Chống MTA relay: An toàn MTA relay để bảo vệ các nguồn tài nguyên và để máy phục vụ luôn sẵn sàng cho dịch vụ. Khi các thư được chuyển tiếp qua hệ thống từ các người dùng không xác thực và lượng lớn thư rác có thể được phân chia đi. Hiệu năng hệ thống, thời gian đáp ứng dịch vụ sẽ giảm, sử dụng đĩa cứng sẽ tăng lên, hao tốn bộ xử lý. Vấn đề không phải chỉ là các thư vô giá trị mà nhiều khi việc này gây khó chịu cho người dùng của mạng mình và mạng khác.
Với mỗi thành phần, chúng ta nên sử dụng hàm chroot để giới hạn số lượng lệnh hợp lệ với mỗi máy. Bảng dưới đây sẽ mô tả các luồng quan trọng nhất để chống MTA relay
Bảng 3: Các luồng an toàn MTA trọng yếu
Phần này với MTA relay sẽ mô tả các tùy chọn về an ninh chúng ta có thể sử dụng khi triển khai hệ thống:
Điều khiển truy nhập
Các kênh giao tiếp với các công cụ lọc thư của công ty thứ ba
Kiểm tra danh sách đen RBL
Lọc truy nhập từ client
Giám sát chiến lược an ninh
Điều khiển truy nhập: Có thể sử dụng điều khiển truy nhập để từ chối các thư điện tử từ các người dùng nào đó. Hơn nữa, chúng ta có thể thiết lập các hạn chế với các thư điện tử từ những người dùng nào đó. Ngoài ra, chúng ta có thể cho phép người dùng thiết lập các lọc thư cho các thư đến của họ.(từ chối những thư không mong muốn dựa vào nội dung thư hoặc là tiêu đề thư)
Trường hợp chúng ta muốn điều khiển truy nhập với mức điều khiển bao đóng, cần sử dụng bảng ánh xạ để lọc thư. Nếu chúng ta muốn điều khiển truy nhập dựa trên tiêu đề thư, hoặc người sử dụng muốn tự tùy biến điều khiển của họ, cần sử dụng nhiều các lọc theo hộp thư với các luật tùy chọn.
ta điều khiển những người có thể gửi, nhận thư hoặc cả hai.
Bảng 4: Ánh xạ điều khiển truy nhập
Hình vẽ dưới đây mô tả minh họa bảng ánh xạ kích hoạt như thế nào trong các tiến trình chấp nhận thư.
Hình 26: Bảng ánh xạ kích hoạt
Với tất cả các cổng mạng được điều khiển bởi dịch vụ điều vận MTA, từ chối PORT_ACCESS sẽ được trả lại nếu có thể xác nhận không được phép khởi tạo kết nối tại một máy ở xa. Từ chối FROM_ACCESS sẽ phản hồi tới lệnh MAIL_FROM: trước khi bên gửi có thể gửi thông tin về người nhận hoặc dữ liệu của thư điện tử. Từ chối SEND_ACCESS hoặc MAIL_ACCESS xuất hiện phản hồi tới RCPT TO trước khi bên gửi lấy và gửi dữ liệu về thư điện tử. Nếu một thư gửi đi bị từ chối, máy phục vụ thư điện tử sẽ không chấp nhận dữ liệu thư, do đó sẽ tối thiểu hóa được hao tốn hiệu năng xử lý. Trường hợp có nhiều bảng ánh xạ điều khiển truy nhập, máy phục vụ sẽ phải kiểm tra tất cả.
Cấu hình chống Relay với bảng ánh xạ: Ta có thể sử dụng bảng ánh xạ điều khiển truy nhập để bảo vệ người dùng khởi relay thông qua hệ thống của mình. Ví dụ, một kẻ nào đó có thể sử dụng hệ thống của ta để gửi các thư rác tới hàng ngàn hộp thư trong hệ thống của ta hoặc hệ thống khác. Mặc định của các hệ thống thư điện tử là chống tất cả các hành vi relay, bao gồm cả chuyển tiếp thư bởi POP cục bộ hoặc IMAP. Nếu người dùng POP và IMAP không xác thực sử dụng cơ chế SMTP AUTH, thư sẽ bị từ chối. Vì thế, ta cũng có thể thay đổi cấu hình để thư trong mạng trong của chúng ta có thể được phép chuyển tiếp thư mà không cần xác thực.
Bảo vệ chuyển tiếp thƣ từ các máy phục vụ bên ngoài: Để bảo vệ các máy phục vụ chống lại chuyển tiếp thư ra bên ngoài domain của chúng ta:
1. Chia thư đến thành nhiều kênh khác nhau, ví dụ:
2. Phân biệt và cho phép thư từ POP và IMAP client sử dụng một bảng ánh xạ INTERNAL_IP.
Sử dụng các lọc hộp thƣ: Một lọc thư gồm có một hoặc nhiều điều kiện cho một thư điện tử. Các lọc thư được lưu trên máy phục vụ và được định lượng bởi máy phục vụ. Hệ thống có thể gọi đến các máy phục vụ lưu trữ luật bên ngoài(SSR: Server-side rules).
Chúng ta có thể khởi tạo các lọc thư theo mức kênh và các lọc diện rộng bằng MTA để chống lại sự phát tán các thư không mong muốn. Chúng ta có thể khởi tạo các mẫu lọc thư và áp dụng chúng cho những người sử dụng thông qua Webmail. Người dùng cuối sử dụng các mẫu này để xây dựng các lọc thư cá nhân để chống lại các thư không mong muốn gửi vào hộp thư của họ. Máy phục vụ sẽ thực thi các lọc thư này theo các ưu tiên sau:
1. Theo các lọc thƣ của ngƣời dùng: Ta có thể khởi tạo mẫu lọc thư và áp dụng chúng cho người dùng thông qua webmail. Người dùng cuối có thể sử dụng các mẫu để xây dựng các phục vụ lọc thư cá nhân để hạn chế thư gửi vào hộp thư của họ. Lọc thư sẽ loại bỏ các thư không mong muốn, trả lại thư… Khi lọc thư cá nhân chấp nhận hay từ chối các thư đến, thì lọc thư sẽ phải xử lý để kết thúc quá trình nhận thư đó.
Một mẫu lọc thư sẽ tổng hợp một đoạn mã Sieve bằng cách thay thế thành phần “hard- coded” với các trường nhập mới vào. Khi một người dùng cuối đưa giá trị vào các trường vào, các công cụ sẽ ghi các giá trị này vào các đoạn mã và chuyển vào lưu trong khái lược người sử dụng. Giao diện Webmail sẽ giúp người dùng thực thi các quá trình này.
Nếu người nhận thư không có lọc thư, hoặc nếu lọc thư không có các điều kiện lọc, máy phục vụ sẽ áp dụng các lọc thư theo kênh chung cho trường hợp này.
2. Lọc thƣ theo mức kênh: Các lọc thư theo mức kênh sử dụng cho mỗi hàng đợi thư của các kênh. Một người dùng phổ thông cho kiểu lọc thư này sẽ chặn các thư đến thông qua các kênh đặc biệt. Để khởi tạo các lọc thư theo mức kênh, chúng ta cần viết các lọc thư sử dụng ngôn ngữ SIEVE. Nếu các lọc thư theo kênh chấp nhận hay từ chối các thư, thì các lọc thư sẽ kết thúc quá trình xử lý. Hơn nữa, máy phục vụ sẽ tiếp tục áp dụng các lọc thư của MTA trên diện rộng, nếu có.
3. Lọc thƣ MTA trên diện rộng: Các lọc thư MTA trên diện rộng sẽ dùng cho tất cả các thư chứa trong hàng đợi MTA. Các luật phổ thông sẽ được sử dụng để chặn tất cả các thư không mong muốn, thư rác.
Để khởi tạo lọc thư MTA diện rộng, cần viết các lọc thư sử dụng ngôn ngữ SIEVE. Mặc định rằng người sử dụng không có lọc thư riêng, khi người dùng truy nhập vào webmail để khởi tạo một hay nhiều lọc thư, khi đó các lọc thư này được lưu trong cơ sở dữ liệu LDAP.
Các kênh giao tiếp và các công cụ lọc thƣ của bên thứ ba: Các kênh giao tiếp thực thi các hội thoại kiểm tra nội dung từng phần với các thư đi qua MTA. Kênh hội thoại có thể thực thi chuyển đổi các dạng như text hoặc image từ một kiểu định dạng sang kiểu khác, quét virus, dịch ngôn ngữ, hoặc những công việc khác nữa.
Các kiểu thư khác nhau sẽ được lựa chọn cho các kênh giao tiếp, và các xử lý, các chương trình đặc thù sẽ áp dụng cho các kiểu thư khác nhau. Nếu chúng ta sử dụng các kênh giao tiếp để tích hợp với các chương trình diệt virus, ta có thể chống lan truyền, hoặc giữ thư lại, hoặc từ chối thư. Với các kênh hội thoại, có thể sử dụng các chương trình chống spam và virus. Ta có thể sử dụng MTA API để khởi tạo các kênh gắn kết với các cơ chế lọc từ xa.
Ví dụ: Giải pháp Brightmail chứa Brighmail Server và các luật chống spam và virus theo thời gian thực. Các luật này được cập nhật liên tục và tải về máy phục vụ của nhà khai thác. Khi Brightmail Logistic và Operation Center nhận danh sách spam, nó sẽ lập tức tạo ra luật chống spam. Luật này sẽ được tải về máy của nhà khai thác. Tương tự như vậy, Symantec Security Response sẽ gửi các luật chống virus cho Brightmail. Các luật này sẽ được Brighmail sử dụng để bắt thư có virus và spam.
Các hệ thống thư điện tử có thể hỗ trợ SpamAssassin một phần mềm miễn phí dùng để phát hiện spam. SpamAssassin tính toán điểm số của mỗi thư điện tử. Điểm số được tính sau một loạt các kiểm tra tiêu đề và nội dung thư. Mỗi lần kiểm tra thành công hay thất bại, điểm số sẽ được thay đổi theo. Điểm số là một số thực và có thể dương hoặc âm, khi nào nó vượt quá một ngưỡng nào đó thì bị coi là spam.
Kiểm tra RBL: Danh sách bảo vệ hệ thống trước thư điện tử rác theo thời gian thực là một danh sách các máy phục vụ và mạng được biết đến như như các địa chỉ cho relay là phát tán spam hoặc cung cấp công cụ cho dịch vụ spam. Chúng ta có thể cấu hình hệ thống MTA để thực hiện cơ chế so sánh các kết nối đến với danh sách RBL. Chúng ta cũng có thể sử dụng cơ sở dữ liệu của DNS để xác định kết nối đến SMTP có thể gửi các thư rác không mong muốn.
Lọc từ truy nhập của Client: Hệ thống thư điện tử thường hỗ trợ các điều khiển truy nhập dựa trên các giao thức POP, IMAP, và HTTP. Điều khiển truy nhập là một chương trình lắng nghe các cổng như TCP trên máy phục vụ. Điều khiển truy nhập sử dụng một lọc thư để thẩm định các client, nó cho phép client truy nhập vào các ứng dụng nếu client vượt qua được các xử lý lọc thư. Nếu chúng ta đang quản lý một hệ thống thư điện tử của một nhà cung cấp dịch vụ lớn, các nguồn lực có thể giúp chúng ta loại trừ kẻ gây spam và mạo danh ra khỏi hệ thống và cải thiện tình trạng an toàn của mạng.
Như một phần xử lý, hệ thống điều khiển truy nhập sẽ thực hiện các bước sau(nếu cần) để phân tích các địa chỉ cuối:
Truy vấn ngược DNS với cả hai chiều IP và domain để tìm ra nguồn gốc của chúng
Chuyển tiếp tìm kiếm DNS cho cả hai chiều IP và domain(để truy vấn kẻ mạo danh)
Gọi ngược lại để kiểm tra máy của client
Hệ thống sẽ so sánh thông tin này để các điều khiển truy nhập gọi các lọc thư để quyết định xem từ chối hay đồng ý truy nhập. Với mỗi dịch vụ, chia riêng các tập hợp lọc thư cho phép và từ chối điều khiển truy nhập. Các lọc thư cho phép sẽ cấp quyền truy cập, các lọc thư từ chối sẽ phản hồi rõ từ chối truy nhập.
Khi một máy trạm đòi hỏi truy nhập vào một dịch vụ, hệ thống điều khiển truy nhập sẽ so sánh địa chỉ của client hay thông tin về tên để mỗi dịch vụ lọc thư sử dụng cho các điều kiện của mình:
1. Quá trình tìm kiếm dừng lại khi đạt một kết quả tìm kiếm. Do các lọc thư cho phép sẽ xử lý trước các lọc thư từ chối, lọc thư cho phép sẽ trả lời kết quả trước.
2. Quyền truy nhập được cấp phép nếu thông tin về client đúng và một lọc thư cho phép đồng ý cho truy nhập.
3. Quyền truy nhập bị từ chối nếu thông tin về client dẫn đến bị một lọc thư từ chối ngăn chặn lại.
4. Nếu không có một lọc thư cho phép hay từ chối nào có trả lời về client, truy nhập vẫn sẽ được cấp phép.
kết nối, thậm chí có thể triển khai hầu hết các chính sách bằng cách dùng duy nhất các chính sách cho phép hoặc duy nhất các chính sách không cho phép.
Các lọc thư truy nhập hữu ích với các domain hay gây rối. Trong khi lọc thư UBE phải lưu trữ và xử lý tất cả các thư spam thì các lọc thư điều khiển truy nhập sẽ từ chối toàn bộ thư từ một domain gây rối nào đó.
Ghi nhận những giới hạn của lọc điều khiển truy nhập client:
Một SMTP client cần ghi log trước khi chuyển tiếp thư
Lọc điều khiển truy nhập client không mềm dẻo về quy mô với các triển khai lớn.
Giám sát chiến lƣợc an toàn: Để xác định các tấn công trên hệ thống, cần theo dõi kích thước hàng đợi, % sử dụng CPU, đĩa, và độ khả dụng mạng. Sự phát triển bất thường của kích thước hàng đợi hoặc sự giảm sút thời gian phản hồi có thể đưa đến kết luận về tấn công trên MTA bằng hình thức relay. Hơn nữa, nghiên cứu tải hệ thống và các kết nối bất thường cũng là một công việc cần làm. Chúng ta cần kiểm tra log hàng ngày để tìm kiếm các hành động bất thường.
Bảo vệ thành phần lƣu thƣ: Thành phần dữ liệu quan trọng nhất trong một hệ thống thư điện tử là các thư của người dùng trong các thiết bị lưu thư. Các thư được lưu trữ đều là các tập tin riêng tư, và có thể không mã hóa. Bởi vậy, truy nhập vật lý và truy nhập với quyền cao nhất root cần phải được bảo vệ. Để đảm bảo an toàn cho thành phần lưu thư, cần hạn chế truy nhập vào thiết bị cài đặt thành phần lưu thư. Nên sử dụng các chế độ mật khẩu CRAM-MD5 hoặc DIGEST-MD5 thay thế cho các mật khẩu không mã hóa.
Không chỉ cần khởi tạo chế độ xác thực mật khẩu với các máy lưu thư, chúng ta cần sử dụng các công cụ như VPN, ssh, hoặc pam, với danh sách các người dùng được phép truy nhập vào máy phục vụ.
Kiến trúc hai lớp được khuyến khích sử dụng cho các máy phục vụ lưu thư. Vì các máy phục vụ lưu thư thường khai thác đĩa với cường độ cao, không nên sử dụng các lọc thư, quét virus, sapm trên cùng một máy phục vụ lưu thư. Điều này sẽ không tốt cho hiệu năng của hệ thống. Thay vào đó, máy phục vụ MTA relay sẽ thực thi các xử lý này. Hơn nữa, người dùng truy nhập vào lưu trữ bị giới hạn bởi kiến trúc hai tầng do đó tăng cường được an ninh cho các máy phục vụ lưu thư.
Nếu chúng ta triển khai kiến trúc một tầng, cần tăng cường an ninh bằng các công cụ và xử lý như ssl hay quét virus.
Để tăng thêm an toàn cho thành phần xử lý lưu thư, cần thiết lập cơ chế hạn định dung lượng đĩa sử dụng cho mỗi người dùng. Quản trị hệ thống sẽ cảnh báo tự động mỗi khi người dùng vượt ngưỡng hoặc sắp vượt ngưỡng cho phép. Cũng giống như MTA, cần giám sát tình trạng máy phục vụ, đĩa sử dụng, và thời gian phản hồi của dịch vụ.
Bảo vệ MULTIPLEXOR và Webmail: Bởi máy phục vụ MULTIPLEXOR đóng vai trò của một trung chuyển cho thành phần lưu thư, nó cần được bảo vệ truy nhập trước người sử dụng. User-id và mật khẩu cần được sử dụng. Ngoài ra cần sử dụng các lọc hạn chế truy nhập từ các domain và khoảng IP xác định. Xác thực SMTP là một phương án cần để đảm bảo an toàn cho SMTP relay. Cài đặt MULTIPLEXOR trên một máy khác ở tầng trên của các máy phục vụ POP/IMAP. Chúng ta có thể đưa các máy đó vào tầng trên với MULTIPLEXOR
và MTA relay, và tăng cường thêm các biện pháp an ninh mạng giữa các máy ở tầng trên và các máy lưu thư, máy LDAP.
Một vấn đề cần cân nhắc là khi sử dụng webmail truy nhập vào thành phần lưu thư từ mạng Internet. Nhìn chung, ta sẽ mong muốn tách biệt thành phần lưu thư với bên ngoài bằng Firewall. Chúng ta có thể bổ sung Webmail, một máy phục vụ đóng vai trò một cổng kết nối