Posbomaanvalle is een van die oudste tipes kuberaanvalle. In sy kern lyk dit soos 'n gewone DoS-aanval, maar in plaas van 'n vlaag versoeke van verskillende IP-adresse, word 'n vlaag e-posse na die bediener gestuur, wat in groot hoeveelhede by een van die e-posadresse aankom, waardeur die las daarop aansienlik toeneem. So 'n aanval kan lei tot die onvermoë om die posbus te gebruik, en soms selfs lei tot die mislukking van die hele bediener. Die lang geskiedenis van hierdie tipe kuberaanvalle het gelei tot 'n aantal positiewe en negatiewe gevolge vir stelseladministrateurs. Positiewe faktore sluit in die goeie kennis van posbomaanval en die beskikbaarheid van eenvoudige maniere om jouself teen so 'n aanval te beskerm. Die negatiewe faktore sluit in 'n groot aantal publiek beskikbare sagteware-oplossings vir die uitvoering van sulke tipe aanvalle en die vermoë vir 'n aanvaller om hulself betroubaar teen opsporing te beskerm.
’n Belangrike kenmerk van hierdie kuberaanval is dat dit byna onmoontlik is om dit vir wins te gebruik. Wel, die aanvaller het 'n vlaag e-posse na een van die posbusse gestuur, wel, hy het nie toegelaat dat die persoon e-pos normaal gebruik nie, wel, die aanvaller het in iemand se korporatiewe pos ingebreek en begin massas duisende briewe regdeur die GAL stuur, a.g.v. wat die bediener óf neergestort het óf begin vertraag het sodat dit onmoontlik geword het om dit te gebruik, en wat dan? Dit is byna onmoontlik om sulke kubermisdaad in regte geld te omskep, so posbomaanval is tans redelik skaars en stelseladministrateurs onthou dalk eenvoudig nie die behoefte om teen so 'n kuberaanval te beskerm wanneer hulle infrastruktuur ontwerp nie.
Ten spyte van die feit dat posbombardemente self 'n taamlik betekenislose aktiwiteit uit 'n kommersiële oogpunt is, is dit egter dikwels 'n integrale deel van ander, meer komplekse en multi-stadium kuberaanvalle. Byvoorbeeld, wanneer hulle pos hack en dit gebruik om 'n rekening in een of ander staatsdiens te kaap, "bom" aanvallers dikwels die slagoffer se posbus met betekenislose briewe sodat die bevestigingsbrief in hul stroom verlore raak en ongemerk bly. Posbomaanvalle kan ook gebruik word as 'n manier van ekonomiese druk op 'n onderneming. Aktiewe bombardering van 'n onderneming se publieke posbus, wat aansoeke van kliënte ontvang, kan dus werk met hulle ernstig bemoeilik en kan gevolglik lei tot stilstand van toerusting, onvoltooide bestellings, sowel as verlies aan reputasie en verlore winste.
Daarom moet die stelseladministrateur nie die moontlikheid van posbomaanval vergeet nie en altyd die nodige maatreëls tref om teen hierdie bedreiging te beskerm. As in ag geneem word dat dit gedoen kan word selfs in die stadium van die bou van die posinfrastruktuur, en ook dat dit baie min tyd en moeite van die stelseladministrateur verg, is daar eenvoudig geen objektiewe redes om nie jou infrastruktuur te voorsien van beskerming teen posbomaanval nie. . Kom ons kyk hoe beskerming teen hierdie kuberaanval in die Zimbra Collaboration Suite Open-Source Edition geïmplementeer word.
Zimbra is gebaseer op Postfix, een van die mees betroubare en funksionele oopbron-posoordragagente op die oomblik. En een van die belangrikste voordele van sy openheid is dat dit 'n wye verskeidenheid derdeparty-oplossings ondersteun om funksionaliteit uit te brei. Postfix ondersteun veral cbpolicyd, 'n gevorderde kuberveiligheidshulpmiddel vir posbedieners, ten volle. Benewens strooiposbeskerming en witlys, swartlys en gryslys, laat cbpolicyd die Zimbra-administrateur toe om SPF-handtekeningverifikasie op te stel, asook limiete op die ontvang en stuur van e-posse of data te stel. Hulle kan beide betroubare beskerming bied teen strooipos en uitvissing-e-posse, sowel as die bediener beskerm teen e-posbomaanval.
Die eerste ding wat van die stelseladministrateur vereis word, is die aktivering van die cbpolicyd-module, wat vooraf in die Zimbra Collaboration Suite OSE op die infrastruktuur MTA-bediener geïnstalleer is. Dit word gedoen met behulp van die zmprov ms `zmhostname` + zimbraServiceEnabled cbpolicyd opdrag. Daarna sal jy die webkoppelvlak moet aktiveer om cbpolicyd gemaklik te kan bestuur. Om dit te doen, moet jy verbindings op webpoort nommer 7780 toelaat, skep 'n simboliese skakel met die opdrag ln -s /opt/zimbra/common/share/webui /opt/zimbra/data/httpd/htdocs/webui, en wysig dan die instellingslêer met die nano-opdrag /opt/zimbra/data/httpd/htdocs/webui/includes/config.php, waar jy die volgende reëls moet skryf:
$DB_DSN="sqlite:/opt/zimbra/data/cbpolicyd/db/cbpolicyd.sqlitedb";
$DB_USER="wortel";
$DB_TABLE_PREFIX="";
Daarna bly dit net oor om die Zimbra- en Zimbra Apache-dienste te herbegin met behulp van die zmcontrol herbegin en zmapachectl herbegin opdragte. Daarna sal jy toegang hê tot die webkoppelvlak by :7780/webui/index.php. Die hoofnuanse is dat die ingang na hierdie webkoppelvlak nog nie op enige manier beskerm is nie, en om te verhoed dat ongemagtigde persone daarin kom, kan u eenvoudig verbindings op poort 7780 sluit na elke toegang tot die webkoppelvlak.
Om te beskerm teen die vloed van e-posse wat van die interne netwerk af kom, kan u kwotas gebruik om e-posse te stuur, wat gestel kan word danksy cbpolicyd. Sulke kwotas laat jou toe om 'n beperking te stel op die maksimum aantal briewe wat in een tydseenheid vanaf een posbus gestuur kan word. Byvoorbeeld, as bestuurders in jou besigheid 'n gemiddeld van 60-80 e-posse per uur stuur, kan jy 'n kwota van 100 e-posse per uur stel met 'n klein kopruimte. Om hierdie kwota uit te put, sal bestuurders elke 36 sekondes een brief moet stuur. Aan die een kant is dit genoeg om ten volle te werk, en aan die ander kant, met so 'n kwota, sal aanvallers wat toegang tot die pos van een van jou bestuurders verkry het, nie 'n posbomaanval of 'n massiewe strooiposaanval op die onderneming reël nie. .
Om so 'n kwota te stel, moet jy 'n nuwe e-posversendingbeperkingsbeleid in die webkoppelvlak skep en spesifiseer dat dit van toepassing is op beide e-posse wat binne die domein gestuur word en e-posse wat na eksterne adresse gestuur word. Dit word soos volg gedoen:
Daarna sal dit moontlik wees om die beperkings wat verband hou met die stuur van e-posse in meer besonderhede te spesifiseer, in die besonder, stel die tydsinterval in waarna die beperkings opgedateer sal word, asook die boodskap wat die gebruiker wat sy limiet oorskry het, sal ontvang. Daarna kan u die beperking op die stuur van briewe stel. Dit kan beide gestel word as die aantal uitgaande boodskappe, en as die aantal grepe van oorgedra inligting. Terselfdertyd tree anders op met briewe wat die aangewese limiet oorskry. So, byvoorbeeld, kan jy hulle eenvoudig onmiddellik uitvee, of jy kan hulle stoor sodat hulle onmiddellik verdwyn nadat die boodskapversendinglimiet opgedateer is. Die tweede opsie kan gebruik word wanneer die optimale waarde vir die limiet op die stuur van e-pos aan werknemers bepaal word.
Benewens die stuur van e-poslimiete, laat cbpolicyd u toe om 'n limiet op die ontvangs van e-posse te stel. So 'n limiet is met die eerste oogopslag 'n uitstekende oplossing om teen posbomaanval te beskerm, maar om so 'n limiet te stel, selfs al is dit groot, is belaai met die feit dat onder sekere omstandighede 'n belangrike brief jou dalk nie bereik nie. Dit is hoekom dit hoogs ontmoedig word om enige beperkings vir inkomende pos te aktiveer. As jy egter steeds besluit om 'n kans te waag, moet jy die vasstelling van die limiet vir inkomende boodskappe met spesiale aandag benader. Byvoorbeeld, jy kan die aantal inkomende e-posse van betroubare teenpartye beperk sodat as hul e-posbediener gekompromitteer word, dit nie jou besigheid sal strooipos nie.
Ten einde te beskerm teen 'n stortvloed van inkomende boodskappe van posbomaanval, moet die stelseladministrateur iets slimmer doen as om bloot inkomende pos te beperk. So 'n oplossing kan die gebruik van grys lyste wees. Die beginsel van hul werking is dat by die eerste poging om 'n boodskap van 'n onbetroubare sender af te lewer, die verbinding met die bediener skielik onderbreek word, waardeur die boodskaplewering misluk. As 'n onbetroubare bediener egter probeer om dieselfde e-pos weer binne 'n sekere tydperk te stuur, laat die bediener nie die verbinding los nie en is die aflewering daarvan suksesvol.
Die punt van al hierdie aksies is dat outomatiese grootmaat-e-posprogramme gewoonlik nie die sukses van die gestuurde boodskap nagaan nie en nie probeer om dit 'n tweede keer te stuur nie, terwyl die persoon sekerlik seker sal maak of sy brief na die adres gestuur is of nie .
U kan ook gryslys in die cbpolicyd-webkoppelvlak aktiveer. Om alles te laat werk, moet jy 'n beleid skep wat alle inkomende briewe wat aan gebruikers op ons bediener gerig is, sal insluit, en dan, gebaseer op hierdie beleid, 'n Gryslys-reël skep, waar jy die interval kan instel waartydens cbpolicyd sal wag vir 'n tweede reaksie van 'n onbekende sender. Gewoonlik is dit 4-5 minute. Terselfdertyd kan grys lyste gekonfigureer word sodat alle suksesvolle en onsuksesvolle pogings om briewe van verskillende senders af te lewer, in ag geneem word en, op grond van hul nommer, word besluit om die sender outomaties by die wit of swart lyste te voeg.
Ons vestig u aandag daarop dat die gebruik van grys lyste met die grootste verantwoordelikheid benader moet word. Dit sal die beste wees as die gebruik van hierdie tegnologie hand aan hand gaan met die voortdurende instandhouding van wit en swart lyste om die moontlikheid uit te sluit om briewe te verloor wat werklik belangrik is vir die onderneming.
Daarbenewens kan die byvoeging van SPF-, DMARC- en DKIM-tjeks help om teen e-posbomaanval te beskerm. Dikwels slaag briewe wat in die proses van posbomaanval kom nie sulke kontroles nie. Hoe om dit te doen is verduidelik .
Dit is dus redelik eenvoudig om jouself te beskerm teen so 'n bedreiging soos posbomaanval, en jy kan dit doen selfs in die stadium van die bou van die Zimbra-infrastruktuur vir jou onderneming. Dit is egter belangrik om voortdurend te verseker dat die risiko's van die gebruik van sulke beskerming nooit swaarder weeg as die voordele wat jy ontvang nie.
Bron: will.com