هناك أشكال مختلفة من هجمات التطفل على خوادم البريد: هناك هجمات تستخدم ثغرات أمنية في سعة المخزن المؤقت، وهجمات رفض الخدمة، وهجمات جمع الدليل، وما إلى ذلك. يمكن لإجراءات مثل تقوية خوادم البريد، واستخدام أدوات تصفية البريد، واستخدام الخدمات المُدارة، وتثبيت البرامج المتكاملة، أن توقف الهجمات على خوادم البريد من جوانب مختلفة. توضح هذه المقالة هذه التدابير بالتفصيل.
إن تقوية خادم البريد الخاص بك، أو تثبيت أداة شبكة لتصفية البريد أمامه أولاً، أو استخدام خدمة تصفية البريد المُدارة، سيساعد في تخفيف الهجمات من مرسلي البريد العشوائي والمصادر الأخرى.
ومع زيادة الهجمات ضد المستخدمين النهائيين وأجهزة الكمبيوتر المكتبية الخاصة بهم، انخفضت الهجمات المباشرة على خوادم البريد (على الرغم من أن هذا الانخفاض نسبي). ومع ذلك، لا تزال الخوادم ضعيفة، حيث يواصل المهاجمون العثور على ثغرات أمنية في خادم Microsoft EXChange وحتى Sendmail. فيما يلي نظرة على هجومين شائعين وطرق لتقليل تعرض خادم البريد الخاص بك لهذه الهجمات أو القضاء عليه.
أحد الأسباب الجذرية: ثغرة تجاوز سعة المخزن المؤقت
يحدث تجاوز سعة المخزن المؤقت عندما يقوم برنامج، مثل برنامج خادم البريد، بتخزين المزيد من البيانات في المخزن المؤقت للبيانات عما كان مسموحًا به في الأصل ويفشل في الحماية من المدخلات غير المتوقعة. يمكن للمهاجم استغلال هذا الخلل لجعل خادم البريد ينفذ إجراءات أخرى غير المقصودة. إذا كان خادم البريد يعمل بامتيازات، فسيتم اختراق أمان النظام بأكمله. حتى إذا لم يكن خادم البريد يتمتع بالامتيازات، فلا يزال بإمكان المهاجم تعريض أمانه للخطر والحصول على التحكم الكامل في موارده.
على الرغم من أن تجاوزات المخزن المؤقت تحدث بسبب أخطاء برمجة عرضية، إلا أنها تمثل ثغرة أمنية شائعة جدًا فيما يتعلق بسلامة البيانات. عند حدوث تجاوز سعة المخزن المؤقت، يمكن أن تحتوي البيانات الزائدة على تعليمات برمجية مصممة لتشغيل إجراءات معينة، مثل إرسال تعليمات جديدة إلى الخادم المخترق الذي قد يؤدي إلى إتلاف ملفات المستخدم أو تعديل البيانات أو الكشف عن معلومات سرية للغاية.
لقد أثبت المهاجمون مهاراتهم في الماضي من خلال استغلال نقاط الضعف في سعة المخزن المؤقت للسماح للديدان بالتنقل بين خوادم مختلفة على الإنترنت. لكن في الآونة الأخيرة، اتخذت الثغرات الأمنية المتعلقة بتجاوز سعة المخزن المؤقت هدفًا أكثر تحديدًا. فهي تسمح للمهاجمين باختراق خادم البريد، والذي يمكنهم بعد ذلك استخدامه لإرسال البريد العشوائي.
هذا الهجوم له نتيجتان خطيرتان. أولاً، يعني اختراق خادم البريد الإلكتروني أن المهاجم يمكنه قراءة رسائل البريد الإلكتروني الواردة والصادرة للشركة. النتائج يمكن أن تكون كارثية. ثانيًا، يمكن للمهاجمين استخدام موارد خادم الشركة لإرسال رسائل غير مرغوب فيها. يمكن أن يؤدي هذا الموقف إلى سمعة سيئة للشركة، وينتهك عقد مزود خدمة الإنترنت، وغالبًا ما يعني إنهاء الخدمة.
من المهم تقوية خادم البريد الخاص بك (وأي خادم عام آخر) ضد الثغرات الأمنية المتعلقة بتجاوز سعة المخزن المؤقت وأشكال الهجمات الأخرى. هناك تدابير وقائية أخرى يمكن اتخاذها.
رد واحد: تصلب الخادم
إن أفضل طريقة لتقليل احتمالية تعرض أمان خادم البريد الخاص بك للخطر هي تقوية خادم البريد نفسه. وعلى أية حال، فإن التعزيز يستحق كل هذا الجهد. على الخوادم المحصنة، وخاصة تلك الموجودة على الإنترنت، يكون عدد قليل من الخدمات عرضة لنقاط الضعف، وعادة ما يتم التعامل مع هذه الخدمات "بشكل مختلف". يتطلب التعزيز عادة التدابير التالية:
• أجهزة كمبيوتر آمنة مادياً.
• تحديث أنظمة التشغيل والبرامج التطبيقية.
• تمكين التسجيل لتسجيل عمليات المسؤولين بشأن الوصول إلى الموارد واستخدامها.
• إزالة التطبيقات والخدمات والأدوات غير الضرورية.
• تمكين خدمة جدار الحماية المحلي.
• تقييد استخدام الحسابات المميزة.
من خلال تقوية خوادمك، يمكن تقليل نقاط الضعف لديك بشكل كبير. لكن مجرد تقوية خادم البريد الخاص بك لا يكفي في كثير من الأحيان. الحل الأفضل هو تقوية الخادم مع توفير تصفية إضافية لحركة البريد الإلكتروني قبل أن يصل البريد الإلكتروني فعليًا إلى الخادم.
يمكن تصفية حركة مرور البريد الإلكتروني مسبقًا من خلال استخدام أدوات الشبكة وخدمات الإدارة والبرامج المدمجة في أنظمة البريد الإلكتروني الحالية (مثل Microsoft EXChange). تذكر أن يكون لديك طبقات مختلفة من الدفاع - على سبيل المثال، تقوية خوادم البريد الإلكتروني الداخلية لديك ونشر أدوات الشبكة المعززة من قبل البائعين لحماية البيئة المحيطة.
الرد 2: أدوات الشبكة
يتم نشر أدوات شبكة تصفية البريد أمام خوادم البريد الداخلية. توفر هذه الأدوات عادةً نوعين من جدران الحماية: جدران الحماية لتصفية الحزم وجدران الحماية على مستوى التطبيق. تسمح أدوات الشبكة التي تعمل كجدران حماية لتصفية الحزم فقط بحركة مرور TCP/IP صالحة إلى المنافذ التي تستخدمها خدمات البريد (مثل SMTP، عادةً POP3 وIMAP). تضمن الأداة، باعتبارها جدار حماية على مستوى التطبيق، أن خادم الإرسال يستخدم SMTP بشكل صحيح ويتبع طلبات IEEE ذات الصلة بالتعليقات (RFCS) والاتفاقيات (على سبيل المثال، يدعم إعدادات DNS العكسية).
أدوات الشبكة ليست عرضة للهجمات لعدة أسباب. أولاً، تعمل الغالبية العظمى من الأدوات على أنظمة تشغيل مخصصة للغاية. لقد عطلت أنظمة التشغيل هذه معظم الخدمات الإضافية التي من شأنها أن تسمح للمهاجمين بالحصول على موطئ قدم (أو تم تخصيصها منذ البداية خصيصًا للأدوات التي سيتم استخدامها).
ثانيًا، يلتزم المهندسون بشكل صارم بأفضل الممارسات عند تقوية الأدوات.
وأخيرًا، تسمح الأداة فقط بنوع محدود من الاتصال من وإلى خادم البريد (أي الاتصالات المتعلقة بنقل البريد)، وحتى هذا النوع من الاتصالات يخضع لفحص دقيق.
الرد 3: الخدمات المدارة
باستخدام الخدمات المُدارة، يتم إرسال جميع رسائل البريد الإلكتروني أولاً إلى خدمة خارج الموقع تقوم بتصفية البريد الإلكتروني، ثم تقوم بعد ذلك بإعادة توجيه البريد الإلكتروني الصالح إلى خادم بريد الشركة.
لاستخدام هذه الإستراتيجية لمنع الهجمات بشكل فعال باستخدام بروتوكولات البريد المباشر، يجب أن يقبل خادم البريد الداخلي فقط الاتصالات التي بدأتها الخدمة المُدارة وليس أي اتصالات أخرى. لكن هذه الخدمات متاحة فقط لاتصالات البريد الإلكتروني الواردة. لا تزال حركة البريد الإلكتروني الصادرة تُرسل مباشرة إلى خوادم أخرى على الإنترنت، وبالتالي تنشيط الثغرات الأمنية المحتملة في استخدام بروتوكولات البريد الإلكتروني (على سبيل المثال، يمكن لخادم البريد الإلكتروني المتلقي استغلال ثغرة أمنية في تجاوز سعة المخزن المؤقت في برنامج خادم البريد الإلكتروني المرسل أثناء إرسال SMTP).
الرد 4: البرامج المتكاملة
وأخيرًا، يمكن تثبيت برنامج متكامل للمساعدة في حماية خادم البريد الخاص بك. يحمي هذا البرنامج المثبت محليًا من هجمات الشبكة ويجعل الخادم أكثر قوة. عادةً ما يتم تشغيل البرامج المتكاملة في طبقة التطبيق (أي SMTP) لحماية الخوادم من عمليات الاستغلال. تستبدل بعض برامج التكامل مكدس TCP/IP الأصلي للخادم بإصدار مقوى مخصص.
ومع ذلك، من الشائع أكثر أن تعمل برامج التصفية المحلية مع برامج البريد الإلكتروني بدلاً من بناء جدار بين برامج البريد الإلكتروني والنظام الخارجي. يمكن أن تكون البرامج المتكاملة التي تستخدم هذا الأسلوب مفيدة عندما يكون لدى المهاجم إمكانية الوصول المباشر إلى خادم البريد (على سبيل المثال، إذا قام مستخدم داخلي موثوق به بإطلاق الهجوم).
الرد 5: هجمات رفض الخدمة وهجمات جمع الدليل
تؤدي هجمات Denia1 of Service (DoS) إلى تقليل قدرات النظام المستهدف. لنفترض أن خادم بريد، على سبيل المثال، يحاول أحد المهاجمين إبطائه أو تعطيله. يشن المهاجمون هجمات رفض الخدمة بعدة طرق، بما في ذلك استهلاك موارد الشبكة وشن هجمات تجميع الدليل.
عندما يقوم أحد المهاجمين بتنفيذ هجوم رفض الخدمة من خلال استهلاك موارد الشبكة، غالبًا ما يركز الهجوم على استهلاك كافة الاتصالات الواردة المتوفرة بالجهاز المستهدف. نظرًا لأن SMTP هو بروتوكول TCP، فإن الاستغلال الناجح يتطلب فقط أن يطلب المهاجم اتصالات TCP أكثر مما هو متاح. أي أن المهاجم يقوم بإنشاء اتصالات بخادم البريد أكثر مما يستطيع خادم البريد التعامل معه. بهذه الطريقة، لم يعد بإمكان خادم البريد قبول الاتصالات الواردة الصالحة من خوادم البريد الشرعية.
هناك عدد قليل من الحلول المستندة إلى الخادم لمنع هجمات رفض الخدمة. تعمل معظم خوادم البريد على أنظمة تشغيل ذات أغراض عامة لم يتم ضبطها للحماية من هجمات رفض الخدمة. حتى في نظام UNIX المقوى، فإن زيادة قدرة الخادم على تحمل عدد كبير من هجمات رفض الخدمة تتطلب إعدادات شبكة مختلفة. ونتيجة لذلك، غالبًا ما تشتري الشركات أنظمة تم إنشاؤها خصيصًا لاكتشاف هجمات رفض الخدمة ومنعها، أو أدوات تصفية معززة يمكنها قبول العديد من الاتصالات المتزامنة أكثر من خادم البريد للأغراض العامة. غالبًا ما تكون أجهزة التصفية هذه أكثر قدرة على اكتشاف هجمات رفض الخدمة واتخاذ الإجراءات الدفاعية.
هجمات تجميع الدليل هي هجمات كثيفة الاستخدام للموارد يطلقها مرسلي البريد العشوائي لتحديد العناوين الصالحة المتاحة للبريد العشوائي في المستقبل. عند حدوث هجوم مجموعة دليل، سيتم زيادة التحميل على خادم البريد بشكل كبير، مما يؤثر على نقل البريد الفعال. بالإضافة إلى ذلك، سيعيد خادم البريد المحلي تقارير عدم التسليم للعناوين غير الصالحة التي تحاول الوصول إلى العنوان "من" الذي يستخدمه مرسل البريد العشوائي.
يؤدي إرجاع تقارير عدم التسليم إلى إنشاء حركة مرور إضافية للبريد الإلكتروني الصادر، مما يستهلك نطاقًا تردديًا باهظ الثمن وبالتالي يزيد الحمل على خادم البريد. نظرًا لأن معظم العناوين التي يستخدمها مرسلي البريد العشوائي مزيفة، تنتهي مهلة تقارير عدم التسليم دائمًا، مما يتطلب من خادم البريد محاولة الإرسال مرة أخرى في وقت لاحق. باختصار، يعد هجوم تجميع الدليل أحد أشكال الهجوم المكلفة على خادم البريد.
لسوء الحظ، هناك طرق قليلة للتخفيف من مخاطر هجمات جمع الدليل. أحد الحلول هو استخدام الخدمات المُدارة. تحتفظ الخدمات المُدارة عادةً بعدد أكبر من خوادم البريد مما يمكن للشركة توفيره، لذلك لا تؤثر هجمات تجميع الدليل على تسليم البريد إلى حد كبير.
الحل الآخر هو تثبيت أدوات تصفية الواجهة الأمامية المُحسّنة لهذا النوع من الهجمات. احتفظ بقائمة مستخدمي البريد الإلكتروني الشرعيين في الأداة (إما عبر قائمة ثابتة أو الوصول إلى بروتوكول الوصول إلى الدليل الخفيف إلى دليل داخلي) حتى لا ترسل عوامل التصفية رسائل بريد إلكتروني إلى مستخدمين غير صالحين