Szaktekintély

SPF, MTA-k és SRS

Az elõzõ cikkben áttekintettük, hogy DNS segítségével hogyan jelölhetjük meg eredetiként kimenõ elektronikus leveleinket. Most eljött az ideje annak, hogy a bejövõ levelek ellenõrzésérõl is gondoskodjunk, és megvédjük felhasználóinkat a hamisított, kéretlen levelektõl és a férgektõl. © Kiskapu Kft. Minden jog fenntartva

Sender Policy Framework (SPF, küldõ házirend-ke- Ha kissé mértéktartóbbak akarunk lenni, akkor elutasítás he- retrendszer) a válaszútvonal hamisítása ellen segít lyett a Received-SPF: fail sorral is bõvíthetjük a fejlécet. Ezt A védekezni – amit általában férgek, vírusok és le- a lehetõséget a beépülõ modulok leírása ismerteti bõvebben. vélszemét terjesztõk alkalmaznak. Az SPF életre hívása két szakaszból áll. Elõször a rendszergazdák SPF-bejegyzéseket tesznek közzé a DNS-ben. Ezek a bejegyzések az egyes tar- A Sendmail beépülõ modulok fogadására szolgáló felületét tományok által a kimenõ levelek kezelésére használt kiszol- Milternek nevezzük. (Lásd az internetes forrásokat.) Az gálókat adják meg. Az SPFre képes MTA-k (mail transport újabb Sendmail-változatok alapesetben is támogatják a agent, levéltovábbító ügynök) késõbb ellenõrzik a bejegyzé- Milter használatát. A Sendmail foglalat alapú felületen ke- seket. Ha egy levél nem az SPF-ben megadott kiszolgálóról resztül tartja a kapcsolatot a Milterrel. Értesíti azt a befelé érkezik, akkor bátran hamisnak nyilváníthatjuk. irányuló SMTP-tranzakciókról, a Milter pedig megmondja A továbbiakban – kapcsolódva elõzõ írásomhoz – felvázolom, a Sendmailnek, hogy mit kell tennie. A Milter démonként hogyan ruházhatjuk fel SPF képességekkel a levélkiszolgálón- fut, indítása is külön történik. Az SPF weboldalon két Milter kat. Szó lesz arról is, hogy az elektronikus leveleket továbbító, érhetõ el, egy és egy C alapú. A Perl alapú változat kifi- vagy weben elõállító szolgáltatások a küldõ módosításával nomultabb, ha viszont gyorsabb mûködést szeretnénk, ak- hogyan mûködtethetõk tovább az SPF bevezetése után is. kor a C alapú változatot válasszuk. A Milter és a Sendmail együttmûködéséhez néhány sorral bõvíteni kell a Az MTA bõvítése SPF-képességekkel sendmail.mc fájlt, újra kell fordítani a sendmail.cf-et, majd A linuxos világ legfontosabb levéltovábbító ügynökei (MTA) újra kell indítani a Sendmailt. Ha inkább nem akarjuk hasz- a Sendmail, a , a és az . Noha a legtöbb nálni a Miltert, a libspf-hez tartozik egy olyan folt is, ami le- levélszemétszûrõ megoldást kínáló cég már megoldotta az hetõvé teszi az SPF közvetlen beépítését a Sendmailbe. SPF támogatását (vagy legalábbis tervezi), az MTA-k eseté- ben ez a feladat ránk vár. Az SPF-MTA együttmûködést két- Postfix féle módon valósíthatjuk meg. A Postfix 2.1 házirend démon felülettel rendelkezik. Ennek Aki szereti maga lefordítani a programokat, az az SPF letölté- mûködése nagyon hasonló a Milteréhez: a Postfix csatlako- si oldalán kezdjen, itt ugyanis mindenki megtalálja a saját zik a démonhoz, átadja a szükséges adatokat, majd a dé- MTA-jához készült SPF modult és a hozzá tartozó telepítési mon egy mûvelettel válaszol a Postfixnek. Ha a 2.0-s sorozat útmutatót. Aki inkább csomagkezelõvel telepíti a programo- újabb, fejlesztõi kiadását futtatjuk, akkor ellenõrizzük, hogy kat, az nagy valószínûséggel talál olyan elõre fordított MTA- 2.0.18-20040122-es vagy újabb változattal rendelkezünk-e. változatot, amely eleve támogatja az SPF használatát. A leg- A házirend démonok beállításai a main.cf és a master.cf több beépülõ modulnak szüksége van a Mail::SPF::Query fájlban szerepelnek. Kezelésükrõl a Postfix gondoskodik, Perl könyvtárra. indításukat és leállításukat szükség szerint elvégzi, így A könyvtár a CPAN-ról telepíthetõ a legkönnyebben, de ezzel nem kell foglalkoznunk. A Postfix házirend démon csomag formájában is megpróbálhatjuk elõkeresni. Lénye- Perlben készült, mûködéséhez szükség van a normál gében egy egyszerû programot biztosít az SPF-lekérdezések Mail::SPF::Query könyvtárra. parancssorból való futtatására. Egy egyszerû démont is tar- talmaz, amely -tartományon vagy inet foglalaton ke- Exim resztül kezeli az SPF-kéréseket. Az Exim 4 újdonsága az Access Control Lists (ACLs), ami A beépülõ modulok nagy része alapesetben az SPF alapú egy sokoldalú, kisméretû programozási mininyelv levélsze- ellenõrzésen megbukó üzenetek elutasítására szólítja fel az mét szûrésére és egyéb házirend jellegû döntések leírásához. MTA-t, a többihez pedig egy Received-SPF fejlécet fûz. Az SPF Exim alatti használatához szükséges ACL kód nagyjá-

www.linuxvilag.hu 2004. augusztus 35 Szaktekintély

ból 12 sort tesz ki. Telepíteni kell a Mail::SPF::Query könyvtá- • FAIL: A levél hamis, nyugodtan eldobhatjuk. Csekély va- rat és futtatni ennek SPF démonját, amely megadott foglala- lószínûséggel elõfordulhat, hogy a levél tiszta feladótól ton hallgatózik. Az SPF ACL csatlakozik az spfd-hez és átadja érkezett, ám annak beállításait hibásan adták meg. Ha ez neki az ügyfél IP-címét, a HELO kapcsolót és a MAIL FROM a helyzet, akkor a küldõ fél hibaüzenetet kap, amelyben küldõ címet. Ezután kap valamilyen SPF-eredményt, választ levélküldõ ügynökének (Mail User Agent, MUA) SMTP az SMTP-kiszolgálóra vonatkozóan, valamint egy Received- AUTH használatára való beállítására szólítjuk fel. Az SPF SPF fejlécsort. Az spfd-t külön kell indítani. tervezési elve szerint jobb egy szívélyes hibaüzenet kül- dése mellett hibát elkövetni, mint mély hallgatással egy Qmail levélszemetes ládába hajítani az üzeneteket. A Qmail nem rendelkezik olyan beépülõ modul felülettel, • SOFTFAIL: Lehetséges, hogy az üzenet hamis, de a tarto- mint a többi MTA. Létezik viszont olyan SPF-folt, amely az mány internetszolgáltatója már megkezdte a felhaszná- SPF-et közvetlenül a Qmailbe építi. Emellett sok Qmail- lók rendszereinek átállítását SMTP AUTH használatára, használó qpsmtpd segítségével szûri leveleit. Aki ezt a meg- tehát elõfordulhat, hogy a levél tiszta. Az üzenetet célsze- oldást választotta, az beépülõ modulként könnyen be tudja rû fogadni, de érdemes további ellenõrzéseknek alávetni. kapcsolni az SPF-et. • NEUTRAL: A tartományban megkezdték az SPF bevezeté- A C SPF könyvtár készítésében James Couzens játssza a fõ- sét, alapértelmezett válaszuk ?all. Szeretnék azt a lát- szerepet. A libspf-hez Qmailhez és egyéb MTA-khoz ké- szatot kelteni, mintha a válasz NONE lenne, amíg a © Kiskapu Kft. Minden jog fenntartva szült folt egyaránt tartozik. SOFTFAIL és a FAIL alapértelmezett válaszokat be nem vezetik. A nagyméretû, több millió ügyfelet kiszolgáló A beépülõ módul kipróbálása internetszolgáltatók lassan követik a dolgokat – ez van, A beépülõ modul telepítése és bekapcsolása után két ellen- nem az õ hibájuk. õrzést kell végrehajtani. Az elsõ és legfontosabb annak el- • ERROR: Alkalmi hiba lépett fel a DNS-keresésnél. Normál lenõrzése, hogy a tiszta levelek átjutnak-e. Ha nem, akkor esetben ilyenkor saját MTA-nknak 450-es kódú ideigle- lehetséges, hogy nem fut valamelyik szükséges program, nes hibát kell jeleznie. ekkor végezzünk ismételt ellenõrzést. Ha továbbra is gond- • UNKNOWN: Állandó jellegû hiba miatt az SPF-keresés fél- jaink vannak, állítsuk vissza a régi rendszert, és jelezzük bemaradt. Lehetséges, hogy gépelési hiba van a bejegy- a hibát az spf-help levelezési listán. zésben, esetleg egy másik tartományra mutat, amelyhez A második próba alkalmával a hamisított levelek elutasítá- viszont nem tartozik SPF-bejegyzés. sát kell ellenõrizni. Ha kézzel lépünk be az SMTP- kiszolgálóra, akkor MAIL FROM:linuxjournal- Az SPF bevezetésének ára [email protected] származással hozzunk létre egy levelet. Az elmúlt tíz évben az elektronikus levelezés egyre na- Az altavista.com tartományt levelezésre nem használják, gyobb szerephez jutott. Hogy pontosan mennyire függünk ezért ilyen küldõre minden esetben FAIL jelzést kell kap- tõle, arról csak akkor kapunk képet, amikor egy-egy féreg nunk. Többen kérdezték, hogy a próbaüzenetekben szere- elárasztja a hálózatot. Az elemzõk ilyenkor rutinszerûen peljen-e a test/teszt szó. Ezt kockázatos megtenni, mert ha közlik, hány milliárd dolláros kárt okoznak a gazdaságnak megbízható ügyfelet vélnek felismerni, saját MTA-nk és a kéretlen levelek és a vírusok. Az SPF sikere is bizonyítja, SPF-ünk hamis levelet is átengedhet. Telneten keresztül te- az emberek nagyon várják már a változásokat. hát ne lépjünk be a helyi gépre, inkább használjuk gépünk Minden változásnak megvan azonban az ára. Ha volna valódi állomásnevét, és ha mód van rá, a kapcsolatot külsõ valami fájdalommentes megoldás a levélszemét gondjára, állomásról kezdeményezzük. Ha 550-es választ és az már nyilván mindenki bevezette volna. A levélszemét elleni  http:\\spf.pobox.com/why.html oldalra hivatkozó hiba- küzdelem régóta húzódik, mert a legnagyobb szakértõk üzenetet kapunk, a rendszer mûködik. Ha másodlagos MX- képtelenek megegyezni a szükséges ellenlépésekben – sze- et használunk, akkor utasítsuk SPF-ügyfelünket, hogy ne rencsére a vita lezárulni látszik. Minden levélszemét elleni tagadja meg ennek leveleit. Minderrõl részletesen a beépü- megoldásban közös és alapvetõ elem a küldõ fél hitelesíté- lõ modul telepítési útmutatójából tájékozódhatunk. se. Erre már számos modellt dolgoztak ki, ám ezek közül az SPF „megnevezett küldõ” szemléletû megoldását a leg- Received-SPF: a kódok jelentése könnyebb megvalósítani. A jövõ kétségkívül a titkosításé, Mint azt látni fogjuk, leveleink immár egy Received-SPF de arra még várni kell. Az elsõsegélyként alkalmazható SPF fejlécet is tartalmaznak, amelyben különféle eredménykó- elõnyei azonnal megmutatkoznak, és megvalósításával sem dokat találhatunk: kell késlekednünk. De mi az SPF használatának ára? Min- den megnevezett küldõ alapú sémánál két dolog módosulá- • NONE: A tartományhoz nem tettek közzé SPF-bejegyzé- sával kell számolni. Az elsõ az, hogy az SPF ellehetetleníti seket. Az MTA-nak a szokásos módon kell folytatnia a szó szerinti levéltovábbítást. (1. ábra) Vannak olyan szol- munkáját. gáltatások, amelyeket az emberek általában azért vesznek • PASS: A levél nem hamis, de az sem biztos, hogy valódi. igénybe, mert változatlan e-mail címet biztosítanak. Ezek Ne feledjük, a levélszemetek küldõi is közzétehetnek a UNIX .forward és a /etc/aliases fájloknál megismert mó- SPF-bejegyzéseket. A tartományt valamilyen fehérlista don továbbítják a leveleket. Amikor egy levél elhagyja a ki- alapján ellenõrizni kell. Ha a küldõ egy általunk meg- szolgálót, a borítékján szereplõ válaszútvonal változatlan bízhatónak vélt fehérlistán szerepel, akkor a további el- marad. Az SPF használatakor azonban a továbbított levelek lenõrzéseket nyugodtan elhagyhatjuk. hamisnak tûnnek. A megoldás az, hogy a továbbító szolgál-

36 Linuxvilág Szaktekintély

leveleket eldobják. Az A szó szerinti továbbítási és a küldõ újraírási séma újabb, haladó szellemi- ségû webhelyek, mint [email protected] [email protected] A pobox.com mint továbbító szolgáltató átírja a borítékon szereplõ feladót, így például az Orkut, vala- MAIL FROM: MAIL FROM: a levél átmegy a harmadik.com által mi ilyet tesznek. Ha vi- [email protected] [email protected] végzett SPF-ellenõrzésen. szont a levelek fonto- MAIL FROM: MAIL FROM: sak, és elküldésükre a webhelyre szabályosan [email protected] [email protected] bejelentkezett felhasz- A hagyományos, szó szerinti levéltovábbításnál Az újraírt válaszútvonal tartalmazza az eredeti feladót is, így a fehérlisták használhatók marad- nálók nevében kerül a válaszútvonal változatlan formában marad nak – igaz, némi buherálás árán. Megelõzendõ a rosszfiúkat abban, hogy a továbbító szolgálta- sor, valamint a webhely benne a kimenõ levélben. Az SPF világában a tókat nyílt levéltovábbításra használják, az SRS egy kivonatmezõt (yf09), valamint egy idõbé- továbbító szolgáltatóknak át kell írniuk a válasz- lyeget is (Cw) hozzáad a levélhez, utóbbi a címek lejárását okozza. Ha a [email protected] üzemeltetõje korábban útvonalat, ha meg akarják õrizni mûködõké- címre nem lehet továbbítani a levelet, az visszajut a pobox.com-hoz, amely az eredeti.com-nak ellenõrizte a felhaszná- pességüket. A Mail::SRS Perl-könyvtár és ennek adja tovább. Érdemes megjegyezni, hogy egyik adatot sem kell elrejteni. lók e-mail címét, akkor libsrs nevû, C alapú változata megfelelõ segítséget ad ennek elvégzéséhez. A teljes a webhely SRS-t is al- [email protected] idõben futó továbbító szolgáltatók általában kalmazhat – vagyis, ha közvetlenül MTA-jukba építik ezeket a szol- MAIL FROM: beágyazzák a felhasz-

gáltatásokat. A kisebb gépeken erre nincs © Kiskapu Kft. Minden jog fenntartva szükség, elég az srs segédprogramot meghívni. [email protected] náló válaszcímét, akkor MAIL FROM: a visszapattanó levele- [email protected] .forward fájlja: [email protected] ket is könnyedén el "|/usr/bin/srs [email protected]" tudják juttatni rá. Jogos a kérdés: mi lesz az átál- A pobox.com /etc/aliases fájlja: Mi történik, ha más továbbítók is vannak a láncolatban? Semmi baj, az SRS0 jelzõ tudatja srs0: "|/usr/bin/srs -reverse" velük, hogy SRS alapú továbbítás történt. A második továbbító az SRS0-t SRS1-re lás ideje alatt? Nem srs1: "|/usr/bin/srs -reverse" változtatja, feljegyzi az elsõ továbbító címét, a többi adatot pedig változatlanul hagyja. lesznek leállások, amíg A többi továbbító már csak az utolsó tartománynevet változtatja meg, vagyis az adatsor a továbbító szolgáltatók További tájékoztatásért lásd: nem nõ a végtelenségig. A Mail::SRS egy adatbázis-kezelésre képes változattal is http://spf.pobox.com/srs.html rendelkezik, amely rövid címeket biztosít. nagy nehezen megvaló- sítják az SRS támogatá- 1. ábra sát? Mi lesz azokkal a SPF használatakor az elektronikus levelek hagyományos továbbítása nem lehetséges szolgáltatókkal, akik túl lassan lépnek, vagy tatók újraírják a levelek válaszútvonalát. Ugyancsak így kell képtelenek alkalmazkodni? Van itt egy apró titok. Nagyjából tenniük a leveleket a .forward és a /etc/aliases fájlok alapján sejteni lehet, kik lógnak ki a sorból. Van egy fehérlistát, ame- továbbküldõ szervezeteknek. Ez a megoldást SRS-nek lyen a jó szándékú hamisítók szerepelnek. A listán szerepel (sender rewriting scheme, küldõ újraírási séma) nevezzük. például a pobox.com, az acm.org, az eBay és számos „elkül- Az eredeti küldõ címét egy újraírt, SPF-megfelelõ válasz- döm ezt a cikket e-mailben” jellegû szolgáltatást kínáló hír- címbe ágyazza be. Ha egy üzenet visszapattan, akkor hoz- magazin. Az eddig említett SPF-ügyfelek mindegyike képes zánk érkezik be, ilyenkor ki kell hámoznunk a címet, majd kezelni a fehérlistát. A fehérlista formájában tehát minden továbbítani a levelet az eredeti feladónak. A továbbító szol- ismert SPF-ügyfélnél megvan az utolsó esély a végleges el- gáltatóknak akkor is meg kell tenniük mindezt, ha nem utasítás elõtt. Ha az anyukánk küld nekünk egy levelet az használnak SPF-et, az internetszolgáltatók ugyanis már vé- AOL-os hozzáférésérõl az acm.org-os címünkre, akkor az geznek SPF jellegû ellenõrzéseket. Az SPF csupán egy szab- SPF-ügyfelünk fogadni fogja a levelet, noha mûszakilag ha- ványos eljárást biztosít arra, amit a legtöbb helyen már mis lesz. (Ha a levelet út közben olyan rendszer – például most is megtesznek. Ahogy a felelõsséggel vezetett szolgál- egy barátunk linuxos kiszolgálója – is továbbítja, amely nem tatók néhány éve megszüntették a nyílt levélküldési lehetõ- szerepel a fehérlistán, akkor hozzá kell adnunk saját MTA-nk ségeket, úgy a következõ hónapok során az SPF-megfelelõ fehérlistájához ezt a gépet.) Amikor az acm.org megvalósítja továbbítást is be fogják vezetni. A  http:\\www.pobox.com az SRS támogatását, a kérdés megoldódik. Az SPF-et bírálók már alkalmazza az SRS-t, és hamarosan más továbbító szol- ellenérvként a levéltovábbítás ellehetetlenülését szokták fel- gáltatók is követni fogják a példáját. A jó hír az, hogy az hozni. Az SPF közösség nem hagyta szó nélkül a kifogásokat, SPF-et fejlesztõ közösség az MTA-khoz tartozó SRS kódot is mindent megtett az átállás megkönnyítésének érdekében. elkészítette. Ezek a foltok ugyanonnan érhetõk el, mint az Két megoldást is kidolgoztak, egy rövid és egy hosszú távút. SPF foltok. Az SRS elterjedése csupán idõ kérdése. Az SPF Jó ha tudjuk, minden változás fájdalmas. Az SPF-re való átté- azonban a webrõl küldött leveleket is megállíthatja. Az üd- rés is gondokkal jár, ám a betegségtõl gyakran csak a kelle- vözlõlapok küldésére használható oldalak és az „elküldöm metlen injekció segítségével szabadulhatunk meg. Márpedig ezt a cikket egy barátomnak” jellegû szolgáltatások általában az elektronikus levelezés nagyon beteg. Vannak, akik szerint nemcsak a From: fejlécben de, borítékon is a szolgáltatást a levélszemét meg fogja ölni, de én ezt nem hiszem. Szerin- igénybe vevõ személy címét tüntetik fel. Az SPF az ilyen le- tem az SPF biztos kézzel fogja a gyógyulás útjára segíteni. veleket nem képes megkülönböztetni a hamisítottaktól. A gondra kétféle megoldás létezik. Az elsõ, hogy úgy dön- Linux Journal 2003. november, 115. szám tenek, az ilyen levelek nem túl fontosak, válaszútvonalként a senki@példa.com-ot adják meg, aztán a visszapattanó Meng Weng Wong

www.linuxvilag.hu 2004. augusztus 37