Бомбардирањето по пошта е еден од најстарите видови сајбер напади. Во неговото јадро, наликува на редовен DoS напад, но наместо бран барања од различни IP адреси, на серверот се испраќа бран пораки, кои пристигнуваат во огромни количини на една од адресите на е-пошта, поради што оптоварувањето на него значително се зголемува. Таквиот напад може да доведе до неможност за користење на поштенското сандаче, а понекогаш дури и да доведе до откажување на целиот сервер. Долгата историја на овој тип на сајбер напади доведе до голем број позитивни и негативни последици за системските администратори. Позитивните фактори вклучуваат добро познавање на бомбардирањето по пошта и достапноста на едноставни начини да се заштитите од таков напад. Негативните фактори вклучуваат голем број јавно достапни софтверски решенија за извршување на такви типови напади и способност на напаѓачот сигурно да се заштити од откривање.
Важна карактеристика на овој сајбер напад е тоа што е речиси невозможно да се искористи за профит. Па, напаѓачот испрати бран на е-пошта до едно од поштенските сандачиња, добро, тој не му дозволи на лицето да користи е-пошта нормално, добро, напаѓачот хакираше нечија корпоративна пошта и почна масовно да испраќа илјадници писма низ ГАЛ, поради кој серверот или падна или почна да успорува така што стана невозможно да се користи, а потоа што? Речиси е невозможно да се претвори таков сајбер криминал во вистински пари, така што бомбардирањето по пошта во моментов е доста ретко и системските администратори можеби едноставно не се сеќаваат на потребата да се заштитат од таков сајбер напад при дизајнирање на инфраструктурата.
Сепак, и покрај фактот што самото бомбардирање по пошта е прилично бесмислена активност од комерцијална гледна точка, тоа често е составен дел на други, посложени и повеќефазни сајбер напади. На пример, кога хакираат пошта и ја користат за киднапирање на сметка на некој јавен сервис, напаѓачите често го „бомбардираат“ поштенското сандаче на жртвата со бесмислени букви, така што писмото за потврда се губи во нивниот тек и останува незабележано. Бомбардирањето по пошта може да се користи и како средство за економски притисок врз претпријатието. Така, активното бомбардирање на јавното поштенско сандаче на претпријатието, кое прима апликации од клиенти, може сериозно да ја комплицира работата со нив и, како резултат на тоа, може да доведе до прекин на опремата, неисполнети нарачки, како и губење на угледот и изгубени профити.
Затоа администраторот на системот не треба да заборави на можноста за бомбардирање на пошта и секогаш да ги преземе неопходните мерки за заштита од оваа закана. Имајќи предвид дека тоа може да се направи дури и во фазата на изградба на инфраструктурата за пошта, а исто така и дека е потребно многу малку време и напор од администраторот на системот, едноставно нема објективни причини да не ја заштитите вашата инфраструктура од бомбардирање по пошта. . Ајде да погледнеме како заштитата од овој сајбер напад е имплементирана во изданието со отворен код на Zimbra Collaboration Suite.
Zimbra се базира на Postfix, еден од најсигурните и најфункционалните агенти за пренос на пошта со отворен код во моментот. И една од главните предности на неговата отвореност е тоа што поддржува широк спектар на решенија од трети страни за проширување на функционалноста. Особено, Postfix целосно го поддржува cbpolicyd, напредна алатка за сајбер-безбедност на серверот за пошта. Покрај заштитата од спам и ставањето бела листа, црната листа и сивата листа, cbpolicyd му дозволува на администраторот на Zimbra да постави проверка на потписот со SPF, како и да поставува ограничувања за примање и испраќање е-пошта или податоци. Тие можат да обезбедат сигурна заштита од спам и фишинг е-пошта, како и да го заштитат серверот од бомбардирање на е-пошта.
Првото нешто што се бара од системскиот администратор е активирање на модулот cbpolicyd, кој е претходно инсталиран во Zimbra Collaboration Suite OSE на инфраструктурниот MTA сервер. Ова е направено со помош на командата zmprov ms `zmhostname` + zimbraServiceEnabled cbpolicyd. После тоа, ќе треба да го активирате веб-интерфејсот за да можете удобно да управувате со cbpolicyd. За да го направите ова, треба да дозволите врски на веб-портата број 7780, да креирате симболична врска користејќи ја командата ln -s /opt/zimbra/common/share/webui /opt/zimbra/data/httpd/htdocs/webui, а потоа уредете ја датотеката за поставки со нано командата /opt/zimbra/data/httpd/htdocs/webui/includes/config.php, каде што треба да ги напишете следните редови:
$DB_DSN="sqlite:/opt/zimbra/data/cbpolicyd/db/cbpolicyd.sqlitedb";
$DB_USER = "root";
$DB_TABLE_PREFIX="";
После тоа, останува само да ги рестартирате услугите Zimbra и Zimbra Apache користејќи ги командите за рестартирање zmcontrol и рестартирање zmapachectl. После тоа, ќе имате пристап до веб-интерфејсот на :7780/webui/index.php. Главната нијанса е дека влезот во овој веб-интерфејс сè уште не е заштитен на кој било начин, а за да спречите неовластени лица да влезат во него, можете едноставно да ги затворите врските на портата 7780 по секое влегување во веб-интерфејсот.
За да се заштитите од поплавата на е-пошта кои доаѓаат од внатрешната мрежа, можете да користите квоти за испраќање е-пошта, кои може да се постават благодарение на cbpolicyd. Ваквите квоти ви дозволуваат да поставите ограничување на максималниот број на букви што може да се испратат од едно поштенско сандаче во една единица време. На пример, ако менаџерите во вашиот бизнис испраќаат просечно 60-80 е-пораки на час, можете да поставите квота од 100 е-пошта на час со мал простор за глава. За да се исцрпи оваа квота, менаџерите ќе треба да испраќаат по една буква на секои 36 секунди. Од една страна, ова е доволно за целосно да функционира, а од друга страна, со таква квота, напаѓачите кои добиле пристап до поштата на еден од вашите менаџери нема да организираат бомбардирање по пошта или масовен спам напад на претпријатието .
За да поставите таква квота, треба да креирате нова политика за ограничување на испраќање е-пошта во веб-интерфејсот и да наведете дека таа важи и за е-пораките испратени во доменот и за е-пораките испратени на надворешни адреси. Ова се прави на следниов начин:
После тоа, ќе биде можно подетално да се наведат ограничувањата поврзани со испраќање е-пошта, особено, да се постави временскиот интервал по кој ќе се ажурираат ограничувањата, како и пораката што ќе ја добие корисникот кој ја надминал својата граница. После тоа, можете да го поставите самото ограничување за испраќање писма. Може да се постави и како број на појдовни пораки и како број на бајти на пренесени информации. Во исто време, со писма кои се испраќаат повеќе од назначениот лимит, постапете поинаку. Така, на пример, можете едноставно да ги избришете веднаш, или можете да ги зачувате за да одат веднаш откако ќе се ажурира ограничувањето за испраќање пораки. Втората опција може да се користи при определување на оптималната вредност за лимитот за испраќање е-пошта до вработените.
Покрај ограничувањата за испраќање е-пошта, cbpolicyd ви овозможува да поставите ограничување за примање е-пошта. Таквата граница, на прв поглед, е одлично решение за заштита од бомбардирање по пошта, но всушност, поставувањето на таква граница, дури и ако е голема, е полн со фактот дека под одредени услови важно писмо може да не стигне до вас. Затоа е многу обесхрабрено да се овозможат какви било ограничувања за дојдовна пошта. Меѓутоа, ако сепак одлучите да искористите шанса, треба да пристапите кон поставувањето на границата за дојдовни пораки со посебно внимание. На пример, можете да го ограничите бројот на дојдовни е-пораки од доверливи договорни страни, така што ако нивниот сервер за пошта е компромитиран, нема да го спамира вашиот бизнис.
Со цел да се заштити од низа дојдовни пораки од бомбардирање по пошта, системскиот администратор треба да направи нешто поумно од едноставно ограничување на дојдовната пошта. Такво решение би можело да биде употребата на сиви списоци. Принципот на нивното работење е дека при првиот обид да се достави порака од несигурен испраќач, врската со серверот е нагло прекината, поради што доставувањето на пораката не успева. Меѓутоа, ако недоверлив сервер се обиде повторно да ја испрати истата е-пошта во одреден период, серверот не ја прекинува врската и нејзината испорака е успешна.
Поентата на сите овие дејства е што автоматските програми за масовно е-пошта обично не ја проверуваат успешноста на испратената порака и не се обидуваат да ја испратат по втор пат, додека лицето сигурно ќе се увери дали неговото писмо е испратено на адресата или не. .
Можете исто така да овозможите сива листа во веб-интерфејсот cbpolicyd. За да може сè да функционира, треба да креирате политика која ќе ги вклучи сите дојдовни писма адресирани до корисниците на нашиот сервер, а потоа, врз основа на оваа политика, да креирате правило за Greylisting, каде што можете да го конфигурирате интервалот за време на кој cbpolicyd ќе чека за втор одговор од непознат испраќач. Обично тоа е 4-5 минути. Во исто време, сивите списоци може да се конфигурираат така што ќе се земат предвид сите успешни и неуспешни обиди за доставување писма од различни испраќачи и, врз основа на нивниот број, се донесува одлука испраќачот автоматски да се додаде во белата или црната листа.
Вашето внимание го обрнуваме на фактот дека кон употребата на сиви списоци треба да се пристапи со најголема одговорност. Најдобро би било користењето на оваа технологија да оди рака под рака со постојано одржување на белите и црните списоци со цел да се исклучи можноста за губење на буквите кои се навистина важни за претпријатието.
Дополнително, додавањето на проверки SPF, DMARC и DKIM може да помогне да се заштитите од бомбардирање на е-пошта. Често, писмата што доаѓаат во процес на бомбардирање по пошта не поминуваат такви проверки. Како да го направите ова беше објаснето .
Така, многу е едноставно да се заштитите од таква закана како бомбардирање по пошта, а тоа можете да го направите дури и во фазата на изградба на инфраструктурата Зимбра за вашето претпријатие. Сепак, важно е постојано да се осигурате дека ризиците од користењето на таквата заштита никогаш не ги надминуваат придобивките што ги добивате.
Извор: www.habr.com