Email là dịch vụ luôn có mức tấn công cao từ các hacker để thâm nhập vào hệ thống bên trong của doanh nghiệp. Các kẻ tấn công biết rằng người dùng luôn tin tưởng mở mail mà họ nhìn thấy được gửi từ một người mà họ biết. Các spammer cũng biết điều này và gần đây tạo ra một kiểu “tấn công” mới sử dụng kỹ thuật được gọi là “nested email address” (lồng ghép địa chỉ email).
Nếu bạn muốn tìm hiểu thêm về cách thức kỹ thuật của dạng tấn công này, vui lòng xem tại đây. Nói chung, mục tiêu của spammer là giả mạo thông tin trong trường “From:” của email.
Tin tốt là bạn có thể dễ dàng chống lại kiểu tấn công này trên Zimbra. Một trong những “siêu sao” Rick King, kỹ sư hỗ trợ kỹ thuật của Zimbra, đã trình bày các bước tiến hành chi tiết. Lưu ý rằng khi bạn nâng cấp hệ thống (upgrade Zimbra), bạn cần thực hiện lại bước chỉnh sửa file /opt/zimbra/conf/zmconfigd/smtpd_sender_restrictions.cf mà Rick đã hướng dẫn.
Điển hình một địa chỉ email bị giả mạo thông tin tại trường “From:” có dạng sau:
From:<rick@zimbra.comjohn@zimbra.com>
hoặc
From:<“rick@zimbra.comjohn”@zimbra.com>”
From:”<“rick@zimbra.com.johm”@zimbra.com>”
Thêm phần sau vào phía trên cùng của file /opt/zimbra/conf/zmconfigd/smtpd_sender_restrictions.cf
check_sender_access pcre:/opt/zimbra/conf/sender_pcre
Tiếp đến, tạo file /opt/zimbra/conf/sender_pcre với nội dung sau:
/@.*@/ reject
Tiến hành khởi động lại dịch vụ MTA:
zmmtactl restart
Kiểm tra:
postconf | grep ^smtpd_sender_restrictions
Bạn sẽ thấy nội dung tương tự như sau:
smtpd_sender_restrictions = check_sender_access pcre:/opt/zimbra/conf/sender_pcre, check_sender_access regexp:/opt/zimbra/common/conf/tag_as_originating.re, permit_mynetworks, permit_sasl_authenticated, permit_tls_clientcerts, check_sender_access regexp:/opt/zimbra/common/conf/tag_as_foreign.re
Bài viết này được tham khảo từ anh Mark và Rick tại đây và tại đây