Is e bomadh puist aon de na seòrsaichean ionnsaighean saidhbear as sine. Aig a chridhe, tha e coltach ri ionnsaigh DoS cunbhalach, dìreach an àite tonn de dh’ iarrtasan bho sheòlaidhean IP eadar-dhealaichte, thèid tonn de phuist-d a chuir chun t-seirbheisiche, a ruigeas meudan mòra gu aon de na seòlaidhean puist-d, air sgàth sin an luchd. air àrdachadh gu mòr. Faodaidh ionnsaigh mar seo leantainn gu neo-chomas am bogsa puist a chleachdadh, agus uaireannan faodaidh e leantainn gu fàilligeadh an fhrithealaiche gu lèir. Tha eachdraidh fhada an t-seòrsa seo de cyberattack air leantainn gu grunn bhuilean adhartach is àicheil do luchd-rianachd an t-siostaim. Tha feartan adhartach a’ toirt a-steach eòlas math air bomadh puist agus cothrom air dòighean sìmplidh gus thu fhèin a dhìon bho leithid de dh’ ionnsaigh. Tha factaran àicheil a’ toirt a-steach àireamh mhòr de fhuasglaidhean bathar-bog a tha rim faighinn gu poblach airson an seòrsa ionnsaighean sin a dhèanamh agus an comas do neach-ionnsaigh iad fhèin a dhìon bho lorg.
Is e feart cudromach den ionnsaigh saidhbear seo gu bheil e cha mhòr do-dhèanta a chleachdadh airson prothaid. Uill, chuir an neach-ionnsaigh tonn de phuist-d gu aon de na bogsaichean puist, uill, cha do leig e leis an neach post-d a chleachdadh gu h-àbhaisteach, uill, chaidh an neach-ionnsaigh a-steach do phost-d corporra cuideigin agus thòisich e a’ cur mìltean de litrichean air feadh an GAL, is e sin carson a thuit am frithealaiche an dàrna cuid no a thòisich e a’ fàs nas slaodaiche gus am biodh e do-dhèanta a chleachdadh, agus dè an ath rud? Tha e cha mhòr do-dhèanta a leithid de cybercrime a thionndadh gu fìor airgead, agus mar sin tha dìreach bomadh puist gu math tearc an-dràsta agus is dòcha nach bi luchd-rianachd an t-siostaim, nuair a bhios iad a’ dealbhadh bun-structair, a’ cuimhneachadh air an fheum air dìon an aghaidh ionnsaigh saidhbear mar sin.
Ach, ged a tha bomadh post-d fhèin na eacarsaich gu math gun phuing bho shealladh malairteach, bidh e gu tric mar phàirt de dh’ ionnsaighean saidhbear eile, nas iom-fhillte agus ioma-ìre. Mar eisimpleir, nuair a bhios iad a’ slaodadh post agus ga chleachdadh gus cunntas a thoirt air falbh ann an cuid de sheirbheisean poblach, bidh luchd-ionnsaigh gu tric a’ “bomadh” bogsa-puist an neach-fulaing le litrichean gun bhrìgh gus an tèid an litir dearbhaidh air chall san t-sruth aca agus nach tèid i gun mhothachadh. Faodar bomadh puist a chleachdadh cuideachd mar dhòigh air cuideam eaconamach a chuir air iomairt. Mar sin, faodaidh spreadhadh gnìomhach de bhogsa puist poblach iomairt, a gheibh iarrtasan bho luchd-dèiligidh, obair chruaidh a dhèanamh leotha agus, mar thoradh air sin, faodaidh e leantainn gu ùine downt uidheamachd, òrdughan nach deach a choileanadh, a bharrachd air call cliù agus prothaidean caillte.
Sin as coireach nach bu chòir do rianadair an t-siostaim dìochuimhneachadh mun choltas gum bi bomadh post-d agus an-còmhnaidh na ceumannan riatanach a ghabhail gus dìon an-aghaidh a’ chunnart seo. Leis gum faodar seo a dhèanamh aig ìre togail bun-structair a’ phuist, agus cuideachd nach toir e ach glè bheag de dh’ ùine is saothair bho rianadair an t-siostaim, chan eil ann ach adhbharan neo-eisimeileach airson gun a bhith a’ toirt dìon don bhun-structair agad bho bhomadh puist. Bheir sinn sùil air mar a tha dìon an aghaidh an ionnsaigh saidhbear seo air a chuir an gnìomh ann an Zimbra Co-obrachadh Suite Open-Source Edition.
Tha Zimbra stèidhichte air Postfix, aon de na riochdairean gluasaid puist stòr fosgailte as earbsaiche agus as gnìomhaiche a tha ri fhaighinn an-diugh. Agus is e aon de na prìomh bhuannachdan a tha an lùib a bhith fosgailte gu bheil e a’ toirt taic do raon farsaing de fhuasglaidhean treas-phàrtaidh gus comas-gnìomh a leudachadh. Gu sònraichte, tha Postfix a’ toirt làn thaic do cbpolicyd, goireas adhartach airson dèanamh cinnteach à cybersecurity frithealaiche puist. A bharrachd air dìon an-aghaidh spama agus cruthachadh liostaichean geala, liostaichean dubha agus liostaichean glasa, tha cbpolicyd a’ leigeil le rianadair Zimbra dearbhadh ainm-sgrìobhte SPF a rèiteachadh, a bharrachd air cuingealachaidhean a shuidheachadh air faighinn agus cur air falbh puist-d no dàta. Faodaidh iad an dà chuid dìon earbsach a thoirt seachad an aghaidh puist-d spama agus phishing, agus dìon a thoirt don fhrithealaiche bho bhomadh post-d.
Is e a’ chiad rud a tha a dhìth bho rianadair an t-siostaim am modal cbpolicyd a chuir an gnìomh, a tha ro-stàlaichte ann an Zimbra Co-obrachadh Suite OSE air frithealaiche bun-structair MTA. Tha seo air a dhèanamh leis an àithne zmprov ms `zmhostname` +zimbraServiceEnabled cbpolicyd. Às deidh seo, feumaidh tu an eadar-aghaidh lìn a chuir an gnìomh gus a bhith comasach air cbpolicyd a riaghladh gu comhfhurtail. Gus seo a dhèanamh, feumaidh tu ceanglaichean a cheadachadh air port lìn àireamh 7780, cruthaich ceangal samhlachail a’ cleachdadh an àithne ln -s /opt/zimbra/common/share/webui/opt/zimbra/data/httpd/htdocs/webui, agus an uairsin deasaich am faidhle roghainnean a’ cleachdadh an àithne nano /opt/zimbra/data/httpd/htdocs/webui/includes/config.php, far am feum thu na loidhnichean a leanas a sgrìobhadh:
$DB_DSN="sqlite:/opt/zimbra/data/cbpolicyd/db/cbpolicyd.sqlitedb";
$DB_USER="root";
$DB_TABLE_PREFIX="";
Às deidh seo, chan eil air fhàgail ach na seirbheisean Zimbra agus Zimbra Apache ath-thòiseachadh a ’cleachdadh na h-òrdughan ath-thòiseachadh zmcontrol agus zmapachectl restart. Às deidh seo, bidh cothrom agad air an eadar-aghaidh lìn aig :7780/webui/index.php. Is e am prìomh nuance nach eil an t-slighe a-steach don eadar-aghaidh lìn seo fhathast air a dhìon ann an dòigh sam bith agus gus casg a chuir air daoine gun chead a dhol a-steach, faodaidh tu dìreach ceanglaichean a dhùnadh air port 7780 às deidh gach slighe a-steach don eadar-aghaidh lìn.
Faodaidh tu thu fhèin a dhìon bhon tuil de phuist-d a’ tighinn bhon lìonra a-staigh le bhith a’ cleachdadh cuotathan airson post-d a chuir, a dh’ fhaodar a shuidheachadh le taing do cbpolicyd. Leigidh cuotathan mar seo leat crìoch a chuir air an àireamh as motha de litrichean a dh’ fhaodar a chuir bho aon bhogsa puist ann an aon aonad ùine. Mar eisimpleir, ma chuireas do mhanaidsearan gnìomhachais 60-80 post-d gu cuibheasach san uair, faodaidh tu cuota de 100 post-d san uair a shuidheachadh, a’ toirt aire do iomall beag. Gus an cuota seo a ruighinn, feumaidh manaidsearan aon phost-d a chuir a h-uile 36 diog. Air an aon làimh, tha seo gu leòr airson a bhith ag obair gu h-iomlan, agus air an làimh eile, le leithid de chuota, cha chuir luchd-ionnsaigh a fhuair cothrom air post aon de na manaidsearan agad bomadh puist no ionnsaigh spam mòr air an iomairt.
Gus an leithid de chuota a shuidheachadh, feumaidh tu poileasaidh cuibhreachaidh post-d ùr a chruthachadh anns an eadar-aghaidh lìn agus sònrachadh gu bheil e a’ buntainn an dà chuid ri litrichean a chuirear taobh a-staigh an àrainn agus ri litrichean a chuirear gu seòlaidhean taobh a-muigh. Tha seo air a dhèanamh mar a leanas:
Às deidh seo, faodaidh tu mìneachadh nas mionaidiche a thoirt air na cuingeadan co-cheangailte ri bhith a ’cur litrichean, gu sònraichte, suidhich an ùine ùine às deidh sin thèid na cuingeadan ùrachadh, a bharrachd air an teachdaireachd a gheibh neach-cleachdaidh a chaidh seachad air a’ chrìoch aige. Às deidh seo, faodaidh tu an cuingealachadh a chuir air litrichean a chuir. Faodar a shuidheachadh an dà chuid mar an àireamh de litrichean a-mach agus mar an àireamh de bytes de dh'fhiosrachadh a chaidh a ghluasad. Aig an aon àm, feumar dèiligeadh ann an dòigh eadar-dhealaichte ri litrichean a thèid a chuir nas fhaide na a’ chrìoch ainmichte. Mar sin, mar eisimpleir, faodaidh tu dìreach cuir às dhaibh sa bhad, no faodaidh tu an sàbhaladh gus an tèid an cur dìreach às deidh a ’chrìoch cur teachdaireachd ùrachadh. Faodar an dàrna roghainn a chleachdadh nuair a thathar a’ comharrachadh an luach as fheàrr airson a’ chrìoch air post-d a chuir le luchd-obrach.
A bharrachd air cuingealachaidhean air litrichean a chuir, leigidh cbpolicyd leat crìoch a chuir air faighinn litrichean. Tha a leithid de chuingealachadh, aig a’ chiad sealladh, na fhuasgladh sàr-mhath airson dìon an aghaidh bomadh puist, ach gu dearbh, tha a bhith a’ suidheachadh a leithid de chrìoch, eadhon fear mòr, làn leis gur dòcha nach ruig litir chudromach thu fo chumhachan sònraichte. Sin as coireach nach eilear a’ moladh gu mòr casg a chuir air post a tha a’ tighinn a-steach. Ach, ma cho-dhùnas tu fhathast an cunnart a ghabhail, feumaidh tu aire shònraichte a thoirt do shuidheachadh crìoch teachdaireachd a tha a’ tighinn a-steach. Mar eisimpleir, faodaidh tu an àireamh de phuist-d a thig a-steach bho chonnspaidean earbsach a chuingealachadh gus nach cuir e ionnsaigh spam air do ghnìomhachas ma tha am frithealaiche puist aca ann an cunnart.
Gus dìon an aghaidh sruthadh a-steach de theachdaireachdan a thig a-steach aig àm bomadh puist, bu chòir do rianadair an t-siostaim rudeigin nas glice a dhèanamh na dìreach a bhith a’ cuingealachadh post a tha a’ tighinn a-steach. Dh'fhaodadh am fuasgladh seo a bhith na chleachdadh de liostaichean glasa. Is e prionnsapal na h-obrach aca, nuair a thèid a’ chiad oidhirp air teachdaireachd a lìbhrigeadh bho neach-cuiridh neo-earbsach, gu bheil an ceangal ris an fhrithealaiche air a bhriseadh gu h-obann, agus is e sin as coireach gu bheil lìbhrigeadh na litreach a’ fàiligeadh. Ach, ma dh’ fheuchas neach-frithealaidh neo-earbsach aig àm sònraichte ris an aon litir a chuir a-rithist, cha dùin am frithealaiche an ceangal agus bidh an lìbhrigeadh soirbheachail.
Is e puing nan gnìomhan sin uile nach bi prògraman airson post-d mòr a chuir gu fèin-ghluasadach mar as trice a’ sgrùdadh soirbheachas lìbhrigeadh na teachdaireachd a chaidh a chuir agus nach feuch iad ri a chuir an dàrna turas, fhad ‘s a nì neach cinnteach an deach an litir aige a chuir gu an seòladh no nach eil.
Faodaidh tu cuideachd liosta glas a chomasachadh ann an eadar-aghaidh lìn cbpolicyd. Gus an obraich a h-uile càil, feumaidh tu poileasaidh a chruthachadh a bhiodh a’ toirt a-steach a h-uile litir a thig a-steach air a chuir gu luchd-cleachdaidh air an t-seirbheisiche againn, agus an uairsin, stèidhichte air a’ phoileasaidh seo, cruthaich riaghailt Greylisting, far an urrainn dhut an eadar-ama a rèiteachadh nuair a dh’ fheitheas cbpolicyd. airson freagairt a-rithist bho neach a chuir neach neo-aithnichte. Mar as trice tha e 4-5 mionaidean. Aig an aon àm, faodar liostaichean glasa a rèiteachadh gus an tèid aire a thoirt do gach oidhirp shoirbheachail agus neo-shoirbheachail air litrichean bho luchd-cuiridh eadar-dhealaichte a lìbhrigeadh agus, stèidhichte air an àireamh aca, thèid co-dhùnadh an neach a chuir gu na liostaichean geal no dubh gu fèin-ghluasadach.
Bidh sinn a’ tarraing d’ aire gum bu chòir cleachdadh liostaichean glasa a dhèanamh leis an fhìor uallach. Bhiodh e na b’ fheàrr nam biodh cleachdadh an teicneòlais seo a’ dol làmh ri làimh le cumail suas cunbhalach liostaichean geal is dubh gus cuir às don chomas gun tèid puist-d a chall a tha dha-rìribh cudromach don iomairt.
A bharrachd air an sin, faodaidh cuir a-steach sgrùdaidhean SPF, DMARC, agus DKIM cuideachadh le dìon an aghaidh bomadh post-d. Gu tric chan eil litrichean a thig tro phròiseas bomadh puist a’ dol seachad air sgrùdaidhean mar sin. Chaidh bruidhinn air mar a nì thu seo .
Mar sin, tha e gu math sìmplidh do dhìon fhèin bho leithid de chunnart ri bomadh post-d, agus faodaidh tu seo a dhèanamh eadhon aig ìre togail bun-structair Zimbra airson an iomairt agad. Ach, tha e cudromach dèanamh cinnteach gu cunbhalach nach bi na cunnartan bho bhith a’ cleachdadh an leithid de dhìon a’ dol thairis air na buannachdan a gheibh thu.
Source: www.habr.com