Miten Suojaan Sähköpostipalvelimeni? Kattava opas

saapuvan sähköpostiliikenteen turvaaminen

sähköpostipalvelimen salaaminen ja sähköpostiliikenteen salaaminen ovat itse asiassa kaksi eri asiaa. Turvallinen sähköpostipalvelin vaatii salauksen siirron aikana, sähköpostin salauksen ja tallennettujen sähköpostien salauksen.

loppukäyttäjän puolen salaus

PGP/MIME ja S/MIME ovat kaksi vaihtoehtoa sähköpostien salaamiseen päästä päähän. Nämä kaksi vaihtoehtoa käyttävät varmennepohjaista salausta sähköposteihin siitä hetkestä lähtien, kun ne ovat peräisin loppukäyttäjän laitteesta, kunnes ne on vastaanotettu vastaanottajan loppukäyttäjän laitteelle..

S/MIME käyttää julkista avainta tai epäsymmetristä salausta sekä digitaalisia varmenteita sähköposteihin. Varmenteet auttavat todentamaan sähköpostin lähettäjän.

Authentication Credives Encryption

Axigen, joka on yksi johtavista sähköpostipalvelinohjelmistojen tarjoajista, käyttää CRAM-MD5: tä, DIGEST-MD5: tä ja GSSAPI: tä sähköpostin valtakirjojen salaukseen. Lue lisää Axigen mail server security omalla sivulla.

SMTP-Lähetystodennus on tarpeen lähettäjän tunnistamiseksi ja sen varmistamiseksi, että sähköpostipalvelimestasi ei tule avointa relettä, jota 3.osapuolet käyttävät väärin.

sähköpostin kauttakulkusalauksessa TLS on de facto-standardi. Sitä voidaan ja tulee käyttää webmailin, IMAP: n ja muiden asiakkaiden käyttöoikeusprotokollien liikenteen turvaamiseen.

SMTP Services

Simple Mail Transfer Protocol (tai SMTP) on protokolla, jota useimmat sähköpostiohjelmat käyttävät lähettääkseen viestejä sähköpostipalvelimelle sekä sähköpostipalvelimille, jotka lähettävät / välittävät viestejä palvelimelta toiselle matkalla nimetylle käyttäjälleen.

tässä ovat yleisimmät tietoturvaongelmat sähköposteja lähetettäessä:

  • luvaton pääsy sähköposteihin ja tietojen vuotaminen
  • roskaposti ja tietojenkalastelu
  • haittaohjelma
  • DoS-hyökkäykset

SSL (Secure Sockets Layer) on Netscapen vuonna 1995 kehittämä salausprotokolla, jonka tarkoituksena on parantaa verkkoviestinnän turvallisuutta, ja se on TLS: n edeltäjä (Transport Layer Security). Koska kaikki SSL-versiot ovat tällä hetkellä paljon tunnettuja ja hyödynnettävissä haavoittuvuuksia ei enää suositella tuotantokäyttöön. Lähetyksen varmistaminen TLS: llä on nykyinen de facto-standardi: suositellut TLS-versiot ovat 1.1, 1.2 ja, uusin ja turvallisin, 1.3.

SSL/TLS salaa viestit sähköpostiohjelman ja sähköpostipalvelimen välillä sekä sähköpostipalvelimien välillä. Jos salatun SMTP-viestinnän tallentaa haitallinen kolmas osapuoli, kyseinen osapuoli näkee vain satunnaisia merkkejä, jotka korvaavat sähköpostin sisällön, mikä tarkoittaa, että yhteystietosi ja viestisi tiedot ovat edelleen suojattuja ja lukukelvottomia.

Axigen tukee myös TLS-laajennusta nimeltä Perfect Forward Secret, joka on erityisten avainsopimusprotokollien ominaisuus, joka antaa takeet siitä, että istuntoavaimet eivät vaarannu, vaikka istunnonavainten vaihdossa käytetyt pitkäaikaiset salaisuudet vaarantuisivat. Maallikon termein, jos palvelimelle tallennetut yksityiset avaimet katoavat tai murtautuvat, aiemmin tallennetut salatut SMTP-istunnot ovat edelleen käsittämättömiä.

lets-salaa-varmenteet

versiosta X2 alkaen Axigen voi käyttää Let ‘ s Encrypt-palvelua luodakseen SSL-varmenteita, jotka uusitaan automaattisesti ennen voimassaolon päättymistä.

versiosta X3 alkaen Axigen sallii varmenteiden hallinnan Webadminista, jolloin voit luoda, uudistaa tai poistaa Cert — tai CSR-varmenteita sekä tarkastella ja määrittää, missä kutakin varmennetta käytetään-esim.palvelukuuntelija, virtuaaliassistentti tai SMTP-yhteyksien turvaaminen älykkään palvelimen kautta toimitettaessa.

Lue lisää SMTP-palveluiden turvaamisesta Axigenin avulla.

DNSBL ja URIBL

Domain Name System Blacklist (DNSBL) tai reaaliaikainen Blackhole List (rbl) on pohjimmiltaan palvelu, joka tarjoaa mustan listan tunnetuista verkkotunnuksista ja IP-osoitteista, joilla on maine roskapostin lähteenä. Tyypillisesti sähköpostipalvelinohjelmisto voidaan konfiguroida tarkistamaan yksi tai useampi näistä ilmoituksista.

a DNSBL on pikemminkin ohjelmistomekanismi kuin erityinen lista. On olemassa monia olemassa, jotka käyttävät monenlaisia kriteereitä, jotka saattavat saada osoitteen lueteltu tai listaamaton: listaamalla osoitteet koneita käytetään lähettää roskapostia, internet-palveluntarjoajien (ISPs) tiedetään isännöivän roskapostittajia, jne.

  • Spamhaus DBL on palvelu, joka listasi roskapostiviesteistä löytyneet verkkotunnukset mustalle listalle, jolla on huono maine.
  • URIBL-palvelu on luettelo verkkotunnuksista, joiden havaitaan lähettävän roskapostia

DNSBL-palvelimet ovat mustalla listalla roskapostittajina, ja kun määrität palvelimen yhdeksi, tällaisten palvelimien sähköpostit pudotetaan automaattisesti.

Axigen tarjoaa asiakkailleen myös kaksi tällaista palvelua: aDNSBL ja aURIBL, nämä kaksi ovat premium IP-pohjaisia DNSBL-ja URIBL-luetteloita, joita Axigen ylläpitää ja kuratoi, ja niitä voivat käyttää Axigen asiakkaat, jotka tilaavat nämä valinnaiset palvelut.

SPF, DKIM ja DMARC

SPF (Sender Policy Framework) on DNS TXT-merkintä, joka sisältää luettelon palvelimista, joiden katsotaan saaneen lähettää postia tietyn verkkotunnuksen puolesta. Koska DNS merkintä voidaan pitää keinona valvoa, että merkintä luettelo on luotettava verkkotunnuksen kuin ainoat ihmiset saavat lisätä tai muuttaa, että verkkotunnuksen vyöhyke ovat omistajat tai ylläpitäjät verkkotunnuksen.

lisätietoja SPF: n määrittämisestä Axigen-palveluille löytyy täältä.

DKIM (DomainKeys Identified Mail) on tapa varmistaa, että viestien sisältö on luotettava, osoittaen, että sisältöä ei ole muutettu siitä hetkestä lähtien, kun viesti lähti alkuperäisestä sähköpostipalvelimesta, ja kunnes se saapui perille. Tämä ylimääräinen johdonmukaisuuden taso saavutetaan käyttämällä tavanomaista julkisen / yksityisen avaimen allekirjoitusprosessia. Kuten SPF: n tapauksessa, verkkotunnuksen omistajat tai ylläpitäjät lisäävät DNS-tietueen, joka sisältää julkisen DKIM-avaimen, jota vastaanottimet käyttävät varmistaakseen, että viesti DKIM-allekirjoitus on oikea, ja lähettäjän puolella palvelin käyttää DNS-tietueessa olevaa julkista avainta vastaavaa yksityistä avainta sähköpostiviestien allekirjoittamiseen.

lisätietoja Dkimin määrittämisestä Axigen-palveluihin löytyy täältä.

DMARC (Domain-based Message Authentication, Reporting, and Conformance) on protokolla, joka käyttää SPF: ää ja DKIM: ää määrittämään, onko sähköpostiviesti aito. Pohjimmiltaan se helpottaa Internet-palveluntarjoajien estää haitallisia kolmansia osapuolia suorittamasta käytäntöjä, kuten verkkotunnusten huijaus phish käyttäjille yksityisiä tietoja.

DMARC ilmoittaa selkeän käytännön sekä SPF: stä että DKIM: stä ja sallii osoitteen asettamisen, jota tulisi käyttää palvelimen lähettämiä sähköpostiviestejä koskevien raporttien lähettämiseen. Tätä käytäntöä tulisi käyttää kaikissa vastaanottavissa palvelimissa ja asiakkaissa.

lisätietoja DMARC: n määrittämisestä Axigen-palveluille löytyy täältä.

kaikki nämä työkalut nojaavat vahvasti DNS: ään ja tapa, jolla ne toimivat kaiken perustamisen jälkeen, on seuraava:

SPF

  • vastaanotettaessa postipalvelin noutaa HELO-viestin ja lähettäjän osoitteen
  • postipalvelin hakee txt DNS-kyselyn viestien toimialueen SPF-merkintää
  • haettua SPF-merkintätietoa käytetään sitten lähettävän palvelimen tarkistamiseen
  • , jos tämä tarkistus epäonnistuu hylätään tiedolla hylkäämisestä

DKIM

  • viestin lähettämisen yhteydessä toimialueen infrastruktuurin viimeinen palvelin tarkistaa sen sisäiset asetukset, jos toimialue, jota käytetään “alkaen:”otsikko sisältyy todellakin sen “allekirjoitustaulukkoon”. Jos tämä tarkistus epäonnistuu, kaikki päättyy tähän
  • otsikon “DKIM-allekirjoitus” lisäksi viestin otsikkoluetteloon luomalla allekirjoituksen avaimen yksityistä osaa käyttäen viestin sisältöön
  • tämän kohdan jälkeen viestin pääsisältöä ei voida muuttaa tai DKIM-Signature-otsikko ei ole enää oikea ja todennus epäonnistuu.
  • kun viesti on vastaanotettu, vastaanottava palvelin tekee DNS-kyselyn hakeakseen DKIM-allekirjoituksessa Käytetyn julkisen avaimen
  • sen jälkeen DKIM-otsikkoa voidaan käyttää päättämään, onko viestiä muutettu kauttakuljetuksessa vai onko se luotettava

DMARC

  • vastaanottaessaan, vastaanottava palvelin tarkistaa, onko DMARC-käytäntö julkaistaan SPF: n ja / tai DKIM: n tarkistuksissa
  • jos toinen tai molemmat SPF / DKIM-tarkistukset onnistuvat, mutta ne eivät ole linjassa DMARC: n käytännön kanssa, tarkistus katsotaan epäonnistuneeksi, muuten, jos ne ovat mukautetaan myös DMARC-käytäntöön, jolloin tarkistus onnistuu
  • epäonnistumisesta, perustuen siihen, mitä toimia DMARC-käytäntö on julkaissut, erilaisia toimia voidaan tehdä

vaikka sinulla olisi täysin toimiva järjestelmä ja kaikki edellä mainitut työkalut on perustettu ja toimivat sujuvasti, et voi olla 100% turvallinen, koska kaikki palvelimet eivät käytä näitä työkaluja.

sisällön suodatus

Sisältösuodattimet mahdollistavat saapuvien / lähtevien viestien skannaamisen ja tarkastamisen sekä vastaavat toimet tulosten perusteella automaattisesti.

tällaiset palvelut lähinnä skannaavat sähköpostiviestin sisällön ja päättävät, vastaako sisältö roskapostisuodattimia ja estääkö viestin pääsyn postilaatikkoon. Skannaukset tarkastelevat myös kuvien metatietoja ja otsikoita sekä viestin tekstisisältöä.

cyren-antivirus-antispam-brochure

Axigen tarjoaa sisäänrakennetun premium AntiVirus-ja roskapostisuodatuksen, jotka tulevat valmiiksi pakattuina ja ovat täysin integroituja ja konfiguroitavissa Webadminista:

  • Axigen ‘ s Premium AntiSpam and AntiVirus (powered by Cyren) ja
  • Kaspersky AntiSpam and AntiVirus.

voit myös integroida mitä tahansa kolmannen osapuolen tuotteita, kunhan ne ovat Milter-yhteensopivia, tai jopa käyttää pilvipohjaisia palveluita yhdyskäytävänä sähköpostipalvelimesi edessä.

on tärkeää huomata, että sisällön suodatus on resurssitehokkaampaa, minkä vuoksi on tärkeää ottaa käyttöön myös muut kerrokset, jotka suodattavat sähköpostit ennen sisällön suodattamista.

turvaamalla lähtevän sähköpostiliikenteen

Send and Receive Restrictions

rajoituksia voidaan soveltaa viesteihin, joita sähköpostipalvelimellasi isäntänäsi olevat käyttäjät lähettävät. Voit hallita maksimikokoa, että viesti voi olla kokonaisuudessaan tai kokoa viestin yksittäisiä osia tai jopa molempia näistä asioista. Voit esimerkiksi hallita viestin otsikon tai sen liitteiden enimmäiskokoa tai asettaa rajan vastaanottajien enimmäismäärälle, jonka käyttäjä voi lisätä lähtevään viestiin.

lisäksi ja mikä vielä tärkeämpää, järjestelmänvalvojana voit luoda lähetyskiintiöitä (poikkeuksia lukuun ottamatta), jotka varmistavat, että reilun käytön käytäntösi pannaan automaattisesti täytäntöön.

voit lukea lisää näiden rajoitusten määrittämisestä Axigen WebAdmin-sivustolla täältä.

lähtevä roskapostisuojaus

on yhtä tärkeää hallita sitä, mitä sähköpostipalvelimilta lähtee, kuin tietää, mitä sieltä tulee. Joten ottaa politiikka skannata Lähtevien viestien sekä saapuvien viestien on tärkeää, koska se voi estää jonkun lähettämästä roskapostiviestejä ja sellaisenaan houkutella ei-toivottuja vaikutuksia sinulle.

aiheesta lisää LinkedInin artikkelissani täällä.

postilaatikoiden käyttöoikeuden turvaaminen

Webmail Two Factor Authentication (2fa)

käyttäjätilien turvallisuuden varmistaminen, vaikka todennäköisesti käytät SSL/TLS: ää, on tärkeää, koska joskus käyttäjien salasanat eivät ole vahvimpia.

sen lisäksi, että Axigen tukee konfiguroitavia salasanakäytäntöjä, mahdollistamalla kaksivaiheisen todennuksen, voidaan parantaa huomattavasti kunkin käyttäjän tilin turvallisuutta ja suojata heidän tietonsa haitallisilta kolmansilta osapuolilta, jotka saattaisivat muuten päästä heidän tililleen, koska he ovat saattaneet saada salasanansa toisesta palvelusta, jota he käyttivät, jolla oli tietoturva takaovi.

Axigen tarjoaa kahden tekijän Todennustuen käyttäjätileille.

SSL / TLS kuuntelijat

on erittäin tärkeää, että kuuntelijat on määritetty oikein hyvillä SSL-versioilla ja cypher-suiteilla. Axigen-palvelimen mukana tulee Kaikki asetukset, ja suosittelemme pitämään palvelimen aina ajan tasalla varmistaaksesi, että SSL-kuuntelijat ovat A-luokkaa.

IMAP-salauksen ja todennuksen Suositusasetukset

käyttämällä salattua yhteyttä StartTLS käytössä on paras tapa varmistaa, että sinun ja asiakkaidesi tiedot ovat suojattuja eikä haitallinen kolmas osapuoli voi lukea niitä.

Axigen WebAdmin mahdollistaa sähköpostipalvelimen salauksen ja todennuksen asetusten hallinnan. suositusasetukset IMAPin määrittämiseen löytyvät tältä ohjesivulta.

Brute Force-hyökkäyksiltä suojautuminen

brute-force-hyökkäys on kyberhyökkäyksen tyyppi, jossa haitallinen kolmas osapuoli kokeilee eri salasanoja ja käyttää salassapitoa automatisoidulla komentosarjalla, kunnes löytää oikean yhdistelmän päästäkseen tilille tai palveluun. Se on voinut olla olemassa pitkään, mutta se on edelleen hyvin suosittu, koska kuinka tehokas se on heikkoja salasanoja vastaan, minkä vuoksi kahden tekijän todennus on tärkeä ominaisuus on käyttäjätileillä.

Fail2Ban (Linux) ja Rdpguard (Windows) ovat tunkeutumisen estojärjestelmiä, jotka lisäävät suojaa raa ‘ an voiman hyökkäyksiltä sähköpostipalvelimille. Valvomalla lokitiedostoja ja estämällä sellaisten isäntien IP-osoitteet, jotka suorittavat liian monta kirjautumisyritystä tai liian monta yhteyttä lyhyessä ajassa, jonka sähköpostipalvelimen ylläpitäjä määrittelee.

lisää siitä, miten Axigen-palvelin asetetaan käyttämään Fail2bania Linuxissa tai miten Axigen-palvelin asetetaan käyttämään Rdpguardia Windowsissa

palomuuri

yksi kriittisistä ja todella pakollisista verkkotason turvavalvonnoista on palomuuri. Palomuurissa pitäisi olla kehittyneitä pysyviä uhka-analyysin ominaisuuksia, sillä ne pystyvät havaitsemaan nollapäivän tietoturvahyökkäykset. Se on paras käytäntö ajaa tunkeutumisen havaitsemisjärjestelmät (IDS) samoin. Saapuvan / lähtevän sähköpostiliikenteen seulomiseen tarvitaan sähköpostin tietoturva yhdyskäytävä.

palomuurin suodatussääntöjä voidaan käyttää tietyn sähköpostiliikenteen kieltämiseen / sallimiseen. Tämä on hyödyllistä estää palvelimen tulossa rele ja lähettää massa roskapostia. Pakettisuodatussäännöt auttavat pysäyttämään DDoS-ja DoS-hyökkäykset.

Axigenissa on sovellustason palomuurin sisäinen komponentti, joka hoitaa tämän puolestasi osana palvelimen suojauskerroksia.

voit lukea lisää asetusvaihtoehdoista sisäänrakennetun palomuurin Webadminista tämän ohjesivun Flow control-osiosta.

johtopäätös

suojatussa sähköpostipalvelimessa on olennaisesti sekä verkko-että palvelintason turvaohjeet. Se on normaali käytäntö määrittää ja ylläpitää omaa sähköpostipalvelinta. Kuitenkin, jotkut organisaatiot haluavat ostaa off-the-hylly sähköpostipalvelin ohjelmistoratkaisuja. Jos harkitset tätä vaihtoehtoa, turvallisuuden pitäisi olla korkein harkinta.

täysin varmaa järjestelmää ei ole missään päin maailmaa. Jotkut sähköpostiohjelmistoratkaisut tarjoavat kuitenkin kattavia paketteja, jotka kattavat turvallisuuden kaikilla tasoilla, mukaan lukien verkko-ja palvelintasot.

erittäin turvallisessa sähköpostipalvelinratkaisussa tulisi olla:

  • palomuurisäännöt
  • secure email gateway
  • palvelintason kontrollit, mukaan lukien salaus, Anti-spam / anti-phishing / antivirus, sekä seuranta-ja analysointipalvelu.

yksi huippuratkaisuista on Axigenin tarjoama turvallinen sähköpostipalvelinratkaisu, josta voit lukea lisää täältä.

Leave a Reply