Według raportu Verizon Data24 Investigations Report1 oraz danych firmy Delloite2 wiadomości phishingowe odpowiadają za 9 na 10 cyberataków i choć 78% osób zdaje sobie sprawę, że nie należy klikać w link zawarty w podejrzanym e-mailu, cztery procent kliknie w daną kampanię phishingową. W świetle tych danych zabezpieczenie serwerów obsługujących pocztę elektroniczną staje się priorytetem. W marcu 2021 po odkryciu 4 poważnych luk w systemie pocztowym Microsoft Exchange ponad pięć tysięcy serwerów padło ofiarą cyberprzestępców. Luki wykorzystało około 10 grup APT.




Podstawowe rady23 serwera pocztowego to:

  • Posiadanie drugiego wpisu MX w strefie DNS – dzięki temu możemy przełączyć ruch obsługujący pocztę w razie awarii głównego serwera pocztowego.
  • Zabezpieczenie mechanizmu Relay – tak by nie stać się przekaźnikiem spamu i współodpowiedzialnym za kampanie hakerskie. Brak poprawnej konfiguracji tego parametru skutkuje także umieszczeniem naszej organizacji na czarnych listach baz spamerów.
  • Konieczne włączenie mechanizmu uwierzytelniania (login i hasło) przy wysyłaniu poczty.
  • Korzystanie z mechanizmów Reverse DNS tak by zablokować fałszywych nadawców podszywających się pod inne organizacje. Po aktywacji wyszukiwania wstecznego DNS serwer SMTP weryfikuje, czy adres IP nadawców jest zgodny zarówno z nazwą hosta, jak i nazwą domeny, które zostały przesłane przez klienta SMTP w poleceniu EHLO/HELO.
  • Użycie mechanizmu SPF. Sender Policy Framework to mechanizm zapobiegający sfałszowaniu adresów nadawców. Każdorazowe sprawdzenie rekordu SPF zapewnia, że właściwy serwer pocztowy wysłał do nas wiadomość. Wskazane jest również wdrożenie podobnych mechanizmów DKIM (DomainKeys Identified Mail) oraz DMARC (Domain-based Message Authentication Reporting & Conformance.
  • Korzystanie z zewnętrznych organizacji walczących ze spamem i nadużyciami związanymi z pocztą elektroniczną – DNS Blacklist. Sprawdzenie czy domena nadawcy lub adres IP są znane serwerom DNSBL na całym świecie (np. abuse.ch, spamhaus, itp.), znacznie zmniejszy ilość otrzymywanego spamu. Warto także budować własną czarną listę nadawców atakujących nas a jeszcze nie zgłoszoną do ogólnoświatowych baz.
  • Użycie SURBL (Spam URI Real-time Black List), aby zablokować złośliwe identyfikatory URI. To również metoda wykrywania spamu, podobna do DNSBL. Polega na sprawdzeniu listy identyfikatorów URI, które pojawiały się w niechcianych wiadomościach.
  • Ograniczenie liczby obsługiwanych jednoczesnych połączeń z serwerem SMTP aby zapobiec atakowi DoS lub DDoS. Pomocne jest także wdrożenie mechanizmu tarpit który to wprowadza opóźnienie przy komunikacji z serwerem (serwery automatycznie wysyłające spam nie będą czekać na komunikację). Główne parametry używane do obsługi limitów połączeń to: całkowita liczba połączeń, całkowita liczba jednoczesnych połączeń a także maksymalna szybkość połączeń. Utrzymanie optymalnych wartości tych parametrów na pewno będzie wymagało strojenia do wartości optymalnych.
  • Uruchomienie szyfrowanego uwierzytelniania TLS dla połączeń dla protokołów IMAP oraz POP3. Pierwotnie te protokoły nie były zaprojektowane do zapewnienia prywatności, przesyłanie haseł i loginów odbywało się otwartym tekstem. Warto także zapewnić w pełni szyfrowany ruch dla protokołów pocztowych z wykorzystaniem protokołu SSL.

Dodatkowo należy25 o:

  • Częstej aktualizacji serwera pocztowego oraz śledzeniu baz podatności i biuletynów bezpieczeństwa.
  • Utwardzeniu systemu operacyjnego na którym zainstalowany jest serwer pocztowy.
  • Użyciu dodatkowego antywirusa oraz narzędzi wspomagających zabezpieczenie serwera pocztowego.
  • Wdrożeniu firewalli a także zabezpieczeniu sieci, w której pracuje serwer.
  • Bieżącym monitorowaniu wydajności serwera. Dostępnych jest wiele narzędzi do monitorowania wydajności serwerów pocztowych. Zazwyczaj są one skonfigurowane z czujnikami wykrywającymi nieprawidłowe warunki. Odbywa się to poprzez ustawienie wartości progowych dla różnych parametrów i wyzwalanie alertów w przypadku przekroczenia tych wartości. Czujniki można skonfigurować do monitorowania skrzynek pocztowych, baz danych, kopii zapasowych, kolejek e-mail i innych funkcji poczty e-mail.
  • Ograniczeniu dostępu administracyjnego dla niezbędnej ilości osób, a przy logowaniu zdalnym zapewnieniu uwierzytelniania wieloskładnikowego.

Nigdzie na świecie nie istnieją całkowicie bezpieczne systemy pocztowe. Jednak ciągłe monitorowanie, strojenie i reagowanie na drobne nawet zdarzenia pomaga zapobiegać większym incydentom.


mjr Grzegorz Data
specjalista ds. informatyki i łączności OISW w Rzeszowie

1 https://www.verizon.com/business/resources/reports/dbir/ 
2 https://www2.deloitte.com/my/en/pages/risk/articles/91-percent-of-all-cyber-attacks-begin-with-a-phishing-emailto-an-unexpected-victim.html  

Pin It