O ataque de correo electrónico é un dos tipos máis antigos de ciberataques. No seu núcleo, aseméllase a un ataque DoS normal, só que, en lugar dunha onda de solicitudes de diferentes enderezos IP, envíase unha onda de correos electrónicos ao servidor, que chegan en grandes cantidades a un dos enderezos de correo electrónico, polo que a carga sobre el aumenta significativamente. Tal ataque pode levar á imposibilidade de usar a caixa de correo e, ás veces, mesmo pode provocar o fallo de todo o servidor. A longa historia deste tipo de ciberataques levou a unha serie de consecuencias positivas e negativas para os administradores do sistema. Os factores positivos inclúen un bo coñecemento do bombardeo por correo electrónico e a dispoñibilidade de formas sinxelas de protexerse de tal ataque. Os factores negativos inclúen un gran número de solucións de software dispoñibles publicamente para levar a cabo este tipo de ataques e a capacidade dun atacante para protexerse de forma fiable contra a detección.
Unha característica importante deste ataque cibernético é que é case imposible usalo para lucro. Ben, o atacante enviou unha onda de correos electrónicos a unha das caixas de correo, ben, non permitiu que a persoa usase o correo electrónico normalmente, ben, o atacante pirateou o correo electrónico corporativo de alguén e comezou a enviar masivamente miles de cartas por todo o GAL, o que é por que o servidor fallou ou empezou a ralentizarse de modo que se fixo imposible usalo, e que segue? É case imposible converter un delito cibernético deste tipo en diñeiro real, polo que o bombardeo por correo electrónico é un feito bastante raro actualmente e os administradores do sistema, cando deseñan a infraestrutura, poden simplemente non lembrar a necesidade de protexerse contra tal ataque cibernético.
Non obstante, aínda que o bombardeo por correo electrónico en si é un exercicio bastante inútil desde o punto de vista comercial, adoita formar parte doutros ataques cibernéticos máis complexos e en varias etapas. Por exemplo, cando piratean o correo e utilízano para secuestrar unha conta nalgún servizo público, os atacantes adoitan "bombardear" a caixa de correo da vítima con letras sen sentido para que a carta de confirmación se perda no seu fluxo e pase desapercibida. O bombardeo postal tamén se pode usar como medio de presión económica sobre unha empresa. Así, o bombardeo activo da caixa de correo pública dunha empresa, que recibe solicitudes dos clientes, pode complicar seriamente o traballo con eles e, como resultado, pode provocar tempo de inactividade dos equipos, pedidos non satisfeitos, así como perda de reputación e perda de beneficios.
É por iso que o administrador do sistema non debe esquecerse da probabilidade de ataques por correo electrónico e sempre tomar as medidas necesarias para protexerse contra esta ameaza. Tendo en conta que isto se pode facer na fase de construción da infraestrutura de correo, e tamén que leva moi pouco tempo e traballo do administrador do sistema, simplemente non hai razóns obxectivas para non proporcionarlle á súa infraestrutura protección contra ataques de correo electrónico. Vexamos como se implementa a protección contra este ciberataque en Zimbra Collaboration Suite Open-Source Edition.
Zimbra está baseado en Postfix, un dos axentes de transferencia de correo de código aberto máis fiables e funcionais dispoñibles na actualidade. E unha das principais vantaxes da súa apertura é que admite unha gran variedade de solucións de terceiros para ampliar a funcionalidade. En particular, Postfix admite totalmente cbpolicyd, unha utilidade avanzada para garantir a ciberseguridade do servidor de correo. Ademais da protección antispam e da creación de listas brancas, listas negras e listas grises, cbpolicyd permite ao administrador de Zimbra configurar a verificación de sinatura SPF, así como establecer restricións para recibir e enviar correos electrónicos ou datos. Ambos poden proporcionar unha protección fiable contra correos electrónicos de spam e phishing, e protexer o servidor contra ataques de correo electrónico.
O primeiro que se require do administrador do sistema é activar o módulo cbpolicyd, que está preinstalado en Zimbra Collaboration Suite OSE no servidor MTA da infraestrutura. Isto faise usando o comando zmprov ms `zmhostname` +zimbraServiceEnabled cbpolicyd. Despois diso, terás que activar a interface web para poder xestionar comodamente cbpolicyd. Para iso, cómpre permitir conexións no porto web número 7780, crear unha ligazón simbólica usando o comando ln -s /opt/zimbra/common/share/webui /opt/zimbra/data/httpd/htdocs/webui, e despois edite o ficheiro de configuración usando o comando nano /opt/zimbra/data/httpd/htdocs/webui/includes/config.php, onde cómpre escribir as seguintes liñas:
$DB_DSN="sqlite:/opt/zimbra/data/cbpolicyd/db/cbpolicyd.sqlitedb";
$DB_USER="raíz";
$DB_TABLE_PREFIX="";
Despois disto, só queda reiniciar os servizos Zimbra e Zimbra Apache usando os comandos zmcontrol restart e zmapachectl restart. Despois diso, terás acceso á interface web en :7780/webui/index.php. O matiz principal é que a entrada a esta interface web aínda non está protexida de ningún xeito e, para evitar que persoas non autorizadas entren nela, pode simplemente pechar as conexións no porto 7780 despois de cada entrada á interface web.
Pode protexerse da avalancha de correos electrónicos procedentes da rede interna utilizando cotas para o envío de correos electrónicos, que se poden configurar grazas a cbpolicyd. Tales cotas permítenche establecer un límite no número máximo de cartas que se poden enviar desde unha caixa de correo nunha unidade de tempo. Por exemplo, se os xestores da túa empresa envían unha media de 60-80 correos electrónicos por hora, podes establecer unha cota de 100 correos electrónicos por hora, tendo en conta unha pequena marxe. Para alcanzar esta cota, os xestores terán que enviar un correo electrónico cada 36 segundos. Por unha banda, isto é suficiente para funcionar plenamente e, por outra banda, con tal cota, os atacantes que obtiveron acceso ao correo electrónico dun dos teus xestores non lanzarán un bombardeo de correo electrónico nin un ataque masivo de spam na empresa.
Para establecer esa cota, cómpre crear unha nova política de restrición de envío de correo electrónico na interface web e especificar que se aplica tanto ás cartas enviadas dentro do dominio como ás cartas enviadas a enderezos externos. Isto faise do seguinte xeito:
Despois diso, pode especificar con máis detalle as restricións asociadas ao envío de cartas, en particular, establecer o intervalo de tempo despois do cal se actualizarán as restricións, así como a mensaxe que recibirá un usuario que superou o seu límite. Despois diso, pode establecer a restrición no envío de cartas. Pódese establecer tanto como o número de letras de saída como como o número de bytes de información transmitida. Ao mesmo tempo, as cartas que se envían por encima do límite designado deben ser tratadas de forma diferente. Así, por exemplo, pode simplemente eliminalos inmediatamente ou pode gardalos para que se envíen inmediatamente despois de que se actualice o límite de envío de mensaxes. A segunda opción pódese utilizar ao determinar o valor óptimo do límite para o envío de correos electrónicos por parte dos empregados.
Ademais das restricións ao envío de cartas, cbpolicyd permítelle establecer un límite para recibir cartas. Tal limitación, a primeira vista, é unha excelente solución para protexerse contra o bombardeo por correo electrónico, pero, de feito, establecer tal límite, incluso un grande, está cheo de que, en determinadas condicións, pode que non che chegue unha carta importante. É por iso que non se recomenda activar ningunha restrición para o correo entrante. Non obstante, se aínda decides asumir o risco, debes achegarte a establecer o límite de mensaxes entrantes con especial atención. Por exemplo, pode limitar o número de correos electrónicos entrantes de contrapartes de confianza para que, se o seu servidor de correo está comprometido, non lanzará un ataque de spam na súa empresa.
Para protexerse contra a afluencia de mensaxes entrantes durante o ataque de correo electrónico, o administrador do sistema debería facer algo máis intelixente que limitar simplemente o correo entrante. Esta solución podería ser o uso de listas grises. O principio do seu funcionamento é que no primeiro intento de entregar unha mensaxe dun remitente pouco fiable, a conexión co servidor interrompe bruscamente, polo que falla a entrega da carta. Non obstante, se nun período determinado un servidor non fiable tenta enviar a mesma carta de novo, o servidor non pecha a conexión e a súa entrega é correcta.
O punto de todas estas accións é que os programas para o envío automático de correos electrónicos masivos normalmente non verifican o éxito da entrega da mensaxe enviada e non intentan enviala por segunda vez, mentres que unha persoa seguramente asegurarase de se a súa carta foi enviada a o enderezo ou non.
Tamén pode activar a lista gris na interface web de cbpolicyd. Para que todo funcione, cómpre crear unha política que inclúa todas as cartas entrantes dirixidas aos usuarios do noso servidor e, a continuación, en función desta política, crear unha regra de lista gris, onde pode configurar o intervalo durante o que cbpolicyd esperará. para unha resposta repetida dun remitente descoñecido. Normalmente é de 4-5 minutos. Ao mesmo tempo, pódense configurar listas grises para que se teñan en conta todos os intentos exitosos e infrutuosos de entregar cartas de distintos remitentes e, en función do seu número, se decida engadir automaticamente o remitente ás listas brancas ou negras.
Chamamos a súa atención sobre o feito de que o uso das listas grises debe facerse coa máxima responsabilidade. O mellor sería que o uso desta tecnoloxía vaise unido ao mantemento constante de listas brancas e negras para eliminar a posibilidade de perder correos electrónicos verdadeiramente importantes para a empresa.
Ademais, engadir comprobacións SPF, DMARC e DKIM pode axudar a protexerse contra o ataque de correo electrónico. Moitas veces, as cartas que chegan a través do proceso de bombardeo por correo non pasan tales controis. Como facelo foi discutido .
Así, protexerse dunha ameaza como o ataque de correo electrónico é bastante sinxelo, e pode facelo mesmo na fase de construción da infraestrutura de Zimbra para a súa empresa. Non obstante, é importante asegurarse constantemente de que os riscos do uso desta protección nunca superen os beneficios que recibe.
Fonte: www.habr.com