email security
play

Email Security Guevara Noubir Network Security - PowerPoint PPT Presentation

Oct 19, 2023 •206 likes •360 views

Email Security Guevara Noubir Network Security Northeastern University Email Security 1 Email One of the most widely used applica>ons of the

  1. Email ¡Security ¡ Guevara ¡Noubir ¡ Network ¡Security ¡ Northeastern ¡University ¡ Email ¡Security ¡ 1 ¡

  2. Email ¡ • One ¡of ¡the ¡most ¡widely ¡used ¡applica>ons ¡of ¡ the ¡Internet ¡but ¡s>ll ¡rela>vely ¡insecure ¡ – Designed ¡without ¡security ¡concerns ¡ • How ¡does ¡email ¡work? ¡ • How ¡to ¡provide ¡important ¡security ¡services ¡ – Confiden>ality, ¡authen>ca>on, ¡integrity, ¡etc. ¡ • Spam ¡resiliency ¡ ¡ Email ¡Security ¡ 2 ¡

  3. How ¡Email ¡Works ¡ • Architecture ¡ – Mail ¡User ¡Agent ¡(MUA): ¡client ¡ – Mail ¡Sending ¡Agent ¡(MSA): ¡server ¡on ¡sender ¡side ¡ – Mail ¡Transfer ¡Agent ¡(MTA): ¡server ¡on ¡sender/recipient ¡side ¡ – Mail ¡Delivery ¡Agent ¡(MDA): ¡responsible ¡for ¡deliver ¡to ¡recipient’s ¡MUA ¡ • Opera>on ¡ – Client ¡submits ¡message ¡MUA ¡<–> ¡MSA ¡ • telnet mail.ccs.neu.edu 25 � – MSA ¡sends ¡message ¡to ¡MTA ¡; ¡forwarded ¡to ¡recipient ¡MTA ¡ • Recipient ¡MTA ¡found ¡through ¡DNS ¡system ¡( dig @8.8.8.8 ccs.neu.edu MX ) ¡ – MUA ¡retrieves ¡email ¡using ¡POP3 ¡or ¡IMAP ¡protocols ¡ Email ¡Security ¡ 3 ¡

  4. Security ¡Services: ¡Issues ¡& ¡Solu>ons ¡ Confiden>ality ¡ • – Traffic ¡not ¡encrypted ¡can ¡be ¡redirected ¡and ¡intercepted ¡(See ¡MITM ¡lab) ¡ Authen>ca>on/Integrity ¡ • – Messages ¡can ¡be ¡fabricated, ¡modified, ¡trust ¡in ¡DNS ¡system ¡ Addi>onal ¡services: ¡ • – Non-­‑repudia>on, ¡proof ¡of ¡submission, ¡proof ¡of ¡delivery, ¡anonymity, ¡message ¡ flow ¡confiden>ality ¡ • Solu>ons ¡ – @Transport ¡Layer: ¡SSL/TLS ¡between ¡sender ¡client/local ¡server/des>na>on ¡ server/recipient ¡ • Implica>ons? ¡ – @Applica>on ¡Layer: ¡end-­‑to-­‑end ¡confiden>ality ¡and ¡integrity ¡protec>on ¡ • Authen>ca>on ¡of ¡sending ¡user ¡vs. ¡authen>ca>on ¡of ¡sending ¡mail ¡transfer ¡agent ¡ • Examples: ¡PGP, ¡S/MIME, ¡DKIM ¡ • Implica>ons? ¡ Email ¡Security ¡ 4 ¡

  5. End-­‑to-­‑End ¡Confiden>ality ¡ • With ¡symmetric ¡keys ¡ ¡ • With ¡asymmetric ¡keys ¡ ¡(public ¡key ¡ cryptography) ¡ • Single ¡des>na>on, ¡mul>ple ¡des>na>ons, ¡ mailing ¡lists ¡ Email ¡Security ¡ 5 ¡

  6. End-­‑to-­‑end ¡Authen>ca>on/Integrity ¡ • With ¡symmetric ¡keys ¡ • With ¡asymmetric ¡keys ¡ ¡(public ¡key ¡ cryptography) ¡ Email ¡Security ¡ 6 ¡

  7. Addi>onal ¡Security ¡Services ¡ • Non-­‑repudia>on ¡ – With ¡asymmetric ¡keys ¡(public ¡key ¡cryptography) ¡ – With ¡and ¡without ¡plausible ¡deniability ¡ • Proof ¡of ¡submission ¡ – With ¡coopera>on ¡of ¡MSA/MTA ¡(stronger ¡than ¡regular ¡mail ¡ service) ¡ • Proof ¡of ¡delivery ¡ – Requires ¡coopera>on ¡of ¡recipient ¡ – Not ¡possible ¡to ¡provide ¡a ¡receipt ¡if ¡and ¡only ¡if ¡recipient ¡got ¡the ¡ message ¡ • Anonymity ¡ – Mixing? ¡easier ¡solu>ons ¡today ¡ ¡ Email ¡Security ¡ 7 ¡

  8. PEM, ¡S/MIME, ¡PGP ¡ PEM, ¡S/MIME ¡PGP ¡allow ¡addi>onal ¡security ¡services ¡ • Privacy ¡Enhanced ¡Mail ¡(RFC ¡1421-­‑ ¡1424) ¡ • – Provides ¡a ¡way ¡to ¡integrate ¡confiden>ality, ¡authen>ca>on/integrity ¡services ¡within ¡mail ¡ system ¡ – Not ¡used ¡much ¡today ¡because ¡of ¡CA, ¡evolved ¡into ¡S/MIME ¡ PEM ¡message ¡ • ¡ -----BEGIN PRIVACY-ENHANCED MESSAGE----- . . . -----END PRIVACY-ENHANCED MESSAGE----- Types ¡of ¡data ¡ • – ordinary, ¡unsecured ¡ ¡ – integrity-­‑protected, ¡unmodified ¡(MIC-­‑CLEAR) ¡ – integrity-­‑protected, ¡encoded ¡(MIC-­‑ONLY) ¡ – encrypted, ¡integrity-­‑protected, ¡encoded ¡(ENCRYPTED) ¡ Single ¡root ¡cer>fica>on ¡authority ¡ • Email ¡Security ¡ 8 ¡

  9. Secure/Mul>purpose ¡Internet ¡Mail ¡Extension ¡ • MIME ¡specifies ¡a ¡standard ¡way ¡of ¡encoding ¡ arbitrary ¡data ¡in ¡email ¡(e.g., ¡picture ¡ajachments) ¡ – S/MIME ¡specifies ¡the ¡security ¡related ¡header ¡ ¡ – Incorporated ¡into ¡MIME ¡=> ¡no ¡addi>onal ¡encoding ¡ • Any ¡sequence ¡of ¡sign ¡& ¡encrypt ¡is ¡supported ¡ – Each ¡as ¡a ¡recursive ¡MIME ¡encapsula>on ¡ • Has ¡more ¡op>ons ¡than ¡PEM ¡ • ASN.1 ¡header ¡encoding ¡ • No ¡prescribed ¡cer>fica>on ¡hierarchy ¡ • Has ¡a ¡good ¡prospect ¡of ¡deployment ¡for ¡commercial ¡ & ¡organiza>onal ¡usage ¡ 9 ¡ Email ¡Security ¡

  10. Prejy ¡Good ¡Privacy ¡(PGP) ¡ • Similar ¡to ¡S/MIME ¡ ¡ – with ¡a ¡more ¡complex ¡history ¡ • Major ¡difference: ¡web ¡of ¡trust ¡graph ¡ – Par>al ¡trust, ¡mul>ple ¡paths ¡ • Issues ¡ – In ¡theory ¡would ¡be ¡safer ¡than ¡PEM ¡ – Difficult ¡to ¡operate ¡in ¡prac>ce ¡ Email ¡Security ¡ 10 ¡

  11. Spam ¡ • For ¡years ¡spam ¡has ¡been ¡a ¡major ¡problem ¡of ¡email ¡ – Es>mated ¡to ¡be ¡94% ¡of ¡emails ¡ – From ¡a ¡nuisance ¡to ¡a ¡threat ¡ • How? ¡ – Harves>ng/buying ¡addresses ¡ – Sending ¡through ¡open ¡relays, ¡proxies, ¡crea>ng ¡webmail ¡accounts ¡ (circumven>ng ¡CAPTCHAs), ¡malware, ¡spambots, ¡hijacking ¡IP ¡blocks ¡ • Why? ¡Spam ¡economics ¡ – Even ¡with ¡a ¡currently ¡es>mated ¡conversion ¡rate ¡of ¡10 -­‑7 ¡s>ll ¡interes>ng ¡ Email ¡Security ¡ 11 ¡

  12. An>-­‑Spam ¡ • Current ¡solu>ons: ¡ – Black/white ¡lis>ng ¡IP ¡addresses ¡(e.g., ¡zombie ¡computers, ¡addresses ¡ that ¡sent ¡spam ¡to ¡honeypots, ¡ISP ¡willingly ¡hos>ng ¡spammers) ¡ – Signatures/content ¡matching ¡rules ¡ ¡ – HashCash: ¡add ¡header ¡ ¡ X-­‑Hashcash: ¡1:20:101130:noubir@ccs.neu.edu::HdG5s/(oiuU7Ht7b:ePa ¡ – Distributed ¡Checksum ¡Clearinghouse: ¡message ¡fuzzy ¡checksum ¡is ¡sent ¡ to ¡DCC ¡to ¡check ¡how ¡many ¡>mes ¡it ¡appeared ¡ ¡ – Sender ¡Policy ¡Framework: ¡specify ¡who ¡can ¡send ¡email ¡from ¡a ¡domain ¡ (relies ¡on ¡TXT/SPF ¡DNS ¡record) ¡ dig ¡@8.8.8.8 ¡neu.edu ¡ANY ¡ – Example ¡of ¡sosware ¡combining ¡these ¡techniques: ¡spamassassin ¡ Email ¡Security ¡ 12 ¡

  13. Sending ¡MTA ¡Authen>ca>on ¡ • DomainKeys ¡Iden>fied ¡Mail ¡(DKIM ¡RFC ¡4871, ¡2007) ¡ – DomainKeys ¡ini>ated ¡by ¡ ¡Yahoo!, ¡today ¡a ¡IETF ¡standard ¡DKIM ¡ • The ¡sending ¡MTA ¡adds ¡a ¡signature ¡to ¡the ¡message ¡ – MIME ¡header ¡ – Public ¡key ¡can ¡be ¡retrieved ¡through ¡DNS ¡system ¡ ¡dig ¡@8.8.8.8 ¡s1024._domainkey.yahoo.com ¡any ¡ ¡dig ¡@8.8.8.8 ¡gamma._domainkey.gmail.com ¡any ¡ • Example: ¡ DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; � d=gmail.com; s=gamma; � h=domainkey-signature:mime-version:received:received:date:message-id � :subject:from:to:content-type; � bh=cvC34ODyPB/uEHubbDQQmwxZfqZboGjW5gpY4W6DuzE=; � b=ASsElEtXCmM/x3aL38Efnvi9xDrBdleaaBqd24f7XS49pRzhXK/7Vak9+LyLLcN89e � GZ7SZi7swY2xIlt3zJTiGrGif0bfQdf7LvlP12g53nczhBBRa8McBVtdK9+ImAZByg8o � oEM4INNjMvdhXi9MVXtntkvmsTmWitAJxZgQQ= � DomainKey-Signature: a=rsa-sha1; c=nofws; � d=gmail.com; s=gamma; � h=mime-version:date:message-id:subject:from:to:content-type; � b=JFWiE0YlmWxu+Sq4OJ9Ef5k3rjbZQ51dGEyaFyvKJYR8NkoGrNoPIUq5f29ld8P0AD � Lg058evTVeuWxvfPQfa7K65J9AjEQt5U8d9zBKFfxRAz1h5nr7k2kCLRMnhbqVTkiOIS � Email ¡Security ¡ 13 ¡ OUfxIQeMfgbYz0ydCgerEnfGreKMQIYax+dpo= �

  14. Summary ¡ • Email ¡applica>on ¡was ¡designed, ¡and ¡deployed ¡ – without ¡security ¡in ¡mind ¡ – over ¡an ¡insecure ¡Internet ¡ – not ¡well ¡understood ¡threats ¡ • Several ¡security ¡services ¡have ¡been ¡proposed ¡ with ¡varying ¡levels ¡of ¡acceptance ¡ – Transport ¡layer ¡security ¡ – Applica>on ¡level ¡security ¡ • End-­‑to-­‑end, ¡MTA ¡authen>ca>on, ¡etc. ¡ • S>ll ¡vulnerable ¡e.g., ¡DNS ¡poisoning ¡ Email ¡Security ¡ 14 ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Security by Any Other Name: On the Effectiveness of Provider Based Email Security Ian Foster,

Security by Any Other Name: On the Effectiveness of Provider Based Email Security Ian Foster,

Security by Any Other Name: On the Effectiveness of Provider Based Email Security Ian Foster, Jon Larson, Max Masich, Alex C. Snoeren, Stefan Savage, and Kirill Levchenko University of California, San Diego Recent Email Communications

449 views • 28 slides
E-Safe NCAA Email il Security Scott Berding Trivia The email security market is a mature

E-Safe NCAA Email il Security Scott Berding Trivia The email security market is a mature

E-Safe NCAA Email il Security Scott Berding Trivia The email security market is a mature market with single digit growth? False Its an $18B market growing at 22% Trivia #1 reason for non-adoption of Office 365 is security concerns?

518 views • 47 slides
How to Identify a Phishing Email Brought to you by Information Security Services An email address

How to Identify a Phishing Email Brought to you by Information Security Services An email address

How to Identify a Phishing Email Brought to you by Information Security Services An email address that tries to disguise itself as legitimate A generic greeting An email that demands immediate action CWU warning message indicates the email

268 views • 8 slides
Cloud-based email security and filtering Index 1. Email Challenges in Corporate Environments

Cloud-based email security and filtering Index 1. Email Challenges in Corporate Environments

Cloud-based email security and filtering Index 1. Email Challenges in Corporate Environments Problems Needs 2. The solution: Email Protection What is it? Benefits Features Email Protection 24/06/2015 2 Email Challenges

143 views • 11 slides
Neither Snow Nor Rain Nor MITM... Real World Email Delivery Security Zakir Durumeric

Neither Snow Nor Rain Nor MITM... Real World Email Delivery Security Zakir Durumeric

Neither Snow Nor Rain Nor MITM... Real World Email Delivery Security Zakir Durumeric University of Michigan How is your everyday email protected? Neither Snow Nor Rain Nor MITM... An Empirical Analysis of Email Delivery Security

943 views • 44 slides
Mailfence Reclaim your email privacy A SECURE AND PRIVATE EMAIL Mohammad Salman Nadeem

Mailfence Reclaim your email privacy A SECURE AND PRIVATE EMAIL Mohammad Salman Nadeem

Mailfence Reclaim your email privacy A SECURE AND PRIVATE EMAIL Mohammad Salman Nadeem Information security analyst Mailfence 31 March 2017 Why did email encryption never take off? Why email data needs to be protected? Email

362 views • 10 slides
Electronic Mail Security December 7, 2000 email 2 Characteristics File transfer, except. . .

Electronic Mail Security December 7, 2000 email 2 Characteristics File transfer, except. . .

email 1 Electronic Mail Security December 7, 2000 email 2 Characteristics File transfer, except. . . sender, receiver may not be present at the same time diversity (character sets, headers, . . . ) not a transparent channel (8 bit

677 views • 32 slides
Tech Briefing Email Security (Phishing) VPN File Storage Phishing Awareness What is Phishing?

Tech Briefing Email Security (Phishing) VPN File Storage Phishing Awareness What is Phishing?

Tech Briefing Email Security (Phishing) VPN File Storage Phishing Awareness What is Phishing? Phishing email messages, websites, and phone calls are designed to steal money or sensitive information. Cybercriminals can do this by installing

264 views • 24 slides
Email Delivery Security Zakir Durumeric et al. ACM IMC 2015 Slides Credit: Sogand Sadrhaghighi

Email Delivery Security Zakir Durumeric et al. ACM IMC 2015 Slides Credit: Sogand Sadrhaghighi

An Empirical Analysis of Email Delivery Security Zakir Durumeric et al. ACM IMC 2015 Slides Credit: Sogand Sadrhaghighi 1 Motivation How is your everyday email protected? 2 SMTP (Simple Mail Transfer Protocol) SMTP is the Internet

965 views • 16 slides
Verifying email security techniques for Dutch organizations Student: Vincent van Dongen

Verifying email security techniques for Dutch organizations Student: Vincent van Dongen

Verifying email security techniques for Dutch organizations Student: Vincent van Dongen Supervised by: Ralph Dolmans, George Thessalonikefs (NLnet Labs) Security and Network Engineering (UvA) Master Thesis, 3 July 2018 Vincent van Dongen (UvA)

187 views • 17 slides
CSE543 - Introduction to Computer and Network Security Module: Email Security Professor Patrick

CSE543 - Introduction to Computer and Network Security Module: Email Security Professor Patrick

334 views • 29 slides
SMTP [in]Security Ian Foster Jon Larson Goals 1. Does the global email system currently

SMTP [in]Security Ian Foster Jon Larson Goals 1. Does the global email system currently

SMTP [in]Security Ian Foster Jon Larson Goals 1. Does the global email system currently provide security against passive adversary (eavesdropper)? 2. Against an active adversary (man in the middle)? Brief History of SMTP Many standards

662 views • 22 slides
SaaS Email Working Group John Connor, Rathini Vijayaverl IT Security Specialists, OISM, NIST

SaaS Email Working Group John Connor, Rathini Vijayaverl IT Security Specialists, OISM, NIST

Google Groups Assessment a and Authorization Lessons L Learn rned SaaS Email Working Group John Connor, Rathini Vijayaverl IT Security Specialists, OISM, NIST Meeting February 13, 2018 Federal Computer Security Managers Forum Meeting

548 views • 28 slides
RP2: Automated end-to-end email component testing MSc. Security &amp; Network Engineering Kevin

RP2: Automated end-to-end email component testing MSc. Security &amp; Network Engineering Kevin

RP2: Automated end-to-end email component testing MSc. Security &amp; Network Engineering Kevin Csuka, Isaac Klop October 16, 2018 University of Amsterdam Supervisor: Michiel Leenaars, NLnet Intro 1 Intro E-mail software is complex

951 views • 27 slides
Neither Snow Nor Rain Nor MITM... An Empirical Analysis of Email Delivery Security Zakir

Neither Snow Nor Rain Nor MITM... An Empirical Analysis of Email Delivery Security Zakir

Neither Snow Nor Rain Nor MITM... An Empirical Analysis of Email Delivery Security Zakir Durumeric, David Adrian, Ariana Mirian, James Kasten, Kurt Thomas, Vijay Eranti, Nicholas Lidzborski, Elie Bursztein, Michael Bailey, J. Alex

522 views • 33 slides
Neither Snow Nor Rain Nor MITM... An Empirical Analysis of Email Delivery Security Nicolas

Neither Snow Nor Rain Nor MITM... An Empirical Analysis of Email Delivery Security Nicolas

Neither Snow Nor Rain Nor MITM... An Empirical Analysis of Email Delivery Security Nicolas Lidzborski, Elie Bursztein, Kurt Thomas, Vijay Eranti ( Google ) Zakir Durumeric, David Adrian, Ariana Mirian, James Kasten, J. Alex Halderman ( University

432 views • 25 slides
Giuseppe Giordano and Jonas Sj oberg Department of Signals and Systems Maximum Likelihood

Giuseppe Giordano and Jonas Sj oberg Department of Signals and Systems Maximum Likelihood

Giuseppe Giordano and Jonas Sj oberg Department of Signals and Systems Maximum Likelihood identification of Wiener-Hammerstein model in presence of process noise Chalmers University of Technology Outline 2 / 16 Motivation 1

1.62k views • 50 slides
Webinar European Fuel Cell micro-CHP Market Fuel cells in buildings: an easy plug-and-play

Webinar European Fuel Cell micro-CHP Market Fuel cells in buildings: an easy plug-and-play

PACE Pathway to a Competitive Webinar European Fuel Cell micro-CHP Market Fuel cells in buildings: an easy plug-and-play solution to reduce energy costs and emissions 16 June 2020 What and why fuel cell micro-Cogeneration? Heating and

197 views • 6 slides
SPKI/SDSI 2.0 A Simple Distributed Security Infrastructure by Ronald L. Rivest MIT Lab for

SPKI/SDSI 2.0 A Simple Distributed Security Infrastructure by Ronald L. Rivest MIT Lab for

SPKI/SDSI 2.0 A Simple Distributed Security Infrastructure by Ronald L. Rivest MIT Lab for Computer Science (Joint work with Butler Lampson and Carl Ellison) 1 1 1 Outline context and history motivation and goals syntax

973 views • 38 slides
Hacking (with) a TPM Dont ask what you can do for TPMs, ask what TPMs can do for you

Hacking (with) a TPM Dont ask what you can do for TPMs, ask what TPMs can do for you

Hacking (with) a TPM Dont ask what you can do for TPMs, ask what TPMs can do for you AndreasFuchsSIT (@Github) tpm2-software.github.io $ whoami / Full Disclosure Working on TPMs for Fraunhofer-SIT, some sponsored by Infjneon with

1.06k views • 18 slides
Models for LTI systems LTI system stands for linear time invariant system Model describing LTI

Models for LTI systems LTI system stands for linear time invariant system Model describing LTI

Models for LTI systems LTI system stands for linear time invariant system Model describing LTI system using an input-output relation y k = G ( q ) u k + H ( q ) e k with output (time) series y = { y k : k = 0 , 1 , . . . , N } input (time) series

1.28k views • 91 slides
DIGITALLY DRIVEN WORLD In todays digitized world, connecting its systems is a must for any

DIGITALLY DRIVEN WORLD In todays digitized world, connecting its systems is a must for any

SSO . SINGLE SIGN ON ACROSS DRUPAL 8. I w a n t h a L e k a m g e | A s s o c i a t e T e c h n i c a l L e a d | W S O 2 DIGITALLY DRIVEN WORLD In todays digitized world, connecting its systems is a must for any organization.

674 views • 30 slides
CACHE-TIMING ATTACKS ON RSA KEY GENERATION Conference on Cryptographic Hardware and Embedded

CACHE-TIMING ATTACKS ON RSA KEY GENERATION Conference on Cryptographic Hardware and Embedded

CACHE-TIMING ATTACKS ON RSA KEY GENERATION Conference on Cryptographic Hardware and Embedded Systems (CHES) 2019 Alejandro Cabrera Aldaya 1 , Cesar Pereida Garca 2 , Luis Manuel Alvarez Tapia 1 , Billy Bob Brumley 2 , {aldaya,

371 views • 21 slides
SSH with Go SSH with Go GoSF Meetup GoSF Meetup 25 August 2016 25 August 2016 Chris Roche

SSH with Go SSH with Go GoSF Meetup GoSF Meetup 25 August 2016 25 August 2016 Chris Roche

SSH with Go SSH with Go GoSF Meetup GoSF Meetup 25 August 2016 25 August 2016 Chris Roche Chris Roche Software Engineer, Lyft Software Engineer, Lyft Who am I? Who am I? Core Services Team at Lyft Core Services Team at Lyft Libraries

538 views • 15 slides

More recommend