Dans le dernier article, nous vous avons présenté le travail du filtre anti-spam intégré dans Zimbra Collaboration Suite, qui vous permet de protéger de manière fiable le courrier de l'entreprise contre la réception de messages et de lettres infectés qui ne sont pas liés à la correspondance commerciale. Mais que faire lorsqu'une entreprise est ciblée par des attaquants, dont des lettres composées à l'aide de méthodes d'ingénierie sociale, l'utilisation de boîtes aux lettres de confiance ou même une attaque DoS sur un serveur de messagerie? Le salut de ces troubles peut être la création de listes blanches, noires et grises.
La création d'une liste noire peut vous aider à vous protéger de manière fiable contre de telles variétés d'attaques lorsque les attaquants prennent le contrôle du courrier d'une contrepartie fiable dans votre organisation et commencent à en envoyer des fichiers ou des archives Excel infectés avec de prétendus nouveaux détails, factures, etc. Si vous parvenez à ajouter à temps le courrier de contrepartie à la liste noire, vous pouvez réduire à zéro l'effet des efforts des attaquants. Voyons comment cela fonctionne dans la Zimbra Collaboration Suite.
Les listes noires et blanches de Zimbra peuvent être créées sur deux niveaux à la fois. Par exemple, une interdiction de recevoir du courrier peut être définie dans l'interface du programme Amavis, qui est intégrée à ZCS et est responsable du filtrage du courrier. En plus de séparer les lettres commerciales du spam pour diverses raisons indirectes, Amavis envoie également des lettres d'analyse au filtre anti-spam SpamAssassin et à l'antivirus ClamAV.
Dans Amavis, vous pouvez ajouter aux listes blanches et noires non seulement des boîtes aux lettres distinctes et des domaines entiers, mais également des adresses IP distinctes et même des sous-réseaux entiers. Pour bloquer ou autoriser une boîte aux lettres ou un domaine, vous devez d'abord créer les fichiers de
liste blanche et / ou de
liste noire dans le dossier
/ opt / zimbra / conf / , puis ajouter les adresses de messagerie ou les domaines que vous allez autoriser ou bloquer.
$ cat / opt / zimbra / conf / liste blanche
ceo@partner.com
partner.org
$ cat / opt / zimbra / conf / liste noire
spammer@spam.com
spam.org
Après cela, vous devez ajouter deux lignes au fichier
/opt/zimbra/conf/amavisd.conf.in avec la règle de vérification des fichiers que nous avons créés précédemment.
read_hash (\% whitelist_sender, '/ opt / zimbra / conf / whitelist');
read_hash (\% blacklist_sender, '/ opt / zimbra / conf / blacklist');
Après avoir enregistré toutes les modifications, redémarrez Amavis.
# su - zimbra -c "redémarrage de zmamavisdctl"
Dans le cas où vous disposez de réseaux de confiance, par exemple, un réseau local d'une entreprise ou un sous-réseau d'une succursale distante, pour lesquels vous souhaitez désactiver les contrôles antivirus et anti-spam, Amavis peut également vous aider à le mettre en œuvre. Tout d'abord, vous devez activer la fonction de contournement de vérification initialement désactivée pour les adresses IP et les sous-réseaux sélectionnés à l'aide d'une commande spéciale et en redémarrant Amavis et les programmes associés.
$ zmprov mcf zimbraAmavisOriginatingBypassSA TRUE
$ zmantispamctl restart
$ zmantivirusctl restart
$ zmamavisdctl restart
L'ajout à la liste des sous-réseaux approuvés est effectué à l'aide de la commande suivante
$ zmprov ms `zmhostname` zimbraMtaMyNetworks '127.0.0.0/8 10.0.0.0/8 192.168.1.0/22'
Vous pouvez vérifier la liste actuelle des réseaux sécurisés à l'aide des commandes suivantes:
$ mynetworks postconf
$ zmprov gs `zmhostname` zimbraMtaMyNetworks
Vous pouvez également bloquer les adresses IP dans Zimbra au niveau Postfix. Cette méthode aide parfaitement à protéger le serveur contre les attaques DoS. Des instructions détaillées sont données
dans l'un des articles précédents .
Un élément distinct est la création de la soi-disant «liste grise». Il est généralement utilisé pour se protéger contre le spam automatique, mais il peut également être utile pour se protéger contre les e-mails malveillants envoyés depuis la boîte aux lettres d'une contrepartie fiable capturés par des cybercriminels. Le principe de son fonctionnement repose sur le fait que la lettre de l'expéditeur n'est pas reçue la première fois et qu'il reçoit un message sur l'indisponibilité temporaire du serveur. La logique dans ce cas est que l'expéditeur, qui envoie volontairement un e-mail au serveur, tentera de réessayer l'envoi, et le logiciel d'envoi automatisé d'e-mails ne répétera pas l'envoi. C’est pourquoi, lorsque les attaquants prennent le contrôle de la boîte aux lettres de votre contrepartie et commencent à distribuer automatiquement les messages infectés à toutes les adresses du carnet de contacts, il devient possible d’éviter les problèmes liés à leur réception.
Les listes grises Zimbra peuvent être configurées à l'aide du démon Postgrey de Postfix. Il est disponible dans les dépôts officiels et s'installe facilement à l'aide des outils habituels. Dans Ubuntu, le démon est lancé par la commande
/etc/init.d/postgrey start , après quoi il sera disponible sur le port 60000 et il vous suffit de le configurer correctement. Pour ce faire, ouvrez le fichier
/opt/zimbra/conf/postfix_recipient_restrictions.cf dans l'éditeur et ajoutez la ligne
check_policy_service inet: 127.0.0.1: 60000 avant chaque ligne commençant par '%%'. Après cela, il ne reste plus qu'à redémarrer Postfix en utilisant la commande
postfix reload .
Pour toutes questions relatives à la Suite Zextras, vous pouvez contacter le représentant de Zextras Katerina Triandafilidi par e-mail katerina@zextras.com