Ни для кого не секрет, что одной из главных внешних угроз для предприятий и организаций на сегодняшний день является электронная почта. Возможность использования социальной инженерии, превратили электронную почту в благодатную почву для совершения киберпреступлений. Например, доподлинно известен случай, когда на почту сотрудника одного из предприятий пришел зараженный .xls-файл, предназначенный для открытия в MS Excel не выше определенной версии. Только лишь из-за того, что в названии файла была волшебная фраза «Повышение зарплат», весь коллектив предприятия целенаправленно потратил несколько часов на поиск подходящей версии MS Excel, чтобы его открыть, пока ИТ-служба не вмешалась в происходящее. Если бы исполнить присланный злоумышленником файл было бы проще, данная кибератака вполне могла бы увенчаться успехом.
Кто-то может возразить, что противодействовать таким атакам можно при помощи обучения персонала предприятия основам информационной безопасности, но все далеко не так просто. Дело в том, что киберпреступления уже сейчас оформились в нелегальный бизнес и их рынок растет не по дням, а по часам. А это значит, что на каждого сотрудника ИТ-отдела предприятия приходится по несколько тысяч киберзлоумышленников и они всегда будут на несколько шагов впереди. Именно поэтому в деле защиты предприятия от кибератак следует полагаться не только на людей, но и на программные решения. Давайте же посмотрим, какие инструменты для защиты предприятия от фишинговых атак предлагает Zimbra Collaboration Suite.
За фильтрацию входящей почты в Zimbra отвечает классическая связка из Amavis, SpamAssassin и ClamAV. Это решение позволяет на входе отсечь большинство входящих фишинговых писем и писем со спамом. С другой стороны, его использование не гарантирует того, что ни одно фишинговое письмо не дойдет до адресата и для полной защиты от фишинговой угрозы ИТ-менеджеру придется применить ряд других приемов и ухищрений.
Распространенным заблуждением является то, что фишинг можно легко победить путем обучения персонала основам ИБ-грамотности. Внимательное чтение названий доменных имен в теле писем и внимательность при работе с вложениями далеко не всегда могут гарантировать 100%-ую защиту предприятия от фишинговых атак. Далеко не всегда у работника предприятия есть время на то, чтобы внимательно осматривать ссылки внутри электронных писем и проверять расширение присланных ему во вложении файлов. В таких случаях ИТ-менеджеру может пригодиться Spoofing and Phishing Alert Zimlet, который выводит на экран пользователя предупреждение о том, что полученное им письмо предположительно является фишинговым, или что в имя в поле «Отправитель» изменено. Благодаря таким предупреждениям работник наверняка внимательно отнесется к подозрительному письму и, скорее всего, проконсультируется с ИТ-отделом прежде чем перейти по ссылке из такого письма.
Довольно радикальным способом защиты от фишинга является настройка правила для DKIM, по которому бы все письма, отправленные с домена отличного от заявленного, просто не доходили бы до адресата. Делается это редактированием файла /opt/zimbra/conf/opendkim.conf.in, где достаточно прописать следующие строки:
On-NoSignature reject
Mode sv
К сожалению, не доступен сервер mySQL