Wirusy w email

Opublikowany przez pawel w PROBLEMATYKA OGÓLNA, SECURITY IT

Dużym problemem jest zabezpieczenie się przed różnego rodzaju infekcjami rozsyłanymi w poczcie mailowej. Podstawowy problem polega na tym, że wiadomości email rozchodzą się w błyskawicznym tempie i docierają do adresatów dużo szybciej niż firmy produkujące oprogramowanie antywirusowe są w stanie dostarczyć odpowiednie sygnatury do swoich produktów reagując na nowe zagrożenia.

Jakimś rozwiązaniem jest stosowanie oprogramowania zabezpieczającego nadzorującego procesy i uruchamiające nowe programy w środowisku wirtualnym, programy takie mimo, że stosunkowo skuteczne w walce z zagrożeniami bywa, że są kłopotliwe w eksploatacji. Są one również najczęściej dość skomplikowane w konfiguracji i utrzymaniu.

Jestem zdania, że ważnym elementem ochrony przed zawirusowanymi mailami jest zapobieżenie ich dostarczeniu do adresatów poczty. Najważniejszym spostrzeżeniem na którym chciałbym oprzeć propozycję ochrony jest fakt, że zawirusowane maile są rozsyłane przez automaty na dodatek najczęściej z fałszywych (nie istniejących) adresów mailowych. Należy zatem zaimplementować jakiś mechanizm weryfikacji nadawców.

W ramach popularnego systemu obsługi kont hostingowych cPanel istnieje funkcjonalność zwana BoxTrapper. Nie wszystkie firmy hostingowe udostępniające użytkownikom panel cPanel udostępniają funkcję BoxTrapper i nie zawsze usługa ta jest poprawnie skonfigurowana. Przetestowałem kilka hostingów które oferują cPanel i wybrałem usługę oferowaną przez Śląsk Data Center (www.slaskdatacenter.pl).

Filozofia działania BoxTrappera opiera się na zarządzaniu listami adresowymi. Do dyspozycji są trzy listy:

  1. Biała lista (WhiteList) (Biała lista to lista zawartości, które za potwierdzeniem będą dopuszczane do Twojej skrzynki odbiorczej.)
  2. Lista wiadomości ignorowanych (Lista ignorowanych to lista użytkowników, od których nie chcesz otrzymywać wiadomości e-mail, lub tematów wiadomości e-mail, których nie chcesz otrzymywać.)
  3. Czarna lista (BlackList) (Czarna lista to lista zawartości, których nie chcesz otrzymywać w wiadomościach e-mail. Nadawca zawartości z czarnej listy otrzyma również wybrany przez Ciebie komunikat ostrzegawczy.)

Listy są przeglądane w kolejności od 1-3. Każda skrzynka email ma oddzielne listy adresowe.

W sytuacji gdy adresat otrzyma wiadomość z adresu który nie znajduje się na żadnej z powyższych list wysyła zwrotnie do nadawcy informację, że powinien dokonać weryfikacji. Weryfikację można przeprowadzić na dwa sposoby:

  • odesłać maila informacyjnego
  • kliknąć link weryfikacyjny

Niezależnie od wybranego sposobu weryfikacji adres nadawcy jest dodawany do Białej Listy a uprzednio wstrzymana wiadomość zostaje dostarczona do skrzynki adresata. Kolejne wiadomości wysłane z adresu nadawcy na adres odbiorcy dostarczane są bez konieczności weryfikacji.

Jeżeli adres nadawcy znajduje się na Czarnej liście lub Liście ignorowanych wiadomość jest automatycznie kasowana. W przypadku gdy adres nadawcy znajduje się na Czarnej liście nadawca otrzymuje powiadomienie o fakcie znajdowania się na Czarnej liście (może wtedy skontaktować się z adresatem np. telefonicznie i poprosić o zdjęcie blokady).

Wszystkie komunikaty wysyłane przez BoxTrapper są edytowalne.

Każde konto email może mieć inny zestaw komunikatów. BoxTrapper może być włączony tylko na wybranych kontach mailowych.

BoxTrapper współpracuje z filrem spamu SpamAssassin, możemy ustawić wartość współczynnika spamu ze SpamAssasin poniżej którego BoxTrapper dostarczy wiadomość email niezależnie od tego czy adres nadawcy znajduje się na Białej liście czy też nie.

Przykład działania

Chroniony adres mail to: pawel@plexsound.pl

Zrzut ekranu 2017-07-11 o 15.55.20

Biała lista jest pusta:

Zrzut ekranu 2017-07-11 o 15.56.48

Wysyłam email z adresu pgrzelewski@serwitech.com na adres pawel@plexsound.pl:

Zrzut ekranu 2017-07-11 o 15.58.56

Po chwili otrzymuję informację zwrotną:

Zrzut ekranu 2017-07-11 o 16.02.36

Mój email trafia do kolejki BoxTrappera (administrator może go również „obsłużyć ręcznie”):

Zrzut ekranu 2017-07-11 o 16.03.27

Dokonuję weryfikacji poprzez odesłanie maila informacyjnego:

Zrzut ekranu 2017-07-11 o 16.06.23

Otrzymuję kolejną wiadomość informującą o sukcesie przeprowadzonej weryfikacji:

Zrzut ekranu 2017-07-11 o 16.10.06

Adres pgrzelewski@serwitech.com trafia na Biała listę:

Zrzut ekranu 2017-07-11 o 16.11.31

Wiadomość zostaje jest dostarczona do adresata:

Zrzut ekranu 2017-07-11 o 16.13.59

Od tej pory wszystkie maile wysyłane adresu pgrzelewski@serwitech.com na adres pawel@plexsound.pl będą dostarczane natychmiast.

BoxTrapper jak i cPanel posiadają łatwo dostępne logi dzięki którym możemy błyskawicznie zorientować się które maile potwierdzające nie dotarły do nadawców np. dlatego, że zostały wysłane z fake adresów email:

Zrzut ekranu 2017-07-11 o 16.24.07

Podsumowanie

Implementacja funkcji BoxTrapper jest tania, prosta i przejrzysta. Moim zdaniem może być bardzo skuteczna w walce z zagrożeniami mailowymi.

W praktyce warto rozważyć scenariusz gdy wydzielony komputer(y) których zadaniem jest mailowa korespondencja ogólna np. komputery w sekretariacie znajdują się w odseparowanej sieci. Konta pocztowe obsługiwane na tych komputerach nie są filtrowane przez BoxTrappera. Obsługa tych kont jest prowadzona przez osoby „uczulone” w obsłudze korespondencji mailowej. Na komputerach tych jest zainstalowane dodatkowo bardziej wyrafinowane oprogramowanie zabezpieczające niż typowy antywirus. Pozostałe skrzynki pracowników są filtrowane BoxTrapperem.

Obsługa wiadomości w kolejce:

Zrzut ekranu 2017-07-12 o 21.16.57

Odbiorcy wiadomości do których adresowana jest poczta wysyłana z konta są dodawani do Białej listy.

Jak ktoś ma ochotę to proszę się nie krępować i pisać na adres pawel@plexsound.pl 🙂

- Paweł Grzelewski

11 Lip 2017


Najnowszy firmware SNS: 3.7.1 (Release Note)
Najnowszy firmware SNSv2: 2.12.2 (Release Note)