Postbommen is ien fan 'e âldste soarten cyberoanfallen. Yn har kearn liket it op in gewoane DoS-oanfal, allinich ynstee fan in weach fan oanfragen fan ferskate IP-adressen, wurdt in welle fan e-mails nei de tsjinner stjoerd, dy't yn grutte hoemannichten nei ien fan 'e e-mailadressen komme, wêrtroch't de lading op it ferheget gâns. Sa'n oanfal kin liede ta it ûnfermogen om de postfak te brûken, en kin soms sels liede ta it mislearjen fan 'e hiele tsjinner. De lange skiednis fan dit soarte cyberattack hat laat ta in oantal positive en negative gefolgen foar systeembehearders. Positive faktoaren omfetsje goede kennis fan e-postbommen en de beskikberens fan ienfâldige manieren om josels te beskermjen tsjin sa'n oanfal. Negative faktoaren omfetsje in grut oantal publyklik beskikbere software-oplossings foar it útfieren fan dizze soarten oanfallen en de mooglikheid foar in oanfaller om harsels betrouber te beskermjen tsjin deteksje.
In wichtich skaaimerk fan dizze cyberoanfal is dat it hast ûnmooglik is om it te brûken foar winst. No, de oanfaller stjoerde in weach fan e-mails nei ien fan 'e postfakken, goed, hy liet de persoan net normaal e-post brûke, goed, de oanfaller hackte yn' e bedriuws-e-post fan ien en begon massaal tûzenen brieven te ferstjoeren troch de GAL, dat is wêrom is de tsjinner ferûngelokke of begon te fertragen, sadat it ûnmooglik waard om it te brûken, en wat dan? It is hast ûnmooglik om sa'n cyberkriminaliteit te konvertearjen yn echt jild, dus gewoan e-postbombardemint is op it stuit in frij seldsum foarkommen en systeembehearders, by it ûntwerpen fan ynfrastruktuer, kinne gewoan net ûnthâlde fan 'e needsaak om te beskermjen tsjin sa'n cyberoanfal.
Hoewol, hoewol e-postbombardemint sels in frij sinleaze oefening is út in kommersjeel eachpunt, is it faaks diel fan oare, kompleksere en meartalige cyberoanfallen. Bygelyks, by it hacken fan e-post en it brûken fan it om in akkount yn guon publike tsjinst te kapjen, "bombarde" oanfallers faaks de postfak fan it slachtoffer mei sinleaze brieven, sadat de befêstigingsbrief ferlern giet yn har stream en ûngemurken bliuwt. Postbommen kin ek brûkt wurde as middel fan ekonomyske druk op in bedriuw. Sa kin aktyf bombardemint fan 'e iepenbiere postfak fan in ûndernimming, dy't oanfragen fan kliïnten ûntfangt, it wurk mei har serieus komplisearje en, as gefolch, kin liede ta downtime fan apparatuer, net foltôge oarders, lykas ferlies fan reputaasje en ferlies fan winst.
Dêrom moat de systeembehearder de kâns op e-postbombardemint net ferjitte en altyd de nedige maatregels nimme om te beskermjen tsjin dizze bedriging. Yn betinken nommen dat dit kin dien wurde op it poadium fan it bouwen fan de e-postynfrastruktuer, en ek dat it heul min tiid en arbeid nimt fan 'e systeembehearder, binne d'r gewoan gjin objektive redenen om jo ynfrastruktuer net te beskermjen tsjin e-postbombardemint. Litte wy ris sjen hoe't beskerming tsjin dizze cyberoanfal wurdt ymplementearre yn Zimbra Collaboration Suite Open-Source Edition.
Zimbra is basearre op Postfix, ien fan 'e meast betroubere en funksjonele iepen boarne Mail Transfer Agents beskikber hjoed. En ien fan 'e wichtichste foardielen fan syn iepenheid is dat it in breed ferskaat oan oplossings fan tredden stipet om funksjonaliteit te wreidzjen. Benammen Postfix stipet folslein cbpolicyd, in avansearre hulpprogramma foar it garandearjen fan cyberfeiligens fan e-posttsjinner. Neist anti-spambeskerming en it oanmeitsjen fan whitelists, blacklists en greylists, lit cbpolicyd de Zimbra-behearder SPF-hântekeningferifikaasje konfigurearje, en ek beheiningen ynstelle foar it ûntfangen en ferstjoeren fan e-mails of gegevens. Se kinne beide betroubere beskerming leverje tsjin spam en phishing-e-mails, en de tsjinner beskermje tsjin e-postbombardemint.
It earste ding dat nedich is fan 'e systeembehearder is om de cbpolicyd-module te aktivearjen, dy't foarôf ynstalleare is yn Zimbra Collaboration Suite OSE op' e ynfrastruktuer MTA-tsjinner. Dit wurdt dien mei it kommando zmprov ms `zmhostname` +zimbraServiceEnabled cbpolicyd. Hjirnei moatte jo de webynterface aktivearje om cbpolicyd komfortabel te kinnen beheare. Om dit te dwaan, moatte jo ferbiningen tastean op webpoarte nûmer 7780, meitsje in symboalyske keppeling mei it kommando ln -s /opt/zimbra/common/share/webui /opt/zimbra/data/httpd/htdocs/webui, en bewurkje dan it ynstellingsbestân mei it nano-kommando /opt/zimbra/data/httpd/htdocs/webui/includes/config.php, wêr't jo de folgjende rigels moatte skriuwe:
$DB_DSN="sqlite:/opt/zimbra/data/cbpolicyd/db/cbpolicyd.sqlitedb";
$DB_USER="root";
$DB_TABLE_PREFIX="";
Hjirnei bliuwt alles oer om de Zimbra- en Zimbra Apache-tsjinsten opnij te begjinnen mei de kommando's zmcontrol opnij starte en zmapachectl opnij starte. Hjirnei hawwe jo tagong ta de webynterface by :7780/webui/index.php. De wichtichste nuânse is dat de yngong nei dizze webynterface noch net op ien of oare manier beskerme is en om foar te kommen dat net foechhawwende persoanen it ynfiere, kinne jo gewoan ferbiningen slute op haven 7780 nei elke yngong nei de webynterface.
Jo kinne josels beskermje tsjin 'e oerstreaming fan e-mails dy't út it ynterne netwurk komme troch kwota te brûken foar it ferstjoeren fan e-post, dy't kinne wurde ynsteld troch cbpolicyd. Sokke kwotas kinne jo in limyt ynstelle op it maksimum oantal brieven dat kin wurde ferstjoerd út ien postfak yn ien ienheid fan tiid. As jo bedriuwsmanagers bygelyks in gemiddelde fan 60-80 e-mails per oere stjoere, dan kinne jo in kwota fan 100 e-mails per oere ynstelle, rekken hâldend mei in lytse marzje. Om dit kwota te berikken, moatte behearders elke 36 sekonden ien e-post stjoere. Oan 'e iene kant is dit genôch om folslein te wurkjen, en oan' e oare kant, mei sa'n kwota, oanfallers dy't tagong hawwe ta de e-post fan ien fan jo managers sille gjin e-postbombardemint of in massale spam-oanfal op 'e ûndernimming lansearje.
Om sa'n kwota yn te stellen, moatte jo in nij e-postferstjoeringsbeperkingsbelied oanmeitsje yn 'e webynterface en spesifisearje dat it jildt sawol foar brieven dy't binnen it domein ferstjoerd binne as foar brieven dy't nei eksterne adressen ferstjoerd binne. Dit wurdt dien as folget:
Hjirnei kinne jo yn mear detail de beheiningen opjaan dy't ferbûn binne mei it ferstjoeren fan brieven, yn it bysûnder, it tiidynterval ynstelle wêrnei't de beheiningen sille wurde bywurke, en ek it berjocht dat in brûker sil ûntfange dy't syn limyt hat oerskreaun. Hjirnei kinne jo de beheining ynstelle foar it ferstjoeren fan brieven. It kin wurde ynsteld sawol as it oantal útgeande letters en as it oantal bytes fan oerdroegen ynformaasje. Tagelyk moatte brieven dy't boppe de oanwiisde limyt ferstjoerd wurde oars behannele wurde. Sa kinne jo se bygelyks gewoan fuortdaliks wiskje, of jo kinne se bewarje, sadat se fuortendaliks ferstjoerd wurde nei't de limyt foar ferstjoeren fan berjochten is bywurke. De twadde opsje kin brûkt wurde by it bepalen fan de optimale wearde fan 'e limyt foar it ferstjoeren fan e-mails troch meiwurkers.
Neist beheiningen foar it ferstjoeren fan brieven, lit cbpolicyd jo in limyt ynstelle foar it ûntfangen fan brieven. Sa'n beheining is op it earste each in poerbêste oplossing foar it beskermjen fan e-postbombardeminten, mar yn feite is it ynstellen fan sa'n limyt, sels in grutte, fol mei it feit dat ûnder bepaalde betingsten in wichtige brief jo miskien net berikke kin. Dêrom is it net oan te rieden om beheiningen foar ynkommende post yn te skeakeljen. As jo lykwols noch beslute om it risiko te nimmen, moatte jo it ynstellen fan de ynkommende berjochtlimyt mei spesjale oandacht benaderje. Jo kinne bygelyks it oantal ynkommende e-postberjochten fan fertroude tsjinpartijen beheine, sadat as har e-posttsjinner kompromittearre is, it gjin spam-oanfal op jo bedriuw sil lansearje.
Om te beskermjen tsjin de ynstream fan ynkommende berjochten by e-postbombardemint, soe de systeembehearder wat slimmer moatte dwaan dan gewoan ynkommende e-post beheine. Dizze oplossing kin it brûken fan grize listen wêze. It prinsipe fan har wurking is dat by it earste besykjen om in berjocht te leverjen fan in ûnbetroubere stjoerder, de ferbining mei de tsjinner abrupt ûnderbrutsen wurdt, wêrtroch't de levering fan 'e brief mislearret. As lykwols op in bepaalde perioade in net-fertroude tsjinner besiket deselde brief nochris te stjoeren, slút de tsjinner de ferbining net en de levering is suksesfol.
It punt fan al dizze aksjes is dat programma's foar it automatysk ferstjoeren fan massale e-mails meastentiids it sukses fan it ferstjoeren fan it ferstjoerde berjocht net kontrolearje en net besykje it in twadde kear te stjoeren, wylst in persoan der wis fan sil soargje oft syn brief stjoerd is nei it adres of net.
Jo kinne ek greylisting ynskeakelje yn 'e cbpolicyd-webynterface. Om alles te wurkjen, moatte jo in belied meitsje dat alle ynkommende brieven oan brûkers op ús tsjinner omfettet, en dan, basearre op dit belied, in Greylisting-regel oanmeitsje, wêryn jo it ynterval kinne ynstelle wêryn cbpolicyd sil wachtsje foar in werhelje antwurd fan in ûnbekende persoan stjoerder. Normaal is it 4-5 minuten. Tagelyk kinne grize listen sa ynsteld wurde dat alle suksesfolle en mislearre besykjen om brieven fan ferskate ôfstjoerders te leverjen yn rekken brocht wurde en, op basis fan har nûmer, wurdt besletten om de stjoerder automatysk ta te foegjen oan de wite of swarte listen.
Wy meitsje jo oandacht foar it feit dat it brûken fan grize listen mei de grutste ferantwurdlikens dien wurde moat. It soe it bêste wêze as it gebrûk fan dizze technology hân yn 'e hân giet mei it konstante ûnderhâld fan wite en swarte listen om de mooglikheid te eliminearjen fan e-posten te ferliezen dy't wirklik wichtich binne foar it bedriuw.
Derneist kin it tafoegjen fan SPF-, DMARC- en DKIM-kontrôles helpe te beskermjen tsjin e-postbommen. Faak passe brieven dy't troch it proses fan postbombardemint komme, sokke kontrôles net troch. Hoe dit te dwaan waard besprutsen .
Sa is it beskermjen fan josels tsjin sa'n bedriging as e-postbombardemint frij simpel, en jo kinne dit sels dwaan op it poadium fan it bouwen fan de Zimbra-ynfrastruktuer foar jo bedriuw. It is lykwols wichtich om konstant te soargjen dat de risiko's fan it brûken fan sa'n beskerming nea de foardielen dy't jo krije, net oerstekke.
Boarne: www.habr.com