电子邮件轰炸是最古老的网络攻击类型之一。 从本质上讲,它类似于常规的DoS攻击,但是不是一波来自不同ip地址的请求,而是向服务器发送了一连串的电子邮件,该电子邮件大量到达其中一个邮件地址,因此,其负载显着增加。 此类攻击可能导致无法使用邮箱,有时甚至可能导致整个服务器出现故障。 这种类型的网络攻击的悠久历史给系统管理员带来了许多积极和消极的后果。 积极因素包括对电子邮件轰炸的深入了解,以及可以防御这种攻击的简单方法。 负面因素包括执行这些类型的攻击的大量公共可用软件解决方案,以及攻击者可靠地保护自己免受检测的能力。
这种网络攻击的一个重要特征是几乎不可能利用它来牟利。 好吧,攻击者向其中一个邮箱发送了一封电子邮件,好吧,他不允许该人正常使用电子邮件,好吧,攻击者入侵了某人的公司邮件,并开始在GAL上批量发送数千封电子邮件,因此服务器崩溃或开始变慢这样就不可能使用它了,接下来该怎么办? 将这样的网络犯罪转化为真实的钱几乎是不可能的,因此,目前仅电子邮件轰炸是非常罕见的,系统管理员在设计基础架构时可能根本不记得需要防范这种网络攻击。
但是,尽管电子邮件轰炸本身是一种毫无意义的商业活动,但它通常是其他更复杂和多阶段网络攻击的组成部分。 例如,当黑客窃取邮件并用其劫持某些公共服务中的帐户时,攻击者经常用无意义的字母“轰炸”受害者的邮箱,以使确认消息在其信息流中丢失并且不被注意。 电子邮件轰炸也可以用作对企业造成经济压力的手段。 因此,收到客户申请的企业公用邮箱的积极轰炸可能使与他们的工作严重复杂化,结果可能导致设备停机,订单欠佳,声誉损失和利润损失。
因此,系统管理员不应忘记进行电子邮件轰炸的可能性,并始终采取必要的措施来防御这种威胁。 鉴于即使在构建邮件基础结构的阶段也可以做到这一点,以及这样的事实,即系统管理员只需很少的时间和工作量,客观原因就无法为其基础结构提供免受电子邮件轰炸的保护,根本就不存在。 让我们看一下Zimbra Collaboration Suite开源版中如何实现针对这种网络攻击的保护。
Zimbra的核心是Postfix-目前最可靠,功能最强大的开源邮件传输代理之一。 其开放性的主要优点之一是,它支持用于扩展功能的各种第三方解决方案。 特别是,Postfix完全支持cbpolicyd,这是用于邮件服务器的高级网络安全实用程序。 除了防止垃圾邮件并创建白名单,黑名单和灰名单外,cbpolicyd还允许Zimbra管理员设置SPF签名验证,以及设置接收和发送电子邮件或数据的限制。 它们可以为垃圾邮件和网络钓鱼电子邮件提供可靠的保护,还可以保护服务器免受电子邮件爆炸的侵害。
系统管理员需要做的第一件事是激活cbpolicyd模块,该模块已预安装在基础结构MTA服务器上的Zimbra Collaboration Suite OSE中。 使用命令zmprov ms`zmhostname` + zimbraServiceEnabled cbpolicyd完成此操作。 之后,您将需要激活Web界面才能轻松管理cbpolicyd。 为此,您需要启用Web端口号7780上的连接,使用命令
ln -s / opt / zimbra / common / share / webui / opt / zimbra / data / httpd / htdocs / webui创建符号链接,然后编辑设置文件使用命令nano
/opt/zimbra/data/httpd/htdocs/webui/includes/config.php ,您需要在其中注册以下行:
$ DB_DSN =“ sqlite:/opt/zimbra/data/cbpolicyd/db/cbpolicyd.sqlitedb”;
$ DB_USER =“ root”;
$ DB_TABLE_PREFIX =“”;
之后,仅使用zmcontrol restart和zmapachectl restart命令重新启动Zimbra和Zimbra Apache服务。 之后,您将可以访问
example.com上的Web界面
:7780 / webui / index.php 。 主要区别是,此Web界面的入口不受到任何保护,并且为了防止未经授权的人员进入,您可以在每次访问Web界面后简单地关闭端口7780上的连接。
发送电子邮件的配额(可以通过cbpolicyd进行设置)可让您保护自己免受内部网络发出的信件流的侵害。 这样的配额使您可以限制从一个邮箱发送到一个单位时间的最大信件数。 例如,如果您公司的经理每小时平均发送60-80封电子邮件,那么由于利润很小,您可以将配额设置为每小时100封电子邮件。 为了用尽这种配额,管理人员将不得不每36秒发送一封信。 一方面,这足以充分发挥作用;另一方面,有了这样的配额,可以访问您一位经理的邮件的攻击者将不会在企业范围内进行电子邮件轰炸或大规模垃圾邮件攻击。
为了设置这样的配额,有必要创建一个新的限制策略以在Web界面中发送字母,并指定它同时作用于域内发送的字母和作用于外部地址的字母。 这样做如下:
之后,可以更详细地指定与发送信件相关的限制,尤其是设置更新限制的时间间隔,以及超过限制的用户将收到的消息。 之后,您可以设置发送信件的限制。 既可以设置为传出字母的数量,也可以设置为发送信息的字节数。 在这种情况下,如果发送的信件超出指定的限制,请执行其他操作。 因此,例如,您可以直接删除它们,也可以保存它们,以便在更新发送消息的限制后立即删除它们。 当确定员工发送电子邮件的最佳限制时,可以使用第二个选项。
除了发送信件的限制外,cbpolicyd允许您配置接收信件的限制。 乍看之下,这种限制是防止电子邮件轰炸的绝佳解决方案,但实际上,即使是很大的限制,在某些情况下也可能无法收到一封重要的信件。 因此,强烈建议不要对传入邮件进行任何限制。 但是,如果您仍然决定冒险,则要特别注意进入消息限制的设置。 例如,您可以限制来自受信任的交易对手的来信数量,以便如果他们的邮件服务器受到威胁,则不会对您的公司进行垃圾邮件攻击。
为了在电子邮件轰炸期间保护自己免受传入消息的伤害,系统管理员应该做些比简单地限制传入邮件更聪明的事情。 这样的解决方案可以是使用灰色列表。 它们的作用原理是,第一次尝试从不可靠的发件人传递消息时,与服务器的连接突然中断,这就是为什么传递消息失败的原因。 但是,如果在某个时期内不可靠的服务器再次尝试发送相同的消息,则该服务器不会断开连接,并且其传递成功。
所有这些动作的含义是,用于自动群发电子邮件的程序通常不会验证已发送消息的传递是否成功,并且不会尝试再次发送该消息,而此人一定会确定是否已将其信件发送到该地址。
您还可以在cbpolicyd Web界面中启用灰色列表。 为了使一切正常工作,您需要创建一个策略,其中包括所有发给我们服务器上用户的传入字母,然后根据此策略创建“灰名单”规则,您可以在其中配置cbpolicyd等待未知重复响应的时间间隔发件人。 通常是4-5分钟。 同时,可以配置灰色列表,以便考虑从不同发件人传递信件的所有成功和不成功尝试,并根据其编号决定将发件人自动添加到白名单或黑名单中。
我们提请您注意以下事实:应以最大的责任来使用灰色列表。 最好是,这项技术的使用与白名单和黑名单的不断维护并驾齐驱,以排除丢失对企业真正重要的字母的可能性。
此外,添加SPF,DMARC和DKIM检查可以帮助防止邮件爆炸。 通常,在邮件轰炸过程中收到的信件没有通过此类检查。
我们以前的一篇文章中介绍
了如何执行此操作。
因此,保护自己免受电子邮件轰炸之类的威胁非常简单,即使在为企业构建Zimbra基础结构的阶段,您也可以做到这一点。 但是,重要的是要不断确保使用这种保护措施所带来的风险永远不会超过您获得的收益。
有关Zextras Suite的所有问题,您可以通过电子邮件katerina@zextras.com与“ Zextras” Katerina Triandafilidi公司的代表联系。