Hvordan Sikrer Jeg Min Mailserver? En omfattende Guide

sikring af indgående e-mail-trafik

kryptering af en mailserver og kryptering af e-mail-trafik er faktisk to forskellige ting. En sikker e-mail-server kræver kryptering under overførsel, kryptering af e-mail og kryptering af gemte e-mails.

End User side Encryption

PGP/MIME og S/MIME er to muligheder for kryptering af e-mails ende-til-ende. Disse to muligheder bruger certifikatbaseret kryptering til e-mails fra det øjeblik, de stammer fra slutbrugerenheden, indtil de modtages på modtagerens slutbrugerenhed..

S/MIME bruger en offentlig nøgle eller asymmetrisk kryptografi samt digitale certifikater til e-mails. Certifikater hjælper med at godkende e-mail-afsenderen.

authentication Credentials Encryption

ACSIGEN, som en af de førende e-mail-serverudbydere, bruger CRAM-MD5, DIGEST-MD5 og GSSAPI til e-mail-legitimationsoplysninger kryptering. Læs mere om sikkerhed på vores dedikerede side.

SMTP-Indsendelsesgodkendelse er påkrævet for korrekt at identificere afsenderen og for at sikre, at din e-mail-server ikke bliver et åbent relæ misbrugt af 3.parter.

for e-mail i transit kryptering, TLS er de facto standard. Det kan og bør bruges til at sikre trafik til e-mail, IMAP og andre klientadgangsprotokoller.

SMTP-tjenester

Simple Mail Transfer Protocol (eller SMTP) er den valgte protokol, der bruges af de fleste e-mail-klienter til at sende meddelelser til en e-mail-server samt e-mail-servere, der sender / videresender meddelelser fra en server til en anden på vej til deres udpegede bruger.

her er de mest almindelige sikkerhedsproblemer ved transmission af e-mails:

  • uautoriseret adgang til dine e-mails og datalækage
  • Spam og Phishing
  • ondsindet program
  • DoS-angreb

SSL (Secure Sockets Layer) er en kryptografisk protokol udviklet af Netscape i 1995 designet til at give forbedret sikkerhed over netværkskommunikation, og det er forgængeren for TLS (Transport) lag sikkerhed). Da alle SSL-versioner i øjeblikket har mange kendte og udnyttelige sårbarheder, anbefales det ikke længere til produktionsbrug. Sikring af transmission med TLS er den nuværende de facto standard: anbefalede TLS versioner er 1.1, 1.2 og, den nyeste og mest sikre, 1.3.

SSL/TLS krypterer meddelelserne mellem e-mail-klienten og e-mail-serveren samt mellem e-mail-servere. Hvis den krypterede SMTP-kommunikation registreres af en ondsindet tredjepart, vil denne part kun se, hvad der synes at være tilfældige tegn, der erstatter e-mail-indholdet, hvilket betyder, at dine kontakter og meddelelsesdata stadig er beskyttede og ulæselige.

Aksigen understøtter også en TLS-udvidelse kaldet perfekt Fremadhemmelighed, som er et træk ved specifikke nøgleaftaleprotokoller, der giver forsikringer om, at sessionsnøgler ikke kompromitteres, selvom langsigtede hemmeligheder, der bruges i sessionsnøgleudvekslingen, kompromitteres. I lægmandsbetingelser, hvis de private nøgler, der er gemt på serveren, går tabt eller overtrædes, er tidligere indspillede krypterede SMTP-sessioner stadig uudslettelige.

lets-encrypt-certifikater

fra og med version 2 kan vi bruge Let ‘ s Encrypt-tjenesten til at generere SSL-certifikater, som automatisk fornyes inden udløb.

fra version H3 tillader Aksigen certifikatstyring fra Internetadmin, hvilket giver dig mulighed for at oprette, forny eller slette certs eller CSR ‘ er samt se og konfigurere, hvor hvert certifikat skal bruges — dvs.servicelytter, virtuel vært eller sikring af SMTP-forbindelser, når du leverer via en smart vært.

Læs mere om sikring af dine SMTP-tjenester ved hjælp af Aksigen.

DNSBL og URIBL

Domain Name System Blacklist (DNSBL) eller real-time Blackhole List (RBL) er i det væsentlige en tjeneste, der giver en sort liste over kendte domæner og IP-adresser, der har ry for at være en kilde til spam. Typisk mailserver kan konfigureres til at kontrollere en eller flere af disse lister.

en DNSBL er mere en programmekanisme snarere end en specifik liste. Der er mange i eksistens, som bruger en bred vifte af kriterier, der kan få en adresse opført eller unoteret: notering af adresserne på maskiner, der bruges til at sende spam, internetudbydere (internetudbydere) er kendt for at være vært for spammere osv.

  • den Spamhaus DBL er en tjeneste, der sortlister domæner findes i spam-beskeder og opført som havende et dårligt ry.
  • uribl-tjenesten er en liste over domæner, der registreres som afsendelse af spam-e-mail

DNSBL-servere er sortlistet som spammere, og når du definerer en server som en, tabes e-mails fra sådanne servere automatisk.

disse to er premium IP-baserede DNSBL-og URIBL-lister, der drives og kurateres af Aksigen, og de kan bruges af Aksigen-kunder, der abonnerer på disse valgfrie tjenester.

SPF, DKIM og DMARC

SPF (Afsenderpolitikramme) er en DNS-tekst, der har en liste over servere, der skal anses for at have fået lov til at sende mail på vegne af et bestemt domæne. At være en DNS-post kan betragtes som en måde at håndhæve det faktum, at indtastningslisten er pålidelig for domænet, da de eneste personer, der har lov til at tilføje eller ændre dette domæneområde, er ejere eller administratorer af domænet.

flere oplysninger om konfiguration af SPF til Acsigen-Tjenesterne kan fås her.

DKIM (DomainKeys Identified Mail) er en metode til at kontrollere, at meddelelsernes indhold er troværdigt, hvilket viser, at indholdet ikke blev ændret fra det øjeblik, meddelelsen forlod den oprindelige mailserver, og indtil den nåede destinationen. Dette yderligere lag af konsistens opnås ved brug af en standard offentlig / privat nøglesigneringsproces. Som i tilfældet med SPF tilføjer ejere eller administratorer af domænet en DNS-post, der indeholder den offentlige DKIM-nøgle, der vil blive brugt af modtagere til at kontrollere, at meddelelsen DKIM-signatur er korrekt, og på afsendersiden af tingene bruger serveren den private nøgle, der svarer til den offentlige nøgle, der findes i DNS-posten, til at underskrive mailmeddelelserne.

flere oplysninger om konfiguration af DKIM til Aksigen-tjenester kan findes her.

DMARC (Domain-based Message Authentication, Reporting and Conformance) er en protokol, der bruger SPF og DKIM til at afgøre, om e-mailen er autentisk. I det væsentlige gør det det lettere for internetudbydere at forhindre ondsindede tredjeparter i at udføre praksis såsom domænespoofing til phish for brugernes private oplysninger.

DMARC angiver en klar politik om både SPF og DKIM og tillader indstilling af en adresse, der skal bruges til at sende rapporter om de mailbeskeder, der sendes af serveren. Denne politik skal bruges af alle modtagende servere og klienter.

flere oplysninger om konfiguration af DMARC til Aksigen-tjenester kan fås her.

alle disse værktøjer er stærkt afhængige af DNS, og den måde, de fungerer på, efter at alle opsætninger er blevet taget hånd om, er som følger:

SPF

  • ved modtagelse hentes HELO-meddelelsen og afsenderens adresse af mailserveren
  • mailserveren henter en DNS-forespørgsel mod meddelelsernes domæne SPF-post
  • de hentede SPF-indtastningsdata bruges derefter til at verificere afsenderserveren
  • hvis denne kontrol mislykkes, vil meddelelsen blive afvist med SPF-postering
  • oplysninger om afvisningen

dkim

  • ved afsendelse af en besked kontrollerer den sidste server i domæneinfrastrukturen mod dens interne indstillinger, hvis det domæne, der bruges i “fra:”header er faktisk inkluderet i sin “signeringstabel”. Hvis denne kontrol mislykkes, stopper alt her
  • en overskrift med navnet “DKIM-signatur” føjes til meddelelsesoverskriftslisten ved at generere en signatur ved hjælp af den private del af nøglen på indholdet af meddelelsen
  • efter dette punkt kan meddelelsens hovedindhold ikke ændres, eller DKIM-Signaturoverskriften er ikke længere korrekt, og godkendelse mislykkes.
  • ved modtagelse af meddelelsen opretter den modtagende server en DNS-forespørgsel for at hente den offentlige nøgle, der bruges i DKIM-signaturen
  • efter at DKIM-overskriften kan bruges til at beslutte, om meddelelsen blev ændret under transit, eller om den er pålidelig

DMARC

  • ved modtagelse kontrollerer den modtagende server, om der er en DMARC-politik offentliggøres i det domæne, der bruges af SPF-og / eller DKIM-kontrollen
  • hvis en eller begge SPF / DKIM-kontroller lykkes, men ikke er tilpasset DMARC-politikken, betragtes kontrollen som mislykket, ellers, hvis de er også på linje med DMARC-politikken, så er kontrollen vellykket
  • ved fejl, baseret på hvilken handling der er offentliggjort af DMARC-politikken, kan der træffes forskellige handlinger

selvom du har et perfekt funktionelt system, og alle de ovennævnte værktøjer er oprettet og kører problemfrit, kan du ikke være 100% sikker, fordi ikke alle servere derude bruger disse værktøjer.

indholdsfiltrering

indholdsfiltre giver dig mulighed for at scanne og inspicere indgående / udgående meddelelser og udføre tilsvarende handlinger baseret på resultaterne automatisk.

tjenester som disse scanner hovedsageligt indholdet af e-mailen og beslutter, om indholdet matcher spamfiltre og blokerer for, at meddelelsen når indbakken. Scanninger ser også på billedmetadata og overskrifter samt indholdet af meddelelsesteksten.

cyren-antivirus-antispam-brochure

Acsigen giver indbygget premium AntiVirus og AntiSpam filtrering, som kommer færdigpakket og er fuldt integreret og konfigurerbar fra:

  • Kaspersky AntiSpam og AntiVirus (drevet af Cyren) og
  • Kaspersky AntiSpam og AntiVirus.

du kan også integrere alle tredjepartsprodukter, så længe de er Milter-i stand, eller endda bruge skybaserede tjenester som en port foran din e-mail-server.

det er vigtigt at bemærke, at indholdsfiltrering er mere ressourceintensiv, hvorfor det er vigtigt også at implementere de andre lag, der filtrerer e-mails ud, før du når dit indholdsfilter.

sikring af udgående e-Mailtrafik

Send og modtag begrænsninger

grænser kan anvendes på de meddelelser, der sendes af de brugere, du hoster på din e-mail-server. Du kan styre den maksimale størrelse, som en meddelelse kan have i sin helhed eller størrelsen af en meddelelses individuelle dele eller endda begge disse ting. Du kan f.eks. styre den maksimale størrelse på meddelelsesoverskriften eller dens vedhæftede filer eller angive en grænse for det maksimale antal modtagere, som en bruger kan føje til en udgående meddelelse.

desuden, og endnu vigtigere, kan du som administrator oprette sendekvoter (med undtagelser), der sikrer, at din politik for Fair brug håndhæves automatisk.

du kan læse mere om konfiguration af disse begrænsninger her.

udgående spambeskyttelse

at have kontrol over, hvad der går ud af dine e-mail-servere er lige så vigtigt som at vide, hvad der kommer ind. Så det er vigtigt at have en politik til at scanne de udgående meddelelser såvel som de indgående meddelelser, fordi det kan forhindre nogen i at sende spam-beskeder og som sådan tiltrække uønskede konsekvenser for dig.

mere om dette emne i min artikel på LinkedIn her.

sikring af Postkasseadgang

Tofaktorgodkendelse (2FA)

det er vigtigt at sikre, at dine brugerkonti er sikre, selvom du sandsynligvis bruger SSL/TLS, fordi nogle gange brugeradgangskoder ikke er de stærkeste.

udover det faktum, at Acsigen understøtter konfigurerbare adgangskodepolitikker, kan aktivering af tofaktorautentificering i høj grad forbedre kontosikkerheden for hver bruger og beskytte deres data mod ondsindede tredjeparter, der ellers kunne få adgang til deres konto, fordi de muligvis har fået deres adgangskode fra en anden tjeneste, de brugte, der havde en sikkerhed bagdør.

Aksigen giver to faktor autentificering støtte til brugerkonti.

SSL/TLS-lyttere

det er meget vigtigt, at dine lyttere er konfigureret korrekt med gode SSL-versioner og cypher-suiter. Vi anbefaler, at du altid holder serveren opdateret for at sikre, at dine SSL-lyttere er A-grade.

IMAP-kryptering og godkendelse anbefalede indstillinger

brug af en krypteret forbindelse med StartTLS aktiveret er den bedste måde at sikre, at dine og dine kunders data er beskyttet og ikke kan læses af en ondsindet tredjepart.

tillader kontrol over indstillingerne for kryptering og godkendelse af mailserveren, du kan se de anbefalede indstillinger til konfiguration af IMAP på denne dokumentationsside.

beskyttelse mod Brute Force-angreb

et brute-force-angreb er en type cyberangreb, hvor en ondsindet tredjepart prøver forskellige adgangskoder og adgangssætninger ved hjælp af et automatiseret script, indtil de finder den rigtige kombination for at få adgang til en konto eller tjeneste. Det kan have eksisteret i lang tid, men det er stadig meget populært på grund af hvor effektivt det er mod svage adgangskoder, hvorfor tofaktorautentificering er en vigtig funktion at have på Brugerkonti.

Fail2Ban og Rdpguard er systemer til forebyggelse af indtrængen, der giver beskyttelse mod brute-force-angreb til mailservere. Ved at overvåge logfiler og blokere IP-adresser på værter, der udfører for mange loginforsøg eller for mange forbindelser på kort tid, der er defineret af administratoren af mailserveren.

mere om, hvordan du konfigurerer din Acsigen-server til at bruge Fail2Ban, eller hvordan du konfigurerer din Acsigen-server til at bruge RDPGuard

brandsikring

en af de kritiske og virkelig obligatoriske sikkerhedskontroller på netværksniveau er brandvæsenet. En Brandvæg skal have avancerede vedvarende trusselanalysefunktioner, da de er i stand til at opdage nul-dages sikkerhedsangreb. Det er også en god praksis at køre intrusion detection systems (IDS). Der kræves en e-mail-sikkerhedsportal for at screene indgående / udgående e-mail-trafik.

regler for filtrering af Brandvæg kan bruges til at nægte / tillade specifik e-mail-trafik. Dette er nyttigt for at stoppe serveren fra at blive et relæ og sende masse spam e-mails. Pakkefiltreringsregler hjælper med at stoppe DDoS-og DoS-angreb.

Aksigen har en intern komponent til applikationsniveauet, der håndterer dette for dig som en del af serverens sikkerhedslag.

du kan læse mere om de konfigurationsindstillinger, der er tilgængelige på hjemmesiden for den indbyggede brandvæg i afsnittet strømstyring på denne dokumentationsside.

konklusion

en sikker e-mail-server har i det væsentlige både sikkerhedskontrol på Netværk og serverniveau. Det er en standard praksis at konfigurere og vedligeholde din egen e-mail-server. Men nogle organisationer vælger at købe off-the-shelf e-mail-server-løsninger. Hvis du overvejer denne mulighed, bør sikkerhed være din højeste overvejelse.

der er ikke noget helt sikkert system overalt i verden. Nogle e-mail-løsninger leverer dog omfattende pakker, der dækker sikkerhed på alle lag, inklusive netværks-og serverniveauer.

en meget sikker e-mail-serverløsning skal have:

  • regler
  • sikker e-mailport
  • kontroller på serverniveau inklusive kryptering, Anti-spam / Anti-phishing / antivirus samt en overvågnings -, analysetjeneste.

en af de bedste løsninger er den sikre e-mailserverløsning, der tilbydes af Aksigen, som du kan finde ud af mere om her.

Leave a Reply