في المقالة الأخيرة ، قدمنا لك عمل مرشح البريد العشوائي المدمج في Zimbra Collaboration Suite ، والذي يسمح لك بحماية بريد الشركة بشكل موثوق من تلقي الرسائل والرسائل المصابة التي لا تتعلق بمراسلات الأعمال. ولكن ماذا تفعل عندما يتم استهداف شركة من قبل مهاجمين ، جزء منها رسائل تتكون باستخدام أساليب الهندسة الاجتماعية ، أو استخدام صناديق البريد الموثوق بها ، أو حتى هجوم DoS على خادم البريد؟ يمكن أن يكون الخلاص من هذه المشاكل إنشاء قوائم بيضاء وسوداء ورمادية.
يمكن أن يساعد إنشاء قائمة سوداء على حماية نفسك بشكل موثوق من مثل هذه الأنواع من الهجمات عندما يتحكم المهاجمون في بريد الطرف المقابل الموثوق به في مؤسستك ويبدأون في إرسال ملفات إكسل أو أرشيفات مصابة منها مع تفاصيل وفواتير جديدة مفترضة وما إلى ذلك. إذا تمكنت من إضافة بريد الطرف المقابل إلى القائمة السوداء في الوقت المناسب ، فيمكنك تقليل تأثير جهود المهاجمين إلى الصفر. دعونا نلقي نظرة على كيفية عمل ذلك في Zimbra Collaboration Suite.
يمكن إنشاء قوائم بالأبيض والأسود في Zimbra على مستويين في وقت واحد. على سبيل المثال ، يمكن تعيين حظر على استلام البريد في واجهة برنامج Amavis ، والتي تم تضمينها في ZCS وهي مسؤولة عن تصفية البريد. بالإضافة إلى فصل رسائل البريد الإلكتروني التجارية من الرسائل غير المرغوب فيها عن طريق مؤشرات غير مباشرة مختلفة ، يرسل Amavis أيضًا رسائل البريد الإلكتروني لتحليلها إلى فلتر الرسائل غير المرغوب فيها SpamAssassin ومضاد الفيروسات ClamAV.
في Amavis ، يمكنك إضافة القوائم البيضاء والسوداء ليس فقط لصناديق البريد والنطاقات بأكملها ، ولكن أيضًا فصل عناوين IP وحتى الشبكات الفرعية بأكملها. لحظر صندوق بريد أو مجال أو السماح به ، يجب عليك أولاً إنشاء
قائمة بيضاء و / أو ملفات
القائمة السوداء في المجلد
/ opt / zimbra / conf / ، ثم إضافة عناوين البريد أو النطاقات التي ستسمح بها أو تحظرها.
$ cat / opt / zimbra / conf / whitelist
ceo@partner.com
partner.org
$ cat / opt / zimbra / conf / القائمة السوداء
spammer@spam.com
spam.org
بعد ذلك ، تحتاج إلى إضافة سطرين إلى ملف
/opt/zimbra/conf/amavisd.conf.in مع القاعدة لفحص الملفات التي أنشأناها سابقًا.
read_hash (\٪ whitelist_sender، '/ opt / zimbra / conf / whitelist') ؛
read_hash (\٪ blacklist_sender، '/ opt / zimbra / conf / blacklist') ؛
بعد حفظ جميع التغييرات ، أعد تشغيل Amavis.
# su - zimbra -c "إعادة تشغيل zmamavisdctl"
في حالة وجود شبكات موثوق بها ، على سبيل المثال ، شبكة منطقة محلية لشركة أو شبكة فرعية لفرع بعيد ، والتي ترغب في تعطيل فحص مكافحة الفيروسات ومكافحة البريد العشوائي ، يمكن أن يساعدك Amavis في تنفيذ ذلك. بادئ ذي بدء ، تحتاج إلى تنشيط وظيفة تجاوز التحقق المعطلة في البداية لعناوين IP والشبكات الفرعية المحددة بمساعدة أمر خاص وإعادة تشغيل Amavis والبرامج ذات الصلة.
$ zmprov mcf zimbraAmavisOriginatingBypassSA TRUE
إعادة تشغيل $ zmantispamctl
إعادة تشغيل $ zmantivirusctl
إعادة تشغيل $ zmamavisdctl
تتم الإضافة إلى قائمة الشبكات الفرعية الموثوقة باستخدام الأمر التالي
$ zmprov ms `zmhostname` zimbraMtaMyNetworks '127.0.0.0/8 10.0.0.0/8 192.168.1.0/22'
يمكنك التحقق من القائمة الحالية للشبكات الموثوقة باستخدام الأوامر التالية:
شبكات Postconf $
$ zmprov gs `zmhostname` zimbraMtaMyNetworks
يمكنك أيضًا حظر عناوين IP في Zimbra على مستوى Postfix. تساعد هذه الطريقة بشكل مثالي على حماية الخادم من هجمات DoS. يتم إعطاء تعليمات مفصلة
في إحدى المقالات السابقة .
بند منفصل هو إنشاء ما يسمى "القائمة الرمادية". يتم استخدامه عادةً للحماية من الرسائل غير المرغوب فيها تلقائيًا ، ولكن يمكن أن يكون مفيدًا أيضًا للحماية من رسائل البريد الإلكتروني الضارة المرسلة من صندوق بريد الطرف المقابل الموثوق الذي تم التقاطه بواسطة المجرمين الإلكترونيين. يعتمد مبدأ تشغيله على حقيقة أن الرسالة المرسلة من المرسل لم يتم استلامها في المرة الأولى وأنه يتلقى رسالة حول عدم التوفر المؤقت للخادم. المنطق في هذه الحالة هو أن المرسل ، الذي يرسل عن عمد بريدًا إلكترونيًا إلى الخادم ، سيحاول إعادة محاولة الإرسال ، ولن يقوم برنامج الإرسال التلقائي لرسائل البريد الإلكتروني بإعادة الإرسال. لهذا السبب ، عندما يتحكم المهاجمون في صندوق بريد الطرف المقابل ويبدأون تلقائيًا في توزيع الرسائل المصابة على جميع العناوين في دفتر جهات الاتصال ، يصبح من الممكن تجنب المشاكل المرتبطة بتلقيها.
يمكن تكوين قوائم Zimbra الرمادية باستخدام Postgrey daemon من Postfix. وهو متوفر في المستودعات الرسمية ويمكن تثبيته بسهولة باستخدام الأدوات العادية. في Ubuntu ، يتم تشغيل البرنامج الخفي باستخدام الأمر
/etc/init.d/postgrey start ، وبعد ذلك سيكون متاحًا على المنفذ 60000 وعليك فقط تكوينه بشكل صحيح. للقيام بذلك ، افتح الملف
/opt/zimbra/conf/postfix_recipient_restrictions.cf في المحرر وأضف السطر
check_policy_service inet: 127.0.0.1: 60000 قبل كل سطر يبدأ بـ '٪٪'. بعد ذلك ، يبقى فقط لإعادة تشغيل Postfix باستخدام الأمر
postfix reload .
لجميع الأسئلة المتعلقة بـ Zextras Suite ، يمكنك الاتصال بممثل Zextras Katerina Triandafilidi عن طريق البريد الإلكتروني katerina@zextras.com