Il mail bombing è uno dei più antichi tipi di attacchi informatici. Fondamentalmente, assomiglia a un normale attacco DoS, solo che invece di un'ondata di richieste da diversi indirizzi IP, al server viene inviata un'ondata di e-mail, che arrivano in enormi quantità a uno degli indirizzi e-mail, a causa del quale il carico su di esso aumenta in modo significativo. Un simile attacco può portare all'impossibilità di utilizzare la casella di posta e talvolta può persino portare al guasto dell'intero server. La lunga storia di questo tipo di attacchi informatici ha portato a una serie di conseguenze positive e negative per gli amministratori di sistema. I fattori positivi includono una buona conoscenza del mail bombing e la disponibilità di modi semplici per proteggersi da tale attacco. I fattori negativi includono un gran numero di soluzioni software disponibili al pubblico per eseguire questi tipi di attacchi e la capacità di un aggressore di proteggersi in modo affidabile dal rilevamento.
Una caratteristica importante di questo attacco informatico è che è quasi impossibile utilizzarlo a scopo di lucro. Bene, l'aggressore ha inviato un'ondata di email a una delle caselle di posta, beh, non ha permesso alla persona di utilizzare la posta elettronica normalmente, beh, l'aggressore è entrato nell'email aziendale di qualcuno e ha iniziato a inviare in massa migliaia di lettere in tutto il GAL, che è perché il server si è bloccato o ha iniziato a rallentare in modo tale che è diventato impossibile utilizzarlo, e cosa succederà dopo? È quasi impossibile convertire un simile crimine informatico in denaro reale, quindi il semplice mail bombing è attualmente un evento piuttosto raro e gli amministratori di sistema, quando progettano l’infrastruttura, potrebbero semplicemente non ricordare la necessità di proteggersi da un simile attacco informatico.
Tuttavia, sebbene l’email bombing in sé sia un esercizio abbastanza inutile da un punto di vista commerciale, spesso fa parte di altri attacchi informatici più complessi e in più fasi. Ad esempio, quando hackerano la posta e la utilizzano per dirottare un account in qualche servizio pubblico, gli aggressori spesso “bombardano” la casella di posta della vittima con lettere prive di significato in modo che la lettera di conferma si perda nel loro flusso e passi inosservata. Il mail bombing può essere utilizzato anche come mezzo di pressione economica su un'impresa. Pertanto, il bombardamento attivo della casella di posta pubblica di un'azienda, che riceve richieste dai clienti, può complicare seriamente il lavoro con loro e, di conseguenza, può portare a tempi di inattività delle apparecchiature, ordini inevasi, nonché perdita di reputazione e perdita di profitti.
Ecco perché l'amministratore di sistema non dovrebbe dimenticare la probabilità di un email bombing e adottare sempre le misure necessarie per proteggersi da questa minaccia. Considerando che ciò può essere fatto nella fase di costruzione dell'infrastruttura di posta, e anche che richiede pochissimo tempo e lavoro da parte dell'amministratore di sistema, semplicemente non ci sono ragioni oggettive per non fornire alla propria infrastruttura protezione dal mail bombing . Diamo un'occhiata a come viene implementata la protezione contro questo attacco informatico in Zimbra Collaboration Suite Open-Source Edition.
Zimbra è basato su Postfix, uno degli agenti di trasferimento posta open source più affidabili e funzionali oggi disponibili. E uno dei principali vantaggi della sua apertura è che supporta un'ampia varietà di soluzioni di terze parti per estendere le funzionalità. In particolare, Postfix supporta pienamente cbpolicyd, un'utilità avanzata per garantire la sicurezza informatica del server di posta. Oltre alla protezione anti-spam e alla creazione di whitelist, blacklist e greylist, cbpolicyd consente all'amministratore Zimbra di configurare la verifica della firma SPF, nonché di impostare restrizioni sulla ricezione e l'invio di email o dati. Possono sia fornire una protezione affidabile contro le e-mail di spam e phishing, sia proteggere il server dall'e-mail bombing.
La prima cosa che viene richiesta all'amministratore di sistema è attivare il modulo cbpolicyd, che è preinstallato in Zimbra Collaboration Suite OSE sul server MTA dell'infrastruttura. Questo viene fatto utilizzando il comando zmprov ms `zmhostname` +zimbraServiceEnabled cbpolicyd. Successivamente sarà necessario attivare l'interfaccia web per poter gestire comodamente cbpolicyd. Per fare ciò, è necessario consentire le connessioni sulla porta web numero 7780, creare un collegamento simbolico utilizzando il comando ln -s /opt/zimbra/common/share/webui /opt/zimbra/data/httpd/htdocs/webui, quindi modificare il file delle impostazioni utilizzando il comando nano /opt/zimbra/data/httpd/htdocs/webui/includes/config.php, dove è necessario scrivere le seguenti righe:
$DB_DSN="sqlite:/opt/zimbra/data/cbpolicyd/db/cbpolicyd.sqlitedb";
$DB_USER="radice";
$DB_TABLE_PREFIX="";
Fatto ciò non resta che riavviare i servizi Zimbra e Zimbra Apache utilizzando i comandi zmcontrol restart e zmapachectl restart. Successivamente, avrai accesso all'interfaccia web all'indirizzo :7780/webui/index.php. La sfumatura principale è che l'ingresso a questa interfaccia web non è ancora protetto in alcun modo e per impedire l'accesso a persone non autorizzate, è sufficiente chiudere le connessioni sulla porta 7780 dopo ogni accesso all'interfaccia web.
Puoi proteggerti dalla marea di email provenienti dalla rete interna utilizzando delle quote di invio delle email, impostabili grazie a cbpolicyd. Tali quote consentono di impostare un limite al numero massimo di lettere che possono essere inviate da una casella di posta in un'unità di tempo. Ad esempio, se i tuoi manager aziendali inviano in media 60-80 email all'ora, puoi impostare una quota di 100 email all'ora, tenendo conto di un piccolo margine. Per raggiungere questa quota i manager dovranno inviare una email ogni 36 secondi. Da un lato, questo è sufficiente per funzionare pienamente e, dall'altro, con una tale quota, gli aggressori che hanno avuto accesso alla posta di uno dei tuoi manager non lanceranno un mail bombing o un massiccio attacco di spam contro l'azienda.
Per impostare tale quota è necessario creare nell'interfaccia web una nuova policy di restrizione dell'invio di email e specificare che si applichi sia alle lettere inviate all'interno del dominio che a quelle inviate ad indirizzi esterni. Questo viene fatto come segue:
Successivamente, è possibile specificare più in dettaglio le restrizioni associate all'invio di lettere, in particolare, impostare l'intervallo di tempo dopo il quale verranno aggiornate le restrizioni, nonché il messaggio che riceverà un utente che ha superato il limite. Successivamente, puoi impostare la restrizione sull'invio di lettere. Può essere impostato sia come numero di lettere in uscita che come numero di byte di informazioni trasmesse. Allo stesso tempo, le lettere inviate oltre il limite designato devono essere trattate diversamente. Quindi, ad esempio, puoi semplicemente eliminarli immediatamente oppure salvarli in modo che vengano inviati immediatamente dopo l'aggiornamento del limite di invio dei messaggi. La seconda opzione può essere utilizzata per determinare il valore ottimale del limite per l'invio di e-mail da parte dei dipendenti.
Oltre alle restrizioni sull'invio di lettere, cbpolicyd ti consente di impostare un limite alla ricezione di lettere. Una tale limitazione, a prima vista, è un'ottima soluzione per proteggersi dal mail bombing, ma in realtà l'impostazione di un limite del genere, anche se ampio, è irto del fatto che in determinate condizioni una lettera importante potrebbe non arrivarti. Questo è il motivo per cui è altamente sconsigliato abilitare eventuali restrizioni per la posta in arrivo. Tuttavia, se decidi comunque di correre il rischio, devi affrontare l'impostazione del limite dei messaggi in entrata con particolare attenzione. Ad esempio, puoi limitare il numero di e-mail in arrivo da controparti fidate in modo che, se il loro server di posta viene compromesso, non lancerà un attacco di spam alla tua azienda.
Per proteggersi dall'afflusso di messaggi in arrivo durante il mail bombing, l'amministratore di sistema dovrebbe fare qualcosa di più intelligente che limitarsi semplicemente a limitare la posta in arrivo. Questa soluzione potrebbe essere l'uso delle liste grigie. Il principio del loro funzionamento è che al primo tentativo di consegnare un messaggio da un mittente inaffidabile, la connessione al server viene interrotta bruscamente, motivo per cui la consegna della lettera fallisce. Tuttavia, se dopo un certo periodo un server non attendibile tenta di inviare nuovamente la stessa lettera, il server non chiude la connessione e la consegna avviene con successo.
Il punto di tutte queste azioni è che i programmi per l'invio automatico di e-mail di massa di solito non controllano il successo della consegna del messaggio inviato e non tentano di inviarlo una seconda volta, mentre una persona si assicurerà sicuramente se la sua lettera è stata inviata a l'indirizzo oppure no.
Puoi anche abilitare il greylisting nell'interfaccia web di cbpolicyd. Affinché tutto funzioni, è necessario creare una politica che includa tutte le lettere in arrivo indirizzate agli utenti sul nostro server e quindi, in base a questa politica, creare una regola di greylisting, in cui è possibile configurare l'intervallo durante il quale cbpolicyd attenderà per una risposta ripetuta da un mittente sconosciuto. Di solito sono 4-5 minuti. Allo stesso tempo, le liste grigie possono essere configurate in modo tale che tutti i tentativi riusciti e falliti di recapitare lettere da diversi mittenti vengano presi in considerazione e, in base al loro numero, venga presa la decisione di aggiungere automaticamente il mittente alla lista bianca o nera.
Attiriamo la vostra attenzione sul fatto che l'uso delle liste grigie dovrebbe essere fatto con la massima responsabilità. Sarebbe meglio se l'uso di questa tecnologia andasse di pari passo con il mantenimento costante di liste bianche e nere per eliminare la possibilità di perdere email veramente importanti per l'azienda.
Inoltre, l'aggiunta dei controlli SPF, DMARC e DKIM può aiutare a proteggersi dal bombardamento via email. Spesso le lettere che arrivano attraverso il processo di mail bombing non superano tali controlli. Come farlo è stato discusso .
Pertanto, proteggersi da una minaccia come l'email bombing è abbastanza semplice e puoi farlo anche nella fase di creazione dell'infrastruttura Zimbra per la tua azienda. Tuttavia, è importante garantire costantemente che i rischi derivanti dall’utilizzo di tale protezione non superino mai i benefici che si ottengono.
Fonte: habr.com