PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Antispam für Campus-Netze



iggy
26-07-2006, 21:00
Hallo,

wir haben derzeit ein Problem mit einigen größeren Campus-Netzen.
Die User sind hauptsächlich Studenten.
Betriebssysteme: Was euer Herz begehrt.
Problem:
Unser Internetprovider schreibt uns regelmäßig Warnungen, dass von unseren Netzen viel Spam nach aussen geht.
Nun kann man den Studenten jedoch weder vorschreiben, eine Antivirensoftware o.ä. zu nutzen, noch welcher Mailserver zu verwenden ist.
Die Studenten rufen ihre Mails per GMX, MSN, Yahoo, ... ab.

Ein Netz konnten wir nach Wochenlangem Sniffern weitgehend säubern.
Zumindest kommen für diese externe IP-Adresse nun keine Mails mehr vom Provider.

Der Grund für das Spamvorkommen ist klar. Bots auf den Clients.

Wir haben schon überlegt uns mit Snort zu beschäftigen und so zu konfigurieren, dass auffälliger SMTP-Verkehr durch Sperrung des Switchports unterbunden wird und der Student sich zu melden hat, wenn er wieder ins Netz will.
So kann dem Studenten gesagt werden, er soll seine Viren entfernen etc.

Leider wäre der Schulungsaufwand enorm und kann somit nicht getragen werden
Snort ist keine kommerzielle Lösung und wenn jemand anders sich um dieses Netz kümmern soll, muss der Schulungsaufwand erneut getragen werden.

Ich bin also auf der Suche, nach einer Lösung die als OpenSource entweder sehr einfach ist, oder als Kommerzielle Lösung sehr vielversprechend und Support bietet.
Evtl. finden sich für diese Lösung noch andere Anwendungsgebiete, sodass sich der Schulungsaufwand relativiert.
Es sei denn, jemand kann mir sagen, dass Snort dafür wie geschaffen ist und mir gleich den passenden Lösungsweg vorschlagen:D

Die StudentenPCs, die nicht infiziert sind, sollen in keinster Weise beeinträchtigt sein.
Dafür soll bei infizierten PCs möglichst rasch eine Alarmglocke leuten und zumindest per E-Mail informieren.
Die Filterung sollte nach MAC-Adressen erfolgen, sodass die Clients zB in einem DMZ-Vlan landen.
Ein Vollständiges Intrusion Prevention/Detection System mit allen Schikanen ist für diesen Einsatzbereich etwas zu kostenspielig, wenn es sich in einem Preissegment über 1500 Euro befindet. (Nur Hardwarekosten, ohne Installationsaufwand)

Bin mal gespannt, auf euren Input

bla!zilla
27-07-2006, 13:37
Hallo. Da bleibt euch nichts anderes übrig als euch mit Snort ö.ä. zu beschäftigen. Alternativ könntet ihr Regeln aufstellen (so, wie sie in großen Unternehmen üblich sind!).

a) Anwender muss MAC-Adresse bekannt geben, die MAC-Adresse wird nur für den einen Switchport / WLAN freigeschaltet. Ohne installierten Virenscanner, kein Switchport.

b) Einsatz von Snort ö.ä.

c) Filterung von ausgehendem SMTP Verkehr. Port 25 für Clients blocken und nur SMTP Versand über Mailrelay erlauben.

Fragt doch mal anderen Uni-RZs nach, wie die es machen. Die machen es meist so wie ich es beschrieben habe.

iggy
27-07-2006, 17:00
Das sind so ungefähr die Lösungen, die ich mir auch ausgedacht habe, aber doch irgendwie vermeiden.
Das größte Problem ist wohl die Antivirensoftware.
Man müsste es entweder vereinheitlichen und den Studenten die Antivirensoftware zur Verfügung stellen, oder man lebt damit, dass irgendeine Antivirensoftware drauf ist, die vermutlich 70% der Viren übersieht.

Das Bekanntgeben der MAC-Adresse wird das nächste sein, was ich veranlassen werde.
Unbekannte MAC-Adressen werden stillschweigend gesperrt.

Bzgl. SMTP-Server: Gibt es da eine Art "Transparent Relay-Server"
Ähnlich dem Transparent HTTP-Proxy - Also etwa ein SMTP-Proxy der den gesamten SMTP-Verkehr überprüft, durch einen Filter jagt und dann weiter an den eigentlichen SMTP-Server liefert?

Andererseits wäre vermutlich der Weg über den zentralisierten SMTP-Server zum Teil sogar erleichternd für die Studenten.
Es gäbe diesen SMTP-Server um Mails zu verschicken und aus.

bla!zilla
28-07-2006, 12:31
Schließt doch einen Campusvertrag mit einem Hersteller einer von euch favorisierten Antivirensoftware ab, und bietet sie zu unschlagbaren Preisen euren Studenten an, mit der Auflage diese, jene oder welche (drei oder vier Vorschläge) Software zu nehmen.

Zentrales Mailrelay ist auf jeden Fall anzuraten.

Jinto
30-07-2006, 13:15
Hallo,
Die Studenten rufen ihre Mails per GMX, MSN, Yahoo, ... ab.
Ein Punkt an dem ich keinerlei Probleme erkenne.


Ähnlich dem Transparent HTTP-Proxy - Also etwa ein SMTP-Proxy der den gesamten SMTP-Verkehr überprüft, durch einen Filter jagt und dann weiter an den eigentlichen SMTP-Server liefert?Theoretisch läst sich dazu jeder Mailserver verwenden (Port 25 redirect), hat jedoch mind. einen Schönheitsfehler:
- Mailserver, die eine Authentifizierung verlangen können nicht "simuliert" werden


Andererseits wäre vermutlich der Weg über den zentralisierten SMTP-Server zum Teil sogar erleichternd für die Studenten.
Es gäbe diesen SMTP-Server um Mails zu verschicken und aus.Nein, denn was machst du mit z. B. GMX Adressen als Absender? Die landen bei diesem vorgehen u.U. im Spamordner des Empfängers.

Der beste Weg wäre eine Policy was man zu tun hat um seine Computer in das Netz integrieren zu dürfen.

Die meisten Unis/FHs haben Rahmenverträge mit dem ein oder anderen Antivirenhersteller. Oftmals gilt dieser Rahmenvertrag auch für die Studenten, da hilft nachfragen.

SPAM sollte sich relativ leicht erkennen lassen, da relativ viele Verbindungen innerhalb kurzer Zeit auf Port 25 stattfinden => Das lässt sich unter Linux mittels iptables loggen und z. B. durch logwatch o. ä. Auswerten und evtl. direkt sperren lassen. Ok, Snort ginge bestimmt auch.

Automatisches Sperren: Automtismen in diesem Bereich führen häufig zu einem direkten Schuss ins Knie. :D

bla!zilla
31-07-2006, 15:45
Nein, denn was machst du mit z. B. GMX Adressen als Absender? Die landen bei diesem vorgehen u.U. im Spamordner des Empfängers.

Das ist so nicht ganz korrekt. Solange der versendende Mailserver nicht von GMX als offenes Relay erkannst wird, oder auf einer Blacklist steht, ist alles okay. Ich verschicke problemlos Mails über den SMTP von NetCologne (ist das Relay für meinen Mailserver). Die Mails kommen bei GMX an und landen _nicht_ im Spamverdachtsordner.

Jinto
01-08-2006, 20:39
Das ist so nicht ganz korrekt. Solange der versendende Mailserver nicht von GMX als offenes Relay erkannst wird, oder auf einer Blacklist steht, ist alles okay. Ich verschicke problemlos Mails über den SMTP von NetCologne (ist das Relay für meinen Mailserver). Die Mails kommen bei GMX an und landen _nicht_ im Spamverdachtsordner.Das hängt aber auch davon ab, ob du die Spamerkennung eingeschaltet hast und wie stark konfiguriert.

Allerdings gestehe ich zu, dass ich das vor Urzeiten deaktivert habe (eben aus dem o.g. Grund) nicht weiter verfolgt habe. Vielleicht haben Sie die Standardeinstellungen mittlerweile auch verbessert.

bla!zilla
03-08-2006, 08:11
Also bei mir sind alle GMX Accounts sehr scharf eingestellt und ich kann mir wunderbar Mails an meine anderen GMX Accounts schicken.

iggy
03-08-2006, 21:22
Ein Punkt an dem ich keinerlei Probleme erkenne.
Theoretisch läst sich dazu jeder Mailserver verwenden (Port 25 redirect), hat jedoch mind. einen Schönheitsfehler:
- Mailserver, die eine Authentifizierung verlangen können nicht "simuliert" werden
Nein, denn was machst du mit z. B. GMX Adressen als Absender? Die landen bei diesem vorgehen u.U. im Spamordner des Empfängers.

Der beste Weg wäre eine Policy was man zu tun hat um seine Computer in das Netz integrieren zu dürfen.

Die meisten Unis/FHs haben Rahmenverträge mit dem ein oder anderen Antivirenhersteller. Oftmals gilt dieser Rahmenvertrag auch für die Studenten, da hilft nachfragen.

SPAM sollte sich relativ leicht erkennen lassen, da relativ viele Verbindungen innerhalb kurzer Zeit auf Port 25 stattfinden => Das lässt sich unter Linux mittels iptables loggen und z. B. durch logwatch o. ä. Auswerten und evtl. direkt sperren lassen. Ok, Snort ginge bestimmt auch.

Automatisches Sperren: Automtismen in diesem Bereich führen häufig zu einem direkten Schuss ins Knie. :D

Kurz nachdem ich meine letzte Antwort abgefeuert habe, kam mir auch dieser Gedanke.
Und es kommt sogar noch mehr:

Wenn ich Mailserver konfiguriere, löse ich die Adressen Rückwärts auf.
Passt der Reverse-Lookup nicht zur Sender-Adresse, kann der Server auch nicht passen -> SPAM und retour mit Antwort
Das mach aber nicht nur ich.
Immer mehr Leute erzählen mir, dass sie von ihrer Firma aus an bestimmte Empfänger nichts versenden können, weil dann Antworten wie "keine Berechtigung" etc kommen.
Das liegt dann meistens daran, dass vergessen wurde, den Reverse-Lookup anzulegen.

Und dann kommen da noch ein paar Routinekontrollen dazu...

Nö - Relay ist nicht....
Automatisierung, haste wahrscheinlich auch recht...

Die Idee mit IPTables und Logwatch gefiel mir aber recht gut.
Die ist mir bisher noch nichtmal ansatzweise in den Kopf gekommen.
Ich war bisher eher im Packet-Sniffer-Bereich :D

Wie ließe sich sowas mit Logwatch realisieren?
Kann ich das auch in tabellarischer Form auswerten lassen und evtl Diagramme damit machen?

bla!zilla
04-08-2006, 09:01
Das Auflösen des PTR Records muss man sehr differenziert betrachten. Es ist nichts schlimmes, wenn der einliefernde SMTP Server nicht der Server ist, der im MX Record steht. Wichtig ist das ein gültiger PTR Eintrag im DNS für den einliefernden Server existiert. Zudem kann beim (z.B. bei Postfix) diverse Dinge beim Einliefern prüfen lassen. Ist der Header korrekt, steht die Maschine auf irgendeiner OpenRelay Liste usw. Man muss aber auf jeden Fall ein gesundes Mittelmaß finden. Nicht zu hart und nicht zu weich. Sehr erfolgreich ist auch der Ansatz den "Greylisting" verfolgt. In dem Fall wird davon ausgegangen das Spammer nach "Fire and forget" arbeiten, also Mails absetzen, sich aber nicht darum kümmern, wenn diese abgewiesen wird. Ein "ordentlicher" Versender wird es auf jeden Fall noch mal versuchen, wenn die erste Mail mit einer sauberen SMTP Fehlermeldung abgelehnt wurde (siehe RFC zu SMTP). Dieser zweite Verbindungsaufbau und die anschließende Einlieferung von Mails wird dann in einer DB für einen bestimmten Zeitraum gespeichert. Damit ist dieser Sender für diesen Zeitraum geprüft und kann ohne Behinderung Mails abliefern.

cane
16-08-2006, 21:51
Greylisting ist gerade im Bereich der Universitäten, generell aber in allen Institutionen die ein sehr hohes Mailaufkommen haben sehr beliebt.

Nette Statistiken mit Bezug zu Greylisting:
http://www.tu-chemnitz.de/urz/netz/statistik/mail/
http://www3.uni-siegen.de/zimt/aktuelles/statistik/e_mail/?lang=de

Generell: http://www.google.de/search?hl=de&q=greylisting+uni+statistik&btnG=Google-Suche&meta=

Allerdings sollte man sich im klaren sein das, obwohl Greylisting standardkonform ist, einige MTAs kein zweites Mal senden und diese Mails somit verloren gehen. Zumeist sind das weniger wichtige Mails wie Mailinglisten und Newsgroup die in eine Whitelist eingepflegt werden sollten.

Allerdings hat man selten auch Probleme mit "ganz normalen MTAs", mittlerweile existieren aber sehr viele gute Informationsquellen zu Greylisting im Netz :)

mfg
cane