Pemboman surat adalah salah satu jenis serangan cyber tertua. Pada intinya, ini menyerupai serangan DoS biasa, hanya saja alih-alih gelombang permintaan dari alamat IP yang berbeda, gelombang email dikirim ke server, yang tiba dalam jumlah besar ke salah satu alamat email, yang menyebabkan beban di atasnya meningkat secara signifikan. Serangan seperti itu dapat menyebabkan ketidakmampuan untuk menggunakan kotak surat, dan kadang-kadang bahkan dapat menyebabkan kegagalan seluruh server. Sejarah panjang serangan siber jenis ini telah menimbulkan sejumlah konsekuensi positif dan negatif bagi administrator sistem. Faktor positifnya termasuk pengetahuan yang baik tentang pengeboman surat dan ketersediaan cara sederhana untuk melindungi diri Anda dari serangan semacam itu. Faktor negatifnya mencakup sejumlah besar solusi perangkat lunak yang tersedia untuk umum untuk melakukan jenis serangan ini dan kemampuan penyerang untuk melindungi diri mereka sendiri dari deteksi secara andal.
Fitur penting dari serangan cyber ini adalah hampir tidak mungkin digunakan untuk mendapatkan keuntungan. Nah, penyerang mengirim gelombang email ke salah satu kotak surat, dia tidak mengizinkan orang tersebut menggunakan email secara normal, penyerang meretas email perusahaan seseorang dan mulai mengirim ribuan surat secara massal ke seluruh GAL, yaitu mengapa server mogok atau mulai melambat sehingga tidak dapat digunakan, dan apa selanjutnya? Hampir tidak mungkin untuk mengubah kejahatan dunia maya menjadi uang sungguhan, jadi pengeboman melalui surat saat ini jarang terjadi dan administrator sistem, ketika merancang infrastruktur, mungkin tidak mengingat perlunya perlindungan terhadap serangan dunia maya semacam itu.
Namun, meskipun pemboman email itu sendiri merupakan tindakan yang tidak ada gunanya dari sudut pandang komersial, hal ini sering kali merupakan bagian dari serangan cyber lain yang lebih kompleks dan multi-tahap. Misalnya, ketika meretas email dan menggunakannya untuk membajak akun di beberapa layanan publik, penyerang sering kali βmembombardirβ kotak surat korban dengan huruf-huruf yang tidak berarti sehingga surat konfirmasi hilang di aliran mereka dan luput dari perhatian. Pengeboman surat juga dapat digunakan sebagai sarana tekanan ekonomi terhadap suatu perusahaan. Dengan demikian, pemboman aktif terhadap kotak surat umum suatu perusahaan, yang menerima permintaan dari klien, dapat sangat mempersulit pekerjaan dengan mereka dan, sebagai akibatnya, dapat menyebabkan waktu henti peralatan, pesanan yang tidak terpenuhi, serta hilangnya reputasi dan hilangnya keuntungan.
Itulah sebabnya administrator sistem tidak boleh melupakan kemungkinan pemboman email dan selalu mengambil tindakan yang diperlukan untuk melindungi terhadap ancaman ini. Mengingat hal ini dapat dilakukan pada tahap pembangunan infrastruktur surat, dan juga hanya membutuhkan sedikit waktu dan tenaga dari administrator sistem, tidak ada alasan obyektif untuk tidak memberikan perlindungan pada infrastruktur Anda dari pemboman surat. Mari kita lihat bagaimana perlindungan terhadap serangan cyber ini diterapkan di Zimbra Collaboration Suite Open-Source Edition.
Zimbra didasarkan pada Postfix, salah satu Agen Transfer Surat open source paling andal dan fungsional yang tersedia saat ini. Dan salah satu keuntungan utama dari keterbukaannya adalah ia mendukung beragam solusi pihak ketiga untuk memperluas fungsionalitas. Secara khusus, Postfix sepenuhnya mendukung cbpolicyd, sebuah utilitas canggih untuk memastikan keamanan siber server email. Selain perlindungan anti-spam dan pembuatan daftar putih, daftar hitam, dan daftar abu-abu, cbpolicyd memungkinkan administrator Zimbra mengonfigurasi verifikasi tanda tangan SPF, serta menetapkan batasan dalam menerima dan mengirim email atau data. Keduanya dapat memberikan perlindungan yang andal terhadap email spam dan phishing, serta melindungi server dari pemboman email.
Hal pertama yang diperlukan dari administrator sistem adalah mengaktifkan modul cbpolicyd, yang sudah diinstal sebelumnya di Zimbra Collaboration Suite OSE pada infrastruktur server MTA. Ini dilakukan dengan menggunakan perintah zmprov ms `zmhostname` +zimbraServiceEnabled cbpolicyd. Setelah ini, Anda perlu mengaktifkan antarmuka web agar dapat mengelola cbpolicyd dengan nyaman. Untuk melakukan ini, Anda perlu mengizinkan koneksi pada port web nomor 7780, buat tautan simbolis menggunakan perintah ln -s /opt/zimbra/common/share/webui /opt/zimbra/data/httpd/htdocs/webui, lalu edit file pengaturan menggunakan perintah nano /opt/zimbra/data/httpd/htdocs/webui/includes/config.php, di mana Anda perlu menulis baris berikut:
$DB_DSN="sqlite:/opt/zimbra/data/cbpolicyd/db/cbpolicyd.sqliteb";
$DB_USER="akar";
$DB_TABLE_PREFIX="";
Setelah ini, yang tersisa hanyalah memulai ulang layanan Zimbra dan Zimbra Apache menggunakan perintah zmcontrol restart dan zmapachectl restart. Setelah ini, Anda akan memiliki akses ke antarmuka web di :7780/webui/index.php. Nuansa utamanya adalah bahwa pintu masuk ke antarmuka web ini belum dilindungi dengan cara apa pun dan untuk mencegah orang yang tidak berwenang memasukinya, Anda cukup menutup koneksi pada port 7780 setelah setiap masuk ke antarmuka web.
Anda dapat melindungi diri dari membanjirnya email yang berasal dari jaringan internal dengan menggunakan kuota pengiriman email yang dapat diatur berkat cbpolicyd. Kuota tersebut memungkinkan Anda untuk menetapkan batasan jumlah maksimal surat yang dapat dikirim dari satu kotak surat dalam satu satuan waktu. Misalnya, jika manajer bisnis Anda mengirim rata-rata 60-80 email per jam, maka Anda dapat menetapkan kuota 100 email per jam, dengan mempertimbangkan margin yang kecil. Untuk mencapai kuota ini, pengelola harus mengirimkan satu email setiap 36 detik. Di satu sisi, ini cukup untuk bekerja sepenuhnya, dan di sisi lain, dengan kuota seperti itu, penyerang yang telah memperoleh akses ke email salah satu manajer Anda tidak akan melancarkan pemboman email atau serangan spam besar-besaran terhadap perusahaan.
Untuk menetapkan kuota tersebut, Anda perlu membuat kebijakan pembatasan pengiriman email baru di antarmuka web dan menentukan bahwa kebijakan tersebut berlaku untuk surat yang dikirim dalam domain dan surat yang dikirim ke alamat eksternal. Ini dilakukan sebagai berikut:
Setelah ini, Anda dapat menentukan secara lebih rinci batasan yang terkait dengan pengiriman surat, khususnya, mengatur interval waktu setelah batasan tersebut akan diperbarui, serta pesan yang akan diterima oleh pengguna yang telah melampaui batasnya. Setelah ini, Anda dapat mengatur batasan pengiriman surat. Ini dapat diatur baik sebagai jumlah surat keluar maupun sebagai jumlah byte informasi yang dikirimkan. Sementara itu, surat yang dikirimkan melebihi batas yang ditentukan harus ditangani secara berbeda. Jadi misalnya Anda bisa langsung menghapusnya, atau Anda bisa menyimpannya agar segera dikirim setelah batas pengiriman pesan diperbarui. Opsi kedua dapat digunakan saat menentukan nilai batas pengiriman email yang optimal oleh karyawan.
Selain pembatasan pengiriman surat, cbpolicyd memungkinkan Anda menetapkan batasan penerimaan surat. Sekilas, batasan seperti itu merupakan solusi yang sangat baik untuk melindungi dari pemboman surat, namun kenyataannya, menetapkan batasan seperti itu, bahkan yang besar, penuh dengan fakta bahwa dalam kondisi tertentu surat penting mungkin tidak sampai kepada Anda. Oleh karena itu, sangat tidak disarankan untuk mengaktifkan pembatasan apa pun pada email masuk. Namun, jika Anda masih memutuskan untuk mengambil risiko, Anda perlu melakukan pendekatan pengaturan batas pesan masuk dengan perhatian khusus. Misalnya, Anda dapat membatasi jumlah email masuk dari rekanan tepercaya sehingga jika server email mereka disusupi, serangan spam tidak akan melancarkan serangan pada bisnis Anda.
Untuk melindungi terhadap masuknya pesan masuk selama pemboman email, administrator sistem harus melakukan sesuatu yang lebih cerdas daripada sekadar membatasi email masuk. Solusi ini bisa berupa penggunaan daftar abu-abu. Prinsip operasinya adalah pada upaya pertama untuk menyampaikan pesan dari pengirim yang tidak dapat diandalkan, koneksi ke server tiba-tiba terputus, itulah sebabnya pengiriman surat gagal. Namun jika dalam jangka waktu tertentu server yang tidak dipercaya mencoba mengirimkan surat yang sama lagi, server tidak menutup koneksi dan pengirimannya berhasil.
Maksud dari semua tindakan tersebut adalah bahwa program pengiriman email massal secara otomatis biasanya tidak memeriksa keberhasilan pengiriman pesan yang dikirim dan tidak mencoba mengirimkannya untuk kedua kalinya, sedangkan orang tersebut pasti akan memastikan apakah suratnya telah terkirim. alamatnya atau tidak.
Anda juga dapat mengaktifkan daftar abu-abu di antarmuka web cbpolicyd. Agar semuanya berfungsi, Anda perlu membuat kebijakan yang mencakup semua surat masuk yang ditujukan kepada pengguna di server kami, dan kemudian, berdasarkan kebijakan ini, membuat aturan Daftar Abu-abu, tempat Anda dapat mengonfigurasi interval waktu tunggu cbpolicyd untuk balasan berulang dari pengirim orang yang tidak dikenal. Biasanya 4-5 menit. Pada saat yang sama, daftar abu-abu dapat dikonfigurasi sehingga semua upaya yang berhasil dan gagal untuk mengirimkan surat dari pengirim yang berbeda diperhitungkan dan, berdasarkan nomornya, keputusan dibuat untuk secara otomatis menambahkan pengirim ke daftar putih atau hitam.
Kami menarik perhatian Anda pada fakta bahwa penggunaan daftar abu-abu harus dilakukan dengan penuh tanggung jawab. Akan lebih baik jika penggunaan teknologi ini dibarengi dengan pemeliharaan daftar putih dan hitam secara terus-menerus untuk menghilangkan kemungkinan kehilangan email yang benar-benar penting bagi perusahaan.
Selain itu, menambahkan pemeriksaan SPF, DMARC, dan DKIM dapat membantu melindungi dari pemboman email. Seringkali surat yang sampai melalui proses mail bombing tidak lolos pemeriksaan tersebut. Cara melakukan ini telah dibahas .
Oleh karena itu, melindungi diri Anda dari ancaman seperti pemboman email cukup sederhana, dan Anda dapat melakukannya bahkan pada tahap membangun infrastruktur Zimbra untuk perusahaan Anda. Namun, penting untuk selalu memastikan bahwa risiko penggunaan perlindungan tersebut tidak pernah melebihi manfaat yang Anda terima.
Sumber: www.habr.com