نقدی بر اطلاعیه اخیر مرکز ماهر با عنوان هشدار فوری درباره حمله به سرویس دهنده‌ های ایمیل Mail Server سازمانی با توجه افزایش شدید حملات به میل سرورهای سازمانی

هشدار درباره هجوم سایبری به سرورهای ایمیل سازمانی

مرکز ماهر به تازگی بیانیه ای را با موضوع هشدار فوری منتشر نموده است و در آن اذعان داشته است که آمار حملات به سوی سرویس دهنده‌ های ایمیل سازمانی بسیار زیاد بالا رفته است و این حملات به شکل brute force بر روی رمز عبور به وسیله پروتکل‌ های imap و pop3 و همچنین حمله DOS‌ از راه ارسال دستورات پی‌ در پی imap و pop3 انجام می شود.

نقدی بر اطلاعیه اخیر مرکز ماهر با عنوان ⁣هشدار فوری درباره حمله به سرویس دهنده‌ های ایمیل Mail Server سازمانی با توجه افزایش شدید حملات به میل سرورهای سازمانی

در ادامه مرکز ماهر توصیه جدی نموده است که:

«نیاز است سیاست مسدودسازی حساب کاربری چنانچه چندین بار تلاش با رمز عبور ناموفق (account lockout) انجام شد فعال باشد.»

نقدی بر اطلاعیه مرکز ماهر در مورد حمله به Mail Server های سازمانی

بر این اطلاعیه مرکز ماهر درباره امنیت سرویس دهنده‌ های ایمیل سازمانی یک نقد بسیار جدی وارد است:

امروزه غالب میل سرورهای سازمانی از اکانت جداگانه برای کاربران برخوردار نیستند و از اکتیو دایرکتوری سازمان به منظور Authentication بهره می برند. چنین شرکت هایی چنانچه به نکاتی که مرکز ماهر بیان داشته عمل نمایند یک حادثه خیلی بد در شبکه آنها به وقوع می پیوندد. کافیست یک شخص از بیرون سازمان به دفعات سعی کند با اکانت مدیرعامل سازمان به صفحه ایمیل سازمان وارد شود. نام کاربری مدیرعامل در Active Directory قفل می گردد. در نتیجه مدیرعامل نه تنها امکان ورود به کامپیوتر خود را نیز ندارد بلکه به هیچ یک از سیستم های نرم افزاری که به اکتیو دایرکتوری وصل هستند هم نمی توانند ارتباط برقرار نمایند.

به این ترتیب با گوش دادن و انجام این توصیه مرکز ماهر، یک فرد از خارج سازمان امکان ایجاد ختلالات سنگینی را در شبکه سازمان به سادگی بدست می آورد.

راهکار مقابله با حملات به سرویس دهنده‌ های ایمیل سازمانی

راهکار درست مقابله با حملات به سرویس دهنده‌ های ایمیل سازمانی برخلاف توصیه مرکز ماهر بکارگیری ویژگی Account Lockout نیست. بلکه لازم است Mail Server سازمان به طور داینامیک همه آی پی هایی را که سعی متعدد ورود ناموفق دارند به شکل اتوماتیک مسدود کند.

امروزه بیشتر سرویس دهنده‌ های ایمیل سازمانی امکان مسدود سازی چنین IP هایی را دارند و چنین حملاتی را روزانه شناسایی و خنثی می نمایند.

این مطلب تنها یک نقد فنی می باشد و هدف آن زیر سئوال بردن کوشش های مرکز ماهر نمی باشد. اما مرکز ماهر چنانچه قصد دارد به عنوان یک مرجع امنیتی مورد اطمینان و مقبول جامعه امنیت کشور باشد نباید از این خطاهای فاحش داشته باشد.

نویسنده:
مهندس علی کیائی فر