Читаем Linux глазами хакера полностью

Что такое почтовая бомба? Это простое письмо с бесполезным содержимым любого размера. Хакеры забрасывают свою жертву такими посланиями, чтобы переполнить ящик и лишить его возможности принимать другие сообщения. Классическая задача DoS, только в отношении почтового ящика.

На первый взгляд, необходимо просто увеличить размер ящика или убрать лимит вовсе. Это самое неверное решение, поэтому забудьте про него. Если ящик не будет иметь предела, то хакер сможет произвести атаку DoS на сервер.

Почтовые сообщения — единственный способ закачать информацию на сервер. Когда злоумышленник отправляет E-mail-письмо, оно сохраняется там, пока не будет скачано пользователем. Слишком большое количество информации займет все пространство на жестком диске, и сервер больше не сможет принимать сообщения ни на один из почтовых ящиков.

Самая худшая ситуация при почтовой бомбардировке может возникнуть, когда почтовые ящики располагаются в директории по умолчанию (раздел /var). Если этот раздел будет переполнен, то сервер не сможет больше записывать в него информацию. В разделе /var хранятся еще и журналы безопасности. Если они не смогут пополняться, то сервер окажется полностью недоступным.

Ограничения на используемое под хранение писем пространство необходимо. Лучше потерять контроль над одним почтовым ящиком, чем над всем почтовым сервером.

От почтовой бомбардировки защититься нельзя, но можно попытаться усложнить задачу злоумышленника. Для этого нам понадобятся параметры, которые мы рассматривали в разд. 8.4.7. Помимо этого, желательно ограничить максимальный размер сообщения с помощью параметра MaxMessageSize до приемлемых пределов. Таким образом, злоумышленнику придется направлять на сервер множество маленьких писем вместо нескольких больших.

Проблема XXI информационного века — рассылка нежелательной корреспонденции. Это действительно болезнь, с которой надо бороться, а существующие методы пока не приносят необходимого результата, и спам отнимает большую часть нашего трафика.

Один из способов борьбы с нежелательной корреспонденцией — запрет серверов, с которых приходит спам. Но те, кто занимаются такими рассылками, находят все новые пути для обхода барьеров, в том числе использование общедоступных или взломанных в Интернете серверов.

Если хакер задействует ваш сервер для рассылки спама, то это грозит следующим:

□ лишние расходы на трафик, если вы оплачиваете каждый гигабайт информации;

□ дополнительная нагрузка на ресурсы. Рассылки в основном массовые и отнимают много процессорного времени, тем самым загружая канал связи.

Но помимо этого, если ваш сервер пару раз разошлет спам, он может попасть в черный список, и тогда вся ваша корреспонденция будет фильтроваться и не дойдет до адресата. Благодаря этому хакер может даже провести атаку DoS на почтовый сервис.

Прием нежелательной корреспонденции приводит к следующим негативным последствиям:

□ как мы уже говорили, излишние расходы на трафик, которые постоянно увеличиваются;

□ отвлекает внимание сотрудников вашей организации или пользователей сети, пользующихся услугами почтового сервера;

□ спам-сообщения нередко занимают слишком много места, и для их хранения на сервере требуется дополнительное дисковое пространство.

Причин борьбы со спамом намного больше, и я надеюсь, что описанных ваше уже достаточно, чтобы вы начали предпринимать какие-либо меры.

В sendmail есть возможность фильтровать серверы, с которых приходит нежелательная почта. Для этого лучше всего в файле sendmail.mc добавить строку с запретом. Проблема в том, что для различных версий sendmail эта строка выглядит по-разному:

Версия 8.10:

FEATURE(dnssbl, 'spam.domean.com', ' 550 Mail not accepted from this domain')dnl

Версия 8.11:

HACK('check_dnsbl', 'spam.domean.com', '', 'general', 'reason')dnl

В обеих строках spam.domean.com нужно заменить на адрес домена, с которого рассылается спам, чтобы заблокировать соединение с ним. Этот метод не очень эффективен, потому что были случаи, когда ошибочно блокировались безобидные серверы.

Однажды мой сервер, с которого происходит продажа программного обеспечения, был заблокирован в одном из спам-листов. Это были времена, когда в черные списки попадали и по делу, и просто так. Когда я рассылал своим пользователям их регистрационные ключи, то 10% сообщений возвращалось. Таким образом, некоторые пользователи не могли работать с нашими программами. Такое продолжалось в течение месяца, пока не убедились, что спам-листы перестали быть эффективными, и стали искать другие методы.