В прошлой статье мы познакомили вас с работой встроенного спам-фильтра в Zimbra Collaboration Suite, позволяющего достаточно надежно оградить почту предприятия от получения зараженных сообщений и писем, не относящихся к деловой переписке. Но что делать в тех случаях, когда предприятие подвергается целенаправленной атаке со стороны злоумышленников, частью которой становятся составленные с использованием методов социальной инженерии письма, использование доверенных почтовых ящиков или даже DoS-атака на почтовый сервер? Спасением от этих неприятностей может стать создание белых, черных, а также серых списков.
Создание черного списка может помочь надежно защититься от таких разновидностей атак, когда злоумышленники получают контроль над почтой надежного контрагента вашей организации и начинают рассылать с него зараженные excel-файлы или архивы с якобы новыми реквизитами, счет-фактурами и так далее. Если успеть вовремя добавить почту контрагента в черный список, можно свести эффект от усилий злоумышленников к нулю. Давайте же посмотрим на то, каким образом это работает в Zimbra Collaboration Suite.
Черные и белые списки в Zimbra можно формировать сразу на двух уровнях. Так, например, запрет на прием почты можно установить в программном интерфейсе Amavis, который встроен в ZCS отвечает за фильтрацию почты. Помимо того, что он отделяет деловые письма от спама по различным косвенным признакам, Amavis также передает письма для анализа спам-фильтру SpamAssassin и антивирусу ClamAV.
В Amavis можно добавлять в белые и черные списки не только отдельные почтовые ящики и целые домены, но также отдельные ip-адреса и даже целые подсети. Для того, чтобы заблокировать или разрешить почтовый ящик или домен, нужно во-первых создать файлы whitelist и/или blacklist в папке /opt/zimbra/conf/, а затем добавить в них почтовые адреса или домены, которые вы собрались разрешать или блокировать.
После этого необходимо добавить в файл /opt/zimbra/conf/amavisd.conf.in две строки с правилом на проверку ранее созданных нами файлов.
После сохранения всех изменений необходимо перезапустить Amavis.
В случае, если у вас есть доверенные сети, например локальная сеть предприятия или подсеть удаленного филиала, для которых вы бы хотели отключить антивирусную и антиспам проверки, то реализовать это вам также может помочь Amavis. В первую очередь, вам необходимо активировать изначально отключенную функцию обхода проверок для выбранных ip-адресов и подсетей при помощи специальной команды и перезапуска Amavis и связанных с ним программ.
Добавление в список доверенных подсетей производится при помощи следующей команды
Проверить актуальный список доверенных сетей можно при помощи следующих команд:
Блокировать ip-адреса в Zimbra можно и на уровне Postfix. Такой способ отлично помогает защитить сервер от DoS-атак. Подробная инструкция изложена в одной из предыдущих статей.
Отдельным пунктом идет создание так называемого «серого списка». Обычно он используется для защиты от автоматического спама, но также может пригодиться и для защиты от зловредных писем, идущих от захваченного киберпреступниками почтового ящика надежного контрагента. Принцип его действия основан на том, что письмо от отправителя не принимается с первого раза и ему приходит сообщение о временной недоступности сервера. Логика при этом заключается в том, что отправитель, который целенаправленно посылает письмо на сервер, попытается повторить отправку, а ПО для автоматизированной рассылки электронных писем повторять отправку не будет. Именно поэтому, когда злоумышленники получат контроль над почтовым ящиком вашего контрагента и начнут автоматически распространять зараженные письма по всем адресам из книги контактов, появляется вероятность избежать неприятностей, связанных с их получением.
Настроить серые списки в Zimbra можно благодаря демону Postgrey от авторов Postfix. Он доступен в официальных репозиториях и легко устанавливается штатными средствами. В Ubuntu запуск демона производится командой /etc/init.d/postgrey start, после чего он будет доступен на порту 60000 и вам остается только правильно его настроить. Для этого необходимо открыть в редакторе файл /opt/zimbra/conf/postfix_recipient_restrictions.cf и добавить строку check_policy_service inet:127.0.0.1:60000 перед каждой строкой, начинающейся с '%%'. После этого остается лишь перезапустить Postfix при помощи команды postfix reload.
Создание черного списка может помочь надежно защититься от таких разновидностей атак, когда злоумышленники получают контроль над почтой надежного контрагента вашей организации и начинают рассылать с него зараженные excel-файлы или архивы с якобы новыми реквизитами, счет-фактурами и так далее. Если успеть вовремя добавить почту контрагента в черный список, можно свести эффект от усилий злоумышленников к нулю. Давайте же посмотрим на то, каким образом это работает в Zimbra Collaboration Suite.
Черные и белые списки в Zimbra можно формировать сразу на двух уровнях. Так, например, запрет на прием почты можно установить в программном интерфейсе Amavis, который встроен в ZCS отвечает за фильтрацию почты. Помимо того, что он отделяет деловые письма от спама по различным косвенным признакам, Amavis также передает письма для анализа спам-фильтру SpamAssassin и антивирусу ClamAV.
В Amavis можно добавлять в белые и черные списки не только отдельные почтовые ящики и целые домены, но также отдельные ip-адреса и даже целые подсети. Для того, чтобы заблокировать или разрешить почтовый ящик или домен, нужно во-первых создать файлы whitelist и/или blacklist в папке /opt/zimbra/conf/, а затем добавить в них почтовые адреса или домены, которые вы собрались разрешать или блокировать.
$ cat /opt/zimbra/conf/whitelist
ceo@partner.com
partner.org
$ cat /opt/zimbra/conf/blacklist
spammer@spam.com
spam.org
После этого необходимо добавить в файл /opt/zimbra/conf/amavisd.conf.in две строки с правилом на проверку ранее созданных нами файлов.
read_hash(%whitelist_sender, '/opt/zimbra/conf/whitelist');
read_hash(%blacklist_sender, '/opt/zimbra/conf/blacklist');
После сохранения всех изменений необходимо перезапустить Amavis.
# su — zimbra -c «zmamavisdctl restart»
В случае, если у вас есть доверенные сети, например локальная сеть предприятия или подсеть удаленного филиала, для которых вы бы хотели отключить антивирусную и антиспам проверки, то реализовать это вам также может помочь Amavis. В первую очередь, вам необходимо активировать изначально отключенную функцию обхода проверок для выбранных ip-адресов и подсетей при помощи специальной команды и перезапуска Amavis и связанных с ним программ.
$ zmprov mcf zimbraAmavisOriginatingBypassSA TRUE
$ zmantispamctl restart
$ zmantivirusctl restart
$ zmamavisdctl restart
Добавление в список доверенных подсетей производится при помощи следующей команды
$ zmprov ms `zmhostname` zimbraMtaMyNetworks '127.0.0.0/8 10.0.0.0/8 192.168.1.0/22'
Проверить актуальный список доверенных сетей можно при помощи следующих команд:
$ postconf mynetworks
$ zmprov gs `zmhostname` zimbraMtaMyNetworks
Блокировать ip-адреса в Zimbra можно и на уровне Postfix. Такой способ отлично помогает защитить сервер от DoS-атак. Подробная инструкция изложена в одной из предыдущих статей.
Отдельным пунктом идет создание так называемого «серого списка». Обычно он используется для защиты от автоматического спама, но также может пригодиться и для защиты от зловредных писем, идущих от захваченного киберпреступниками почтового ящика надежного контрагента. Принцип его действия основан на том, что письмо от отправителя не принимается с первого раза и ему приходит сообщение о временной недоступности сервера. Логика при этом заключается в том, что отправитель, который целенаправленно посылает письмо на сервер, попытается повторить отправку, а ПО для автоматизированной рассылки электронных писем повторять отправку не будет. Именно поэтому, когда злоумышленники получат контроль над почтовым ящиком вашего контрагента и начнут автоматически распространять зараженные письма по всем адресам из книги контактов, появляется вероятность избежать неприятностей, связанных с их получением.
Настроить серые списки в Zimbra можно благодаря демону Postgrey от авторов Postfix. Он доступен в официальных репозиториях и легко устанавливается штатными средствами. В Ubuntu запуск демона производится командой /etc/init.d/postgrey start, после чего он будет доступен на порту 60000 и вам остается только правильно его настроить. Для этого необходимо открыть в редакторе файл /opt/zimbra/conf/postfix_recipient_restrictions.cf и добавить строку check_policy_service inet:127.0.0.1:60000 перед каждой строкой, начинающейся с '%%'. После этого остается лишь перезапустить Postfix при помощи команды postfix reload.
alexanster
Серые списки — зло. Мало того, что срочное письмо, которое пользователь ждёт ещё вчера и поэтому стоит у вас над душой, придёт с задержкой, и ладно, если бы несколько минут, а бывало и час и два. Так ведь некоторые домены его вообще повторно не присылают, тот же Hotmail. Или же взять крупный почтовый сервис с большим количеством IP-адресов и даже различных диапазонов — каждый раз письмо приходит с нового IP, так что в итоге вообще не принимается. Не, наступил на эти грабли пару раз и навсегда отключил серые списки.
KaterinaZextras Автор
Интересная точка зрения. Мне кажется, что это вопрос исключительно тонкой настройки серых списков, но если они действительно мешают получать важные письма, то лучше, конечно, не использовать их.