Ochrana pred výhražnými či podvodnými e-mailami, spamom, phishingom a malvérom

Výhražné a podvodné e-maily, spam, phishing a malware patria medzi najväčšie hrozby v digitálnom priestore. Tieto hrozby sú zamerané na narušenie fungovania spoločnosti, narušenie súkromia, získanie citlivých informácií alebo kompromitáciu systémov. Dôkladná ochrana a prevencia voči takýmto rizikám si vyžaduje kombináciu technických opatrení, pravidelných aktualizácií a efektívnej konfigurácie.

Táto príručka obsahuje základné odporúčania Národného centra kybernetickej bezpečnosti ohľadom správnej konfigurácie poštových serverov.

NCKB zvlášť upozorňuje na kapitolu „Komunikácia zo serverov, ktoré znemožňujú dohľadanie útočníka“, ktorá obsahuje aktuálne informácie z aktívne prebiehajúcich kampaní a incidentov.

Blokovanie podozrivej prichádzajúcej komunikácie

Komunikácia zo serverov a adries, ktoré znemožňujú dohľadanie útočníka

Kompletne zablokujte prichádzajúce e-maily z domén a serverov, ktoré výslovne znemožňujú dohľadanie útočníka. Takéto servery výslovne deklarujú, že neukladajú záznam komunikácie, vďaka čomu ich využívajú nielen legitímni používatelia, hľadajúci anonymitu, ale tiež útočníci a kyberkriminálnici.

Zo serverov, aktívne využívaných útočníkmi v rámci nami riešených incidentov, odporúčame blokovať e-maily z domény mail2tor.com, dnmx.su, onionmail.info, dizum.com ako aj ďalšie služby tohto charakteru.

Ak to je možné, úplne tiež blokujte na sieťovej úrovni (firewallom) komunikáciu s adresami, ktoré sú známymi exit nodmi siete TOR. Aktuálny zoznam rôzne organizácie udržiavajú v github repozitároch. Pozror, viacero týchto repozitárov je dlhodobo neudržiavaných. Použite taký, ktorý je aktuálne upravovaný, napríklad

• https://github.com/alireza-rezaee/tor-nodes (v čase písania tohto článku má vyše 6700 úprav s poslednými úpravami v aktuálny deň)

Toto blokovanie je možné zautomatizovať. Zoznamy exit nodov siete TOR sa menia a platnosť publikovaného zoznamu sa počíta v hodinách, maximálne dňoch.

Využívanie reputačných databáz (RBL)

Odporúčame blokovať IP adresy známych serverov, podieľajúcich sa na rozosielaní škodlivého softvéru a spamu, s použitím známych reputačných databáz (RBL). Najznámejšou takouto nekomerčnou službou je SpamHaus projekt, ktorý ponúka viacero zoznamov:

• SpamHaus (SBL) – nevyžiadaná pošta: https://www.spamhaus.org/blocklists/spamhaus-blocklist/ 
• Exploits (XBL) – malvér: https://www.spamhaus.org/blocklists/exploits-blocklist/ 
• Policy (PBL) – počítače, ktoré by nemali vôbec odosielať e-mail, ale môžu sa stať obeťou kompromitácie: https://www.spamhaus.org/blocklists/policy-blocklist/ 

Odporúčame do poštového servera nakonfigurovať všetky tri tieto reputačné zoznamy a IP adresy, nachádzajúce sa v týchto zoznamoch, priamo blokovať (t.j. nie iba pridávať spamové body).

Pri výbere inej RBL reputačnej databázy sa uistite, že má aktuálny a funkčný kontaktný bod, kam môžu prevádzkovatelia zaradených systémov nahlásiť ich “vyčistenie” a vyžiadať odstránenie zo zoznamu. Používanie zastaralého zoznamu, ktorý nie je aktualizovaný, môže viesť k neželanému blokovaniu legitímnej komunikácie.

Inšpekcia príloh

V rámci témy príloh odporúčame nakonfigurovať

 

• antivírusovú ochranu

 

• zákaz dvojitých prípon súborov (napr. .pdf.exe, ale bez ohľadu na konkrétnu príponu)
• zákaz prípon, indikujúcich vykonateľný kód – prispôsobte svojej situácii, napríklad:
  • spustiteľné: .acc .asp .bat .ccs .chm .class .cmd .com .dll .dmg .drv .exe .grp .hlp .hta .hta .htx .jar .je .js .js .jse .jse .msc .msh .msh1 .msh1xml .msh2 .msh2xml .mshxml .msi .msp .ocx .ovl .pcd .pcd .php .php3 .pif .ps1 .ps1xml .ps2 .ps2xml .psc1 .psc2 .reg .sbs .scr .sct .sct .shb .shb .shd .shs .sys .vb .vb .vba .vbe .vbe .vbs .vbs .vdl .vxd .ws .ws .ws .wsc .wsc .wsf .wsf .wsh .wsh .wst
  • archívne formáty obvykle nevyužívané na legitímny e-mail: .iso

Na e-mailovom serveri majte aktívny antivírusový modul s platnou licenciou a uistite sa, že signatúry sú priebežne aktualizované. V prípade, že si nemôžete zakúpiť licenciu na e-mailový antivírus, je možné využiť open-source riešenie ClamAV, https://www.clamav.net/. 

Ochrana pred nevyžiadanou poštou (spam)

Majte aktívny antispam filter, ktorý využíva kombináciu techník (signatúry, RBL, SPF, greylisting, rate limiting a iné).

Udržiavajte spam filter a jeho signatúry aktuálne. Priebežne testujte, či sú nakonfigurované techniky aktuálne (napr. či autor RBL listu neukončil jeho prevádzku).

Najbežnejšou alternatívou ku komerčným riešeniam je softvér Amavis a v ňom vnorený spamový filter Spamassassin.

Nastavenia e-mailovej domény

Aby ste zabránili príjmu e-mailov, zneužívajúcich legitímne domény, nakonfigurujte inšpekciu

• SPF (kontrola, že e-maily vám zasielajú iba servery autorizované majiteľom domény)
• DKIM (kontrola s využitím kryptografie)
• DMARC (politika, ktorá prijímateľom správy hovorí, ako interpretovať SPF a DKIM)

Publikujte SPF, DKIM a DMARC aj pre vlastnú doménu. Využívajte pritom striktné SPF politiky (ukončené výrazom -all).

Hardening poštového servera

Poštový server musí byť prevádzkovaný

• na aktuálnej verzii operačného systému s platnou podporou výrobcu
• s aplikovanými všetkými bezpečnostnými záplatami (to je často možné nastaviť automaticky)

TLS: v konfigurácii zakážte komunikáciu zastaralými verziami SSL a TLS protokolu, a preferujte využívanie TLS pre zasielanie e-mailu pomocou STARTTLS.

Hardening DNS

Doménové záznamy, ktoré obsahujú konfiguráciu vašej pošty (MX záznam, SPF záznamy o legitímnych serveroch, DMARC záznamy s kryptografickými kľúčmi serverov a DMARC politiku), ochráňte pred neželanou zmenou elektronickým podpisom DNSSEC.

Zmeny v dokumente 10.03.2025

• Opravená inštrukcia ku striktnej konfigurácii SPF (z chybného !all na správne -all).
• Pridaný anonymný remailer dizum.com

« Späť na zoznam