Rakendame täidendavaid turvameetmeid e-postile

Ardi Jürgens
Jaga:

Antud blogipostitus on 130 kuud vana ning ei pruugi olla enam ajakohane.

dreamstime_8475356Küberintsidentidega on tihti nii, et väga vähesed teevad elu keeruliseks väga paljudel. Eriti ilmekalt väljendub see elektrooniliste sõnumite edastamise valdkonnas. Nende koostamine on ühtaegu nii odav kui ka lihtne, mis innustab kurjategijaid kasutama e-sõnumeid oma rünnakute laialikandemeetodina.

Nii saadetakse näiteks e-posti kasutades korda palju kurja: tähelepanu ja aja röövimist, inimeste rahakotis õngitsemist, andmete või ressursside varastamist ning reputatsiooni kahjustamist – kasutades hea mainega isikuid ära kolmandate osapoolte ründamiseks.

Üks ebameeldivamaid tõike selle kõige juures on see, et tihti ei kanna kurje sõnumeid kurjategija eest laiali mitte tema enda serverid, vaid ka selleks kasutatakse ära võõraid ressursse.

Algas see kõik kunagi maailmale avatud SMTP serveritest, jõudis viirusega nakatatud tööjaamade ärakasutamiseni, eskaleerus internetirakenduste nõrkuste ekspluateerimiseni ja on nüüd jõudnud kasutajate andmete varastamiseni, et nende raha eest ostetud ressursse kurjasti kasutada.
Rahvusvaheline internetikogukond on aegade jooksul välja töötanud ja rakendanud mitmeid meetmeid pahatahtlike sõnumite tõkestamiseks, paljud neist on osutunud ka toimivateks ning leidnud teenusepakkujate poolt üle maailma laialdast juurutamist.

Üks vahendeid kurjade kirjade tõkestamiseks on olnud neid levitavate arvutite kohta mustade nimekirjade pidamine. Kõige laialdasemalt levinud tehnoloogia selliste nimekirjade kasutamiseks on “DNS põhine mustade aukude nimekiri” (DNS-based blackhole list).
Lühidalt toimib see nii: erinevad osapooled koguvad andmeid selle kohta, kust on neile kurje kirju saadetud ja kannavad need arvutid ühte kesksesse musta nimekirja. Mustad nimekirjad on reeglina avatud kõigile kasutamiseks ning e-posti edastamisega tegelevad teenusepakkujad saavad neid kasutada sissetulevast kirjade voost kahtlaste märgistamiseks või blokeerimiseks.

Mustad nimekirjad on ennast tõestanud ja tõestavad jätkuvalt, kuid alates hetkest mil kurjategijad võtsid sõnumite edastamiseks kasutusele nõrkustega veebirakendused ja varastatud andmed, on nende kasutamise kaasmõjuks olnud probleemid süütutel, hea reputatsiooniga kirjasaatjatel.
Oletame näiteks, et mõne teenusepakkuja väljuva e-posti serveril on tuhat kasutajat. Piisab vaid ühe kasutaja arvuti nakatumisest viirusega, mis tekitab kurjategijale tagaukse kasutajanimede ja salasõnade varastamiseks ning ohtu on sattunud tuhande kasutaja sõnumid. Nimelt, kui kui kurjategija kasutab saadud andmeid teenusepakkuja serveri kaudu kurjade kirjade saatmiseks sajale tuhandele adressaadile, on üpris kindel, et see server sattub (vähemalt ajutiselt) kirjasaatjate musta nimekirja. See aga tähendab, et kõigi tuhande kasutaja väljuvad kirjad ei jõua oma adressaatideni õigeaegselt või üldse mitte, sest vastuvõttev server avastab nende teenusepakkuja eelnimetatud nimekirjast.

Näiteks selle blogiposti kirjutamise ajal, üritati meie SMTP serveri kaudu saata varastatud andmetega kirju kümnetele tuhandetele välismaistele adressaatidele katsega varastada nende kasutajatunnuseid ja teist samapalju katsega õngitseda soodsa laenu huvilistelt nende isikuandmeid.

Kohusetundlikud teenusepakkujad, nagu meie, teevad loomulikult kõik selleks, et välistada oma süsteemide ärakasutamist kurjade kirjade saatmiseks. Juba aastaid tagasi rakendasime reeglid, mis otsivad meie halduses olevatest veebiserveritest väljuvate kirjade hulgast kurje kirju teatud tunnusmärkider järgi, näiteks saadetud kirjade hulk ja nende edastamise sagedus.

Nüüd oleme jõudnud olukorda, kus peame sarnaseid tunnusmärke otsima ka oma SMTP ja veebipõhise e-posti kasutajate hulgast, sest kurjategijad kasutavad aina enam ära klientidelt varastatud andmeid selleks, et üritada automaatselt ja ka käsitsi oma sõnumeid meie serverite kaudu laiali saata. See, et seda tehakse ka käsitsi võib tunduda uskumatu, aga oleme tuvastanud konkreetseid juhtumeid, kus arengumaa IP aadressilt reaalne inimene meie veebipõhises e-postis spämmi saatmisega tegeleb.

Esialgu on meil kavas SMTP ja veebipõhise e-posti teenuse juures rakendada reeglit, mis takistab rohkem kui üheksasajale adressaadile kirja saatmise vähem kui 15 minuti jooksul. Kui see piir ületatakse, siis blokeeritakse kurjasti ära kasutatud e-posti konto ajutiselt mõlemast teenusest ning kasutajat ja teenuse kontaktisikut teavitatakse intsidendist.

Kui kirju üritatakse meie serverite kaudu saata arvutist, mis on rahvusvaheliselt kantud musta nimekirja, siis saab enne konto blokeerimist saata kirju sagedusega sada kolmsada kirja 15 minuti jooksul, ilma et konto blokeeritaks. Sageduse ületamisel blokeeritakse ajutiselt konto ja teavitatakse taas nii saatjat kui ka teenuse kontaktisikut.

Kui ühe teenuse piires blokeeritakse juba kaks kirjasaatjat, siis on järelikult tegu ulatuslikuma kliendi andmete kompromiteerimisega ja kirjade saatmise blokeeritakse ajutiselt kõikidelt selle virtuaalserveri kasutajatelt.

Oleme testiks rakendanud neid reegleid ilma blokeerimata ja valepositiivseid intsidente on seni ette tulnud väga vähe. Jälgime jooksvalt reeglite rakendumist ja nende mõju, et saavutada parim tasakaal oma klientide teenuse turvalisuse ja käideldavuse vahel. Minu soovitus on: kui saadate läbi SMTP või Webmaili mingil põhjusel kirju tuhandetele kasutajatele, siis tehke seda harvema sagedusega, kui 900 kirja 15 minuti jooksul või kasutage nende kirjade haldamiseks postiloendit.

Populaarsed postitused

Aegunud PHP on aegunud PHP

Hasso Tepper
Kui esimene tänapäevane PHP versioon 25 aastat tagasi avalikuks tehti, oli internet hoopis teistsugune. Nõudmised veebilehtedele olid tagasihoidlikud...

Zone Veebiakadeemia - kuidas end Internetis nähtavaks teha

blogi
Zone Veebiakadeemia uusima episoodiga hakkame tutvustama ägedaid Zone koostööpartnereid. Seekord on meil külas Nobel Digitali tootejuht ja partner...

Nutikas Pilveserver: tark lahendus e-poe ja nõudlike veebiprojektide jaoks

Tanel Männik
Nutikas Pilveserver pakub nüüdisaegset ja kulutõhusat lahendust, mis ühendab endas paindlikkuse ja võimsuse, et rahuldada kõrge külastatavusega...

Kuidas me aita(si)me tuntud veebilehtedel suurema külastatavusega toime tulla

Digimaailmas on veebilehtede kiirus ja usaldusväärsus kriitilise tähtsusega. Ikka ja jälle oleme silmitsi olukordadega, kus kliendi käsutuses olev...