C Consiglio Nazionale delle Ricerche DNS e Posta Elettronica: evoluzione dei servizi B ologna,23 N ovem bre Prevenzione deldiffondersidi virus via e-m ail.C om e definire filtrisu LISTSER V M arina B uzzi Istituto perle ApplicazioniTelem atiche M arina.Buzzi@ iat.cnr.it C Consiglio Nazionale delle Ricerche DNS e Posta Elettronica: evoluzione dei servizi Contenuti • Introduzione • Propagazione di un virus via PE • Meccanismi di protezione • Configurazione di Listserv 23 Novembre 2000 2 C Consiglio Nazionale delle Ricerche DNS e Posta Elettronica: evoluzione dei servizi Motivazioni W32/Navidad@M, “worm” che si trasmette via PE Il virus ha infettato il PC di utenti CNR e si è quindi propagato via PE, anche attraverso le mailing list del CNR ([email protected], …) raggiungendo un grande numero di utenti. – Gli utenti che hanno inviato il msg erano nel dominio cnr.it e quindi il msg è stato distribuito 23 Novembre 2000 3 C Consiglio Nazionale delle Ricerche DNS e Posta Elettronica: evoluzione dei servizi Cosa accade • Quando un PC viene infettato dal virus: – per ogni messaggio in arrivo viene automaticamente generata un risposta contenente il virus come attachment (p.es. NAVIDAD.EXE); – viene scandito l’address book e vengono automaticamente generati e inviati msg infetti; – ... 23 Novembre 2000 4 C Consiglio Nazionale delle Ricerche DNS e Posta Elettronica: evoluzione dei servizi Come proteggersi Utente • Disattivare nel client di Posta Elettronica l’opzione di "apertura automatica" dei file allegati (se presente); • Non aprire allegati contenenti file eseguibili; • Rimuovere dal sistema i messaggi sospetti; • Avere un anti-virus aggiornato e attivo. 23 Novembre 2000 5 C Consiglio Nazionale delle Ricerche DNS e Posta Elettronica: evoluzione dei servizi Come proteggersi Un controllo più efficace può essere fatto lato server, dall’Amministratore del sistema di PE • Attivare un anti-virus on-fly • Controllo e filtering degli attachment: – server di PE (MTA, Message Transfer Agent); – server per la gestione delle mailing list (MLA, Mailing List Agent). 23 Novembre 2000 6 C Consiglio Nazionale delle Ricerche DNS e Posta Elettronica: evoluzione dei servizi Dove fare i controlli MLA si appoggia su un MTA per le funzionalità di invio/recezione msg Un controllo a livello di MTA sarebbe auspicabile (risolvi il problema a livello inferiore) 23 Novembre 2000 7 C Consiglio Nazionale delle Ricerche DNS e Posta Elettronica: evoluzione dei servizi Definizione di filtri su Listserv C Consiglio Nazionale delle Ricerche DNS e Posta Elettronica: evoluzione dei servizi Definizione di filtri su Listserv • Dalla versione 1.18 consente di definire filtri sugli attachment: MIME attachment-filtering feature 23 Novembre 2000 9 C Consiglio Nazionale delle Ricerche DNS e Posta Elettronica: evoluzione dei servizi Definizione di filtri su Listserv Tre modalità di funzionamento: • Nessun filtro e blocco: consentito il transito di qualsiasi attachment MIME; • Blocco totale: i messaggi con attachment sono rifiutati e il mittente ne è informato; • Filtraggio selettivo: gli attachment vengono filtrati sulla base della configurazione specificata. 23 Novembre 2000 10 C Consiglio Nazionale delle Ricerche DNS e Posta Elettronica: evoluzione dei servizi Definizione di filtri su Listserv Inserire la keyword Attachments nella definizione della lista: – Specifica se e quali attachment MIME possono essere distribuiti sulla lista Sintassi Attachments= Yes | No | allowed_content_types [,Filter] 23 Novembre 2000 11 C Consiglio Nazionale delle Ricerche DNS e Posta Elettronica: evoluzione dei servizi Definizione di filtri su Listserv Attachments= Yes – Tutti i tipi di attachment possono essere inviati sulla lista (il default) Attachments= No – LISTSERV rifiuta msg contenenti attachment e li invia indietro al mittente Nota: sono esclusi i file testuali e HTML 23 Novembre 2000 12 C Consiglio Nazionale delle Ricerche DNS e Posta Elettronica: evoluzione dei servizi Definizione di filtri su Listserv Attachments= No,Filter – LISTSERV rimuove gli attachment (tranne testo e html) e processa il msg. – Al mittente non viene notificata l’operazione di rimozione degli attachment. 23 Novembre 2000 13 C Consiglio Nazionale delle Ricerche DNS e Posta Elettronica: evoluzione dei servizi Definizione di filtri su Listserv Attachments= image,application/pdf – Consente il transito di immagini (gif, tiff, …) e file pdf – Rifiuta tutti i msg contenti altri tipi di attachment Attachments= image,application/pdf, Filter – Consente il transito di immagini (gif, tiff, …) e file pdf – Elimina tutti gli attachment non consentiti e quindi processa il msg 23 Novembre 2000 14 C Consiglio Nazionale delle Ricerche DNS e Posta Elettronica: evoluzione dei servizi Definizione di filtri su Listserv Limitazioni • La granularità è sul tipo MIME; • Attachment inviati con Microsoft Outlook (Outlook 97) non possono essere bloccati da LISTSERV perchè non sono conformi allo standard MIME (Outlook 97 invia attachment come file uuencode). 23 Novembre 2000 15 C Consiglio Nazionale delle Ricerche DNS e Posta Elettronica: evoluzione dei servizi Definizione di filtri su Listserv Limitazioni • Efficacia del filtro dipende dal client utilizzato dal mittente. – Se il client include tutti i file binari come "Content-Type= application/octet-stream” (Eudora 3.x), file che sarebbero ammessi possono venire rigettati. 23 Novembre 2000 16 C Consiglio Nazionale delle Ricerche DNS e Posta Elettronica: evoluzione dei servizi Definizione di filtri su Listserv L’owner della lista può includere la Keyword Attachments la definizione della lista che gestisce (tenendo conto delle esigenze del gruppo di discussione). – http://listserv.cnr.it/<nomelista>.html – Manage the list-> Configuration 23 Novembre 2000 17 C Consiglio Nazionale delle Ricerche DNS e Posta Elettronica: evoluzione dei servizi Filtri a livello di server di Posta Elettronica • Possono avere controlli più sofisticati: – una granularità maggiore, p. es. filtro sul filename (parametro name del Content Type); – decodificare un msg uuencode e di convertirlo in formato MIME; – operare sul MIME type: sulla base del filename può convertire un Content-Type= application/octet-stream nell’appropriato tipo, p.es. application/msword. 23 Novembre 2000 18 C Consiglio Nazionale delle Ricerche DNS e Posta Elettronica: evoluzione dei servizi Sviluppi futuri • Creare un backbone di PE del CNR che offra un alto grado di QoS (qualita’ del servizio) 23 Novembre 2000 19