Как стать автором
Обновить
72.43
Zextras
Цифровое рабочее место Zextras

Лучшие практики для защиты Zimbra OSE от нежелательных почтовых рассылок

Время на прочтение8 мин
Количество просмотров11K

Электронная почта на протяжении всего времени своего существования остается основным вектором атаки на предприятия. Злоумышленники используют различные векторы атак на электронную почту, начиная от подбора паролей, и заканчивая мейл-бомбингом. В наших прошлых статьях мы рассказывали о том, как защитить свой почтовый сервер Zimbra OSE от спама, мейл-бомбинга и других атак, направленных на электронную почту предприятия. В этой статье мы соберем все эти материалы воедино и дадим несколько новых советов по защите вашего почтового сервера.

1. Антивирус

Одна из самых распространенных атак через электронную почту - рассылка зараженных писем. Грамотно составленное письмо может заставить работника не задумываясь открыть вложенный в него файл, выпустив зловредную программу во внутреннюю сеть предприятия. Защититься от зараженных писем помогает проверка входящей почты на вирусы. В Zimbra OSE эту задачу решает антивирус ClamAV - одно из лучших решений для проверки вложений электронной почты. ClamAV взаимодействует с Zimbra OSE через интерфейс Amavis, а выявленные им зараженные электронные письма помещаются в специальный карантинный почтовый ящик, чтобы администратор впоследствии мог их просматривать и принимать решение о том, направить их адресату или удалить. Антивирус устанавливается вместе с Zimbra OSE и работает в фоновом режиме, не требуя дополнительных действий со стороны администратора, а обновления антивирусных баз для ClamAV устанавливаются автоматически.

2. Антиспам

Спам является настоящей головной болью для администраторов. Помимо очевидных опасностей для информационной безопасности, спам, если его не фильтровать, создает большую нагрузку на сервер и занимает много места в хранилище. Например, по данным сервиса по борьбе со спамом https://barracudacentral.org/, в день почтовые серверы по всему миру блокируют до полумиллиарда спам-сообщений. Если принять средний размер каждого спам-письма за 100 килобайт, то ежедневный регистрируемый только одним сервисом спам-трафик составит более 47 терабайт. При этом, в отличие от зараженных вирусами писем, отделить спам от деловой переписки довольно сложно. В Zimbra OSE эту задачу выполняет SpamAssassin, одно из лучших решений для фильтрации спама от Apache. 

Сразу после установки SpamAssassin может фильтровать спам при помощи словарей, которые поставляются вместе с ним или могут быть установлены администратором, однако он также может самостоятельно формировать правила для фильтрации спама при помощи машинного обучения. Для того, чтобы эта функция начала работать, администратору требуется "натренировать" его с помощью писем, которые заведомо содержат или заведомо не содержат спам. На основе проводимых проверок SpamAssassin присваивает каждому письму оценку. В зависимости от ее величины письмо может быть удалено, отправлено в папку "Спам", либо доставлено адресату. Подробнее о том, как настроить и натренировать SpamAssassin на обнаружение спама мы писали в одной из наших предыдущих статей.

3. Postscreen

Для отсеивания большинства спам-писем не требуется анализ их содержимого. Дело в том, что большинство спама рассылается так называемыми "Зомби-ботами" - зараженными компьютерами, владельцы которых нередко даже не догадываются, что их компьютер или ноутбук является источником спама. Принцип работы Postscreen схож с принципом работы файрволла и заключается в том, что зараженные компьютеры обычно не соблюдают стандарты протокола SMTP и проявляют настойчивость, автоматически подключаясь к серверу снова и снова после отказа в подключении. Основываясь на ряде характерных признаков, Postscreen перенаправляет ботов на эмуляцию SMTP-сессии, не давая соединится с SMTP-сервером напрямую. Большим достоинством Postscreen является то, что данная утилита одновременно помогает избавиться от большого числа паразитных подключений, при этом практически не создавая никакой нагрузки на сервер. О том, как корректно настроить Postscreen мы писали в одной из наших предыдущих статей.

4. Блокировки на основе проверок DNS

Еще одним способом отсеять спам, не создавая нагрузку на сервер, является блокировка на основе проверок DNS. Суть их заключается в том, что для почтовых серверов имеется набор общепринятых стандартов, которым они должны соответствовать. Среди них неопределенное имя хоста или домена отправителя, или несоответствие между хостом и именем отправителя. По умолчанию в Zimbra OSE включены проверки "Имя хоста в приветствии нарушает стандарт RFC (reject_invalid_helo_hostname)" и "В адресе отправителя должно быть указано полное доменное имя (reject_non_fqdn_sender)". Эти две настройки нередко приводят к ложно-положительным срабатываниям.

Настройки по умолчанию
Настройки по умолчанию

Гораздо эффективнее в этом плане является включение настроек "В адресе отправителя должно быть указано полное доменное имя (reject_non_fqdn_sender)" и "Домен отправителя (reject_unknown_sender_domain)". Или zmprov mcf +zimbraMtaRestriction reject_non_fqdn_sender и zmprov mcf +zimbraMtaRestriction reject_unknown_sender_domain в командной строке.

Настройки после внесения изменений
Настройки после внесения изменений

Проверка на домен отправителя подразумевает определение того, существует ли домен отправителя в публичных DNS-сервисах. Если домен отправителя в них не зарегистрирован, электронное письмо не принимается. Проверка на указание полного доменного имени не примет письма, если в его поле MAIL FROM не указан корректный почтовый адрес. Так, например, письмо от user@company не будет принято из-за того, что оно не пройдет проверку на полное доменное имя, а письмо от user@company12345678.ru не пройдет проверку на домен отправителя, так как домена company12345678.ru нет в DNS-сервисах. Таким образом администратору удастся отсечь большое количество спама без необходимости анализа его содержимого, то есть практически не создавая дополнительной нагрузки на сервер.

5. Настройка квоты для входящих сообщений в CBPolicyD

Мейл-бомбинг - один из самых старых методов проведения кибератак. По своей сути он напоминает обычную DoS-атаку, только вместо волны запросов с различных IP-адресов, на конкретный почтовый адрес направляется множество электронных писем, из-за чего значительно возрастает нагрузка на почтовый ящик. Такая атака может привести к невозможности использовать сервер, а иногда может стать причиной отказа всего сервера. Для защиты вашей инфраструктуры от мейл-бомбинга, вы можете настроить ограничения на входящие сообщения для почтовых ящиков. Сделать это можно с помощью CBPolicyD, следуя инструкциям из нашей статьи.

6. Черные списки

Для борьбы со спамом были созданы публичные черные списки, в которых содержится информация об IP-адресах и почтовых доменах, которые были замечены в рассылке спама. Для блокировки спамеров по IP используются LHSBL (Left Hand Side Blacklist), или просто RBL, и RHSBL (Right Hand Side Blacklist). RBL содержат данные об IP-адресах спам-серверов, а RHSBL - данные о доменах, занимающихся рассылкой спама. Существует масса платных и бесплатных сервисов, предоставляющих доступ к черным спискам. Настроить их в Zimbra можно с помощью следующих команд, где вместо RBL.domain.ru и RHSBL.domain.ru необходимо подставить ссылку на используемый вами сервис RBL и RHSBL:

zmprov mcf +zimbraMtaRestriction 'reject_rbl_client RBL.domain.ru'

zmprov mcf +zimbraMtaRestriction 'reject_rhsbl_client RHSBL.domain.ru'

zmprov mcf +zimbraMtaRestriction 'reject_rhsbl_reverse_client RHSBL.domain.ru'

zmprov mcf +zimbraMtaRestriction 'reject_rhsbl_sender RHSBL.domain.ru'

Настроить черные списки RBL и RHSBL можно и в консоли администратора Zimbra OSE. Для этого необходимо перейти в раздел Главная - Настройка - Глобальные настройки - Агент передачи сообщений и в нижней части меню в строках "Актуальные чёрные списки:", "Список RHSBL клиента:", "Список обратных RHSBL клиента:" и "Список RHSBL отправителя:" указать ссылки на используемые сервисы.

Настройка черных списков
Настройка черных списков

7. Блокирование вложений по расширению

Отличной идеей является блокирование сообщений с исполняемыми и другими потенциально опасными вложениями. Среди них программы .exe, .com и .bat, скрипты Visual Basic, файлы правки реестра Windows и так далее. Отметим, что в Zimbra OSE по умолчанию блокируются зашифрованные архивы. Снять блокировку можно в консоли администратора в разделе Главная - Настройка - Глобальные настройки - AS/AV, где необходимо снять галочку в разделе "Блокировать зашифрованные архивы".

Для того, чтобы дополнить список блокируемых расширений файлов вложений, воспользуйтесь командной строкой:

zmprov mcf +zimbraMtaBlockedExtension asd +zimbraMtaBlockedExtension bat +zimbraMtaBlockedExtension cab +zimbraMtaBlockedExtension chm +zimbraMtaBlockedExtension cmd +zimbraMtaBlockedExtension com +zimbraMtaBlockedExtension cpl +zimbraMtaBlockedExtension cpgz +zimbraMtaBlockedExtension dll +zimbraMtaBlockedExtension do +zimbraMtaBlockedExtension exe +zimbraMtaBlockedExtension hlp +zimbraMtaBlockedExtension hta +zimbraMtaBlockedExtension html +zimbraMtaBlockedExtension js +zimbraMtaBlockedExtension jse +zimbraMtaBlockedExtension lnk +zimbraMtaBlockedExtension ocx +zimbraMtaBlockedExtension pif +zimbraMtaBlockedExtension reg +zimbraMtaBlockedExtension scr +zimbraMtaBlockedExtension shb +zimbraMtaBlockedExtension shm +zimbraMtaBlockedExtension shs +zimbraMtaBlockedExtension vbe +zimbraMtaBlockedExtension vbs +zimbraMtaBlockedExtension vbx +zimbraMtaBlockedExtension vxd +zimbraMtaBlockedExtension wsf +zimbraMtaBlockedExtension wsh +zimbraMtaBlockedExtension xl

zmprov mcf zimbraMtaBlockedExtensionWarnAdmin TRUE

zmprov mcf zimbraMtaBlockedExtensionWarnRecipient TRUE

Хотя содержимое архивов без паролей проверяется антивирусом, вы также можете пополнить этот список расширениями архивов, в которых также могут находиться вредоносные файлы и программы, например

zmprov mcf +zimbraMtaBlockedExtension rar +zimbraMtaBlockedExtension tgz +zimbraMtaBlockedExtension gz +zimbraMtaBlockedExtension zip +zimbraMtaBlockedExtension tar.gz +zimbraMtaBlockedExtension 7z +zimbraMtaBlockedExtension arj +zimbraMtaBlockedExtension ace +zimbraMtaBlockedExtension cab +zimbraMtaBlockedExtension pak +zimbraMtaBlockedExtension jar +zimbraMtaBlockedExtension bin

Отметим, что угрозу могут представлять таблицы Excel и документы Word, в которых могут содержаться вредоносные макросы, однако блокировать их по расширению не стоит, так как это может навредить рабочему процессу.

8. Использование внешних антивирусных и антиспам-решений

Антиспам и антивирус являются одними из самых ресурсоемких приложений на сервере Zimbra OSE. Это может стать проблемой в случае использования Zimbra OSE в односерверной инфраструктуре с большим количеством пользователей. Для того, чтобы снять эту нагрузку сервера, можно вынести их на отдельный сервер или подключить сторонний почтовый гейтвей, на котором будут осуществляться все проверки безопасности электронной почты. Таким образом непосредственно на сервер Zimbra OSE будут поступать только заранее отфильтрованные письма, что позволит отключить встроенные антиспам и антивирус, и сделает Zimbra OSE более отзывчивой.

Рассмотрим вариант установки Proxmox Mail Gateway, как бесплатного и достаточно популярного решения для организации почтового гейтвея для Zimbra OSE. В нем так же, как и в Zimbra OSE используется связка Amavis+ClamAV+SpamAssassin. PMG устанавливается как обычный дистрибутив на базе Debian и сразу после установки становится доступным управление через веб-интерфейс. Для того, чтобы Proxmox начал пересылать электронную почту на ваш сервер, нужно в веб-интерфейсе потребуется перейти в раздел "Настройка" и в разделе "Почтовый прокси" указать релей по умолчанию.

В качестве него следует указать IP-адрес своего сервера Zimbra OSE и настроить записи в DNS таким образом, чтобы письма приходили на ваш сервер Proxmox. После того как все будет настроено и начнет работать, можно отключить антиспам и антивирус на сервере с Zimbra OSE при помощи команд zmprov ms example.ru -zimbraServiceEnabled antispam и zmprov ms example.ru -zimbraServiceEnabled antivirus 

Эксклюзивный дистрибьютор Zextras SVZcloud. По вопросам тестирования и приобретения Zextras Carbonio обращайтесь на электронную почту: sales@svzcloud.ru

Теги:
Хабы:
Всего голосов 5: ↑5 и ↓0+5
Комментарии3

Публикации

Информация

Сайт
zextras.com
Дата регистрации
Дата основания
Численность
201–500 человек
Местоположение
Индия
Представитель
Триандафилиди Екатерина

Истории