E-Mails haben sich als Standard der geschäftlichen Kommunikation etabliert. Aufgrund ihrer hohen Wirtschaftlichkeit sowie einer Reihe von Eigenschaften, die mit der Textzitation und dem Anhängen von Dateien verbunden sind, eignen sich E-Mails hervorragend als universelles Mittel zum Austausch von Dokumenten und für höfliche geschäftliche Kommunikation. Diese Eigenschaften haben dazu geführt, dass E-Mails bei Spam-Versendern so beliebt sind. Daher ist E-Mail heutzutage ein riesiger, tobender Ozean von Spam, in dem geschäftliche Nachrichten nur selten anzutreffen sind. Aus diesem Grund besteht eine der vordringlichen Aufgaben eines jeden E-Mail-Server-Administrators darin, sich gegen Spam zu schützen. Lassen Sie uns daher anschauen, was in der Zimbra Collaboration Suite Open-Source Edition dagegen unternommen werden kann.

Trotz der kostenlosen Lösung bietet Zimbra OSE Systemadministratoren eine Vielzahl äußerst effektiver Werkzeuge zur Bekämpfung unerwünschter E-Mails. Wir haben bereits über nützliche Hilfsprogramme wie Amavis, SpamAssassin, ClamAV und cbpolicyd berichtet, die eingehende E-Mails zuverlässig filtern, Spam-Nachrichten sowie schadhafte und Phishing-Mails herausfiltern. Dennoch besteht der wesentliche Nachteil dieser Tools darin, dass sie alle nur mit bereits empfangenen E-Mails arbeiten und wertvolle Systemressourcen für die Filterung unnötiger Nachrichten verbrauchen, die besser genutzt werden könnten. Aber was ist, wenn Ihr Unternehmen ins Visier eines großen Botnets geraten ist, das Ihren Mailserver mit so vielen unerwünschten E-Mails überflutet, dass ein Großteil der Serverressourcen des MTA allein für deren Filterung draufgeht?
Theoretisch kann man sich durch die Nutzung eines Cloud-Services zur Filterung eingehender E-Mails schützen. In der Praxis ist dieser Schutz jedoch nicht für jedes Unternehmen geeignet, da dies bedeutet, dass man Dritten die Verarbeitung nicht nur von Spam, sondern auch von geschäftlicher Korrespondenz anvertrauen muss. Dies kann oft nicht sicher sein und widerspricht häufig den Sicherheitsrichtlinien des Unternehmens. Außerdem gibt es Risiken im Zusammenhang mit der Zuverlässigkeit des Cloud-Spam-Filters. Eine Lösung könnte darin bestehen, den Server selbst zu schützen. Zu diesem Zweck wurde in Zimbra das Tool Postscreen integriert, das dazu dient, den Mailserver vor E-Mails zu schützen, die von Botnetzen gesendet werden, ohne dabei die Belastung des Mailservers zu erhöhen.
Die Funktionsweise von Postscreen besteht darin, dass dieses Tool alle Verbindungsanfragen zum Mailserver überprüft. Server Es blockiert die Verbindung zu Servern für Clients, die als verdächtig erscheinen. Statistiken zeigen, dass etwa 90 % des weltweiten Spam von Botnets verschickt werden, weshalb Postscreen oft als erste Schutzmaßnahme für Mailserver gegen unerwünschte E-Mail-Werbung eingesetzt wird. Dadurch kann der Mailserver stabil arbeiten, ohne überlastet zu werden, selbst unter starken Spam-Angriffen von großen Botnets.
Die Funktionsweise von Postscreen ist recht einfach; das Tool führt zunächst eine Reihe simpler Überprüfungen eingehender E-Mails durch, bevor diese an den Mailserver oder andere Dienste weitergeleitet werden, die eine tiefere und detailliertere Prüfung der eingehenden Nachrichten vornehmen. Jede Überprüfung kann entweder bestanden oder nicht bestanden werden. Anhand der Ergebnisse jeder Überprüfung kann Postscreen eine der drei vom Zimbra-Administrator festgelegten Maßnahmen ergreifen: Ablehnen, Ignorieren oder Durchsetzen. Die Maßnahme Ablehnen bricht die Verbindung zum Client zwangsläufig ab, wenn die Überprüfung nicht bestanden wird. Ignorieren ermöglicht das Ignorieren der Überprüfungsergebnisse bei der endgültigen Entscheidungsfindung, während gleichzeitig Informationen und Statistiken über durchgeführte Prüfungen gesammelt werden. Durchsetzen ermöglicht die Berücksichtigung der Ergebnisse durchgeführter Prüfungen bei der endgültigen Entscheidungsfindung, während weiterhin alle vom Systemadministrator geplanten Tests durchgeführt werden.
Ein einfacher Arbeitsprinzip bedeutet keineswegs eine einfache Anwendung oder Einrichtung. Tatsächlich kann eine falsch konfigurierte Postscreen-Instanz dazu führen, dass eine Vielzahl wichtiger Unternehmens-E-Mails den Empfänger nicht erreichen. Daher ist es von großer Bedeutung, bei der Konfiguration eines so leistungsstarken Werkzeugs wie Postscreen mit größter Sorgfalt vorzugehen und sein Verhalten in verschiedenen Situationen kontinuierlich zu testen.
Postscreen ist in Zimbra standardmäßig aktiviert, jedoch könnten viele mit der ursprünglichen Konfiguration unzufrieden sein. Jetzt betrachten wir die sicherste und risikofreie Möglichkeit zur Konfiguration von Postscreen. Der Kern dieser Methode liegt darin, dass Postscreen nach dem Scheitern einer der Überprüfungen die Verbindung zum Client nicht sofort trennt, sondern alle Überprüfungen bis zum Ende durchführt. Wenn diese Überprüfungen nicht bestanden werden, gibt es eine Fehlermeldung aus. Dies ermöglicht es, einen echten Absender über die Zustellunfähigkeit einer Nachricht zu informieren, falls Postscreen diese als Spam identifiziert. Dies wird durch das Setzen des Wertes 'enforce' in den Prüfparameter erreicht. Dieser Wert ermöglicht es, eingeleitete Überprüfungen bis zum Ende abzuschließen, ohne die Verbindung zum Client beim ersten Fehler zu kappen, aber trotzdem nach Abschluss der Überprüfungen die Spam-Nachricht zu blockieren, ohne sie an den Server zuzustellen.
Um die erforderlichen Überprüfungen zu aktivieren, geben Sie die folgenden Befehle ein:
zmprov mcf zimbraMtaPostscreenDnsblSites ‘b.barracudacentral.org=127.0.0.2*7’ zimbraMtaPostscreenDnsblSites ‘zen.spamhaus.org=127.0.0.[10;11]*8’ zimbraMtaPostscreenDnsblSites ‘zen.spamhaus.org=127.0.0.[4..7]*6’ zimbraMtaPostscreenDnsblSites ‘zen.spamhaus.org=127.0.0.3*4’ zimbraMtaPostscreenDnsblSites ‘zen.spamhaus.org=127.0.0.2*3’
Dieser Befehl ermöglicht die Hinzufügung einer DNS-Überprüfung eingehender Verbindungen anhand der zwei bekanntesten öffentlichen Spam-Datenbanken und bewertet E-Mails abhängig davon, in welcher Datenbank die Absenderadresse gefunden wird. Je mehr Straf«Sterne» der Client sammelt, desto wahrscheinlicher ist es, dass er ein Spammer ist.
zmprov mcf zimbraMtaPostscreenDnsblAction enforce
Mit diesem Befehl wird die Maßnahme festgelegt, die nach der DNS-Überprüfung ergriffen wird. In diesem Fall wird das Ergebnis der Überprüfung gespeichert, während die E-Mail weiterhin weiteren Tests unterzogen wird.
zmprov mcf zimbraMtaPostscreenGreetAction enforce
Im SMTP-Protokoll beginnt der Server nach der direkten Verbindung die Kommunikation zuerst mit dem Client, sodass Postscreen dem Client ein Begrüßungssignal senden kann. Da viele Spam-Clients, ohne auf das Ende der Begrüßung zu warten, sofort damit beginnen, Befehle zu senden, lassen sie sich leicht identifizieren. Dieser Befehl ermöglicht es, die Ergebnisse dieser Überprüfung zu berücksichtigen, während gleichzeitig weitere Tests durchgeführt werden können.
zmprov mcf zimbraMtaPostscreenNonSmtpCommandAction drop
Im Rahmen dieser Überprüfung ermöglicht Postscreen das Herausfiltern von Verbindungen, die nicht von E-Mail-Clients stammen. Da sie keine E-Mails versenden, können sie ohne Bedenken vom Server getrennt werden.
zmprov mcf zimbraMtaPostscreenPipeliningAction enforce
Diese Überprüfung basiert darauf, dass gemäß SMTP-Protokoll ein Client standardmäßig jeweils nur einen Befehl senden und dann auf eine Antwort des Servers warten kann. Viele Spam-Bots verhalten sich jedoch anders und senden mehrere Befehle, ohne auf die Antwort des Servers zu warten. Dies ermöglicht eine nahezu fehlerfreie Identifizierung von Spam-Bots.
Im Grunde genommen sind diese Prüfungen für Postscreen mehr als ausreichend, um die meisten Spam-Bots vom Server fernzuhalten und die Belastung Ihres Mailservers erheblich zu reduzieren. Gleichzeitig erhalten echte Personen die Benachrichtigung, dass ihre Nachricht nicht zugestellt wurde, was das Risiko verringert, wichtige E-Mails aufgrund der Postscreen-Einstellungen zu verlieren. Sollte dies doch geschehen, können Sie den vertrauenswürdigen Absender zur Postscreen-Whitelist hinzufügen. Um Whitelist- und Blacklist-Einträge für Postscreen zu erstellen, müssen Sie zunächst eine Datei anlegen. /opt/zimbra/conf/postfix/postscreen_wblist.
In diese Datei fügen wir die Liste der erlaubten und verbotenen IP-Adressen und Subnetze im CIDR-Format ein. Zum Beispiel blockieren wir das Subnetz 121.144.169.*, erlauben aber den Zugriff auf einen einzigen der IP-Adresse dieses Subnetzes:
# Rules are evaluated in the order as specified.
# Blacklist 121.144.169.* except 121.144.169.196.
121.144.169.196/32 erlauben
121.144.169.0/24 abweisen
Bitte beachten Sie die Wichtigkeit der Reihenfolge der Einträge. Postscreen durchsucht die Datei mit den weißen und schwarzen Listen bis zum ersten Treffer. Wenn ein blockiertes Subnetz vor der erlaubten IP-Adresse steht, wird die Überprüfung nicht zur Eintragung gelangen, die besagt, dass diese IP-Adresse in der Whitelist ist, und die Verbindung zum Server wird nicht hergestellt.
Nachdem die Datei mit den weißen und schwarzen Listen bearbeitet und gespeichert wurde, kann die entsprechende Überprüfung mit den folgenden Befehlen aktiviert werden:
zmprov mcf zimbraMtaPostscreenAccessList «permit_mynetworks, cidr:/opt/zimbra/conf/postfix/postscreen_wblist»
zmprov mcf zimbraMtaPostscreenBlacklistAction enforce
Jetzt wird Postscreen neben den bereits festgelegten Überprüfungen auch auf die Datei mit den weißen und schwarzen Listen zugreifen, was dem Administrator ermöglicht, die Probleme mit der Unmöglichkeit, eine Verbindung zu Servern vertrauenswürdiger Absender herzustellen, recht einfach zu lösen.
Quelle: habr.com
