¿Cómo Puedo Proteger Mi Servidor De Correo? Una Guía completa
Proteger el tráfico de correo electrónico entrante
Cifrar un servidor de correo y cifrar el tráfico de correo electrónico son en realidad dos cosas diferentes. Un servidor de correo electrónico seguro requiere cifrado durante la transferencia, cifrado de correo electrónico y cifrado de correos electrónicos guardados.
Cifrado del lado del usuario final
PGP / MIME y S/MIME son dos opciones para cifrar correos electrónicos de extremo a extremo. Estas dos opciones utilizan cifrado basado en certificados para los correos electrónicos desde el momento en que se originan en el dispositivo del usuario final hasta que se reciben en el dispositivo del usuario final del destinatario..
S / MIME utiliza una clave pública o criptografía asimétrica, así como certificados digitales para correos electrónicos. Los certificados ayudan a autenticar al remitente del correo electrónico.
Cifrado de credenciales de autenticación
Axigen, como uno de los principales proveedores de software de servidor de correo electrónico, utiliza CRAM-MD5, DIGEST-MD5 y GSSAPI para el cifrado de credenciales de correo electrónico. Lea más sobre la seguridad del servidor de correo Axigen en nuestra página dedicada.
La autenticación de envío SMTP es necesaria para identificar correctamente al remitente y garantizar que su servidor de correo electrónico no se convierta en un retransmisor abierto abusado por terceros.
Para el cifrado de correo electrónico en tránsito, TLS es el estándar de facto. Puede y debe usarse para proteger el tráfico de correo web, IMAP y cualquier otro protocolo de acceso de cliente.
Servicios SMTP
El Protocolo Simple de transferencia de correo (o SMTP) es el protocolo de elección utilizado por la mayoría de los clientes de correo electrónico para enviar mensajes a un servidor de correo electrónico, así como servidores de correo electrónico que envían / retransmiten mensajes de un servidor a otro en su camino a su usuario designado.
Estos son los problemas de seguridad más comunes al transmitir correos electrónicos:
- Acceso no autorizado a sus correos electrónicos y fugas de datos
- Spam y Phishing
- Malware
- Ataques DoS
SSL (Secure Sockets Layer) es un protocolo criptográfico desarrollado por Netscape en 1995 diseñado para proporcionar una mayor seguridad en las comunicaciones de red y es el predecesor de TLS (Transport Layer Security). Dado que todas las versiones de SSL actualmente tienen muchas vulnerabilidades conocidas y explotables, ya no se recomienda su uso en producción. Asegurar la transmisión con TLS es el estándar de facto actual: las versiones de TLS recomendadas son 1.1, 1.2 y, la más reciente y segura, 1.3.
SSL/TLS cifra los mensajes entre el cliente de correo electrónico y el servidor de correo electrónico, así como entre los servidores de correo electrónico. Si la comunicación SMTP cifrada es grabada por un tercero malicioso, ese tercero solo verá lo que parecen ser caracteres aleatorios que reemplazan el contenido del correo electrónico, lo que significa que sus contactos y datos de mensajes siguen protegidos e ilegibles.
Axigen también admite una extensión TLS llamada Perfect Forward Secrecy, que es una característica de protocolos de acuerdo de clave específicos que garantiza que las claves de sesión no se verán comprometidas, incluso si los secretos a largo plazo utilizados en el intercambio de claves de sesión están comprometidos. En términos sencillos, en caso de que las claves privadas almacenadas en el servidor se pierdan o se violen, las sesiones SMTP cifradas grabadas previamente siguen siendo indescifrables.
A partir de la versión X2, Axigen puede usar el servicio Let’s Encrypt para generar certificados SSL, que se renuevan automáticamente antes de su vencimiento.
A partir de la versión X3, Axigen permite la administración de certificados desde WebAdmin, lo que le permite crear, renovar o eliminar certificados o CSR, así como ver y configurar dónde se va a usar cada certificado, es decir, escucha de servicios, host virtual o protección de conexiones SMTP cuando se entrega a través de un host inteligente.
Obtenga más información sobre cómo proteger sus servicios SMTP con Axigen.
DNSBL y URIBL
La Lista negra del Sistema de Nombres de Dominio (DNSBL) o la Lista Negra en tiempo real (RBL) es, en esencia, un servicio que proporciona una lista negra de dominios conocidos y direcciones IP que tienen la reputación de ser una fuente de spam. Por lo general, el software del servidor de correo se puede configurar para verificar uno o más de estos listados.
Un DNSBL es más un mecanismo de software, en lugar de una lista específica. Hay muchos en existencia, que utilizan una amplia gama de criterios que podrían obtener una dirección listada o no listada: enumerar las direcciones de las máquinas que se utilizan para enviar spam, los proveedores de servicios de Internet (ISP) son conocidos por alojar spammers, etc.
- Spamhaus DBL es un servicio que enumera los dominios que se encuentran en los mensajes de spam y que figuran como de mala reputación.
- El servicio URIBL es una lista de dominios detectados como envío de correo no deseado
Los servidores DNSBL se incluyen en la lista negra como spammers, y cuando define un servidor como uno solo, los correos electrónicos de dichos servidores se eliminan automáticamente.
Axigen también ofrece dos de estos servicios a sus clientes: aDNSBL y aURIBL, estos dos son listas DNSBL y URIBL basadas en IP premium, operadas y seleccionadas por Axigen, y pueden ser utilizadas por los clientes de Axigen que se suscriban a estos servicios opcionales.
SPF, DKIM y DMARC
SPF (Sender Policy Framework) es una entrada TXT de DNS que tiene una lista de servidores a los que se debe considerar que se les ha permitido enviar correo en nombre de un dominio específico. Ser una entrada DNS puede considerarse como una forma de hacer cumplir el hecho de que la lista de entradas es confiable para el dominio, ya que las únicas personas permitidas para agregar o cambiar esa zona de dominio son los propietarios o administradores del dominio.
Se puede acceder a más información sobre la configuración de SPF para los servicios Axigen aquí.
DKIM (DomainKeys Identified Mail) es un método para verificar que el contenido de los mensajes es confiable, mostrando que el contenido no se modificó desde el momento en que el mensaje salió del servidor de correo inicial y hasta que llegó al destino. Esta capa adicional de consistencia se logra mediante el uso de un proceso de firma de clave pública / privada estándar. Al igual que en el caso del SPF, los propietarios o administradores del dominio agregan un registro DNS que contiene la clave DKIM pública que utilizarán los receptores para verificar que la firma DKIM del mensaje es correcta, y en el lado del remitente de las cosas, el servidor utilizará la clave privada correspondiente a la clave pública presente en el registro DNS para firmar los mensajes de correo.
Se puede acceder a más información sobre la configuración de DKIM para servicios Axigen aquí.
DMARC (Autenticación, Informes y Conformidad de mensajes basados en dominio) es un protocolo que utiliza SPF y DKIM para determinar si el mensaje de correo electrónico es auténtico. En esencia, hace que sea más fácil para los ISP evitar que terceros maliciosos realicen prácticas como la suplantación de dominio para robar información privada de los usuarios.
DMARC establece una política clara sobre SPF y DKIM y permite la configuración de una dirección que se debe usar para enviar informes sobre los mensajes de correo enviados por el servidor. Esta directiva debe ser utilizada por todos los servidores y clientes receptores.
Se puede acceder a más información sobre la configuración de DMARC para servicios Axigen aquí.
Todas estas herramientas dependen en gran medida de DNS y la forma en que funcionan después de que se haya cuidado toda la configuración es la siguiente:
SPF
- al recibirlo, el servidor de correo recupera el mensaje HELO y la dirección del remitente
- el servidor de correo obtiene una consulta TXT DNS contra la entrada SPF de dominio de los mensajes
- los datos de entrada SPF recuperados se utilizan para verificar el servidor de envío
- si esta comprobación falla, el mensaje ser rechazado con información sobre el rechazo
DKIM
- Al enviar un mensaje, el último servidor de la infraestructura de dominio comprueba con su configuración interna si el dominio que se usa en el “Desde:”el encabezado está incluido en su “tabla de firmas”. Si esta comprobación falla, todo se detiene aquí
- Un encabezado llamado “Firma DKIM” se agrega a la lista de encabezados de mensajes generando una firma utilizando la parte privada de la clave en el contenido del mensaje
- Después de este punto, el contenido principal del mensaje no se puede modificar o el encabezado de firma DKIM ya no será correcto y la autenticación fallará.
- En la recepción del mensaje, el servidor receptor realizará una consulta DNS para recuperar la clave pública utilizada en la firma DKIM
- Después de eso, el encabezado DKIM se puede usar para decidir si el mensaje se cambió en tránsito o si es confiable
DMARC
- en la recepción, el servidor receptor comprobará si La política DMARC se publica en el dominio utilizado por las comprobaciones SPF y / o DKIM
- si una o ambas comprobaciones SPF / DKIM tienen éxito pero no están alineadas con la política DMARC, la comprobación se considera fallida, de lo contrario, si también alineado con la política de DMARC, la comprobación se realiza correctamente
- en caso de fallo, en función de la acción publicada por la política de DMARC, se pueden realizar diferentes acciones
Incluso si tiene un sistema perfectamente funcional y todas las herramientas mencionadas anteriormente configuradas y funcionando sin problemas, no puede ser 100% seguro porque no todos los servidores que hay usan estas herramientas.
Filtrado de contenido
Los filtros de contenido le permiten escanear e inspeccionar los mensajes entrantes / salientes y realizar las acciones correspondientes en función de los resultados automáticamente.
Los servicios como estos escanean principalmente el contenido del mensaje de correo electrónico y deciden si el contenido coincide con los filtros de spam y bloquean que el mensaje llegue a la bandeja de entrada. Los escaneos también miran los metadatos de la imagen y los encabezados, así como el contenido de texto del mensaje.
Axigen proporciona filtros antivirus y AntiSpam premium integrados, que vienen preempaquetados y están completamente integrados y configurables desde WebAdmin:
- AntiSpam y AntiVirus premium de Axigen (con tecnología de Cyren)y
- Kaspersky AntiSpam y AntiVirus.
También puede integrar cualquier producto de terceros siempre que sea capaz de Milter, o incluso usar servicios basados en la nube como puerta de enlace frente a su servidor de correo electrónico.
Es importante tener en cuenta que el filtrado de contenido consume más recursos, por lo que es importante implementar también las otras capas que filtran los correos electrónicos antes de llegar a tu filtro de contenido.
Protección del tráfico de correo electrónico saliente
Restricciones de envío y recepción
Los límites se pueden aplicar a los mensajes enviados por los usuarios que aloja en su servidor de correo electrónico. Puede controlar el tamaño máximo que puede tener un mensaje en su totalidad o el tamaño de las partes individuales de un mensaje o incluso ambas cosas. Por ejemplo, puede controlar el tamaño máximo del encabezado del mensaje o sus archivos adjuntos, o establecer un límite para el número máximo de destinatarios que un usuario puede agregar a un mensaje saliente.
Además, y lo que es más importante, como administrador, puede crear cuotas de envío (con excepciones) que garanticen que su Política de Uso razonable se aplique automáticamente.
Puede obtener más información sobre la configuración de estas restricciones en Axigen WebAdmin aquí.
Protección contra el spam saliente
Tener control sobre lo que sale de sus servidores de correo electrónico es tan importante como saber lo que entra. Por lo tanto, tener una política para escanear los mensajes salientes y los mensajes entrantes es importante porque puede evitar que alguien envíe mensajes de spam y, como tal, atraer repercusiones no deseadas en usted.
Más sobre este tema en mi artículo en LinkedIn aquí.
Asegurar el acceso al buzón de correo
Autenticación de dos factores de correo web (2FA)
Asegurarse de que sus cuentas de usuario sean seguras aunque probablemente esté utilizando SSL/TLS, es importante porque a veces las contraseñas de usuario no son las más fuertes.
Además del hecho de que Axigen admite políticas de contraseñas configurables, habilitar la autenticación de dos factores puede mejorar en gran medida la seguridad de la cuenta de cada usuario y proteger sus datos de terceros maliciosos que de otra manera podrían obtener acceso a su cuenta porque pueden haber obtenido su contraseña de otro servicio que estaban utilizando que tenía una puerta trasera de seguridad.
Axigen proporciona soporte de autenticación de Dos factores para cuentas de usuario.
Oyentes SSL/TLS
Es muy importante que sus oyentes estén configurados correctamente con buenas versiones SSL y conjuntos de cifrado. El servidor Axigen viene con todo configurado y le recomendamos que mantenga siempre el servidor actualizado para asegurarse de que sus escuchas SSL sean de grado A.
Configuración recomendada de cifrado y autenticación IMAP
El uso de una conexión cifrada con StartTLS habilitado es la mejor manera de garantizar que sus datos y los de sus clientes estén protegidos y no puedan ser leídos por un tercero malicioso.
Axigen WebAdmin permite controlar la configuración del cifrado y la autenticación del servidor de correo, puede ver la configuración recomendada para configurar IMAP en esta página de documentación.
Protección contra Ataques de Fuerza Bruta
Un ataque de fuerza bruta es un tipo de ciberataque en el que un tercero malicioso intenta diferentes contraseñas y frases de contraseña utilizando un script automatizado hasta que encuentra la combinación correcta para obtener acceso a una cuenta o servicio. Puede haber existido durante mucho tiempo, sin embargo, sigue siendo muy popular debido a lo efectivo que es contra contraseñas débiles, por lo que la autenticación de dos factores es una característica importante para tener en las cuentas de usuario.
Fail2Ban (Linux) y RDPGuard (Windows) son sistemas de prevención de intrusiones que agregan protección para ataques de fuerza bruta a los servidores de correo. Mediante la supervisión de archivos de registro y el bloqueo de direcciones IP de hosts que realizan demasiados intentos de inicio de sesión o demasiadas conexiones en un corto período de tiempo definido por el administrador del servidor de correo.
Más información sobre cómo configurar su servidor Axigen para usar Fail2Ban en Linux o cómo configurar su servidor Axigen para usar RDPGuard en Windows
Firewall
Uno de los controles de seguridad críticos y verdaderamente obligatorios a nivel de red es el firewall. Un firewall debe tener funciones avanzadas de análisis de amenazas persistentes, ya que son capaces de detectar ataques de seguridad de día cero. También es una práctica recomendada ejecutar sistemas de detección de intrusos (IDS). Se requiere una puerta de enlace de seguridad de correo electrónico para detectar el tráfico de correo electrónico entrante / saliente.
Las reglas de filtrado de firewall se pueden usar para denegar / permitir tráfico de correo electrónico específico. Esto es útil para evitar que el servidor se convierta en un relé y envíe correos electrónicos masivos de spam. Las reglas de filtrado de paquetes ayudan a detener los ataques DDoS y DOS.
Axigen tiene un componente interno para el firewall de nivel de aplicación que se encarga de esto como parte de las capas de seguridad del servidor.
Puede obtener más información sobre las opciones de configuración disponibles en WebAdmin para el firewall integrado en la sección Control de flujo de esta página de documentación.
Conclusión
Un servidor de correo electrónico seguro esencialmente tiene controles de seguridad a nivel de red y servidor. Es una práctica estándar configurar y mantener su propio servidor de correo electrónico. Sin embargo, algunas organizaciones optan por comprar soluciones de software de servidor de correo electrónico estándar. Si considera esta opción, la seguridad debe ser su mayor consideración.
No hay un sistema completamente seguro en ningún lugar del mundo. Sin embargo, algunas soluciones de software de correo electrónico proporcionan paquetes integrales que cubren la seguridad en todas las capas, incluidos los niveles de red y servidor.
Una solución de servidor de correo electrónico altamente segura debe tener:
- reglas de firewall
- puerta de enlace de correo electrónico segura
- controles a nivel de servidor que incluyen cifrado, antispam / antiphishing / antivirus, así como un servicio de monitoreo y análisis.
Una de las mejores soluciones es la solución de servidor de correo electrónico seguro ofrecida por Axigen, sobre la que puede obtener más información aquí.
Leave a Reply