🥇Zimbra un aizsardzība pret pasta bombardēšanu

Pasta bombardēšana ir viens no vecākajiem kiberuzbrukumu veidiem. Savā būtībā tas atgādina parastu DoS uzbrukumu, tikai pieprasījumu viļņa vietā no dažādām IP adresēm uz serveri tiek nosūtīts e-pastu vilnis, kas milzīgos daudzumos nonāk uz kādu no e-pasta adresēm, kuru dēļ tiek noslogota. uz tā ievērojami palielinās. Šāds uzbrukums var novest pie nespējas izmantot pastkasti un dažkārt var izraisīt pat visa servera atteici. Šāda veida kiberuzbrukumu ilgā vēsture ir radījusi vairākas pozitīvas un negatīvas sekas sistēmu administratoriem. Pozitīvie faktori ietver labas zināšanas par pasta bombardēšanu un vienkāršu veidu pieejamību, kā pasargāt sevi no šāda uzbrukuma. Negatīvie faktori ietver lielu skaitu publiski pieejamu programmatūras risinājumu šāda veida uzbrukumu veikšanai un iespēju uzbrucējam droši pasargāt sevi no atklāšanas.

Svarīga šī kiberuzbrukuma iezīme ir tā, ka to ir gandrīz neiespējami izmantot peļņas gūšanai. Nu, uzbrucējs nosūtīja e-pasta vilni uz vienu no pastkastēm, labi, viņš neļāva personai normāli izmantot e-pastu, labi, uzbrucējs uzlauza kāda uzņēmuma e-pastu un sāka masveidā sūtīt tūkstošiem vēstuļu visā GAL, kas ir kāpēc serveris vai nu avarēja, vai sāka palēnināties tā, ka kļuva neiespējami to izmantot, un kas tālāk? Pārvērst šādu kibernoziegumu īstā naudā ir gandrīz neiespējami, tāpēc vienkārši pasta bombardēšana šobrīd ir diezgan reta parādība un sistēmu administratori, veidojot infrastruktūru, var vienkārši neatcerēties nepieciešamību aizsargāties pret šādu kiberuzbrukumu.

Tomēr, lai gan pati e-pasta bombardēšana no komerciālā viedokļa ir diezgan bezjēdzīga darbība, tā bieži vien ir daļa no citiem, sarežģītākiem un daudzpakāpju kiberuzbrukumiem. Piemēram, uzlaužot pastu un izmantojot to, lai nolaupītu kontu kādā valsts dienestā, uzbrucēji bieži “bombardē” upura pastkastīti ar bezjēdzīgām vēstulēm, tādējādi apstiprinājuma vēstule pazūd viņu straumē un paliek nepamanīta. Pasta bombardēšanu var izmantot arī kā līdzekli ekonomiskam spiedienam uz uzņēmumu. Tādējādi aktīva uzņēmuma publiskās pastkastes bombardēšana, kas saņem klientu pieprasījumus, var nopietni apgrūtināt darbu ar tiem un rezultātā var novest pie iekārtu dīkstāves, neizpildītiem pasūtījumiem, kā arī reputācijas zaudēšanas un peļņas.

Tāpēc sistēmas administratoram nevajadzētu aizmirst par e-pasta bombardēšanas iespējamību un vienmēr veikt nepieciešamos pasākumus, lai aizsargātos pret šiem draudiem. Ņemot vērā to, ka to var izdarīt pasta infrastruktūras izveides stadijā, kā arī to, ka tas prasa ļoti maz laika un darba no sistēmas administratora, vienkārši nav objektīvu iemeslu, lai nenodrošinātu savu infrastruktūru ar aizsardzību pret pasta bombardēšanu. Apskatīsim, kā Zimbra Collaboration Suite atvērtā pirmkoda izdevumā tiek īstenota aizsardzība pret šo kiberuzbrukumu.

Zimbra pamatā ir Postfix, viens no uzticamākajiem un funkcionālākajiem atvērtā pirmkoda pasta pārsūtīšanas aģentiem, kas šodien ir pieejami. Un viena no galvenajām tās atvērtības priekšrocībām ir tā, ka tā atbalsta plašu trešo pušu risinājumu klāstu, lai paplašinātu funkcionalitāti. Jo īpaši Postfix pilnībā atbalsta cbpolicyd — uzlabotu utilītu pasta servera kiberdrošības nodrošināšanai. Papildus aizsardzībai pret surogātpastu un balto sarakstu, melno sarakstu un pelēko sarakstu izveidei, cbpolicyd ļauj Zimbra administratoram konfigurēt SPF paraksta verifikāciju, kā arī noteikt ierobežojumus e-pastu vai datu saņemšanai un sūtīšanai. Tie var gan nodrošināt drošu aizsardzību pret surogātpasta un pikšķerēšanas e-pastiem, gan aizsargāt serveri no e-pasta bombardēšanas.

Pirmā lieta, kas tiek prasīta no sistēmas administratora, ir aktivizēt moduli cbpolicyd, kas ir iepriekš instalēts Zimbra Collaboration Suite OSE infrastruktūras MTA serverī. Tas tiek darīts, izmantojot komandu zmprov ms `zmhostname` +zimbraServiceEnabled cbpolicyd. Pēc tam jums būs jāaktivizē tīmekļa saskarne, lai varētu ērti pārvaldīt cbpolicyd. Lai to izdarītu, jums ir jāatļauj savienojumi tīmekļa portā ar numuru 7780, jāizveido simboliska saite, izmantojot komandu ln -s /opt/zimbra/common/share/webui /opt/zimbra/data/httpd/htdocs/webuiun pēc tam rediģējiet iestatījumu failu, izmantojot komandu nano /opt/zimbra/data/httpd/htdocs/webui/includes/config.php, kur jāraksta šādas rindas:

$DB_DSN="sqlite:/opt/zimbra/data/cbpolicyd/db/cbpolicyd.sqlitedb";
$DB_USER="sakne";
$DB_TABLE_PREFIX="";

Pēc tam atliek tikai restartēt Zimbra un Zimbra Apache pakalpojumus, izmantojot zmcontrol restart un zmapachectl restart komandas. Pēc tam jums būs piekļuve tīmekļa saskarnei vietnē example.com:7780/webui/index.php. Galvenā nianse ir tāda, ka ieeja šajā tīmekļa saskarnē vēl nav nekādā veidā aizsargāta un, lai nepieļautu nepiederošu personu iekļūšanu tajā, pēc katras ieejas tīmekļa saskarnē var vienkārši aizvērt savienojumus portā 7780.

Jūs varat pasargāt sevi no e-pastu plūdiem, kas nāk no iekšējā tīkla, izmantojot e-pasta sūtīšanas kvotas, kuras var iestatīt, pateicoties cbpolicyd. Šādas kvotas ļauj iestatīt ierobežojumu maksimālajam vēstuļu skaitam, ko vienā laika vienībā var nosūtīt no vienas pastkastītes. Piemēram, ja jūsu uzņēmuma vadītāji sūta vidēji 60-80 e-pastus stundā, tad varat iestatīt kvotu 100 e-pastu stundā, ņemot vērā nelielu rezervi. Lai sasniegtu šo kvotu, pārvaldniekiem būs jānosūta viens e-pasta ziņojums ik pēc 36 sekundēm. No vienas puses, tas ir pietiekami, lai pilnībā strādātu, un, no otras puses, ar šādu kvotu uzbrucēji, kuri ir ieguvuši piekļuvi kāda no jūsu menedžeru pastam, nesāks pasta bombardēšanu vai masveida surogātpasta uzbrukumu uzņēmumam.

Lai iestatītu šādu kvotu, tīmekļa saskarnē ir jāizveido jauna e-pasta sūtīšanas ierobežojuma politika un jānorāda, ka tā attiecas gan uz vēstulēm, kas nosūtītas domēna ietvaros, gan uz vēstulēm, kas nosūtītas uz ārējām adresēm. Tas tiek darīts šādi:

Pēc tam jūs varat sīkāk norādīt ierobežojumus, kas saistīti ar vēstuļu sūtīšanu, jo īpaši iestatīt laika intervālu, pēc kura ierobežojumi tiks atjaunināti, kā arī ziņojumu, ko saņems lietotājs, kurš ir pārsniedzis savu limitu. Pēc tam varat iestatīt ierobežojumu vēstuļu sūtīšanai. To var iestatīt gan kā izejošo vēstuļu skaitu, gan kā pārsūtītās informācijas baitu skaitu. Tajā pašā laikā vēstules, kas nosūtītas, pārsniedzot noteikto limitu, ir jārīkojas atšķirīgi. Piemēram, varat tos vienkārši izdzēst uzreiz vai arī saglabāt, lai tie tiktu nosūtīti uzreiz pēc ziņojumu sūtīšanas limita atjaunināšanas. Otro iespēju var izmantot, nosakot darbinieku e-pasta sūtīšanas limita optimālo vērtību.

Papildus ierobežojumiem vēstuļu sūtīšanai, cbpolicyd ļauj iestatīt ierobežojumu vēstuļu saņemšanai. Šāds ierobežojums, no pirmā acu uzmetiena, ir lielisks risinājums aizsardzībai pret pasta bombardēšanu, taču patiesībā šāda ierobežojuma noteikšana, pat liela, ir saistīta ar faktu, ka noteiktos apstākļos svarīga vēstule var nesasniegt jūs. Tāpēc nav ieteicams iespējot ierobežojumus ienākošajam pastam. Tomēr, ja tomēr nolemjat riskēt, ienākošo ziņojumu limita noteikšanai jāpieiet ar īpašu uzmanību. Piemēram, varat ierobežot ienākošo e-pasta ziņojumu skaitu no uzticamiem darījuma partneriem, lai, ja viņu pasta serveris tiktu apdraudēts, tas nesāktu surogātpasta uzbrukumu jūsu uzņēmumam.

Lai aizsargātu pret ienākošo ziņojumu pieplūdumu pasta bombardēšanas laikā, sistēmas administratoram vajadzētu darīt kaut ko gudrāku, nekā vienkārši ierobežot ienākošo pastu. Šis risinājums varētu būt pelēko sarakstu izmantošana. To darbības princips ir tāds, ka pirmajā mēģinājumā piegādāt ziņu no neuzticama sūtītāja pēkšņi tiek pārtraukts savienojums ar serveri, kādēļ vēstules piegāde neizdodas. Tomēr, ja noteiktā laika posmā neuzticams serveris mēģina vēlreiz nosūtīt to pašu vēstuli, serveris neaizver savienojumu un tā piegāde ir veiksmīga.

Visu šo darbību jēga ir tāda, ka masveida e-pasta automātiskās nosūtīšanas programmas parasti nepārbauda nosūtītā ziņojuma piegādes panākumus un nemēģina to nosūtīt otrreiz, savukārt cilvēks noteikti pārliecinās, vai viņa vēstule ir nosūtīta uz adrese vai nē.

Varat arī iespējot pelēko sarakstu cbpolicyd tīmekļa saskarnē. Lai viss darbotos, ir jāizveido politika, kurā būtu iekļautas visas ienākošās vēstules, kas adresētas mūsu servera lietotājiem, un pēc tam, pamatojoties uz šo politiku, jāizveido Greylisting kārtula, kurā varat konfigurēt intervālu, kurā cbpolicyd gaidīs. par atkārtotu atbildi no nezināmas personas sūtītāja. Parasti tas ir 4-5 minūtes. Tajā pašā laikā pelēkos sarakstus var konfigurēt tā, lai tiktu ņemti vērā visi veiksmīgie un neveiksmīgie mēģinājumi piegādāt dažādu sūtītāju vēstules un, pamatojoties uz to skaitu, tiek pieņemts lēmums automātiski pievienot sūtītāju baltajam vai melnajam sarakstam.

Vēršam jūsu uzmanību uz to, ka pelēko sarakstu izmantošana ir jāveic ar vislielāko atbildību. Vislabāk būtu, ja šīs tehnoloģijas izmantošana iet roku rokā ar pastāvīgu balto un melno sarakstu uzturēšanu, lai novērstu iespēju pazaudēt uzņēmumam patiesi svarīgus e-pastus.

Turklāt SPF, DMARC un DKIM pārbaužu pievienošana var palīdzēt aizsargāt pret e-pasta bombardēšanu. Bieži vien vēstules, kas tiek saņemtas pasta bombardēšanas procesā, neiztur šādas pārbaudes. Tika apspriests, kā to izdarīt vienā no mūsu iepriekšējiem rakstiem.

Tādējādi pasargāt sevi no tādiem draudiem kā e-pasta bombardēšana ir pavisam vienkārši, un to var izdarīt pat sava uzņēmuma Zimbra infrastruktūras veidošanas posmā. Tomēr ir svarīgi pastāvīgi nodrošināt, lai šādas aizsardzības lietošanas riski nekad nepārsniegtu saņemto labumu.

Avots: www.habr.com

Zimbra un pasta bombardēšanas aizsardzība

Pievieno komentāru Atcelt atbildi