ФСТЭК взялся за Exim: регулятор рассказал, как обезопасить почтовый сервер
Опубликованы новые рекомендации ФСТЭК — они касаются усиления безопасности серверов на базе open-source почтового агента Exim. За последние семь лет ФСТЭК нашел 43 уязвимости, связанные с Exim — при этом, он остается очень популярным сервисом в России, подробнее в материале SecPost.
Федеральная служба по техническому и экспортному контролю РФ (ФСТЭК) опубликовала рекомендации по повышению защищённости популярного open-source почтового агента Exim. В документе, опубликованном на сайте ФСТЭК, приводится детальное описание настройки механизмов SPF, DKIM и DMARC на серверах — таким образом можно увеличить защищённость сервера от атак, связанных с подменой отправителя.
ФСТЭК кратко обозначил причины, по которым пошёл на публикацию рекомендаций. Как пишет регулятор, рекомендации были подготовлены «по результатам анализа сведений об угрозах безопасности информации, проводимого специалистами ФСТЭК России в условиях сложившейся обстановки».
Рекомендации предназначены для того, чтобы увеличить безопасность серверов на Exim от атак, связанных с подменой отправителя — спуфинговых и фишинговых атак.
В документе описываются рекомендации по настройке механизмов SPF, DKIM и DMARC. SPF (Sender Policy Framework) — это расширение, которое позволяет проверить, не подделан ли домен отправителя. С помощью DKIM (DomainKeys Identified Mail) можно проверить, не подделано ли письмо — расширение использует цифровую электронную подпись с открытым ключом. DMARC (Domain-based Message Authentication, Reporting and Conformance) определяет политику для писем, которые не прошли проверку SPF и DKIM — что с ними делать и куда отправлять отчёты владельцу домена.
Exim — open-source агент пересылки сообщений, используемый в ОС семейства Unix. По данным на февраль 2025 года, 94% почтовых серверов России работают на Exim, писала Cybernews Research Team.
С 2018 года в Банк данных угроз безопасности информации ФСТЭК было внесено 43 записи об уязвимостях, связанных с Exim, 21 из них были маркированы как «высокого уровня опасности», и ещё 10 — «критического».
В июле 2024 года Exim оказался под ударом: компания Censys заявила об обнаружении критической уязвимости в почтовых серверах по всему миру. Ошибка позволяла злоумышленникам обходить фильтры безопасности и доставлять вредоносное ПО пользователям почтового агента. Под угрозой оказалось почти 5 миллионов почтовых серверов.
