Bombardiranje poštom jedan je od najstarijih tipova cyber napada. U svojoj srži nalikuje običnom DoS napadu, samo umjesto vala zahtjeva s različitih IP adresa, na server se šalje val e-mailova koji u ogromnim količinama stižu na jednu od e-mail adresa, zbog čega se opterećenje na njemu se značajno povećava. Takav napad može onemogućiti korištenje poštanskog sandučića, a ponekad može dovesti i do kvara cijelog poslužitelja. Duga povijest ove vrste cyber napada dovela je do niza pozitivnih i negativnih posljedica za administratore sustava. Pozitivni čimbenici uključuju dobro poznavanje bombardiranja pošte i dostupnost jednostavnih načina da se zaštitite od takvog napada. Negativni čimbenici uključuju velik broj javno dostupnih programskih rješenja za izvođenje ovakvih napada te mogućnost da se napadač pouzdano zaštiti od detekcije.
Važna značajka ovog cyber napada je da ga je gotovo nemoguće iskoristiti za zaradu. Pa, napadač je poslao val e-pošte u jedan od poštanskih sandučića, pa, nije dopustio osobi da normalno koristi e-poštu, pa, napadač je hakirao nečiju korporativnu e-poštu i počeo masovno slati tisuće pisama diljem GAL-a, što je zašto se poslužitelj srušio ili počeo usporavati tako da ga je nemoguće koristiti i što dalje? Gotovo je nemoguće pretvoriti takav kibernetički kriminal u pravi novac, tako da je jednostavno bombardiranje poštom trenutno prilično rijetka pojava i administratori sustava, prilikom projektiranja infrastrukture, mogu se jednostavno ne sjetiti potrebe zaštite od takvog kibernetičkog napada.
Međutim, dok je bombardiranje elektroničkom poštom samo po sebi prilično besmislena vježba s komercijalne točke gledišta, ono je često dio drugih, složenijih i višefaznih cyber napada. Na primjer, prilikom hakiranja pošte i njezina korištenja za otmicu računa u nekom javnom servisu, napadači često "bombardiraju" žrtvin poštanski sandučić besmislenim slovima tako da se potvrdno pismo izgubi u njihovom streamu i ostane neprimijećeno. Bombardiranje poštom također se može koristiti kao sredstvo ekonomskog pritiska na poduzeće. Dakle, aktivno bombardiranje javnog poštanskog sandučića poduzeća, koji prima zahtjeve od klijenata, može ozbiljno zakomplicirati rad s njima i, kao rezultat, može dovesti do zastoja opreme, neispunjenih narudžbi, kao i gubitka ugleda i izgubljene dobiti.
Zato administrator sustava ne bi trebao zaboraviti na vjerojatnost bombardiranja e-poštom i uvijek poduzeti potrebne mjere za zaštitu od ove prijetnje. Uzimajući u obzir da se to može učiniti u fazi izgradnje poštanske infrastrukture, kao i da je potrebno vrlo malo vremena i truda administratora sustava, jednostavno nema objektivnih razloga da svojoj infrastrukturi ne pružite zaštitu od bombardiranja poštom. Pogledajmo kako je zaštita od ovog kibernetičkog napada implementirana u Zimbra Collaboration Suite Open-Source Edition.
Zimbra se temelji na Postfixu, jednom od danas najpouzdanijih i najfunkcionalnijih agenata za prijenos pošte otvorenog koda. A jedna od glavnih prednosti njegove otvorenosti je ta što podržava širok izbor rješenja trećih strana za proširenje funkcionalnosti. Konkretno, Postfix u potpunosti podržava cbpolicyd, napredni uslužni program za osiguravanje kibernetičke sigurnosti poslužitelja pošte. Uz zaštitu od neželjene pošte i stvaranje popisa dopuštenih, crnih i sivih popisa, cbpolicyd omogućuje Zimbra administratoru da konfigurira provjeru SPF potpisa, kao i da postavi ograničenja za primanje i slanje e-pošte ili podataka. Oboje mogu pružiti pouzdanu zaštitu od neželjene pošte i phishing e-pošte i zaštititi poslužitelj od bombardiranja e-poštom.
Prva stvar koja se traži od administratora sustava je aktiviranje cbpolicyd modula, koji je unaprijed instaliran u Zimbra Collaboration Suite OSE na infrastrukturnom MTA poslužitelju. To se radi pomoću naredbe zmprov ms `zmhostname` +zimbraServiceEnabled cbpolicyd. Nakon toga ćete morati aktivirati web sučelje kako biste mogli udobno upravljati cbpolicyd. Da biste to učinili, trebate dopustiti veze na web priključku broj 7780, stvoriti simboličku vezu pomoću naredbe ln -s /opt/zimbra/common/share/webui /opt/zimbra/data/httpd/htdocs/webui, a zatim uredite datoteku postavki pomoću naredbe nano /opt/zimbra/data/httpd/htdocs/webui/includes/config.php, gdje trebate napisati sljedeće retke:
$DB_DSN="sqlite:/opt/zimbra/data/cbpolicyd/db/cbpolicyd.sqlitedb";
$DB_USER="root";
$DB_TABLE_PREFIX="";
Nakon toga preostaje samo ponovno pokrenuti usluge Zimbra i Zimbra Apache pomoću naredbi zmcontrol restart i zmapachectl restart. Nakon toga imat ćete pristup web sučelju na adresi :7780/webui/index.php. Glavna nijansa je da ulaz u ovo web sučelje još nije ni na koji način zaštićen i kako biste spriječili neovlaštene osobe da u njega uđu, možete jednostavno zatvoriti veze na portu 7780 nakon svakog ulaska u web sučelje.
Od poplave e-mailova koji dolaze s interne mreže možete se zaštititi korištenjem kvota za slanje e-mailova koje možete postaviti zahvaljujući cbpolicyd. Takve kvote omogućuju vam da postavite ograničenje maksimalnog broja pisama koja se mogu poslati iz jednog poštanskog sandučića u jednoj jedinici vremena. Na primjer, ako vaši poslovni menadžeri šalju prosječno 60-80 e-poruka na sat, tada možete postaviti kvotu od 100 e-poruka na sat, uzimajući u obzir malu marginu. Kako bi dosegli ovu kvotu, menadžeri će morati poslati jedan e-mail svakih 36 sekundi. S jedne strane, to je dovoljno za puni rad, a s druge strane, s takvom kvotom, napadači koji su dobili pristup pošti jednog od vaših menadžera neće pokrenuti bombardiranje pošte ili masivan spam napad na poduzeće.
Da biste postavili takvu kvotu, trebate kreirati novu politiku ograničenja slanja e-pošte u web sučelju i odrediti da se ona odnosi i na pisma poslana unutar domene i na pisma poslana na vanjske adrese. To se radi na sljedeći način:
Nakon toga možete detaljnije odrediti ograničenja vezana uz slanje pisama, posebno postaviti vremenski interval nakon kojeg će se ograničenja ažurirati, kao i poruku koju će primiti korisnik koji je prekoračio svoje ograničenje. Nakon toga možete postaviti ograničenje slanja pisama. Može se postaviti i kao broj odlaznih slova i kao broj bajtova prenesenih informacija. U isto vrijeme, pisma koja se šalju preko određenog ograničenja moraju se tretirati drugačije. Tako ih, primjerice, možete jednostavno odmah izbrisati ili ih možete spremiti tako da se pošalju odmah nakon ažuriranja ograničenja slanja poruka. Druga opcija se može koristiti pri određivanju optimalne vrijednosti limita za slanje e-pošte od strane zaposlenika.
Uz ograničenja slanja pisama, cbpolicyd vam omogućuje postavljanje ograničenja primanja pisama. Takvo ograničenje, na prvi pogled, izvrsno je rješenje za zaštitu od bombardiranja pošte, ali zapravo je postavljanje takvog ograničenja, čak i velikog, prepuno činjenice da pod određenim uvjetima važno pismo možda neće doći do vas. Zbog toga se ne preporučuje uključivanje bilo kakvih ograničenja za dolaznu poštu. No, ako ipak odlučite riskirati, postavljanju ograničenja dolaznih poruka morate pristupiti s posebnom pažnjom. Na primjer, možete ograničiti broj dolaznih e-poruka od pouzdanih partnera tako da, ako je njihov poslužitelj pošte ugrožen, neće pokrenuti napad neželjene pošte na vaše poslovanje.
Kako bi se zaštitio od priljeva dolaznih poruka tijekom mail bombardiranja, administrator sustava trebao bi učiniti nešto pametnije od jednostavnog ograničavanja dolazne pošte. Ovo bi rješenje moglo biti korištenje sivih popisa. Princip njihovog rada je da se pri prvom pokušaju dostave poruke od nepouzdanog pošiljatelja naglo prekida veza sa serverom, zbog čega isporuka pisma ne uspijeva. Međutim, ako u određenom razdoblju nepouzdani poslužitelj ponovno pokuša poslati isto pismo, poslužitelj ne prekida vezu i njegova isporuka je uspješna.
Poanta svih ovih radnji je da programi za automatsko slanje masovne e-pošte obično ne provjeravaju uspješnost isporuke poslane poruke i ne pokušavaju je poslati drugi put, dok će se osoba svakako uvjeriti je li njeno pismo poslano na adresu ili ne.
Također možete omogućiti sivu listu u cbpolicyd web sučelju. Da bi sve funkcioniralo potrebno je kreirati pravilo koje bi uključivalo sva dolazna pisma upućena korisnicima na našem serveru, a zatim na temelju tog pravila kreirati Greylisting pravilo, gdje možete konfigurirati interval tijekom kojeg će cbpolicyd čekati za ponovni odgovor nepoznatog pošiljatelja. Obično je to 4-5 minuta. Istodobno, sive liste mogu se konfigurirati tako da se svi uspješni i neuspješni pokušaji dostave pisama od različitih pošiljatelja uzimaju u obzir te se na temelju njihovog broja odlučuje o automatskom dodavanju pošiljatelja na bijele ili crne liste.
Skrećemo vam pozornost da se korištenje sivih lista treba odnositi s najvećom odgovornošću. Najbolje bi bilo da korištenje ove tehnologije ide ruku pod ruku sa stalnim održavanjem bijelih i crnih lista kako bi se eliminirala mogućnost gubitka e-pošte koja je uistinu važna za poduzeće.
Osim toga, dodavanje SPF, DMARC i DKIM provjera može pomoći u zaštiti od napada e-poštom. Često pisma koja stignu kroz proces bombardiranja poštom ne prolaze takve provjere. Razgovaralo se o tome kako to učiniti .
Dakle, zaštititi se od takve prijetnje kao što je bombardiranje e-poštom prilično je jednostavno, a to možete učiniti čak iu fazi izgradnje Zimbra infrastrukture za vaše poduzeće. Međutim, važno je stalno osiguravati da rizici korištenja takve zaštite nikada ne premašuju dobrobiti koje dobivate.
Izvor: www.habr.com