SPF, MTA-K És SRS

SPF, MTA-K És SRS

Szaktekintély SPF, MTA-k és SRS Az elõzõ cikkben áttekintettük, hogy DNS segítségével hogyan jelölhetjük meg eredetiként kimenõ elektronikus leveleinket. Most eljött az ideje annak, hogy a bejövõ levelek ellenõrzésérõl is gondoskodjunk, és megvédjük felhasználóinkat a hamisított, kéretlen levelektõl és a férgektõl. © Kiskapu Kft. Minden jog fenntartva Sender Policy Framework (SPF, küldõ házirend-ke- Ha kissé mértéktartóbbak akarunk lenni, akkor elutasítás he- retrendszer) a válaszútvonal hamisítása ellen segít lyett a Received-SPF: fail sorral is bõvíthetjük a fejlécet. Ezt A védekezni – amit általában férgek, vírusok és le- a lehetõséget a beépülõ modulok leírása ismerteti bõvebben. vélszemét terjesztõk alkalmaznak. Az SPF életre hívása két szakaszból áll. Elõször a rendszergazdák SPF-bejegyzéseket Sendmail tesznek közzé a DNS-ben. Ezek a bejegyzések az egyes tar- A Sendmail beépülõ modulok fogadására szolgáló felületét tományok által a kimenõ levelek kezelésére használt kiszol- Milternek nevezzük. (Lásd az internetes forrásokat.) Az gálókat adják meg. Az SPFre képes MTA-k (mail transport újabb Sendmail-változatok alapesetben is támogatják a agent, levéltovábbító ügynök) késõbb ellenõrzik a bejegyzé- Milter használatát. A Sendmail foglalat alapú felületen ke- seket. Ha egy levél nem az SPF-ben megadott kiszolgálóról resztül tartja a kapcsolatot a Milterrel. Értesíti azt a befelé érkezik, akkor bátran hamisnak nyilváníthatjuk. irányuló SMTP-tranzakciókról, a Milter pedig megmondja A továbbiakban – kapcsolódva elõzõ írásomhoz – felvázolom, a Sendmailnek, hogy mit kell tennie. A Milter démonként hogyan ruházhatjuk fel SPF képességekkel a levélkiszolgálón- fut, indítása is külön történik. Az SPF weboldalon két Milter kat. Szó lesz arról is, hogy az elektronikus leveleket továbbító, érhetõ el, egy Perl és egy C alapú. A Perl alapú változat kifi- vagy weben elõállító szolgáltatások a küldõ módosításával nomultabb, ha viszont gyorsabb mûködést szeretnénk, ak- hogyan mûködtethetõk tovább az SPF bevezetése után is. kor a C alapú változatot válasszuk. A Milter és a Sendmail együttmûködéséhez néhány sorral bõvíteni kell a Az MTA bõvítése SPF-képességekkel sendmail.mc fájlt, újra kell fordítani a sendmail.cf-et, majd A linuxos világ legfontosabb levéltovábbító ügynökei (MTA) újra kell indítani a Sendmailt. Ha inkább nem akarjuk hasz- a Sendmail, a Postfix, a Qmail és az Exim. Noha a legtöbb nálni a Miltert, a libspf-hez tartozik egy olyan folt is, ami le- levélszemétszûrõ megoldást kínáló cég már megoldotta az hetõvé teszi az SPF közvetlen beépítését a Sendmailbe. SPF támogatását (vagy legalábbis tervezi), az MTA-k eseté- ben ez a feladat ránk vár. Az SPF-MTA együttmûködést két- Postfix féle módon valósíthatjuk meg. A Postfix 2.1 házirend démon felülettel rendelkezik. Ennek Aki szereti maga lefordítani a programokat, az az SPF letölté- mûködése nagyon hasonló a Milteréhez: a Postfix csatlako- si oldalán kezdjen, itt ugyanis mindenki megtalálja a saját zik a démonhoz, átadja a szükséges adatokat, majd a dé- MTA-jához készült SPF modult és a hozzá tartozó telepítési mon egy mûvelettel válaszol a Postfixnek. Ha a 2.0-s sorozat útmutatót. Aki inkább csomagkezelõvel telepíti a programo- újabb, fejlesztõi kiadását futtatjuk, akkor ellenõrizzük, hogy kat, az nagy valószínûséggel talál olyan elõre fordított MTA- 2.0.18-20040122-es vagy újabb változattal rendelkezünk-e. változatot, amely eleve támogatja az SPF használatát. A leg- A házirend démonok beállításai a main.cf és a master.cf több beépülõ modulnak szüksége van a Mail::SPF::Query fájlban szerepelnek. Kezelésükrõl a Postfix gondoskodik, Perl könyvtárra. indításukat és leállításukat szükség szerint elvégzi, így A könyvtár a CPAN-ról telepíthetõ a legkönnyebben, de ezzel nem kell foglalkoznunk. A Postfix házirend démon csomag formájában is megpróbálhatjuk elõkeresni. Lénye- Perlben készült, mûködéséhez szükség van a normál gében egy egyszerû programot biztosít az SPF-lekérdezések Mail::SPF::Query könyvtárra. parancssorból való futtatására. Egy egyszerû démont is tar- talmaz, amely UNIX-tartományon vagy inet foglalaton ke- Exim resztül kezeli az SPF-kéréseket. Az Exim 4 újdonsága az Access Control Lists (ACLs), ami A beépülõ modulok nagy része alapesetben az SPF alapú egy sokoldalú, kisméretû programozási mininyelv levélsze- ellenõrzésen megbukó üzenetek elutasítására szólítja fel az mét szûrésére és egyéb házirend jellegû döntések leírásához. MTA-t, a többihez pedig egy Received-SPF fejlécet fûz. Az SPF Exim alatti használatához szükséges ACL kód nagyjá- www.linuxvilag.hu 2004. augusztus 35 Szaktekintély ból 12 sort tesz ki. Telepíteni kell a Mail::SPF::Query könyvtá- • FAIL: A levél hamis, nyugodtan eldobhatjuk. Csekély va- rat és futtatni ennek SPF démonját, amely megadott foglala- lószínûséggel elõfordulhat, hogy a levél tiszta feladótól ton hallgatózik. Az SPF ACL csatlakozik az spfd-hez és átadja érkezett, ám annak beállításait hibásan adták meg. Ha ez neki az ügyfél IP-címét, a HELO kapcsolót és a MAIL FROM a helyzet, akkor a küldõ fél hibaüzenetet kap, amelyben küldõ címet. Ezután kap valamilyen SPF-eredményt, választ levélküldõ ügynökének (Mail User Agent, MUA) SMTP az SMTP-kiszolgálóra vonatkozóan, valamint egy Received- AUTH használatára való beállítására szólítjuk fel. Az SPF SPF fejlécsort. Az spfd-t külön kell indítani. tervezési elve szerint jobb egy szívélyes hibaüzenet kül- dése mellett hibát elkövetni, mint mély hallgatással egy Qmail levélszemetes ládába hajítani az üzeneteket. A Qmail nem rendelkezik olyan beépülõ modul felülettel, • SOFTFAIL: Lehetséges, hogy az üzenet hamis, de a tarto- mint a többi MTA. Létezik viszont olyan SPF-folt, amely az mány internetszolgáltatója már megkezdte a felhaszná- SPF-et közvetlenül a Qmailbe építi. Emellett sok Qmail- lók rendszereinek átállítását SMTP AUTH használatára, használó qpsmtpd segítségével szûri leveleit. Aki ezt a meg- tehát elõfordulhat, hogy a levél tiszta. Az üzenetet célsze- oldást választotta, az beépülõ modulként könnyen be tudja rû fogadni, de érdemes további ellenõrzéseknek alávetni. kapcsolni az SPF-et. • NEUTRAL: A tartományban megkezdték az SPF bevezeté- A C SPF könyvtár készítésében James Couzens játssza a fõ- sét, alapértelmezett válaszuk ?all. Szeretnék azt a lát- szerepet. A libspf-hez Qmailhez és egyéb MTA-khoz ké- szatot kelteni, mintha a válasz NONE lenne, amíg a © Kiskapu Kft. Minden jog fenntartva szült folt egyaránt tartozik. SOFTFAIL és a FAIL alapértelmezett válaszokat be nem vezetik. A nagyméretû, több millió ügyfelet kiszolgáló A beépülõ módul kipróbálása internetszolgáltatók lassan követik a dolgokat – ez van, A beépülõ modul telepítése és bekapcsolása után két ellen- nem az õ hibájuk. õrzést kell végrehajtani. Az elsõ és legfontosabb annak el- • ERROR: Alkalmi hiba lépett fel a DNS-keresésnél. Normál lenõrzése, hogy a tiszta levelek átjutnak-e. Ha nem, akkor esetben ilyenkor saját MTA-nknak 450-es kódú ideigle- lehetséges, hogy nem fut valamelyik szükséges program, nes hibát kell jeleznie. ekkor végezzünk ismételt ellenõrzést. Ha továbbra is gond- • UNKNOWN: Állandó jellegû hiba miatt az SPF-keresés fél- jaink vannak, állítsuk vissza a régi rendszert, és jelezzük bemaradt. Lehetséges, hogy gépelési hiba van a bejegy- a hibát az spf-help levelezési listán. zésben, esetleg egy másik tartományra mutat, amelyhez A második próba alkalmával a hamisított levelek elutasítá- viszont nem tartozik SPF-bejegyzés. sát kell ellenõrizni. Ha kézzel lépünk be az SMTP- kiszolgálóra, akkor MAIL FROM:linuxjournal- Az SPF bevezetésének ára [email protected] származással hozzunk létre egy levelet. Az elmúlt tíz évben az elektronikus levelezés egyre na- Az altavista.com tartományt levelezésre nem használják, gyobb szerephez jutott. Hogy pontosan mennyire függünk ezért ilyen küldõre minden esetben FAIL jelzést kell kap- tõle, arról csak akkor kapunk képet, amikor egy-egy féreg nunk. Többen kérdezték, hogy a próbaüzenetekben szere- elárasztja a hálózatot. Az elemzõk ilyenkor rutinszerûen peljen-e a test/teszt szó. Ezt kockázatos megtenni, mert ha közlik, hány milliárd dolláros kárt okoznak a gazdaságnak megbízható ügyfelet vélnek felismerni, saját MTA-nk és a kéretlen levelek és a vírusok. Az SPF sikere is bizonyítja, SPF-ünk hamis levelet is átengedhet. Telneten keresztül te- az emberek nagyon várják már a változásokat. hát ne lépjünk be a helyi gépre, inkább használjuk gépünk Minden változásnak megvan azonban az ára. Ha volna valódi állomásnevét, és ha mód van rá, a kapcsolatot külsõ valami fájdalommentes megoldás a levélszemét gondjára, állomásról kezdeményezzük. Ha 550-es választ és az már nyilván mindenki bevezette volna. A levélszemét elleni http:\\spf.pobox.com/why.html oldalra hivatkozó hiba- küzdelem régóta húzódik, mert a legnagyobb szakértõk üzenetet kapunk, a rendszer mûködik. Ha másodlagos MX- képtelenek megegyezni a szükséges ellenlépésekben – sze- et használunk, akkor utasítsuk SPF-ügyfelünket, hogy ne rencsére a vita lezárulni látszik. Minden levélszemét elleni tagadja meg ennek leveleit. Minderrõl részletesen a beépü- megoldásban közös és alapvetõ elem a küldõ fél hitelesíté- lõ modul telepítési útmutatójából tájékozódhatunk. se. Erre már számos modellt dolgoztak ki, ám ezek közül az SPF „megnevezett küldõ” szemléletû megoldását a leg- Received-SPF: a kódok jelentése könnyebb megvalósítani. A jövõ kétségkívül a titkosításé, Mint azt látni fogjuk, leveleink immár egy Received-SPF de arra még várni kell. Az elsõsegélyként alkalmazható SPF fejlécet is tartalmaznak, amelyben különféle eredménykó- elõnyei

View Full Text

Details

  • File Type
    pdf
  • Upload Time
    -
  • Content Languages
    English
  • Upload User
    Anonymous/Not logged-in
  • File Pages
    3 Page
  • File Size
    -

Download

Channel Download Status
Express Download Enable

Copyright

We respect the copyrights and intellectual property rights of all users. All uploaded documents are either original works of the uploader or authorized works of the rightful owners.

  • Not to be reproduced or distributed without explicit permission.
  • Not used for commercial purposes outside of approved use cases.
  • Not used to infringe on the rights of the original creators.
  • If you believe any content infringes your copyright, please contact us immediately.

Support

For help with questions, suggestions, or problems, please contact us