E-mail stał się powszechnie przyjętym standardem komunikacji biznesowej. Ze względu na wysoką opłacalność poczty elektronicznej, a także szereg funkcji związanych z cytowaniem tekstu i dołączaniem załączników, to właśnie poczta elektroniczna najlepiej sprawdza się w roli uniwersalnej metody wymiany dokumentów i uprzejmej komunikacji biznesowej. Te same cechy sprawiają, że spamerzy tak bardzo lubią pocztę elektroniczną. W rezultacie dzisiejsza poczta e-mail to jeden wielki, szalejący ocean spamu, w którym pojawiają się tylko sporadyczne wiadomości biznesowe. Dlatego jednym z podstawowych zadań każdego administratora serwera pocztowego jest ochrona przed spamem. Przyjrzyjmy się, co można z tym zrobić w pakiecie Zimbra Collaboration Suite Open-Source Edition.
Pomimo tego, że rozwiązanie jest bezpłatne, Zimbra OSE jest w stanie zapewnić administratorowi systemu wiele niezwykle skutecznych narzędzi pozwalających rozwiązać problem otrzymywania niechcianych wiadomości e-mail. Pisaliśmy już o takich narzędziach jak Amavis, SpamAssassin, ClamAV i cbpolicyd, które umożliwiają niezawodne filtrowanie poczty przychodzącej, odfiltrowując zarówno wiadomości spam, jak i wiadomości zainfekowane i phishingowe. Jednak ich główną wadą jest to, że wszystkie działają na już otrzymanych wiadomościach e-mail i marnują zasoby systemu na filtrowanie bezużytecznych wiadomości, które zawsze można wykorzystać w znacznie lepszy sposób. A co w sytuacji, gdy Twoja firma znajdzie się na celowniku dużej sieci botów, która nieustannie zalewa Twój serwer pocztowy tak ogromną ilością niechcianych wiadomości, że samo ich filtrowanie wykorzystałoby lwią część przepustowości serwera Twojego agenta pocztowego?
Teoretycznie można się przed tym zabezpieczyć, łącząc się z usługą w chmurze filtrującą pocztę przychodzącą, jednak w praktyce ta metoda ochrony nie sprawdzi się w każdym przedsiębiorstwie, ponieważ w takim przypadku trzeba zaufać osobom trzecim, że będą przetwarzać nie tylko spam, ale także korespondencję biznesową, co nie zawsze jest bezpieczne i często jest sprzeczne z polityką bezpieczeństwa firmy. Ponadto istnieją zagrożenia związane z niezawodnością filtra spamu w chmurze. Wyjściem z tej sytuacji może być zorganizowanie ochrony serwera na własną rękę. W tym celu Zimbra posiada wbudowane narzędzie Postscreen, którego zadaniem jest ochrona serwera pocztowego przed wiadomościami e-mail wysyłanymi przez botnety bez przeciążania serwera pocztowego.
Istotą Postscreen jest to, że to narzędzie przegląda wszystkie żądania połączenia z pocztą serwer i uniemożliwia klientom, których uznaje za podejrzanych, łączenie się z serwerem. Ponieważ statystyki pokazują, że około 90% spamu na świecie jest wysyłane przez botnety, Postscreen jest często używany jako pierwsza linia obrony serwerów pocztowych przed niechcianymi wiadomościami. Dzięki temu serwer pocztowy może działać niezawodnie i bez przeciążeń, nawet podczas intensywnych ataków spamowych z dużych botnetów.
Zasada działania Postscreen jest dość prosta, narzędzie jest w stanie wykonać szereg prostych kontroli przychodzących listów przed przekazaniem ich do serwera pocztowego lub innych usług, które wykonują głębszą i bardziej szczegółową kontrolę przychodzących listów. Każdy z testów może zostać zaliczony lub nie. Na podstawie wyników każdej kontroli Postscreen może podjąć jedną z trzech akcji, według uznania administratora Zimbra: Spadek, ignorować lub egzekwować. Akcja Spadek Wymusza rozłączenie z klientem, jeśli sprawdzenie się nie powiedzie, działanie ignorować pozwala na zignorowanie wyników kontroli przy podejmowaniu ostatecznej decyzji, ale jednocześnie zbiera informacje i statystyki dotyczące kontroli i działań egzekwować pozwala na uwzględnienie wyników wykonanych testów przy podejmowaniu ostatecznej decyzji, ale jednocześnie na kontynuowanie wykonywania wszystkich testów zaplanowanych przez administratora systemu.
Prosta zasada działania nie oznacza, że urządzenie jest łatwe w obsłudze i konfiguracji. Faktem jest, że nieprawidłowo skonfigurowany Postscreen może spowodować, że wiele ważnych dla przedsiębiorstwa wiadomości e-mail nie dotrze do adresata. Dlatego też do konfiguracji tak potężnego narzędzia jak Postscreen należy podchodzić z dużą ostrożnością i stale testować jego zachowanie w określonych sytuacjach.
Funkcja Postscreen jest domyślnie włączona w systemie Zimbra, ale wiele osób może nie być zadowolonych z początkowej konfiguracji. Teraz przyjrzymy się najlepszej opcji konfiguracji Postscreen pod kątem bezpieczeństwa i braku ryzyka. Istotą tej funkcji jest to, że jeśli którakolwiek z kontroli się nie powiedzie, Postscreen nie zerwie automatycznie połączenia z klientem, lecz przeprowadzi wszystkie kontrole do końca i w przypadku niepowodzenia wyświetli komunikat o błędzie. Dzięki temu będziesz mógł powiadomić nadawcę o niedostarczonym liście, na wypadek gdyby Postscreen uznał go za spam. Osiąga się to poprzez ustawienie wartości wymuszania w parametrach przeprowadzania sprawdzeń. Wartość ta pozwala na dokończenie rozpoczętych sprawdzeń do końca, nie zrywając połączenia z klientem przy pierwszym błędzie, ale jednocześnie po ich zakończeniu nadal blokując wiadomość spamową, nie dostarczając jej na serwer.
Aby włączyć niezbędne kontrole, należy wprowadzić następujące polecenia:
zmprov mcf zimbraMtaPostscreenDnsblSites 'b.barracudacentral.org=127.0.0.2*7' zimbraMtaPostscreenDnsblSites 'zen.spamhaus.org=127.0.0.[10;11]*8' zimbraMtaPostscreenDnsblSites 'zen.spamhaus.org=127.0.0.[4..7]*6' zimbraMtaPostscreenDnsblSites 'zen.spamhaus.org=127.0.0.3*4' zimbraMtaPostscreenDnsblSites 'zen.spamhaus.org=127.0.0.2*3'
Ta komenda pozwala dodać sprawdzanie DNS połączeń przychodzących w dwóch najpopularniejszych publicznych bazach spamu i oceniać wiadomości e-mail w zależności od tego, w której bazie danych znajduje się adres nadawcy. Im więcej karnych „gwiazdek” otrzyma klient, tym bardziej prawdopodobne jest, że jest spamerem.
zmprov mcf zimbraMtaPostscreenDnsblAkcja wymuszania
Polecenie to definiuje akcję wykonywaną po pomyślnym przejściu kontroli DNS. W tym przypadku wynik testu zostaje zapamiętany i sam list poddawany jest dalszym badaniom.
zmprov mcf zimbraMtaPostscreenGreetAction wymuszanie
Ponieważ w protokole SMTP po bezpośrednim połączeniu serwer jako pierwszy rozpoczyna komunikację z klientem, Postscreen może wysłać powitanie do klienta. Ponieważ wiele klientów rozsyłających spam zaczyna wysyłać polecenia, nie czekając na zakończenie powitania, można je łatwo rozpoznać. To polecenie pozwala na uwzględnienie wyników tego sprawdzenia, ale nadal umożliwia przeprowadzenie dalszych testów.
zmprov mcf zimbraMtaPostscreenNonSmtpCommandAction upuść
W ramach tej kontroli Postscreen umożliwia filtrowanie połączeń, które nie pochodzą z klientów poczty e-mail. Ponieważ nie wysyłają żadnych wiadomości e-mail, możesz bez obaw odłączyć je od serwera.
zmprov mcf zimbraMtaPostscreenPipeliningAkcja wymuszania
To sprawdzenie opiera się na fakcie, że domyślnie w protokole SMTP klient może wysłać tylko jedno polecenie na raz i czekać na odpowiedź serwera. Jednak wiele spambotów zachowuje się inaczej, wysyłając wiele poleceń bez czekania na odpowiedź serwera. Umożliwia to niemal bezbłędną identyfikację bota spamowego.
Zasadniczo tego typu kontrole Postscreen w zupełności wystarczą, aby odciąć większość botów spamowych od serwera i osiągnąć znaczącą redukcję obciążenia serwera pocztowego. W tym samym czasie żywi ludzie otrzymają wiadomość, że ich list nie został dostarczony, co znacznie zmniejsza ryzyko utraty ważnych listów z powodu ustawień Postscreen. Jeśli tak się stanie, możesz dodać zaufanego nadawcę do białej listy Postscreen. Aby utworzyć białe i czarne listy Postscreen, musisz najpierw utworzyć plik /opt/zimbra/conf/postfix/postscreen_wblist.
Dodamy listę dozwolonych i zablokowanych adresów IP oraz podsieci w formacie tabeli CIDR. Na przykład zablokujemy podsieć 121.144.169.*, ale zezwolimy tylko na jedno połączenie. Adres IP z tej podsieci:
# Reguły są oceniane w określonej kolejności.
# Czarna lista 121.144.169.* z wyjątkiem 121.144.169.196.
121.144.169.196/32 zezwolenie
121.144.169.0/24 odrzuć
Należy zwrócić uwagę na kolejność zgłoszeń. Chodzi o to, że Postscreen będzie skanował plik za pomocą białej i czarnej listy, aż znajdzie pierwszą pasującą sieć, a jeśli zablokowana podsieć znajduje się przed dozwolonym adresem IP, to sprawdzenie po prostu nie dotrze do rekordu informującego, że ten adres IP został dodany do białej listy i połączenie z serwerem nie zostanie nawiązane.
Po wyedytowaniu i zapisaniu pliku białej i czarnej listy możesz włączyć odpowiednią kontrolę, korzystając z następujących poleceń:
zmprov mcf zimbraMtaPostscreenAccessList "permit_mynetworks, cidr:/opt/zimbra/conf/postfix/postscreen_wblist"
zmprov mcf zimbraMtaPostscreenBlacklistAkcja wymuszania
Teraz Postscreen, oprócz sprawdzeń, które już ustawiliśmy, będzie miał również dostęp do pliku z białymi i czarnymi listami, co pozwoli administratorowi dość łatwo rozwiązać problemy z możliwością połączenia się z serwerem zaufanych nadawców.
Źródło: www.habr.com
