En el último artículo, le presentamos el trabajo del filtro antispam integrado en Zimbra Collaboration Suite, que le permite proteger de manera confiable el correo de la empresa para que no reciba mensajes infectados y cartas que no están relacionadas con la correspondencia comercial. Pero, ¿qué hacer cuando una empresa es atacada por atacantes, parte de las cuales son cartas compuestas utilizando métodos de ingeniería social, el uso de buzones de correo confiables o incluso un ataque DoS en un servidor de correo? La salvación de estos problemas puede ser la creación de listas blancas, negras y grises.
Crear una lista negra puede ayudar a proteger de manera confiable contra tales variedades de ataques cuando los atacantes obtienen el control sobre el correo de una contraparte confiable en su organización y comienzan a enviar archivos o archivos de Excel infectados con supuestamente nuevos detalles, facturas, etc. Si logra agregar correo de contraparte a la lista negra a tiempo, puede reducir el efecto de los esfuerzos de los atacantes a cero. Echemos un vistazo a cómo funciona esto en Zimbra Collaboration Suite.
Las listas en blanco y negro en Zimbra se pueden crear en dos niveles a la vez. Por ejemplo, se puede establecer una prohibición de recibir correo en la interfaz del programa Amavis, que está integrada en ZCS y es responsable de filtrar el correo. Además de separar los correos electrónicos comerciales del spam por varios indicadores indirectos, Amavis también envía correos electrónicos para su análisis al filtro de spam SpamAssassin y al antivirus ClamAV.
En Amavis, puede agregar a las listas blancas y negras no solo buzones separados y dominios completos, sino también direcciones IP separadas e incluso subredes completas. Para bloquear o permitir un buzón o dominio, primero debe crear los archivos de la
lista blanca y / o
negra en la carpeta
/ opt / zimbra / conf / , y luego agregar las direcciones de correo o dominios que va a permitir o bloquear.
$ cat / opt / zimbra / conf / whitelist
ceo@partner.com
partner.org
$ cat / opt / zimbra / conf / blacklist
spammer@spam.com
spam.org
Después de eso, debe agregar dos líneas al archivo
/opt/zimbra/conf/amavisd.conf.in con la regla para verificar los archivos que creamos anteriormente.
read_hash (\% whitelist_sender, '/ opt / zimbra / conf / whitelist');
read_hash (\% blacklist_sender, '/ opt / zimbra / conf / blacklist');
Después de guardar todos los cambios, reinicie Amavis.
# su - zimbra -c "reinicio zmamavisdctl"
En caso de que tenga redes confiables, por ejemplo, una red de área local de una empresa o una subred de una sucursal remota, para la cual desea deshabilitar las comprobaciones de antivirus y antispam, Amavis también puede ayudarlo a implementar esto. En primer lugar, debe activar la función de omisión de verificación inicialmente deshabilitada para las direcciones IP y subredes seleccionadas con la ayuda de un comando especial y reiniciar Amavis y los programas relacionados.
$ zmprov mcf zimbraAmavisOriginatingBypassSA TRUE
reinicio de $ zmantispamctl
reinicio de $ zmantivirusctl
$ zmamavisdctl restart
La adición a la lista de subredes de confianza se realiza con el siguiente comando
$ zmprov ms `zmhostname` zimbraMtaMyNetworks '127.0.0.0/8 10.0.0.0/8 192.168.1.0/22'
Puede consultar la lista actual de redes confiables con los siguientes comandos:
$ postconf mynetworks
$ zmprov gs `zmhostname` zimbraMtaMyNetworks
También puede bloquear direcciones IP en Zimbra en el nivel Postfix. Este método ayuda perfectamente a proteger el servidor de ataques DoS. Las instrucciones detalladas se dan
en uno de los artículos anteriores .
Un elemento separado es la creación de la llamada "lista gris". Por lo general, se usa para proteger contra el correo no deseado automático, pero también puede ser útil para proteger contra correos electrónicos maliciosos enviados desde el buzón de una contraparte confiable capturado por ciberdelincuentes. El principio de su funcionamiento se basa en el hecho de que la carta del remitente no se recibe la primera vez y él recibe un mensaje sobre la indisponibilidad temporal del servidor. La lógica en este caso es que el remitente, que envía un correo electrónico a propósito al servidor, intentará volver a intentar el envío, y el software para el envío automático de correos electrónicos no repetirá el envío. Por eso, cuando los atacantes obtienen el control del buzón de su contraparte y comienzan a distribuir automáticamente los mensajes infectados a todas las direcciones de la libreta de contactos, existe la posibilidad de evitar los problemas asociados con su recepción.
Las listas grises de Zimbra se pueden configurar con el demonio Postgrey de Postfix. Está disponible en repositorios oficiales y se instala fácilmente con herramientas normales. En Ubuntu, el demonio se inicia utilizando el comando
/etc/init.d/postgrey start , después de lo cual estará disponible en el puerto 60000 y solo tendrá que configurarlo correctamente. Para hacer esto, abra el archivo
/opt/zimbra/conf/postfix_recipient_restrictions.cf en el editor y agregue la línea
check_policy_service inet: 127.0.0.1: 60000 antes de cada línea que comience con '%%'. Después de eso, solo queda reiniciar Postfix utilizando el comando de
recarga de postfix .
Para todas las preguntas relacionadas con la Suite Zextras, puede contactar al representante de Zextras Katerina Triandafilidi por correo electrónico katerina@zextras.com