El bombardeig de correu electrònic és un dels tipus més antics d'atacs cibernètics. En el seu nucli, s'assembla a un atac DoS normal, només que en lloc d'una onada de sol·licituds de diferents adreces IP, s'envia una onada de correus electrònics al servidor, que arriben en grans quantitats a una de les adreces de correu electrònic, per la qual cosa la càrrega en ell augmenta significativament. Aquest atac pot provocar la impossibilitat d'utilitzar la bústia i, de vegades, fins i tot pot provocar la fallada de tot el servidor. La llarga història d'aquest tipus de ciberatacs ha comportat una sèrie de conseqüències positives i negatives per als administradors del sistema. Els factors positius inclouen un bon coneixement del bombardeig de correu electrònic i la disponibilitat de maneres senzilles de protegir-se d'aquest atac. Els factors negatius inclouen un gran nombre de solucions de programari disponibles públicament per dur a terme aquest tipus d'atacs i la capacitat per a un atacant de protegir-se de manera fiable de la detecció.
Una característica important d'aquest ciberatac és que és gairebé impossible utilitzar-lo amb ànim de lucre. Bé, l'atacant va enviar una onada de correus electrònics a una de les bústies de correu, bé, no va permetre que la persona utilitzés el correu electrònic amb normalitat, bé, l'atacant va piratejar el correu electrònic corporatiu d'algú i va començar a enviar en massa milers de cartes a tot el GAL, que és per què el servidor es va estavellar o va començar a alentir-se de manera que es va fer impossible utilitzar-lo, i què després? És gairebé impossible convertir un delicte cibernètic d'aquest tipus en diners reals, de manera que el simple bombardeig de correu electrònic és actualment un fet força rar i els administradors del sistema, quan dissenyen la infraestructura, poden simplement no recordar la necessitat de protegir-se d'aquest atac cibernètic.
Tanmateix, tot i que el bombardeig de correu electrònic en si és un exercici força inútil des d'un punt de vista comercial, sovint forma part d'altres atacs cibernètics més complexos i en diverses etapes. Per exemple, quan pirategen el correu i l'utilitzen per segrestar un compte en algun servei públic, els atacants sovint "bombardegen" la bústia de la víctima amb lletres sense sentit perquè la carta de confirmació es perdi al seu flux i passi desapercebuda. El bombardeig de correu també es pot utilitzar com a mitjà de pressió econòmica sobre una empresa. Així, el bombardeig actiu de la bústia pública d'una empresa, que rep sol·licituds dels clients, pot complicar seriosament el treball amb ells i, com a resultat, pot provocar temps d'inactivitat de l'equip, comandes no satisfets, així com pèrdua de reputació i pèrdua de beneficis.
És per això que l'administrador del sistema no s'ha d'oblidar de la probabilitat d'un atac de correu electrònic i prendre sempre les mesures necessàries per protegir-se d'aquesta amenaça. Tenint en compte que això es pot fer en l'etapa de construcció de la infraestructura de correu, i també que requereix molt poc temps i mà d'obra per part de l'administrador del sistema, simplement no hi ha raons objectives per no proporcionar la vostra infraestructura amb protecció contra el bombardeig de correu. Fem una ullada a com s'implementa la protecció contra aquest ciberatac a Zimbra Collaboration Suite Open-Source Edition.
Zimbra es basa en Postfix, un dels agents de transferència de correu de codi obert més fiables i funcionals disponibles actualment. I un dels principals avantatges de la seva obertura és que admet una gran varietat de solucions de tercers per ampliar la funcionalitat. En particular, Postfix admet totalment cbpolicyd, una utilitat avançada per garantir la ciberseguretat del servidor de correu. A més de la protecció contra el correu brossa i la creació de llistes blanques, llistes negres i llistes grises, cbpolicyd permet a l'administrador de Zimbra configurar la verificació de signatura SPF, així com establir restriccions per rebre i enviar correus electrònics o dades. Ambdós poden proporcionar una protecció fiable contra correu brossa i phishing, i protegir el servidor del bombardeig de correu electrònic.
El primer que es requereix de l'administrador del sistema és activar el mòdul cbpolicyd, que està preinstal·lat a Zimbra Collaboration Suite OSE al servidor MTA d'infraestructura. Això es fa mitjançant l'ordre zmprov ms `zmhostname` +zimbraServiceEnabled cbpolicyd. Després d'això, haureu d'activar la interfície web per poder gestionar còmodament cbpolicyd. Per fer-ho, heu de permetre connexions al port web número 7780, crear un enllaç simbòlic mitjançant l'ordre ln -s /opt/zimbra/common/share/webui /opt/zimbra/data/httpd/htdocs/webuii, a continuació, editeu el fitxer de configuració mitjançant l'ordre nano /opt/zimbra/data/httpd/htdocs/webui/includes/config.php, on cal escriure les línies següents:
$DB_DSN="sqlite:/opt/zimbra/data/cbpolicyd/db/cbpolicyd.sqlitedb";
$DB_USER="arrel";
$DB_TABLE_PREFIX="";
Després d'això, només queda reiniciar els serveis Zimbra i Zimbra Apache mitjançant les ordres zmcontrol restart i zmapachectl restart. Després d'això, tindreu accés a la interfície web a :7780/webui/index.php. El matís principal és que l'entrada a aquesta interfície web encara no està protegida de cap manera i per evitar que persones no autoritzades hi entrin, simplement podeu tancar connexions al port 7780 després de cada entrada a la interfície web.
Podeu protegir-vos de l'allau de correus electrònics procedents de la xarxa interna utilitzant quotes d'enviament de correus electrònics, que es poden configurar gràcies a cbpolicyd. Aquestes quotes us permeten establir un límit al nombre màxim de cartes que es poden enviar des d'una bústia en una unitat de temps. Per exemple, si els responsables de la vostra empresa envien una mitjana de 60-80 correus electrònics per hora, podeu establir una quota de 100 correus electrònics per hora, tenint en compte un petit marge. Per assolir aquesta quota, els gestors hauran d'enviar un correu electrònic cada 36 segons. D'una banda, això n'hi ha prou per funcionar completament, i d'altra banda, amb aquesta quota, els atacants que hagin obtingut accés al correu d'un dels vostres gestors no llançaran un atac de correu brossa ni un atac massiu de correu brossa a l'empresa.
Per establir aquesta quota, heu de crear una nova política de restricció d'enviament de correu electrònic a la interfície web i especificar que s'aplica tant a les cartes enviades dins del domini com a les cartes enviades a adreces externes. Això es fa de la següent manera:
Després d'això, podeu especificar amb més detall les restriccions associades a l'enviament de cartes, en particular, establir l'interval de temps després del qual s'actualitzaran les restriccions, així com el missatge que rebrà un usuari que hagi superat el seu límit. Després d'això, podeu establir la restricció d'enviament de cartes. Es pot configurar tant com el nombre de lletres sortints com el nombre de bytes d'informació transmesa. Al mateix temps, les cartes que s'enviïn per sobre del límit designat s'han de tractar de manera diferent. Així, per exemple, simplement podeu suprimir-los immediatament, o bé podeu desar-los perquè s'enviïn immediatament després d'actualitzar el límit d'enviament de missatges. La segona opció es pot utilitzar per determinar el valor òptim del límit per enviar correus electrònics per part dels empleats.
A més de les restriccions per enviar cartes, cbpolicyd us permet establir un límit per rebre cartes. Aquesta limitació, a primera vista, és una solució excel·lent per protegir-se del bombardeig de correu electrònic, però, de fet, establir un límit d'aquest tipus, fins i tot un gran, està ple del fet que, en determinades condicions, pot ser que no us arribi una carta important. És per això que no es recomana activar cap restricció per al correu entrant. Tanmateix, si encara decidiu córrer el risc, heu d'apropar-vos a establir el límit de missatges entrants amb especial atenció. Per exemple, podeu limitar el nombre de correus electrònics entrants de contraparts de confiança de manera que si el seu servidor de correu està compromès, no llançarà un atac de correu brossa al vostre negoci.
Per protegir-se de l'afluència de missatges entrants durant el bombardeig de correu electrònic, l'administrador del sistema hauria de fer alguna cosa més intel·ligent que limitar simplement el correu entrant. Aquesta solució podria ser l'ús de llistes grises. El principi del seu funcionament és que en el primer intent d'entregar un missatge d'un remitent poc fiable, la connexió amb el servidor s'interromp bruscament, motiu pel qual el lliurament de la carta falla. Tanmateix, si en un període determinat un servidor no fiable intenta tornar a enviar la mateixa carta, el servidor no tanca la connexió i el seu lliurament és correcte.
El punt de totes aquestes accions és que els programes d'enviament automàtic de correus electrònics massius normalment no comproven l'èxit de lliurament del missatge enviat i no intenten enviar-lo per segona vegada, mentre que una persona segurament s'assegurarà si la seva carta va ser enviada a l'adreça o no.
També podeu habilitar la llista grisa a la interfície web de cbpolicyd. Perquè tot funcioni, cal crear una política que inclogui totes les cartes entrants adreçades als usuaris del nostre servidor i, a continuació, basant-se en aquesta política, crear una regla de llista grisa, on podeu configurar l'interval durant el qual cbpolicyd esperarà. per a una resposta repetida d'un remitent desconegut. Normalment és de 4-5 minuts. Al mateix temps, es poden configurar les llistes grises de manera que es tinguin en compte tots els intents reeixits i infructuosos de lliurar cartes de diferents remitents i, en funció del seu nombre, es decideixi afegir automàticament el remitent a les llistes blanques o negres.
Cridem la vostra atenció que l'ús de les llistes grises s'ha de fer amb la màxima responsabilitat. El millor seria que l'ús d'aquesta tecnologia vagi de la mà del manteniment constant de llistes blanques i negres per eliminar la possibilitat de perdre correus electrònics que són realment importants per a l'empresa.
A més, afegir comprovacions SPF, DMARC i DKIM pot ajudar a protegir-se del bombardeig de correu electrònic. Sovint, les cartes que arriben a través del procés de bombardeig de correu no passen aquests controls. Es va parlar de com fer-ho .
Per tant, protegir-se d'una amenaça com el bombardeig de correu electrònic és bastant senzill, i ho podeu fer fins i tot en l'etapa de construcció de la infraestructura de Zimbra per a la vostra empresa. Tanmateix, és important assegurar-se constantment que els riscos d'utilitzar aquesta protecció mai superin els beneficis que rebeu.
Font: www.habr.com