郵件轟炸是最古老的網絡攻擊類型之一。 從本質上講,它類似於常規的 DoS 攻擊,但不是向服務器發送一波來自不同 IP 地址的請求,而是向服務器發送一波電子郵件,這些電子郵件大量到達其中一個電子郵件地址,因此負載上顯著增加。 此類攻擊會導致郵箱無法使用,有時甚至會導致整個服務器出現故障。 這種類型的網絡攻擊由來已久,給系統管理員帶來了許多積極和消極的後果。 積極因素包括對郵件轟炸的深入了解以及可以使用簡單的方法來保護自己免受此類攻擊。 負面因素包括用於執行此類攻擊的大量公開可用的軟件解決方案以及攻擊者可靠地保護自己免受檢測的能力。
這種網絡攻擊的一個重要特點是幾乎不可能利用它來盈利。 好吧,攻擊者向其中一個郵箱發送了一波電子郵件,好吧,他沒有讓這個人正常使用電子郵件,好吧,攻擊者侵入了某人的公司郵件,並開始在整個GAL 中大量發送數千封信件,因為服務器要么崩潰了,要么開始變慢,以至於無法使用它,然後怎麼辦? 將此類網絡犯罪轉化為真正的金錢幾乎是不可能的,因此郵件轟炸現在已經很少發生,系統管理員可能根本不記得在設計基礎設施時需要防範此類網絡攻擊。
然而,儘管從商業角度來看,郵件轟炸本身是一種毫無意義的活動,但它往往是其他更複雜、多階段網絡攻擊的組成部分。 例如,當黑客攻擊郵件並使用它來劫持某些公共服務的帳戶時,攻擊者通常會用毫無意義的信件“轟炸”受害者的郵箱,從而使確認信在他們的信息流中丟失並且不被注意。 郵件轟炸還可以作為對企業經濟施壓的手段。 例如,對企業接收客戶申請的公共郵箱進行主動轟炸可能會嚴重阻礙與客戶的合作,從而導致設備停機、訂單無法履行以及聲譽損失和利潤損失。
這就是為什麼系統管理員不應該忘記郵件轟炸的可能性,並始終採取必要的措施來防範這種威脅。 考慮到即使在構建郵件基礎設施的階段就可以做到這一點,而且系統管理員只需要很少的時間和精力,就沒有客觀的理由不為您的基礎設施提供針對郵件轟炸的保護。 讓我們看看 Zimbra 協作套件開源版如何實施針對這種網絡攻擊的防護。
Zimbra 基於 Postfix,後者是目前最可靠、功能最強大的開源郵件傳輸代理之一。 而其開放性的主要優勢之一是支持多種第三方解決方案來擴展功能。 特別是,Postfix 完全支持 cbpolicyd,這是一種高級郵件服務器網絡安全實用程序。 除了垃圾郵件防護和白名單、黑名單和灰名單之外,cbpolicyd 還允許 Zimbra 管理員設置 SPF 簽名驗證,以及設置接收和發送電子郵件或數據的限制。 它們既可以提供針對垃圾郵件和網絡釣魚電子郵件的可靠保護,也可以保護服務器免受電子郵件轟炸。
系統管理員需要做的第一件事是激活 cbpolicyd 模塊,該模塊預安裝在基礎設施 MTA 服務器上的 Zimbra Collaboration Suite OSE 中。 這是使用 zmprov ms `zmhostname` + zimbraServiceEnabled cbpolicyd 命令完成的。 之後,您需要激活 Web 界面才能輕鬆管理 cbpolicyd。 為此,您需要允許 Web 端口號 7780 上的連接,使用以下命令創建符號鏈接 ln -s /opt/zimbra/common/share/webui /opt/zimbra/data/httpd/htdocs/webui,然後使用 nano 命令編輯設置文件 /opt/zimbra/data/httpd/htdocs/webui/includes/config.php,您需要在其中寫入以下行:
$DB_DSN="sqlite:/opt/zimbra/data/cbpolicyd/db/cbpolicyd.sqlitedb";
$DB_USER="root";
$DB_TABLE_PREFIX="";
之後,只需使用 zmcontrol restart 和 zmapachectl restart 命令重新啟動 Zimbra 和 Zimbra Apache 服務即可。 之後,您將可以訪問網絡界面: :7780/webui/index.php。 主要的細微差別是,該 Web 界面的入口尚未受到任何方式的保護,為了防止未經授權的人員進入該 Web 界面,您只需在每次進入該 Web 界面後關閉端口 7780 上的連接即可。
為了防止來自內部網絡的大量電子郵件,您可以使用發送電子郵件的配額,這可以通過 cbpolicyd 進行設置。 此類配額允許您設置一個郵箱在一個單位時間內可以發送的最大信件數量的限制。 例如,如果您企業的經理平均每小時發送 60-80 封電子郵件,您可以將配額設置為每小時 100 封電子郵件,留出的空間較小。 為了用完這個配額,經理們必須每 36 秒發送一封信。 一方面,這足以充分發揮作用,另一方面,有了這樣的配額,獲得了您的一位經理的郵件訪問權限的攻擊者就不會安排對企業進行郵件轟炸或大規模垃圾郵件攻擊。
為了設置此類配額,您需要在 Web 界面中創建新的電子郵件發送限制策略,並指定它既適用於域內發送的電子郵件,也適用於發送到外部地址的電子郵件。 這是按如下方式完成的:
之後,可以更詳細地指定與發送信件相關的限制,特別是設置更新限制的時間間隔,以及超出限制的用戶將收到的消息。 之後,您可以設置發送信件的限制。 它既可以設置為傳出消息的數量,也可以設置為傳輸信息的字節數。 同時,對於超出指定限額的信件,採取不同的做法。 因此,例如,您可以簡單地立即刪除它們,也可以保存它們,以便它們在消息發送限制更新後立即消失。 在確定向員工發送電子郵件的限制的最佳值時,可以使用第二個選項。
除了發送電子郵件限制之外,cbpolicyd 還允許您設置接收電子郵件的限制。 乍一看,這樣的限制是防止郵件轟炸的一個很好的解決方案,但事實上,設置這樣的限制,即使它很大,也充滿了這樣的事實:在某些情況下,一封重要的信件可能無法到達您手中。 這就是為什麼強烈建議不要對傳入郵件啟用任何限制。 但是,如果您仍然決定冒險一試,則需要特別注意傳入消息限制的設置。 例如,您可以限制來自受信任對方的傳入電子郵件數量,這樣即使他們的郵件服務器受到威脅,也不會向您的企業發送垃圾郵件。
為了防止郵件轟炸帶來的大量傳入郵件,系統管理員應該做一些比簡單地限制傳入郵件更聰明的事情。 這樣的解決方案可以是使用灰名單。 它們的操作原理是,在第一次嘗試從不可靠的發送者傳遞消息時,與服務器的連接突然中斷,從而導致消息傳遞失敗。 但是,如果不受信任的服務器在一定時間內嘗試再次發送同一封電子郵件,該服務器不會斷開連接,並且會成功發送。
所有這些操作的要點是,自動批量電子郵件程序通常不會檢查發送消息是否成功,也不會嘗試再次發送,而該人肯定會確定他的信件是否發送到該地址。
您還可以在 cbpolicyd Web 界面中啟用灰名單。 為了使一切正常工作,您需要創建一個策略,其中包含發送給我們服務器上的用戶的所有傳入信件,然後根據此策略創建灰名單規則,您可以在其中配置 cbpolicyd 等待的時間間隔來自陌生髮件人的第二次回复。 通常是4-5分鐘。 同時,可以配置灰名單,以便考慮來自不同發件人的所有成功和不成功的信件傳遞嘗試,並根據其數量,決定自動將發件人添加到白名單或黑名單中。
我們提請您注意這樣一個事實,即應以最大的責任感對待灰名單的使用。 如果這項技術的使用與白名單和黑名單的持續維護齊頭並進,以排除丟失對企業真正重要的信件的可能性,那就太好了。
此外,添加 SPF、DMARC 和 DKIM 檢查有助於防止電子郵件轟炸。 通常,郵件轟炸過程中收到的信件不會通過此類檢查。 已解釋如何執行此操作 .
因此,保護自己免受郵件轟炸等威脅非常簡單,甚至在為企業構建 Zimbra 基礎設施的階段就可以做到這一點。 然而,重要的是要不斷確保使用此類保護的風險永遠不會超過您獲得的好處。
來源: www.habr.com