نگاهی به روش های جلوگیری از اسپم و امن سازی سرویس ایمیل سازمانی

۱۷ اردیبهشت , ۱۳۹۶

مکانیسم‌های SPF و DKIM در ایمیل سرورها

یکی از روش‌های جلوگیری از دریافت ایمیل‌های هرزنامه یا همان اسپم روش‌های فیلترینگ ایمیل می‌باشد که می‌توانند اصالت ایمیل‌های دریافتی را تصدیق نمایند و ایمیل سرورها را از این ایمیل‌های ناخواسته رها کنند.

پس‌ازاینکه در سرویس‌دهنده‌های ایمیل، معضل ایمیل‌های ناخواسته و Spam مشکلات بسیاری را برای این سرویس به وجود آورد، شرکت‌ها و مؤسسات توانستند استاندارد خاصی را به‌منظور پیشگیری از جرائم وابسته به هرزنامه‌ها ایجاد نمایند.

اکثر Spam ها باهدف خاصی تولیدشده و این هرزنامه‌ها توسط کلاه‌برداران اینترنتی و ظاهرا از سوی موسسه مالی یا شرکت اینترنتی ارسال می‌شود که باهدف، سرقت اطلاعات مهم کاربر مانند اطلاعات کارت اعتباری، شماره‌حساب بانکی و … می‌باشد.

Spam ها از دو روش برای سرقت استفاده می‌نمایند:

۱- ارسال اطلاعات توسط کاربر: در این Spam ها به کاربر پیامی مبنی بر برنده شدن آمده و درخواست ارسال اطلاعات شخصی کاربر را می‌نماید.

۲- تشویق کاربر جهت کلیک بر روی پیوند (Link) موجود در متن: این پیوندها شامل نرم‌افزارهای مخرب سارق اطلاعات می‌باشند.

روش معرفی‌شده جهت مقابله با این جرائم، استفاده از دو تکنولوژی Sender Policy Framework (به‌اختصار SPF) و Domain Keys Identified Mail (به‌اختصار DKIM) برای احراز هویت و بررسی اعتبارنامه‌های الکترونیک می‌باشد.

چهارچوب اعمال سیاست برای فرستنده (Sender Policy Framework)

SPF یک سیستم تائید پست الکترونیک به‌منظور جلوگیری از ارسال/دریافت هرزنامه (SPAM) می‌باشد، استفاده از این روش رایگان بوده و با شناسایی حقه‌های پست الکترونیک (Email Spoofing) و یا بررسی و تائید آدرس فرستنده، نامه‌های دریافتی را از این نظر رتبه‌بندی می‌نماید.

برای استفاده از این قابلیت کافی است مدیر سرور در سرویس‌هایی نظیر openspf.org، برای میل سرور تنظیماتی انجام دهد، سپس بسته به تنظیمات اعمال‌شده یک رکورد منحصربه‌فرد از نوع TXT برای سرور ایمیل مربوطه دریافت و آن رکورد را در سرویس‌دهنده نام (DNS Server) خود ایجاد نماید. با این روش سرور پست الکترونیک (Mail Server)، تمامی آدرس‌های فرستنده نامه‌های الکترونیک دریافتی را از طریق رکورد TXT و با توجه به تعاریف موجود در سرویس (در این مثال Openspf.org) بررسی کرده و مشخص می‌کند نامه‌های دریافتی فرستنده‌ها (درصورتی‌که ایمیل سرور فرستنده نیز از قابلیت SPF استفاده نماید) از فیلتر SPF گذشته،‌ تائید (pass) و یا رد (failed) شده‌اند.

 Domain Key

کلید دامنه یا Domain key یک سیستم تصدیق و احراز هویت در سرویس پست الکترونیک می‌باشد. این متد در زمان ارسال پست الکترونیک مشخصاتی از قبیل نام فرستنده، نام دامین، موضوع نامه و… را به‌عنوان امضای الکترونیکی در سرآیند پست الکترونیک (Header) قرار می‌دهد، بنابراین زمانی که گیرنده پست الکترونیک را دریافت می کند ابتدا اطلاعات را از هدر پست الکترونیک خوانده و در DNS سرور خود مجدداً بررسی و از اعتبار و عدم هرزنامه بودن آن اطمینان حاصل می‌نماید، چنانچه مشکلی وجود نداشت آن را به مقصد نهایی هدایت می‌نماید.

نیاز سازمان‌ها برای شناسایی و تصدیق آدرس‌های پست الکترونیک باعث به وجود آمدن پروتکل پیشرفته‌تری به نام DKIM شد، در این روش دامنه فرستنده به کمک Cryptographic Authentication  بررسی می‌گردد.

سازمان مهندسی اینترنت یا Internet Engineering Task Force) IETF) پروتکل DKIM را به‌عنوان یک استاندارد جهانی معرفی و در حال حاضر جویشگر بومی چاپار و بسیاری از سازمان‌ها از آن برای کنترل پست‌های الکترونیک خود استفاده می‌کنند.

 

 

در ادامه به این می‌پردازیم که DKIM چگونه کار می‌کند؟ اما قبل از آن بهتر است بدانیم که Public key چیست:

Public key Cryptography یا کلید عمومی رمزنگاری‌شده که همچنین به‌عنوان رمزنگاری نامتقارن نیز نام‌برده می‌شود، یک الگوریتم رمزنگاری است که نیاز به دو کلید یا Key جداگانه دارد. یکی از کلیدها به‌صورت رمز خصوصی یا Private و دیگری عمومی یا Public است.Public key برای ایمن کردن ارتباطات در شبکه‌های عمومی مانند اینترنت استفاده می‌شود. این کلید به‌عنوان محتوای یک رکورد txt در DNS Zone یک دامنه تعریف می شود و سپس Private key در ایمیل سرور و بسته به نوع آن تعریف می‌گردد.

DKIM روش بعدی مقابله با ارسال اسپم و یا هرزنامه می‌باشد.

DKIM نتیجه یکپارچه شدن Domain Key و Internet Identified Mail است. اکثر سرویس‌دهنده‌های بزرگ ایمیل مانن چاپار، در دنیا DKIM را راه‌اندازی کرده‌اند و هر پیامی از این ایمیل سرورها که خارج می‌شود حاوی امضای DKIM است.

امضای دیجیتال در این متد شامل شناسه‌های مهم زیر است:

V: شماره ورژن مورداستفاده

A: الگوریتم رمزنگاری

H: هدر ایمیل شامل اطلاعاتی مانند from، to، message

Bh: بدنه کد رمز شده

B: محتوای هدر و متن ایمیل

D: دامنه ارسال‌کننده

 

امن سازی سرویس پست الکترونیک

مفهوم hardening در لغت به معنای سخت کردن و جامد کردن می باشدو وقتی می‌خواهیم چیزی یا شی‌ء ای را سخت و غیرقابل نفوذ کنیم، این لغت به کار می‌رود. در فضای سایبری نیز ایمن‌سازی سرور درواقع نوعی غیرقابل نفوذ کردن آن است و این ایمن‌سازی درواقع یکسری اقدامات از روی چک‌لیست‌هایی است که هدف همه آن‌ها ایجاد یک سرویس‌دهنده ایمن هستند.

درزمانی که یک سرویس‌دهنده در معرض عموم قرار می‌گیرد و یا در اینترنت قابل‌دسترسی است، ایمن‌سازی آن یا Hardening یک الزام است و بسیاری از ابزارها و نرم‌افزارها امروزه برای ارائه سرویس در بستر اینترنت ساخته‌شده‌اند و قابلیت اصلی آن‌ها در ارائه سرویس به عموم است. بدیهی است ابزارهای نصب‌شده در سرور مانند ایمیل سرور، می‌توانند بشدت آسیب‌پذیر باشند.

Hardening جهت ایمن‌سازی سرویس‌دهنده،شامل مراحلی است که یک‌به‌یک بررسی می‌کنیم:

بسیاری از کارشناسان معتقدند که اولین قدم برای Hardening سرورها این است که نوع و مشخصات سرویسی که توسط شما در حال ارائه است شناسایی شود. درواقع باید تمامی ریسک‌هایی که حول‌وحوش سرویس شماست شناسایی گردند.

تنظیمات پیش‌زمینه بسیاری از سرورها، اعم از ویندوزی یا لینوکسی بودنشان، باقابلیت‌های امنیتی همراه نیستند و این موضوع حتی در تجهیزاتی مانند روتر و فایروال نیز صدق دارد. درواقع امنیت،تمرکز اصلی تنظیمات پیش‌زمینه بسیاری از سیستم‌عامل‌های سروری نیست. در عوض، اولین تنظیمات،بیشتر روی استفاده آسان، کارایی راحت و ارتباطات سریع و آسان تمرکز دارند. برای ایمن‌سازی و سخت شدن سرورهای شما نسبت به نفوذ، می‌بایست سیاست‌ها و اقدامات اصولی و منطقی صحیحی برای تمامی سرورها اتخاذشده و یک‌به‌یک و با دقت بالا در شبکه سرورها اجرا شوند.

ابتدا باید چک‌لیست صحیحی برای Server Hardening تهیه‌شده و این چک‌لیست می‌تواند اولین و بهترین قدم برای سخت کردن یک سرور نسبت به نفوذ باشد البته باید مطمئن بود که حداقل‌های امنیتی که کاربران در کار با آن‌ها باید رعایت کنند در چک‌لیست شما موجود باشد.

در بخش ذیل نمونه‌ای از این اقدامات لیست شده است:

  • به‌هیچ‌عنوان سروری که به‌صورت کامل فرآیند Hardening بر روی آن انجام‌نشده است را به اینترنت متصل نکنید.
  • سرور را در محل فیزیکی امن قرار بدهید، امنیتی فیزیکی از اولین مواردی است که در حوزه امنیت بایستی رعایت شود.
  • بر روی سرور دو عدد کارت شبکه بگذارید، یکی برای مدیریت سرور و دیگری برای کاربران.
  • کرنل لینوکس و سایر نرم‌افزارهای امنیتی را بروز نگه‌دارید.
  • حتماً برای SSH از Encryption مناسب استفاده کنید و حتماً برای SSH، Session Timeout را قرار دهید.
  • هر سرویس یا ماشین مجازی را تنها روی یک سرور نصب کنید. درصورتی‌که قرار است چندین سرویس به شبکه‌ای ارائه شود، چند سیستم‌عامل داشته باشید. در صورت بروز حمله‌ای خاص به سرویسی مشخص، تنها یک سرویس از کار می‌افتد و اطلاعات و سرویس‌های دیگر درخطر نخواهند بود.
  • Extension های امنیتی لینوکس را نصب و همواره بروز کنید.
  • قوانین محکم و سخت‌گیرانه‌ای در مورد user accounts و رمزهای عبور داشته باشید.
  • قوانین محکم و مرتبی در مورد تغییر مکرر و الزامی رمزهای عبور قرار دهید.(Password Aging Policy)
  • Root Login را غیرفعال کنید.
  • دسترسی فیزیکی به کنسول لینوکس سرور (Physical Consol Access) خود را به‌شدت محدود کنید.
  • سرویس‌های غیرضروری که در پس‌زمینه سیستم در حال اجرا هستند را غیرفعال کنید.
  • X Windows را غیرفعال کنید.
  • پارتیشن فایل‌های مربوط به سیستم‌عامل سرور را از پارتیشن فایل‌هایی که کاربران از آن استفاده می‌کنند جدا کنید. این کار امنیت را بهبود می‌بخشد.
  • از فایروال‌های لایه ۳ جهت اتصالات سرویس و نیز قابلیت IPS آن استفاده نمایید.
  • IPv6 را غیرفعال کنید. (در حال حاضر ابزارهای درست و دقیقی برای مانیتورینگ این پروتکل جدید وجود ندارد. بسیاری از هکرها می‌توانند از طریق ارسال ترافیک بد و ناخواسته اقدام به هک کردن سرویس شما بکنند. در حال حاضر بسیار از سرورها به‌طور پیش‌فرض این پروتکل را به‌صورت فعال پشتیانی می‌کنند که می‌تواند یک نقطه‌ضعف امنیتی محسوب شود).

Tags:

نظرات (۲۷)

 

  1. شاداب گفت:

    سلام مدیر عزیز – لطفا بفرمایید چطور میتونم اکانت ایمیل چاپار خودم رو حذف کنم؟ ممنون

  2. علی گفت:

    با سلام
    چطور میتونم از ورود یک سری از ایمیل ها (که فرسنده ی مشخصی دارند) به فولدر اسپم جلوگیری کنم؟
    آیا چاپار برنامه ای برای هوشمند کردن سرویس تضخیص اسپم خود دارد؟

    • وبلاگ چاپار گفت:

      با درود و احترام
      با کلیک بر روی ایمیل مورد نظر و گزینه ی “هرزنامه نیست” ایمیل دریافتی توسط شما،از حالت هرزنامه خارج می شود با تکرار این کار مشکل شما حل خواهد گردید.در غیر این صورت باید از قسمت فیلتر نامه فرستنده ی مورد نظر را به لیست اضافه نمایید تا ایمیل های دریافتی به جای هرزنامه در صندوق دریافت نگه داری شود.

      • علی گفت:

        در یک سال اخیر چندین بار شده که برای فرستنده یکسان گزینه ی “هرزنامه نیست” رو انتخاب کردم ولی موثر نبوده، در قسمت فیلتر نامه هم فرستنده ی مورد نظر رو به لیست اضافه کردم ولی باز ایمیل های ارسالی از اون فرستنده به هرزنامه میره، ایمیل ها از ISP که ازش اینترنت خریدم میاد (hiweb.ir) ولی همشون توی هرز نامه قرار می گیرند

      • وبلاگ چاپار گفت:

        با درود و احترام
        لطفا جزییات فرستنده و دریافت کننده،شماره تماس خود وشرح مجدد موضوع را به آدرس sales@chmail.ir ایمیل فرمایید.

  3. عبدالله گفت:

    با سلام
    آقا تو رو خدا فکری به حال ایمیل چاپار عمومی بکنید. اسپم خفه کرده ما رو بعلاوه عدم جذابیت و نداشتن سرویس پیام فوری و…
    سرویس موبایلیش هم که امکانات محدودی داره و حتی امکان پیوست فایل نداره

    • وبلاگ چاپار گفت:

      با درود و احترام
      شناسایی یک ایمیل به عنوان اسپم زمانی صورت می گیرد که دامنه ی فرستنده،به ارسال ایمیل های اسپم شهرت داشته باشد یا تعداد قابل توجهی از دریافت کنندگان،دامنه ی مذکور را به عنوان فرستنده ی اسپم اعلام نمایند.برای رفع این موضوع می توانید ایمیل های دریافتی را به پوشه ی هرزنامه انتقال دهید پس از تکرار این مورد(در صورت دریافت مجدد اسپم) یه طور خودکار دامنه ی مذکور اسپم شناخته می شود.
      در صورت عدم موفقیت این مورد و دریافت مجدد اسپم می توانید از قسمت فیلتر نامه دامنه ی مورد نظر را فیلتر نمایید تا به شکل خودکار ایمیل های ارسالی به هرزنامه منتقل شود.
      نسخه ی جدید چاپار نیز در حال آماده سازی است و به زودی رونمایی خواهد شد.

  4. ارین گستر گفت:

    سلام من رمز عبور ایمیل رو فراموش کردم متاسفانه پرسش امنیتی رو هم به یاد نمیارم میشه راهنمایی کنید که چه کاری میتونم بکنم

  5. فرهادی گفت:

    سلام
    من هرچه هرزنامه ها رو به عنوان هرزنامه معرفی می کنم بازم همونا سری جدید میریزن توی صندوق ورود. اصلا انگار نه انگار من اینا رو به عنوان هرزنامه معرفی کرده باشم. یه کاری بکنید تروخدا

    • وبلاگ چاپار گفت:

      با درود و احترام
      شناسایی یک ایمیل به عنوان اسپم زمانی صورت می گیرد که دامنه ی فرستنده،به ارسال ایمیل های اسپم شهرت داشته باشد یا تعداد قابل توجهی از دریافت کنندگان،دامنه ی مذکور را به عنوان فرستنده ی اسپم اعلام نمایند.برای رفع این موضوع می توانید ایمیل های دریافتی را به پوشه ی هرزنامه انتقال دهید پس از تکرار این مورد(در صورت دریافت مجدد اسپم) یه طور خودکار دامنه ی مذکور اسپم شناخته می شود.
      در صورت عدم موفقیت این مورد و دریافت مجدد اسپم می توانید از قسمت فیلتر نامه دامنه ی مورد نظر را فیلتر نمایید تا به شکل خودکار ایمیل های ارسالی به هرزنامه منتقل شود.
      نسخه ی جدید چاپار نیز در حال آماده سازی است و به زودی رونمایی خواهد شد.

  6. حسین گفت:

    فعلا که پدر من رو هرزنامه ها در آوردن
    هرچی هم میزنم اینا اسپم هست هیچ فرقی نداره… روزی ده تا اسپم دارم
    بعد اینکه از موقعی که ورود دو مرحله رو فعال کردم دیگه نمی تونم ایمیل ام رو ببینم. از قسمت گزارش اشکال هم گزارش کردم فعلا نمی تونم وارد بشم هرچی کدی برایم میاد رو وارد می کنم میگه اشتباه هستش.

    • وبلاگ چاپار گفت:

      با درود واحترام
      در مورد هرزنامه می توانید از قسمت فیلترنامه یک فیلتر تعریف نموده و موارد مورد نظر را به عنوان هرزنامه معرفی کنید.
      برای ورود به ایمیل نیز با واحد پشتیبانی تماس بگیرید.۰۲۱۸۸۹۲۱۲۳۸

  7. ناشناس گفت:

    سلام
    نرم افزار چاپار خیلی باگ داره و کند عمل میکنه، به هیج وجه هم کار کردن باهاش ساده نیست. لطفا آپدیت جدید بزارید مخصوصا تو کافه بازار که متوجه بشیم. بنده سالهاست که ایمیل یاهو ی خودم رو به جهت اعتبار بخشی و کمک به ایمیل های ایرانی بستم، ولی واقعا دارم اذیت میشم و خسته شدم.

    • وبلاگ چاپار گفت:

      با درود و احترام
      در خصوص نرم افزار اندروید ، این نرم افزار فعلا در چرخه توسعه مجموعه نیست لیکن نرم افزارهای مختلفی برای اندروید و ios به صورت رایگان وجود دارد
      همچنین نسخه دوم ایمیل چاپار بخصوص برای موبایل های هوشمند و تبلت ها بسیار سفارشی سازی شده و مناسب است . امید است تا رقیبی مناسب برای
      app ها مدیریت ایمیل نیز باشد . به هر صورت بعید نیست که پس از ارایه نسخه دوم ، app برای موبایل نیز در دستور کار قرار گیرد.

  8. ابراهیم گفت:

    با سلام چرا برای من هیچ ایمیلی نمیاد هرچی برام می‌فرستن ب دستم نمیرسه

  9. جواد گفت:

    اگر ایمیلی یک سال ازش استفاده نکنیم حذف میشه ؟

  10. عبدالرضا مهدوی گفت:

    با درود فراوان ، در مرورگرهای مختلف در ویندوز ۱۰ هنگام ثبت اکانت و رمز برای ورود مشکل دارم. مشکل اصلی اینست که اعداد فارسی درج می شود و چاپار قادر به خواندن آنها نبوده و پیام اینکه ” کد کاربری وجود ندارد یا رمز وارد شده اشتباه است را میدهد . جالب است برای تغییر رمز هم عمل کردم اما کدی که پیامک می شود با اعداد فارسی درج می شود و پیام خطا می دهد.

    چکار کنم ؟؟؟؟؟؟؟

    • وبلاگ چاپار گفت:

      با درود و احترام
      درحال حاضر مشکلی وجود ندارد.
      در صورت بروز مشکل با شماره تلفن ۸۸۹۲۱۲۳۸ (واحد پشتیبانی) تماس حاصل فرمایید.

  11. پرویز گفت:

    چرا باز کردن ایمیل جدید میسر نمی شود و هر نام کاربری که تعیین می شود سایت نمی کند

    • وبلاگ چاپار گفت:

      کاربر گرامی با سلام
      ممکن است نام کاربری مورد نظر شما در سیستم موجود باشد لطفا به پیغام سیستم توجه کنید.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد.

*

code