaları 2.2 Greylist

Pasif Yöntem Pasif yöntem ile bütün mailler hiç bir ip adres bilgisi kısıtlaması olmadan kabul edilir ve içerik filtrelemesinden geçirilerek spam olup olmadığına karar verilir. Avantajları ve Dezavantajları vardır.

Pasif Yöntem Ve Dezavantajları Sunucu kaynaklarının boşa tüketilmesi, false-pozitif sonuçlar. Özelliklede spam yapan kişilerin mailin kullanıcıya gittiğini varsayması ve daha çok spam gönderilmesine sebep olması.

Pasif Yöntem Ve Avantajları Maillerin kaybedilmemesi. Mailler içerik filtrelemesinden geçtikten sonra kullanıcının mail kutusuna düştüğü için mailler kaybedilmez. Başta bayesian methodu olmak üzere çeşitli teknikler kullanılarak spam tanıma yüzdesinin artması.

Aktif Yöntem 1 – Kara Liste Uygulaması Kara Liste yöntemi ile daha önce belirlenmiş ip adreslerinden mail kabul etmeme. Bu yöntemde mail sunucunun ip adres bilgisinin kara listelere girmiş olması yeterli. Bu yöntemden özellikle ; Adsl ip bloklarına sahip mail sunucular Çok fazla kullanıcıya hizmet veren kampüs ağları yada büyük kuruluşlar etkilenmektedir.

Aktif Yöntem 2 – Spamd ve PF Greylist Uygulaması Greylist uygulaması Spamd ve PF SMTP [ RFC 2821 ] protokolünde belirtilen spesifikasyonlara göre geriye “450 Requested mail action not taken: mailbox unavailable error” mesajı döner. Eğer gerçek bir mail sunucu yazılımından mail atılmışsa mail tekrar gönderilecektir.

Greylist Nasıl Çalışır ? Whitelist: Spam mail göndermediği düşünülen Mail sunucular Blacklist: Spam mail gönderdiği düşünülen Mail sunucular Greylist: Henüz karar verilmemiş, spammer olup olmadığına karar verilecek.

Pf Kuralları -1 1.table persist 2.table persist 3.table persist file "/usr/local/etc/spamd-mywhite" 4.rdr pass inet proto tcp from to $external_addr port smtp -> port 25 5.rdr pass inet proto tcp from to $external_addr port smtp -> port spamd 6.rdr pass inet proto tcp from ! to $external_addr port smtp -> port spamd 7.pass in log inet proto tcp from any to $external_addr port smtp flags S/SA synproxy state 8.pass out log inet proto tcp from $external_addr to any port smtp flags S/SA synproxy state

Pf Kurallari - 2 spamd-setup -> spamd tablosunu düzenliyor. Cron işi ile tablo düzenleniyor spamlogd -> spamdlogd ilede spamd-white tablosu duzenleniyor.

Teşekkürler

Tesekkurler