Существуют различные формы атак вторжения на почтовые серверы: это атаки с использованием уязвимостей переполнения буфера, атаки типа «отказ в обслуживании», атаки сбора каталогов и т. д. Такие меры, как усиление защиты почтовых серверов, использование инструментов фильтрации почты, использование управляемых сервисов и установка интегрированного программного обеспечения, могут остановить атаки на почтовые серверы с разных сторон. В этой статье эти меры подробно описаны.
Усиление защиты вашего почтового сервера, установка перед ним сетевого инструмента фильтрации почты или использование управляемой службы фильтрации почты поможет смягчить атаки со стороны спамеров и других источников.
По мере увеличения количества атак на конечных пользователей и их рабочие столы количество прямых атак на почтовые серверы уменьшилось (хотя это снижение является относительным). Однако серверы по-прежнему уязвимы, поскольку злоумышленники продолжают находить уязвимости в сервере Microsoft EXChange и даже в Sendmail. Вот обзор двух распространенных атак и способов уменьшить или устранить подверженность вашего почтового сервера этим атакам.
Одна из основных причин: уязвимость переполнения буфера.
Переполнение буфера происходит, когда программа, например почтовый сервер, сохраняет в буфере данных больше данных, чем было изначально разрешено, и не может защититься от неожиданного ввода. Злоумышленник может воспользоваться этой уязвимостью, чтобы заставить почтовый сервер выполнять другие процедуры, чем предполагалось. Если почтовый сервер работает с привилегиями, безопасность всей системы будет поставлена под угрозу. Даже если почтовый сервер не имеет привилегий, злоумышленник все равно может поставить под угрозу его безопасность и получить полный контроль над его ресурсами.
Хотя переполнение буфера вызвано случайными ошибками программирования, оно является очень распространенной уязвимостью безопасности с точки зрения целостности данных. Когда происходит переполнение буфера, избыточные данные могут содержать код, предназначенный для запуска определенных действий, таких как отправка новых инструкций на скомпрометированный сервер, которые могут повредить пользовательские файлы, изменить данные или раскрыть сверхсекретную информацию.
В прошлом злоумышленники доказали свою квалификацию, используя уязвимости переполнения буфера, позволяющие червям перемещаться между разными серверами в Интернете. Но в последнее время уязвимости, связанные с переполнением буфера, приобрели более конкретную цель. Они позволяют злоумышленникам скомпрометировать почтовый сервер, который затем можно использовать для рассылки спама.
Эта атака имеет два серьезных последствия. Во-первых, скомпрометированный почтовый сервер означает, что злоумышленник может читать входящие и исходящие электронные письма компании. Результаты могут быть катастрофическими. Во-вторых, злоумышленники могут использовать ресурсы сервера компании для рассылки спама. Такая ситуация может испортить репутацию компании, нарушить договор с интернет-провайдером и часто означает прекращение обслуживания.
Важно защитить ваш почтовый сервер (и любой другой общедоступный сервер) от уязвимостей переполнения буфера и других форм атак. Можно принять и другие защитные меры.
Один ответ: усиление защиты сервера
Лучший способ снизить вероятность нарушения безопасности вашего почтового сервера — усилить защиту самого почтового сервера. В любом случае усиление стоит затраченных усилий. На защищенных серверах, особенно в Интернете, лишь немногие службы уязвимы к уязвимостям, и к этим службам обычно относятся «по-другому». Армирование обычно требует следующих мер:
• Физически защищенные компьютеры;
• Обновление операционных систем и прикладного программного обеспечения;
• Включить ведение журнала для записи действий администраторов по доступу и использованию ресурсов;
• Удалите ненужные приложения, сервисы и инструменты;
• Включить службу локального брандмауэра;
• Ограничить использование привилегированных учетных записей.
Укрепив ваши серверы, ваши слабые места могут быть значительно уменьшены. Но простого усиления защиты вашего почтового сервера зачастую недостаточно. Лучшим решением было бы усилить защиту сервера, а также обеспечить дополнительную фильтрацию трафика электронной почты до того, как электронная почта действительно достигнет сервера.
Трафик электронной почты можно предварительно фильтровать с помощью сетевых инструментов, служб управления и программного обеспечения, интегрированного в существующие системы электронной почты (например, Microsoft EXChange). Не забудьте иметь разные уровни защиты — например, усиление защиты внутренних серверов электронной почты и развертывание сетевых инструментов, защищенных поставщиком, для защиты окружающей среды.
Ответ 2: Сетевые инструменты
Сетевые инструменты фильтрации почты развертываются перед внутренними почтовыми серверами. Эти инструменты обычно предоставляют два типа брандмауэров: брандмауэры с фильтрацией пакетов и брандмауэры уровня приложений. Сетевые инструменты, действующие как межсетевые экраны с фильтрацией пакетов, пропускают действительный трафик TCP/IP только на порты, используемые почтовыми службами (например, SMTP, обычно POP3 и IMAP). Этот инструмент в качестве брандмауэра уровня приложения гарантирует, что отправляющий сервер правильно использует SMTP и следует соответствующим запросам IEEE на комментарии (RFCS) и соглашениям (например, поддерживает настройки обратного DNS).
Сетевые инструменты не уязвимы для атак по нескольким причинам. Во-первых, подавляющее большинство инструментов работают на специализированных операционных системах. В этих операционных системах отключено большинство дополнительных сервисов, которые позволяли бы злоумышленникам закрепиться (или они изначально были настроены специально под используемые инструменты).
Во-вторых, инженеры строго придерживаются лучших практик при закалке инструментов.
Наконец, инструмент допускает только ограниченный тип связи с почтовым сервером (т. е. связь, связанную с транспортировкой почты), и даже этот тип связи подлежит тщательной проверке.
Ответ 3: Управляемые услуги
При использовании управляемых служб вся электронная почта сначала отправляется в удаленную службу, которая фильтрует электронную почту, а затем пересылает действительные электронные письма на почтовый сервер компании.
Чтобы использовать эту стратегию для эффективного предотвращения атак с использованием протоколов прямой почты, внутренний почтовый сервер должен принимать только соединения, инициированные управляемой службой, а не любые другие соединения. Но эти услуги доступны только для входящей электронной почты. Исходящий трафик электронной почты по-прежнему отправляется непосредственно на другие серверы в Интернете, тем самым активируя возможные уязвимости в использовании протоколов электронной почты (например, принимающий сервер электронной почты может использовать уязвимость переполнения буфера в программном обеспечении отправляющего сервера электронной почты во время передачи SMTP).
Ответ 4: Интегрированное программное обеспечение
Наконец, можно установить интегрированное программное обеспечение, которое поможет защитить ваш почтовый сервер. Это локально установленное программное обеспечение защищает от сетевых атак и делает сервер более надежным. Интегрированное программное обеспечение обычно работает на уровне приложений (т. е. SMTP) для защиты серверов от эксплойтов. Некоторые программы интеграции заменяют собственный стек TCP/IP сервера специальной усиленной версией.
Однако локальное программное обеспечение для фильтрации чаще работает с программным обеспечением электронной почты, а не строит стену между программным обеспечением электронной почты и внешней системой. Интегрированное программное обеспечение, использующее этот подход, может быть полезно, когда злоумышленник имеет прямой доступ к почтовому серверу (например, если атаку запускает доверенный внутренний пользователь).
Ответ 5: Атаки типа «отказ в обслуживании» и атаки на сбор каталогов
Атаки Denia1 of Service (DoS) снижают возможности целевой системы. Допустим, есть почтовый сервер, и злоумышленник пытается его замедлить или отключить. Злоумышленники запускают атаки типа «отказ в обслуживании» несколькими способами, включая потребление сетевых ресурсов и запуск атак со сбором каталогов.
Когда злоумышленник проводит атаку типа «отказ в обслуживании» посредством потребления сетевых ресурсов, атака часто фокусируется на использовании всех доступных входящих подключений к целевой машине. Поскольку SMTP является протоколом TCP, для успешного эксплойта требуется только, чтобы злоумышленник запросил больше TCP-соединений, чем доступно. То есть злоумышленник создает больше подключений к почтовому серверу, чем почтовый сервер может обработать. Таким образом, почтовый сервер больше не сможет принимать действительные входящие соединения от законных почтовых серверов.
Существует несколько серверных решений для предотвращения атак типа «отказ в обслуживании». Большинство почтовых серверов работают под управлением операционных систем общего назначения, которые не настроены для защиты от атак типа «отказ в обслуживании». Даже в защищенной системе UNIX повышение способности сервера противостоять большому количеству атак типа «отказ в обслуживании» требует различных сетевых настроек. В результате компании часто приобретают системы, специально созданные для обнаружения и предотвращения атак типа «отказ в обслуживании», или инструменты усиленной фильтрации, которые могут принимать гораздо больше одновременных подключений, чем почтовый сервер общего назначения. Такие фильтрующие устройства зачастую лучше обнаруживают атаки типа «отказ в обслуживании» и принимают защитные меры.
Атаки сбора каталогов — это ресурсоемкие атаки, запускаемые спамерами для определения действительных адресов, доступных для будущего спама. Когда происходит атака со сбором каталогов, нагрузка на почтовый сервер значительно увеличивается, что влияет на эффективную передачу почты. Кроме того, локальный почтовый сервер будет возвращать отчеты о недоставке для недействительных адресов, пытающихся перейти на адрес «От», используемый спамером.
Возврат отчетов о недоставке генерирует дополнительный исходящий почтовый трафик, потребляя дорогую полосу пропускания и, таким образом, увеличивая нагрузку на почтовый сервер. Поскольку большинство адресов отправителя, используемых спамерами, являются поддельными, отчеты о недоставке всегда истекают, что требует от почтового сервера повторной попытки передачи позже. Подводя итог, можно сказать, что атака со сбором каталогов — это дорогостоящая форма атаки на почтовый сервер.
К сожалению, существует несколько способов снизить опасность атак со сбором каталогов. Одним из решений является использование управляемых сервисов. Обычно управляемые службы обслуживают гораздо больше почтовых серверов, чем может предоставить компания, поэтому атаки со сбором каталогов не оказывают существенного влияния на доставку почты.
Другое решение — установить внешние инструменты фильтрации, оптимизированные для атак такого типа. Ведите список законных пользователей электронной почты в инструменте (либо через статический список, либо через протокол доступа к внутреннему каталогу по протоколу Light Directory), чтобы фильтры не отправляли электронные письма недействительным пользователям.