Email là dịch vụ luôn có mức tấn công cao từ các hacker để thâm nhập vào hệ thống bên trong của doanh nghiệp. Các kẻ tấn công biết rằng người dùng luôn tin tưởng mở mail mà họ nhìn thấy được gửi từ một người mà họ biết. Các spammer cũng biết điều này và gần đây tạo ra một kiểu “tấn công” mới sử dụng kỹ thuật được gọi là “nested email address” (lồng ghép địa chỉ email).

Nếu bạn muốn tìm hiểu thêm về cách thức kỹ thuật của dạng tấn công này, vui lòng xem tại đây. Nói chung, mục tiêu của spammer là giả mạo thông tin trong trường “From:” của email.

Tin tốt là bạn có thể dễ dàng chống lại kiểu tấn công này trên Zimbra. Một trong những “siêu sao” Rick King, kỹ sư hỗ trợ kỹ thuật của Zimbra, đã trình bày các bước tiến hành chi tiết. Lưu ý rằng khi bạn nâng cấp hệ thống (upgrade Zimbra), bạn cần thực hiện lại bước chỉnh sửa file /opt/zimbra/conf/zmconfigd/smtpd_sender_restrictions.cf mà Rick đã hướng dẫn.

Điển hình một địa chỉ email bị giả mạo thông tin tại trường “From:” có dạng sau:

From:<rick@zimbra.comjohn@zimbra.com>

hoặc

From:<“rick@zimbra.comjohn”@zimbra.com>”

From:”<“rick@zimbra.com.johm”@zimbra.com>”

Thêm phần sau vào phía trên cùng của file /opt/zimbra/conf/zmconfigd/smtpd_sender_restrictions.cf

check_sender_access pcre:/opt/zimbra/conf/sender_pcre

Tiếp đến, tạo file /opt/zimbra/conf/sender_pcre với nội dung sau:

/@.*@/ reject

Tiến hành khởi động lại dịch vụ MTA:

zmmtactl restart

Kiểm tra:

postconf | grep ^smtpd_sender_restrictions

Bạn sẽ thấy nội dung tương tự như sau:

smtpd_sender_restrictions = check_sender_access pcre:/opt/zimbra/conf/sender_pcre, check_sender_access regexp:/opt/zimbra/common/conf/tag_as_originating.re, permit_mynetworks, permit_sasl_authenticated, permit_tls_clientcerts, check_sender_access regexp:/opt/zimbra/common/conf/tag_as_foreign.re

Bài viết này được tham khảo từ anh Mark và Rick tại đây tại đây