Le bombardement par e-mail est l'un des types de cyberattaques les plus anciens. À la base, il ressemble à une attaque DoS régulière, mais au lieu d'une vague de demandes provenant de différentes adresses IP, un arbre d'e-mails est envoyé au serveur, qui en grande quantité arrive à l'une des adresses e-mail, en raison de laquelle la charge sur celui-ci augmente considérablement. Une telle attaque peut entraîner l'impossibilité d'utiliser la boîte aux lettres et parfois même entraîner la défaillance de l'ensemble du serveur. La longue histoire de ce type de cyberattaque a entraîné un certain nombre de conséquences positives et négatives pour les administrateurs système. Les facteurs positifs incluent une bonne connaissance des bombardements d'emails et la disponibilité de moyens simples pour se défendre contre une telle attaque. Les facteurs négatifs comprennent un grand nombre de solutions logicielles accessibles au public pour exécuter ces types d'attaques et la capacité d'un attaquant à se protéger de manière fiable contre la détection.
Une caractéristique importante de cette cyberattaque est qu'il est presque impossible de l'utiliser à des fins lucratives. Eh bien, l'attaquant a envoyé un ensemble d'e-mails dans l'une des boîtes aux lettres, eh bien, il n'a pas autorisé la personne à utiliser le courrier électronique normalement, eh bien, l'attaquant a piraté le courrier de l'entreprise et a commencé à envoyer des milliers de courriels partout dans la liste d'adresses globale, à cause de laquelle le serveur a planté ou a commencé à ralentir pour qu'il devienne impossible de l'utiliser, et ensuite? Il est presque impossible de convertir un tel cybercrime en argent réel, c'est pourquoi les bombardements d'e-mails sont actuellement assez rares et les administrateurs système peuvent ne pas se rappeler la nécessité de se protéger contre une telle cyberattaque lors de la conception de l'infrastructure.
Néanmoins, malgré le fait que le bombardement de courriels lui-même soit une activité commerciale plutôt insensée, il fait souvent partie intégrante d'autres cyberattaques plus complexes et à plusieurs étapes. Par exemple, lorsqu'ils piratent du courrier et l'utilisent pour détourner un compte dans un service public, les attaquants «bombardent» souvent la boîte aux lettres de la victime avec des lettres sans signification afin que le message de confirmation se perde dans leur flux et passe inaperçu. Le bombardement par e-mail peut également être utilisé comme un moyen de pression économique sur l'entreprise. Ainsi, le bombardement actif de la boîte aux lettres publique d'une entreprise, pour laquelle les demandes des clients sont reçues, peut sérieusement compliquer le travail avec eux et, par conséquent, peut entraîner des temps d'arrêt des équipements, des commandes en attente, ainsi qu'une perte de réputation et une perte de profit.
C'est pourquoi l'administrateur système ne doit pas oublier la probabilité de mener des bombardements de courriels et toujours prendre les mesures nécessaires pour se protéger contre cette menace. Étant donné que cela peut être fait même au stade de la construction de l'infrastructure de messagerie, ainsi que le fait que cela prend très peu de temps et de travail à l'administrateur système, des raisons objectives pour ne pas protéger leur infrastructure contre le bombardement des e-mails, ne restent tout simplement pas . Voyons comment la protection contre cette cyberattaque est mise en œuvre dans Zimbra Collaboration Suite Open-Source Edition.
Au cœur de Zimbra se trouve Postfix - l'un des agents de transfert de courrier Open Source les plus fiables et fonctionnels actuellement. Et l'un des principaux avantages de son ouverture est qu'il prend en charge une grande variété de solutions tierces pour étendre les fonctionnalités. En particulier, Postfix prend entièrement en charge cbpolicyd, un utilitaire de cybersécurité avancé pour le serveur de messagerie. En plus de se protéger contre le spam et de créer des listes blanches, des listes noires et des listes grises, cbpolicyd permet à l'administrateur Zimbra de configurer la vérification de signature SPF, ainsi que de fixer des limites pour la réception et l'envoi d'e-mails ou de données. Ils peuvent fournir une protection fiable contre le spam et les e-mails de phishing, ainsi que protéger le serveur des bombardements d'e-mails.
La première chose qui est requise de l'administrateur système est l'activation du module cbpolicyd, qui est préinstallé dans Zimbra Collaboration Suite OSE sur le serveur MTA de l'infrastructure. Cela se fait à l'aide de la commande zmprov ms `zmhostname` + zimbraServiceEnabled cbpolicyd. Après cela, vous devrez activer l'interface Web afin de pouvoir gérer confortablement cbpolicyd. Pour ce faire, activez les connexions sur le numéro de port Web 7780, créez un lien symbolique à l'aide de la commande
ln -s / opt / zimbra / common / share / webui / opt / zimbra / data / httpd / htdocs / webui , puis modifiez le fichier de paramètres en utilisant la commande nano
/opt/zimbra/data/httpd/htdocs/webui/includes/config.php , où vous devez enregistrer les lignes suivantes:
$ DB_DSN = "sqlite: /opt/zimbra/data/cbpolicyd/db/cbpolicyd.sqlitedb";
$ DB_USER = "root";
$ DB_TABLE_PREFIX = "";
Après cela, il ne reste plus qu'à redémarrer les services Zimbra et Zimbra Apache à l'aide des commandes zmcontrol restart et zmapachectl restart. Après cela, vous aurez accès à l'interface Web sur
example.com : 7780 / webui / index.php . La principale nuance est que l'entrée de cette interface Web n'est en aucun cas protégée et afin d'empêcher des personnes non autorisées d'y entrer, vous pouvez simplement fermer les connexions sur le port 7780 après chaque entrée de l'interface Web.
Les quotas d'envoi d'emails, qui peuvent être définis grâce à cbpolicyd, vous permettent de vous protéger du flux de lettres provenant du réseau interne. Ces quotas vous permettent de fixer une limite au nombre maximal de lettres pouvant être envoyées d'une boîte aux lettres à une unité de temps. Par exemple, si les dirigeants de votre entreprise envoient en moyenne 60 à 80 e-mails par heure, alors, compte tenu de la faible marge, vous pouvez définir un quota de 100 e-mails par heure. Afin d'épuiser un tel quota, les managers devront envoyer une lettre toutes les 36 secondes. D'une part, cela suffit pour fonctionner pleinement et, d'autre part, avec un tel quota, les attaquants qui ont accès au courrier de l'un de vos responsables n'organiseront pas de bombardement d'e-mails ou d'attaques de spam de masse dans l'entreprise.
Afin de définir un tel quota, il est nécessaire de créer une nouvelle politique de restriction pour l'envoi de lettres dans l'interface Web et de spécifier qu'il agit à la fois sur les lettres envoyées au sein du domaine et sur les lettres agissant sur des adresses externes. Cela se fait comme suit:
Après cela, il sera possible de spécifier plus en détail les restrictions associées à l'envoi de lettres, en particulier, définir l'intervalle de temps après lequel les restrictions seront mises à jour, ainsi que le message que recevra l'utilisateur qui dépasse sa limite. Après cela, vous pouvez définir la restriction sur l'envoi de lettres. Il peut être défini à la fois comme le nombre de lettres sortantes et comme le nombre d'octets d'informations transmises. Dans ce cas, avec des lettres envoyées au-delà de la limite désignée, procédez différemment. Ainsi, par exemple, vous pouvez simplement les supprimer tout de suite, ou vous pouvez les enregistrer pour qu'ils fonctionnent juste après la mise à jour de la limite d'envoi de messages. La deuxième option peut être utilisée lors de l'identification de la limite optimale pour l'envoi d'e-mails par les employés.
En plus des restrictions sur l'envoi de lettres, cbpolicyd vous permet de configurer une limite sur la réception de lettres. Une telle restriction, à première vue, est une excellente solution pour la protection contre le bombardement des e-mails, mais en fait, la mise en place d'une telle limite, même si elle est importante, se heurte au fait que, dans certaines conditions, une lettre importante peut ne pas vous parvenir. C'est pourquoi il est fortement déconseillé d'inclure des restrictions pour le courrier entrant. Cependant, si vous décidez toujours de tenter votre chance, pour aborder le réglage de la limite des messages entrants, vous devez aborder avec une attention particulière. Par exemple, vous pouvez limiter le nombre de lettres entrantes provenant de contreparties de confiance, de sorte que si leur serveur de messagerie était compromis, il ne lancerait pas d'attaque de spam sur votre entreprise.
Afin de vous protéger contre le rouleau de messages entrants pendant le bombardement d'e-mails, l'administrateur système devrait faire quelque chose de plus intelligent que de simplement restreindre le courrier entrant. Une telle solution pourrait être l'utilisation de listes grises. Le principe de leur action est que lors de la première tentative de remise d'un message d'un expéditeur peu fiable, la connexion au serveur est brusquement interrompue, c'est pourquoi la remise du message échoue. Toutefois, si au cours d'une certaine période le serveur non fiable tente à nouveau d'envoyer le même message, le serveur ne se déconnecte pas et sa livraison réussit.
La signification de toutes ces actions est que les programmes d'envoi automatique de masse d'e-mails ne vérifient généralement pas le succès de la remise du message envoyé et n'essaient pas de l'envoyer une deuxième fois, alors que la personne s'assurera sûrement si sa lettre a été envoyée à l'adresse ou non.
Vous pouvez également activer les listes grises dans l'interface Web cbpolicyd. Pour que tout fonctionne, vous devez créer une stratégie qui inclurait toutes les lettres entrantes adressées aux utilisateurs sur notre serveur, puis créer une règle de liste grise basée sur cette stratégie, où vous pouvez configurer l'intervalle pendant lequel cbpolicyd attendra une réponse répétée d'une inconnue l'expéditeur. Il s'agit généralement de 4 à 5 minutes. Dans le même temps, les listes grises peuvent être configurées de sorte que toutes les tentatives réussies et infructueuses de livraison de lettres de différents expéditeurs soient prises en compte et, en fonction de leur nombre, une décision est prise d'ajouter automatiquement l'expéditeur aux listes blanches ou noires.
Nous attirons votre attention sur le fait que l'utilisation des listes grises doit être envisagée avec une responsabilité maximale. Il sera préférable que l'utilisation de cette technologie s'accompagne du maintien constant de listes blanches et noires afin d'exclure la possibilité de perdre des lettres qui sont vraiment importantes pour l'entreprise.
De plus, l'ajout de contrôles SPF, DMARC et DKIM peut aider à protéger contre le bombardement de courrier. Souvent, les lettres reçues au cours du bombardement postal ne réussissent pas ces contrôles. Comment procéder a été décrit
dans l'un de nos articles précédents .
Ainsi, vous protéger contre des menaces telles que le bombardement d'e-mails est assez simple, et vous pouvez le faire même au stade de la construction de l'infrastructure Zimbra pour votre entreprise. Cependant, il est important de s'assurer constamment que les risques liés à l'utilisation d'une telle protection ne dépassent jamais les avantages que vous recevez.
Pour toutes questions relatives à la Suite Zextras, vous pouvez contacter le représentant de la société "Zextras" Katerina Triandafilidi par e-mail katerina@zextras.com