Mailbombing ist eine der ältesten Arten von Cyberangriffen. Im Kern ähnelt es einem normalen DoS-Angriff, nur dass anstelle einer Welle von Anfragen von verschiedenen IP-Adressen eine Welle von E-Mails an den Server gesendet wird, die in großen Mengen an einer der E-Mail-Adressen ankommen, wodurch die Belastung erhöht wird darauf steigt deutlich an. Ein solcher Angriff kann dazu führen, dass das Postfach nicht mehr genutzt werden kann und manchmal sogar zum Ausfall des gesamten Servers. Die lange Geschichte dieser Art von Cyberangriffen hat für Systemadministratoren zu einer Reihe positiver und negativer Folgen geführt. Zu den positiven Faktoren gehören gute Kenntnisse über Mailbombing und die Verfügbarkeit einfacher Möglichkeiten, sich vor einem solchen Angriff zu schützen. Negative Faktoren sind eine Vielzahl öffentlich verfügbarer Softwarelösungen zur Durchführung derartiger Angriffe sowie die Möglichkeit für einen Angreifer, sich zuverlässig vor einer Entdeckung zu schützen.

Ein wichtiges Merkmal dieses Cyberangriffs ist, dass es nahezu unmöglich ist, ihn gewinnbringend zu nutzen. Nun, der Angreifer hat eine Welle von E-Mails an eines der Postfächer gesendet, nun, er hat der Person nicht erlaubt, E-Mails normal zu verwenden, nun, der Angreifer hat sich in die Firmen-E-Mail von jemandem gehackt und damit begonnen, Tausende von Briefen in der gesamten GAL massenhaft zu versenden Warum stürzte der Server ab oder begann langsamer zu werden, sodass er nicht mehr verwendet werden konnte, und wie geht es weiter? Es ist fast unmöglich, eine solche Cyberkriminalität in echtes Geld umzuwandeln, daher kommt es derzeit eher selten vor, dass E-Mails bombardiert werden, und Systemadministratoren erinnern sich bei der Gestaltung der Infrastruktur möglicherweise einfach nicht an die Notwendigkeit, sich vor einem solchen Cyberangriff zu schützen.
Doch auch wenn E-Mail-Bombing selbst aus kommerzieller Sicht eine ziemlich sinnlose Übung ist, ist es oft Teil anderer, komplexerer und mehrstufiger Cyberangriffe. Wenn Angreifer beispielsweise E-Mails hacken und damit ein Konto bei einem öffentlichen Dienst kapern, „bombardieren“ sie häufig das Postfach des Opfers mit bedeutungslosen Briefen, sodass das Bestätigungsschreiben in ihrem Stream verloren geht und unbemerkt bleibt. Mailbombing kann auch als wirtschaftliches Druckmittel auf ein Unternehmen eingesetzt werden. Daher kann die aktive Bombardierung des öffentlichen Postfachs eines Unternehmens, das Anfragen von Kunden entgegennimmt, die Zusammenarbeit mit ihnen erheblich erschweren und in der Folge zu Geräteausfällen, nicht erfüllten Aufträgen sowie Reputationsverlust und entgangenen Gewinnen führen.
Aus diesem Grund sollte der Systemadministrator die Wahrscheinlichkeit eines E-Mail-Bombings nicht vergessen und stets die erforderlichen Maßnahmen ergreifen, um sich vor dieser Bedrohung zu schützen. Wenn man bedenkt, dass dies bereits beim Aufbau der Mail-Infrastruktur erfolgen kann und der Systemadministrator dafür nur sehr wenig Zeit und Arbeit benötigt, gibt es einfach keine objektiven Gründe dafür, Ihre Infrastruktur nicht vor Mail-Bombing zu schützen. Werfen wir einen Blick darauf, wie der Schutz vor diesem Cyberangriff in der Zimbra Collaboration Suite Open-Source Edition implementiert ist.
Zimbra basiert auf Postfix, einem der zuverlässigsten und funktionsfähigsten Open-Source-Mail-Transfer-Agenten, die heute verfügbar sind. Und einer der Hauptvorteile seiner Offenheit besteht darin, dass es eine Vielzahl von Lösungen von Drittanbietern zur Erweiterung der Funktionalität unterstützt. Insbesondere unterstützt Postfix vollständig cbpolicyd, ein erweitertes Dienstprogramm zur Gewährleistung der Cybersicherheit von Mailservern. Zusätzlich zum Anti-Spam-Schutz und der Erstellung von Whitelists, Blacklists und Greylists ermöglicht cbpolicyd dem Zimbra-Administrator die Konfiguration der SPF-Signaturüberprüfung sowie das Festlegen von Einschränkungen für den Empfang und Versand von E-Mails oder Daten. Sie können sowohl einen zuverlässigen Schutz vor Spam- und Phishing-E-Mails bieten als auch den Server vor E-Mail-Bombing schützen.
Als Erstes muss der Systemadministrator das cbpolicyd-Modul aktivieren, das in Zimbra Collaboration Suite OSE auf dem Infrastruktur-MTA-Server vorinstalliert ist. Dies geschieht mit dem Befehl zmprov ms `zmhostname` +zimbraServiceEnabled cbpolicyd. Anschließend müssen Sie die Weboberfläche aktivieren, um cbpolicyd komfortabel verwalten zu können. Dazu müssen Sie Verbindungen auf dem Webport Nr. 7780 zulassen und mit dem Befehl einen symbolischen Link erstellen ln -s /opt/zimbra/common/share/webui /opt/zimbra/data/httpd/htdocs/webui, und bearbeiten Sie dann die Einstellungsdatei mit dem Nano-Befehl /opt/zimbra/data/httpd/htdocs/webui/includes/config.php, wo Sie die folgenden Zeilen schreiben müssen:
$DB_DSN="sqlite:/opt/zimbra/data/cbpolicyd/db/cbpolicyd.sqlitedb";
$DB_USER="root";
$DB_TABLE_PREFIX="";
Danach müssen nur noch die Dienste Zimbra und Zimbra Apache mit den Befehlen zmcontrol restart und zmapachectl restart neu gestartet werden. Danach haben Sie Zugriff auf die Weboberfläche unter :7780/webui/index.php. Die wichtigste Nuance besteht darin, dass der Zugang zu dieser Weboberfläche noch in keiner Weise geschützt ist und um zu verhindern, dass Unbefugte darauf zugreifen, können Sie nach jedem Zugang zur Weboberfläche einfach Verbindungen auf Port 7780 schließen.
Sie können sich vor der E-Mail-Flut aus dem internen Netzwerk schützen, indem Sie mit cbpolicyd einstellbare Kontingente für den E-Mail-Versand nutzen. Mit solchen Kontingenten können Sie die maximale Anzahl an Briefen begrenzen, die in einer Zeiteinheit aus einem Postfach versendet werden können. Versenden Ihre Unternehmensleiter beispielsweise durchschnittlich 60-80 E-Mails pro Stunde, dann können Sie unter Berücksichtigung einer kleinen Marge ein Kontingent von 100 E-Mails pro Stunde festlegen. Um diese Quote zu erreichen, müssen Manager alle 36 Sekunden eine E-Mail versenden. Einerseits reicht dies aus, um voll zu funktionieren, andererseits werden Angreifer, die Zugriff auf die E-Mails eines Ihrer Manager erhalten haben, mit einer solchen Quote kein Mail-Bombing oder einen massiven Spam-Angriff auf das Unternehmen starten.
Um ein solches Kontingent festzulegen, müssen Sie in der Weboberfläche eine neue Richtlinie zur Einschränkung des E-Mail-Versands erstellen und angeben, dass diese sowohl für Briefe gilt, die innerhalb der Domain gesendet werden, als auch für Briefe, die an externe Adressen gesendet werden. Dies geschieht wie folgt:

Anschließend können Sie die mit dem Briefversand verbundenen Einschränkungen genauer festlegen, insbesondere das Zeitintervall festlegen, nach dem die Einschränkungen aktualisiert werden, sowie die Nachricht, die ein Benutzer erhält, der sein Limit überschritten hat. Danach können Sie die Einschränkung für den Briefversand festlegen. Sie kann sowohl als Anzahl der ausgehenden Briefe als auch als Anzahl der Bytes der übertragenen Informationen eingestellt werden. Gleichzeitig muss mit Briefen, die über das vorgesehene Limit hinausgehen, anders verfahren werden. So können Sie sie beispielsweise einfach sofort löschen oder speichern, sodass sie sofort nach der Aktualisierung des Nachrichtenversandlimits versendet werden. Die zweite Option kann verwendet werden, um den optimalen Wert für die Beschränkung des E-Mail-Versands durch Mitarbeiter zu ermitteln.
Zusätzlich zu den Einschränkungen beim Versenden von Briefen können Sie mit cbpolicyd ein Limit für den Empfang von Briefen festlegen. Eine solche Beschränkung ist auf den ersten Blick eine hervorragende Lösung zum Schutz vor Mail-Bombing, aber tatsächlich ist die Festlegung einer solchen Beschränkung, selbst einer großen, mit der Tatsache behaftet, dass ein wichtiger Brief unter bestimmten Umständen möglicherweise nicht bei Ihnen ankommt. Aus diesem Grund wird dringend davon abgeraten, Einschränkungen für eingehende E-Mails zu aktivieren. Wenn Sie sich dennoch dazu entschließen, ein Risiko einzugehen, müssen Sie die Festlegung des Limits für eingehende Nachrichten mit besonderer Sorgfalt angehen. Sie können beispielsweise die Anzahl eingehender E-Mails von vertrauenswürdigen Gegenparteien begrenzen, sodass im Falle einer Kompromittierung ihres Mailservers kein Spam-Angriff auf Ihr Unternehmen ausgelöst wird.
Um sich vor dem Zustrom eingehender Nachrichten während des Mail-Bombings zu schützen, sollte der Systemadministrator etwas Klügeres tun, als nur die Anzahl der eingehenden E-Mails zu begrenzen. Diese Lösung könnte die Verwendung von Graulisten sein. Ihr Funktionsprinzip besteht darin, dass beim ersten Versuch, eine Nachricht von einem unzuverlässigen Absender zuzustellen, die Verbindung zum Server abrupt unterbrochen wird, weshalb die Zustellung des Briefes fehlschlägt. Wenn jedoch zu einem bestimmten Zeitpunkt ein nicht vertrauenswürdiger Server versucht, denselben Brief erneut zu senden, schließt der Server die Verbindung nicht und die Zustellung ist erfolgreich.
Der Sinn all dieser Aktionen besteht darin, dass Programme zum automatischen Versenden von Massen-E-Mails in der Regel nicht den Erfolg der Zustellung der gesendeten Nachricht prüfen und nicht versuchen, sie ein zweites Mal zu versenden, während eine Person mit Sicherheit sicherstellt, ob ihr Brief an sie gesendet wurde die Adresse oder nicht.
Sie können Greylisting auch in der cbpolicyd-Weboberfläche aktivieren. Damit alles funktioniert, müssen Sie eine Richtlinie erstellen, die alle eingehenden Briefe an Benutzer auf unserem Server umfasst, und dann basierend auf dieser Richtlinie eine Greylisting-Regel erstellen, in der Sie das Intervall konfigurieren können, in dem cbpolicyd wartet für eine wiederholte Antwort eines unbekannten Absenders. Normalerweise sind es 4-5 Minuten. Gleichzeitig können Graulisten so konfiguriert werden, dass alle erfolgreichen und erfolglosen Zustellversuche von Briefen unterschiedlicher Absender berücksichtigt werden und anhand ihrer Anzahl entschieden wird, den Absender automatisch in die White- oder Blacklist aufzunehmen.
Wir machen Sie darauf aufmerksam, dass der Einsatz von Graulisten mit größtmöglicher Verantwortung erfolgen sollte. Am besten wäre es, wenn der Einsatz dieser Technologie mit der ständigen Pflege von White- und Blacklists einhergeht, um den Verlust wirklich wichtiger E-Mails für das Unternehmen auszuschließen.
Darüber hinaus kann das Hinzufügen von SPF-, DMARC- und DKIM-Prüfungen zum Schutz vor E-Mail-Bombing beitragen. Oftmals bestehen Briefe, die im Zuge der Postbombardierung eintreffen, solche Kontrollen nicht. Es wurde besprochen, wie das geht .
Daher ist es ganz einfach, sich vor einer Bedrohung wie E-Mail-Bombing zu schützen, und Sie können dies bereits in der Phase des Aufbaus der Zimbra-Infrastruktur für Ihr Unternehmen tun. Es ist jedoch wichtig, stets sicherzustellen, dass die Risiken bei der Inanspruchnahme eines solchen Schutzes niemals die Vorteile übersteigen, die Sie erhalten.
Source: habr.com
