Bombardovanje poštom jedna je od najstarijih vrsta sajber napada. U osnovi liči na običan DoS napad, ali umjesto talasa zahtjeva sa različitih IP adresa, na server se šalje talas mejlova koji u ogromnim količinama stižu na jednu od email adresa, zbog čega se opterećenje na njemu se značajno povećava. Takav napad može dovesti do nemogućnosti korištenja poštanskog sandučeta, a ponekad čak i do kvara cijelog servera. Duga istorija ove vrste sajber napada dovela je do niza pozitivnih i negativnih posljedica po sistem administratore. Pozitivni faktori uključuju dobro poznavanje bombardovanja pošte i dostupnost jednostavnih načina da se zaštitite od takvog napada. Negativni faktori uključuju veliki broj javno dostupnih softverskih rješenja za izvođenje takvih vrsta napada i mogućnost da se napadač pouzdano zaštiti od otkrivanja.
Važna karakteristika ovog cyber napada je da ga je gotovo nemoguće iskoristiti za profit. Pa, napadač je poslao talas mejlova u jedan od poštanskih sandučića, pa, nije dozvolio osobi da koristi e-poštu normalno, pa, napadač je hakovao nečiju korporativnu poštu i počeo masovno da šalje hiljade pisama širom GAL-a, zbog koji se server ili srušio ili počeo usporavati tako da je postalo nemoguće koristiti ga, i šta onda? Gotovo je nemoguće pretvoriti takav cyber kriminal u pravi novac, tako da je bombardiranje pošte trenutno prilično rijetko i sistemski administratori se možda jednostavno ne sjećaju potrebe da se zaštite od takvog cyber napada prilikom dizajniranja infrastrukture.
Međutim, uprkos činjenici da je bombardovanje pošte samo po sebi prilično besmislena aktivnost sa komercijalne tačke gledišta, ono je često sastavni deo drugih, složenijih i višestepenih sajber napada. Na primjer, kada hakiraju poštu i koriste je za otmicu naloga na nekom javnom servisu, napadači često "bombardiraju" poštansko sanduče žrtve besmislenim slovima tako da se pismo potvrde izgubi u njihovom streamu i ostane neprimijećeno. Bombardovanje poštom se takođe može koristiti kao sredstvo ekonomskog pritiska na preduzeće. Dakle, aktivno bombardovanje javnog poštanskog sandučeta preduzeća, koji prima aplikacije od kupaca, može ozbiljno da zakomplikuje rad sa njima i, kao rezultat, može dovesti do zastoja opreme, neispunjenih narudžbi, kao i gubitka ugleda i izgubljene dobiti.
Zato administrator sistema ne treba zaboraviti na mogućnost bombardovanja pošte i uvijek poduzeti potrebne mjere za zaštitu od ove prijetnje. S obzirom na to da se to može uraditi još u fazi izgradnje mail infrastrukture, kao i da je potrebno vrlo malo vremena i truda administratora sistema, jednostavno ne postoje objektivni razlozi da svojoj infrastrukturi ne obezbijedite zaštitu od bombardovanja pošte. . Pogledajmo kako je zaštita od ovog cyber napada implementirana u Zimbra Collaboration Suite Open-Source Edition.
Zimbra je bazirana na Postfixu, jednom od trenutno najpouzdanijih i najfunkcionalnijih agenata za prijenos pošte otvorenog koda. A jedna od glavnih prednosti njegove otvorenosti je da podržava širok spektar rješenja trećih strana za proširenje funkcionalnosti. Konkretno, Postfix u potpunosti podržava cbpolicyd, napredni uslužni program za cyber sigurnost mail servera. Pored zaštite od neželjene pošte i bele liste, crne liste i sivih lista, cbpolicyd dozvoljava administratoru Zimbre da postavi SPF verifikaciju potpisa, kao i da postavi ograničenja za primanje i slanje e-pošte ili podataka. Oni mogu pružiti pouzdanu zaštitu od neželjene pošte i phishing e-pošte, kao i zaštititi server od bombardiranja e-pošte.
Prva stvar koja se traži od administratora sistema je aktivacija cbpolicyd modula, koji je unapred instaliran u Zimbra Collaboration Suite OSE na infrastrukturnom MTA serveru. Ovo se radi pomoću zmprov ms `zmhostname` + zimbraServiceEnabled cbpolicyd naredbe. Nakon toga, morat ćete aktivirati web sučelje kako biste mogli udobno upravljati cbpolicyd. Da biste to učinili, morate dozvoliti veze na web portu broj 7780, kreirati simboličku vezu pomoću naredbe ln -s /opt/zimbra/common/share/webui /opt/zimbra/data/httpd/htdocs/webui, a zatim uredite datoteku postavki pomoću nano komande /opt/zimbra/data/httpd/htdocs/webui/includes/config.php, gdje trebate napisati sljedeće redove:
$DB_DSN="sqlite:/opt/zimbra/data/cbpolicyd/db/cbpolicyd.sqlitedb";
$DB_USER="root";
$DB_TABLE_PREFIX="";
Nakon toga, ostaje samo ponovo pokrenuti Zimbra i Zimbra Apache usluge pomoću naredbi zmcontrol restart i zmapachectl restart. Nakon toga, imat ćete pristup web sučelju na adresi :7780/webui/index.php. Glavna nijansa je da ulaz u ovo web sučelje još nije ni na koji način zaštićen, a kako biste spriječili da neovlaštene osobe uđu u njega, možete jednostavno zatvoriti veze na portu 7780 nakon svakog ulaska u web sučelje.
Da biste se zaštitili od poplave e-mailova koji dolaze sa interne mreže, možete koristiti kvote za slanje e-pošte, koje možete podesiti zahvaljujući cbpolicyd. Takve kvote vam omogućavaju da postavite ograničenje maksimalnog broja pisama koja se mogu poslati iz jednog poštanskog sandučeta u jednoj jedinici vremena. Na primjer, ako menadžeri u vašem poslovanju šalju u prosjeku 60-80 e-poruka na sat, možete postaviti kvotu od 100 e-poruka na sat s malim prostorom. Kako bi iscrpili ovu kvotu, menadžeri će morati poslati jedno pismo svakih 36 sekundi. S jedne strane, ovo je dovoljno za potpuni rad, a s druge strane, s takvom kvotom, napadači koji su dobili pristup pošti jednog od vaših menadžera neće organizirati bombaški napad na poštu ili masovni napad neželjene pošte na preduzeće. .
Da biste postavili takvu kvotu, potrebno je da kreirate novu politiku ograničenja slanja e-pošte u web interfejsu i navedete da se ona odnosi i na e-poruke koje se šalju unutar domene i na mejlove poslane na eksterne adrese. To se radi na sljedeći način:
Nakon toga će biti moguće detaljnije odrediti ograničenja vezana za slanje e-pošte, posebno postaviti vremenski interval nakon kojeg će se ograničenja ažurirati, kao i poruku koju će primiti korisnik koji je prekoračio ograničenje. Nakon toga možete postaviti samo ograničenje slanja pisama. Može se podesiti i kao broj odlaznih poruka i kao broj bajtova prenesenih informacija. Istovremeno, sa pismima koja se šalju preko predviđenog limita postupajte drugačije. Tako, na primjer, možete ih jednostavno odmah izbrisati ili ih možete sačuvati tako da nestanu odmah nakon ažuriranja ograničenja slanja poruka. Druga opcija se može koristiti prilikom određivanja optimalne vrijednosti za ograničenje slanja e-pošte zaposlenima.
Osim ograničenja za slanje e-pošte, cbpolicyd vam omogućava da postavite ograničenje za primanje e-pošte. Takvo ograničenje, na prvi pogled, predstavlja odlično rješenje za zaštitu od bombardiranja pošte, međutim, u stvari, postavljanje takvog ograničenja, čak i ako je veliko, preplavljeno je činjenicom da pod određenim uvjetima važno pismo možda neće stići do vas . Zato se toplo preporučuje da ne omogućite nikakva ograničenja za dolaznu poštu. Međutim, ako se ipak odlučite za šansu, potrebno je s posebnom pažnjom pristupiti postavljanju ograničenja dolaznih poruka. Na primjer, možete ograničiti broj dolaznih e-poruka od pouzdanih partnera tako da, ako je njihov server e-pošte kompromitovan, ne bi spam vaše poslovanje.
Da bi se zaštitio od baraža dolaznih poruka od bombardovanja pošte, administrator sistema bi trebao učiniti nešto pametnije od jednostavnog ograničavanja dolazne pošte. Takvo rješenje bi moglo biti korištenje sivih lista. Princip njihovog rada je da se pri prvom pokušaju dostave poruke od nepouzdanog pošiljaoca naglo prekida veza sa serverom, zbog čega dostava poruke ne uspijeva. Međutim, ako nepouzdani server pokuša ponovo poslati istu e-poštu u određenom periodu, server neće prekinuti vezu i njena isporuka je uspješna.
Poenta svih ovih radnji je da automatski programi za masovnu e-poštu obično ne provjeravaju uspješnost poslane poruke i ne pokušavaju je poslati drugi put, dok će se osoba sigurno uvjeriti da li je njeno pismo poslano na adresu ili ne. .
Takođe možete omogućiti sivu listu u web interfejsu cbpolicyd. Da bi sve funkcionisalo potrebno je da kreirate politiku koja će uključivati sva dolazna pisma upućena korisnicima na našem serveru, a zatim na osnovu ove politike kreirati pravilo Greylisting, gde možete da konfigurišete interval tokom kojeg će cbpolicyd čekati za drugi odgovor od nepoznatog pošiljaoca. Obično je to 4-5 minuta. Istovremeno, sive liste se mogu konfigurisati tako da se uzmu u obzir svi uspješni i neuspjeli pokušaji dostave pisama različitih pošiljalaca i na osnovu njihovog broja donosi se odluka da se pošiljalac automatski doda na bijelu ili crnu listu.
Skrećemo vam pažnju da upotrebi sivih lista treba pristupiti s najvećom odgovornošću. Najbolje bi bilo da upotreba ove tehnologije ide ruku pod ruku sa stalnim održavanjem bijelih i crnih lista kako bi se isključila mogućnost gubljenja slova koja su zaista važna za poduzeće.
Dodatno, dodavanje SPF, DMARC i DKIM provjera može pomoći u zaštiti od bombardiranja putem e-pošte. Često pisma koja dolaze u procesu bombardovanja pošte ne prolaze takve provjere. Objašnjeno je kako se to radi .
Stoga je prilično jednostavno zaštititi se od takve prijetnje kao što je bombardiranje pošte, a to možete učiniti čak iu fazi izgradnje Zimbra infrastrukture za vaše preduzeće. Međutim, važno je stalno osigurati da rizici korištenja takve zaštite nikada ne nadmašuju koristi koje dobijate.
izvor: www.habr.com