Es gibt verschiedene Formen von Einbruchsangriffen auf Mailserver: Es gibt Angriffe, die Pufferüberlauf-Schwachstellen ausnutzen, Denial-of-Service-Angriffe, Angriffe auf Verzeichnissammlungen usw. Maßnahmen wie die Absicherung von Mail-Servern, der Einsatz von Mail-Filter-Tools, der Einsatz verwalteter Dienste und die Installation integrierter Software können Angriffe auf Mail-Server von verschiedenen Seiten stoppen. Dieser Artikel beschreibt diese Maßnahmen im Detail.
Wenn Sie Ihren E-Mail-Server härten, indem Sie zunächst ein E-Mail-Filter-Netzwerktool davor installieren oder einen verwalteten E-Mail-Filterdienst verwenden, können Sie Angriffe von Spammern und anderen Quellen abwehren.
Da die Angriffe auf Endbenutzer und ihre Desktops zunehmen, sind die direkten Angriffe auf Mailserver zurückgegangen (obwohl dieser Rückgang relativ ist). Server sind jedoch immer noch angreifbar, da Angreifer weiterhin Schwachstellen im Exchange-Server von Microsoft und sogar in Sendmail finden. Hier sehen Sie zwei häufige Angriffe und Möglichkeiten, die Gefährdung Ihres Mailservers durch diese Angriffe zu verringern oder zu beseitigen.
Eine der Hauptursachen: Pufferüberlauf-Schwachstelle
Ein Pufferüberlauf tritt auf, wenn ein Softwareprogramm, beispielsweise eine Mailserver-Software, mehr Daten in einem Datenpuffer speichert, als ursprünglich zulässig war, und sich nicht vor unerwarteten Eingaben schützt. Ein Angreifer könnte diesen Fehler ausnutzen, um den Mailserver dazu zu bringen, andere als beabsichtigte Vorgänge auszuführen. Wenn der Mailserver mit Privilegien läuft, ist die Sicherheit des gesamten Systems gefährdet. Selbst wenn der Mailserver nicht privilegiert ist, kann ein Angreifer dennoch seine Sicherheit gefährden und die volle Kontrolle über seine Ressourcen erlangen.
Obwohl Pufferüberläufe durch versehentliche Programmierfehler verursacht werden, stellen sie eine sehr häufige Sicherheitslücke im Hinblick auf die Datenintegrität dar. Wenn ein Pufferüberlauf auftritt, können die überschüssigen Daten Code enthalten, der bestimmte Aktionen auslösen soll, z. B. das Senden neuer Anweisungen an den gefährdeten Server, die Benutzerdateien beschädigen, Daten ändern oder streng geheime Informationen offenlegen könnten.
Angreifer haben in der Vergangenheit ihr Können unter Beweis gestellt, indem sie Pufferüberlauf-Schwachstellen ausnutzten, um Würmern die Ausbreitung zwischen verschiedenen Servern im Internet zu ermöglichen. Aber in letzter Zeit haben Pufferüberlauf-Schwachstellen ein spezifischeres Ziel. Sie ermöglichen es Angreifern, einen Mailserver zu kompromittieren, über den sie dann Spam versenden können.
Dieser Angriff hat zwei schwerwiegende Folgen. Erstens bedeutet ein kompromittierter E-Mail-Server, dass ein Angreifer die ein- und ausgehenden E-Mails des Unternehmens lesen kann. Die Ergebnisse können katastrophal sein. Zweitens können Angreifer die Serverressourcen eines Unternehmens zum Versenden von Spam nutzen. Diese Situation kann dem Unternehmen einen schlechten Ruf einbringen, gegen den ISP-Vertrag verstoßen und häufig die Beendigung des Dienstes bedeuten.
Es ist wichtig, Ihren Mailserver (und jeden anderen öffentlichen Server) gegen Pufferüberlauf-Schwachstellen und andere Formen von Angriffen abzusichern. Es gibt weitere Schutzmaßnahmen, die ergriffen werden können.
Eine Antwort: Serverhärtung
Der beste Weg, das Risiko einer Gefährdung der Sicherheit Ihres Mailservers zu verringern, besteht darin, den Mailserver selbst zu härten. In jedem Fall lohnt sich die Verstärkung. Auf gehärteten Servern, insbesondere im Internet, sind nur wenige Dienste anfällig für Schwachstellen, und diese Dienste werden normalerweise „anders“ behandelt. Zur Verstärkung sind in der Regel folgende Maßnahmen erforderlich:
• Physisch sichere Computer;
• Betriebssysteme und Anwendungssoftware aktualisieren;
• Aktivieren Sie die Protokollierung, um die Vorgänge der Administratoren beim Zugriff auf und bei der Nutzung von Ressourcen aufzuzeichnen.
• Entfernen Sie unnötige Anwendungen, Dienste und Tools.
• Lokalen Firewall-Dienst aktivieren;
• Beschränken Sie die Verwendung privilegierter Konten.
Durch die Härtung Ihrer Server können Ihre Schwachstellen deutlich reduziert werden. Doch die einfache Absicherung Ihres Mailservers reicht oft nicht aus. Eine bessere Lösung wäre, den Server zu härten und gleichzeitig den E-Mail-Verkehr zusätzlich zu filtern, bevor die E-Mail tatsächlich den Server erreicht.
Der E-Mail-Verkehr kann durch den Einsatz von Netzwerktools, Verwaltungsdiensten und Software, die in bestehende E-Mail-Systeme integriert ist (z. B. Exchange von Microsoft), vorgefiltert werden. Denken Sie daran, über verschiedene Verteidigungsebenen zu verfügen – zum Beispiel die Absicherung Ihrer internen E-Mail-Server und die Bereitstellung herstellerabgesicherter Netzwerktools zum Schutz der Umgebung.
Antwort 2: Netzwerk-Tools
Netzwerktools zur E-Mail-Filterung werden vor internen Mailservern bereitgestellt. Diese Tools bieten normalerweise zwei Arten von Firewalls: Paketfilter-Firewalls und Firewalls auf Anwendungsebene. Netzwerktools, die als Paketfilter-Firewalls fungieren, lassen nur gültigen TCP/IP-Verkehr zu Ports zu, die von E-Mail-Diensten verwendet werden (wie SMTP, normalerweise POP3 und IMAP). Das Tool stellt als Firewall auf Anwendungsebene sicher, dass der sendende Server SMTP korrekt verwendet und relevante IEEE Requests for Comments (RFCS) und Konventionen befolgt (z. B. unterstützt es Reverse-DNS-Einstellungen).
Netzwerk-Tools sind aus mehreren Gründen nicht anfällig für Angriffe. Erstens läuft die überwiegende Mehrheit der Tools auf hochgradig angepassten Betriebssystemen. Diese Betriebssysteme haben die meisten zusätzlichen Dienste deaktiviert, die es Angreifern ermöglichen würden, Fuß zu fassen (oder wurden von Anfang an speziell an die zu verwendenden Tools angepasst).
Zweitens halten sich Ingenieure beim Härten von Werkzeugen strikt an bewährte Verfahren.
Schließlich erlaubt ein Tool nur eine begrenzte Art der Kommunikation zum und vom Mailserver (d. h. Kommunikation im Zusammenhang mit dem Mail-Transport), und selbst diese Art der Kommunikation unterliegt einer sorgfältigen Prüfung.
Antwort 3: Managed Services
Bei verwalteten Diensten werden alle E-Mails zunächst an einen externen Dienst gesendet, der E-Mails filtert und dann gültige E-Mails an den Mailserver des Unternehmens weiterleitet.
Um mit dieser Strategie Angriffe über Direct-Mail-Protokolle effektiv zu verhindern, darf der interne Mailserver nur vom verwalteten Dienst initiierte Verbindungen und keine anderen Verbindungen akzeptieren. Diese Dienste stehen jedoch nur für eingehende E-Mail-Kommunikation zur Verfügung. Ausgehender E-Mail-Verkehr wird weiterhin direkt an andere Server im Internet gesendet, wodurch mögliche Schwachstellen bei der Verwendung von E-Mail-Protokollen aktiviert werden (z. B. könnte ein empfangender E-Mail-Server eine Pufferüberlauf-Schwachstelle in der Software des sendenden E-Mail-Servers während der SMTP-Übertragung ausnutzen).
Antwort 4: Integrierte Software
Schließlich kann integrierte Software installiert werden, die zum Schutz Ihres Mailservers beiträgt. Diese lokal installierte Software schützt vor Netzwerkangriffen und macht den Server robuster. Integrierte Software läuft typischerweise auf der Anwendungsebene (d. h. SMTP), um Server vor Exploits zu schützen. Einige Integrationssoftware ersetzt den nativen TCP/IP-Stack des Servers durch eine benutzerdefinierte, gehärtete Version.
Es kommt jedoch häufiger vor, dass lokale Filtersoftware mit der E-Mail-Software zusammenarbeitet, anstatt eine Mauer zwischen der E-Mail-Software und dem externen System zu errichten. Integrierte Software, die diesen Ansatz verwendet, kann nützlich sein, wenn ein Angreifer direkten Zugriff auf den Mailserver hat (z. B. wenn ein vertrauenswürdiger interner Benutzer den Angriff startet).
Reaktion 5: Denial-of-Service-Angriffe und Verzeichnissammlungsangriffe
Denia1 of Service (DoS)-Angriffe reduzieren die Leistungsfähigkeit des Zielsystems. Nehmen wir zum Beispiel einen Mailserver an und ein Angreifer versucht, ihn zu verlangsamen oder zu deaktivieren. Angreifer starten Denial-of-Service-Angriffe auf verschiedene Arten, unter anderem indem sie Netzwerkressourcen verbrauchen und Directory-Harvest-Angriffe starten.
Wenn ein Angreifer einen Denial-of-Service-Angriff durch Netzwerkressourcenverbrauch durchführt, konzentriert sich der Angriff häufig darauf, alle verfügbaren eingehenden Verbindungen zum Zielcomputer zu verbrauchen. Da SMTP ein TCP-Protokoll ist, erfordert ein erfolgreicher Angriff lediglich, dass der Angreifer mehr TCP-Verbindungen anfordert, als verfügbar sind. Das heißt, der Angreifer stellt mehr Verbindungen zum Mailserver her, als der Mailserver verarbeiten kann. Auf diese Weise kann der Mailserver keine gültigen eingehenden Verbindungen von legitimen Mailservern mehr akzeptieren.
Es gibt nur wenige serverbasierte Lösungen, um Denial-of-Service-Angriffe zu verhindern. Die meisten Mailserver laufen auf Allzweckbetriebssystemen, die nicht auf den Schutz vor Denial-of-Service-Angriffen abgestimmt sind. Selbst auf einem gehärteten UNIX-System sind andere Netzwerkeinstellungen erforderlich, um die Widerstandsfähigkeit des Servers gegen eine große Anzahl von Denial-of-Service-Angriffen zu erhöhen. Aus diesem Grund erwerben Unternehmen häufig Systeme, die speziell zur Erkennung und Verhinderung von Denial-of-Service-Angriffen entwickelt wurden, oder robuste Filtertools, die viel mehr gleichzeitige Verbindungen akzeptieren können als ein Allzweck-Mailserver. Solche Filtergeräte sind oft besser in der Lage, Denial-of-Service-Angriffe zu erkennen und Abwehrmaßnahmen zu ergreifen.
Directory-Harvest-Angriffe sind ressourcenintensive Angriffe, die von Spammern gestartet werden, um gültige Adressen zu identifizieren, die für zukünftige Spam-Mails verfügbar sind. Wenn ein Verzeichnissammlungsangriff auftritt, erhöht sich die Belastung des Mailservers erheblich, was sich auf die Übertragung effektiver E-Mails auswirkt. Darüber hinaus sendet der lokale Mailserver Unzustellbarkeitsberichte für ungültige Adressen zurück, die versuchen, an die vom Spammer verwendete Absenderadresse zu senden.
Zurückgesandte Unzustellbarkeitsberichte erzeugen zusätzlichen ausgehenden E-Mail-Verkehr, verbrauchen teure Bandbreite und erhöhen somit die Belastung des Mailservers. Da die meisten von Spammern verwendeten Absenderadressen gefälscht sind, kommt es bei Berichten über die Nichtzustellung bei der Übertragung immer zu Zeitüberschreitungen, sodass der Mailserver die Übertragung zu einem späteren Zeitpunkt erneut versuchen muss. Zusammenfassend lässt sich sagen, dass ein Directory-Harvest-Angriff eine kostspielige Form des Angriffs auf einen Mailserver ist.
Leider gibt es nur wenige Möglichkeiten, die Gefahren von Angriffen auf Verzeichnissammlungen zu mindern. Eine Lösung ist die Nutzung von Managed Services. Typischerweise unterhalten Managed Services viel mehr Mailserver, als ein Unternehmen bereitstellen kann, sodass Directory-Harvest-Angriffe die E-Mail-Zustellung kaum beeinträchtigen.
Eine andere Lösung besteht darin, Front-End-Filtertools zu installieren, die für diese Art von Angriff optimiert sind. Pflegen Sie im Tool eine Liste legitimer E-Mail-Benutzer (entweder über eine statische Liste oder über den Light Directory Access Protocol-Zugriff auf ein internes Verzeichnis), damit Filter keine E-Mails an ungültige Benutzer senden