联邦机构瞄准了September 2012 mandate向IPv6启用其Internet周边应用。这不仅包括IPv6的实现Web服务器,而且IPv6的启用电子邮件服务器。因此,电子邮件服务器将允许入站SMTP(TCP端口25)通过IPv4和IPv6连接。然而,大多数电子邮件内容过滤公司只拥有IPv4的防御能力。难道真的组织要允许IPv6的电子邮件,如果它是比IPv4更不安全?
How Block Lists Work
DNS-based BlackLists (DNSBLs), historically called Realtime Blackhole List (RBLs), are lists of public IP addresses that are performing malicious activities likespamming。这些列表是通过DNS分布式(RBLs的用BGP分发)。这些列表可以通过邮件传输代理(MTA),从出现的列表上的发件人的IP地址被用来阻止电子邮件。这有助于该组织收到的垃圾邮件数量砍伐。随着时间的推移已经出现了其他改编“声望列表“被用于托管恶意软件或是一个僵尸网络的指挥和控制基础设施的一部分。这些列表是通过各种安全设备,帮助阻止恶意的电子邮件和网页内容中使用的IP地址。
Even though reputation filters are responsible for 80% or more of the blocked spam, these DNSBLs are not a fool-proof solution. For example, spammers change their source IP addresses rapidly to avoid getting on the list. There could be individual broadband Internet subscriber computers behind a Carrier Grade NAT (CGN)/Large Scale NAT (LSN) system infected with malware that are sourcing malicious e-mail messages. That infected subscriber's public address comes from the LSN public IP pool. We have also known for many years that reputation filters arenot a long-term solutionas more service providers deploy Large Scale NAT (LSN) systems.
Problem Statement
如果你没有一个支持IPv6的DNSBLs或具有IPv6功能的SPAM过滤器,那么你可能不希望允许通过IPv6入站简单邮件传输协议(SMTP)。您可能不希望在一个不太安全的方式比你今天做的IPv4操作支持IPv6的网络。我们应该努力建立相同的安全保护,为IPv6和我们今天使用IPv4的。此外,我们应该清楚地意识到,我们缺乏的IPv6功能奇偶校验,避免启用IPv6时,它会创建一个安全漏洞。
有人担心,现在使入站电子邮件通过IPv6将给垃圾邮件发送者的优势,如果垃圾邮件过滤器不支持IPv6。尽管一些组织提供支持IPv6的邮件服务器没有使用IPv6目睹大量的垃圾邮件,这并不意味着不存在通过IPv6任何垃圾邮件。其实也有垃圾邮件在IPv6上,问题是我们今天无法准确回答是有多少。令人担心的是,垃圾邮件发送者可以改变他们的战术非常迅速,并开始使用IPv6,它可能没有我们的IPv4的电子邮件服务器的所有防御能力。
RIPE published a report almost 2 years ago in an attempt to quantify the amount of "垃圾邮件通过IPv6”这一份报告显示,送过来的IPv6垃圾邮件的数量是按比例小于送过来IPv4中的垃圾邮件。不过,它还是确认有超过IPv6传输的垃圾邮件发送。
许多互联网服务提供商(ISP)的警惕IPv6的实现他们的电子邮件服务器和启用IPv6的入站电子邮件没有任何保护措施。这个IETF草案discusses this problem and prescribes a phased approach for service providers.
我们都知道,使用IPv6(一个DNSBL的Virbl项目). Last year, the reputation filter serviceSpamhaus的发布了自己的“IPv6的屏蔽列表策略声明" but does not yet have any IPv6 capabilities in production. Other reputation services likePhishtankandGoogle Safe Browsing API没有任何IPv6功能。思科安全智能运营中心(SIO) which is used by their IronPort appliances and Global Correlation for their IPSs is not IPv6-capable.
IPv6-Capable E-Mail Security Products
我们很好奇什么样的电子邮件安全产品支持IPv6。我们可以看看在Gartner的MQ电子邮件安全,看看谁的主要厂商都在这个市场。Gartner魔力象限安全电子邮件网关(SEGS)(2011年8月10日)确实提到,IPv6是一种功能,企业需要。但是,它不讨论哪个供应商的解决方案都支持IPv6。
思科IronPort的不现在支持IPv6在他们的AsyncOS 7.6刚刚发布。然而,思科ScanSafe的system is不支持IPv6。
Proofpoint的issued a新闻稿indicating that they have IPv6 support.
Barracuda's电子邮件设备,为Exchange Server的Microsoft Forefront保护2010(FPE), andSophos似乎没有任何IPv6功能。
趋势科技称,他们已经拿出了谁使用许多独特的IPv6地址发送未经请求的电子邮件的垃圾邮件发送者的解决方案。2005年,趋势科技收购Kelkea(它继承了员工Dave Rand和保罗·维克西创建Mail Abuse Prevention System(MAPS) (RFC 5782)). Trend Micro Anti-Spam Engine (TMASE)7.0Beta被认为具有IPv6功能。趋势科技提供了一个nice pagethat lists a variety of mail systems and configuration guidance.
UTM devices like Fortinet's Fortigate are fully IPv6-capable. Their的FortiMail系统,这是一种基于特定目的而构建设备系统,称它可以执行greylisting for IPv6addresses.
EdgeWave(技术红色神鹰)邮件安全套件版本8.X拥有IPv6地址添加到反弹悬架列表的功能。EdgeWave也发表文章about the issues with IPv6 and e-mail filters.
CanIt-PROby Roaring Penguin says that they areIPv6-enabledbut they do not mention using IPv6 RBLs in their literature.
Open Source Solutions
There are a few popular open source solutions that many organizations use for filtering spam.SpamAssassin的版3.2.5significantly improved its IPv6 support (the current version is 3.3.2). This was probably due to improvements in IPv6 support in Perl. SpamAssassin did have a窃听器when doing DNS lookups over IPv6 so you can disable that feature and perform DNS queries of IPv4-only.MailScanner,which leverages SpamAssassin, has IPv6 capabilities and can perform SMTP communications over IPv4 and IPv6. It has been mentioned on mailing lists thatSpamCop中计划有IPv6能力sometime soon。
Cloud-based Spam Services
安全as a Service (SecaaS) solutions are now very common and there have always been a variety of "cloud-based" e-mail filtering solutions available. The widely popular谷歌/ Postini的不not seem to support IPv6 today. However, there was a rumor that IPv6 would be supported in their next-generation system. We can check the Internet BGP routing tables and see that these cloud vendors are not yet advertising IPv6 prefixes. That is an indication that they are not IPv6-capable. Webroot and Postini are not IPv6 capable and are not advertising any IPv6 prefixes from their ASNs. Cloudmark's AS (AS19506) does announce a single IPv6 prefix. At the end of last year据报道该Cloudmark公司现在在他们的邮件服务器的IPv6功能。
有许多的垃圾邮件过滤基于设备厂商的新SecaaS服务。这些供应商实现了“云计算”的趋势,看到的证据表明,越来越多的企业对SaaS解决方案的移动。该列表包括:Symantec.cloud(原MessageLabs公司),趋势科技托管电子邮件安全(TMHES),梭子鱼邮件安全服务(BESS),Websense的电子邮件安全网关无处不在(ESGA),迈克菲(原MXLogic),微软的Forefront在线保护Exchange(FOPE),Proofpoint的,SonicWALL的。然而,这些都不似乎有任何IPv6功能。
IPv6的RBLs的粒度
DNSBLs和名誉过滤器的粒度也是一个问题。如今,DNSBLs在他们的名单的32位IPv4地址。然而,我们应该IPv6地址的大小是一个DNSBL内?有人说,完整的128位IPv6地址应在DNSBL上市。一个问题是,如果有许多IPv6地址列表,该列表的大小将显着增长。此外,攻击者可以使用/ 64每隔几分钟内许多独特的地址,以避免被发现。有一个/ 64前缀内大约18百万的三次方的IPv6地址,这样会使攻击者大量的地址到源袭击事件。这可能会迅速填满DNSBL,并可能导致的服务问题。如果DNSBL的粒度被设定为一个特定的前缀大小,则有可能是通过在无意间阻止其他主机,甚至没有参与的电子邮件发送附带损害。例如,如果信誉滤波器的粒度设定在/ 64的水平,然后在相同的段攻击的其他系统将被无意中从发送电子邮件堵塞。RFC 5782的第2.4节," DNS Blacklists and Whitelists" shows how the 128-bit IPv6 address is formatted for the DNSBL.
Preventing Spoofed E-Mail
SMTP并不验证电子邮件消息的发送者是该域名的合法邮件服务器。IETF已经开发的解决方案,与电子邮件安全性的帮助。这些标准是:Sender ID,发件人策略框架(SPF) (RFC 4408), andDomain Keys Identified Mail(DKIM). These standards allow a domain administrator to specify the legitimate source addresses that e-mail should be coming from (using DNS record SPF, type 99). E-mail servers should reject messages from spoofed e-mail source addresses that are not on that domain's specified list. DKIM takes this approach further by using a digital signature to validate e-mail sources and secure the message header. SPF allows the sender to specify an IPv6 address range.IronPort的andProofpoint的's解决方案是一些产品的支持DKIM验证的今天和迈克菲支持SPF。DKIM也受到支持Yahoo,Gmail的,FastMail.FM,among others.
IPv6的白名单方法
一些专家建议,IPv6的电子邮件部署一个更好的方法是创建一个支持IPv6的邮件服务器白名单。您的邮件服务器将被配置为只允许从电子邮件那些已知的良好来源的电子邮件。一些大型互联网服务供应商的宽带目前允许的IPv6启用入站电子邮件。然而,他们成立了过滤为了使IPv6的入站电子邮件只能从个人的IPv6地址的基础。由于启用了IPv6的电子邮件服务器部署是不是垃圾邮件发送者可以使用IPv6地址的潜在规模较小那么这将是一个更有效的方法。这听起来类似于“谷歌在IPv6“白名单的概念,我们已经听说了很多年了。从长远来看,对于这种类型的白名单的行政负担增长作为全球部署增长到维护白名单会让人望而却步的地步。
Spam-Catching Algorithms
Spam filters are now very effective and can catch up to 99% of all spam. Fortunately, it is a good thing that spam systems do not completely rely on lists of IP addresses of known systems that are sourcing spam. There are a wide多种其他的方法to detecting and preventing spam. Spam filters may matching on keywords using heuristic algorithms and rule-based filtering, use statistical orBayesian filtering或寻找的虚假电子邮件的典型特征。垃圾邮件过滤器系统可寻找含有药物而言,产品名称,空白主题行,已知是恶意邮件主题的电子邮件。这些技术还没有防呆,可以有许多假阳性。最终用户希望有比通过向有“火腿”被封锁意外,因为它包含了一个糟糕的关键字偶尔垃圾邮件滑。
Other methods of preventing spam include authenticating and encrypting e-mail. Techniques such asS / MIMEand PGP/OpenPGP (RFC 4880&RFC 5581) or思科注册信封服务(CRES) also help prevent against spam. E-mail servers can use Transport Layer Security (TLS) session-level encryption between themselves or SSL/TLS link encryption between domains. These techniques work regardless of the IP version used for the mail server connection.
出站电子邮件
组织可能不会有尽可能多的让出站IPv6的电子邮件的问题。组织可能希望自己的电子邮件服务器的用户能够与对他们的MX记录IPv6的地址以外的邮件服务器进行通信。组织应该允许出站POP,IMAP和SMTP从他们的电子邮件服务器在IPv4或IPv6传输。这样一来,他们准备为世界其它地区开始向IPv6迁移。
结论
我们可能永远不会看到垃圾,同时介绍tion of IPv6 will not make spam a thing of the past. In fact, there is potential that the introduction of IPv6 may make spam more prolific for companies with IPv6-enabled e-mail servers that rely on DNSBLs that don't have any IPv6 capabilities. OnWorld IPv6 Day(2011年6月8日),当一些组织的IPv6启用他们的邮件服务器,他们收到了他们的第一个IPv6垃圾邮件。
它是关于时间的组织开始要求IPv6功能包括在他们所购买的网络产品。此IPv6功能需要远远领先时,才会真正需要它的被整合。然而,许多厂商已经在他们的承诺的功能列表没有优先的IPv6。现在,谁正在努力满足他们的IPv6的任务不会有他们需要的产品2012联邦企业。让我们希望,在2012年,电子邮件过滤厂商意识到,如果他们正在开发互联网产品和服务,他们想同时使用IP版本的互联网。
斯科特