No último artigo, apresentamos o trabalho do filtro de spam interno no Zimbra Collaboration Suite, que permite proteger de forma confiável os emails da empresa contra o recebimento de mensagens e cartas infectadas que não estão relacionadas à correspondência comercial. Mas o que fazer quando uma empresa é atacada por atacantes, parte da qual são cartas compostas usando métodos de engenharia social, uso de caixas de correio confiáveis ou mesmo um ataque DoS em um servidor de correio? A salvação desses problemas pode ser a criação de listas em branco, preto e cinza.
Criar uma lista negra pode ajudar a se proteger com segurança de tais variedades de ataques quando os invasores obtêm controle sobre o correio de uma contraparte confiável em sua organização e começam a enviar arquivos ou arquivos infectados do Excel com supostamente novos detalhes, faturas e assim por diante. Se você conseguir adicionar emails de contraparte à lista negra a tempo, poderá reduzir o efeito dos esforços dos invasores para zero. Vamos dar uma olhada em como isso funciona no Zimbra Collaboration Suite.
Listas de preto e branco no Zimbra podem ser criadas em dois níveis ao mesmo tempo. Por exemplo, a proibição de receber e-mails pode ser definida na interface do software Amavis, incorporada ao ZCS e responsável pela filtragem de e-mails. Além de separar cartas comerciais de spam por vários motivos indiretos, o Amavis também envia cartas para análise ao filtro de spam SpamAssassin e ao antivírus ClamAV.
No Amavis, você pode adicionar às listas brancas e negras não apenas caixas de correio separadas e domínios inteiros, mas também endereços IP separados e até sub-redes inteiras. Para bloquear ou permitir uma caixa de correio ou domínio, você deve primeiro criar os arquivos da
lista de permissões e / ou
lista negra na pasta
/ opt / zimbra / conf / e, em seguida, adicionar os endereços ou domínios de email que você permitirá ou bloqueia.
$ cat / opt / zimbra / conf / lista de permissões
ceo@partner.com
partner.org
$ cat / opt / zimbra / conf / lista negra
spammer@spam.com
spam.org
Depois disso, você precisa adicionar duas linhas ao arquivo
/opt/zimbra/conf/amavisd.conf.in com a regra para verificar os arquivos que criamos anteriormente.
read_hash (\% whitelist_sender, '/ opt / zimbra / conf / lista branca');
read_hash (\% blacklist_sender, '/ opt / zimbra / conf / lista negra');
Depois de salvar todas as alterações, reinicie o Amavis.
# su - zimbra -c "zmamavisdctl restart"
Caso você tenha redes confiáveis, por exemplo, uma rede local de uma empresa ou uma sub-rede de uma filial remota, para a qual você deseja desativar as verificações de antivírus e anti-spam, o Amavis também pode ajudá-lo a implementar isso. Primeiro, você precisa ativar a função de desvio de verificação inicialmente desativada para os endereços IP e sub-redes selecionados com a ajuda de um comando especial e reiniciar o Amavis e os programas relacionados.
$ zmprov mcf zimbraAmavisOriginatingBypassSA TRUE
reinicialização do $ zmantispamctl
Reinicialização do $ zmantivirusctl
reinicialização do $ zmamavisdctl
A adição à lista de sub-redes confiáveis é realizada usando o seguinte comando
$ zmprov ms `zmhostname` zimbraMtaMyNetworks '127.0.0.0/8 10.0.0.0/8 192.168.1.0/22'
Você pode verificar a lista atual de redes confiáveis usando os seguintes comandos:
$ postconf mynetworks
$ zmprov gs `zmhostname` zimbraMtaMyNetworks
Você também pode bloquear endereços IP no Zimbra no nível do Postfix. Esse método ajuda a proteger perfeitamente o servidor contra ataques de negação de serviço. Instruções detalhadas são fornecidas
em um dos artigos anteriores .
Um item separado é a criação da chamada "lista cinza". Geralmente é usado para proteger contra spam automático, mas também pode ser útil para proteger contra e-mails maliciosos enviados da caixa de correio de uma contraparte confiável capturada por criminosos cibernéticos. O princípio de sua operação é baseado no fato de que a carta do remetente não é recebida pela primeira vez e ele recebe uma mensagem sobre a indisponibilidade temporária do servidor. A lógica nesse caso é que o remetente, que envia propositalmente um email para o servidor, tentará repetir o envio, e o software para o envio automático de emails não repetirá o envio. É por isso que, quando os invasores obtêm controle sobre a caixa de correio da contraparte e começam a distribuir automaticamente as mensagens infectadas para todos os endereços do catálogo de contatos, torna-se possível evitar os problemas associados ao seu recebimento.
As listas cinzas do Zimbra podem ser configuradas usando o daemon Postgrey do Postfix. Está disponível em repositórios oficiais e é facilmente instalado usando ferramentas regulares. No Ubuntu, o daemon é iniciado pelo comando
/etc/init.d/postgrey start , após o qual estará disponível na porta 60000 e você só precisa configurá-lo corretamente. Para fazer isso, abra o arquivo
/opt/zimbra/conf/postfix_recipient_restrictions.cf no editor e adicione a linha
check_policy_service inet: 127.0.0.1: 60000 antes de cada linha começando com '%%'. Depois disso, resta apenas reiniciar o Postfix usando o comando de
recarga do
postfix .
Para todas as perguntas relacionadas ao Zextras Suite, você pode entrar em contato com o representante da empresa "Zextras" Katerina Triandafilidi pelo e-mail katerina@zextras.com