Szaktekintély SPF, MTA-k és SRS Az elõzõ cikkben áttekintettük, hogy DNS segítségével hogyan jelölhetjük meg eredetiként kimenõ elektronikus leveleinket. Most eljött az ideje annak, hogy a bejövõ levelek ellenõrzésérõl is gondoskodjunk, és megvédjük felhasználóinkat a hamisított, kéretlen levelektõl és a férgektõl. © Kiskapu Kft. Minden jog fenntartva Sender Policy Framework (SPF, küldõ házirend-ke- Ha kissé mértéktartóbbak akarunk lenni, akkor elutasítás he- retrendszer) a válaszútvonal hamisítása ellen segít lyett a Received-SPF: fail sorral is bõvíthetjük a fejlécet. Ezt A védekezni – amit általában férgek, vírusok és le- a lehetõséget a beépülõ modulok leírása ismerteti bõvebben. vélszemét terjesztõk alkalmaznak. Az SPF életre hívása két szakaszból áll. Elõször a rendszergazdák SPF-bejegyzéseket Sendmail tesznek közzé a DNS-ben. Ezek a bejegyzések az egyes tar- A Sendmail beépülõ modulok fogadására szolgáló felületét tományok által a kimenõ levelek kezelésére használt kiszol- Milternek nevezzük. (Lásd az internetes forrásokat.) Az gálókat adják meg. Az SPFre képes MTA-k (mail transport újabb Sendmail-változatok alapesetben is támogatják a agent, levéltovábbító ügynök) késõbb ellenõrzik a bejegyzé- Milter használatát. A Sendmail foglalat alapú felületen ke- seket. Ha egy levél nem az SPF-ben megadott kiszolgálóról resztül tartja a kapcsolatot a Milterrel. Értesíti azt a befelé érkezik, akkor bátran hamisnak nyilváníthatjuk. irányuló SMTP-tranzakciókról, a Milter pedig megmondja A továbbiakban – kapcsolódva elõzõ írásomhoz – felvázolom, a Sendmailnek, hogy mit kell tennie. A Milter démonként hogyan ruházhatjuk fel SPF képességekkel a levélkiszolgálón- fut, indítása is külön történik. Az SPF weboldalon két Milter kat. Szó lesz arról is, hogy az elektronikus leveleket továbbító, érhetõ el, egy Perl és egy C alapú. A Perl alapú változat kifi- vagy weben elõállító szolgáltatások a küldõ módosításával nomultabb, ha viszont gyorsabb mûködést szeretnénk, ak- hogyan mûködtethetõk tovább az SPF bevezetése után is. kor a C alapú változatot válasszuk. A Milter és a Sendmail együttmûködéséhez néhány sorral bõvíteni kell a Az MTA bõvítése SPF-képességekkel sendmail.mc fájlt, újra kell fordítani a sendmail.cf-et, majd A linuxos világ legfontosabb levéltovábbító ügynökei (MTA) újra kell indítani a Sendmailt. Ha inkább nem akarjuk hasz- a Sendmail, a Postfix, a Qmail és az Exim. Noha a legtöbb nálni a Miltert, a libspf-hez tartozik egy olyan folt is, ami le- levélszemétszûrõ megoldást kínáló cég már megoldotta az hetõvé teszi az SPF közvetlen beépítését a Sendmailbe. SPF támogatását (vagy legalábbis tervezi), az MTA-k eseté- ben ez a feladat ránk vár. Az SPF-MTA együttmûködést két- Postfix féle módon valósíthatjuk meg. A Postfix 2.1 házirend démon felülettel rendelkezik. Ennek Aki szereti maga lefordítani a programokat, az az SPF letölté- mûködése nagyon hasonló a Milteréhez: a Postfix csatlako- si oldalán kezdjen, itt ugyanis mindenki megtalálja a saját zik a démonhoz, átadja a szükséges adatokat, majd a dé- MTA-jához készült SPF modult és a hozzá tartozó telepítési mon egy mûvelettel válaszol a Postfixnek. Ha a 2.0-s sorozat útmutatót. Aki inkább csomagkezelõvel telepíti a programo- újabb, fejlesztõi kiadását futtatjuk, akkor ellenõrizzük, hogy kat, az nagy valószínûséggel talál olyan elõre fordított MTA- 2.0.18-20040122-es vagy újabb változattal rendelkezünk-e. változatot, amely eleve támogatja az SPF használatát. A leg- A házirend démonok beállításai a main.cf és a master.cf több beépülõ modulnak szüksége van a Mail::SPF::Query fájlban szerepelnek. Kezelésükrõl a Postfix gondoskodik, Perl könyvtárra. indításukat és leállításukat szükség szerint elvégzi, így A könyvtár a CPAN-ról telepíthetõ a legkönnyebben, de ezzel nem kell foglalkoznunk. A Postfix házirend démon csomag formájában is megpróbálhatjuk elõkeresni. Lénye- Perlben készült, mûködéséhez szükség van a normál gében egy egyszerû programot biztosít az SPF-lekérdezések Mail::SPF::Query könyvtárra. parancssorból való futtatására. Egy egyszerû démont is tar- talmaz, amely UNIX-tartományon vagy inet foglalaton ke- Exim resztül kezeli az SPF-kéréseket. Az Exim 4 újdonsága az Access Control Lists (ACLs), ami A beépülõ modulok nagy része alapesetben az SPF alapú egy sokoldalú, kisméretû programozási mininyelv levélsze- ellenõrzésen megbukó üzenetek elutasítására szólítja fel az mét szûrésére és egyéb házirend jellegû döntések leírásához. MTA-t, a többihez pedig egy Received-SPF fejlécet fûz. Az SPF Exim alatti használatához szükséges ACL kód nagyjá- www.linuxvilag.hu 2004. augusztus 35 Szaktekintély ból 12 sort tesz ki. Telepíteni kell a Mail::SPF::Query könyvtá- • FAIL: A levél hamis, nyugodtan eldobhatjuk. Csekély va- rat és futtatni ennek SPF démonját, amely megadott foglala- lószínûséggel elõfordulhat, hogy a levél tiszta feladótól ton hallgatózik. Az SPF ACL csatlakozik az spfd-hez és átadja érkezett, ám annak beállításait hibásan adták meg. Ha ez neki az ügyfél IP-címét, a HELO kapcsolót és a MAIL FROM a helyzet, akkor a küldõ fél hibaüzenetet kap, amelyben küldõ címet. Ezután kap valamilyen SPF-eredményt, választ levélküldõ ügynökének (Mail User Agent, MUA) SMTP az SMTP-kiszolgálóra vonatkozóan, valamint egy Received- AUTH használatára való beállítására szólítjuk fel. Az SPF SPF fejlécsort. Az spfd-t külön kell indítani. tervezési elve szerint jobb egy szívélyes hibaüzenet kül- dése mellett hibát elkövetni, mint mély hallgatással egy Qmail levélszemetes ládába hajítani az üzeneteket. A Qmail nem rendelkezik olyan beépülõ modul felülettel, • SOFTFAIL: Lehetséges, hogy az üzenet hamis, de a tarto- mint a többi MTA. Létezik viszont olyan SPF-folt, amely az mány internetszolgáltatója már megkezdte a felhaszná- SPF-et közvetlenül a Qmailbe építi. Emellett sok Qmail- lók rendszereinek átállítását SMTP AUTH használatára, használó qpsmtpd segítségével szûri leveleit. Aki ezt a meg- tehát elõfordulhat, hogy a levél tiszta. Az üzenetet célsze- oldást választotta, az beépülõ modulként könnyen be tudja rû fogadni, de érdemes további ellenõrzéseknek alávetni. kapcsolni az SPF-et. • NEUTRAL: A tartományban megkezdték az SPF bevezeté- A C SPF könyvtár készítésében James Couzens játssza a fõ- sét, alapértelmezett válaszuk ?all. Szeretnék azt a lát- szerepet. A libspf-hez Qmailhez és egyéb MTA-khoz ké- szatot kelteni, mintha a válasz NONE lenne, amíg a © Kiskapu Kft. Minden jog fenntartva szült folt egyaránt tartozik. SOFTFAIL és a FAIL alapértelmezett válaszokat be nem vezetik. A nagyméretû, több millió ügyfelet kiszolgáló A beépülõ módul kipróbálása internetszolgáltatók lassan követik a dolgokat – ez van, A beépülõ modul telepítése és bekapcsolása után két ellen- nem az õ hibájuk. õrzést kell végrehajtani. Az elsõ és legfontosabb annak el- • ERROR: Alkalmi hiba lépett fel a DNS-keresésnél. Normál lenõrzése, hogy a tiszta levelek átjutnak-e. Ha nem, akkor esetben ilyenkor saját MTA-nknak 450-es kódú ideigle- lehetséges, hogy nem fut valamelyik szükséges program, nes hibát kell jeleznie. ekkor végezzünk ismételt ellenõrzést. Ha továbbra is gond- • UNKNOWN: Állandó jellegû hiba miatt az SPF-keresés fél- jaink vannak, állítsuk vissza a régi rendszert, és jelezzük bemaradt. Lehetséges, hogy gépelési hiba van a bejegy- a hibát az spf-help levelezési listán. zésben, esetleg egy másik tartományra mutat, amelyhez A második próba alkalmával a hamisított levelek elutasítá- viszont nem tartozik SPF-bejegyzés. sát kell ellenõrizni. Ha kézzel lépünk be az SMTP- kiszolgálóra, akkor MAIL FROM:linuxjournal- Az SPF bevezetésének ára [email protected] származással hozzunk létre egy levelet. Az elmúlt tíz évben az elektronikus levelezés egyre na- Az altavista.com tartományt levelezésre nem használják, gyobb szerephez jutott. Hogy pontosan mennyire függünk ezért ilyen küldõre minden esetben FAIL jelzést kell kap- tõle, arról csak akkor kapunk képet, amikor egy-egy féreg nunk. Többen kérdezték, hogy a próbaüzenetekben szere- elárasztja a hálózatot. Az elemzõk ilyenkor rutinszerûen peljen-e a test/teszt szó. Ezt kockázatos megtenni, mert ha közlik, hány milliárd dolláros kárt okoznak a gazdaságnak megbízható ügyfelet vélnek felismerni, saját MTA-nk és a kéretlen levelek és a vírusok. Az SPF sikere is bizonyítja, SPF-ünk hamis levelet is átengedhet. Telneten keresztül te- az emberek nagyon várják már a változásokat. hát ne lépjünk be a helyi gépre, inkább használjuk gépünk Minden változásnak megvan azonban az ára. Ha volna valódi állomásnevét, és ha mód van rá, a kapcsolatot külsõ valami fájdalommentes megoldás a levélszemét gondjára, állomásról kezdeményezzük. Ha 550-es választ és az már nyilván mindenki bevezette volna. A levélszemét elleni http:\\spf.pobox.com/why.html oldalra hivatkozó hiba- küzdelem régóta húzódik, mert a legnagyobb szakértõk üzenetet kapunk, a rendszer mûködik. Ha másodlagos MX- képtelenek megegyezni a szükséges ellenlépésekben – sze- et használunk, akkor utasítsuk SPF-ügyfelünket, hogy ne rencsére a vita lezárulni látszik. Minden levélszemét elleni tagadja meg ennek leveleit. Minderrõl részletesen a beépü- megoldásban közös és alapvetõ elem a küldõ fél hitelesíté- lõ modul telepítési útmutatójából tájékozódhatunk. se. Erre már számos modellt dolgoztak ki, ám ezek közül az SPF „megnevezett küldõ” szemléletû megoldását a leg- Received-SPF: a kódok jelentése könnyebb megvalósítani. A jövõ kétségkívül a titkosításé, Mint azt látni fogjuk, leveleink immár egy Received-SPF de arra még várni kell. Az elsõsegélyként alkalmazható SPF fejlécet is tartalmaznak, amelyben különféle eredménykó- elõnyei
Details
-
File Typepdf
-
Upload Time-
-
Content LanguagesEnglish
-
Upload UserAnonymous/Not logged-in
-
File Pages3 Page
-
File Size-