Борьба с нежелательной почтой средствами Exchange Server 2007

Фильтрация подключений

Наиболее простой, и в тоже время эффективный способ фильтрации нежелательной почты — использование агента фильтра подключений. Агент фильтра подключений — это базовый агент транспорта, обеспечивающий поддержку следующих элементов:

• черный список IP-адресов
• белый список IP-адресов
• поставщики черного списка IP-адресов
• поставщики белого списка IP-адресов

Каждый из этих элементов можно включать и отключать отдельно от других.

Черный список IP-адресов содержит IP-адреса, почта с которых будет автоматически считаться СПАМом. Белый список, наоборот, содержит IP-адреса, письма с которых всегда будут считаться надежными. Эти списки можно заполнять вручную, однако вряд ли из этого получится что-то хорошее. Существуют специальные службы, которые отслеживают сервера в интернете, через которые идет СПАМ, и заносят их в черный список. Такие списки постоянно обновляются. Вот небольшой перечень поставщиков черных списков:

Высокий уровень интеграции с Outlook

Если использовать в качестве почтового клиента Outlook, который по умолчанию входит в Office, то становятся доступны:

Серверная адресная книга

• Актуальный список контактов коллег
• Возможность указания расширенной информации

Помощник по планированию

• В зависимости от настроек приватности сервера, в почтовом клиенте доступна информация о расписаниях коллег и есть функции по автоматическому подбору времени с учётом свободного времени всех участников
• Если в компании используется Skype for Business, то статусы занятости коллег отображаются непосредственно в интерфейсе почты. Например, при написании письма или при просмотре полученного.

Работа с вложенными папками без ошибок

• В зависимости от настроек приватности сервера, в почтовом клиенте доступна информация о расписаниях коллег и есть функции по автоматическому подбору времени с учётом свободного времени всех участников
• Если в компании используется Skype for Business, то статусы занятости коллег отображаются непосредственно в интерфейсе почты. Например, при написании письма или при просмотре полученного.

Работа с вложенными папками без ошибок

• Например, в Яндексе во “входящих” нельзя создать вложенные подпапки, чтобы они корректно синхронизировались в Outlook

Другое: отзыв письма из клиента, работа с почтовыми правилами

Что-то из описанного может работать и в других серверах-клиентах, но конкретная реализация зависит от конкретной связки программ. Связку же Outlook и Exchange можно рассматривать как эталон.

Что произошло?

По сооб­щени­ям ана­лити­ков из FireEye, хакеры исполь­зовали нес­коль­ко век­торов ата­ки. Все фай­лы на сер­верах Exchange соз­давались ими от име­ни сис­темной учет­ной записи NT AUTHORITY\SYSTEM, име­ющей в Windows повышен­ные при­виле­гии, а веб‑шел­лы запус­кались про­цес­сом еди­ной служ­бы обме­на сооб­щени­ями Microsoft Exchange Родите­лем обна­ружен­ных иссле­дова­теля­ми на ском­про­мети­рован­ных сер­верах вре­донос­ных фай­лов ока­зал­ся про­цесс , отве­чающий за веб‑интерфейс Exchange Server. Иссле­дова­тели из Microsoft приш­ли к выводу, что за все­ми эти­ми инци­ден­тами сто­ит некая хакер­ская груп­па под наз­вани­ем HAFNIUM, которая рань­ше уже была замече­на в ата­ках на аме­рикан­ские обо­рон­ные пред­при­ятия, юри­дичес­кие фир­мы, ана­лити­чес­кие цен­тры и лабора­тории по иссле­дова­нию инфекци­онных заболе­ваний. Пред­полага­ют, что эта груп­па свя­зана с пра­витель­ством Китая, но стоп­роцен­тных доказа­тель­ств это­му, разуме­ется, нет.

Ис­тория началась в янва­ре 2021 года, ког­да раз­работан­ная FireEye служ­ба Mandiant Managed Defense обна­ружи­ла на одном из сер­веров Microsoft Exchange подоз­ритель­ный веб‑шелл. Скрипт с незатей­ливым име­нем пытал­ся отыс­кать на сер­вере инс­тру­мен­ты обес­печения безопас­ности FireEye xAgent, CarbonBlack и CrowdStrike Falcon и сох­ранял в жур­нал резуль­тат сво­ей работы.

Фраг­мент скрип­та , иллюс­тра­ция FireEye

Шелл был запущен про­цес­сом , который свя­зан со служ­бой еди­ной сис­темы обме­на сооб­щени­ями Microsoft Exchange Server. Для этих целей зло­умыш­ленни­ки вос­поль­зовались уяз­вимостью CVE-2021-26858, которую в Microsoft отнесли к катего­рии сред­ней сте­пени рис­ка.

Спус­тя при­мер­но двад­цать дней хакеры совер­шили новое зло­деяние, залив на сер­вер дру­гой веб‑шелл с име­нем Этот скрипт был обфусци­рован и обла­дал более широким набором фун­кций: он поз­волял выпол­нять про­изволь­ные коман­ды, а так­же прос­матри­вать содер­жимое, уда­лять, заг­ружать на сер­вер и запус­кать фай­лы по желанию ата­кующих. Добить­ся жела­емо­го хакерам уда­лось с исполь­зовани­ем уяз­вимос­тей Microsoft Exchange Server.

Фраг­мент скрип­та , иллюс­тра­ция FireEye

Вско­ре ана­лити­ки FireEye обра­тили вни­мание еще на один инци­дент с запус­ком на сер­вере Exchange вре­донос­ного веб‑шел­ла. На сей раз свя­зан­ный с веб‑интерфей­сом Internet Information Server про­цесс запус­тил коман­дную стро­ку (), а с помощью ее зло­умыш­ленни­ки, в свою оче­редь, сох­ранили на диск некий файл. Этим фай­лом ока­зал­ся небезыз­вес­тный инс­тру­мент China Chopper Web Shell, которым дав­но и успешно поль­зуют­ся китай­ские хакеры. Неболь­шой фай­лик весом все­го лишь 4 Кбайт откры­вает взлом­щикам дос­туп к фай­ловой сис­теме и базам дан­ных ском­про­мети­рован­ного сер­вера. По боль­шому сче­ту он пред­став­ляет собой ком­пак­тный бэк­дор, которым мож­но уда­лен­но управлять с помощью прос­той ути­литы с инту­итив­но понят­ным гра­фичес­ким интерфей­сом.

Ути­лита управле­ния China Chopper име­ет удоб­ный гра­фичес­кий интерфейс

Кро­ме того, иссле­дова­тели уста­нови­ли, что в обо­их этих слу­чаях ата­кующие уда­ляли поль­зовате­ля administrator из груп­пы Exchange Organization administrators кон­трол­лера домена, к которо­му при­над­лежал ата­кован­ный сер­вер. Делалось это при помощи коман­ды net group «Exchange Organization administrators» administrator /del /domain. Если Exchange Server был раз­вернут в одно­ран­говой сети без под­клю­чения к AD, коман­да выпол­нялась локаль­но.

Вы­ясни­лось, что пос­ле успешно­го взло­ма хакеры исполь­зовали сле­дующие виды пос­тэкс­плу­ата­ции:

• кра­жа учет­ных дан­ных поль­зовате­лей с помощью дам­па памяти про­цес­са LSASS;
• ис­поль­зование оснасток Exchange PowerShell для экспор­та поль­зователь­ских поч­товых ящи­ков;
• ис­поль­зование инс­тру­мен­тов Covenant, Nishang и PowerCat для уда­лен­ного дос­тупа к взло­ман­ному сер­веру.

Всю добытую информа­цию зло­деи упа­ковы­вали с помощью архи­вато­ра 7zip и бла­гопо­луч­но ска­чива­ли со взло­ман­ных узлов. Ины­ми сло­вами, на началь­ном эта­пе основной целью ата­кующих был сбор информа­ции на ском­про­мети­рован­ных сер­верах и хищение кон­фиден­циаль­ной поль­зователь­ской информа­ции.

Бесплатная почта от google, yandex и

Сразу сделаю пару замечаний. Я не уверен, что у гугла сейчас можно зарегистрировать бесплатно корпоративную почту. Все, кто зарегистрировались раньше, пользуются бесплатно, а для новых пользователей теперь доступны только платные подписки. Но это не принципиально и не относится напрямую к теме статьи. Если гугл и стал полностью платным для бизнеса, то просто исключим его из нашего списка. Yandex и пока еще точно бесплатные. Сам я администрировал почтовые домены в google apps и в Яндексе. С не работал, только знаю, что там реализовано что-то похожее. Мне как-то сама компания не нравится еще со старых времен. Хотя сейчас они вроде как повернулись лицом к пользователям, но Амиго до сих пор жив здоров, так что повернулись еще не совсем.

Рассмотрим плюсы данных почтовых сервисов.

1. Самое главное преимущество — полноценная почта готова сразу после регистрации. Затрат на покупку железа и настройку нет никаких. Достаточно более ли менее продвинутого пользователя, который по инструкциям на сайте сможет подключить домен и создать почтовые ящики. И почтой уже можно пользоваться.
2. Легко администрировать и управлять пользователями, веб сервис предоставляет все необходимые оснастки для этого. Они удобны и интуитивно (хотя и не всегда) понятны.
3. Удобный и привычный web интерфейс. Все работает быстро, из любого места, где есть интернет и браузер. Есть хорошее мобильное приложение.
4. Широкий функционал, готовый сразу после создания ящика. Различные фильтры, сборщики почты, неплохой антиспам (у гугла) и многое другое.

Вроде все, ничего не пропустил. Казалось бы, плюсы очевидны и существенны. Но прежде чем делать выводы, рассмотрим минусы.

1. Вы не управляете этой почтой. Она принадлежит не вам, находится не на ваших серверах. Вы не знаете, что с ней происходит. Если у вас есть очень деликатная и приватная переписка, то возникают подозрения и сомнения насчет использования популярных почтовых служб. Это может показаться паранойей, но этот вопрос реально заботит пользователей и владельцев бизнеса, и его не стоит сбрасывать со счетов.
2. Вы не застрахованы от сбоев в системе и никак не можете их предотвратить. А сбои хоть и не часто, но бывают. Так как сервисы бесплатные, никто ничего вам гарантировать не будет. И если случится какой-то форс мажор и данные пропадут, вам просто скажут извините. Если у вас самих не очень надежная ИТ структура, вероятность технических проблем на вашем личном сервере возможно будет выше. Но вы этим можете управлять и теоретически сможете построить систему с удовлетворяющим вас уровнем надежности.
3. Неочевидны способы бэкапа и восстановления почтовых ящиков в таких сервисах. Бывают ситуации, когда из почтового ящика удаляют все письма. Допустим, сохранить их можно различными способами, просто скачав, а как потом обратно в ящик вернуть, сохранив все даты оригинальными?
4. Нет возможности анализировать непонятные ситуации. Например, вы отправляете письмо, а оно не приходит к адресату. Что делать? В случае с облачной почтой вы ничего не сделаете, так как у вас нет никаких инструментов для разбора ситуации. Попробуете просто отправить письмо из другого ящика. Бывает к вам не приходит письмо, и вы никак не можете понять, почему его нет. А дело может быть банально в неправильно настроенном фильтре. Это обычная ситуация, когда фильтров много, плюс если еще какие-то пересылки настроены. Без доступа к логам сервера бывает трудно разобраться в ситуации. А если есть лог почтового сервера, то сразу становится понятно, почему письмо не отправляется, или что с ним стало после получения. Можно наверняка узнать, получил ли удаленный сервер ваше письмо или нет.
5. Нет простых способов ограничить доступ к почтовым ящикам, например, только из локальной сети офиса. Почтовые ящики публичных сервисов доступны всегда через интернет. Есть возможность решить эту проблему в google apps через авторизацию в сторонних сервисах. В яндексе и мейле я не встречал возможности реализовать такой функционал.
6. Нужно еще понимать, что бесплатный сыр известно где бывает. До конца не ясно, как почтовые сервисы используют полученную от пользователей информацию. Хорошо, если только для показа им релевантной рекламы. Думаю, что не только для этого.

Когда я только начинал работать примерно 10 лет назад, вопроса какую почту использовать в организации, не стояло. Все ставили свои почтовые серверы и админили их. Бесплатные почтовые сервисы не предоставляли на тот момент для бизнеса никаких инструментов для управления почтой. Когда такие инструменты стали появляться, я думал, что скоро свои почтовые серверы никому не будут нужны, так как в них отпадет смысл. А все мои мучения (не люблю с ними работать) с почтовыми серверами станут бессмысленными.

Мне предоставилась возможность администрировать домены на базе публичных почтовых сервисов. После этого появился написанный выше список минусов. И лично для меня эти минусы перевесили плюсы, и теперь я по-прежнему настраиваю почтовые сервера сам. В конечном итоге это более удобно и надежно, если рассматривать в совокупности плюсы и минусы использования и администрирования.

Самым большим минусом мне видится отсутствие полноценных почтовых логов и хорошей схемы бэкапа. Разбирать проблемы неудобно без логов. Быстро и просто восстановить удаленное письмо в прежнее место не получится, хотя для опенсорсных почтовых серверов это простое дело.