E-Mail-Bombenangriffe sind eine der ältesten Arten von Cyber-Angriffen. Im Kern ähnelt es einem regulären DoS-Angriff, aber anstelle einer Welle von Anfragen von verschiedenen IP-Adressen wird eine Welle von E-Mails an den Server gesendet, die in großen Mengen an einer der E-Mail-Adressen ankommen, wodurch die Belastung erheblich zunimmt. Ein solcher Angriff kann dazu führen, dass das Postfach nicht mehr verwendet werden kann, und manchmal sogar zum Ausfall des gesamten Servers. Die lange Geschichte dieser Art von Cyberangriffen hat zu einer Reihe positiver und negativer Konsequenzen für Systemadministratoren geführt. Zu den positiven Faktoren zählen gute Kenntnisse über E-Mail-Bombenangriffe und die Verfügbarkeit einfacher Möglichkeiten zur Abwehr eines solchen Angriffs. Zu den negativen Faktoren zählen eine große Anzahl öffentlich verfügbarer Softwarelösungen zur Durchführung dieser Art von Angriffen und die Fähigkeit eines Angreifers, sich zuverlässig vor Erkennung zu schützen.
Ein wichtiges Merkmal dieses Cyberangriffs ist, dass es fast unmöglich ist, ihn gewinnbringend einzusetzen. Nun, der Angreifer schickte eine Reihe von E-Mails an eines der Postfächer. Nun, er erlaubte der Person nicht, E-Mails normal zu verwenden. Nun, der Angreifer hackte die Firmenpost von jemandem und begann massiv Tausende von E-Mails in der gesamten GAL zu senden, wodurch der Server entweder abstürzte oder langsamer wurde so dass es unmöglich wurde, es zu benutzen, und wie geht es weiter? Die Umwandlung einer solchen Internetkriminalität in echtes Geld ist nahezu unmöglich. Daher ist das Bombardieren von E-Mails derzeit recht selten, und Systemadministratoren erinnern sich beim Entwurf einer Infrastruktur möglicherweise nicht an die Notwendigkeit, sich vor einem solchen Cyberangriff zu schützen.
Trotz der Tatsache, dass das Bombardieren von E-Mails selbst eine eher sinnlose kommerzielle Aktivität ist, ist es häufig ein wesentlicher Bestandteil anderer, komplexerer und mehrstufiger Cyberangriffe. Wenn Angreifer beispielsweise E-Mails hacken und damit ein Konto in einem öffentlichen Dienst entführen, „bombardieren“ sie häufig die Mailbox des Opfers mit bedeutungslosen Buchstaben, sodass die Bestätigungsnachricht in ihrem Stream verloren geht und unbemerkt bleibt. E-Mail-Bomben können auch als Mittel des wirtschaftlichen Drucks auf das Unternehmen eingesetzt werden. Das aktive Bombardieren des öffentlichen Postfachs eines Unternehmens, für das Anträge von Kunden eingehen, kann die Arbeit mit ihnen ernsthaft erschweren und infolgedessen zu Ausfallzeiten der Ausrüstung, ausstehenden Bestellungen sowie Reputationsverlust und Gewinneinbußen führen.
Aus diesem Grund sollte der Systemadministrator die Wahrscheinlichkeit eines E-Mail-Bombenangriffs nicht vergessen und stets die erforderlichen Maßnahmen zum Schutz vor dieser Bedrohung ergreifen. Angesichts der Tatsache, dass dies bereits in der Phase des Aufbaus der E-Mail-Infrastruktur möglich ist und der Systemadministrator nur sehr wenig Zeit und Arbeit benötigt, bleiben objektive Gründe, um seine Infrastruktur nicht vor E-Mail-Bomben zu schützen, einfach nicht bestehen . Schauen wir uns an, wie der Schutz vor diesem Cyberangriff in der Open-Source-Edition der Zimbra Collaboration Suite implementiert ist.
Das Herzstück von Zimbra ist Postfix - einer der derzeit zuverlässigsten und funktionalsten Open Source Mail Transfer Agents. Einer der Hauptvorteile seiner Offenheit besteht darin, dass es eine Vielzahl von Lösungen von Drittanbietern zur Erweiterung der Funktionalität unterstützt. Insbesondere unterstützt Postfix cbpolicyd, ein erweitertes Cybersicherheitsdienstprogramm für den Mailserver, vollständig. Mit cbpolicyd kann der Zimbra-Administrator nicht nur vor Spam schützen und Whitelists, Blacklists und Graulisten erstellen, sondern auch die Überprüfung der SPF-Signatur einrichten sowie Grenzwerte für den Empfang und das Senden von E-Mails oder Daten festlegen. Sie bieten zuverlässigen Schutz vor Spam und Phishing-E-Mails sowie den Server vor E-Mail-Bombenangriffen.
Der Systemadministrator benötigt zunächst die Aktivierung des Moduls cbpolicyd, das in der Zimbra Collaboration Suite OSE auf dem Infrastruktur-MTA-Server vorinstalliert ist. Dies erfolgt mit dem Befehl zmprov ms `zmhostname` + zimbraServiceEnabled cbpolicyd. Danach müssen Sie die Weboberfläche aktivieren, um cbpolicyd bequem verwalten zu können. Dazu müssen Sie Verbindungen über den
Webport 7780 aktivieren, mit dem Befehl
ln -s / opt / zimbra / common / share / webui / opt / zimbra / data / httpd / htdocs / webui eine symbolische Verknüpfung erstellen und anschließend die Einstellungsdatei bearbeiten Verwenden Sie den Befehl nano
/opt/zimbra/data/httpd/htdocs/webui/includes/config.php , wobei Sie die folgenden Zeilen registrieren müssen:
$ DB_DSN = "sqlite: /opt/zimbra/data/cbpolicyd/db/cbpolicyd.sqlitedb";
$ DB_USER = "root";
$ DB_TABLE_PREFIX = "";
Danach müssen nur noch die Dienste Zimbra und Zimbra Apache mit den Befehlen zmcontrol restart und zmapachectl restart neu gestartet werden. Danach haben Sie Zugriff auf die Weboberfläche unter
example.com : 7780 / webui / index.php . Die Hauptnuance besteht darin, dass der Eingang zu dieser Weboberfläche in keiner Weise geschützt ist. Um zu verhindern, dass Unbefugte darauf zugreifen, können Sie die Verbindungen an Port 7780 nach jedem Eingang zur Weboberfläche einfach schließen.
Mit Kontingenten für das Versenden von E-Mails, die dank cbpolicyd festgelegt werden können, können Sie sich vor dem Brieffluss aus dem internen Netzwerk schützen. Mit solchen Kontingenten können Sie die maximale Anzahl von Briefen festlegen, die von einer Mailbox an eine Zeiteinheit gesendet werden können. Wenn die Manager Ihres Unternehmens beispielsweise durchschnittlich 60 bis 80 E-Mails pro Stunde senden, können Sie angesichts des geringen Spielraums ein Kontingent von 100 E-Mails pro Stunde festlegen. Um eine solche Quote auszuschöpfen, müssen Manager alle 36 Sekunden einen Brief senden. Einerseits reicht dies aus, um vollständig zu funktionieren, und andererseits arrangieren Angreifer, die Zugriff auf die E-Mails eines Ihrer Manager erhalten, bei einem solchen Kontingent keine E-Mail-Bombenangriffe oder Massen-Spam-Angriffe im Unternehmen.
Um ein solches Kontingent festzulegen, muss eine neue Einschränkungsrichtlinie für das Senden von Briefen in der Weboberfläche erstellt und angegeben werden, dass diese sowohl für Briefe innerhalb der Domain als auch für Briefe an externe Adressen gilt. Dies geschieht wie folgt:
Danach können Sie die mit dem Senden von Briefen verbundenen Einschränkungen genauer festlegen, insbesondere das Zeitintervall festlegen, nach dem die Einschränkungen aktualisiert werden, sowie die Nachricht, die der Benutzer erhält, der sein Limit überschreitet. Danach können Sie die Einschränkung für das Senden von Briefen festlegen. Sie kann sowohl als Anzahl der ausgehenden Briefe als auch als Anzahl der Bytes der übertragenen Informationen festgelegt werden. In diesem Fall ist es bei Briefen, die über das festgelegte Limit hinaus gesendet werden, anders. So können Sie sie beispielsweise einfach sofort löschen oder speichern, sodass sie sofort nach dem Aktualisieren des Limits für das Senden von Nachrichten gelöscht werden. Die zweite Option kann verwendet werden, um das optimale Limit für das Senden von E-Mails durch Mitarbeiter zu ermitteln.
Zusätzlich zu den Einschränkungen beim Senden von Briefen können Sie mit cbpolicyd ein Limit für den Empfang von Briefen konfigurieren. Eine solche Einschränkung ist auf den ersten Blick eine hervorragende Lösung zum Schutz vor E-Mail-Bombenangriffen. Tatsächlich ist die Festlegung einer solchen Beschränkung, auch wenn sie groß ist, mit der Tatsache behaftet, dass ein wichtiger Brief unter bestimmten Umständen möglicherweise nicht bei Ihnen ankommt. Aus diesem Grund wird dringend davon abgeraten, Einschränkungen für eingehende E-Mails aufzunehmen. Wenn Sie sich dennoch dazu entschließen, ein Risiko einzugehen, müssen Sie sich der Einstellung des Grenzwerts für eingehende Nachrichten mit besonderer Aufmerksamkeit nähern. Sie können beispielsweise die Anzahl der eingehenden Briefe von vertrauenswürdigen Gegenparteien begrenzen, sodass bei einer Gefährdung des Mailservers kein Spam-Angriff auf Ihr Unternehmen ausgeführt wird.
Um sich während des E-Mail-Bombenangriffs vor eingehenden Nachrichten zu schützen, sollte der Systemadministrator etwas Klügeres tun, als nur eingehende E-Mails einzuschränken. Eine solche Lösung könnte die Verwendung von Graulisten sein. Das Prinzip ihrer Aktion besteht darin, dass beim ersten Versuch, eine Nachricht von einem unzuverlässigen Absender zuzustellen, die Verbindung zum Server abrupt unterbrochen wird, weshalb die Zustellung der Nachricht fehlschlägt. Wenn der unzuverlässige Server jedoch in einem bestimmten Zeitraum erneut versucht, dieselbe Nachricht zu senden, wird die Verbindung zum Server nicht getrennt und die Zustellung ist erfolgreich.
Die Bedeutung all dieser Aktionen ist, dass Programme für das automatische Massenversenden von E-Mails normalerweise den Erfolg der Zustellung der gesendeten Nachricht nicht überprüfen und nicht versuchen, sie ein zweites Mal zu senden, während die Person sicher sicherstellen wird, ob ihr Brief an die Adresse gesendet wurde oder nicht.
Sie können auch graue Listen in der cbpolicyd-Weboberfläche aktivieren. Damit alles funktioniert, müssen Sie eine Richtlinie erstellen, die alle an Benutzer auf unserem Server gerichteten eingehenden Briefe enthält, und anschließend eine Greylisting-Regel erstellen, die auf dieser Richtlinie basiert. Hier können Sie das Intervall konfigurieren, in dem cbpolicyd auf eine wiederholte Antwort eines Unbekannten wartet Absender. Normalerweise sind es 4-5 Minuten. Gleichzeitig können graue Listen so konfiguriert werden, dass alle erfolgreichen und erfolglosen Versuche, Briefe von verschiedenen Absendern zuzustellen, berücksichtigt werden und anhand ihrer Anzahl entschieden wird, den Absender automatisch zu den weißen oder schwarzen Listen hinzuzufügen.
Wir machen Sie darauf aufmerksam, dass die Verwendung von Graulisten mit maximaler Verantwortung angegangen werden sollte. Es ist am besten, wenn der Einsatz dieser Technologie mit der ständigen Pflege von weißen und schwarzen Listen einhergeht, um die Möglichkeit des Verlusts von Briefen auszuschließen, die für das Unternehmen wirklich wichtig sind.
Darüber hinaus kann das Hinzufügen von SPF-, DMARC- und DKIM-Überprüfungen zum Schutz vor E-Mail-Bombenangriffen beitragen. Oft bestehen Briefe, die während des Postbombardierungsprozesses eingehen, solche Prüfungen nicht. Wie das geht, wurde
in einem unserer vorherigen Artikel beschrieben .
Daher ist es recht einfach, sich vor Bedrohungen wie E-Mail-Bombenangriffen zu schützen. Dies können Sie bereits in der Phase des Aufbaus der Zimbra-Infrastruktur für Ihr Unternehmen tun. Es ist jedoch wichtig, ständig sicherzustellen, dass die Risiken durch die Verwendung eines solchen Schutzes niemals die Vorteile überschreiten, die Sie erhalten.
Bei allen Fragen zur Zextras Suite können Sie sich per E-Mail an katerina@zextras.com an den Vertreter von Zextras Katerina Triandafilidi wenden