Suposem que hem de fer una implementació d’un servidor de correu o d’un servei d’antispam en una empresa.
Quina informació ens cal del client? CAP
Ho podem veure tot de forma online.
Primer que tot, cal saber el nom del domini. Això ho podem veure a la tarja que ens ha donat el client, amb l’adreça de correu electrònic.
Només cal posar aquesta adreça (la de després de la @) en la comanda NSLOOKUP
# nslookup
> set type=MX
> google.com
Server:
Address: 192.168.1.1Non-authoritative answer:
google.com MX preference = 10, mail exchanger = smtp2.google.com
google.com MX preference = 10, mail exchanger = smtp3.google.com
google.com MX preference = 10, mail exchanger = smtp4.google.com
google.com MX preference = 10, mail exchanger = smtp1.google.com
>
Ara ja sabem quines són les adreces de les màquines que reben el correu. També les podriem haver trobat a www.mxtoolbox.com
Podem veure si aquestes màquines responen fent un telnet <maquina> 25, i aleshores comuniquem directament amb el port SMTP del servidor. Si des del servidor de correu no arribem a aquesta adreça, difícilment podrem enviar correu a aquest domini.
Un cop tenim les màquines, podem saber les IPs. Això ho podem saber amb el mateix nslookup, posant el nom de la màquina.
nslookup
> set type=A
> smtp1.google.com
Name: smtp1.google.com
Address: 209.85.237.25
>
Amb les IPs ja conegudes, anem al RIPE, a www.ripe.net i mirem quina informació ens dona sobre quin ISP tenen, i quins són els seus DNS. En aquest ISP és on haurem de demanar els canvis de DNS que necessitem si hem de canviar alguna cosa.
També podem fer un whois per saber qui és el contacte administratiu i tècnic, si estan actualitzats, o qualsevol altra dada.
Ara ja sabem tota la informació. Necessitem coneixer més coses:
1) Saber si està en alguna llista negra. Hi ha multitud d’eines antispam que abans de acceptar un correu electrònic de l’exterior, el contrasta amb unes llistes negres que porten algunes empreses. Si estem en alguna llista negra, es molt probable que no puguem enviar correu a les empreses que filtrin l’spam, que cada dia són més.
Per consultar les llistes negres, ho podem fer a www.mxtoolbox.com.
2) Saber si tenen el SenderID activat. Ja fa un parell d’anys que a Interwor T-SIC afegim sempre que instal·lem un servei de correu el SenderID. Això és només un registre de tipus TXT que s’afegeix al DNS, que indica quines màquines poden rebre correu, i quines màquines envien, i de quin domini. Amb aquesta informació, es descarten els mails que s’envien desde PCs amb virus, i també posibles problemes de spoofing. Per saber com activar i quin estat té el nostre registre SenderID, podem anar a http://www.microsoft.com/mscorp/safety/technologies/senderid/default.mspx (sí, es una pàgina de Microsoft, el principal impulsor d’aquesta tecnologia).
3) Posar un registre reverse DNS. Això només es que la nostra IP es registri com una màquina del nostre domini. És a dir, que si tenim la IP 10.20.30.40 i el nostre domini es domini.com al fer un ping -a 10.20.30.40 ha d’apareixer elquesigui.domini.com.
4) Podem coneixer el trànsit de SPAM que es genera, posant la IP o el nom del domini a www.senderbase.org. Si veiem que és una IP que genera molt d’spam, cal que prenguem algunes mesures: (Suposem que tenen un firewall, sinó més val que pleguin)
-
Tallar l’accés al port 25 dels PCs de la xarxa. El port TCP/25 de sortida només estarà obert per al servidor de correu.
-
Eliminar qualsevol spyware del servidor de correu. Ho podem fer amb el ADAware, de www.lavasoftusa.com
-
Posar un producte Antispam que rebi el correu, i el reenvi al servidor ja filtrat de virus i spam (recomanat un Appliance, encara que pot ser un software en una altra màquina). Si no coneixeu cap, doncs truqueu a Interwor-TSIC
. Per favor, oblideu-vos de ClamAV o de SpamAssassin, això es de loosers!!!. Els index de fiabilitat i detecció d’aquests softwares són lamentables. Els bons productes antispam no només detecten l’spam, sinó que tallen les connexions no fiables amb tècniques avançades. Si voleu adquirir un bon producte, jo no us dic marques, però pregunteu-li al vostre comercial conceptes com:-
Greylisting
-
BackScatter
-
Recurrent Pattern Detection
-
Deep Inspection Engines
-
Image Analysis engine
-
Bayesian statistical engine
-
Heuristic engine with over 2,500 rules
-
URL, Telephone & Email Database
-
Domain to IP conversion (SURBL)
-
DoES (Denial of Email Service) resilience
-
Mail-bombing protection
-
Syntax verifications
-
Zombie detection & IP Reputation system
-
Harvest prevention
-
IP Rate limit
-
Spoofing prevention for incoming mail
-
Spoofing prevention for outbound mail
-
(Anti-Zombie)
-
Validation of sender’s domain
-
SMTP Authentication:
-
Local/LDAP/Forward
-
Brute-force prevention
-
etc
-
-
Fer passar el correu de sortida per aquest filtre antispam. Carregarem l’aparell, però es pitjor estar en una llista negra.
5) Un cop tenim tota aquesta informació, ja només queda saber si tenen més dominis, i fer el mateix procés.
