Ada berbagai bentuk serangan intrusi pada server email: ada serangan yang menggunakan kerentanan buffer overflow, serangan penolakan layanan, serangan pengumpulan direktori, dll. Tindakan seperti memperkuat server email, menggunakan alat pemfilteran email, menggunakan layanan terkelola, dan menginstal perangkat lunak terintegrasi semuanya dapat menghentikan serangan terhadap server email dari berbagai sisi. Artikel ini menjelaskan langkah-langkah ini secara rinci.
Memperkuat server email Anda, terlebih dahulu memasang alat jaringan pemfilteran email di depannya, atau menggunakan layanan pemfilteran email terkelola akan membantu mengurangi serangan dari pengirim spam dan sumber lainnya.
Seiring dengan meningkatnya serangan terhadap pengguna akhir dan desktop mereka, serangan langsung terhadap server email mengalami penurunan (walaupun penurunan ini bersifat relatif). Namun, server masih rentan, karena penyerang terus menemukan kerentanan di server EXChange Microsoft dan bahkan Sendmail. Berikut adalah dua serangan umum dan cara untuk mengurangi atau menghilangkan paparan server email Anda terhadap serangan ini.
Salah satu penyebab utama: kerentanan buffer overflow
Buffer overflow terjadi ketika program perangkat lunak, seperti perangkat lunak server email, menyimpan lebih banyak data dalam buffer data daripada yang diizinkan sebelumnya dan gagal melindungi terhadap input yang tidak diharapkan. Penyerang dapat mengeksploitasi kelemahan ini untuk menyebabkan server email melakukan prosedur lain selain yang dimaksudkan. Jika server email berjalan dengan hak istimewa, keamanan seluruh sistem akan terganggu. Meskipun server email tidak memiliki hak istimewa, penyerang masih dapat membahayakan keamanannya dan mendapatkan kendali penuh atas sumber dayanya.
Meskipun buffer overflows disebabkan oleh kesalahan pemrograman yang tidak disengaja, buffer overflows merupakan kerentanan keamanan yang sangat umum dalam hal integritas data. Ketika buffer overflow terjadi, kelebihan data dapat berisi kode yang dirancang untuk memicu tindakan tertentu, seperti mengirimkan instruksi baru ke server yang disusupi yang dapat merusak file pengguna, mengubah data, atau mengungkap informasi rahasia.
Penyerang telah membuktikan keahlian mereka di masa lalu dengan mengeksploitasi kerentanan buffer overflow untuk memungkinkan worm berpindah antar server yang berbeda di Internet. Namun baru-baru ini, kerentanan buffer overflow telah mencapai target yang lebih spesifik. Mereka mengizinkan penyerang untuk menyusupi server email, yang kemudian dapat mereka gunakan untuk mengirim spam.
Serangan ini mempunyai dua konsekuensi serius. Pertama, server email yang disusupi berarti penyerang dapat membaca email masuk dan keluar perusahaan. Hasilnya bisa menjadi bencana besar. Kedua, penyerang dapat menggunakan sumber daya server perusahaan untuk mengirim spam. Situasi ini dapat membawa nama buruk bagi perusahaan, melanggar kontrak ISP, dan sering kali berarti penghentian layanan.
Penting untuk memperkuat server email Anda (dan server publik lainnya) terhadap kerentanan buffer overflow dan bentuk serangan lainnya. Ada tindakan perlindungan lain yang dapat diambil.
Satu tanggapan: pengerasan server
Cara terbaik untuk mengurangi kemungkinan keamanan server email Anda disusupi adalah dengan memperkuat server email itu sendiri. Bagaimanapun, penguatan sepadan dengan usaha yang dilakukan. Pada server yang diperkeras, terutama yang ada di Internet, hanya sedikit layanan yang rentan terhadap kerentanan, dan layanan tersebut biasanya diperlakukan "berbeda". Penguatan biasanya memerlukan langkah-langkah berikut:
• Komputer yang aman secara fisik;
• Memperbarui sistem operasi dan perangkat lunak aplikasi;
• Aktifkan logging untuk mencatat operasi administrator dalam mengakses dan menggunakan sumber daya;
• Hapus aplikasi, layanan, dan alat yang tidak diperlukan;
• Aktifkan layanan firewall lokal;
• Membatasi penggunaan akun yang memiliki hak istimewa.
Dengan memperkuat server Anda, titik lemah Anda bisa sangat dikurangi. Namun memperkuat server email Anda saja seringkali tidak cukup. Solusi yang lebih baik adalah dengan memperkuat server sekaligus memberikan pemfilteran tambahan pada lalu lintas email sebelum email benar-benar mencapai server.
Lalu lintas email dapat disaring terlebih dahulu melalui penggunaan alat jaringan, layanan manajemen, dan perangkat lunak yang terintegrasi ke dalam sistem email yang ada (seperti Microsoft EXChange). Ingatlah untuk memiliki lapisan pertahanan yang berbeda—misalnya, memperkuat server email internal Anda dan menerapkan alat jaringan yang diperkuat vendor untuk melindungi lingkungan sekitar.
Tanggapan 2: Alat jaringan
Alat jaringan pemfilteran email diterapkan di depan server email internal. Alat-alat ini biasanya menyediakan dua jenis firewall: firewall pemfilteran paket dan firewall tingkat aplikasi. Alat jaringan yang bertindak sebagai firewall pemfilteran paket hanya mengizinkan lalu lintas TCP/IP yang valid ke port yang digunakan oleh layanan email (seperti SMTP, biasanya POP3 dan IMAP). Alat ini sebagai firewall tingkat aplikasi memastikan bahwa server pengirim menggunakan SMTP dengan benar dan mengikuti Permintaan Komentar IEEE (RFCS) dan konvensi yang relevan (misalnya, mendukung pengaturan DNS terbalik).
Alat jaringan tidak rentan terhadap serangan karena beberapa alasan. Pertama, sebagian besar alat berjalan pada sistem operasi yang sangat disesuaikan. Sistem operasi ini telah menonaktifkan sebagian besar layanan tambahan yang memungkinkan penyerang mendapatkan pijakan (atau telah disesuaikan sejak awal secara khusus untuk alat yang akan digunakan).
Kedua, para insinyur secara ketat mematuhi praktik terbaik saat melakukan pengerasan alat.
Terakhir, suatu alat hanya mengizinkan jenis komunikasi terbatas ke dan dari server email (yaitu, komunikasi yang terkait dengan transportasi email), dan bahkan jenis komunikasi ini harus diperiksa dengan cermat.
Tanggapan 3: Layanan terkelola
Dengan layanan terkelola, semua email dikirim terlebih dahulu ke layanan luar kantor yang memfilter email, yang kemudian meneruskan email yang valid ke server email perusahaan.
Untuk menggunakan strategi ini guna mencegah serangan menggunakan protokol email langsung secara efektif, server email internal hanya boleh menerima koneksi yang dimulai oleh layanan terkelola dan bukan koneksi lainnya. Namun layanan ini hanya tersedia untuk komunikasi email masuk. Lalu lintas email keluar masih dikirim langsung ke server lain di Internet, sehingga mengaktifkan kemungkinan kerentanan dalam penggunaan protokol email (misalnya, server email penerima dapat mengeksploitasi kerentanan buffer overflow dalam perangkat lunak server email pengirim selama transmisi SMTP).
Tanggapan 4: Perangkat lunak terintegrasi
Terakhir, perangkat lunak terintegrasi dapat diinstal untuk membantu melindungi server email Anda. Perangkat lunak yang diinstal secara lokal ini melindungi terhadap serangan jaringan dan membuat server lebih kuat. Perangkat lunak terintegrasi biasanya berjalan pada lapisan aplikasi (yaitu SMTP) untuk melindungi server dari eksploitasi. Beberapa perangkat lunak integrasi menggantikan tumpukan TCP/IP asli server dengan versi khusus yang diperkeras.
Namun, perangkat lunak pemfilteran lokal lebih umum bekerja dengan perangkat lunak email daripada membangun dinding antara perangkat lunak email dan sistem eksternal. Perangkat lunak terintegrasi yang menggunakan pendekatan ini dapat berguna ketika penyerang memiliki akses langsung ke server email (misalnya, jika pengguna internal tepercaya melancarkan serangan).
Respons 5: Serangan Penolakan Layanan dan Serangan Pengumpulan Direktori
Serangan Denia1 of Service (DoS) mengurangi kemampuan sistem target. Katakanlah server email, misalnya, dan penyerang mencoba memperlambat atau menonaktifkannya. Penyerang meluncurkan serangan penolakan layanan dengan beberapa cara, termasuk menghabiskan sumber daya jaringan dan meluncurkan serangan pengambilan direktori.
Ketika penyerang melakukan serangan penolakan layanan melalui konsumsi sumber daya jaringan, serangan tersebut sering kali berfokus pada penggunaan semua koneksi masuk yang tersedia ke mesin target. Karena SMTP adalah protokol TCP, eksploitasi yang berhasil hanya mengharuskan penyerang meminta lebih banyak koneksi TCP daripada yang tersedia. Artinya, penyerang membuat lebih banyak koneksi ke server email daripada yang dapat ditangani oleh server email. Dengan cara ini server email tidak dapat lagi menerima koneksi masuk yang valid dari server email yang sah.
Ada beberapa solusi berbasis server untuk mencegah serangan penolakan layanan. Sebagian besar server email berjalan pada sistem operasi tujuan umum yang tidak dirancang untuk melindungi terhadap serangan penolakan layanan. Bahkan pada sistem UNIX yang diperkuat, meningkatkan kemampuan server untuk menahan sejumlah besar serangan penolakan layanan memerlukan pengaturan jaringan yang berbeda. Akibatnya, perusahaan sering kali membeli sistem yang dibuat khusus untuk mendeteksi dan mencegah serangan penolakan layanan, atau alat pemfilteran canggih yang dapat menerima lebih banyak koneksi simultan dibandingkan server email tujuan umum. Perangkat penyaringan seperti ini seringkali lebih mampu mendeteksi serangan penolakan layanan dan mengambil tindakan defensif.
Serangan pengambilan direktori adalah serangan intensif sumber daya yang diluncurkan oleh pelaku spam untuk mengidentifikasi alamat valid yang tersedia untuk spam di masa mendatang. Ketika serangan pengumpulan direktori terjadi, beban pada server email akan sangat meningkat, sehingga mempengaruhi transmisi email yang efektif. Selain itu, server email lokal akan mengembalikan laporan tidak terkirim untuk alamat yang tidak valid yang mencoba ke alamat Dari yang digunakan oleh pelaku spam.
Mengembalikan laporan yang tidak terkirim menghasilkan lalu lintas email keluar tambahan, menghabiskan bandwidth yang mahal dan dengan demikian meningkatkan beban pada server email. Karena sebagian besar alamat Dari yang digunakan oleh pelaku spam adalah palsu, laporan pengiriman yang tidak terkirim selalu habis, sehingga server email harus mencoba transmisi lagi di lain waktu. Singkatnya, serangan pengambilan direktori adalah bentuk serangan yang mahal pada server email.
Sayangnya, ada beberapa cara untuk mengurangi bahaya serangan kumpulan direktori. Salah satu solusinya adalah dengan menggunakan layanan terkelola. Biasanya layanan terkelola memelihara lebih banyak server email daripada yang dapat disediakan oleh perusahaan, sehingga serangan pengambilan direktori tidak berdampak besar pada pengiriman email.
Solusi lainnya adalah dengan menginstal alat pemfilteran front-end yang dioptimalkan untuk jenis serangan ini. Pertahankan daftar pengguna email yang sah di alat (baik melalui daftar statis atau akses Light Directory Access Protocol ke direktori internal) sehingga filter tidak mengirim email ke pengguna yang tidak valid