Jak Zabezpečím Svůj Poštovní Server? Komplexní průvodce

zabezpečení příchozího e-mailového provozu

šifrování poštovního serveru a šifrování e-mailového provozu jsou ve skutečnosti dvě různé věci. Zabezpečený e-mailový server vyžaduje šifrování během přenosu, šifrování e-mailu a šifrování uložených e-mailů.

šifrování na straně koncového uživatele

PGP / MIME a S / MIME jsou dvě možnosti šifrování e-mailů end-to-end. Tyto dvě možnosti používají šifrování založené na certifikátech pro e-maily od okamžiku, kdy pocházejí ze zařízení koncového uživatele, dokud nejsou přijaty na zařízení koncového uživatele příjemce..

S / MIME používá veřejný klíč nebo asymetrickou kryptografii a digitální certifikáty pro e-maily. Certifikáty pomáhají ověřit odesílatele e-mailu.

autentizační pověření šifrování

Axigen, jako jeden z předních poskytovatelů softwaru e-mailového serveru, používá CRAM-MD5, DIGEST-MD5 a GSSAPI pro šifrování e-mailových pověření. Přečtěte si více o Zabezpečení poštovního serveru Axigen na naší vyhrazené stránce.

ověření předložení SMTP je nutné pro správnou identifikaci odesílatele a pro zajištění toho,aby se Váš e-mailový server nestal otevřeným relé zneužívaným stranami 3rd.

pro šifrování e-mailů v tranzitu je TLS de facto standardem. Může a měl by být použit k zabezpečení provozu pro webmail, IMAP a další protokoly pro přístup klientů.

SMTP služby

Simple Mail Transfer Protocol (nebo SMTP) je protokol volby používaný většinou e-mailových klientů k odesílání zpráv na e-mailový server, stejně jako e-mailové servery odesílající / přenášející zprávy z jednoho serveru na druhý na cestě k určenému uživateli.

zde jsou nejčastěji se vyskytující bezpečnostní problémy při přenosu e-mailů:

  • neoprávněný přístup k vašim e-mailům a úniku dat
  • Spam a Phishing
  • Malware
  • DOS útoky

SSL (Secure Sockets Layer) je kryptografický protokol vyvinutý společností Netscape v roce 1995, který je navržen tak, aby poskytoval zvýšenou bezpečnost síťové komunikace a je předchůdcem TLS (Transport Layer Security). Vzhledem k tomu, že všechny verze SSL mají v současné době mnoho známých a zneužitelných zranitelností, již se pro výrobní použití nedoporučuje. Zabezpečení přenosu pomocí TLS je současným de facto standardem: doporučené verze TLS jsou 1.1, 1.2 a nejnovější a nejbezpečnější 1.3.

SSL / TLS šifruje zprávy mezi e-mailovým klientem a e-mailovým serverem i mezi e-mailovými servery. Pokud je šifrovaná komunikace SMTP zaznamenána škodlivou třetí stranou, tato strana uvidí pouze to, co se zdá být náhodnými znaky, které nahrazují obsah e-mailu, což znamená, že vaše kontakty a data zpráv jsou stále chráněna a nečitelná.

Axigen také podporuje rozšíření TLS s názvem Perfect Forward Secrecy, což je vlastnost konkrétních protokolů o klíčových dohodách, která zaručuje, že klíče relace nebudou ohroženy, i když jsou ohrožena dlouhodobá tajemství používaná při výměně klíčů relace. Laicky řečeno, pokud by byly soukromé klíče uložené na serveru ztraceny nebo porušeny, dříve zaznamenané šifrované relace SMTP jsou stále nerozluštitelné.

lets-encrypt-certifikáty

počínaje verzí X2 může Axigen pomocí služby Let ‘ s Encrypt generovat certifikáty SSL, které se automaticky obnovují před vypršením platnosti.

od verze X3 umožňuje Axigen správu certifikátů z Webadminu, což vám umožňuje vytvářet, obnovovat nebo mazat certifikáty nebo CSR, stejně jako prohlížet a konfigurovat, kde má být každý certifikát použit — tj. posluchač služeb, virtuální hostitel nebo zabezpečení připojení SMTP při doručování prostřednictvím inteligentního hostitele.

Přečtěte si více o zabezpečení služeb SMTP pomocí Axigen.

DNSBL a URIBL

Domain Name System Blacklist (DNSBL) nebo real-time Blackhole List (RBL) je v podstatě služba, která poskytuje černý seznam známých domén a IP adres, které mají pověst zdroje spamu. Typicky mail server software může být nakonfigurován pro kontrolu jednoho nebo více z těchto výpisů.

DNSBL je spíše softwarovým mechanismem než konkrétním seznamem. Existuje mnoho v existenci, které používají širokou škálu kritérií, která by mohla získat adresu uvedenou nebo neuvedenou: výpis adresy strojů používaných k odesílání spamu, poskytovatelé internetových služeb (ISP) je známo, že hostitelé spammerů, atd.

  • Spamhaus DBL je služba, která blacklistuje domény nalezené ve spamových zprávách a je uvedena jako špatná pověst.
  • služba URIBL je seznam domén detekovaných jako odesílání nevyžádané pošty

DNSBL servery jsou na černé listině jako spammery, a když definujete server jako jeden, e-maily z těchto serverů jsou automaticky zrušeny.

Axigen také nabízí svým zákazníkům dvě takové služby: aDNSBL a aURIBL, tyto dva jsou Prémiové seznamy DNSBL a URIBL založené na IP, provozované a kurátorované společností Axigen a mohou být použity zákazníky Axigen, kteří se přihlásí k odběru těchto volitelných služeb.

SPF, DKIM a DMARC

SPF (Sender Policy Framework) je položka DNS TXT, která obsahuje seznam serverů, které by měly být považovány za servery, které mohou odesílat poštu jménem konkrétní domény. Být záznamem DNS lze považovat za způsob, jak vynutit skutečnost, že seznam vstupů je pro doménu důvěryhodný, protože jediní lidé, kteří mohou tuto zónu domény přidat nebo změnit, jsou vlastníci nebo správci domény.

více informací o konfiguraci SPF pro služby Axigen naleznete zde.

DKIM (DomainKeys Identified Mail) je metoda, která ověřuje, že obsah zpráv je důvěryhodný, což ukazuje, že obsah nebyl změněn od okamžiku, kdy zpráva opustila počáteční poštovní server a dokud nedosáhla cíle. Tato další vrstva konzistence se provádí pomocí standardního procesu podepisování veřejného / soukromého klíče. Stejně jako v případě SPF majitelé nebo správci domény přidávají záznam DNS, který obsahuje veřejný klíč DKIM, který budou přijímače používat k ověření, že podpis zprávy DKIM je správný, a na straně odesílatele věcí server použije soukromý klíč odpovídající veřejnému klíči přítomnému v záznamu DNS k podpisu e-mailových zpráv.

více informací o konfiguraci DKIM pro služby Axigen naleznete zde.

DMARC (domain-based Message Authentication, Reporting, and Conformance) je protokol, který používá SPF a DKIM k určení, zda je e-mailová zpráva autentická. V podstatě to usnadňuje poskytovatelům internetových služeb, aby zabránili škodlivým třetím stranám v provádění praktik, jako je spoofing domény na soukromé informace phish pro uživatele.

DMARC uvádí jasnou politiku týkající se SPF i DKIM a umožňuje nastavení adresy, která by měla být použita k odesílání zpráv o e-mailových zprávách odeslaných serverem. Tyto zásady by měly používat všechny přijímající servery a klienti.

více informací o konfiguraci DMARC pro služby Axigen naleznete zde.

všechny tyto nástroje se silně spoléhají na DNS a způsob, jakým fungují po všech nastaveních, je následující:

SPF

  • po přijetí se Zpráva HELO a adresa odesílatele načtou poštovním serverem
  • poštovní server načte dotaz TXT DNS proti položce domény SPF zpráv
  • načtená data SPF se poté použijí k ověření odesílajícího serveru
  • pokud tato kontrola selže, zpráva bude odmítnuta s informací o odmítnutí

DKIM

  • při odeslání zprávy poslední server v doménové infrastruktuře zkontroluje své vnitřní nastavení, pokud doména, která je použita v “z:”záhlaví je skutečně součástí jeho “podepisovací tabulky”. Pokud tato kontrola selže, vše se zastaví zde
  • záhlaví s názvem “DKIM-Signature” je přidáno do seznamu záhlaví zprávy vygenerováním podpisu pomocí soukromé části klíče na obsahu zprávy
  • po tomto bodě nelze hlavní obsah zprávy upravit nebo hlavička podpisu DKIM již nebude správná a autentizace selže.
  • po přijetí zprávy provede přijímající server dotaz DNS pro načtení veřejného klíče použitého v podpisu DKIM
  • poté může být hlavička DKIM použita k rozhodnutí, zda byla zpráva změněna při tranzitu nebo zda je důvěryhodná

DMARC

  • po přijetí přijímající server zkontroluje, zda je v doméně používané SPF a / nebo DKIM kontrolována politika DMARC
  • pokud jedna nebo obě kontroly SPF / DKIM uspějí, ale nejsou v souladu se zásadami DMARC, pak se kontrola považuje za neúspěšnou, jinak, pokud jsou také v souladu se zásadami DMARC je kontrola úspěšná
  • při selhání, na základě toho, jaká akce je zveřejněna zásadou DMARC, lze podniknout různé akce

i když máte dokonale funkční systém a všechny výše uvedené nástroje jsou nastaveny a běží hladce, nemůžete být 100% bezpečný, protože ne všechny servery tam používají tyto nástroje.

filtrování obsahu

filtry obsahu umožňují skenovat a kontrolovat příchozí / odchozí zprávy a provádět odpovídající akce na základě výsledků automaticky.

služby, jako jsou tyto, skenují hlavně obsah e-mailové zprávy a rozhodují, zda obsah odpovídá filtrům spamu a blokuje zprávu v dosažení doručené pošty. Skenování se také zaměřuje na metadata a záhlaví obrázků a také na textový obsah zprávy.

cyren-antivirus-antispam-brochure

Axigen poskytuje vestavěné Prémiové antivirové a antispamové filtrování, které jsou dodávány v baleném stavu a jsou plně integrované a konfigurovatelné z Webadminu:

  • Axigen Premium AntiSpam a AntiVirus (powered by Cyren) a
  • Kaspersky AntiSpam a AntiVirus.

můžete také integrovat jakékoli produkty třetích stran, pokud jsou schopné Milter, nebo dokonce používat cloudové služby jako bránu před vaším e-mailovým serverem.

je důležité si uvědomit, že filtrování obsahu je náročnější na zdroje, a proto je důležité také implementovat další vrstvy, které odfiltrují e-maily před dosažením filtru obsahu.

zabezpečení odchozího e-mailového provozu

omezení odesílání a přijímání

omezení lze použít na zprávy odeslané uživateli, které hostujete na vašem e-mailovém serveru. Můžete ovládat maximální velikost, kterou může mít zpráva v celém rozsahu, nebo velikost jednotlivých částí zprávy nebo dokonce obou těchto věcí. Můžete například ovládat maximální velikost záhlaví zprávy nebo jejích příloh nebo nastavit limit pro maximální počet příjemců, které může uživatel přidat do odchozí zprávy.

kromě toho, a co je důležitější, můžete jako správce vytvořit odesílací kvóty (až na výjimky), které zajistí, že vaše zásady spravedlivého používání budou vynuceny automaticky.

více o konfiguraci těchto omezení si můžete přečíst v Axigen WebAdmin zde.

ochrana proti odchozímu spamu

mít kontrolu nad tím, co vychází z vašich e-mailových serverů, je stejně důležité jako vědět, co přichází. Takže mít zásady pro skenování odchozích zpráv i příchozích zpráv je důležité, protože to může někomu zabránit v odesílání spamových zpráv a jako takové přitahovat nežádoucí dopady na vás.

více o tomto tématu v mém článku na LinkedIn zde.

zabezpečení přístupu k poštovní schránce

Webmail Two Factor Authentication (2FA)

ujistěte se, že vaše uživatelské účty jsou bezpečné, i když pravděpodobně používáte SSL / TLS, je důležité, protože někdy uživatelská hesla nejsou nejsilnější.

kromě toho, že Axigen podporuje konfigurovatelné zásady hesel, povolení dvoufaktorové autentizace může výrazně zlepšit zabezpečení účtu každého uživatele a chránit jeho data před škodlivými třetími stranami, které by jinak mohly získat přístup k jejich účtu, protože možná dostali své heslo z jiné služby, kterou používali, která měla bezpečnostní zadní vrátka.

Axigen poskytuje podporu dvoufaktorové autentizace pro uživatelské účty.

SSL / TLS posluchači

je velmi důležité, aby vaši posluchači jsou správně nakonfigurovány s dobrými SSL verze a cypher suites. Server Axigen je dodáván se vším, co je nastaveno, a doporučujeme vám vždy udržovat server aktuální, abyste zajistili, že vaši posluchači SSL budou A-grade.

IMAP šifrování a ověřování doporučená nastavení

použití šifrovaného spojení s povoleným StartTLS je nejlepší způsob, jak zajistit, aby vaše a vaše klientská data byla chráněna a nemohla být přečtena škodlivou třetí stranou.

Axigen WebAdmin umožňuje kontrolu nad nastavením šifrování a autentizace poštovního serveru, doporučená nastavení pro konfiguraci IMAP naleznete na této stránce dokumentace.

ochrana před útoky hrubou silou

útok hrubou silou je typ kybernetického útoku, kdy škodlivá třetí strana zkouší různá hesla a hesla pomocí automatizovaného skriptu, dokud nenajde správnou kombinaci pro získání přístupu k účtu nebo službě. Může to být už dlouho, ale je stále velmi populární kvůli tomu, jak efektivní je proti slabým heslům, a proto je dvoufaktorová autentizace důležitou funkcí pro uživatelské účty.

Fail2Ban (Linux) a RDPGuard (Windows) jsou systémy prevence narušení, které přidávají ochranu proti útokům hrubou silou na poštovní servery. Sledováním souborů protokolu a blokováním IP adres hostitelů, kteří provádějí příliš mnoho pokusů o přihlášení nebo příliš mnoho připojení v krátkém časovém období, které je definováno správcem poštovního serveru.

více o tom, jak nastavit Axigen server pro použití Fail2Ban v Linuxu nebo jak nastavit Axigen server pro použití RDPGuard v systému Windows

Firewall

jednou z kritických a skutečně povinných bezpečnostních kontrol na úrovni sítě je firewall. Firewall by měl mít pokročilé funkce analýzy trvalých hrozeb, protože jsou schopny detekovat nulové bezpečnostní útoky. Osvědčeným postupem je také spuštění systémů detekce narušení (IDS). K zobrazení příchozího / odchozího e-mailového provozu je vyžadována bezpečnostní brána e-mailu.

pravidla filtrování firewallu lze použít k odepření / povolení konkrétního e-mailového provozu. To je užitečné k tomu, aby se server nestal relé a odesílal hromadné spamové e-maily. Pravidla filtrování paketů pomáhají zastavit útoky DDoS a DoS.

Axigen má interní komponentu pro firewall na aplikační úrovni, která to pro vás zpracovává jako součást bezpečnostních vrstev serveru.

další informace o možnostech konfigurace, které jsou k dispozici ve Webadminu pro vestavěný firewall, naleznete v části Řízení toku na této stránce dokumentace.

závěr

zabezpečený e-mailový server má v podstatě bezpečnostní kontroly na úrovni sítě I serveru. Je běžnou praxí konfigurovat a udržovat svůj vlastní e-mailový server. Některé organizace se však rozhodnou koupit off-the-shelf softwarová řešení e-mailového serveru. Pokud zvážíte tuto možnost, bezpečnost by měla být vaše nejvyšší pozornost.

neexistuje žádný zcela bezpečný systém kdekoli na světě. Některá e-mailová softwarová řešení však poskytují komplexní balíčky pokrývající zabezpečení ve všech vrstvách, včetně úrovně sítě a serveru.

vysoce bezpečné řešení e-mailového serveru by mělo mít:

  • pravidla brány firewall
  • zabezpečená e-mailová brána
  • kontroly na úrovni serveru včetně šifrování, anti-spam / anti-phishing / antivirus, stejně jako monitorovací a analytická služba.

jedním z nejlepších řešení je zabezpečené řešení e-mailového serveru nabízené společností Axigen, o kterém se můžete dozvědět více zde.

Leave a Reply