Tổng quan về Công cụ chống spam và virus

Một phần của tài liệu Đảm bảo hiệu năng và độ tin cậy cho hệ thống thư điện tử lưu lượng lớn (Trang 57)

Với ngày càng nhiều máy tính kết nối vào Internet, và số người làm việc trực tuyến ngày càng gia tăng, việc thường xuyên tăng cường an ninh mạng, bao gồm cả chống virus và spam, tiếp tục được quan tâm. Vì vậy khi triển khai một hệ thống thư điện tử, những vấn đề đó cũng phải được giải quyết.

Thư điện tử vào ra có thể được chia thành nhiều kênh khác nhau tùy theo các chỉ tiêu. Các chỉ tiêu này bao gồm cả địa chỉ người gửi và người nhận và cả địa chỉ IP. Chúng ta có thể áp dụng các phương án xử lý khác nhau với các luồng thư khác nhau, hoặc kênh khác nhau. Bởi vậy, chúng ta có thể sử dụng các điều khiển truy nhập khác nhau, lọc thư, độ ưu tiên xử lý, và các công cụ với các cách khác nhau và kết hợp với một số kênh. Ví dụ, chúng ta có thể xử lý thư nguyên bản từ hệ thống của chúng ta khác với xử lý thư từ bên ngoài.

Với phân loại luồng thư đến dựa trên các kênh, một phân loại hữu ích là lưu lượng của danh bạ gửi thư(mailing list). Lưu lượng của mailing list có thể đi ra từ hệ thống máy phục vụ với các kênh khác nhau, và quay lại cũng từ các kênh khác nhau. Khi sử dụng danh bạ, chúng ta có thể thấy sự tiện dụng của nó nhưng lại không tiện dụng với việc ứng xử với các kênh khác nhau. Máy phục vụ MS sẽ chấp nhận điều này và sử dụng nhiều mức công cụ chống spam cho các mailing list.

Dưới đây là các mức chống virus và chống spam chúng ta có thể sử dụng thông qua máy phục vụ MTA:

 Điều khiển truy nhập: Từ chối thư từ các nguồn gây spam và cho phép gửi nhận thư đối với các tổ chức có thể gửi nhận.

 Lọc hộp thư: Cho phép người sử dụng quản lý việc lọc thư thông qua giao diện Web, điều khiển thư phân phối vào hộp thư của họ.

 Thẩm định địa chỉ: Từ chối các thư có địa chỉ không hợp lệ

 Ngăn chặn chuyển tiếp thư(Relay blocking): Ngăn chặn việc sử dụng hệ thống để chuyển tiếp thư gây ra spam với hàng ngàn địa chỉ nhận thư.

 Dịch vụ xác thực: Yêu cầu phải xác thực đối với quá trình gửi thư thông qua SMTP.

 Gạt bỏ: Có thể xóa bỏ các thư spam có tính chất hệ thống.

 Lần vết thông minh: Sử dụng các thông tin của hệ thống máy để xác định nguồn gốc thư điện tử

 Các kênh hoán chuyển: Sử dụng các công cụ chuyên dụng chống virus và spam của hãng phần mềm khác

Chúng ta có thể sử dụng một số công cụ độc lập hoặc phối hợp. Không một công cụ nào có thể một mình ngăn chặn hết các virus và spam.

đích, địa chỉ IP của nguồn gửi. Ví dụ, chúng ta có thể sử dụng các cơ chế này để từ chối thư đến từ các domain hay IP hay gây spam. Trong trường hợp có một danh sách dài các địa chỉ như trên, có thể đưa nó vào cơ sở dữ liệu lưu trữ về các tiêu chuẩn truy nhập. Tương tự như vậy đối với các khách hàng bên trong, có thể đưa ra danh sách cấm không được gửi thư. Danh sách này cũng được lưu vào cơ sở dữ liệu.

Lọc thƣ: Hệ thống thư điện tử có cung cấp một lọc thư cho từng người sử dụng, từng kênh khác nhau và cho cả hệ thống trên diện rộng. Đối với từng người sử dụng có thể quản lý được trên Web. Sử dụng lọc thư, người dùng có thể điều khiển thư nào có thể phân chia vào hộp thư của họ. Lọc thư trong các hệ thống lớn thường tuân thủ ngôn ngữ Sieve filtering language(RFC 3028, RFC 3685 được công bố bởi IETF).

Chúng ta cũng có thể phát triển các lọc thư bằng cách sử dụng các phần mềm chuyên dụng của hãng thứ ba như Brightmail, SpamAssassin, Sophos …

Thẩm định địa chỉ: SMTP có thể trả lại các thư có địa chỉ không hợp lệ. Nếu địa chỉ không chính xác với một tên máy phục vụ được kiểm tra thông qua DNS, thư điện tử có thể bị trả lại. Chú ý rằng việc kiểm tra như vậy có thể đòi hỏi thêm tài nguyên của hệ thống để phục vụ việc giao dịch với DNS.

Danh sách đen: Danh sách đen chống các thư điện tử không mong muốn là một danh sách được cập nhật tự động từ các nguồn phi lợi nhuận để xác định được các nguồn địa chỉ IP. Các máy phục vụ SMTP hỗ trợ sử dụng danh sách này. Có thể tham khảo http://mail- abuse.org/rbl

Ngăn chặn Relay: Một chiến lược ngăn chặn thư rác sẽ bảo vệ người sử dụng bằng các biện pháp: Điều khiển truy nhập, lọc thư, thẩm định địa chỉ, danh sách đen. Những biện pháp này sẽ bảo vệ người dùng từ các thư không hợp lệ chuyển tiếp qua hệ thống tới các hệ thống khác. Một phương pháp thứ hai là ngăn chặn chuyển tiếp thư bằng cách cho phép người dùng trong hệ thống chuyển tiếp thư nhưng không cho người dùng ngoài hệ thống làm việc này. Sử dụng địa chỉ IP để so sánh và phân biệt người dùng trong hệ thống và ngoài hệ thống. Ví dụ: Dải địa chỉ IP của FPT sẽ khác dải địa chỉ của mạng VNN, Viettel, và khác với dải địa chỉ của các ISP khác trên thế giới, do đó dựa vào địa chỉ này có thể ngăn các máy tính từ dải IP lạ không được sử dụng SMTP của hệ thống để gửi thư đi.

Xác thực ngƣời sử dụng: Máy phục vụ SMTP có thể thực hiện xác thực cho khách hàng sử dụng POP/IMAP thông qua Account và mật khẩu của khách hàng khi truy nhập vào SMTP. Một phương thức phổ biến là cho phép chuyển tiếp thư với những khách hàng được xác thực. Điều này giải quyết được các vấn đề với thuê bao của mạng nhưng lại sử dụng truy nhập từ mạng khác khi di chuyển đi công tác chẳng hạn. Khi đó người sử dụng này sẽ phải nhận địa chỉ của mạng ngoài. Phương thức này sẽ giải quyết được hạn chế của cơ chế chống relay bằng cách chặn relay với các địa chỉ mạng khác là không cho cả các thuê bao của doanh nghiệp chuyển tiếp thư khi dùng truy nhập từ mạng khác. Sau khi xác thực gửi thư(SMTP Authenticated), khách hàng sẽ sử dụng dịch vụ bình thường trên mạng truy nhập khác mà không lo bị chặn.

Cơ chế gạt bỏ: Cơ chế điều khiển truy nhập đã đề cập ở phần trước có thể trì hoãn quá trình xử lý vì sự kiểm tra thủ công. Vì vậy, cơ chế gạt bỏ có thể thay đổi đích đến của các thư có vấn đề, đưa chúng vào một hộp thư đặc biệt hoặc có thể xóa luôn chúng. Chiến thuật này có thể hữu ích khi các thư không mong muốn được nhận về từ các nguồn không xác

định, bị thay đổi và có thể là thư gây phiền hà khi đã bị thay đổi. Phương án hiệu quả nhất là xóa chúng đi khi đã khẳng định rằng địa chỉ gửi thư là không hợp lệ.

Lần vết thông minh: SMTP server có thể phát hiện ra và ghi lại thông tin cốt yếu về các thư đến,bao gồm thông tin về IP gửi và địa chỉ máy phục vụ gửi thư. Tất cả thông tin phát hiện được sẽ ghi lại trong trường dấu vết thư dưới dạng log tập tin, và có thể cấu hình được. Các thông tin này là quan trọng để xác định được nguồn gốc của thư nghi vấn, các thư này thường không ghi đầy đủ trong header. Hệ thống có thể sử dụng các công cụ báo cáo để truy nhập các thông tin này dưới dạng tập tin text

Kênh hoán chuyển: Kênh hoán chuyển thường là một giao diện rất tổng quát khi chúng ta gọi một chương trình hay đoạn mã để thực thi quá trình xử lý nội dung của thư điện tử. Kênh hoán chuyển có thể giữ lại nội dung thư và chương trình sẽ thay thế nội dung đó theo cách xử lý của nó. Kênh hoán chuyển có thể sử dụng để chuyển đổi nội dung thư điện tử chẳng hạn như dịch từ ngôn ngữ này sang ngôn ngữ khác, tiến hành lọc thư hoặc quét virus, hoặc thay thế các thông tin nhạy cảm, hoặc chèn cảnh báo về virus…

Tích hợp với nhà cung cấp thứ ba: Phần mềm lọc thư của nhà cung cấp thứ ba thường được móc nối vào hệ thống thông qua kênh hoán chuyển của máy phục vụ. Các từ khóa được sử dụng cho các lọc thư dùng các sản phẩm anti-spam và anti-spam, ví dụ như Brighmail hoặc SpamAssassin. Chúng ta có thể cấu hình MTA để lọc tất cả các thư hoặc chỉ những thư đi qua các kênh bắt buộc, hoặc để thiết lập các mức người dùng. một người dùng có thể tùy chọn lọc thư hoặc virus hoặc cả hai.(SpamAssassin chỉ dùng cho lọc spam).

Chúng ta có thể sử dụng các hành động mặc định để xử lý thư rác, thư virus trong các thư mục đặc biệt. Tuy nhiên, cần copy thư sang một vị trí riêng, sau đó sử dụng các công cụ kiểm tra spam, virus để có các ứng xử thích hợp dựa vào kết quả phân tích của phần mềm lọc thư.

Kiến trúc đề xuất về chống Spam và chống Virus: MTA có thể sử dụng ngay trên hệ thống lọc thư, ví dụ như Brightmail hoặc SpamAssassin, hoặc có thể để trên các hệ thống độc lập. Một trong những ưu điểm của việc chia tách MTA khỏi hệ thống lọc thư là chúng ta có thể tăng cường năng lực xử lý cho các lọc thư không ảnh hưởng tới MTA. Một điểm hết sức quan trọng là nếu để chung MTA và hệ thống lọc thư, có thể sự quá tải của lọc thư(khi có bùng nổ thư rác hoặc tấn công), sẽ làm ảnh hưởng nặng đến hoạt động của hệ thống. Khi hệ thống không bị quá tải, thì việc triển khai chung MTA với Mail Filter sẽ hòan toàn khả thi.

Nhìn chung, cần cân nhắc để triển khai một cụm máy phục vụ lọc thư để tối ưu hóa năng lực xử lý cho hệ thống. Chúng ta có thể cấu hình MTA để sử dụng một danh sách các máy phục vụ lọc thư như một máy duy nhất khi đã cài đặt chức năng chia tải trong cụm máy phục vụ lọc thư(Brightmail là một phần mềm có tính năng này). Ưu điểm nổi trội của tính năng này là khi cần có thể bổ sung thêm năng lực xử lý cho Mail Filter một cách nhanh chóng đơn giản không ảnh hưởng đến các thành phần khác.

Sản phẩm lọc thư thường đòi hỏi các CPU rất mạnh. Nên triển khai theo một kiến trúc dạng phân tải các máy phục vụ MTA và Filter chạy song song để cung cấp một năng lực xử lý tốt hơn cho hệ thống. Với những hệ thống lớn, cần cân nhắc việc thiết kế các lọc thư chiều về và chiều đi phù hợp với lưu lượng của chiều đó. Để có thể yên tâm về hiệu năng hệ thống, thông thường mức sử dụng CPU cho lọc thư là khoảng 50%. Khi lọc thư đạt đến ngưỡng này, cần phải bổ sung thêm năng lực xử lý cho hệ thống lọc thư

MTA sẽ giảm thiểu các thư rác xuống dưới 10%. Trong những tình huống xấu, con số này có thể tăng lên đến 50%.

Có thể sử dụng danh sách lọc thư và các phần mềm lọc thư phối hợp với nhau. Nếu phần mềm lọc thư gạt bỏ khoảng 95% thư đến từ một địa chỉ IP thì nên bổ sung IP này vào danh sách đen lọc thư. Như vậy Real Blacklist sẽ được điều chỉnh theo phân tích của phần mềm lọc thư, điều này có thể tạo ra hoạt động hiệu quả hơn cho RBL trước làn sóng tấn công của thư rác.

Mô tả quá trình lọc thƣ nhiễm Virus: Có một cơ sở dữ liệu nhận dạng mẫu virus được chia sẻ cho các nhà khai thác dịch vụ. Có một hệ thống Online để cập nhật các bản mẫu virus trên hệ thống quảng bá và hệ thống phục vụ.

Triển khai phần mềm của hãng thứ ba để lọc thư tự động kiểm tra và diệt virus. Mô hình tổng thể của một hệ thống lọc virus thư qua phần mềm của hãng thứ ba bao gồm cả cơ chế cập nhật mẫu virus:

`

Incoming Mail Filter

Outgoing Mail Filter

MUX LDAP/MSS POP/IMAP SMTP Virus Pattern Database Virus Lab Update Dowload Dowload Incoming Mail Outgoing Mail Hình 23: Hệ thống lọc virus Các quá trình chính:

 Cập nhật mẫu Virus: Từ phòng thí nghiệm của nhà cung cấp dịch vụ, virus đuợc phát hiện và đưa vào máy phục vụ quảng bá mẫu virus. Các server mail filter sẽ tự động cập nhật mẫu theo chu kỳ được cấu hình từ trước.

 Nhận thư về: Thư từ Internet đi về, thông qua DNS nó gửi vào Incoming Mail Filter, được lọc trong hàng đợi của Filter này để so các mẫu virus trong các tập tin đính kèm. Nếu phát hiện thấy Virus, các thao tác sau sẽ được tuỳ chọn:

o Xoá toàn bộ thư điện tử

o Xoá tập tin nhiễm virus, giữ nguyên nội dung body-text, gửi vào hộp thư

o Xoá tập tin nhiễm virus, chèn cảnh báo vào thư điện tử cho người nhận.

o Xoá tập tin nhiễm virus, chèn cảnh báo vào thư điện tử cho người nhận và người gửi.

Nếu không phát hiện thấy virus thì thư được định vị vị trí lưu trữ thông qua LDAP và gửi vào hộp thư của khách hàng trong MSS để lưu trữ chờ khách hàng lấy về.

 Gửi thư đi: Thư từ khách hàng gửi đi, thông qua DNS gửi vào hàng đợi của Outgoing Mail Filter, được lọc trong hàng đợi của Filter này để so các mẫu viruss. Nếu phát hiện thấy virus, các thao tác sau sẽ được tuỳ chọn:

o Xoá toàn bộ thư điện tử.

o Xoá tập tin nhiễm virus, giữ nguyên nội dung body-text, gửi đi

o Xoá tập tin nhiễm virus, chèn cảnh báo vào thư điện tử cho người nhận.

o Xoá tập tin nhiễm virus, chèn cảnh báo vào thư cho người nhận và người gửi.

Lọc thƣ chống Spam - Mô tả quá trình lọc thƣ chống spam:

`

AntiSpam Filter

Anti Spam Filter

MUX LDAP/MSS POP/IMAP SMTP Incoming Mail Outgoing Mail No spam = copy SPAM = delete SPAM = delete No spam = send Hình 24: Hệ thống chống thư rác

`

Anti Spam Filter

MUX LDAP/MSS POP/IMAP SMTP Security Database Dowload Dowload Incoming Mail Outgoing Mail ISP B

Anti Spam Filter

ISP A ISP C Dowload Dowload Upload spam list Upload spam list OK = Copy NOK = Delete NOK = Delete OK = Send Mail Hình 25: Hệ thống Danh sách đen

Như đã trình bày ở phần trước, thư rác đang là một vấn nạn trên mạng. Rất nhiều nhà cung cấp dịch vụ đã tìm cách giải quyết vấn đề này kể cả các biện pháp hành chính như đưa vào luật(tại Mỹ) nhưng cũng chỉ có thể hạn chế được spam. Do đó để chống spam hiệu quả hơn, cần phải tăng cường liên kết giữa các nhà cung cấp dịch vụ và các nhà cung cấp phần mềm và mẫu lọc thư, đặc biệt là vấn đề chia sẻ thông tin về nguồn phát tán và phối hợp thiết lập các cơ chế ngăn chặn phát tán trên diện rộng.

Mô tả những kịch bản phổ biến cho Brightmail và SpamAssassin Sử dụng Brightmail: Có một vài triển khai phổ biến cho Brightmail:

 Xử lý thư vào để lưu trong hệ thống(ims-ms channel)

 Xử lý thư ra ngoài Internet(tcp-local channel)

 Xử lý thư từ Internet vào(tcp-local channel)

 Xử lý thư ra một domain đặc biệt(per-domain option)

 Xử lý thư ra những người sử dụng đặc biệt(per-user option)

 Cài đặt Brightmail xử lý dưới chọn lựa Class-of-service

Nếu Brightmail thực thi đồng thời cả lọc virus và spam, MTA có thể giảm được 50% lưu lượng vào ra. Để đảm bảo thông lượng cho MTA, có thể dùng hai cụm Brightmail cho mỗi MTA.

Ví dụ sử dụng SpamAssassin : Một số phần mềm hệ thống thư điện tử lớn có thể hỗ trợ SpamAssassin, một phần mềm miễn phí để lọc thư. SpamAssassin chứa đựng các thư viện viết bằng Perl và tập hợp các ứng dụng và tiện ích có thể sử dụng để tích hợp SpamAssassin

vào hệ thống thư điện tử. SpamAssassin tính toán điểm số của mỗi thư điện tử. Điểm số được tính toán bởi một chuỗi các hành động kiểm tra thông tin header và body. Mỗi lần kiểm

Một phần của tài liệu Đảm bảo hiệu năng và độ tin cậy cho hệ thống thư điện tử lưu lượng lớn (Trang 57)

Tải bản đầy đủ (PDF)

(124 trang)