Wie sichere ich meinen Mailserver? Ein umfassender Leitfaden
Sicherung des eingehenden E-Mail-Verkehrs
Verschlüsselung eines Mailservers und Verschlüsselung des E-Mail-Verkehrs sind eigentlich zwei verschiedene Dinge. Ein sicherer E-Mail-Server erfordert Verschlüsselung während der Übertragung, Verschlüsselung von E-Mails und Verschlüsselung gespeicherter E-Mails.
Endbenutzerseitige Verschlüsselung
PGP/MIME und S/MIME sind zwei Optionen für die End-to-End-Verschlüsselung von E-Mails. Diese beiden Optionen verwenden eine zertifikatbasierte Verschlüsselung für E-Mails von dem Moment an, in dem sie vom Endbenutzergerät stammen, bis sie auf dem Endbenutzergerät des Empfängers empfangen werden..
S/MIME verwendet einen öffentlichen Schlüssel oder asymmetrische Kryptographie sowie digitale Zertifikate für E-Mails. Zertifikate helfen bei der Authentifizierung des E-Mail-Absenders.
Verschlüsselung von Authentifizierungsdaten
Axigen, als einer der führenden Anbieter von E-Mail-Server-Software, verwendet CRAM-MD5, DIGEST-MD5 und GSSAPI für die Verschlüsselung von E-Mail-Anmeldeinformationen. Lesen Sie mehr über Axigen Mail Server Security auf unserer speziellen Seite.
Die SMTP-Übermittlungsauthentifizierung ist erforderlich, um den Absender ordnungsgemäß zu identifizieren und sicherzustellen, dass Ihr E-Mail-Server nicht zu einem offenen Relay wird, das von 3rd-Parteien missbraucht wird.
Für die Verschlüsselung von E-Mails während der Übertragung ist TLS der De-facto-Standard. Es kann und sollte verwendet werden, um den Datenverkehr für Webmail, IMAP und andere Clientzugriffsprotokolle zu sichern.
SMTP-Dienste
Simple Mail Transfer Protocol (oder SMTP) ist das Protokoll der Wahl, das von den meisten E-Mail-Clients zum Senden von Nachrichten an einen E-Mail-Server sowie von E-Mail-Servern zum Senden / Weiterleiten von Nachrichten von einem Server zum anderen auf dem Weg zu ihrem angegebenen Benutzer verwendet wird.
Hier sind die am häufigsten auftretenden Sicherheitsprobleme bei der Übertragung von E-Mails:
- Unbefugter Zugriff auf Ihre E-Mails und Datenverlust
- Spam und Phishing
- Malware
- DoS-Angriffe
SSL (Secure Sockets Layer) ist ein kryptografisches Protokoll, das 1995 von Netscape entwickelt wurde, um die Sicherheit der Netzwerkkommunikation zu verbessern, und es ist der Vorgänger von TLS (Transport Layer Security). Da derzeit alle SSL-Versionen viele bekannte und ausnutzbare Schwachstellen aufweisen, wird für den produktiven Einsatz nicht mehr empfohlen. Die Sicherung der Übertragung mit TLS ist der aktuelle De-facto-Standard: empfohlene TLS-Versionen sind 1.1, 1.2 und die neueste und sicherste Version 1.3.
SSL/TLS verschlüsselt die Nachrichten zwischen dem E-Mail-Client und dem E-Mail-Server sowie zwischen E-Mail-Servern. Wenn die verschlüsselte SMTP-Kommunikation von einem böswilligen Dritten aufgezeichnet wird, sieht dieser nur scheinbar zufällige Zeichen, die den E-Mail-Inhalt ersetzen, was bedeutet, dass Ihre Kontakte und Nachrichtendaten weiterhin geschützt und unlesbar sind.
Axigen unterstützt auch eine TLS-Erweiterung namens Perfect Forward Secrecy, eine Funktion spezifischer Schlüsselvereinbarungsprotokolle, die sicherstellt, dass Sitzungsschlüssel nicht kompromittiert werden, selbst wenn langfristige Geheimnisse, die beim Austausch von Sitzungsschlüsseln verwendet werden, kompromittiert werden. Sollten die auf dem Server gespeicherten privaten Schlüssel verloren gehen oder verletzt werden, sind zuvor aufgezeichnete verschlüsselte SMTP-Sitzungen für Laien immer noch nicht entzifferbar.
Ab Version X2 kann Axigen mit dem Dienst Let’s Encrypt SSL-Zertifikate generieren, die vor Ablauf automatisch erneuert werden.
Ab Version X3 ermöglicht Axigen die Zertifikatsverwaltung über den WebAdmin, sodass Sie Zertifikate oder CSRs erstellen, erneuern oder löschen sowie anzeigen und konfigurieren können, wo jedes Zertifikat verwendet werden soll — d. H. Service Listener, virtueller Host oder Sicherung von SMTP-Verbindungen bei der Bereitstellung über einen Smart Host.
Lesen Sie mehr über die Sicherung Ihrer SMTP-Dienste mit Axigen.
DNSBL und URIBL
Domain Name System Blacklist (DNSBL) oder Real-Time Blackhole List (RBL) ist im Wesentlichen ein Dienst, der eine schwarze Liste bekannter Domains und IP-Adressen bereitstellt, die den Ruf haben, eine Spam-Quelle zu sein. In der Regel kann Mailserver-Software so konfiguriert werden, dass eine oder mehrere dieser Auflistungen überprüft werden.
Eine DNSBL ist eher ein Softwaremechanismus als eine spezifische Liste. Es gibt viele in Existenz, die eine breite Palette von Kriterien verwenden, die eine Adresse gelistet oder nicht gelistet bekommen könnten: Auflistung der Adressen von Maschinen, die verwendet werden, um Spam zu senden, Internet Service Provider (ISPs) sind dafür bekannt, Spammer zu hosten, etc.
- Die Spamhaus DBL ist ein Dienst, der Domains, die in Spam-Nachrichten gefunden wurden und einen schlechten Ruf haben, auf die schwarze Liste setzt.
- Der URIBL-Dienst ist eine Liste von Domänen, die als Spam-E-Mails erkannt werden
DNSBL-Server werden als Spammer auf die schwarze Liste gesetzt, und wenn Sie einen Server als einen definieren, werden E-Mails von solchen Servern automatisch gelöscht.
Axigen bietet seinen Kunden auch zwei solche Dienste an: aDNSBL und aURIBL, diese beiden sind Premium-IP-basierte DNSBL- und URIBL-Listen, die von Axigen betrieben und kuratiert werden und von Axigen-Kunden verwendet werden können, die diese optionalen Dienste abonnieren.
SPF, DKIM und DMARC
SPF (Sender Policy Framework) ist ein DNS-TXT-Eintrag, der eine Liste von Servern enthält, die als berechtigt betrachtet werden sollten, E-Mails im Namen einer bestimmten Domäne zu senden. Ein DNS-Eintrag kann als eine Möglichkeit angesehen werden, die Tatsache zu erzwingen, dass die Eintragsliste für die Domäne vertrauenswürdig ist, da die einzigen Personen, die diese Domänenzone hinzufügen oder ändern dürfen, die Eigentümer oder Administratoren der Domäne sind.
Weitere Informationen zur Konfiguration von SPF für die Axigen-Dienste finden Sie hier.
DKIM (DomainKeys Identified Mail) ist eine Methode, um zu überprüfen, ob der Inhalt der Nachrichten vertrauenswürdig ist, und zeigt an, dass der Inhalt von dem Moment an, als die Nachricht den ursprünglichen Mailserver verließ, bis zum Erreichen des Ziels nicht geändert wurde. Diese zusätzliche Konsistenzebene wird durch die Verwendung eines standardmäßigen Signiervorgangs für öffentliche / private Schlüssel erreicht. Wie im Fall des SPF fügen die Eigentümer oder Administratoren der Domäne einen DNS-Eintrag hinzu, der den öffentlichen DKIM-Schlüssel enthält, der von Empfängern verwendet wird, um zu überprüfen, ob die DKIM-Signatur der Nachricht korrekt ist, und auf der Absenderseite verwendet der Server den privaten Schlüssel, der dem im DNS-Eintrag vorhandenen öffentlichen Schlüssel entspricht, um die E-Mail-Nachrichten zu signieren.
Weitere Informationen zur Konfiguration von DKIM für Axigen-Dienste finden Sie hier.
DMARC (Domain-based Message Authentication, Reporting, and Conformance) ist ein Protokoll, das SPF und DKIM verwendet, um festzustellen, ob die E-Mail-Nachricht authentisch ist. Im Wesentlichen erleichtert es ISPs, böswillige Dritte daran zu hindern, Praktiken wie Domain-Spoofing durchzuführen, um private Informationen für Benutzer zu phishing.
DMARC gibt eine klare Richtlinie zu SPF und DKIM an und ermöglicht die Einstellung einer Adresse, die zum Senden von Berichten über die vom Server gesendeten E-Mail-Nachrichten verwendet werden soll. Diese Richtlinie sollte von allen empfangenden Servern und Clients verwendet werden.
Weitere Informationen zur Konfiguration von DMARC für Axigen Services finden Sie hier.
Alle diese Tools verlassen sich stark auf DNS und die Art und Weise, wie sie funktionieren, nachdem alle Einstellungen vorgenommen wurden, ist wie folgt:
SPF
- Beim Empfang werden die HELO-Nachricht und die Adresse des Absenders vom Mailserver abgerufen
- Der Mailserver ruft eine TXT-DNS-Abfrage für den Domänen-SPF-Eintrag der Nachrichten ab
- Die abgerufenen SPF-Eintragsdaten werden dann verwendet, um den sendenden Server zu überprüfen
- Wenn diese Überprüfung fehlschlägt, wird die mit Informationen über die Ablehnung abgelehnt werden
DKIM
- Beim Senden einer Nachricht überprüft der letzte Server in der Domäneninfrastruktur anhand seiner internen Einstellungen, ob die Domäne, die in der “Von:” header ist in der Tat in seiner “Signaturtabelle” enthalten. Wenn diese Prüfung fehlschlägt, stoppt alles hier
- Ein Header mit dem Namen “DKIM-Signature” wird der Nachrichtenkopfliste hinzugefügt, indem eine Signatur mit dem privaten Teil des Schlüssels für den Inhalt der Nachricht generiert wird
- Nach diesem Punkt kann der Hauptinhalt der Nachricht nicht geändert werden, oder der DKIM-Signature-Header ist nicht mehr korrekt und die Authentifizierung schlägt fehl.
- Beim Empfang der Nachricht führt der empfangende Server eine DNS-Abfrage durch, um den in der DKIM-Signatur verwendeten öffentlichen Schlüssel abzurufen
- Danach kann anhand des DKIM-Headers entschieden werden, ob die Nachricht während der Übertragung geändert wurde oder ob sie vertrauenswürdig ist
DMARC
- Beim Empfang prüft der empfangende Server, ob eine DMARC-Richtlinie wird in der Domäne veröffentlicht, die von den SPF- und / oder DKIM-Prüfungen verwendet wird
- Wenn eine oder beide SPF / DKIM-Prüfungen erfolgreich sind, aber nicht mit der DMARC-Richtlinie übereinstimmen, gilt die Prüfung als nicht erfolgreich, andernfalls, wenn sie auch mit der DMARC-Richtlinie ausgerichtet, dann ist die Prüfung erfolgreich
- Bei einem Fehler können basierend auf der von der DMARC-Richtlinie veröffentlichten Aktion verschiedene Aktionen ausgeführt werden
Selbst wenn Sie ein perfekt funktionierendes System haben und alle oben genannten Tools reibungslos eingerichtet und ausgeführt werden, können Sie nicht 100% sicher sein, da nicht alle Server diese Tools verwenden.
Inhaltsfilterung
Mit Inhaltsfiltern können Sie eingehende / ausgehende Nachrichten scannen und überprüfen und basierend auf den Ergebnissen automatisch entsprechende Aktionen ausführen.
Dienste wie diese scannen hauptsächlich den Inhalt der E-Mail-Nachricht und entscheiden, ob der Inhalt mit Spamfiltern übereinstimmt und blockiert, dass die Nachricht den Posteingang erreicht. Scans betrachten auch Bildmetadaten und Header sowie den Inhalt des Nachrichtentextes.
Axigen bietet integrierte Premium-Antiviren- und AntiSpam-Filter, die vorkonfiguriert und vollständig integriert und über den WebAdmin konfigurierbar sind:
- Axigens Premium AntiSpam und AntiVirus (powered by Cyren) und
- Kaspersky AntiSpam und AntiVirus.
Sie können auch beliebige Produkte von Drittanbietern integrieren, sofern diese Milter-fähig sind, oder sogar Cloud-basierte Dienste als Gateway vor Ihrem E-Mail-Server verwenden.
Es ist wichtig zu beachten, dass die Inhaltsfilterung ressourcenintensiver ist, weshalb es wichtig ist, auch die anderen Ebenen zu implementieren, die E-Mails herausfiltern, bevor Sie Ihren Inhaltsfilter erreichen.
Ausgehenden E-Mail-Verkehr sichern
Sende- und Empfangsbeschränkungen
Auf die Nachrichten, die von den Benutzern gesendet werden, die Sie auf Ihrem E-Mail-Server hosten, können Beschränkungen angewendet werden. Sie können die maximale Größe einer Nachricht in ihrer Gesamtheit oder die Größe der einzelnen Teile einer Nachricht oder sogar beider Dinge steuern. Sie können beispielsweise die maximale Größe des Nachrichtenkopfs oder seiner Anhänge steuern oder ein Limit für die maximale Anzahl von Empfängern festlegen, die ein Benutzer einer ausgehenden Nachricht hinzufügen kann.
Darüber hinaus und was noch wichtiger ist, können Sie als Administrator Sendekontingente (mit Ausnahmen) erstellen, die sicherstellen, dass Ihre Fair Usage-Richtlinie automatisch erzwungen wird.
Weitere Informationen zur Konfiguration dieser Einschränkungen in Axigen WebAdmin finden Sie hier.
Outbound Spam Protection
Die Kontrolle darüber zu haben, was von Ihren E-Mail-Servern ausgeht, ist genauso wichtig wie zu wissen, was eingeht. Daher ist es wichtig, eine Richtlinie zum Scannen der ausgehenden und eingehenden Nachrichten zu haben, da dies verhindern kann, dass jemand Spam-Nachrichten sendet und als solche unerwünschte Auswirkungen auf Sie hat.
Mehr zu diesem Thema in meinem Artikel auf LinkedIn hier.
Sicherung des Postfachzugriffs
Webmail-Zwei-Faktor-Authentifizierung (2FA)
Es ist wichtig, dass Ihre Benutzerkonten sicher sind, auch wenn Sie wahrscheinlich SSL / TLS verwenden, da Benutzerkennwörter manchmal nicht die stärksten sind.
Neben der Tatsache, dass Axigen konfigurierbare Kennwortrichtlinien unterstützt, kann die Aktivierung der Zwei-Faktor-Authentifizierung die Kontosicherheit jedes Benutzers erheblich verbessern und seine Daten vor böswilligen Dritten schützen, die andernfalls Zugriff auf sein Konto erhalten könnten, da sie möglicherweise ihr Passwort von einem anderen Dienst erhalten haben, den sie verwendet haben und der eine Sicherheits-Hintertür hatte.
Axigen bietet Zwei-Faktor-Authentifizierungsunterstützung für Benutzerkonten.
SSL / TLS-Listener
Es ist sehr wichtig, dass Ihre Listener mit guten SSL-Versionen und Cypher Suites korrekt konfiguriert sind. Der Axigen Server kommt mit allem, was eingerichtet ist, und wir empfehlen Ihnen, den Server immer auf dem neuesten Stand zu halten, um sicherzustellen, dass Ihre SSL-Listener A-Grade sind.
IMAP-Verschlüsselung und Authentifizierung Empfohlene Einstellungen
Die Verwendung einer verschlüsselten Verbindung mit aktiviertem StartTLS ist der beste Weg, um sicherzustellen, dass Ihre und die Daten Ihrer Kunden geschützt sind und nicht von böswilligen Dritten gelesen werden können.
Axigen WebAdmin ermöglicht die Kontrolle über die Einstellungen der Verschlüsselung und Authentifizierung des Mailservers.
Schutz vor Brute-Force-Angriffen
Ein Brute-Force-Angriff ist eine Art Cyberangriff, bei dem ein böswilliger Dritter mithilfe eines automatisierten Skripts verschiedene Kennwörter und Passphrasen ausprobiert, bis er die richtige Kombination findet, um Zugriff auf ein Konto oder einen Dienst zu erhalten. Es mag schon lange her sein, aber es ist immer noch sehr beliebt, weil es effektiv gegen schwache Passwörter ist, weshalb die Zwei-Faktor-Authentifizierung eine wichtige Funktion für Benutzerkonten ist.
Fail2Ban (Linux) und RDPGuard (Windows) sind Intrusion Prevention-Systeme, die Schutz vor Brute-Force-Angriffen auf Mailserver bieten. Durch die Überwachung von Protokolldateien und das Blockieren von IP-Adressen von Hosts, die zu viele Anmeldeversuche oder zu viele Verbindungen in einem kurzen Zeitraum ausführen, der vom Administrator des Mailservers definiert wird.
Weitere Informationen zum Einrichten Ihres Axigen-Servers für die Verwendung von Fail2Ban unter Linux oder zum Einrichten Ihres Axigen-Servers für die Verwendung von RDPGuard unter Windows
Firewall
Eine der kritischen und wirklich obligatorischen Sicherheitskontrollen auf Netzwerkebene ist die Firewall. Eine Firewall sollte über erweiterte Funktionen zur Analyse persistenter Bedrohungen verfügen, da sie Zero-Day-Sicherheitsangriffe erkennen können. Es ist eine bewährte Methode, auch Intrusion Detection Systems (IDS) auszuführen. Ein E-Mail-Sicherheitsgateway ist erforderlich, um den eingehenden / ausgehenden E-Mail-Verkehr zu überwachen.
Firewall-Filterregeln können verwendet werden, um bestimmten E-Mail-Verkehr zu verweigern / zuzulassen. Dies ist nützlich, um zu verhindern, dass der Server zu einem Relay wird und Massen-Spam-E-Mails sendet. Paketfilterregeln helfen, DDoS- und DoS-Angriffe zu stoppen.
Axigen verfügt über eine interne Komponente für die Firewall auf Anwendungsebene, die dies als Teil der Sicherheitsebenen des Servers für Sie übernimmt.
Weitere Informationen zu den Konfigurationsoptionen, die im WebAdmin für die integrierte Firewall verfügbar sind, finden Sie im Abschnitt Flusssteuerung dieser Dokumentationsseite.
Fazit
Ein sicherer E-Mail-Server verfügt im Wesentlichen über Sicherheitskontrollen auf Netzwerk- und Serverebene. Es ist üblich, einen eigenen E-Mail-Server zu konfigurieren und zu warten. Einige Unternehmen entscheiden sich jedoch für den Kauf von Standard-E-Mail-Server-Softwarelösungen. Wenn Sie diese Option in Betracht ziehen, sollte die Sicherheit Ihre höchste Überlegung sein.
Weltweit gibt es kein absolut sicheres System. Einige E-Mail-Softwarelösungen bieten jedoch umfassende Pakete, die die Sicherheit auf allen Ebenen abdecken, einschließlich Netzwerk- und Serverebene.
Eine hochsichere E-Mail-Server-Lösung sollte:
- firewall-Regeln
- Secure Email Gateway
- Kontrollen auf Serverebene, einschließlich Verschlüsselung, Anti-Spam / Anti-Phishing / Antivirus sowie Überwachungs- und Analysedienst.
Eine der Top-Lösungen ist die sichere E-Mail-Server-Lösung von Axigen, über die Sie hier mehr erfahren können.
Leave a Reply