Бомбардовање поштом је један од најстаријих типова сајбер напада. У основи личи на обичан ДоС напад, само што уместо таласа захтева са различитих ИП адреса на сервер се шаље талас мејлова који у огромним количинама стижу на неку од имејл адреса, због чега се оптерећење на њему значајно расте. Такав напад може довести до немогућности коришћења поштанског сандучета, а понекад чак и до квара целог сервера. Дуга историја ове врсте сајбер напада довела је до низа позитивних и негативних последица по систем администраторе. Позитивни фактори укључују добро познавање бомбардовања поште и доступност једноставних начина да се заштитите од таквог напада. Негативни фактори укључују велики број јавно доступних софтверских решења за извођење ових врста напада и способност нападача да се поуздано заштити од откривања.
Важна карактеристика овог сајбер напада је да га је готово немогуће искористити за профит. Па, нападач је послао талас мејлова у једно од поштанских сандучића, па, није дозволио особи да нормално користи е-пошту, па, нападач је хаковао нечију корпоративну е-пошту и почео масовно да шаље хиљаде писама широм ГАЛ-а, што је зашто се сервер или срушио или почео да успорава тако да је постало немогуће користити га, и шта даље? Готово је немогуће претворити такав сајбер злочин у прави новац, тако да је једноставно бомбардовање поштом тренутно прилично ретка појава, а системски администратори, приликом пројектовања инфраструктуре, можда се једноставно не сећају потребе да се заштите од таквог сајбер напада.
Међутим, док је само бомбардовање путем е-поште прилично бесмислена вежба са комерцијалне тачке гледишта, оно је често део других, сложенијих и вишестепених сајбер напада. На пример, када хакују пошту и користе је за отмицу налога у неком јавном сервису, нападачи често „бомбају“ поштанско сандуче жртве бесмисленим словима тако да се писмо потврде изгуби у њиховом току и остане непримећено. Бомбардовање поштом се такође може користити као средство економског притиска на предузеће. Дакле, активно бомбардовање јавног поштанског сандучета предузећа, које прима захтеве клијената, може озбиљно да закомпликује рад са њима и као резултат тога може довести до застоја опреме, неиспуњених поруџбина, као и губитка угледа и изгубљене добити.
Због тога администратор система не би требало да заборави на вероватноћу бомбардовања путем е-поште и увек предузима неопходне мере за заштиту од ове претње. С обзиром да се то може урадити у фази изградње поштанске инфраструктуре, као и да је потребно врло мало времена и труда администратора система, једноставно не постоје објективни разлози да својој инфраструктури не обезбедите заштиту од бомбардовања поште. Хајде да погледамо како је заштита од овог сајбер-напада имплементирана у Зимбра Цоллаборатион Суите Опен-Соурце Едитион.
Зимбра је заснована на Постфик-у, једном од најпоузданијих и најфункционалнијих агената за пренос поште отвореног кода који су данас доступни. А једна од главних предности његове отворености је да подржава широк спектар решења трећих страна за проширење функционалности. Конкретно, Постфик у потпуности подржава цбполицид, напредни услужни програм за обезбеђивање сајбер безбедности сервера поште. Поред заштите од нежељене поште и креирања белих, црних и сивих листа, цбполицид дозвољава Зимбра администратору да конфигурише СПФ верификацију потписа, као и да постави ограничења за пријем и слање е-поште или података. Они могу да обезбеде поуздану заштиту од нежељене е-поште и пхисхинг е-поште, као и да заштите сервер од бомбардовања е-поште.
Прва ствар која се тражи од администратора система је да активира модул цбполицид, који је унапред инсталиран у Зимбра Цоллаборатион Суите ОСЕ на инфраструктурном МТА серверу. Ово се ради помоћу команде змпров мс `змхостнаме` +зимбраСервицеЕнаблед цбполицид. Након тога, мораћете да активирате веб интерфејс да бисте могли удобно да управљате цбполицид-ом. Да бисте то урадили, потребно је да омогућите везе на веб порту број 7780, креирате симболичку везу помоћу команде лн -с /опт/зимбра/цоммон/схаре/вебуи /опт/зимбра/дата/хттпд/хтдоцс/вебуи, а затим уредите датотеку поставки помоћу нано команде /опт/зимбра/дата/хттпд/хтдоцс/вебуи/инцлудес/цонфиг.пхп, где треба да напишете следеће редове:
$ДБ_ДСН="склите:/опт/зимбра/дата/цбполицид/дб/цбполицид.склитедб";
$ДБ_УСЕР="роот";
$ДБ_ТАБЛЕ_ПРЕФИКС="";
После овога, остаје само да поново покренете Зимбра и Зимбра Апацхе услуге помоћу команди змцонтрол рестарт и змапацхецтл рестарт. Након тога, имаћете приступ веб интерфејсу на :7780/вебуи/индек.пхп. Главна нијанса је да улаз у овај веб интерфејс још увек није ни на који начин заштићен и да бисте спречили неовлашћене особе да уђу у њега, можете једноставно затворити везе на порту 7780 након сваког уласка у веб интерфејс.
Можете се заштитити од поплаве мејлова који долазе са интерне мреже коришћењем квота за слање мејлова, које се могу подесити захваљујући цбполицид. Такве квоте вам омогућавају да поставите ограничење максималног броја писама која се могу послати из једног поштанског сандучета у једној јединици времена. На пример, ако ваши пословни менаџери пошаљу у просеку 60-80 е-порука на сат, онда можете поставити квоту од 100 е-порука на сат, узимајући у обзир малу маржу. Да би достигли ову квоту, менаџери ће морати да пошаљу једну е-поруку сваких 36 секунди. С једне стране, ово је довољно да функционише у потпуности, а са друге стране, са таквом квотом, нападачи који су добили приступ пошти једног од ваших менаџера неће покренути бомбардовање поште или масовни напад нежељене поште на предузеће.
Да бисте поставили такву квоту, потребно је да креирате нову политику ограничења слања е-поште у веб интерфејсу и наведете да се она примењује и на писма која се шаљу унутар домена и на писма која се шаљу на спољне адресе. Ово се ради на следећи начин:
Након тога можете детаљније одредити ограничења везана за слање писама, посебно поставити временски интервал након којег ће ограничења бити ажурирана, као и поруку коју ће примити корисник који је прекорачио ограничење. Након тога можете поставити ограничење за слање писама. Може се подесити и као број одлазних слова и као број бајтова пренете информације. Истовремено, писма која се шаљу преко предвиђеног лимита морају се третирати другачије. Тако, на пример, можете једноставно да их одмах избришете или да их сачувате тако да се шаљу одмах након ажурирања ограничења слања порука. Друга опција се може користити приликом одређивања оптималне вредности лимита за слање мејлова од стране запослених.
Поред ограничења за слање писама, цбполицид вам омогућава да поставите ограничење за примање писама. Такво ограничење је, на први поглед, одлично решење за заштиту од бомбардовања поште, али у ствари, постављање таквог ограничења, чак и великог, оптерећено је чињеницом да под одређеним условима важно писмо можда неће стићи до вас. Због тога се не препоручује да се омогућавају било каква ограничења за долазну пошту. Међутим, ако ипак одлучите да ризикујете, морате са посебном пажњом приступити постављању ограничења долазних порука. На пример, можете ограничити број долазних порука е-поште од поузданих партнера тако да, ако је њихов сервер е-поште компромитован, неће покренути напад нежељене поште на ваше пословање.
Да би се заштитио од прилива долазних порука током бомбардовања поште, администратор система би требало да уради нешто паметније од једноставног ограничавања долазне поште. Ово решење би могло бити коришћење сивих листа. Принцип њиховог рада је да се при првом покушају испоруке поруке од непоузданог пошиљаоца нагло прекида веза са сервером, због чега достава писма не успева. Међутим, ако у одређеном периоду непоуздани сервер поново покуша да пошаље исто писмо, сервер не затвара везу и његова испорука је успешна.
Поента свих ових радњи је да програми за аутоматско масовно слање мејлова обично не проверавају успешност испоруке послате поруке и не покушавају да је пошаљу други пут, док ће се особа сигурно уверити да ли је његово писмо послато на адресу. адресу или не.
Такође можете да омогућите сиву листу у веб интерфејсу цбполицид. Да би све функционисало, потребно је да креирате политику која ће укључивати сва долазна писма упућена корисницима на нашем серверу, а затим, на основу ове политике, креирати правило Греилистинг, где можете да конфигуришете интервал током којег ће цбполицид чекати за поновљени одговор од непознатог пошиљаоца. Обично је то 4-5 минута. Истовремено, сиве листе се могу конфигурисати тако да се узму у обзир сви успешни и неуспешни покушаји доставе писама различитих пошиљалаца и на основу њиховог броја доноси се одлука да се пошиљалац аутоматски дода на белу или црну листу.
Скрећемо вам пажњу да коришћење сивих листа треба радити са највећом одговорношћу. Најбоље би било да употреба ове технологије иде руку под руку са сталним одржавањем белих и црних листа како би се елиминисала могућност губитка мејлова који су заиста важни за предузеће.
Поред тога, додавање СПФ, ДМАРЦ и ДКИМ провера може помоћи у заштити од бомбардовања путем е-поште. Често писма која стигну кроз процес бомбардовања поште не пролазе такве провере. Разговарало се о томе како то учинити .
Дакле, заштитити се од такве претње као што је бомбардовање путем е-поште је прилично једноставно, а то можете учинити чак и у фази изградње Зимбра инфраструктуре за ваше предузеће. Међутим, важно је стално осигурати да ризици коришћења такве заштите никада не прелазе користи које добијате.
Извор: ввв.хабр.цом