زيمبرا وخادم حماية الزائد

عزز البريد الإلكتروني نفسه كمعيار للتواصل التجاري. نظرًا للفعالية الاقتصادية العالية لرسائل البريد الإلكتروني ، فضلاً عن عدد من الميزات المرتبطة بنقل النص والمرفقات المرفقة ، فإن رسائل البريد الإلكتروني هي الأنسب لدور وسيلة عالمية لتبادل المستندات والتواصل التجاري المهذب. أصبحت هذه الميزات نفسها هي السبب في أن مرسلي البريد العشوائي مولعون جدًا بالبريد الإلكتروني. نتيجة لذلك ، يعد البريد الإلكتروني اليوم بمثابة محيط ضخم من الرسائل غير المرغوب فيها ، حيث توجد في بعض الأحيان رسائل تجارية فقط. هذا هو السبب في أن إحدى المهام الأساسية لمسؤول أي خادم بريد هي الحماية من رسائل البريد العشوائي. دعونا نلقي نظرة على ما يمكنك القيام به في هذا الإصدار المفتوح من Zimbra Collaboration Suite.



على الرغم من الحل المجاني ، فإن Zimbra OSE قادرة على تزويد مسؤول النظام بالعديد من الأدوات الفعالة للغاية لحل مشكلة تلقي رسائل البريد الإلكتروني غير المرغوب فيها. لقد كتبنا بالفعل عن بعض الأدوات المساعدة مثل Amavis و SpamAssassin و ClamAV و cbpolicyd ، والتي تسمح لك بتصفية البريد الوارد بشكل موثوق من خلال تصفية رسائل البريد العشوائي ، وكذلك رسائل البريد الإلكتروني المصابة والخداع. ومع ذلك ، فإن عيبها الرئيسي هو أنها تعمل جميعها مع رسائل البريد المستلمة بالفعل وتنفق موارد النظام على تصفية الرسائل عديمة الفائدة ، والتي يمكن العثور عليها دائمًا بشكل أفضل. ولكن ماذا لو تم اكتشاف مؤسستك في عين الروبوتات الكبيرة التي ترمي باستمرار خادم البريد الخاص بك بكميات كبيرة من رسائل البريد الإلكتروني غير الهامة التي ستؤدي تصفية هذه البيانات بمفردها إلى مشاركة نصيب الأسد من سعة خادم MTA؟

من الناحية النظرية ، يمكنك حماية نفسك من ذلك عن طريق توصيل خدمة سحابية بتصفية البريد الوارد ، ولكن في الممارسة العملية هذه الطريقة للحماية ليست مناسبة لكل مؤسسة ، لأنه في هذه الحالة سيكون عليك تكليف أطراف ثالثة بمعالجة ليس فقط الرسائل غير المرغوب فيها ، ولكن أيضًا المراسلات التجارية ، والتي ليست دائمًا آمن ، وغالبًا ما يتعارض بشكل مباشر مع سياسة أمان الشركة. بالإضافة إلى ذلك ، هناك مخاطر مرتبطة بموثوقية فلتر البريد العشوائي السحابي. قد يكون الخروج من هذا الموقف هو تنظيم حماية الخادم بمفرده. ولهذه الأغراض على وجه الخصوص ، كان لدى زيمبرا Postscreen مدمج ، وهو مصمم لحماية خادم البريد من الرسائل المرسلة بواسطة الروبوتات ، دون تحميل خادم البريد.

يكمن جوهر عمل Postscreen في أن هذه الأداة تفحص جميع طلبات الاتصال بخادم البريد ولا تسمح لهؤلاء العملاء الذين يبدو أنهم مريبون بالاتصال بالخادم. نظرًا للإحصائيات ، يتم إرسال حوالي 90٪ من الرسائل غير المرغوب فيها في العالم بواسطة شبكات الروبوت ، وغالبًا ما يتم استخدام Postscreen كأول درجة من الحماية لخادم البريد من المراسلات غير المرغوب فيها. بفضل هذا ، يمكن لخادم البريد العمل بثبات دون زيادة التحميل حتى في مواجهة هجمات البريد العشوائي القوية من شبكات الروبوت الكبيرة.

مبدأ تشغيل Postscreen بسيط للغاية ، الأداة المساعدة قادرة على تنفيذ عدد من الفحوصات البسيطة للرسائل الواردة قبل نقلها إلى خادم البريد أو غيرها من الخدمات التي تقوم بإجراء تحقق أكثر تعمقا وتفصيلا للرسائل الواردة. قد يتم تمرير كل شيكات ، على التوالي ، ولكن قد لا يتم تمريرها. استنادًا إلى نتائج كل عملية تحقق ، يمكن لـ Postscreen تطبيق أحد الإجراءات الثلاثة بناءً على اختيار مسؤول Zimbra: إسقاط أو تجاهل أو فرض . يفرض الإجراء المنسدل الاتصال بالعميل في حالة فشل التحقق ، ويسمح لك الإجراء تجاهل بتجاهل نتائج الاختبارات عند اتخاذ القرار النهائي ، ولكن في نفس الوقت يجمع معلومات وإحصائيات حول الاختبارات ، ويسمح لك الإجراء فرض بفرض نتائج الاختبارات عند اتخاذ القرار النهائي ، ولكن في نفس الوقت تابع أداء جميع الاختبارات التي تم التخطيط لها من قبل مسؤول النظام.

مبدأ التشغيل البسيط لا يعني سهولة الاستخدام والتكوين. والحقيقة هي أن Postscreen غير صحيح قد يصبح السبب وراء عدم وصول عدد من الرسائل المهمة للمؤسسة إلى المرسل إليه. هذا هو السبب في أنه من الضروري التعامل مع إعداد أداة قوية مثل Postscreen بعناية فائقة واختبارها باستمرار للسلوك في مواقف معينة.

يتم تضمين Postscreen في Zimbra في البداية ، ولكن قد لا يكون الكثيرون راضين عن التكوين الأولي. سننظر الآن في الخيار الأفضل لتهيئة Postscreen من حيث الأمان وخالية من المخاطر. جوهرها هو أنه بعد فشل أي من عمليات الفحص ، لن يتم قطع اتصال Postscreen من العميل دون التحدث ، ولكنه سيجري جميع عمليات الفحص حتى النهاية وإذا فشلت هذه الاختبارات ، فسوف تقدم رسالة خطأ. سيُخطر هذا المرسل الحي بعدم تسليم الرسالة إذا قبلها Postscreen كرسالة غير مرغوب فيها. يتم تحقيق ذلك عن طريق تحديد قيمة فرض في معلمات الشيكات. هذه هي القيمة التي تسمح لك بإكمال عمليات التحقق التي بدأت حتى النهاية ، دون قطع الاتصال مع العميل عند الفشل الأول ، ولكن في نفس الوقت ، عند الانتهاء ، ما زالت تحظر البريد الإلكتروني العشوائي دون تسليمه إلى الخادم.

لتمكين الاختبارات اللازمة ، أدخل الأوامر التالية:

zmprov mcf zimbraMtaPostscreenDnsblSites 'b.barracudacentral.org = 127.0.0.2 * 7' zimbraMtaPostscreenDnsblSites 'zen.spamhaus.org = 127.0.0. [10؛ 11] * 8' zimbraMtaPostscreenDnsblSites 'zen.spamhaus. ..7] * 6 'zimbraMtaPostscreenDnsblSites' zen.spamhaus.org = 127.0.0.3 * 4 'zimbraMtaPostscreenDnsblSites' zen.spamhaus.org = 127.0.0.2 * 3 '

يتيح لك هذا الأمر إضافة فحص DNS للوصلات الواردة إلى قاعدتي بيانات البريد العشوائي العام الأكثر شيوعًا ورسائل معدل اعتمادًا على قاعدة البيانات التي سيتم العثور على عنوان المرسل. كلما زاد عدد النجوم التي يعاقب عليها العميل ، زاد احتمال كونه مرسلي رسائل غير مرغوب فيها

zmprov mcf zimbraMtaPostscreenDnsblAction فرض

يحدد هذا الأمر الإجراء الذي يتم تنفيذه نتيجة لاجتياز فحص DNS. في هذه الحالة ، يتم تذكر نتيجة الاختبار ، ولا يزال الخطاب نفسه يخضع لمزيد من الاختبارات.

zmprov mcf zimbraMtaPostscreenGreetAction فرض

نظرًا لأنه في بروتوكول SMTP ، بعد الاتصال المباشر ، يبدأ الخادم أولاً في الاتصال مع العميل ، وبالتالي ، يمكن لـ Postscreen إرسال تحية إلى العميل. نظرًا لحقيقة أن العديد من عملاء البريد العشوائي ، دون انتظار نهاية التحية ، يبدأون في إرسال الأوامر ، يمكن التعرف عليهم بسهولة. يسمح لك هذا الأمر بمراعاة نتائج هذا الاختبار ، ولكن في نفس الوقت يواصل إجراء اختبارات أخرى.

zmprov mcf zimbraMtaPostscreenNonSmtpCommandAction drop

كجزء من هذا الاختبار ، يسمح لك Postscreen بتصفية الاتصالات التي لا تأتي من عملاء البريد الإلكتروني. نظرًا لأنهم لا يرسلون أي رسائل ، يمكنك فصلهم بأمان عن الخادم دون أي خوف.

zmprov mcf zimbraMtaPostscreenPipeliningAction فرض

يستند هذا التحقق إلى حقيقة أنه يمكن افتراضيًا في بروتوكول SMTP إرسال العميل أمر واحد فقط في كل مرة ثم الانتظار حتى يستجيب الخادم لهذا الأمر. ومع ذلك ، تتصرف العديد من برامج التتبع غير المرغوب فيها بشكل مختلف عن طريق إرسال الكثير من الأوامر دون انتظار استجابة من الخادم. يسمح لك هذا بتحديد برامج التتبع العشوائي بشكل لا لبس فيه.

من حيث المبدأ ، ستكون عمليات التحقق من Postscreen أكثر من كافية لقطع الجزء الأكبر من روبوتات البريد العشوائي من الخادم وتحقيق انخفاض كبير في الحمل على خادم البريد الخاص بك. في الوقت نفسه ، سيتلقى الأشخاص الأحياء رسالة مفادها أنه لم يتم تسليم رسالتهم ، مما يقلل بشكل كبير من خطر فقد الرسائل المهمة بسبب إعدادات Postscreen. في حالة حدوث ذلك ، يمكنك إضافة مرسل موثوق إلى قائمة Postscreen البيضاء. لإنشاء قوائم باللونين الأبيض والأسود من Postscreen ، يجب عليك أولاً إنشاء / opt / zimbra / conf / postfix / postscreen_wblist .

سنضيف قائمة بعناوين IP والشبكات الفرعية المسموح بها والممنوع في تنسيق جدول CIDR إليها. على سبيل المثال ، قم بحظر الشبكة الفرعية 121.144.169. * ، لكن اسمح بالاتصال بعنوان IP واحد من هذه الشبكة الفرعية:

# يتم تقييم القواعد بالترتيب المحدد.
# القائمة السوداء 121.144.169. * باستثناء 121.144.169.196.
121.144.169.196/32 تصريح
121.144.169.0/24 رفض

نلفت انتباهكم إلى أهمية ترتيب الإدخالات. الحقيقة هي أن Postscreen سوف يقوم بمسح الملف بالقوائم البيضاء والسوداء حتى المطابقة الأولى ، وإذا كانت الشبكة الفرعية المحظورة موجودة قبل عنوان IP المسموح به ، فلن يصل التحقق ببساطة إلى السجل الذي يضاف عنوان IP هذا إلى القائمة البيضاء والاتصال الخادم لن يحدث.

بعد تحرير الملف مع القوائم البيضاء والسود وحفظه ، يمكنك تمكين الاختيار المطابق باستخدام الأوامر التالية:

zmprov mcf zimbraMtaPostscreenAccessList "allow_mynetworks، cidr: / opt / zimbra / conf / postfix / postscreen_wblist"
zmprov mcf zimbraMtaPostscreenBlacklistAction فرض

الآن ، ستقوم Postscreen ، بالإضافة إلى الشيكات التي قمنا بتعيينها بالفعل ، أيضًا بالوصول إلى الملف من خلال قوائم باللونين الأبيض والأسود ، مما سيسمح للمسؤول بحل المشكلات بسهولة مع عدم القدرة على توصيل المرسلين الموثوق بهم بالخادم.

لجميع الأسئلة المتعلقة بجناح Zextras ، يمكنك الاتصال بممثل Zextras Katerina Triandafilidi عن طريق البريد الإلكتروني katerina@zextras.com