Восстановление учетных записей в Carbonio
Электронная почта — один из самых распространенных объектов кибератак. Это может быть как взлом учетных записей с последующей рассылкой спама, так и мейл-бомбинг, атака подразумевающая заваливание почтового ящика огромным количеством нежелательных писем. После отражения таких кибератак перед администратором встает задача по восстановлению учетных записей и приведению их к тому виду, который они имели до действий злоумышленников. В данной статье мы расскажем о том, как можно восстановить учетную запись в Carbonio, а также о том, как этот механизм может быть использован для создания копий других учетных записей.
Данная инструкция подойдет только пользователям коммерческой версии Carbonio.
Рассмотрим первый сценарий. В результате мейл-бомбинга у вас образовалась учетная запись, заполненная мусорными письмами, которые затрудняют работу с почтовым архивом. В таком случае задача сводится к тому, чтобы во-первых как можно скорее вернуть владельцу его работающую электронную почту, в которой нет мусорных писем, а во-вторых сохранить учетную запись с мусорными письмами для проверки его содержимого, так как среди потока писем вполне могло затеряться одно или несколько деловых писем.
Решить обе эти задачи может помочь механизм резервного копирования Carbonio. Он поддерживает транзакционный бэкап, при котором резервируется и инкрементно сохраняется каждая транзакция и позволяет откатить состояние учетной записи на любой момент времени в прошлом.
Например, если кибератака стартовала в 15 часов, то восстановив учетную запись на момент 14:45 того же дня, мы получим учетную запись в ее исходном состоянии.
Сделать это можно в консоли администратора в разделе управления доменами. Перейдите на вкладку Главная — Домены — carbonio.local — Восстановить аккаунт и выберите в списке подвергшуюся атаке учетную запись.
Выбрав учетную запись, нажмите Далее, чтобы продолжить. В появившемся окне необходимо выбрать новую учетную запись, в которую будет проводиться восстановление.
В нашем случае пострадавшая учетная запись user@carbonio.local будет восстановлена в учетную запись user2@carbonio.local. Обязательным требованием для восстановления является отсутствие на сервере учетной записи, в которую планируется восстанавливать пострадавший аккаунт. В случае, если вы выберете уже существующую учетную запись, появится соответствующее предупреждение о недопустимости действия.
Выбор точки во времени доступен с шагом в 15 минут. Помимо этого доступны опции использовать последний доступный статус, а также автоматически применять политики иерархического хранения при восстановлении учетных записей. Кроме того можно настроить отправку уведомлений о завершении восстановления.
Перед непосредственным восстановлением у администратора будет возможность еще раз просмотреть все выбранные опции и принять окончательное решение.
После нажатия на кнопку «Восстановить аккаунт» начнется процесс воссоздания учетной записи.
После завершения процесса на сервере будет присутствовать две учетные записи: исходная — user@carbonio.local и восстановленная user2@carbonio.local. Для того, чтобы вернуть пользователю его почту в исходном виде, администратору потребуется переименовать исходную почту, чтобы потом иметь возможность вернуться к ее содержимому, затем переименовать восстановленную почту, чтобы пользователь мог продолжать работать с ней в обычном режиме. Делается это в настройках учетных записей.
Те же самые действия могут быть выполнены в командной строке. Для этого используется команда doRestoreOnNewAccount
Например, для приведенного выше примера будет использоваться команда
carbonio backup doRestoreOnNewAccount user@carbonio.local user2@carbonio.local »23/07/2024 14:45:00»
Отметим, что в командной строке можно указывать произвольное время без привязки к шагу в 15 минут, например »23/07/2024 14:59:59».
Последующее переименование учетных записей осуществляется командами
carbonio prov renameAccount user@carbonio.localuser_backup@carbonio.local
carbonio prov renameAccount user2@carbonio.localuser@carbonio.local
В случае, если пострадавших аккаунтов несколько, можно использовать простой скрипт для их восстановления. Например, составив текстовый файл accounts.txt с перечислением пострадавших учетных записей, можно восстановить их по списку:
for acc in acc "23/07/2024 14:45:00"; done
В случае, если атаке были подвержены все учетные записи в домене, можно получить их список прямо из Carbonio.
for acc in acc "23/07/2024 14:45:00"; done
Помимо восстановления учетных записей, пострадавших от кибератак, механизм восстановления учетных записей можно использовать для проведения расследований, чтобы иметь возможность втайне от пользователя получить доступ к его переписке.
Также этот механизм может быть использован для восстановления случайно удаленных из Корзины пользователем писем, контактов, файлов и встреч, однако в Carbonio для этой цели предусмотрен другой, более удобный механизм — doUndelete
Для его использования администратору требуется указать целевую учетную запись, а также временной промежуток, за который будет осуществляться восстановление. Например:
carbonio backup doUndelete user@carbobnio.local »20/07/2024 14:45:00» last
Эта команда восстановит все удаленные в период с 14:45 20 июля по настоящий момент элементы обратно в те папки, из которых они были перемещены в корзину.
В случае, если удаленные элементы необходимо восстановить в отдельную папку, чтобы облегчить их поиск, можно использовать параметр target_original_folder false. Например:
carbonio backup doUndelete user@carbobnio.local »20/07/2024 14:45:00» last target_original_folder false
Эта команда восстановит все удаленные в период с 14:45 20 июля по настоящий момент элементы в отдельную папку.
По вопросам тестирования, приобретения, предоставления лицензии и консультаций обращаться на почту sales@svzcloud.ru к эксклюзивному партнеру Zextras.
Получить информацию и обменяться информацией о Carbonio CE вы можете в группах в Telegram CarbonioMail и Carbonio CE Unofficial.