Pull to refresh
77.4
Zextras
Цифровое рабочее место Zextras

Черные, белые и серые списки на страже безопасности предприятия

Reading time3 min
Views20K
В прошлой статье мы познакомили вас с работой встроенного спам-фильтра в Zimbra Collaboration Suite, позволяющего достаточно надежно оградить почту предприятия от получения зараженных сообщений и писем, не относящихся к деловой переписке. Но что делать в тех случаях, когда предприятие подвергается целенаправленной атаке со стороны злоумышленников, частью которой становятся составленные с использованием методов социальной инженерии письма, использование доверенных почтовых ящиков или даже DoS-атака на почтовый сервер? Спасением от этих неприятностей может стать создание белых, черных, а также серых списков.
image

Создание черного списка может помочь надежно защититься от таких разновидностей атак, когда злоумышленники получают контроль над почтой надежного контрагента вашей организации и начинают рассылать с него зараженные excel-файлы или архивы с якобы новыми реквизитами, счет-фактурами и так далее. Если успеть вовремя добавить почту контрагента в черный список, можно свести эффект от усилий злоумышленников к нулю. Давайте же посмотрим на то, каким образом это работает в Zimbra Collaboration Suite.

Черные и белые списки в Zimbra можно формировать сразу на двух уровнях. Так, например, запрет на прием почты можно установить в программном интерфейсе Amavis, который встроен в ZCS отвечает за фильтрацию почты. Помимо того, что он отделяет деловые письма от спама по различным косвенным признакам, Amavis также передает письма для анализа спам-фильтру SpamAssassin и антивирусу ClamAV.

В Amavis можно добавлять в белые и черные списки не только отдельные почтовые ящики и целые домены, но также отдельные ip-адреса и даже целые подсети. Для того, чтобы заблокировать или разрешить почтовый ящик или домен, нужно во-первых создать файлы whitelist и/или blacklist в папке /opt/zimbra/conf/, а затем добавить в них почтовые адреса или домены, которые вы собрались разрешать или блокировать.

$ cat /opt/zimbra/conf/whitelist
ceo@partner.com
partner.org

$ cat /opt/zimbra/conf/blacklist
spammer@spam.com
spam.org

После этого необходимо добавить в файл /opt/zimbra/conf/amavisd.conf.in две строки с правилом на проверку ранее созданных нами файлов.

read_hash(\%whitelist_sender, '/opt/zimbra/conf/whitelist');
read_hash(\%blacklist_sender, '/opt/zimbra/conf/blacklist');

После сохранения всех изменений необходимо перезапустить Amavis.

# su — zimbra -c «zmamavisdctl restart»

В случае, если у вас есть доверенные сети, например локальная сеть предприятия или подсеть удаленного филиала, для которых вы бы хотели отключить антивирусную и антиспам проверки, то реализовать это вам также может помочь Amavis. В первую очередь, вам необходимо активировать изначально отключенную функцию обхода проверок для выбранных ip-адресов и подсетей при помощи специальной команды и перезапуска Amavis и связанных с ним программ.

$ zmprov mcf zimbraAmavisOriginatingBypassSA TRUE
$ zmantispamctl restart
$ zmantivirusctl restart
$ zmamavisdctl restart

Добавление в список доверенных подсетей производится при помощи следующей команды

$ zmprov ms `zmhostname` zimbraMtaMyNetworks '127.0.0.0/8 10.0.0.0/8 192.168.1.0/22'

Проверить актуальный список доверенных сетей можно при помощи следующих команд:

$ postconf mynetworks
$ zmprov gs `zmhostname` zimbraMtaMyNetworks

Блокировать ip-адреса в Zimbra можно и на уровне Postfix. Такой способ отлично помогает защитить сервер от DoS-атак. Подробная инструкция изложена в одной из предыдущих статей.

image

Отдельным пунктом идет создание так называемого «серого списка». Обычно он используется для защиты от автоматического спама, но также может пригодиться и для защиты от зловредных писем, идущих от захваченного киберпреступниками почтового ящика надежного контрагента. Принцип его действия основан на том, что письмо от отправителя не принимается с первого раза и ему приходит сообщение о временной недоступности сервера. Логика при этом заключается в том, что отправитель, который целенаправленно посылает письмо на сервер, попытается повторить отправку, а ПО для автоматизированной рассылки электронных писем повторять отправку не будет. Именно поэтому, когда злоумышленники получат контроль над почтовым ящиком вашего контрагента и начнут автоматически распространять зараженные письма по всем адресам из книги контактов, появляется вероятность избежать неприятностей, связанных с их получением.

Настроить серые списки в Zimbra можно благодаря демону Postgrey от авторов Postfix. Он доступен в официальных репозиториях и легко устанавливается штатными средствами. В Ubuntu запуск демона производится командой /etc/init.d/postgrey start, после чего он будет доступен на порту 60000 и вам остается только правильно его настроить. Для этого необходимо открыть в редакторе файл /opt/zimbra/conf/postfix_recipient_restrictions.cf и добавить строку check_policy_service inet:127.0.0.1:60000 перед каждой строкой, начинающейся с '%%'. После этого остается лишь перезапустить Postfix при помощи команды postfix reload.

По всем вопросам, связанными c Zextras Suite вы можете обратиться к Представителю компании «Zextras» Екатерине Триандафилиди по электронной почте ekaterina.triandafilidi@zextras.com
Tags:
Hubs:
Total votes 6: ↑5 and ↓1+4
Comments2

Articles

Information

Website
zextras.com
Registered
Founded
Employees
201–500 employees
Location
Италия
Representative
Триандафилиди Екатерина