Ném bom thư là một trong những kiểu tấn công mạng lâu đời nhất. Về cốt lõi, nó giống một cuộc tấn công DoS thông thường, chỉ thay vì một làn sóng yêu cầu từ các địa chỉ IP khác nhau, một làn sóng email được gửi đến máy chủ, với số lượng lớn đến một trong các địa chỉ email, do tải trên đó tăng lên đáng kể. Một cuộc tấn công như vậy có thể dẫn đến việc không thể sử dụng hộp thư và đôi khi thậm chí có thể dẫn đến lỗi toàn bộ máy chủ. Lịch sử lâu dài của kiểu tấn công mạng này đã dẫn đến một số hậu quả tích cực và tiêu cực cho quản trị viên hệ thống. Các yếu tố tích cực bao gồm kiến thức tốt về ném bom thư và sự sẵn có của những cách đơn giản để bảo vệ bạn khỏi một cuộc tấn công như vậy. Các yếu tố tiêu cực bao gồm một số lượng lớn các giải pháp phần mềm có sẵn công khai để thực hiện các kiểu tấn công này và khả năng kẻ tấn công tự bảo vệ mình khỏi bị phát hiện một cách đáng tin cậy.
Một đặc điểm quan trọng của cuộc tấn công mạng này là hầu như không thể sử dụng nó để kiếm lợi nhuận. Chà, kẻ tấn công đã gửi một làn sóng email đến một trong các hộp thư, à, hắn không cho phép người đó sử dụng email bình thường, à, kẻ tấn công đã đột nhập vào email công ty của ai đó và bắt đầu gửi hàng loạt bức thư trên khắp GAL, nghĩa là tại sao máy chủ bị lỗi hoặc bắt đầu chạy chậm đến mức không thể sử dụng được và điều gì tiếp theo? Hầu như không thể biến một tội phạm mạng như vậy thành tiền thật, vì vậy đơn giản là việc ném bom qua thư hiện là một trường hợp khá hiếm xảy ra và các quản trị viên hệ thống, khi thiết kế cơ sở hạ tầng, có thể đơn giản là không nhớ đến sự cần thiết phải bảo vệ khỏi một cuộc tấn công mạng như vậy.
Tuy nhiên, mặc dù bản thân việc ném bom email là một hoạt động khá vô nghĩa xét từ quan điểm thương mại, nhưng nó thường là một phần của các cuộc tấn công mạng đa giai đoạn và phức tạp hơn khác. Ví dụ: khi hack thư và sử dụng nó để chiếm đoạt tài khoản trong một số dịch vụ công cộng, những kẻ tấn công thường “đánh bom” hộp thư của nạn nhân bằng những bức thư vô nghĩa để thư xác nhận bị lạc trong luồng của chúng và không được chú ý. Ném bom thư cũng có thể được sử dụng như một phương tiện gây áp lực kinh tế lên doanh nghiệp. Do đó, việc tích cực bắn phá hộp thư công cộng của doanh nghiệp, nơi nhận yêu cầu từ khách hàng, có thể làm phức tạp nghiêm trọng công việc với họ và do đó, có thể dẫn đến thời gian ngừng hoạt động của thiết bị, đơn đặt hàng không được thực hiện, cũng như mất danh tiếng và mất lợi nhuận.
Đó là lý do tại sao quản trị viên hệ thống không nên quên khả năng xảy ra vụ đánh bom email và luôn thực hiện các biện pháp cần thiết để bảo vệ khỏi mối đe dọa này. Xét rằng điều này có thể được thực hiện ở giai đoạn xây dựng cơ sở hạ tầng thư và quản trị viên hệ thống mất rất ít thời gian và công sức, đơn giản là không có lý do khách quan nào để không cung cấp cho cơ sở hạ tầng của bạn khả năng bảo vệ khỏi đánh bom thư . Chúng ta hãy xem cách triển khai biện pháp bảo vệ chống lại cuộc tấn công mạng này trong Phiên bản nguồn mở Zimbra Collaboration Suite.
Zimbra dựa trên Postfix, một trong những Đại lý chuyển thư nguồn mở đáng tin cậy và chức năng nhất hiện nay. Và một trong những ưu điểm chính của tính mở của nó là nó hỗ trợ nhiều giải pháp của bên thứ ba để mở rộng chức năng. Đặc biệt, Postfix hỗ trợ đầy đủ cbpolicyd, một tiện ích nâng cao đảm bảo an ninh mạng cho máy chủ thư. Ngoài việc bảo vệ chống thư rác và tạo danh sách trắng, danh sách đen và danh sách xám, cbpolicyd còn cho phép quản trị viên Zimbra định cấu hình xác minh chữ ký SPF, cũng như đặt các hạn chế trong việc nhận và gửi email hoặc dữ liệu. Cả hai đều có thể cung cấp khả năng bảo vệ đáng tin cậy chống lại email spam và lừa đảo, đồng thời bảo vệ máy chủ khỏi bị đánh bom email.
Điều đầu tiên được yêu cầu từ quản trị viên hệ thống là kích hoạt mô-đun cbpolicyd, được cài đặt sẵn trong Zimbra Collaboration Suite OSE trên máy chủ MTA cơ sở hạ tầng. Việc này được thực hiện bằng lệnh zmprov ms `zmhostname` +zimbraServiceEnabled cbpolicyd. Sau này, bạn sẽ cần kích hoạt giao diện web để có thể thoải mái quản lý cbpolicyd. Để thực hiện việc này, bạn cần cho phép kết nối trên cổng web số 7780, tạo liên kết tượng trưng bằng lệnh ln -s /opt/zimbra/common/share/webui /opt/zimbra/data/httpd/htdocs/webui, sau đó chỉnh sửa tệp cài đặt bằng lệnh nano /opt/zimbra/data/httpd/htdocs/webui/includes/config.php, nơi bạn cần viết những dòng sau:
$DB_DSN="sqlite:/opt/zimbra/data/cbpolicyd/db/cbpolicyd.sqlitedb";
$DB_USER="gốc";
$DB_TABLE_PREFIX="";
Sau đó, tất cả những gì còn lại là khởi động lại các dịch vụ Zimbra và Zimbra Apache bằng cách sử dụng lệnh khởi động lại zmcontrol và khởi động lại zmapachectl. Sau đó, bạn sẽ có quyền truy cập vào giao diện web tại :7780/webui/index.php. Sắc thái chính là lối vào giao diện web này chưa được bảo vệ theo bất kỳ cách nào và để ngăn những người không được ủy quyền truy cập vào nó, bạn chỉ cần đóng các kết nối trên cổng 7780 sau mỗi lần truy cập vào giao diện web.
Bạn có thể tự bảo vệ mình khỏi làn sóng email đến từ mạng nội bộ bằng cách sử dụng hạn ngạch gửi email, hạn mức này có thể được đặt nhờ cbpolicyd. Hạn ngạch như vậy cho phép bạn đặt giới hạn về số lượng thư tối đa có thể được gửi từ một hộp thư trong một đơn vị thời gian. Ví dụ: nếu người quản lý doanh nghiệp của bạn gửi trung bình 60-80 email mỗi giờ thì bạn có thể đặt hạn mức 100 email mỗi giờ, có tính đến một khoản chênh lệch nhỏ. Để đạt được hạn ngạch này, người quản lý sẽ phải gửi một email sau mỗi 36 giây. Một mặt, điều này là đủ để hoạt động đầy đủ và mặt khác, với hạn ngạch như vậy, những kẻ tấn công đã giành được quyền truy cập vào thư của một trong những người quản lý của bạn sẽ không tiến hành ném bom thư hoặc tấn công thư rác lớn vào doanh nghiệp.
Để đặt hạn ngạch như vậy, bạn cần tạo chính sách hạn chế gửi email mới trong giao diện web và chỉ định rằng chính sách này áp dụng cho cả thư được gửi trong miền và thư được gửi đến địa chỉ bên ngoài. Điều này được thực hiện như sau:
Sau đó, bạn có thể chỉ định chi tiết hơn các hạn chế liên quan đến việc gửi thư, đặc biệt là đặt khoảng thời gian sau đó các hạn chế sẽ được cập nhật, cũng như thông báo mà người dùng đã vượt quá giới hạn của mình sẽ nhận được. Sau này, bạn có thể đặt hạn chế gửi thư. Nó có thể được đặt cả về số lượng chữ cái gửi đi và số byte thông tin được truyền đi. Đồng thời, những thư gửi vượt quá hạn mức quy định phải bị xử lý khác nhau. Vì vậy, ví dụ, bạn có thể chỉ cần xóa chúng ngay lập tức hoặc bạn có thể lưu chúng để chúng được gửi ngay sau khi giới hạn gửi tin nhắn được cập nhật. Tùy chọn thứ hai có thể được sử dụng khi xác định giá trị tối ưu cho giới hạn gửi email của nhân viên.
Ngoài các hạn chế trong việc gửi thư, cbpolicyd cho phép bạn đặt giới hạn nhận thư. Thoạt nhìn, giới hạn như vậy là một giải pháp tuyệt vời để bảo vệ chống lại việc đánh bom thư, nhưng trên thực tế, việc đặt ra giới hạn như vậy, dù là giới hạn lớn, cũng dẫn đến thực tế là trong một số điều kiện nhất định, một lá thư quan trọng có thể không đến được tay bạn. Đó là lý do tại sao không nên kích hoạt bất kỳ hạn chế nào đối với thư đến. Tuy nhiên, nếu bạn vẫn quyết định mạo hiểm, bạn cần đặc biệt chú ý đến việc thiết lập giới hạn tin nhắn đến. Ví dụ: bạn có thể giới hạn số lượng email đến từ các đối tác đáng tin cậy để nếu máy chủ thư của họ bị xâm phạm, nó sẽ không tiến hành một cuộc tấn công thư rác vào doanh nghiệp của bạn.
Để bảo vệ chống lại luồng thư đến trong quá trình đánh bom thư, quản trị viên hệ thống nên làm điều gì đó thông minh hơn là chỉ giới hạn thư đến. Giải pháp này có thể là sử dụng danh sách xám. Nguyên tắc hoạt động của họ là trong lần thử gửi thư đầu tiên từ một người gửi không đáng tin cậy, kết nối đến máy chủ bị gián đoạn đột ngột, đó là lý do tại sao việc gửi thư không thành công. Tuy nhiên, nếu tại một thời điểm nhất định, một máy chủ không đáng tin cậy cố gắng gửi lại cùng một lá thư thì máy chủ sẽ không đóng kết nối và việc gửi nó thành công.
Mục đích của tất cả những hành động này là các chương trình tự động gửi email hàng loạt thường không kiểm tra sự thành công của việc gửi tin nhắn đã gửi và không cố gắng gửi nó lần thứ hai, trong khi một người chắc chắn sẽ đảm bảo liệu thư của mình có được gửi đến hay không. địa chỉ đó hay không.
Bạn cũng có thể bật danh sách xám trong giao diện web cbpolicyd. Để mọi thứ hoạt động, bạn cần tạo một chính sách bao gồm tất cả các thư đến được gửi đến người dùng trên máy chủ của chúng tôi, sau đó, dựa trên chính sách này, tạo quy tắc Danh sách xám, nơi bạn có thể định cấu hình khoảng thời gian trong đó cbpolicyd sẽ đợi để nhận được phản hồi lặp lại từ một người gửi không xác định. Thông thường là 4-5 phút. Đồng thời, danh sách xám có thể được cấu hình để tính đến tất cả các nỗ lực gửi thư thành công và không thành công từ những người gửi khác nhau và dựa trên số lượng của chúng, quyết định sẽ tự động thêm người gửi vào danh sách trắng hoặc đen.
Chúng tôi lưu ý bạn rằng việc sử dụng danh sách xám phải được thực hiện với trách nhiệm cao nhất. Sẽ tốt nhất nếu việc sử dụng công nghệ này đi đôi với việc duy trì liên tục danh sách trắng và đen để loại bỏ khả năng mất đi những email thực sự quan trọng đối với doanh nghiệp.
Ngoài ra, việc thêm các biện pháp kiểm tra SPF, DMARC và DKIM có thể giúp bảo vệ khỏi việc đánh bom email. Thông thường những lá thư đến qua quá trình ném bom thư sẽ không vượt qua được những cuộc kiểm tra như vậy. Cách thực hiện điều này đã được thảo luận .
Do đó, việc bảo vệ bản thân khỏi mối đe dọa như đánh bom email khá đơn giản và bạn có thể thực hiện việc này ngay cả ở giai đoạn xây dựng cơ sở hạ tầng Zimbra cho doanh nghiệp của mình. Tuy nhiên, điều quan trọng là phải liên tục đảm bảo rằng rủi ro khi sử dụng biện pháp bảo vệ đó không bao giờ vượt quá lợi ích bạn nhận được.
Nguồn: www.habr.com