Im letzten Artikel haben wir Sie in die Arbeit des integrierten Spamfilters in der Zimbra Collaboration Suite eingeführt, mit dem Sie Unternehmenspost zuverlässig vor dem Empfang infizierter Nachrichten und Briefe schützen können, die nicht mit Geschäftskorrespondenz zusammenhängen. Aber was tun, wenn ein Unternehmen von Angreifern angegriffen wird, zu denen auch Briefe gehören, die mithilfe von Social-Engineering-Methoden erstellt wurden, vertrauenswürdige Postfächer verwenden oder sogar einen DoS-Angriff auf einen Mailserver ausführen? Die Rettung von diesen Problemen kann die Erstellung von weißen, schwarzen und grauen Listen sein.
Das Erstellen einer schwarzen Liste kann dazu beitragen, sich zuverlässig vor solchen Angriffen zu schützen, wenn Angreifer die Kontrolle über die E-Mails einer zuverlässigen Gegenpartei in Ihrem Unternehmen erlangen und infizierte Excel-Dateien oder Archive mit angeblich neuen Details, Rechnungen usw. senden. Wenn Sie es schaffen, Kontrahenten-E-Mails rechtzeitig zur Blacklist hinzuzufügen, können Sie den Effekt der Bemühungen von Angreifern auf Null reduzieren. Schauen wir uns an, wie dies in der Zimbra Collaboration Suite funktioniert.
Schwarz-Weiß-Listen in Zimbra können auf zwei Ebenen gleichzeitig erstellt werden. Beispielsweise kann in der Amavis-Programmoberfläche, die in ZCS integriert ist und für das Filtern von E-Mails verantwortlich ist, ein Verbot des Empfangs von E-Mails festgelegt werden. Amavis trennt nicht nur Geschäftsbriefe aus verschiedenen indirekten Gründen von Spam, sondern sendet auch Briefe zur Analyse an den SpamAssassin-Spamfilter und das ClamAV-Antivirus.
In Amavis können Sie der weißen und schwarzen Liste nicht nur separate Postfächer und ganze Domänen, sondern auch separate IP-Adressen und sogar ganze Subnetze hinzufügen. Um ein Postfach oder eine Domäne zu blockieren oder zuzulassen, müssen Sie zuerst die
Whitelist- und / oder
Blacklist- Dateien im Ordner
/ opt / zimbra / conf / erstellen und dann die E-Mail-Adressen oder Domänen hinzufügen, die Sie zulassen oder blockieren
möchten .
$ cat / opt / zimbra / conf / whitelist
ceo@partner.com
partner.org
$ cat / opt / zimbra / conf / blacklist
spammer@spam.com
spam.org
Danach müssen Sie der Datei
/opt/zimbra/conf/amavisd.conf.in zwei Zeilen mit der Regel zum Überprüfen der zuvor erstellten Dateien hinzufügen.
read_hash (\% whitelist_sender, '/ opt / zimbra / conf / whitelist');
read_hash (\% blacklist_sender, '/ opt / zimbra / conf / blacklist');
Starten Sie Amavis neu, nachdem Sie alle Änderungen gespeichert haben.
# su - zimbra -c "zmamavisdctl restart"
Wenn Sie vertrauenswürdige Netzwerke haben, z. B. ein lokales Netzwerk eines Unternehmens oder ein Subnetz einer Remote-Niederlassung, für die Sie die Antiviren- und Anti-Spam-Prüfung deaktivieren möchten, kann Amavis Ihnen auch bei der Implementierung helfen. Zunächst müssen Sie die anfänglich deaktivierte Check-Bypass-Funktion für die ausgewählten IP-Adressen und Subnetze mit einem speziellen Befehl aktivieren und Amavis und verwandte Programme neu starten.
$ zmprov mcf zimbraAmavisOriginatingBypassSA TRUE
$ zmantispamctl Neustart
$ zmantivirusctl Neustart
$ zmamavisdctl Neustart
Das Hinzufügen zur Liste der vertrauenswürdigen Subnetze erfolgt mit dem folgenden Befehl
$ zmprov ms `zmhostname` zimbraMtaMyNetworks '127.0.0.0/8 10.0.0.0/8 192.168.1.0/22'
Sie können die aktuelle Liste vertrauenswürdiger Netzwerke mit den folgenden Befehlen überprüfen:
$ postconf mynetworks
$ zmprov gs `zmhostname` zimbraMtaMyNetworks
Sie können IP-Adressen in Zimbra auch auf Postfix-Ebene blockieren. Diese Methode schützt den Server perfekt vor DoS-Angriffen. Detaillierte Anweisungen finden Sie
in einem der vorherigen Artikel .
Ein separates Element ist die Erstellung der sogenannten „Grauliste“. Es wird normalerweise zum Schutz vor automatischem Spam verwendet, kann aber auch nützlich sein, um sich vor böswilligen E-Mails zu schützen, die aus dem Postfach eines zuverlässigen Kontrahenten gesendet werden, das von Cyberkriminellen erfasst wurde. Das Funktionsprinzip basiert auf der Tatsache, dass der Brief des Absenders nicht zum ersten Mal eingeht und er eine Nachricht über die vorübergehende Nichtverfügbarkeit des Servers erhält. In diesem Fall besteht die Logik darin, dass der Absender, der absichtlich eine E-Mail an den Server sendet, versucht, das Senden erneut zu versuchen, und die Software für das automatische Senden von E-Mails das Senden nicht wiederholt. Wenn Angreifer die Kontrolle über das Postfach Ihres Kontrahenten erlangen und damit beginnen, infizierte Nachrichten automatisch an alle Adressen im Kontaktbuch zu verteilen, können die mit dem Empfang verbundenen Probleme vermieden werden.
Graue Listen von Zimbra können mit dem Postgrey-Daemon von Postfix konfiguriert werden. Es ist in offiziellen Repositories verfügbar und kann mit normalen Tools einfach installiert werden. In Ubuntu wird der Dämon mit dem Befehl
/etc/init.d/postgrey start gestartet.
Danach ist er auf Port 60000 verfügbar und muss nur noch korrekt konfiguriert werden. Öffnen Sie dazu die Datei
/opt/zimbra/conf/postfix_recipient_restrictions.cf im Editor und fügen Sie vor jeder Zeile, die mit '%%' beginnt, die Zeile
check_policy_service inet: 127.0.0.1: 60000 hinzu. Danach muss Postfix nur noch mit dem Befehl
postfix reload neu gestartet werden.
Bei allen Fragen zur Zextras Suite können Sie sich per E-Mail an katerina@zextras.com an den Vertreter von Zextras Katerina Triandafilidi wenden