Ang pambobomba sa mail ay isa sa mga pinakalumang uri ng pag-atake sa cyber. Sa kaibuturan nito, ito ay kahawig ng isang regular na pag-atake ng DoS, tanging sa halip na isang alon ng mga kahilingan mula sa iba't ibang mga IP address, isang alon ng mga email ang ipinadala sa server, na dumarating sa napakaraming dami sa isa sa mga email address, dahil sa kung saan ang pag-load. dito ay tumataas nang malaki. Ang ganitong pag-atake ay maaaring humantong sa kawalan ng kakayahan na gamitin ang mailbox, at kung minsan ay maaaring humantong sa pagkabigo ng buong server. Ang mahabang kasaysayan ng ganitong uri ng cyberattack ay humantong sa isang bilang ng mga positibo at negatibong kahihinatnan para sa mga administrator ng system. Kabilang sa mga positibong salik ang mahusay na kaalaman sa pambobomba sa koreo at ang pagkakaroon ng mga simpleng paraan upang maprotektahan ang iyong sarili mula sa naturang pag-atake. Kabilang sa mga negatibong salik ang malaking bilang ng mga solusyon sa software na magagamit sa publiko para sa pagsasagawa ng mga ganitong uri ng pag-atake at ang kakayahan para sa isang umaatake na mapagkakatiwalaang protektahan ang kanilang sarili mula sa pagtuklas.
Ang isang mahalagang tampok ng cyber attack na ito ay halos imposibleng gamitin ito para kumita. Well, nagpadala ang attacker ng wave ng email sa isa sa mga mailbox, well, hindi niya pinayagan ang tao na gumamit ng email ng normal, well, na-hack ng attacker ang corporate email ng isang tao at nagsimulang magpadala ng libu-libong sulat sa buong GAL, which is bakit nag-crash o nagsimulang bumagal ang server kaya naging imposible itong gamitin, at ano ang susunod? Halos imposible na i-convert ang naturang cybercrime sa totoong pera, kaya ang simpleng pambobomba sa mail ay kasalukuyang isang bihirang pangyayari at ang mga tagapangasiwa ng system, kapag nagdidisenyo ng imprastraktura, ay maaaring hindi lamang maalala ang pangangailangan na protektahan laban sa gayong pag-atake sa cyber.
Gayunpaman, habang ang email bombing mismo ay isang medyo walang kabuluhang ehersisyo mula sa isang komersyal na punto ng view, ito ay madalas na bahagi ng iba pang, mas kumplikado at multi-stage cyber attacks. Halimbawa, kapag nagha-hack ng mail at ginagamit ito upang i-hijack ang isang account sa ilang pampublikong serbisyo, madalas na "bombabomba" ng mga umaatake ang mailbox ng biktima ng walang kabuluhang mga titik upang ang liham ng kumpirmasyon ay mawala sa kanilang stream at hindi mapansin. Ang pambobomba sa koreo ay maaari ding gamitin bilang isang paraan ng pang-ekonomiyang presyon sa isang negosyo. Kaya, ang aktibong pambobomba sa pampublikong mailbox ng isang negosyo, na tumatanggap ng mga kahilingan mula sa mga kliyente, ay maaaring seryosong kumplikado sa trabaho sa kanila at, bilang isang resulta, ay maaaring humantong sa downtime ng kagamitan, hindi natutupad na mga order, pati na rin ang pagkawala ng reputasyon at pagkawala ng kita.
Iyon ang dahilan kung bakit hindi dapat kalimutan ng system administrator ang tungkol sa posibilidad ng email bombing at palaging gawin ang mga kinakailangang hakbang upang maprotektahan laban sa banta na ito. Isinasaalang-alang na ito ay maaaring gawin sa yugto ng pagbuo ng imprastraktura ng mail, at gayundin na nangangailangan ng napakakaunting oras at paggawa mula sa tagapangasiwa ng system, walang mga layunin na dahilan para sa hindi pagbibigay sa iyong imprastraktura ng proteksyon mula sa pambobomba sa koreo . Tingnan natin kung paano ipinapatupad ang proteksyon laban sa cyber-attack na ito sa Zimbra Collaboration Suite Open-Source Edition.
Nakabatay ang Zimbra sa Postfix, isa sa pinaka maaasahan at functional na open source na Mail Transfer Agents na available ngayon. At isa sa mga pangunahing bentahe ng pagiging bukas nito ay sinusuportahan nito ang isang malawak na iba't ibang mga solusyon sa third-party upang mapalawak ang pag-andar. Sa partikular, ganap na sinusuportahan ng Postfix ang cbpolicyd, isang advanced na utility para sa pagtiyak ng cybersecurity ng mail server. Bilang karagdagan sa proteksyon laban sa spam at paggawa ng mga whitelist, blacklist, at greylist, pinapayagan ng cbpolicyd ang administrator ng Zimbra na i-configure ang pag-verify ng lagda ng SPF, pati na rin magtakda ng mga paghihigpit sa pagtanggap at pagpapadala ng mga email o data. Maaari silang parehong magbigay ng maaasahang proteksyon laban sa spam at phishing na mga email, at protektahan ang server mula sa email bombing.
Ang unang bagay na kinakailangan mula sa administrator ng system ay i-activate ang cbpolicyd module, na paunang naka-install sa Zimbra Collaboration Suite OSE sa server ng imprastraktura ng MTA. Ginagawa ito gamit ang command na zmprov ms `zmhostname` +zimbraServiceEnabled cbpolicyd. Pagkatapos nito, kakailanganin mong i-activate ang web interface upang kumportableng mapangasiwaan ang cbpolicyd. Upang gawin ito, kailangan mong payagan ang mga koneksyon sa web port number 7780, lumikha ng isang simbolikong link gamit ang command ln -s /opt/zimbra/common/share/webui /opt/zimbra/data/httpd/htdocs/webui, at pagkatapos ay i-edit ang file ng mga setting gamit ang command na nano /opt/zimbra/data/httpd/htdocs/webui/includes/config.php, kung saan kailangan mong isulat ang mga sumusunod na linya:
$DB_DSN="sqlite:/opt/zimbra/data/cbpolicyd/db/cbpolicyd.sqlitedb";
$DB_USER="root";
$DB_TABLE_PREFIX="";
Pagkatapos nito, ang natitira na lang ay i-restart ang mga serbisyo ng Zimbra at Zimbra Apache gamit ang zmcontrol restart at zmapachectl restart commands. Pagkatapos nito, magkakaroon ka ng access sa web interface sa :7780/webui/index.php. Ang pangunahing nuance ay ang pasukan sa web interface na ito ay hindi pa protektado sa anumang paraan at upang maiwasan ang mga hindi awtorisadong tao na makapasok dito, maaari mo lamang isara ang mga koneksyon sa port 7780 pagkatapos ng bawat pasukan sa web interface.
Mapoprotektahan mo ang iyong sarili mula sa pagdagsa ng mga email na nagmumula sa panloob na network sa pamamagitan ng paggamit ng mga quota para sa pagpapadala ng mga email, na maaaring itakda salamat sa cbpolicyd. Ang mga naturang quota ay nagbibigay-daan sa iyo na magtakda ng limitasyon sa maximum na bilang ng mga titik na maaaring ipadala mula sa isang mailbox sa isang yunit ng oras. Halimbawa, kung ang iyong mga tagapamahala ng negosyo ay nagpapadala ng average na 60-80 email kada oras, maaari kang magtakda ng quota na 100 email kada oras, na isinasaalang-alang ang maliit na margin. Upang maabot ang quota na ito, ang mga tagapamahala ay kailangang magpadala ng isang email bawat 36 na segundo. Sa isang banda, ito ay sapat na upang gumana nang buo, at sa kabilang banda, sa gayong quota, ang mga umaatake na nakakuha ng access sa mail ng isa sa iyong mga tagapamahala ay hindi maglulunsad ng pambobomba sa mail o isang napakalaking pag-atake ng spam sa enterprise.
Upang maitakda ang ganoong quota, kailangan mong lumikha ng bagong patakaran sa paghihigpit sa pagpapadala ng email sa web interface at tukuyin na nalalapat ito pareho sa mga liham na ipinadala sa loob ng domain at sa mga liham na ipinadala sa mga panlabas na address. Ginagawa ito tulad ng sumusunod:
Pagkatapos nito, maaari mong tukuyin nang mas detalyado ang mga paghihigpit na nauugnay sa pagpapadala ng mga liham, lalo na, itakda ang agwat ng oras kung saan maa-update ang mga paghihigpit, pati na rin ang mensahe na matatanggap ng isang user na lumampas sa kanyang limitasyon. Pagkatapos nito, maaari mong itakda ang paghihigpit sa pagpapadala ng mga liham. Maaari itong itakda pareho bilang bilang ng mga papalabas na titik at bilang bilang ng mga byte ng ipinadalang impormasyon. Kasabay nito, ang mga liham na ipinadala na lampas sa itinalagang limitasyon ay dapat makitungo sa ibang paraan. Kaya, halimbawa, maaari mo lamang tanggalin ang mga ito kaagad, o maaari mong i-save ang mga ito upang maipadala kaagad ang mga ito pagkatapos ma-update ang limitasyon sa pagpapadala ng mensahe. Maaaring gamitin ang pangalawang opsyon kapag tinutukoy ang pinakamainam na halaga ng limitasyon para sa pagpapadala ng mga email ng mga empleyado.
Bilang karagdagan sa mga paghihigpit sa pagpapadala ng mga liham, pinapayagan ka ng cbpolicyd na magtakda ng limitasyon sa pagtanggap ng mga liham. Ang gayong limitasyon, sa unang sulyap, ay isang mahusay na solusyon para sa pagprotekta laban sa pambobomba sa koreo, ngunit sa katunayan, ang pagtatakda ng gayong limitasyon, kahit na malaki, ay puno ng katotohanan na sa ilalim ng ilang mga kundisyon ay maaaring hindi maabot sa iyo ang isang mahalagang sulat. Iyon ang dahilan kung bakit lubos na hindi inirerekomenda na paganahin ang anumang mga paghihigpit para sa papasok na mail. Gayunpaman, kung magpasya ka pa ring kunin ang panganib, kailangan mong lapitan ang pagtatakda ng limitasyon ng papasok na mensahe nang may espesyal na atensyon. Halimbawa, maaari mong limitahan ang bilang ng mga papasok na email mula sa mga pinagkakatiwalaang katapat upang kung makompromiso ang kanilang mail server, hindi ito maglulunsad ng pag-atake ng spam sa iyong negosyo.
Upang maprotektahan laban sa pagdagsa ng mga papasok na mensahe sa panahon ng pambobomba sa mail, dapat gumawa ang administrator ng system ng isang bagay na mas matalino kaysa sa simpleng paglilimita sa papasok na mail. Ang solusyon na ito ay maaaring ang paggamit ng mga gray na listahan. Ang prinsipyo ng kanilang operasyon ay na sa unang pagtatangka na maghatid ng mensahe mula sa isang hindi mapagkakatiwalaang nagpadala, ang koneksyon sa server ay biglang naputol, kaya naman nabigo ang paghahatid ng liham. Gayunpaman, kung sa isang tiyak na panahon ang isang hindi pinagkakatiwalaang server ay sumubok na magpadala muli ng parehong sulat, hindi isasara ng server ang koneksyon at ang paghahatid nito ay matagumpay.
Ang punto ng lahat ng mga pagkilos na ito ay ang mga programa para sa awtomatikong pagpapadala ng mga mass email ay karaniwang hindi sinusuri ang tagumpay ng paghahatid ng ipinadalang mensahe at hindi sinusubukang ipadala ito sa pangalawang pagkakataon, habang ang isang tao ay tiyak na titiyakin kung ang kanyang sulat ay ipinadala sa ang address o hindi.
Maaari mo ring paganahin ang greylisting sa cbpolicyd web interface. Upang gumana ang lahat, kailangan mong gumawa ng patakaran na magsasama ng lahat ng papasok na liham na naka-address sa mga user sa aming server, at pagkatapos, batay sa patakarang ito, lumikha ng panuntunan sa Greylisting, kung saan maaari mong i-configure ang agwat kung kailan maghihintay ang cbpolicyd para sa paulit-ulit na tugon mula sa hindi kilalang taong nagpadala. Kadalasan ito ay 4-5 minuto. Kasabay nito, ang mga gray na listahan ay maaaring i-configure upang ang lahat ng matagumpay at hindi matagumpay na mga pagtatangka na maghatid ng mga liham mula sa iba't ibang mga nagpadala ay isinasaalang-alang at, batay sa kanilang numero, ang isang desisyon ay ginawa upang awtomatikong idagdag ang nagpadala sa mga puti o itim na listahan.
Iginuhit namin ang iyong pansin sa katotohanan na ang paggamit ng mga gray na listahan ay dapat gawin nang may lubos na pananagutan. Pinakamainam kung ang paggamit ng teknolohiyang ito ay sumasabay sa patuloy na pagpapanatili ng mga puti at itim na listahan upang maalis ang posibilidad ng pagkawala ng mga email na talagang mahalaga para sa negosyo.
Bukod pa rito, makakatulong ang pagdaragdag ng mga pagsusuri sa SPF, DMARC, at DKIM na maprotektahan laban sa pambobomba sa email. Kadalasan ang mga liham na dumarating sa proseso ng pambobomba sa koreo ay hindi pumasa sa mga naturang tseke. Kung paano ito gagawin ay tinalakay .
Kaya, ang pagprotekta sa iyong sarili mula sa banta gaya ng email bombing ay medyo simple, at magagawa mo ito kahit na sa yugto ng pagbuo ng imprastraktura ng Zimbra para sa iyong negosyo. Gayunpaman, mahalagang patuloy na matiyak na ang mga panganib ng paggamit ng naturang proteksyon ay hindi lalampas sa mga benepisyong natatanggap mo.
Pinagmulan: www.habr.com