การโจมตีด้วยการบุกรุกบนเมลเซิร์ฟเวอร์มีหลายรูปแบบ: มีการโจมตีโดยใช้ช่องโหว่บัฟเฟอร์ล้น การโจมตีแบบปฏิเสธการบริการ การโจมตีการรวบรวมไดเรกทอรี ฯลฯ มาตรการต่างๆ เช่น การเสริมความแข็งแกร่งให้กับเมลเซิร์ฟเวอร์ การใช้เครื่องมือกรองเมล การใช้บริการที่ได้รับการจัดการ และการติดตั้งซอฟต์แวร์แบบรวม ล้วนสามารถหยุดการโจมตีบนเมลเซิร์ฟเวอร์จากด้านต่างๆ ได้ บทความนี้จะอธิบายมาตรการเหล่านี้โดยละเอียด
การทำให้เมลเซิร์ฟเวอร์ของคุณแข็งแกร่งขึ้น ขั้นแรกให้ติดตั้งเครื่องมือเครือข่ายการกรองเมลไว้ข้างหน้า หรือการใช้บริการกรองเมลที่มีการจัดการจะช่วยลดการโจมตีจากผู้ส่งอีเมลขยะและแหล่งที่มาอื่นๆ
เมื่อการโจมตีต่อผู้ใช้และเดสก์ท็อปเพิ่มขึ้น การโจมตีโดยตรงบนเมลเซิร์ฟเวอร์ก็ลดลง (แม้ว่าการลดลงนี้จะสัมพันธ์กันก็ตาม) อย่างไรก็ตาม เซิร์ฟเวอร์ยังคงมีช่องโหว่ เนื่องจากผู้โจมตียังคงพบช่องโหว่ในเซิร์ฟเวอร์ EXChange ของ Microsoft และแม้แต่ Sendmail ต่อไปนี้เป็นภาพรวมของการโจมตีทั่วไปสองรายการและวิธีลดหรือขจัดความเสี่ยงที่เซิร์ฟเวอร์อีเมลของคุณจะถูกโจมตีเหล่านี้
สาเหตุหลักประการหนึ่ง: ช่องโหว่บัฟเฟอร์ล้น
บัฟเฟอร์ล้นเกิดขึ้นเมื่อโปรแกรมซอฟต์แวร์ เช่น ซอฟต์แวร์เมลเซิร์ฟเวอร์ จัดเก็บข้อมูลในบัฟเฟอร์ข้อมูลมากกว่าที่อนุญาตไว้ตั้งแต่แรก และไม่สามารถป้องกันการป้อนข้อมูลที่ไม่คาดคิดได้ ผู้โจมตีสามารถใช้ประโยชน์จากข้อบกพร่องนี้เพื่อทำให้เซิร์ฟเวอร์เมลดำเนินการขั้นตอนอื่นนอกเหนือจากที่ตั้งใจไว้ หากเมลเซิร์ฟเวอร์ทำงานโดยมีสิทธิ์ ความปลอดภัยของทั้งระบบจะถูกบุกรุก แม้ว่าเมลเซิร์ฟเวอร์จะไม่ได้รับสิทธิพิเศษ แต่ผู้โจมตียังคงสามารถประนีประนอมความปลอดภัยและควบคุมทรัพยากรได้อย่างเต็มที่
แม้ว่าบัฟเฟอร์ล้นจะเกิดจากข้อผิดพลาดในการเขียนโปรแกรมโดยไม่ตั้งใจ แต่ก็มีช่องโหว่ด้านความปลอดภัยที่พบบ่อยมากในแง่ของความสมบูรณ์ของข้อมูล เมื่อบัฟเฟอร์ล้นเกิดขึ้น ข้อมูลส่วนเกินอาจมีโค้ดที่ออกแบบมาเพื่อกระตุ้นการดำเนินการเฉพาะ เช่น การส่งคำสั่งใหม่ไปยังเซิร์ฟเวอร์ที่ถูกบุกรุก ซึ่งอาจทำให้ไฟล์ผู้ใช้เสียหาย ปรับเปลี่ยนข้อมูล หรือเปิดเผยข้อมูลที่เป็นความลับสุดยอด
ผู้โจมตีได้พิสูจน์ทักษะของตนในอดีตโดยอาศัยช่องโหว่ของบัฟเฟอร์ล้นเพื่อให้เวิร์มสามารถเดินทางระหว่างเซิร์ฟเวอร์ต่างๆ บนอินเทอร์เน็ตได้ แต่เมื่อเร็วๆ นี้ ช่องโหว่บัฟเฟอร์ล้นได้เข้าโจมตีเป้าหมายที่เฉพาะเจาะจงมากขึ้น อนุญาตให้ผู้โจมตีโจมตีเซิร์ฟเวอร์อีเมล ซึ่งสามารถใช้เพื่อส่งสแปมได้
การโจมตีครั้งนี้มีผลกระทบร้ายแรงสองประการ ประการแรก เซิร์ฟเวอร์อีเมลที่ถูกบุกรุกหมายความว่าผู้โจมตีสามารถอ่านอีเมลขาเข้าและขาออกของบริษัทได้ ผลลัพธ์อาจเป็นหายนะ ประการที่สอง ผู้โจมตีสามารถใช้ทรัพยากรเซิร์ฟเวอร์ของบริษัทเพื่อส่งสแปมได้ สถานการณ์นี้อาจทำให้บริษัทเสียชื่อ ละเมิดสัญญา ISP และมักหมายถึงการยุติการให้บริการ
สิ่งสำคัญคือต้องทำให้เมลเซิร์ฟเวอร์ของคุณแข็งแกร่งขึ้น (และเซิร์ฟเวอร์สาธารณะอื่นๆ) จากช่องโหว่บัฟเฟอร์ล้นและการโจมตีรูปแบบอื่นๆ มีมาตรการป้องกันอื่น ๆ ที่สามารถทำได้
คำตอบเดียว: การทำให้เซิร์ฟเวอร์แข็งแกร่งขึ้น
วิธีที่ดีที่สุดในการลดโอกาสที่การรักษาความปลอดภัยของเมลเซิร์ฟเวอร์ของคุณจะถูกโจมตีก็คือการทำให้เมลเซิร์ฟเวอร์นั้นแข็งแกร่งขึ้น ไม่ว่าในกรณีใดการเสริมกำลังก็คุ้มค่ากับความพยายาม บนเซิร์ฟเวอร์ที่มีการป้องกันความปลอดภัย โดยเฉพาะอย่างยิ่งเซิร์ฟเวอร์บนอินเทอร์เน็ต บริการบางอย่างมีความเสี่ยงต่อช่องโหว่ และบริการเหล่านั้นมักจะได้รับการปฏิบัติ "แตกต่างกัน" การเสริมแรงมักต้องใช้มาตรการดังต่อไปนี้:
• คอมพิวเตอร์ที่มีความปลอดภัยทางกายภาพ;
• อัพเดตระบบปฏิบัติการและแอพพลิเคชั่นซอฟต์แวร์;
• เปิดใช้งานการบันทึกเพื่อบันทึกการดำเนินการของผู้ดูแลระบบในการเข้าถึงและการใช้ทรัพยากร
• ลบแอปพลิเคชัน บริการ และเครื่องมือที่ไม่จำเป็นออก
• เปิดใช้บริการไฟร์วอลล์ท้องถิ่น;
• จำกัดการใช้บัญชีพิเศษ
การทำให้เซิร์ฟเวอร์ของคุณแข็งแกร่งขึ้น จุดอ่อนของคุณจะลดลงอย่างมาก แต่การทำให้เมลเซิร์ฟเวอร์ของคุณแข็งแกร่งขึ้นมักจะไม่เพียงพอ วิธีแก้ปัญหาที่ดีกว่าคือทำให้เซิร์ฟเวอร์แข็งแกร่งขึ้น ในขณะเดียวกันก็กรองการรับส่งอีเมลเพิ่มเติมก่อนที่อีเมลจะไปถึงเซิร์ฟเวอร์จริงๆ
การรับส่งอีเมลสามารถกรองล่วงหน้าได้โดยใช้เครื่องมือเครือข่าย บริการการจัดการ และซอฟต์แวร์ที่รวมอยู่ในระบบอีเมลที่มีอยู่ (เช่น EXChange ของ Microsoft) อย่าลืมมีชั้นการป้องกันที่แตกต่างกัน เช่น การทำให้เซิร์ฟเวอร์อีเมลภายในของคุณแข็งแกร่งขึ้น และการปรับใช้เครื่องมือเครือข่ายที่เสริมความแข็งแกร่งของผู้จำหน่ายเพื่อปกป้องสภาพแวดล้อมโดยรอบ
การตอบสนอง 2: เครื่องมือเครือข่าย
เครื่องมือเครือข่ายการกรองเมลถูกปรับใช้ที่ด้านหน้าเซิร์ฟเวอร์เมลภายใน โดยทั่วไปเครื่องมือเหล่านี้จะมีไฟร์วอลล์สองประเภท: ไฟร์วอลล์กรองแพ็กเก็ตและไฟร์วอลล์ระดับแอปพลิเคชัน เครื่องมือเครือข่ายที่ทำหน้าที่เป็นไฟร์วอลล์กรองแพ็คเก็ตอนุญาตเฉพาะการรับส่งข้อมูล TCP/IP ที่ถูกต้องไปยังพอร์ตที่ใช้โดยบริการเมล (เช่น SMTP ซึ่งโดยทั่วไปคือ POP3 และ IMAP) เครื่องมือนี้เป็นไฟร์วอลล์ระดับแอปพลิเคชันช่วยให้แน่ใจว่าเซิร์ฟเวอร์ที่ส่งใช้ SMTP อย่างถูกต้อง และปฏิบัติตามคำขอ IEEE สำหรับความคิดเห็น (RFCS) และแบบแผนที่เกี่ยวข้อง (เช่น รองรับการตั้งค่า DNS แบบย้อนกลับ)
เครื่องมือเครือข่ายไม่เสี่ยงต่อการถูกโจมตีด้วยเหตุผลหลายประการ ประการแรก เครื่องมือส่วนใหญ่ทำงานบนระบบปฏิบัติการที่ปรับแต่งได้สูง ระบบปฏิบัติการเหล่านี้ได้ปิดการใช้งานบริการเพิ่มเติมส่วนใหญ่ที่จะช่วยให้ผู้โจมตีสามารถตั้งหลักได้ (หรือได้รับการปรับแต่งตั้งแต่เริ่มแรกโดยเฉพาะสำหรับเครื่องมือที่จะใช้)
ประการที่สอง วิศวกรปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดอย่างเคร่งครัดเมื่อทำการชุบแข็งเครื่องมือ
สุดท้ายนี้ เครื่องมืออนุญาตให้มีการสื่อสารประเภทที่จำกัดทั้งเข้าและออกจากเมลเซิร์ฟเวอร์ (เช่น การสื่อสารที่เกี่ยวข้องกับการขนส่งเมล) และแม้แต่การสื่อสารประเภทนี้ก็ยังต้องได้รับการตรวจสอบอย่างรอบคอบ
การตอบสนอง 3: บริการที่ได้รับการจัดการ
ด้วยบริการที่มีการจัดการ อีเมลทั้งหมดจะถูกส่งไปยังบริการนอกสถานที่ก่อนซึ่งจะกรองอีเมล จากนั้นจึงส่งต่ออีเมลที่ถูกต้องไปยังเซิร์ฟเวอร์อีเมลของบริษัท
หากต้องการใช้กลยุทธ์นี้เพื่อป้องกันการโจมตีโดยใช้โปรโตคอลไดเร็กเมลอย่างมีประสิทธิภาพ เมลเซิร์ฟเวอร์ภายในจะต้องยอมรับเฉพาะการเชื่อมต่อที่เริ่มต้นโดยบริการที่ได้รับการจัดการเท่านั้น ไม่ใช่การเชื่อมต่ออื่นๆ แต่บริการเหล่านี้ใช้ได้เฉพาะกับการสื่อสารทางอีเมลขาเข้าเท่านั้น การรับส่งอีเมลขาออกยังคงถูกส่งไปยังเซิร์ฟเวอร์อื่นบนอินเทอร์เน็ตโดยตรง ดังนั้นจึงเปิดใช้งานช่องโหว่ที่เป็นไปได้ในการใช้โปรโตคอลอีเมล (เช่น เซิร์ฟเวอร์อีเมลที่รับอาจใช้ประโยชน์จากช่องโหว่บัฟเฟอร์ล้นในซอฟต์แวร์เซิร์ฟเวอร์อีเมลที่ส่งระหว่างการส่ง SMTP)
การตอบสนอง 4: ซอฟต์แวร์รวม
สุดท้ายนี้ สามารถติดตั้งซอฟต์แวร์แบบรวมเพื่อช่วยปกป้องเมลเซิร์ฟเวอร์ของคุณได้ ซอฟต์แวร์ที่ติดตั้งในเครื่องนี้ป้องกันการโจมตีเครือข่ายและทำให้เซิร์ฟเวอร์แข็งแกร่งยิ่งขึ้น โดยทั่วไปซอฟต์แวร์แบบรวมจะทำงานที่เลเยอร์แอปพลิเคชัน (เช่น SMTP) เพื่อปกป้องเซิร์ฟเวอร์จากการแสวงหาประโยชน์ ซอฟต์แวร์บูรณาการบางตัวจะแทนที่สแต็ก TCP/IP ดั้งเดิมของเซิร์ฟเวอร์ด้วยเวอร์ชันเสริมความแข็งแกร่งแบบกำหนดเอง
อย่างไรก็ตาม เป็นเรื่องปกติที่ซอฟต์แวร์กรองภายในจะทำงานร่วมกับซอฟต์แวร์อีเมล แทนที่จะสร้างกำแพงระหว่างซอฟต์แวร์อีเมลและระบบภายนอก ซอฟต์แวร์รวมที่ใช้วิธีการนี้จะมีประโยชน์เมื่อผู้โจมตีสามารถเข้าถึงเมลเซิร์ฟเวอร์ได้โดยตรง (เช่น หากผู้ใช้ภายในที่เชื่อถือได้เริ่มการโจมตี)
การตอบสนอง 5: การปฏิเสธการโจมตีบริการและการโจมตีการรวบรวมไดเร็กทอรี
การโจมตี Denia1 of Service (DoS) ลดความสามารถของระบบเป้าหมาย ตัวอย่างเช่น สมมติว่าเมลเซิร์ฟเวอร์ และผู้โจมตีพยายามทำให้เซิร์ฟเวอร์ช้าลงหรือปิดการใช้งาน ผู้โจมตีทำการโจมตีแบบปฏิเสธการให้บริการได้หลายวิธี รวมถึงการใช้ทรัพยากรเครือข่ายและการโจมตีแบบ Director Harvest
เมื่อผู้โจมตีทำการโจมตีแบบปฏิเสธการให้บริการผ่านการใช้ทรัพยากรเครือข่าย การโจมตีมักจะมุ่งเน้นไปที่การใช้การเชื่อมต่อขาเข้าที่มีอยู่ทั้งหมดไปยังเครื่องเป้าหมาย เนื่องจาก SMTP เป็นโปรโตคอล TCP การใช้ประโยชน์ที่ประสบความสำเร็จเพียงต้องการให้ผู้โจมตีร้องขอการเชื่อมต่อ TCP มากกว่าที่มีอยู่ นั่นคือผู้โจมตีสร้างการเชื่อมต่อไปยังเมลเซิร์ฟเวอร์มากกว่าที่เมลเซิร์ฟเวอร์จะสามารถรองรับได้ วิธีนี้ทำให้เมลเซิร์ฟเวอร์ไม่สามารถยอมรับการเชื่อมต่อขาเข้าที่ถูกต้องจากเมลเซิร์ฟเวอร์ที่ถูกต้องอีกต่อไป
มีโซลูชั่นบนเซิร์ฟเวอร์ไม่กี่ตัวที่จะป้องกันการโจมตีแบบปฏิเสธการให้บริการ เมลเซิร์ฟเวอร์ส่วนใหญ่ทำงานบนระบบปฏิบัติการทั่วไปที่ไม่ได้ปรับแต่งเพื่อป้องกันการโจมตีแบบปฏิเสธการให้บริการ แม้แต่บนระบบ UNIX ที่แข็งแกร่ง การเพิ่มความสามารถของเซิร์ฟเวอร์ในการต้านทานการโจมตีแบบปฏิเสธการให้บริการจำนวนมากจำเป็นต้องมีการตั้งค่าเครือข่ายที่แตกต่างกัน เป็นผลให้บริษัทต่างๆ มักจะซื้อระบบที่สร้างขึ้นโดยเฉพาะเพื่อตรวจจับและป้องกันการโจมตีแบบปฏิเสธการให้บริการ หรือเครื่องมือกรองที่แข็งแกร่งขึ้น ซึ่งสามารถรับการเชื่อมต่อพร้อมกันได้มากกว่าเมลเซิร์ฟเวอร์ทั่วไป อุปกรณ์กรองดังกล่าวมักจะสามารถตรวจจับการโจมตีแบบปฏิเสธการให้บริการได้ดีกว่าและใช้มาตรการป้องกัน
การโจมตีแบบ Directory Harvest เป็นการโจมตีที่ใช้ทรัพยากรมากซึ่งเปิดตัวโดยผู้ส่งอีเมลขยะเพื่อระบุที่อยู่ที่ถูกต้องสำหรับสแปมในอนาคต เมื่อการโจมตีคอลเลกชันไดเรกทอรีเกิดขึ้น โหลดบนเมลเซิร์ฟเวอร์จะเพิ่มขึ้นอย่างมาก ซึ่งส่งผลต่อการส่งอีเมลที่มีประสิทธิภาพ นอกจากนี้ เมลเซิร์ฟเวอร์ในเครื่องจะส่งรายงานการไม่จัดส่งสำหรับที่อยู่ที่ไม่ถูกต้องซึ่งพยายามไปยังที่อยู่จากที่นักส่งสแปมใช้
การส่งคืนรายงานการไม่จัดส่งจะสร้างการรับส่งอีเมลขาออกเพิ่มเติม ซึ่งใช้แบนด์วิดท์ราคาแพง และทำให้เซิร์ฟเวอร์อีเมลมีภาระงานมากขึ้น เนื่องจากที่อยู่ "จาก" ส่วนใหญ่ที่นักส่งสแปมใช้นั้นเป็นของปลอม การส่งรายงานการไม่ส่งจะหมดเวลาเสมอ ทำให้เซิร์ฟเวอร์อีเมลต้องลองส่งอีกครั้งในภายหลัง โดยสรุป การโจมตีแบบ Directory Harvest เป็นรูปแบบการโจมตีที่มีราคาแพงบนเมลเซิร์ฟเวอร์
น่าเสียดายที่มีหลายวิธีในการบรรเทาอันตรายจากการโจมตีคอลเลคชันไดเร็กทอรี ทางออกหนึ่งคือการใช้บริการที่มีการจัดการ โดยทั่วไปบริการที่ได้รับการจัดการจะรักษาเมลเซิร์ฟเวอร์ไว้มากกว่าที่บริษัทสามารถให้ได้ ดังนั้นการโจมตีด้วย Directory Harvest จึงไม่ส่งผลกระทบต่อการส่งอีเมลในวงกว้าง
อีกวิธีหนึ่งคือการติดตั้งเครื่องมือกรองส่วนหน้าที่ได้รับการปรับให้เหมาะสมสำหรับการโจมตีประเภทนี้ รักษารายชื่อผู้ใช้อีเมลที่ถูกต้องในเครื่องมือ (ไม่ว่าจะผ่านรายการคงที่หรือการเข้าถึง Light Directory Access Protocol ไปยังไดเรกทอรีภายใน) เพื่อให้ตัวกรองไม่ส่งอีเมลไปยังผู้ใช้ที่ไม่ถูกต้อง