Οι βομβαρδισμοί αλληλογραφίας είναι ένας από τους παλαιότερους τύπους κυβερνοεπιθέσεων. Στον πυρήνα του, μοιάζει με μια κανονική επίθεση DoS, αλλά αντί για ένα κύμα αιτημάτων από διαφορετικές διευθύνσεις IP, αποστέλλεται ένα κύμα email στον διακομιστή, τα οποία φτάνουν σε τεράστιες ποσότητες σε μία από τις διευθύνσεις email, λόγω του οποίου το φορτίο σε αυτό αυξάνεται σημαντικά. Μια τέτοια επίθεση μπορεί να οδηγήσει σε αδυναμία χρήσης του γραμματοκιβωτίου και μερικές φορές ακόμη και σε αποτυχία ολόκληρου του διακομιστή. Η μακρά ιστορία αυτού του τύπου επιθέσεων στον κυβερνοχώρο έχει οδηγήσει σε μια σειρά από θετικές και αρνητικές συνέπειες για τους διαχειριστές συστημάτων. Οι θετικοί παράγοντες περιλαμβάνουν την καλή γνώση του βομβαρδισμού αλληλογραφίας και τη διαθεσιμότητα απλών τρόπων προστασίας από μια τέτοια επίθεση. Οι αρνητικοί παράγοντες περιλαμβάνουν έναν μεγάλο αριθμό διαθέσιμων στο κοινό λύσεων λογισμικού για την πραγματοποίηση τέτοιων τύπων επιθέσεων και την ικανότητα του εισβολέα να προστατεύεται αξιόπιστα από τον εντοπισμό.
Ένα σημαντικό χαρακτηριστικό αυτής της κυβερνοεπίθεσης είναι ότι είναι σχεδόν αδύνατο να χρησιμοποιηθεί για κέρδος. Λοιπόν, ο εισβολέας έστειλε ένα κύμα email σε ένα από τα γραμματοκιβώτια, καλά, δεν άφησε το άτομο να χρησιμοποιήσει το email κανονικά, καλά, ο εισβολέας εισέβαλε στην εταιρική αλληλογραφία κάποιου και άρχισε να στέλνει μαζικά χιλιάδες επιστολές σε όλο το GAL, λόγω που ο διακομιστής είτε κατέρρευσε είτε άρχισε να επιβραδύνει με αποτέλεσμα να είναι αδύνατη η χρήση του και μετά τι; Είναι σχεδόν αδύνατο να μετατραπεί ένα τέτοιο έγκλημα στον κυβερνοχώρο σε πραγματικά χρήματα, επομένως ο βομβαρδισμός αλληλογραφίας είναι πλέον πολύ σπάνιο φαινόμενο και οι διαχειριστές συστημάτων μπορεί απλώς να μην θυμούνται την ανάγκη προστασίας από μια τέτοια κυβερνοεπίθεση κατά το σχεδιασμό της υποδομής.
Ωστόσο, παρά το γεγονός ότι ο ίδιος ο βομβαρδισμός αλληλογραφίας είναι μια μάλλον ανούσια δραστηριότητα από εμπορική άποψη, είναι συχνά αναπόσπαστο μέρος άλλων, πιο περίπλοκων και πολλαπλών σταδιακών επιθέσεων στον κυβερνοχώρο. Για παράδειγμα, όταν παραβιάζουν αλληλογραφία και το χρησιμοποιούν για να παραβιάσουν έναν λογαριασμό σε κάποια δημόσια υπηρεσία, οι εισβολείς συχνά «βομβαρδίζουν» το γραμματοκιβώτιο του θύματος με ανούσια γράμματα, έτσι ώστε η επιστολή επιβεβαίωσης να χάνεται στη ροή τους και να περνά απαρατήρητη. Ο βομβαρδισμός αλληλογραφίας μπορεί επίσης να χρησιμοποιηθεί ως μέσο οικονομικής πίεσης σε μια επιχείρηση. Για παράδειγμα, ένας ενεργός βομβαρδισμός του δημόσιου γραμματοκιβωτίου μιας επιχείρησης, που λαμβάνει αιτήσεις από πελάτες, μπορεί να εμποδίσει σοβαρά την εργασία μαζί τους και, ως εκ τούτου, να οδηγήσει σε διακοπές λειτουργίας του εξοπλισμού, ανεκπλήρωτες παραγγελίες, καθώς και απώλεια φήμης και απώλεια κερδών.
Γι' αυτό ο διαχειριστής του συστήματος δεν πρέπει να ξεχνά την πιθανότητα βομβαρδισμού αλληλογραφίας και να λαμβάνει πάντα τα απαραίτητα μέτρα για την προστασία από αυτήν την απειλή. Λαμβάνοντας υπόψη ότι αυτό μπορεί να γίνει ακόμη και στο στάδιο της κατασκευής της υποδομής αλληλογραφίας, και επίσης ότι απαιτείται πολύ λίγος χρόνος και προσπάθεια από τον διαχειριστή του συστήματος, απλά δεν υπάρχουν αντικειμενικοί λόγοι για να μην παρέχετε στην υποδομή σας προστασία από βομβαρδισμούς αλληλογραφίας. Ας ρίξουμε μια ματιά στον τρόπο με τον οποίο εφαρμόζεται η προστασία έναντι αυτής της κυβερνοεπίθεσης στην Έκδοση Ανοιχτού Κώδικα Zimbra Collaboration Suite.
Το Zimbra βασίζεται στο Postfix, έναν από τους πιο αξιόπιστους και λειτουργικούς πράκτορες μεταφοράς αλληλογραφίας ανοιχτού κώδικα αυτή τη στιγμή. Και ένα από τα κύρια πλεονεκτήματα του ανοίγματός του είναι ότι υποστηρίζει μια μεγάλη ποικιλία λύσεων τρίτων για την επέκταση της λειτουργικότητας. Συγκεκριμένα, το Postfix υποστηρίζει πλήρως το cbpolicyd, ένα προηγμένο βοηθητικό πρόγραμμα για την ασφάλεια στον κυβερνοχώρο διακομιστή αλληλογραφίας. Εκτός από την προστασία από ανεπιθύμητα μηνύματα και τη λίστα επιτρεπόμενων, τη μαύρη λίστα και τη γκρίζα λίστα, το cbpolicyd επιτρέπει στον διαχειριστή της Zimbra να ρυθμίσει την επαλήθευση υπογραφής SPF, καθώς και να θέσει όρια στη λήψη και αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου ή δεδομένων. Μπορούν να παρέχουν αξιόπιστη προστασία από ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου και ηλεκτρονικό ψάρεμα, καθώς και να προστατεύουν τον διακομιστή από βομβαρδισμό μέσω email.
Το πρώτο πράγμα που απαιτείται από τον διαχειριστή του συστήματος είναι η ενεργοποίηση της μονάδας cbpolicyd, η οποία είναι προεγκατεστημένη στο Zimbra Collaboration Suite OSE στον διακομιστή υποδομής MTA. Αυτό γίνεται χρησιμοποιώντας την εντολή zmprov ms `zmhostname` + zimbraServiceEnabled cbpolicyd. Μετά από αυτό, θα χρειαστεί να ενεργοποιήσετε τη διεπαφή ιστού για να μπορείτε να διαχειριστείτε άνετα το cbpolicyd. Για να το κάνετε αυτό, πρέπει να επιτρέψετε τις συνδέσεις στη θύρα web 7780, να δημιουργήσετε έναν συμβολικό σύνδεσμο χρησιμοποιώντας την εντολή ln -s /opt/zimbra/common/share/webui /opt/zimbra/data/httpd/htdocs/webuiκαι, στη συνέχεια, επεξεργαστείτε το αρχείο ρυθμίσεων με την εντολή nano /opt/zimbra/data/httpd/htdocs/webui/includes/config.php, όπου πρέπει να γράψετε τις ακόλουθες γραμμές:
$DB_DSN="sqlite:/opt/zimbra/data/cbpolicyd/db/cbpolicyd.sqlitedb";
$DB_USER="root";
$DB_TABLE_PREFIX="";
Μετά από αυτό, μένει μόνο η επανεκκίνηση των υπηρεσιών Zimbra και Zimbra Apache χρησιμοποιώντας τις εντολές επανεκκίνησης zmcontrol και επανεκκίνησης zmapachectl. Μετά από αυτό, θα έχετε πρόσβαση στη διεπαφή ιστού στη διεύθυνση :7780/webui/index.php. Η κύρια απόχρωση είναι ότι η είσοδος σε αυτήν τη διεπαφή ιστού δεν προστατεύεται ακόμη με κανέναν τρόπο και για να αποτρέψετε την είσοδο μη εξουσιοδοτημένων ατόμων σε αυτήν, μπορείτε απλώς να κλείσετε τις συνδέσεις στη θύρα 7780 μετά από κάθε είσοδο στη διεπαφή Ιστού.
Για προστασία από την πλημμύρα μηνυμάτων ηλεκτρονικού ταχυδρομείου που προέρχονται από το εσωτερικό δίκτυο, μπορείτε να χρησιμοποιήσετε ποσοστώσεις για την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου, οι οποίες μπορούν να οριστούν χάρη στο cbpolicyd. Τέτοιες ποσοστώσεις σάς επιτρέπουν να ορίσετε ένα όριο στον μέγιστο αριθμό επιστολών που μπορούν να σταλούν από ένα γραμματοκιβώτιο σε μία μονάδα χρόνου. Για παράδειγμα, εάν οι διευθυντές της επιχείρησής σας στέλνουν κατά μέσο όρο 60-80 email την ώρα, θα μπορούσατε να ορίσετε ένα όριο 100 email ανά ώρα με μικρό χώρο. Για να εξαντληθεί αυτό το όριο, οι διευθυντές θα πρέπει να στέλνουν ένα γράμμα κάθε 36 δευτερόλεπτα. Αφενός, αυτό αρκεί για να λειτουργήσει πλήρως και, αφετέρου, με ένα τέτοιο όριο, οι εισβολείς που έχουν αποκτήσει πρόσβαση στην αλληλογραφία ενός από τους διαχειριστές σας δεν θα οργανώσουν βομβιστική επίθεση αλληλογραφίας ή μαζική επίθεση ανεπιθύμητης αλληλογραφίας στην επιχείρηση .
Για να ορίσετε ένα τέτοιο όριο, πρέπει να δημιουργήσετε μια νέα πολιτική περιορισμού αποστολής email στη διεπαφή ιστού και να καθορίσετε ότι ισχύει τόσο για τα μηνύματα ηλεκτρονικού ταχυδρομείου που αποστέλλονται εντός του τομέα όσο και για τα μηνύματα ηλεκτρονικού ταχυδρομείου που αποστέλλονται σε εξωτερικές διευθύνσεις. Αυτό γίνεται ως εξής:
Μετά από αυτό, θα μπορείτε να καθορίσετε λεπτομερέστερα τους περιορισμούς που σχετίζονται με την αποστολή επιστολών, ειδικότερα, να ορίσετε το χρονικό διάστημα μετά το οποίο θα ενημερωθούν οι περιορισμοί, καθώς και το μήνυμα που θα λάβει ο χρήστης που έχει υπερβεί το όριό του. Μετά από αυτό, μπορείτε να ορίσετε τον ίδιο τον περιορισμό στην αποστολή επιστολών. Μπορεί να οριστεί τόσο ως αριθμός εξερχόμενων μηνυμάτων όσο και ως αριθμός byte μεταδιδόμενων πληροφοριών. Ταυτόχρονα, οι επιστολές που αποστέλλονται πέραν του καθορισμένου ορίου θα πρέπει να αντιμετωπίζονται διαφορετικά. Έτσι, για παράδειγμα, μπορείτε απλά να τα διαγράψετε αμέσως ή μπορείτε να τα αποθηκεύσετε ώστε να φύγουν αμέσως μετά την ενημέρωση του ορίου αποστολής μηνυμάτων. Η δεύτερη επιλογή μπορεί να χρησιμοποιηθεί κατά τον καθορισμό της βέλτιστης τιμής για το όριο αποστολής email στους υπαλλήλους.
Εκτός από τα όρια αποστολής email, το cbpolicyd σάς επιτρέπει να ορίσετε ένα όριο στη λήψη email. Ένα τέτοιο όριο, εκ πρώτης όψεως, είναι μια εξαιρετική λύση για την προστασία από βομβαρδισμό αλληλογραφίας, ωστόσο, στην πραγματικότητα, ο καθορισμός ενός τέτοιου ορίου, ακόμη και αν είναι μεγάλο, είναι γεμάτος με το γεγονός ότι υπό ορισμένες προϋποθέσεις μπορεί να μην φτάσει ένα σημαντικό γράμμα . Αυτός είναι ο λόγος για τον οποίο η ενεργοποίηση τυχόν περιορισμών για την εισερχόμενη αλληλογραφία αποθαρρύνεται ιδιαίτερα. Ωστόσο, εάν εξακολουθείτε να αποφασίσετε να ρισκάρετε, πρέπει να προσεγγίσετε τη ρύθμιση του ορίου εισερχόμενων μηνυμάτων με ιδιαίτερη προσοχή. Για παράδειγμα, μπορείτε να περιορίσετε τον αριθμό των εισερχόμενων μηνυμάτων ηλεκτρονικού ταχυδρομείου από αξιόπιστους αντισυμβαλλομένους, έτσι ώστε εάν ο διακομιστής αλληλογραφίας τους παραβιαστεί, να μην στέλνει ανεπιθύμητη αλληλογραφία για την επιχείρησή σας.
Προκειμένου να προστατευτεί από την πλημμύρα εισερχόμενων μηνυμάτων από βομβαρδισμό αλληλογραφίας, ο διαχειριστής του συστήματος θα πρέπει να κάνει κάτι πιο έξυπνο από τον απλό περιορισμό της εισερχόμενης αλληλογραφίας. Μια τέτοια λύση θα μπορούσε να είναι η χρήση γκρίζων λιστών. Η αρχή της λειτουργίας τους είναι ότι στην πρώτη προσπάθεια παράδοσης μηνύματος από αναξιόπιστο αποστολέα, διακόπτεται απότομα η σύνδεση με τον διακομιστή, λόγω της οποίας η παράδοση του μηνύματος αποτυγχάνει. Ωστόσο, εάν ένας μη αξιόπιστος διακομιστής επιχειρήσει να στείλει ξανά το ίδιο email μέσα σε μια συγκεκριμένη περίοδο, ο διακομιστής δεν διακόπτει τη σύνδεση και η παράδοσή του είναι επιτυχής.
Το νόημα όλων αυτών των ενεργειών είναι ότι τα αυτόματα προγράμματα μαζικής αλληλογραφίας συνήθως δεν ελέγχουν την επιτυχία του απεσταλμένου μηνύματος και δεν επιχειρούν να το στείλουν δεύτερη φορά, ενώ το άτομο σίγουρα θα βεβαιωθεί εάν η επιστολή του στάλθηκε στη διεύθυνση ή όχι .
Μπορείτε επίσης να ενεργοποιήσετε τη γκρι λίστα στη διεπαφή ιστού cbpolicyd. Για να λειτουργήσουν όλα, πρέπει να δημιουργήσετε μια πολιτική που θα περιλαμβάνει όλες τις εισερχόμενες επιστολές που απευθύνονται στους χρήστες στον διακομιστή μας και, στη συνέχεια, με βάση αυτήν την πολιτική, να δημιουργήσετε έναν κανόνα Greylisting, όπου μπορείτε να διαμορφώσετε το διάστημα κατά το οποίο θα περιμένει το cbpolicyd για μια δεύτερη απάντηση από έναν άγνωστο αποστολέα. Συνήθως είναι 4-5 λεπτά. Ταυτόχρονα, οι γκρίζες λίστες μπορούν να διαμορφωθούν έτσι ώστε να λαμβάνονται υπόψη όλες οι επιτυχημένες και ανεπιτυχείς προσπάθειες παράδοσης επιστολών από διαφορετικούς αποστολείς και, με βάση τον αριθμό τους, λαμβάνεται απόφαση για αυτόματη προσθήκη του αποστολέα στη λευκή ή τη μαύρη λίστα.
Εφιστούμε την προσοχή σας στο γεγονός ότι η χρήση γκρίζων λιστών πρέπει να προσεγγίζεται με τη μέγιστη ευθύνη. Θα ήταν καλύτερο εάν η χρήση αυτής της τεχνολογίας συμβαδίζει με τη συνεχή διατήρηση λευκών και μαύρων λιστών, προκειμένου να αποκλειστεί η πιθανότητα απώλειας γραμμάτων που είναι πραγματικά σημαντικά για την επιχείρηση.
Επιπλέον, η προσθήκη επιταγών SPF, DMARC και DKIM μπορεί να βοηθήσει στην προστασία από βομβαρδισμό email. Συχνά, οι επιστολές που έρχονται στη διαδικασία βομβαρδισμού αλληλογραφίας δεν περνούν τέτοιους ελέγχους. Το πώς να το κάνετε αυτό εξηγήθηκε .
Έτσι, είναι πολύ απλό να προστατευτείτε από μια τέτοια απειλή όπως ο βομβαρδισμός αλληλογραφίας και μπορείτε να το κάνετε αυτό ακόμη και στο στάδιο της κατασκευής της υποδομής Zimbra για την επιχείρησή σας. Ωστόσο, είναι σημαντικό να διασφαλίζετε συνεχώς ότι οι κίνδυνοι από τη χρήση τέτοιας προστασίας δεν υπερβαίνουν ποτέ τα οφέλη που λαμβάνετε.
Πηγή: www.habr.com